SóProvas



Questões de Auditoria de Sistemas


ID
7363
Banca
ESAF
Órgão
CGU
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados "auditores". Após várias consultas com respostas corretas, em um determinado momento, um usuário pertencente ao grupo "auditores" acessa o sistema em busca de uma informação e recebe, como resposta à sua consulta, uma informação completamente diferente da desejada. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à

Alternativas
Comentários
  • Integridade: garantia de que uma informação não será alterada, sem autorização, durante um processo de transmissão ou armazenamento.
    Fonte: Informática para concursos - João Antônio.
  • Questão passível de recurso.
      A integridade seria quebrada se o auditor tivesse recebido a informação desejada porém com o conteúdo alterado/adulterado. A questão leva a entender que ele recebeu OUTRA informação, não a informação procurada, por exemplo, era para receber o arquivo A e recebeu o arquivo B.
    Baseado nisso não se pode afirmar que o conteúdo do arquivo A teve a integridade comprometida..
  • Na visão do usuário a informação não está íntegra. Não importa que informação ele recebeu, o que importa é que ele não recebeu o que queria, ou seja, a informação solicitada não está completa e aderente a sua solicitação.


    Bons estudos.

  • Quem tá errando quase tudo também dá um joinha aí rs


ID
10573
Banca
ESAF
Órgão
CGU
Ano
2006
Provas
Disciplina
Segurança da Informação
Assuntos

Em termos das questões relacionadas à política de segurança e auditoria é correto afirmar que

Alternativas
Comentários
  • sobre alternativa B, podemos dizer que está incorreta, porque a norma ISO 17799:2005 tem uma seção de Gestão da continuidade do negócio, que reforça a necessidade de se ter um plano de continuidade e contingência desenvolvido, implementado, testado e atualizado.
  • Where can I find references concerning this subject. It's quite hard to solve these questions, because the knowledge is too scattered.
  • Bom, fiquei na duvida entre A e C.

    letra B, DEFINE regras para gestão da continuidade do negócio.

    letra D,  política de segurança de informação independe do hardware.

    letra E (ao meu ver equivocado gabarito)... a AUDITORIA de TECNOLOGIA DA INFORMAÇÃO que faz parte da auditoria de segurança... que ENGLOBA, além da TI, outros sistemas e processos dentro da organização...

    CONFUSA... muito confusa a questão.

ID
10588
Banca
ESAF
Órgão
CGU
Ano
2006
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as seguintes afirmações relacionadas a Auditoria de Sistemas.

I. O auditor de Tecnologia da Informação deve ser ligado diretamente à área sob auditoria, devendo ser, preferencialmente, um funcionário ou ter um cargo nessa área.

II. O colaborador a ser auditado deve planejar as tarefas de auditoria para direcionar os objetivos da auditoria e seguir os padrões profi ssionais aplicáveis.

III. O auditor de Tecnologia da Informação deve requisitar e avaliar informações apropriadas sobre pontos, conclusões e recomendações anteriores e relevantes para determinar se ações apropriadas foram implementadas em tempo hábil.

IV. De acordo com o código de ética profissional da Associação de Auditores de Sistemas e Controles, seus membros devem manter privacidade e confi dencialidade das informações obtidas no decurso de suas funções, exceto quando exigido legalmente.

Indique a opção que contenha todas as afirmações verdadeiras.

Alternativas
Comentários
  • ITEM I. o auditor nunca deve der da propria area, deve ser de outra area difernete da area auditada

    ITEM II. "direcionar os objetivos ??", nao, isto nunca deve ser feito.

    ITEM III. certo, é o papel do auditor de TI

    ITEM IV. esta foi por eliminacao, como nao tinha no gabarito a combinacao I e IV, logo, se o ITEM I é errado, o IV deve ser certo.
     


ID
10591
Banca
ESAF
Órgão
CGU
Ano
2006
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as seguintes afirmações relacionadas a Auditoria de Sistemas.

I. A gerência da empresa deve estabelecer critérios para a criação, processamento e disseminação de informações de dados, por meio de autorização e registro de responsabilidade.

II. A gerência deve implementar um plano adequado, bem como procedimentos de implantação para prevenir-se contra falhas de controle que podem surgir durante especificações de sistemas, desenho, programação, testes e documentação de sistemas.

III. A gerência deve ter acesso restrito de "somente leitura" ao sistema, ficando o controle sob a responsabilidade dos colaboradores auditados.

IV. Para um bom andamento e independência das auditorias, nenhum investimento em treinamentos em tecnologia da informação deve ser realizado ou planejado para a equipe de auditores do quadro de colaboradores da organização.

Indique a opção que contenha todas as afirmações verdadeiras.

Alternativas
Comentários
  • III - A gerência deve ter acesso Total ao sistema;

    IV - o Erro encontra-se quando informa que "nenhum investimento em treinamentos em TI deve ser realizado ou planejado"; acredito que essa decisão fica a cargo da própria organização.

ID
10594
Banca
ESAF
Órgão
CGU
Ano
2006
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com o Código de Ética Profissional, os membros e detentores de certificações da ISACA devem

Alternativas
Comentários
  • Isaca estabelece este Código de Ética Profissional para guiar a conduta profissional e pessoal de seus membros e/ou possuidores de certificados dessa associação:

    1- Apoiar a implementação e promover o cumprimento com padrões e procedimento promovidos pelo governo e gestão efetiva dos sistema de informação e tecnologia da empresa, incluindo a gestão de auditoria, controle, segurança e riscos;
    2- Conduzir com seriedade o seu trabalho com objetividade, diligência e rigor profissional de acordo com os padrões de sua profissão;
    3- Servir em benefícios das partes interessadas de um modo legal e honesto e, ao mesmo tempo, manter altos níveis de conduta e carater, não se envolvendo em ações que desacreditem a profissão ou a ISACA;
    4- Manter a privacidade e confidencialidade das informações obtidas em decorrência de seus deveres a menos que a divulgação seja requerida por uma autoridade legal. Essas informações não devem ser utilizadas para benefício pessoal nem revelá-las a partes inapropriadas;
    5-Manter a competência em seus respectivos campos e assumir somente aquelas atividades que possam razoavelmente completá-las com habilidade, conhecimento e competência necessária;
    6-informar os resultados do trabalho realizado a partes apropriadas, revelando todos os atos significativos que tenha conhecimento;
    7- Apoiar a educação profissional das partes interessadas para que possam ter uma melhor compreensão das regras, da gestão dos sistemas de informação e da tecnologia da organização, incluindo gestão de auditoria, controle, segurança e riscos.

    Resposta: "D"

    Fonte: http://www.isaca.org/About-ISACA/History/Espanol/Documents/ISACA-Code-of-Ethics-Spanish.pdf (Traduzido)


ID
10600
Banca
ESAF
Órgão
CGU
Ano
2006
Provas
Disciplina
Segurança da Informação
Assuntos

As ferramentas utilizadas nas auditorias de Tecnologia da Informação normalmente auxiliam na extração e seleção de dados e podem fornecer relatórios com indicativos de desvios. Essas ferramentas e as técnicas por elas utilizadas proporcionam ao usuário vantagens como: ganho na produtividade, redução de custo e qualidade. Quanto a essas técnicas e ferramentas utilizadas nas auditorias de TI é correto afirmar que a técnica denominada "Rastreamento e Mapeamento" envolve

Alternativas
Comentários
  • Does anyone knows a trustfull source to answer this questions? I used only my common sence, whose weakness is highly error prone isn't it?
  • a - Descreve a Técnica da caixa branca
    b - ????
    c - Descreve a Técnica de Simulação paralela
    d - Descreve a Técnica de Test Deck

ID
10603
Banca
ESAF
Órgão
CGU
Ano
2006
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as seguintes afirmações relacionadas às responsabilidades da gerência quanto à manipulação e salvaguarda dos ativos da organização do ponto de vista de um processo de Auditoria de Controles de hardware, acesso, suporte técnico e operação de computadores.

I. A gerência é responsável por planejar e executar os backups dos servidores de banco de dados da organização.

II. A gerência é responsável por desenvolver os procedimentos de conscientização em todos os níveis da organização.

III. A gerência é responsável por implementar sistemas seguros para atender às políticas de Tecnologia da Informação.

IV. A gerência é responsável por realizar suporte técnico aos usuários do ambiente.

Indique a opção que contenha todas as afirmações verdadeiras.

Alternativas
Comentários
  • Não entendi a questão. Alguém poderia explicar e dar referência do pôrque a III está certa e a I errada pois ambas falam em gerentes "executar/implementar". Na verdade só acho que o II está correto.Por favor, me enviem mensagem também.
  • I - A realização dos Backups qualquer estagiário pode fazer desde que seja treinado para isso.

     

    III -  Criar metodologias de segurança só com autorização e aprovação dos Gerentes, não é pra qualquer um.

  • Uma dica: gerência não executa, cabe à operação tal atribuição. Portanto alternativas envolvidas com execuções operacionais não estão relacionadas aos gestores. 

