AUDITORIA DE SISTEMAS

LISTA DE EXERCÍCIOS NP2

1. Assinale a opção que descreve corretamente um firewall.

a. Um dispositivo de segurança de rede que monitora o tráfego de entrada e saída, e admite ou

bloqueia tráfegos específicos de acordo com as regras de segurança estabelecidas.

b. Um antivírus que atua diretamente na conexão de uma rede interna, protegida, com o mundo
exterior, de acordo com o tipo de malware a ser evitado.

c. Um nome genérico para um conjunto de procedimentos que realizam a autenticação de usuários

de aplicações Web em uma rede protegida.

d. Um processo de criptografia dedicado aos procedimentos de codificação/decodificação do

tráfego de entrada e saída de uma rede protegida.

e. Um servidor de nomes Web, utilizado para converter as palavras que compõem uma URL para o
endereço IP correspondente.

2. A autenticação de usuários para acesso restrito aos sistemas de informações pode ser feita pelo uso
de senhas, tokens e sistemas biométricos. Os tokens são:

a. objetos que o usuário possui, que o diferencia das demais pessoas e o habilita a um
determinado acesso.

b. sistemas automáticos de verificação de identidade baseados em características físicas do

usuário, como impressões digitais, configuração da íris e da retina, voz, geometria da mão e
aspectos faciais.

c. senhas fortes bem definidas e cartões inteligentes com microprocessadores como os bancários,
telefônicos e de crédito.

d. sistemas mais seguros do que os biométricos, que suprem as deficiências de segurança dos
dados biométricos.

3. O conjunto de procedimentos e ações que são utilizados para adquirir informações de uma
organização ou de uma pessoa por meio de contatos falsos sem o uso da força, do arrombamento
físico ou de qualquer brutalidade é denominado

a. Requisitos informacionais de segurança.

b. Vulnerabilidade de ativos informacionais.

c. Engenharia social.

d. Ataque do tipo exploitation.

e. Engenharia reversa.
 AUDITORIA DE SISTEMAS
LISTA DE EXERCÍCIOS NP2

4. A norma ISO 27002 estabelece que o objetivo da classificação das informações (atribuição de grau
de confidencialidade) é a garantia de que os ativos de informação receberão um nível de proteção
adequado. Ainda segundo a norma, as informações devem ser classificadas para indicar a
necessidade, as prioridades e o grau de proteção. Com base nesse objetivo, a norma estabelece
diretrizes para essa classificação, entre as quais se inclui a de

a. atribuir o processo de revisão do nível de confidencialidade de um documento à alta gerência.

b. manter a responsabilidade pela atribuição do nível de confidencialidade de um documento com o

setor de TI.

c. manter os rótulos de classificação originais nos documentos oriundos de outras organizações.

d. manter o princípio de equidade que garante aos funcionários com funções similares o mesmo
direito de acesso às informações classificadas.

e. rotular as informações e as saídas geradas pelos sistemas que tratam dados confidenciais,
segundo seu valor e sensibilidade para a organização.

5. No Brasil, a NBR ISO27002 constitui um padrão de recomendações para práticas na gestão de

Segurança da Informação. De acordo com o estabelecido nesse padrão, três termos assumem papel
de importância capital: ​confidencialidade​, ​integridade​ e ​disponibilidade​. Defina-os.

6. Uma organização faz com que cada administrador de sistema seja responsável pela segurança do
sistema que ele executa. No entanto, o gerenciamento determina quais programas devem estar no
sistema e como eles devem ser configurados.

a. Descreva os problemas de segurança que essa divisão de poder criaria.

b. Como você os consertaria?

7. A segurança da informação deve ser observada durante todo o ciclo de vida da informação. Quais as
fases do ciclo de vida da informação?

8. O que é classificação da informação e qual a sua importância?

9. Malwares são programas especificamente desenvolvidos para executar ações danosas e atividades
maliciosas em equipamentos. Descreva as seguintes classes de malwares:

a. Vírus
 AUDITORIA DE SISTEMAS
LISTA DE EXERCÍCIOS NP2

b. Worm

c. Cavalo de Tróia

d. Ransomware

10. As falhas decorrentes da interação (ou operacionais) ocorrem durante o uso do sistema e em função
da interação deste com o ambiente e com os usuários, de problemas na configuração ou da
mudança de parâmetros operacionais, da instalação, da manutenção ou da atualização do sistema.
Geralmente essas falhas ocorrem devido a uma vulnerabilidade. O que é uma vulnerabilidade? E
como pode ser classificada?

