LISTA DE EXERCÍCIOS - NP2

AUDITORIA DE SISTEMAS

1. No contexto da Segurança da Informação, qual a definição de Risco?

2. No contexto da Segurança da Informação, qual a definição de Ameaça?

3. No contexto da Segurança da Informação, qual a definição de Vulnerabilidade?

4. Quais as ações que uma organização deve executar para melhorar continuamente a eficácia do
SGSI?

5. ​Assinale a opção que descreve corretamente um firewall.

a. Um dispositivo de segurança de rede que monitora o tráfego de entrada e saída, e admite ou

bloqueia tráfegos específicos de acordo com as regras de segurança estabelecidas.

b. Um antivírus que atua diretamente na conexão de uma rede interna, protegida, com o mundo
exterior, de acordo com o tipo de malware a ser evitado.

c. Um nome genérico para um conjunto de procedimentos que realizam a autenticação de usuários

de aplicações Web em uma rede protegida.

d. Um processo de criptografia dedicado aos procedimentos de codificação/decodificação do

tráfego de entrada e saída de uma rede protegida.

e. Um servidor de nomes Web, utilizado para converter as palavras que compõem uma URL para o
endereço IP correspondente.

6. “Gerenciar os riscos consiste em eliminá-los completamente e não precisar mais tratá-los”. Julgue a
afirmação, comentando se é Verdadeira ou Falsa.

7. Gerenciar Projetos, segundo o COBIT, é um processo de TI pertencente ao domínio de

a. Planejamento e Organização.

b. Planejamento e Controle.

c. Aquisição e Implementação.

d. Entrega e Suporte.

e. Monitoração e Controle.
 LISTA DE EXERCÍCIOS - NP2
AUDITORIA DE SISTEMAS

8. A estrutura dos objetos de controle do COBIT pode ser representada em três dimensões:

a. domínio, processos e atividades.

b. domínios, processos e critérios de informação.

c. processos, recursos de TI e requisitos de negócios.

d. instalações, sistemas e dados .

e. Domínios, objetos de controle de alto nível e detalhados.

9. O processo de Gerenciamento de Problemas, segundo o ITIL, deve ser executado no estágio do

ciclo de vida de serviços denominado

a. estratégia de serviços.

b. projeto de serviços.

c. transição de serviços.

d. operação de serviços.

e. melhoria contínua de serviços.

10. (​ ESAF/AFC-CGU-TI-Sis 2008) Para que as atividades de Tecnologia da Informação sejam

efetivamente governadas, é importante considerar as atividades e riscos da área de TI a serem
gerenciadas. As atividades são classificadas em domínios de responsabilidade. No COBIT, estes
domínios são denominados

a. Planejar e Organizar; Adquirir e Implementar, Entregar e dar Suporte, Monitorar e Avaliar.

b. Planejar e Organizar; Adquirir e Executar, Entregar e dar Suporte, Monitorar e Medir.

c. Planejar e Organizar; Implementar, Entregar e dar Suporte, Medir e Avaliar.

d. Planejar e Organizar; Adquirir e Desenvolver, Entregar e dar Suporte, Monitorar e Melhorar.

e. Planejar e Organizar; Adquirir e Implementar, Entregar e dar Suporte, Medir e Melhorar.

11. (FCC/ANALISTA-TRT2 2009) O processo de Gerenciamento de Problemas, segundo o ITIL, deve

ser executado no estágio do ciclo de vida de serviços denominado

a. estratégia de serviços.
 LISTA DE EXERCÍCIOS - NP2
AUDITORIA DE SISTEMAS

b. projeto de serviços.

c. transição de serviços.

d. operação de serviços.

e. melhoria contínua de serviços.

12. No processo de Gestão de Riscos de Segurança da Informação, após a fase de análise e avaliação
dos riscos devem ser identificadas as opções de tratamento de risco. Estas são: redução do risco,
retenção do risco, ação para evitar o risco e transferência do risco. Descreva cada uma dessas
opções.

13. A autenticação de usuários para acesso restrito aos sistemas de informações pode ser feita pelo uso
de senhas, tokens e sistemas biométricos. Os tokens são:

a. objetos que o usuário possui, que o diferencia das demais pessoas e o habilita a um
determinado acesso.

b. sistemas automáticos de verificação de identidade baseados em características físicas do

usuário, como impressões digitais, configuração da íris e da retina, voz, geometria da mão e
aspectos faciais.

c. senhas fortes bem definidas e cartões inteligentes com microprocessadores como os bancários,
telefônicos e de crédito.

d. sistemas mais seguros do que os biométricos, que suprem as deficiências de segurança dos
dados biométricos.

14. O conjunto de procedimentos e ações que são utilizados para adquirir informações de uma
organização ou de uma pessoa por meio de contatos falsos sem o uso da força, do arrombamento
físico ou de qualquer brutalidade é denominado

a. Requisitos informacionais de segurança.

b. Vulnerabilidade de ativos informacionais.

c. Engenharia social.

d. Ataque do tipo exploitation.

e. Engenharia reversa.