    Alternativa correta: letra B - Assertivas II e III

ID
10612
Banca
ESAF
Órgão
CGU
Ano
2006
Provas
Disciplina
Segurança da Informação
Assuntos

Os objetivos da auditoria de plano de contingência e de recuperação de desastres de uma empresa são certificar-se de que

Alternativas
Comentários
  • Discutível a solução.
    Segundo a Universidade do Sul de Santa Catarina,2007, Auditoria de Sistemas Informatizados,asi.pdf:

    Estratégias de continuidade de negócios
    Esta é a fase onde são definidas as estratégias operacionais para a recuperação dos processos e dos componentes de negócios dentro
    do prazo de recuperação estipulado. Para que estas estratégias sejam realmente efetivas, uma boa política é dividi-las em dois planos distintos:
    um plano de recuperação de desastres, que seria o responsável pelas atividades relacionadas à recuperação ou substituição de componentes que falharam; e, um plano de contingência, que seria o responsável pelas atividades dos processos de negócios. A pessoa responsável por estas atividades deverá atingir os seguintes objetivos específicos:
    - identificar e analisar as possíveis alternativas para a continuidade de negócios disponíveis - esta análise deve conter vantagens e desvantagens, custos e recursos para auxiliar na tomada de decisão;
    - identificar estratégias de recuperação compatíveis com as áreas funcionais do negócio porque cada processo de negócios possui suas peculiaridades. Portanto, o plano deverá contemplar estas personalizações;
    - consolidar estratégias, reduzindo o risco de congelar o processo, pois na ocorrência de um sinistro a agilidade é uma característica a ser lembrada; e,
    - obter o comprometimento da classe executiva da empresa.

    Wikipedia:
    Tem o objetivo de descrever as medidas a serem tomadas por uma empresa, incluindo a ativação de processos manuais, para fazer com que seus processos vitais voltem a funcionar plenamente, ou num estado minimamente aceitável, o mais rápido possível, evitando assim uma paralisação prolongada que possa gerar maiores prejuízos a corporação.

    Portanto, segundo os textos acima, a resposta D também seria aplicável, e, caso a palavra 'possibilidade' altere o resultado, a resposta em questão deveria ser revista. Como visto, o OBJETIVO contempla as metas. No meu ver, não seria objetivo e sim execução.
    Gostaria de saber se estou equivocado.  
  • Nesse caso acho que a alternativa D esta errada devido a palavra "possibilidade". Vendo que em todos o cenarios de T.I é possivel fazer planos de contingencia... agora se fosse a palavra "necessario" talvez a resposta tambem estivesse correta


ID
10615
Banca
ESAF
Órgão
CGU
Ano
2006
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as seguintes afirmações relacionadas à emissão de relatórios de auditoria de sistemas de informação.

I. Um relatório de auditoria deverá ser emitido exclusivamente nos padrões da empresa realizadora da auditoria.

II. Um relatório de auditoria deverá apontar riscos em que a empresa incorre em decorrência das fraquezas apontadas.

III. Um relatório de auditoria deverá responsabilizar a alta administração da empresa quanto à elaboração de sugestões ou medidas de correção.

IV. Um relatório de auditoria deverá fazer um apontamento de prazos para implementações de medidas ou plano de ações.

Indique a opção que contenha todas as afirmações verdadeiras.

Alternativas

ID
121552
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

O dicionário de dados é uma das principais ferramentas para a
administração dos dados corporativos. Por meio da engenharia
reversa, pode-se armazenar os modelos de dados, as estruturas de
dados, seus relacionamentos e toda a documentação necessária para
garantir facilidade na localização e manipulação dos dados. Acerca
dos papéis do administrador de dados (AD) e dos dicionários de
dados, julgue os itens a seguir.

A detecção de erros, a criptografia e a auditoria nos dados não fazem parte das atribuições de um AD, visto que existem outros especialistas nesses assuntos.

Alternativas
Comentários

ID
148498
Banca
FCC
Órgão
MPU
Ano
2007
Provas
Disciplina
Segurança da Informação
Assuntos

Nas atividades operacionais de elaboração de um plano de contingência NÃO deverão envolver-se diretamente representantes das áreas de

Alternativas
Comentários
  • O principal objetivo do plano de contigência é manter sistemas (letra D) e operações (letra A) da TI em operação de maneira contínua e segura (letra B) para garantir a ininterrupção do negócio (letra C) da organização.
    A princípio, a auditoria não deve ser consultada... a princípio. Não impede que ela entre em um momento futuro.

ID
205510
Banca
FEPESE
Órgão
SEFAZ-SC
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à auditoria de segurança de sistemas, assinale a alternativa correta.

Alternativas
Comentários
  • B)
    Achados de Auditoria: É toda prova obtida pelo auditor, obtidos com a aplicação dos procedimentos de auditoria, para avaliar se os critérios estabelecidos estão sendo ou não atendidos. Ou seja, são fatos resultantes dos programas de auditoria que remetem a deficiências encontradas na entidade auditada.
    Seus requisitos básicos são:
     
    • mostrar a relevância do fato;
    • ser respaldado nos papéis de trabalho;
    • ser objetivo;
    • amparar as conclusões e recomendações;
    • ser convincente a uma pessoa estranha ao processo.
     
    fonte: http://pt.wikipedia.org/wiki/Auditoria
     
    Abraço e bons estudos.
    Marcelo
  • Minhas considerações, bem rápidas:

    A -> Incorreta, pois não necessariamente deve ser um colaborador interno, muitas orientações dizem até que ele deve ser de fora da organização, sem contato nenhum com ninguém de dentro da organização nem com os sistemas.

    B -> Correta, o auditor vai para "achar" alguma coisa. Ela pode ser boa ou ruim para a organização, por isso deve ser um fato que tenha relevância para a organização.

    C -> Incorreta, a auditoria não vai "implantar" nada e sim medir e verificar os controles que já deveriam estar implantados.

    D -> Incorreta, Todas as evidência das falhas e irregularidades devem ser encontradas na fase de execução e auditoria não corrige nada, ela "sugere" a correção.

    E -> Incorreta, estas são verdadeiramente técnicas que devem ser empregadas, de acordo com a necessidade, em ambientes que deve ser auditados.


    Espero ter ajudado!

  • Prezados,

    A alternativa A está errada pois o auditor pode ser externo a organização.
    A alternativa C está errada pois a auditoria de segurança da informação tem por objetivo auditar o cumprimento da política de segurança , e não a implantação dela.
    A alternativa D está errada pois as evidências das falhas são obtidas na fase de execução.
    A alternativa E está errada pois ferramentas computacionais de apoios são amplamente empregadas em auditoria de segurança.

    Portanto a alternativa correta é a letra B



ID
285997
Banca
FUNIVERSA
Órgão
SEPLAG-DF
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Auditoria de sistemas é o processo utilizado para o rastreamento de atividades realizadas pelo próprio sistema ou pelo usuário de um sistema de informação. Normalmente, tem o intuito de encontrar ações inadequadas que possam ter levado o sistema a um estado indesejável e, dessa forma, reprimir esse tipo de ação. Assinale a alternativa que apresenta o tipo de informação que se pode obter em um registro (log) de atividade de e-mail de um sistema.

Alternativas

ID
327121
Banca
FUNCAB
Órgão
IDAF-ES
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo a norma ABNT NBR ISO/ IEC 17.799:2005, mídias removíveis são classificadas como um tipo de ativo conhecido como:

Alternativas

ID
647644
Banca
FCC
Órgão
TCE-AP
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A técnica de auditoria denominada test-deck trata-se de

Alternativas
Comentários
  • teste deck corresponde a uma técnica que define um conjunto de dados a ser aplicado a um processo computacional ou a determinada rotina que o compõe com o intuito de verificar a sua lógica de processamento.
  • link interessante sobre a matéria:

    http://tecspace.com.br/paginas/aula/asi/aula05.pdf

ID
647647
Banca
FCC
Órgão
TCE-AP
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Para assegurar que as medidas de controle estabelecidas estejam funcionando como prescrito de maneira consistente e contínua e para concluir sobre a adequação do ambiente de controle, os passos de auditoria são estabelecidos, em uma guia de auditoria, na etapa

Alternativas
Comentários


  • http://www.sinfic.pt/SinficWeb/displayconteudo.do2?numero=24941
  • O programa de auditoria é um conjunto de procedimentos, que geralmente incluí:

    1. A obtenção do entendimento da área/negócio a ser auditado.

    2. A avaliação de risco e plano de auditoria geral.

    3.O planejamento detalhado da auditoria, incluindo todos os passos necessários para sua

    realização (cronograma)

    4. A Análise preliminar a área a ser auditada.

    5. A Avaliação da área a ser auditada.

    6. A Verificação e avaliação da adequação dos controles frente aos objetivos de controle.

    7. A verificação da conformidade (testes de controles).

    8. Os testes substantivos (que confirma a exatidão da informação).

    9. Relatórios (comunicação dos resultados).

    10. Acompanhamento das recomendações.


ID
815404
Banca
AOCP
Órgão
TCE-PA
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre o protocolo syslog, é correto afirmar que

Alternativas
Comentários
  • Gabarito A


    Syslog é um padrão criado pela IETF para a transmissão de mensagens de log em redes IP. O termo é geralmente usado para identificar tanto o protocolo de rede quanto para a aplicação ou biblioteca de envio de mensagens no protocolo syslog.


    O protocolo syslog é muito simplista: o remetente envia uma pequena mensagem de texto (com menos de 1024 bytes) para o destinatário (também chamado "syslogd", "serviço syslog" ou "servidor syslog"). Tais mensagens podem ser enviadas tanto por UDP quanto por TCP. O conteúdo da mensagem pode ser puro ou codificado por SSL.