11. O acesso aos recursos de um sistema operacional requer a autenticação do usuário. Essa
autenticação pode ser realizada por meio de senhas de acesso. Entretanto, essa forma de
autenticação pode sofrer ataques. Para tornar mais robusta a autenticação e reduzir a probabilidade
de ataques bem sucedidos, pode ser adotado um mecanismo de autenticação multifatores. Defina
autenticação e como ocorre a autenticação multifatores.

12. Um atacante (agente de ameaça) pode oferecer uma ameaça a um sistema que se encontra em
estado de vulnerabilidade podendo efetuar um ataque. Por isso é importante haver um controle
sobre as vulnerabilidades para minimizar a probabilidade de chance de falha e impactos
indesejados. Estas ameaças podem ser divididas em 4 classes: divulgação, decepção, interrupção e
usurpação. Defina cada uma destas classes de ameaças.

13. (FCC 2006 – INSS Perito Médico) Dadas as seguintes declarações:

I. Programas que se replicam e se espalham de um computador a outro, atacando outros

programas, áreas ou arquivos em disco.

II. Programas que se propagam em uma rede sem necessariamente modificar programas nas
máquinas de destino.

III. Programas que parecem ter uma função inofensiva, porém, têm outras funções sub-reptícias.

Os itens I, II e III correspondem, respectivamente, a ameaças programadas do tipo:

a. cavalo de tróia, vírus e worms.

b. worms, vírus e cavalo de tróia.

c. worms, cavalo de tróia e vírus.

d. vírus, worms e cavalo de tróia

 AUDITORIA DE SISTEMAS
LISTA DE EXERCÍCIOS NP2

e. vírus, cavalo de tróia e worms.

14. (ESAF 2007 – SEFAZ CE – Auditor Fiscal) Nos sistemas de Segurança da Informação, existe um
método que ____________________________. Este método visa garantir a integridade da
informação. Escolha a opção que preenche corretamente a lacuna acima.

a. valida a autoria da mensagem

b. verifica se uma mensagem em trânsito foi alterada

c. verifica se uma mensagem em trânsito foi lida por pessoas não autorizadas

d. cria um backup diferencial da mensagem a ser transmitida

e. passa um antivírus na mensagem a ser transmitida

15. Considere as afirmações abaixo relativas à norma ISO ABNT NBR ISO/IEC 27002:2013, seção 8.2 –
Classificação da informação.

I. A rotulagem de informação e de ativos relacionados pode ter efeitos negativos, visto que ativos
classificados são mais fáceis de identificar e, consequentemente, facilitam o roubo por pessoas
que circulam no ambiente.

II. A responsabilidade da classificação da informação é do proprietário do ativo de informação.

III. O objetivo da classificação da informação é garantir o armazenamento e a recuperação da

informação de forma segura.

Quais estão corretas?

a. Apenas I.

b. Apenas II.

c. Apenas III.

d. Apenas I e II.

e. I, II e III.

16. Cerca de 51% das empresas brasileiras disseram ter sido vítimas de um ataque do tipo ransomware no
ano passado. Ransomware é um tipo de software maligno que impede o acesso dos usuários aos
sistemas da empresa vítima. O ataque costuma codificar os dados da vítima, que só poderá recuperar
o acesso se obtiver uma chave de acesso. O principal meio de infecção continua sendo o email e as
 AUDITORIA DE SISTEMAS
LISTA DE EXERCÍCIOS NP2

páginas web com uso de engenharia social, e a propagação na rede através de exploração de
vulnerabilidades. Outro facilitador são as permissões administrativas atribuídas aos usuários comuns
da rede.

Fonte:​ Internet: <www.exame.com.br> (com adaptações).

A gestão de ativos é um dos principais conceitos abordados na gestão de segurança da informação.

São controles da gestão de ativos:

a. responsabilidade pelos ativos, dispositivos móveis e trabalho remoto, classificação da informação.

b. responsabilidade pelos ativos, gerenciamento de mídias removíveis, dispositivos móveis e

trabalho remoto.

c. controle de acesso dos ativos, teste de segurança do sistema, dispositivos móveis e trabalho
remoto.

d. teste de segurança do sistema, tratamento de mídias, criptografia.

e. classificação da informação, responsabilidade pelos ativos e tratamento de mídias.

17. Em relação à Segurança da Informação, analise as afirmações a seguir.

I. Não é papel do usuário do computador se preocupar com a segurança da informação, quando uma
organização possui uma equipe dedicada a tratar exclusivamente desse assunto.

