Question

Av - Subst. 2 - Segurança e Auditoria de Sistemas

1) As empresas utilizam software de diferentes funções, e a abordagem das empresas para o uso é variada. Há empresas que realizam o desenvolvimento do software internamente, enquanto há outras empresas que terceirizam o desenvolvimento para uma empresa especializada. E há ainda as empresas que adquirem o software a ser utilizado pela empresa. E, uma vez definido o software, há outros elementos relevantes, como o modelo de operação do software, que pode ser interno, em um provedor de nuvem, ou no modelo de uso direto no fornecedor, no modelo de Software as a Service (SaaS).

Considere as seguintes afirmações:

i. Controles devem ser aplicados para a aquisição de sistemas, como os requisitos de segurança
ii. Controles devem ser aplicados para o desenvolvimento, como nos processos de desenvolvimento
iii. Controles devem ser aplicados na manutenção de sistemas, como os processos de mudança
iv. Controles devem ser aplicados nos fornecedores, como os provedores de nuvem
Indique se as afirmações são (V) Verdadeira ou (F) Falsa, considerando o contexto da questão.

Alternativas:
a) F, F, F, V
b) V, V, V, F
c) V, V, V, V
d) F, V, V, F
e) F, V, V, V

2) O NIST Cybersecurity Framework define um conjunto de controles que incluem: gerenciamento automatizado de contas, gerenciamento automatizado de contas temporárias e emergenciais, desabilitação de contas, ações automatizadas de auditoria, logout de inatividade, gerenciamento dinâmico de privilégios, contas de usuários privilegiados, gerenciamento dinâmico de contas, restrição de uso de contas compartilhadas e de grupos, credenciais de contas compartilhadas e de grupos, condições de uso e monitoramento de contas para uso atípico.

A auditoria em empresas deve considerar a avaliação da eficiência e eficácia deste conjunto de controles citados. Sobre qual assunto estes controles estão relacionados?

Alternativas:
a) Gerenciamento de usuários
b) Gerenciamento de firewall
c) Gerenciamento de VPN
d) Gerenciamento de backup
e) Gerenciamento de monitoramento

3) Um exemplo de risco é o acesso não autorizado às informações da empresa a partir de credenciais de funcionários que não trabalham mais para a empresa e não foram removidas. Um controle interno que pode ser utilizado é o processo para a área de recursos humanos criar um chamado no help desk para desabilitar a conta do funcionário, que podem ser removidas completamente após um período como seis meses.

Qual conjunto de técnicas ou ferramentas o auditor pode utilizar para verificar a eficiência e eficácia deste controle?

Alternativas:
a) Pentest e análise de código
b) Ferramentas de extração e análise de dados
c) COBIT e ITIL
d) Análise do processo, busca do chamado e validação dos usuários do sistema
e) Pentest e análise do processo

4) Uma auditoria de segurança engloba um conjunto de elementos, como as configurações dos sistemas operacionais, compartilhamentos de redes, aplicações e acessos, e também a validação de processos e do nível de maturidade em segurança dos usuários.

Alguns assuntos que são normalmente alvos de auditoria são:
i. Backups, para verificar se é feito e se está íntegro;
ii. Acesso físico, para evitar acessos indevidos de pessoas não autorizadas;
iii. Atualização de software, para verificar se os sistemas estão em versões livres de vulnerabilidades;
iv. Vulnerabilidades, para identificar pontos fracos que podem ser explorados em ataques.
Quais assuntos citados acima são objetos de auditoria?

Alternativas:
a) I, ii, iii e iv
b) Somente i e ii
c) Somente i, ii e iii
d) Somente ii e iii
e) Somente i, ii e iii

5) As técnicas e ferramentas para auditoria podem ser de diferentes tipos, e dentre exemplos estão ferramentas generalistas de auditoria de TI, ferramentas especializadas de auditoria e programas utilitários em geral. Os programas utilitários em geral executam algumas funções muito comuns, tais como ordenar um arquivo, concatenar textos, sumarizar e gerar relatórios.

Qual a função dos programas utilitários em geral para a auditoria?

Alternativas:
a) Executar a auditoria de uma forma automatizada
b) Auxiliar o auditor na análise e validação de evidências
c) Planejar a auditoria
d) Analisar a segurança do sistema
e) Analisar os riscos

Answer 1

Resposta:

Resposta:

1 - C -  V, V, V, V

2 - A  - Gerenciamento de usuário

3 - C - Análise do processo, busca do chamado e validação dos usuários do sistema

4 - A - I, ii, iii e iv

5 - B - Auxiliar o auditor na análise e validação de evidências