    O protocolo syslog é tipicamente usado no gerenciamento de computadores e na auditoria de segurança de sistemas. Por ser suportado por uma grande variedade de dispositivos em diversas plataformas, o protocolo pode ser usado para integrar diferentes sistemas em um só repositório de dados.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

  • Segundo o comentario acima: "Syslog é um padrão criado pela IETF para a transmissão de mensagens de log em redes IP"

    Isso não torna a alternativa E certa?

  • O erro da alternativa E) está em dizer que os logs são multimídia. "Pegadinha do Malandro" kkk


ID
917287
Banca
ESAF
Órgão
MF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Em auditoria de sistemas, a técnica que fornece o conteúdo das variáveis do programa, quando determinado registro está sendo processado, é chamada

Alternativas
Comentários
  • Snapshot: técnica que fornece uma listagem ou gravação do conteúdo das variaveis do programa (acumuladores, chaves, áreas de armazenamento) quando determinado registro está sendo processado. A quantidade de situações a serem extraídas é predeterminada.  É uma técnica usada como auxilio a depuração de programas, quando há problemas e realmente exige fortes conhecimentos de PED (processamento eletrônico de dados) por parte do auditor de sistemas.

    fonte:
    http://paulosaeta.wordpress.com/2011/12/06/auditoria-em-sistemas-de-informacao/
  • d-

    a snapshot audit is a technique that consists of a series of sequential data captures. the snapshots are taken in a logical sequence that a transaction will follow. the snapshots produce an audit trail, which is reviewed by the auditor

    CANNON, David L. CISA Certified Information Systems Auditor Study Guide


ID
930790
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando o plano de continuidade de negócios e auditoria, julgue os itens a seguir.

A auditoria de sistemas de informação tem seu foco restrito aos sistemas de informação com suporte computacional em uso na organização.

Alternativas
Comentários
  • Não é voltado apenas para a computação. Questão errada


ID
930793
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando o plano de continuidade de negócios e auditoria, julgue os itens a seguir.

A auditoria de sistemas de informação compreende a análise e a avaliação dos processos de planejamento, desenvolvimento, testes e aplicação de sistemas, como também o exame das estruturas lógica, física, ambiental, organizacional e de controle, segurança e proteção de dados.

Alternativas

ID
957952
Banca
FCC
Órgão
SEFAZ-SP
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A auditoria da segurança da informação avalia a política de segurança e os controles relacionados adotados em cada organização. Nesse contexto, muitas vezes, as organizações não se preocupam, ou até negligenciam, um aspecto básico da segurança que é a localização dos equipamentos que podem facilitar a intrusão. Na auditoria de segurança da informação, esse aspecto é avaliado no Controle de :

Alternativas
Comentários
  • Não adianta cercar o sistema de chaves, senhas, backup automático, controle remoto, antivírus, firewall etc e tal, se o hardware fica numa sala em que qualquer um consegue entrar, sem câmera, sem controle físico, real...


ID
960205
Banca
FCC
Órgão
SEFAZ-SP
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A auditoria da segurança da informação avalia a política de segurança e os controles relacionados adotados em cada organização. Nesse contexto, muitas vezes, as organizações não se preocupam, ou até negligenciam, um aspecto básico da
segurança que é a localização dos equipamentos que podem facilitar a intrusão. Na auditoria de segurança da informação, esse aspecto é avaliado no Controle de

Alternativas
Comentários
  • acesso físico - Entendo ativos de redes como - servidores - estações de trabalhos entre outros, como equipamentos físicos.

     


ID
1042534
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação, julgue os itens subsequentes.

Ferramentas de auditoria de sistemas de informação devem ser armazenadas separadas dos dados e das ferramentas de sistemas em desenvolvimento ou em operação

Alternativas
Comentários
  • ISO 27002

    15.3.2 Proteção de ferramentas de auditoria de sistemas de informação

    Diretrizes para implementação

    Convém que acessos às ferramentas de auditoria de sistemas de informação, por exemplo,  software ou arquivos de dados, sejam separados de sistemas em desenvolvimento e em operação e não sejam mantidos em fitas de biblioteca ou áreas de usuários, a menos que seja dado um nível apropriado de proteção adicional.

    * Pela banca Cespe, marquei errado somente pelo termo  "devem", que transmite a ideia de obrigatoriedade e não uma recomendação. No entanto, o gabarito é CERTO.


  • O problema é que o Cespe não citou que se tratava da 27002, foi uma questão genérica. 

  • A auditoria não pode ser corrompida pelo mesmo meio que se tem os sistemas em operação. Os resultados precisam ser preservados e para isso, devem ser separados.


ID
1047193
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, com relação a auditoria, prevenção de intrusão e proxy.

Na auditoria de uma rede de computadores, podem ser verificados os serviços e portas de seus servidores. Para essa verificação, podem ser usadas ferramentas classificadas como scanners de vulnerabilidade.

Alternativas
Comentários
  • Um scanner de vulnerabilidades é um software que, dado um determinado alvo, seja ele um software, um computador ou um dispositivo de rede, irá analisá-lo em busca de vulnerabilidades existentes no alvo. O scanner irá, sistematicamente, testar o alvo em busca de pontos vulneráveis a ataques (senhas padrão, serviçosinseguros escutando emportas públicas, sistemas vulneráveis a falhas conhecidas, por exemplo). Pode ser utilizado tanto para prevenção, na busca de falhas para correção, quanto para ataques, na identificação de vulnerabilidades acessíveis ao atacante.


    Fonte: http://pt.wikipedia.org/wiki/Scanner_de_vulnerabilidades

  • Para complementar: uma das ferramentas que pode se utilizar é o scanner de portas chamado Nmap.

    http://pt.wikipedia.org/wiki/Nmap

  • acho que a questão fez uma confusão entre scanner de vulnerabilidade e port scanner, a definição dada na questão é de um port scanner. 

  • Questão estranha, caberia recurso.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Está correto, para se buscar vulnerabilidades são feitas varreduras em serviços, como: SNMP, SMTP, SMB, RPC.... alguns dos scanners de vulnerabilidades conhecidos são: NMAP, Strobe, NetCat, SuperScan.

  • Scanner de exemplo: nmap.

ID
1055572
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subsequentes no que se refere ao sistema de gestão de segurança da informação (SGSI).

Auditorias internas, que devem ser conduzidas no SGSI, podem ser feitas pela própria organização ou em nome da organização.

Alternativas
Comentários
  • CERTO

    Segundo a ISO 27001,"

    4.2.3 Monitorar e analisar criticamente o SGSI

    A organização deve:

    e) Conduzir auditorias internas do SGSI a intervalos planejados (ver seção 6).

    NOTA Auditorias internas, às vezes chamadas de auditorias de primeira parte, são conduzidas por ou em nome da

    própria organização para propósitos internos."


ID
1139467
Banca
Prefeitura do Rio de Janeiro - RJ
Órgão
TCM-RJ
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Uma das técnicas de auditoria de sistemas é conhecida como accountability e consiste em criar e implementar uma trilha de auditoria para acom- panhar os principais pontos de lógica do processamento das transações críticas, registrando seu comportamento e resultados para análise futura. As trilhas de auditoria são rotinas de controle que permitem recuperar de forma inversa as informações processadas, por meio da reconstituição da composição das mesmas, devidamente demonstradas, tanto de forma sintética como analítica, se necessário. Essa técnica é denominada:

Alternativas

ID
1195189
Banca
FUNIVERSA
Órgão
IFB
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca do conceito de auditoria na segurança da informação, assinale a alternativa correta.

Alternativas

ID
1214104
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de auditoria e conformidade, julgue os itens subsequentes, a respeito de segurança da informação.

Em uma auditoria, para a verificação dos sistemas operacionais, os processos do negócio seguem seu fluxo sem interrupções.

Alternativas
Comentários
  • O controle 15.3.1 da 27001 é descrito como: "

    Convém que requisitos e atividades de auditoria envolvendo verificação nos sistemas operacionais sejam cuidadosamente planejados e acordados para minimizar os riscos de interrupção dos processos do negócio. ".

    Acredito que o erro desta questão seja afirmar que não ocorram interrupções, enquanto a norma fala em minimizar.


ID
1214107
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de auditoria e conformidade, julgue os itens subsequentes, a respeito de segurança da informação.

Conformidade é um conceito relacionado à adesão dos sistemas de informação às políticas e às normas organizacionais de segurança da informação.

Alternativas
Comentários
  • Galera tomei como base para resolver a questão as normas ISO 27001 e 27002.

    Segundo a ISO 27001,Anexo A, "A.15 Conformidade

    A.15.1 Conformidade com requisitos legais

    Objetivo: Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.

    A.15.2 Conformidade com normas e políticas de segurança da informação e conformidade técnica

    Objetivo: Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação."

  • Essa questão foi retirada do objetivo de controle 15.2 da ISO 27002:2005:


    15.2 Conformidade com normas e políticas de segurança da informação e conformidade técnica

    Objetivo: Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação.

    Convém que a segurança dos sistemas de informação seja analisada criticamente a intervalos regulares.

    Convém que tais análises críticas sejam executadas com base nas políticas de segurança da informação apropriadas e que as plataformas técnicas e sistemas de informação sejam auditados em conformidade com as normas de segurança da informação implementadas pertinentes e com os controles de segurança documentados.

  • A Auditoria em Segurança da Informação busca medir o quanto o

    sistema está em conformidade com um conjunto de critérios

    estabelecidos.

    A Conformidade está relacionado com a adesão dos sistemas de

    informação às políticas e às normas organizacionais de segurança da

    informação.

    Gabarito: Certo.


ID
1214110
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de auditoria e conformidade, julgue os itens subsequentes, a respeito de segurança da informação.