II. O firewall é o primeiro sistema de detecção de intrusão que deve ser instalado no perímetro da
rede de computadores de uma organização, ou seja, entre a rede local e a Internet.

III. Um programa de auditoria interna deve ser planejado levando em consideração a situação e a
importância dos processos e áreas a serem auditadas, bem como os resultados de auditorias
anteriores. Os critérios da auditoria, escopo, frequência e métodos devem ser definidos. A seleção
dos auditores e a execução das auditorias devem assegurar objetividade e imparcialidade do
processo de auditoria. Os auditores não devem auditar o seu próprio trabalho.

Quais estão corretas?

a. Apenas I.

b. Apenas II.

c. Apenas III.

d. Apenas I e II.
 AUDITORIA DE SISTEMAS
LISTA DE EXERCÍCIOS NP2

e. I, II e III.

18. Um departamento de uma organização mantém o seu próprio ambiente de dados, com unidades de
rede não acessíveis a outros setores da empresa.

Nesse caso, o princípio crítico de segurança aplicado é o da:

a. ação preventiva.

b. autenticidade.

c. confiabilidade.

d. confidencialidade.

e. Disponibilidade.

19. Um dos desafios atuais da segurança da informação é o crescente uso de BYOD (​bring your own
device​, ou, em português, traga seu próprio dispositivo) nas instituições. ​Notebooks, tablets e
principalmente ​smartphones estão invadindo as redes institucionais. Nesse contexto, são necessárias
políticas, procedimentos e tecnologias especializadas acerca do tema. Com base na NBR ISO/IEC n.º
27002, em uma política de dispositivos móveis, é correto:

a. validar informações de entrada no sistema somente quando todos os dados de entrada estiverem
completos e íntegros, em conformidade com as boas práticas.

b. separar o uso do dispositivo para negócio e para fins pessoais, incluindo os ​softwares para apoiar
essa separação e proteger os dados do negócio em um dispositivo privado.

c. monitorar as condições ambientais, como temperatura e umidade, para a detecção de condições

que possam afetar negativamente as instalações de processamento da informação.

d. avaliar regularmente a referida política quanto à sua capacidade de atender ao crescimento do

negócio e às interações com outras utilidades.

e. segregar as funções de controle de acesso como, por exemplo, pedido de acesso, autorização de
acesso e administração de acesso.

20. A respeito das políticas de segurança da informação nas organizações, julgue os itens a seguir.
 AUDITORIA DE SISTEMAS
LISTA DE EXERCÍCIOS NP2

I. Essas políticas provêm fundamentos conceituais para a construção de uma infraestrutura de

segurança da informação nas organizações.

II. Devem-se evitar, nas políticas de segurança, definições de papéis internos à organização ou de
diretrizes de acessos a recursos, em razão do nível de detalhamento exigido nessas definições.

III. Uma política de segurança da informação deve identificar realisticamente os recursos

informacionais, as atividades e operações críticas da organização, além de apoiar a gestão da
segurança da informação.

IV. A definição da política de segurança da informação deve contemplar requisitos oriundos de

ameaças identificadas para a segurança da informação da organização, atuais e futuras.

Estão certos apenas os itens:

a. I e II.

b. I e III.

c. II e IV.

d. I, III e IV.

e. II, III e IV.

21. A Tecnologia da Informação (TI) exerce papel cada vez mais relevante para as instituições da
Administração Pública Federal (APF). Por isso, tem crescido também a importância de se proteger as
informações e os ativos de TI com relação aos riscos e às ameaças que se apresentam nessa área.

Disponível em:​ ​<www4.planalto.gov.br/cgd/assuntos/publicacoes/ 2511466.pdf>.

Acesso em: 22 abr. 2018, com adaptações.

Com base nas informações apresentadas, é correto afirmar que confidencialidade de informações
consiste na:

a. garantia da veracidade da fonte das informações.

b. garantia da prestação contínua do serviço, sem interrupções no fornecimento de informações para

quem é de direito.

c. garantia de que somente pessoas autorizadas tenham acesso às informações armazenadas ou

transmitidas por meio de redes de comunicação.
 AUDITORIA DE SISTEMAS
LISTA DE EXERCÍCIOS NP2

d. fidedignidade de informações. Sinaliza a conformidade de dados armazenados com relação às

inserções, às alterações e aos processamentos autorizados efetuados. Sinaliza, ainda, a
conformidade dos dados transmitidos pelo emissor com os recebidos pelo destinatário.

e. garantia de que as informações estejam acessíveis às pessoas e aos processos autorizados, a

qualquer momento requerido, durante o período acordado entre os gestores da informação e a área
de informática.