Atividades de usuários, exceções e outros eventos são registros ou logs de eventos produzidos e mantidos pela instituição, mas, por constituírem eventos qualitativos, não são objetos apropriados para futuras investigações ou auditorias.

Alternativas
Comentários
  • Em uma investigação qualquer informação é válida para apreciação.

  • Eventos qualitativos também são passíveis de mensuração e classificação. Além disso, são informações importantes que não devem ser desprezadas para futuras investigações ou auditorias.


ID
1214113
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de auditoria e conformidade, julgue os itens subsequentes, a respeito de segurança da informação.

A regulamentação de controles de criptografia obriga a conformidade do uso de criptografia com leis, acordos e regulamentações pertinentes.

Alternativas
Comentários
  • 15.1.6 Regulamentação de controles de criptografia. Convém que os seguintes itens sejam considerados para conformidade com leis, acordos e regulamentações relevantes:

    • Restrições à importação e/ou exportação de hardware e software de computador para execução de funções criptográficas;
    • Restrições à importação e/ou exportação de hardware ou software de computador que foi projetado para ter funções criptográficas embutidas;
    • Restrições no uso de criptografia;
    • Métodos mandatários ou discricionários de acesso pela autoridades dos países à informação cifrada por hardware ou software para fornecer confidencialidade ao conteúdo.

    http://pt.wikipedia.org/?title=ISO/IEC_17799

  • Essa questão é complicada de adivinhar o que o examinador quer .... na ISO 27002(17999) usa-se o termo "Convém" dando a ideia de sugestão, contudo na ISO 27001, há o uso do termo "deve" dando-nos uma ideia de obrigatoriedade, e esta questão não menciona nenhuma norma. 

    Como o colega citou a ISO 17999, cito aqui a ISO 27001.

    "

    A.15.1.6 Regulamentação de controles de criptografia

    Controle

    Controles de criptografia devem ser usados em conformidade com leis, acordos e regulamentações relevantes."

    Questões assim são de pura sorte.

  • A palavra "Obriga" deixa a questão errada.

  • Obriga por força da lei a meu ver.. marquei certo.

  • ah mano, tá zuando né?

    está CERTO sim CESPE!!! se não atender a lei vai para a cadeia, fecha a empresa, paga multa (vou até pegar meu resumo de autoexecutoriedade aqui, já que desse jeito estou acertando mais de Dir. Administrativo do que de TI, mesmo sendo de TI!!!)

  • Gente, a norma ISO não obriga ninguém a nada. São apenas diretrizes...

  • Gabarito Errado

    Extrapolou... "obriga".

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Altamente anulável.

    A própria Cespe se contradiz em outra questão da mesma prova:

    Considerando o que dispõe a NBR ISO/IEC 27005, julgue os itens subsecutivos.

    Requisitos legais e regulatórios a serem necessariamente atendidos pela organização devem fazer parte do escopo da gestão de riscos de segurança da informação.

    https://www.qconcursos.com/questoes-de-concursos/questoes/750709ac-09

  • uma hora a cespe usa o convém e dá errado, outra hora ela usa deve e dá certo... que coisa não?

  • Questão muito vaga. como colocaram. Apesar do título segurança da informação, não dá pra tirar uma conclusão pq não é possivel inferir se trata da ISO 27001:2013. Se trata da ISO 27001:2013, a questão esta errada, veja:

    10.1 Controles Criptográficos

    Convém que seja desenvolvida e implementada uma politica sobre o uso de controles criptogråficos para a protecäo da informacäo (identificar o nivel requerido de protecäo dos dados, papéis e responsåveis)[1][2]. 

    Quanto à colocação do colega "CincoQuatroTres", vejo que trata-se de um caso distinto deste questao(Considerando que Conformidade é a propriedade que garante que o sistema deve seguir as leis e regulamentos associados a este tipo de processo):

    Vamos à questão dele:

    Requisitos legais e regulatórios a serem necessariamente atendidos pela organização devem fazer parte do escopo da gestão de riscos de segurança da informação.

    Essa questao trata da gestão de riscos em SI, que é regida por outra norma, que é a ISO 27005.

    São questões diferentes, respondidas por normas diferentes.

    Fontes:

    [1] ISO 27002:2013

    [2] Estratégia


ID
1214116
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de auditoria e conformidade, julgue os itens subsequentes, a respeito de segurança da informação.

A execução correta dos procedimentos de segurança da informação, em conformidade com normas e com a política de segurança da empresa, deve ser garantida pelos vários gestores, cada um em sua área.

Alternativas
Comentários
  • Texto retirado da seção 15. Conformidade, da norma NBR ISO/IEC 27002:2005. Transcrevo o controle inteiro abaixo:


    15.2.1 Conformidade com as políticas e normas de segurança da informação

    Controle
    Convém que gestores garantam que todos os procedimentos de segurança da informação dentro da sua área de responsabilidade estão sendo executados corretamente para atender à conformidade com as normas e políticas de segurança da informação.

    Diretrizes para implementação
    Convém que os gestores analisem criticamente, a intervalos regulares, a conformidade do processamento da informação dentro da sua área de responsabilidade com as políticas de segurança da informação, normas e quaisquer outros requisitos de segurança.

    Se qualquer não-conformidade for encontrada como um resultado da análise crítica, convém que os gestores:

    1. a)  determinem as causas da não-conformidade;

    2. b)  avaliem a necessidade de ações para assegurar que a não-conformidade não se repita;

    3. c)  determinem e implementem ação corretiva apropriada;

    4. d)  analisem criticamente a ação corretiva tomada.

    Convém que os resultados das análises críticas e das ações corretivas realizadas pelos gestores sejam registrados e que esses registros sejam mantidos. Convém que os gestores relatem os resultados para as pessoas que estão realizando a análise crítica independente (ver 6.1.8), quando a análise crítica independente for realizada na área de sua responsabilidade.

    Informações adicionais
    A monitoração operacional de sistemas em uso é apresentada em 10.10. 


  • Atualização na norma 27002:2013:


    "18 Conformidade

    18.2.2 Conformidade com as políticas e procedimentos de segurança da informação"

  • deve é diferente de covém.

    Acho que ninguem recorreu


ID
1238044
Banca
FCC
Órgão
MPE-MA
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando o Modelo de Requisitos MoReq - Jus, versão 1.2, do Conselho Nacional de Justiça, são abordados diversos aspectos referentes à funcionalidade, visando a gestão de processos e documentos. Em particular, o subitem Trilha de Auditoria está inserido na funcionalidade

Alternativas

ID
1348876
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que concerne aos controles previstos na série ISO 27000, assinale a opção correta.

Alternativas
Comentários
  • ✅Gabarito(B)

    Como fui de A, eis o erro dela:

    A) Registros (log) de auditoria contendo atividades dos usuários, exceções e outros eventos de segurança da informação devem ser produzidos e mantidos por um período de tempo acordado para auxiliar em futuras investigações e monitoramento de controle de acesso.

    B) Gabarito

    C)Para fins de auditoria, todas as informações relacionadas a acesso e alteração de dados, configurações de sistema, e demais informações devem ser armazenadas.

    D) Os registros de Log de auditoria devem conter, datas, horários e detalhes de eventos-chaves, como por exemplo, horário de entrada(log-on) e saída(log-off) no sistema.

    Deve haver sincronização com horários.

    E) Convém que os procedimentos documentados sejam preparados para as atividades operacionais associadas a recursos de processamento de comunicação e informações, tais como procedimentos de inicialização e desligamento de computadores, geração de cópias de segurança (backup), manutenção de equipamentos, tratamento de mídias, segurança e gestão do tratamento das correspondências e das salas de computadores.

    Esta documentação visa a utilização de forma adequada aos ativos, que seja comunicada e não "não autorizada".

    Fonte:NBR ISO/IEC 27002:2005 10.10.1 Registros de Auditoria

    NBR ISO/IEC 27002:2013 12.1.1 Documentação dos procedimentos de operação


ID
1616935
Banca
ZAMBINI
Órgão
PRODESP
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

O problema da segurança da informação digital é um desafio relevante nas sociedades atuais, devido ao crescente uso da Tecnologia da Informação (TI), pois cada vez mais a informação digital é um “patrimônio” para as organizações. De um lado, constata-se que a TI vem auxiliando a realização automatizada das diversas atividades associadas aos negócios ou campos de atuação das organizações. Por outro lado, estas crescentes automatizações (dos processos organizacionais) podem permitir a ocorrência de riscos de ataques ao ambiente computacional das organizações, permitindo, por exemplo, a revelação e/ou modificação não autorizada de informações digitais, bem como possibilitando algum tipo de fraude. Por esta razão, é imperioso o uso de controles, ou seja, medidas de segurança da informação de caráter técnico, organizacional ou humano para diminuir tais problemas, principalmente em sistemas críticos como os existentes em sistemas criptográficos. De acordo com pesquisa de segurança da informação, realizada nos Estados Unidos, “ameaças como vírus, acesso não autorizado, furto de notebook e roubo de informação proprietária das organizações são responsáveis por mais de 70 % das perdas financeiras das empresas” [Gordon et al. (2006)].

Com base nos conceitos, metodologias e objetivos da auditoria, julgue corretamente as afirmativas como verdadeiras (V) ou falsas (F) e assinale a alternativa correspondente


I - Na auditoria, com o registro muito grande de eventos, haverá problemas de espaço para tanta informação, lentidão do sistema e acúmulo demasiado de informações. Registrando pouco, corre-se o risco de não identificar justamente aquela ação que permitiria desvendar o problema.


II – Quando o objetivo da auditoria é a detecção de invasões do sistema, a melhoria do sistema ou mesmo a prevenção pela detecção de tentativas de quebra de segurança, é imprescindível que a trilha de auditoria seja periodicamente revista


III – Nem todo usuário deve ser responsabilizado por seus atos.


IV - No dimensionamento da trilha de auditoria, deve-se sempre trabalhar com valores folgados, a fim de evitar ao máximo de se atingir a situação limite. O administrador deve ser avisado o mais rápido possível da proximidade de exaustão da trilha.

Alternativas
Comentários
  • "Nem todo usuário deve ser responsabilizado pelos seus atos" Accountability foi pras Picas com essa banca

  • Gabarito Errado!

    Alternativa II

    Correta!

    Quando o objetivo da auditoria é a detecção de invasões do sistema, a melhoria do sistema ou mesmo a prevenção pela detecção de tentativas de quebra de segurança, é imprescindível que a trilha de auditoria seja periodicamente revista. Nada adiantará registrar todos os eventos se ninguém observar o resultado final para verificar se existe algum ponto fraco ou se ocorreu alguma invasão. Caso o objetivo da auditoria seja apenas o atendimento a questões legais ou a responsabilização em caso de quebra de segurança, é aconselhável um processo simples de revisão e apenas quando ocorrer um fato que gere essa necessidade.

    Fonte: ISO/IEC 15.408

    https://www.projetoderedes.com.br/aulas/ugb_auditoria_e_analise/ugb_auditoria_e_analise_de_seguranca_aula_04.pdf

    Alternativa III

    Correta!

    Todo usuário deve ser responsabilizado por seus atos.

    Fonte: Auditoria em Sistemas de Informação – Trilhas de Auditoria  - Cleber dos Santos, Danilo Dias, Francisco Braz e Juliano de Andrade - MBA Gestão de Sistemas de Informação – Universidade Católica de Brasília (UCB)


ID
1616938
Banca
ZAMBINI
Órgão
PRODESP
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em auditoria de sistemas, ponto de controle é:

Alternativas
Comentários
  • Encontrei esse trecho em um TCC:

     

    Gil (1999) afirma que ponto de controle é a situação do ambiente computacional caracterizada pelo auditor como de interesse para validação e avaliação. Um ponto de controle, também pode ser caracterizado como uma combinação de rotinas e informações operacionais de controle.

     

    Fonte: Roteiro para Elaboração de Programas de Auditoria Em Sistema ERP - Mauricio Modesto


ID
1659103
Banca
NC-UFPR
Órgão
ITAIPU BINACIONAL
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança de dados e sistemas é elemento central na estratégia de TI das corporações. Garantir que os dados, bem como os sistemas que os manipulam, estejam protegidos, exige o uso de diversas técnicas na área de tecnologia. Nesse contexto, assinale a alternativa correta.

Alternativas
Comentários
  • Gabarito C

    Uma Política de Segurança da Informação tem por objetivo possibilitar o gerenciamento da segurança em uma organização, estabelecendo regras e padrões para proteção da informação. A política possibilita manter a confidencialidade, garantir que a informação não seja alterada ou perdida e permitir que a informação esteja disponível quando for necessário.

    Os controles devem ser definidos levando em conta as características de cada empresa, definindo o que é permitido e o que é proibido. A implantação, para ser bem sucedida, deve partir da diretoria da empresa para os demais funcionários (abordagem top down). A política deve ser divulgada para todos os funcionários da organização, de forma a manter a segurança das informações.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
1764262
Banca
CESPE / CEBRASPE
Órgão
TCE-RN
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item a seguir, acerca de gestão de segurança da informação à luz das normas ISO/IEC 27001 e 27002.

Um dos objetivos das auditorias internas do SGSI é determinar se seus controles são executados conforme esperado.

Alternativas
Comentários
  • CERTO.

    Segundo a ISO 27001,"6 Auditorias internas do SGSI

    A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI:

    d) são executados conforme esperado.

    "

  • É a etapa que da vida ao SGSI. Suas atividades devem estabelecer políticas, objetivos, processos e procedimentos para a gestão de segurança da informação. São os instrumentos estratégicos fundamentais para que a organização possa integrar suas a segurança da informação às políticas e objetivos globais da organização.

    Requisitos da Norma ISO 27001 para esta etapa:

    Definição do escopo do SGSI (a quais processos organizacionais, departamentos e partes interessadas se aplica). A Política do SGSI (que inclui objetivo, diretrizes, alinhamento ao negócio, critérios de avaliação de riscos, dentre outros aspectos). Abordagem de gestão (a metodologia da organização utilizada para identificação, análise, avaliação e tratamento de riscos). Objetivos de controle e controles selecionados (a empresa deve declarar quais medidas foram selecionadas para tratar a segurança da informação). Declaração de aplicabilidade (com os objetivos de controle selecionados).

    https://www.portalgsti.com.br/2016/12/sistema-de-gestao-de-seguranca-da-informacao-sgsi.html

  • GABARITO: CERTO.


ID
1839079
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de gestão da segurança da informação, julgue o item a seguir.

A gerência da auditoria de segurança engloba, entre outros aspectos, a administração da política de segurança e os procedimentos de recuperação após desastres; além disso, é de responsabilidade dessa gerência a constante atualização com respeito a problemas e riscos de segurança.

Alternativas
Comentários
  • Muita responsabilidade para um gerência só. Questão Errada.

  • A responsabilidade de operacionalização é da equipe de gestão de segurança da informação

  • Gabarito: ERRADO

    A primeira parte da questão está correta. O problema surge na responsabilidade. A auditoria faz os apontamentos e aponta as ações que devem ser tomadas. Nesse caso, a própria ação seria de manter uma rotina de atualização a respeito dos problemas e riscos de segurança.

    No entanto, a responsabilidade de operacionalização é da equipe de gestão de segurança da informação.


ID
1872160
Banca
CESPE / CEBRASPE
Órgão
Telebras
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item a seguir, referente a firewalls, proxies e sistemas de detecção de intrusão.


Os logs de auditoria constituem importante fonte de informação para as análises realizadas por sistemas de detecção de intrusão baseados em hosts.

Alternativas
Comentários
  • CERTO.

    Segundo Nakamura(2010,p.270),"O sistema de detecção de intrusão baseado em host(HIDS) faz o monitoramento do sistema, com base em informações de arquivos de logs ou agentes de auditoria."

     

    -SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010.

  • O IDS conhecido como HIDS baseia-se em hosts e monitora e analisa informações coletadas neste host através de logs e eventos.

    Portanto questão CERTA

  • HIDS (IDS DE HOST): encontra-se instalado em cada máquina monitorada, para analisar os eventos gravados nos arquivos de log, ou pelos agentes de auditoria. Funciona como última linha de defesa, no caso do ataque ter sido bem sucedido e ter conseguido atravessar o firewall e o NIDS.

    Com o HIDS é possível detectar as seguintes situações: Uso não correto e exagerado da memória; Processos cujo comportamento é suspeito Conexões suspeitas na rede; Utilização da CPUUtilização de System Calls; Uso detalhado do disco

  • Logs são, basicamente, registros feito pelos dispositivos. Ora, se eu vou fazer uma análise em algum sistema ou dispositivo, é claro que eu vou precisar verificar os logs (registros) feitos por esse sistema/dispositivo.

    Gab.: Certo


ID
1872334
Banca
UPENET/IAUPE
Órgão
Facepe
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de auditoria de sistemas, analise as afirmativas abaixo, colocando F nas Falsas e V nas Verdadeiras. 

( ) O auditor de sistemas desempenha o papel de assessoria da alta administração e, até, do conselho da administração.

( ) O auditor de sistemas em operação necessariamente deve desenvolver conhecimento acerca de documentação de sistemas.

( ) O auditor de sistemas em desenvolvimento necessariamente deve desenvolver conhecimento acerca de apuração de custos administrativos, técnicos e operacionais na área de tecnologia da informação. 

Assinale a alternativa que apresenta a sequência CORRETA. 

Alternativas
Comentários
  • O auditor de sistemas em operação necessariamente deve desenvolver conhecimento acerca de documentação de sistemas?

    Sei não, ein, na minha opinião essa afirmativa é falsa. Se a auditoria é sobre operações, não é obrigatório que o auditor desenvolva o mencionado conhecimento.

    Se alguém tiver alguma informação com referêcia, por favor.

     

    Vamos na fé.

  • O assunto conforme o enunciado é sobre auditoria de sistemas.

    Gabarito: B

    O auditor de sistemas desempenha o papel de assessoria da alta administração e até do conselho de administração. Verdadeiro.

    O auditor de computador necessita do conhecimento das áreas de Auditoria, Sistemas da Informações e Processamento de Dados(PED). Dessa forma, a carreira do auditor de sistemas impõe treinamento constante e forte embasamento cultural. Verdadeiro.

    O auditor não precisa saber de custos administrativos. Falso.

    Fonte:http://tecspace.com.br/paginas/aula/asi/aula04.pdf


ID
1875019
Banca
IESES
Órgão
BAHIAGÁS
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a norma ABNT NBR ISO/IEC 27001 de 2013, a organização deve conduzir auditorias internas do SGSI. Assinale a alternativa INCORRETA.