22. O planejamento da política de segurança deve ser realizado tendo como diretriz o caráter geral e
abrangente de todos os pontos, incluindo as regras que devem ser obedecidas por todos. Essas regras
devem especificar quem pode acessar quais recursos, quais os tipos de uso permitidos no sistema,
bem como os procedimentos e controle necessários para proteger as informações. Assinale a
alternativa que apresente uma visão geral do planejamento.

a.

b.

c.

d.

e.

23. A maior parte dos problemas que ocorrem em relação à segurança da informação é gerada por pessoas
que tentam obter algum tipo de benefício ou causar prejuízos às organizações. Para garantir a
segurança adequada em uma organização, as seguintes medidas de segurança devem ser aplicadas,
EXCETO:
 AUDITORIA DE SISTEMAS
LISTA DE EXERCÍCIOS NP2

a. avaliar os riscos à segurança.

b. implementar controles de segurança.

c. rever a política de segurança de forma constante.

d. manter uma tabela atualizada com todas as senhas da organização.

e. monitorar e manter a eficácia dos controles de segurança.

24. Assinale a alternativa que descreve corretamente um fator crítico de sucesso para a implantação da
segurança da informação dentro de uma organização:

a. Análise/avaliação e gestão de risco, por parte dos diretores da organização, para avaliar os pontos
de falha no cumprimento das políticas de segurança da informação e propor melhorias nos
processos organizacionais de gestão de incidentes de segurança da informação.

b. Comprometimento e apoio visível dos funcionários da organização, engajados na determinação e

no cumprimento das políticas de segurança da informação, objetivos e atividades, que reflitam os
objetivos do negócio.

c. Prover mecanismos para alocação emergencial de recursos financeiros para as atividades de

combate a incidentes de segurança da informação através da contratação de auditoria
especializada.

d. Divulgação eficiente da segurança da informação, incluindo a distribuição de diretrizes e normas

sobre a política de segurança da informação, para todos os gerentes, funcionários e outras partes
envolvidas para se alcançar a conscientização.

25. Sobre segurança da informação, considere:

I. Ameaça​: algo que possa provocar danos à segurança da informação, prejudicar as ações da
empresa e sua sustentação no negócio, mediante a exploração de uma determinada
vulnerabilidade.

II. Vulnerabilidade​: é medida pela probabilidade de uma ameaça acontecer e pelo dano potencial à
empresa.

III. Risco​: ponto pelo qual alguém pode ser atacado, molestado ou ter suas informações corrompidas.

Está correto o que se afirma APENAS em:

a. II e III.
 AUDITORIA DE SISTEMAS
LISTA DE EXERCÍCIOS NP2

b. III.

c. I.

d. I e II.

e. I e III.

26. A ocorrência de um roubo de computadores na organização, caso aconteça, provocará a perda de

ativos materiais e informações. Este contexto representa o conceito de

a. Vulnerabilidade.

b. Impacto.

c. Probabilidade.

d. Risco.

e. Ameaça.

27. Analise as seguintes afirmações relacionadas à Segurança da Informação:

I. Uma Vulnerabilidade é um evento com conseqüências negativas resultante de um ataque

bem-sucedido.

II. Uma Ameaça é uma expectativa de acontecimento acidental ou proposital, causada por um
agente, que pode afetar um ambiente, sistema ou ativo de informação.

III. A Vulnerabilidade é uma fonte produtora de um evento que pode ter efeitos adversos sobre um
ativo de informação.

IV. O Ataque é um evento decorrente da exploração de uma vulnerabilidade por uma ameaça.

Indique a opção que contenha todas as afirmações verdadeiras.

a. I e II.

b. II e III.

c. III e IV.

d. I e III.

e. II e IV.
 AUDITORIA DE SISTEMAS
LISTA DE EXERCÍCIOS NP2

28. Tendo como referência a figura abaixo, que propõe uma classificação de controles de segurança,
julgue os itens a seguir:

a. São exemplos de controles físicos: guardas armados, detecção de intrusão em redes de

computadores e monitoramento de incêndio e umidade.

b. São exemplos de controles administrativos: as políticas de segurança, os procedimentos de

classificação da informação e a identificação e autenticação de sistemas.