Alternativas
Comentários
  • Os intervalos devem ser planejados e não determinados

    9.2 Auditoria interna
    A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre o quanto o sistema de gestão da segurança da informação:
    a) está em conformidade com:
    1) os próprios requisitos da organização para o seu sistema de gestão da segurança da informação;
    2) os requisitos desta Norma;
    b) está efetivamente implementado e mantido.

    Organização deve:
    a) planejar, estabelecer, implementar e manter um programa de auditoria, incluindo a frequência, métodos, responsabilidades, requisitos de planejamento e relatórios. Os programas de auditoria devem levar em conta a importância dos processos pertinentes e os resultados de auditorias anteriores;
    b) definir os critérios e o escopo da auditoria, para cada auditoria;

    c) selecionar auditores e conduzir auditorias que assegurem objetividade e imparcialidade do processo de auditoria;
    d) assegurar que os resultados das auditorias são relatados para a direção pertinente.
    e) reter a informação documentada como evidência dos programas da auditoria e dos resultados da auditoria.

    Norma 27001/2013 pg 14

  • Ah sim, os requisitos do parceiro nunca estarão no nosso SGSI, a nossa empresa é que estará no deles!

  • A intervalos determinados???? A norma não diz assim.

     

    "A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre o quanto o SGSI está em conformidade com os requisitos da organização e com os requisitos desta norma. (...)"

     

     

    .: Obs: Não concordo com o gabarito. Marquei C.

    .

    .

    .

    At.te

    Foco na missão 

  • Acredito que a colega Lopes leu o enunciado da questão com desatenção, visto que é pedido a ALTERNATIVA INCORRETA.

    O erro da alternativa A, validando como gabarito da questão, está em mencionar intervalos determinados, sendo o correto intervalos planejados

    Alternativa A:

    "A organização deve conduzir auditorias internas do SGSI a intervalos determinados pela direção......"

    "9.2 Auditoria interna

    A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre o quanto o sistema de gestão da segurança da informação:

    a) está em conformidade com:

    1) os próprios requisitos da organização para o seu sistema de gestão da segurança da informação; ALTERNATIVA C

    2) os requisitos desta Norma; ALTERNATIVA B

    b) está efetivamente implementado e mantido. ALTERNATIVA E

    Organização deve:

    a) planejar, estabelecer, implementar e manter um programa de auditoria, incluindo a frequência, métodos, responsabilidades, requisitos de planejamento e relatórios. Os programas de auditoria devem levar em conta a importância dos processos pertinentes e os resultados de auditorias anteriores;

    b) definir os critérios e o escopo da auditoria, para cada auditoria;

    c) selecionar auditores e conduzir auditorias que assegurem objetividade e imparcialidade do processo de auditoria; ALTERNATIVA D

    d) assegurar que os resultados das auditorias são relatados para a direção pertinente.

    e) reter a informação documentada como evidência dos programas da auditoria e dos resultados da auditoria.


ID
1932202
Banca
FCC
Órgão
TRT - 14ª Região (RO e AC)
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Com estes dados podem-se identificar e corrigir falhas da estratégia de segurança. Ao definir o que será registrado, é preciso considerar que quantidades enormes de registros podem ser inviáveis de serem monitoradas. Para auxiliar a gerência de segurança na árdua tarefa de análise, podem ser previamente definidas trilhas de auditoria mais simples e utilizados softwares especializados disponíveis no mercado, específicos para cada sistema operacional.

O texto refere-se

Alternativas
Comentários
  • Login ≠ logon Tem o mesmo significado que "login". Os dois termos possuem uma tradução ligeiramente difernete, "logon" seria "logar em" ou "logar sobre" enquanto "login" seria "logar no" ou "logar dentro", mas a idéia transmitida é a mesma ou seja: fornecer uma senha ou algum outro tipo de credencial para ganhar acesso a determinado sistema.

    O termo "logon" é adotado dentro da documentação sobre redes Windows disponibilizada pela Microsoft, por isso é adotado em relação a redes Microsoft de uma forma geral (como em: efetuar logon no domínio) e em documentação sobre servidores Samba, enquanto o termo login é usado em outras situações (como em: forneça sua senha para fazer o login no sistema).

    O termo login também é popularmente usado com relação a contas de acesso (como em: seu login é Manuel e sua senha é 12345), neste caso o login é a conta do usuário e não o ato de usá-la para fazer login no sistema.

  • Resposta correta: B

    A retenção de logs e registros é fundamental para processos de auditoria. Entretanto, armazenar esses dados de forma incontrolada e imprudente pode gerar problemas diversos à Organização, como a falta de capacidade de armazenamento e retenção de dados desnecessários.

    André Castro - estratégia concursos

  • Palavras chaves: Corrigir falhas, registro cronológico.


ID
1984927
Banca
FCC
Órgão
Copergás - PE
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação à proteção e recuperação da informação, um Analista de TI sugeriu, corretamente, que na COPERGÁS

Alternativas
Comentários
  • A) ERRADO. Justificativa: Evitar redundância? Claro que não, redundância é um mecanismo de proteção/recuperação.

     

    B) ERRADO. Justificativa: Evidente que os clusters NÃO são suficientes.

     

    C) ERRADO. Justificativa: Evidente que o backup não é suficiente.

     

    D)ERRADO.  Justificativa: NÃO garante, não existe essa garantia.

     

    Obs: Atente-se a essas questões muito restritivas/impositivas, normalmente estão ERRADAS.

     

    E) CERTO.

     

    Fonte: Nobre Nobre e o bom senso aplicado ao caso concreto.

  • Concordo, Nobre Nobre.

    As bancas costumam gostar dos termos "garante", "suficiente", "desnecessário" e vários outros para comporem afirmações falsas.

    Essa, por exemplo, utilizando esse pensamento, deu para responder por eliminação. É claro que não é só esse o critério que deve ser utilizado para a resolução de questões assim, mas é um complemento eficiente.

     

    Vamos na fé.


ID
2522920
Banca
FCC
Órgão
DPE-RS
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

Um Pentester está atuando no processo de auditoria de segurança da informação de uma organização e iniciou os testes de intrusão sem qualquer tipo de informação sobre a infraestrutura de sistemas e de rede da empresa que será auditada. Ele está realizando um teste

Alternativas
Comentários
  • White Box

    Todas as informações do cliente sobre a rede, servidores, banco de dados e sistemas que estão inclusos no escopo do teste de invasão, e demais informações de acesso aos mesmos, são fornecidas para que possam ser realizados testes extensivos e com mais abrangência.

     

    Black Box

    É o tipo de análise mais próximo de uma ataque externo, pois nenhuma informação vinda do cliente é fornecida ao analista de teste.

     

    Grey Box

    Esse tipo de análise pode ser considerado um mix dos anteriores, pois o analista de teste recebe alguma informação do cliente, como: dados da infraestrutura da rede ou acesso à determinado serviço web.

     

    Fonte: http://www.auzac.com.br/testes-de-invasao/tipos-de-pentest/

  • Complementando a resposta do colega, o gabarito é a letra B, pois nesse caso o Pentester não possuía nenhuma informação para a realização do teste.

  • Gabarito: B

     

    As categorias descrevem, com base na taxonomia do processo de teste, como é a base de informações possuída para a execução do mesmo. O modelo dos testes é categorizado então em white-box, gray-box e black-box.

     

    White-box descreve o modelo de teste no qual o tester detém o completo conhecimento sobre a infraestrutura a ser testada, como discutido em [34] e [45].

     

    Black-box, em contraponto, assume que não há nenhum conhecimento a priori sobre o ambiente o qual se quer aplicar o teste. Nota-se que a maioria dos trabalhos, principalmente em torno de ferramentas de descoberta de vulnerabilidade, executam testes do tipo black-box, como em [17], [48] e [59], por exemplo.

     

    Já os testes que são do tipo gray-box representam o meio termo entre os categorizados anteriormente, onde a quantidade de informações a respeito do alvo não são totais mas também não são inexistentes. Entre os artigos analisados, [28] traz um exemplo de aplicação de teste gray-box.

     

    Excelente trabalho sobre o tema abordado, segue a fonte abaixo:

    http://www.pucrs.br/facin-prov/wp-content/uploads/sites/19/2016/03/tr084.pdf


ID
2624245
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à análise de linha do tempo e à aquisição de dados em memória, julgue o seguinte item.


A análise de linha do tempo de eventos de interesse forense requer a existência sistematizada de registros de logs dos sistemas periciados para ser realizada, sendo sua aplicação limitada à análise forense de sistemas corporativos que dispõem desses recursos.

Alternativas
Comentários
  • A análise de linha do tempo de eventos de interesse forense requer a existência sistematizada de registros de logs dos sistemas periciados para ser realizada, sendo sua aplicação limitada à análise forense de sistemas corporativos que dispõem desses recursos.

    Quer dizer agora que registro de log só serve para análise forense. Aí não né! Também serve para restaurar o sistema quando falta energia....

    Gabartiro: Errado

  • Não apenas sistemas corporativos que dispões desses recursos. Sistemas mais simples também.

  • ...limitada...

    quando a questão limitar/menosprezar tende 95% pra ta errada!

  • A análise de linha do tempo de eventos de interesse forense requer a existência sistematizada de registros de logs dos sistemas periciados para ser realizada, sendo sua aplicação limitada à análise forense de sistemas corporativos que dispõem desses recursos.

    MINHA INTERPRETAÇÃO -> "sendo sua aplicação limitada à análise forense" ERRADO, análise de logs serve, também, para verificar e compreender erros no PC.;

    "sistemas corporativos que dispõem desses recursos." todo PC, basicamente, conta com registro de logs.

    ERROS? FAVOR CORRIGIR! Grato.

    GAB. ERRADO.

  • Um outro erro é que a análise da linha de tempo se baseia nas informações dos MAC Times e não nos registros de log.

    A sigla MAC Times está relacionada aos carimbos de tempo (timestamps) da última modificação ou última escrita (Modification), acesso (Access) ou mudança (Change) de determinado arquivo.

    Para saber mais como é feito a análise da linha de tempo na ferramenta Autospy: https://www.sleuthkit.org/autopsy/timeline.php

    Espero ter ajudado.


ID
2680213
Banca
CESPE / CEBRASPE
Órgão
EBSERH
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o próximo item, a respeito da segurança da informação.


Uma auditoria no plano de continuidade de negócios de uma organização precisa verificar se o plano é exequível e se o pessoal está treinado para executá-lo.

Alternativas
Comentários
  • Gabarito Certo

    Exequíveis é o plural de exequível. O mesmo que: executáveis, factíveis, possíveis, praticáveis, realizáveis.

    Significado de exequível

    Que se consegue executar, fazer; executável: projeto exequível.Que pode ser realizado, desenvolvido ou feito; realizável.Que oferece as condições necessárias para sua realização; possível.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Mas na continuidade, não quer dizer que o plano já é exequível e só estão dando continuidade?... tá blz né...

     

  • Gabarito Certo para os não assinantes.

     

    A questão foi tirada da cartilha Auditoria da Segurança da informação do TCU  (página 39) 

     

    Existindo um plano, utilizar os procedimentos de auditoria associados para verificar se este é exequível, se está atualizado, e se o pessoal está treinado para executá-lo.

     

    (1º arquivo que aparece na busca)

    https://www.google.com.br/search?q=Harley+Alves+Ferreira+Novembro+de+2009&rlz=1C1AVFC_enBR751BR751&oq=Harley+Alves+Ferreira+Novembro+de+2009&aqs=chrome..69i57.653j0j7&sourceid=chrome&ie=UTF-8

  • Vlw Ibsen Perito. Já ia procurar no google kkkk

  • vó já dizia: leve a teoria para a prova!

    porque isso ai na prática é NÃO NECESSÁRIAMENTE!.

  • GABARITO: CERTO. ✔

    DICIONÁRIO DA CESPE

    ADSTRITA que está ligado

    ALIJADO Retirado

    APÓCRIFA Anônimo

    ARROLAR Pôr em Rol, em Lista, Relacionar em Listagem

    ASSAZ Muito, Bastante, Suficiente

    ATIPICO Não previsto na lei

    CURATELA Decidir ou Agir em Favor do Deficiente

    COOPTAR Aceitar alguém sem o cumprimento das formalidades

    COMUTAR Realizar Toca, Permutar

    DEFESO Proibido, que Não é Permitido

    DENEGAR Negar, Dispensar, Abdicar

    DISSÍDIO COLETIVO Ações ajuizadas no Tribunal para solucionar conflitos entre as partes coletivas que compõem uma relação de trabalho

    DEPREENDE Explicito

    DESPEITO Independente

    EIVAR Contaminar, Manchar, Corromper, Contagiar, Viciar

    ELIDIR Excluir por completo

    ENSEJAR ser a Causa ou o Motivo de, Justificar

    ESMERO Cuidado Extremo

    EXACERBAR Agravar

    EXEQUÍVEL → Que se consegue Executar, Fazer

    EXIMIR Dispensar, Isentar

    IMISCUIR Interferir, Intrometer-se

    IMPRESCINDIVEL Precisa, Indispensável

    INDEPENDE Desprezível, Não Depende

    INFERIR Implícito

    INCÓLUME Ileso

    INTEMPESTIVA Fora do prazo legal

    JJus postulandi Entrar com uma ação sem o advogado

    NÃO PRESCINDE Precisa, Indispensável

    NORTEIA-SE Baseia-se, porém NÃO SE LIMITA

    ÓBICE aquilo que Obsta, Impede; Empecilho, Estorvo

    OBSTA Impede, Dificulta

    OPONÍVEL Oposto a algo, se Opõe, Contrário

    PRESCINDIR Não Precisa, Dispensável

    PRONAÇÃO Pronunciar

    PRETERIR Desprezar, Menosprezar, Desconsiderar, Ignorar, Rejeitar

    PROLATADA Proferido, Enunciado, Promulgado

    PEÇA APÓCRIFA Denúncia Anônima

    RESCINDIR Anular, Cancelar

    RESTRINGIR Limitar, Reduzir

    RESIGNAR Aceitar sem questionar, Conformar-se Sem se Opor

    SILENTE Silencioso

    SUBJACENTE (SUBJAZ) Implícito, Escondido

    SUSPEIÇÃO Dúvida, Desconfiança, Suspeita

    SUPERVENIÊNCIA Posterior

    TIPICO Previsto em lei

    TEMPESTIVA Dentro do prazo legal

    ULTERIOR Posterior

    VICEJA Germinar, Crescer, Desenvolver

    __________________________________________

    '' Se baixar a guarda o CESPE acerta o queixo ''


ID
2950801
Banca
FGV
Órgão
DPE-RJ
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a norma ABNT NBR ISO/IEC 27001:2013, uma organização deve programar auditorias internas a fim de verificar a aderência da conformidade do sistema de gestão da segurança da informação aos seus requisitos e à legislação vigente.


Sobre a realização da auditoria interna, é correto afirmar que:

Alternativas
Comentários
  • GABARITO D

     

     

    a) Oscritérios de verificação devem ser sempre os mesmos, independentemente do escopo ou do processo da organização a ser auditado; 

    b) Os auditores não devem conhecer e considerar os resultados das auditorias anteriores para não influenciarem o trabalho de verificação;

    c) Os auditores devem ser do próprio setor auditado a fim de possibilitar o aproveitamento de seu conhecimento acerca das atividades desenvolvidas;

    d) Os resultados das auditorias devem ser de conhecimento da direção responsável pelo setor auditado; 

    e) Os relatórios das auditorias podem ser descartados na ausência de inconformidades.

  • Auditoria interna:

    .: Deve levar em conta auditorias anteriores;

    .: Deve definir escopo e critérios para cada auditoria;

    .: Deve ter auditores que assegurem objetividade e imparcialidade no processo;

    .: Relatar o resultado à direção;

    .: Reter (salvar) a informação documentada.

    .

    .

    At.te

    Foco na missão ❢

  • Na Avaliação do Desempenho da norma ISO 27001, devem ser conduzidas auditorias internas a intervalos regulares e a Alta Direção deverá analisar criticamente o SGSI, também a intervalos regulares, para assegurar a contínua adequação, pertinência e eficácia. Analisando os itens:

    a) cabe à organização definir o que será medido e monitorado, definindo o escopo da auditoria para cada auditoria. Item errado;

    b) os programas de auditoria devem levar em consideração a importância dos processos pertinentes e os resultados de auditorias anteriores. Item errado;

    c)  a norma recomenda que os auditores selecionados devem ser objetivos e imparciais, logo, não cabe que os auditores sejam do próprio setor auditado. Item errado;

    d) assegurar que os resultados das auditorias são relatados para a direção pertinente é recomendação da norma. Item correto;

    e) a informação documentada deve ser retida, mesmo na ausência de inconformidades, a título de evidência de que o programa de auditoria realmente ocorreu.

    Resposta certa, alternativa d).

  • Assertiva D

    os resultados das auditorias devem ser de conhecimento da direção responsável pelo setor auditado;


ID
3135988
Banca
Exército
Órgão
EsFCEx
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Uma das maneiras de manter uma empresa segura de forma digital é aplicar a verificação, análise crítica e avaliação (Norma ISO ABNT NBR ISO/IEC 27002:2013, seção 17.1.3).

Uma empresa multinacional, após uma auditoria, percebeu que existiam falhas de segurança de rede entre as filiais e nas redes internas de algumas filiais. Uma simulação foi aplicada pela equipe da auditoria, e dados, com conteúdo sigiloso, foram obtidos.


A falha obtida pela auditoria foi capturada por meio de um teste de

Alternativas
Comentários
  • Letra A

  • Teste de intrusão(ou "pen-test") é um método que avalia o sistema de segurança de um computador ou rede.

  • Técnicas de intrusão: obtém acesso a um sistema ou aumenta a gama de privilégios

    Exige que o intruso adquira informações que deveriam ter sido protegidas.

    Duas contramedidas principais: detecção e prevenção

    Uma ferramenta fundamental para detecção de intrusão é o registro de auditoria

    gabarito a

    fonte: Criptografia e Stalings capitulo 18


ID
3379660
Banca
INSTITUTO AOCP
Órgão
UFOB
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

A norma ISO 27001 é o padrão e a referência internacional para a gestão da segurança da informação. Sobre suas características, julgue o item a seguir.


Um programa de auditoria interna deve ser planejado levando em consideração a situação e a importância dos processos e áreas a serem auditadas, bem como os resultados de auditorias anteriores. Os critérios da auditoria, escopo, frequência e métodos devem ser definidos. A seleção dos auditores e a execução das auditorias devem assegurar objetividade e imparcialidade do processo de auditoria. Os auditores não devem auditar o seu próprio trabalho.

Alternativas
Comentários
  • Definição corretíssima

  • 6 - Auditorias internas do SGSI

    A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos eprocedimentos do seu SGSI:

    a) atendem aos requisitos desta Norma e à legislação

    ou regulamentações pertinentes;

    Fonte: Slides grancursos online prof- Jósis Alves.

  • Assertiva CORRETA.

    .

    .

    6 Auditorias internas do SGSI 

    A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos 

    de controle, controles, processos e procedimentos do seu SGSI: 

    a) atendem aos requisitos desta Norma e à legislação ou regulamentações pertinentes; 

    b) atendem aos requisitos de segurança da informação identificados; 

    c) estão mantidos e implementados eficazmente; e 

    d) são executados conforme esperado. 

    Um programa de auditoria deve ser planejado levando em consideração a situação e a importância dos processos 

    e áreas a serem auditadas, bem como os resultados de auditorias anteriores. Os critérios da auditoria, escopo, 

    freqüência e métodos devem ser definidos. A seleção dos auditores e a execução das auditorias devem assegurar 

    objetividade e imparcialidade do processo de auditoria. Os auditores não devem auditar seu próprio trabalho.

  • GABARITO: CERTO.


ID
3539029
Banca
INSTITUTO AOCP
Órgão
ITEP - RN
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Na administração de segurança, os arquivos de log de um sistema estão relacionados a qual propósito?

Alternativas
Comentários
  • Barbaridade!

    O gabarito é A, mas a correta mesmo é a C.

    Os logs são as fontes de dados onde buscamos quem fez o que, quando, onde e mais detalhes do evento. Isso garante que o usuário não negue ou não possa negar o que deixou de fazer.

  • Registro de eventos (LOGS)

    Registro de atividades de diversos tipos, podem ficar armazenados em banco de dados, na memória do computador, entre outros. Por meio dos logs é possível:

    Logs sao essenciais para notificacão de incidentes, pois permitem que diversas informações importantes sejam detectadas, como por exemplo: a data e o horário em que uma determinada atividade ocorreu, o fuso horário do log, o endereco IP de origem da atividade, as portas envolvidas e o protocolo utilizado no ataque (TCP, UDP, ICMP, etc.), os dados completos que foram enviados para o computador ou rede e o resultado da atividade (se ela ocorreu com sucesso ou nao).

    Como o LOG tem essa função de verificar os acessos indevidos e ataques de força bruta conclui que são usados como uma forma de auditoria de segurança.

    Letra A

    fonte: cartilha de segurança

  • Trata-se de uma questão sobre segurança da informação.

    O comando da questão pergunta qual o propósito dos arquivos de log de um sistema.

    Vamos para as alternativas.

    A) Certo. O LOG mostra o que foi realizado no sistema, e quem realizou, isso serve para que possa ser inspecionado o que foi e não foi realizado no sistema.

    B) Errado. 
    O LOG não garante que as transações serão integras, ele pode até ajudar a identificar transações irregulares, mas por si só o log não garante a integridade das transações.

    C) Errado. 
    O LOG não garante o não repúdio, esse poderia ser atingido com o uso de assinatura digital por exemplo, mas não pelo mero uso de um LOG.

    D) Errado. 
    De forma nenhuma o LOG será capaz de garantir a disponibilidade dos serviços. O LOG é apenas um arquivo de registro, se o servidor, por exemplo, cair, vai gerar indisponibilidade, com ou sem log.

    E) Errado. 
    Por si só o log não gera confiabilidade nas transações, ele pode até ajudar na identificação de transações irregulares, mas por si só não vai gerar confiabilidade.


    Gabarito do Professor: Letra A.

ID
3539089
Banca
INSTITUTO AOCP
Órgão
ITEP - RN
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre as finalidades da auditoria de segurança, informe se é verdadeiro (V) ou falso (F) o que se afirma a seguir e assinale a alternativa com a sequência correta.


( ) Assegurar a correta operação de um computador no que diz respeito à segurança.

( ) Definir quais são os mecanismos ideais para garantir a segurança de uma rede.

( ) Gerar dados para analisar um ataque, seja ele bem sucedido ou não.

( ) Fornecer dados para a identificação de um comportamento anômalo.

( ) Manter registros que podem ser utilizados em uma análise forense.

Alternativas
Comentários
  • Questão de 2018 e não tem comentário de professor! que desrespeito com os alunos !

  • O QC não tem professores de TI não. E se tem, é igual ao Lombardi da SBT, nunca vi.

    (V) Assegurar a correta operação de um computador no que diz respeito à segurança.

    Comentário: Através da auditoria é possível direcionar ações para assegurar o que a assertiva afirma.

    (F) Definir quais são os mecanismos ideais para garantir a segurança de uma rede.

    Comentário: Auditorias não define mecanismos em nenhum negócio, ela audita/verifica tais mecanismos em busca de confirmar o de acordo ou não.

    (V) Gerar dados para analisar um ataque, seja ele bem sucedido ou não.

    Comentário: Não precisa comentar.

    (V) Fornecer dados para a identificação de um comportamento anômalo.

    Comentário: Não precisa comentar.

    (V) Manter registros que podem ser utilizados em uma análise forense.

    Comentário: Não precisa comentar.

  • Trata-se de uma questão sobre segurança da informação.

    O comando da questão pede que a gente assinale V ou F nos itens sobre auditoria de segurança, vamos ver os itens.

    (V) Uma auditoria de segurança visa sim assegurar a correta operação de um computador no que diz respeito à segurança.

    (F) A auditoria não visa definir os mecanismos ideias, isso seria um estudo de um novo projeto de segurança, a auditoria visa identificar se o que foi implementado funciona corretamente.

    (V) Uma das formas de você proceder com uma auditoria seria gerar os dados de um ataque para analisar esses dados e ver se o comportamento do sistema foi o esperado.

    (V) Dentre os trabalhos de uma auditoria, poderia ser fornecido os dados de um determinado ambiente para se identificar um comportamento anômalo.

    (V) Uma auditoria de sistema teria também como finalidade manter os registros (e atestar que eles estão sendo corretamente armazenados) que podem ser utilizados em uma análise forense.

    Então encontramos a sequência V - F - V - V - V.


    Gabarito do Professor: Letra D.

ID
4947442
Banca
CESPE / CEBRASPE
Órgão
TCE-AC
Ano
2006
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item subseqüente, referente a conceitos e aplicabilidade de mecanismos de segurança.


Análise de logs é uma das maneiras de se gerar auditoria em sistemas de informação.

Alternativas
Comentários
  • Assertiva C

    Análise de logs é uma das maneiras de se gerar auditoria em sistemas de informação.

    logs  = processar toda a informação gerada e correlacioná-la com o objetivo de identificar situações de interesse.

  • Gabarito Certo. Segue uma matéria interessante a respeito:

    Um arquivo de log é um registro contínuo e com registro de data e hora de eventos e mensagens gerados automaticamente por seus sistemas de TI e aplicativos de software. Eles registram o que aconteceu, quando e por quem. Esses eventos e mensagens são gravados em um único arquivo de log ou residem em muitos arquivos localmente ou em locais remotos.

    O registro em log é o ato de coletar dados não estruturados como uma trilha de auditoria para análise de causa raiz, bem como transmissão ao vivo de atividade. Eles podem ser encontrados em servidores, computadores, sistemas operacionais, redes, aplicativos, encadeamentos, estruturas de aplicativos e contêineres. Eles podem registrar falhas, exceções, ajudar a depurar erros, identificar violações de segurança e fornecer informações úteis para os desenvolvedores analisarem. 

    Os dados encontrados nos logs podem ser desestruturados e estruturados de várias maneiras. Na sua forma mais básica, há um timestamp, nível e mensagem. Outros detalhes podem incluir o nome do host, tipo de log, aplicativo, tags, endereço IP, endereço MAC e status do soquete TCP. Há também muitos formatos de tipos de log, como o formato de log comum, eventos do Windows, syslog, JSON, Cron e muito mais.

    Os logs geralmente são criados pelos desenvolvedores para depurar a operação de um aplicativo ou para entender o comportamento do usuário. Isso significa que os dados dentro da mensagem de log podem variar entre desenvolvedores, aplicativos, fornecedores e sistemas.

    fonte:

    https://linuxsolutions.com.br/sistema-de-gerenciamento-de-logs-como-funciona/

    ou

    http://www.ezequieljuliano.com.br/?p=76


ID
5545984
Banca
AMEOSC
Órgão
Prefeitura de Bandeirante - SC
Ano
2021
Provas
Disciplina
Segurança da Informação
Assuntos

O procedimento é realizado periodicamente e avalia toda a infraestrutura interna da empresa. O objetivo é identificar problemas de segurança que possam representar riscos e ameaças para a organização. Toda essa avaliação tem como base os mais elevados padrões de proteção contra-ataques de hackers e outros problemas de segurança, como perda de dados e a dificuldade de comunicação.


Marque a alternativa CORRETA que está relacionado ao contexto acima de um procedimento de rede.

Alternativas
Comentários
  • GABARITO A

    Auditoria: coletar informações sobre o uso dos recursos tecnológicos de cada usuário;

    • Coleta em tempo real;
    • Coleta em batch (gravação);

  • Isso é noções de info ou adm?
  • Vamos lá.

    Poderia surgir dúvidas entres as letras A e E.

    A letra E se relaciona com o enunciado uma vez que é necessário monitorar os controles dentro das organizações, contudo, quando o enunciado diz que é realizada  "Toda essa avaliação.." percebe-se que o procedimento realizado foi mais profundo e está mais relacionado com a atividade de auditoria.

    Foco!