Questões sobre Auditoria

Durante um teste de varredura de rede para auditoria de segurança, constatou-se o uso de serviço LDAP com autenticação simples. O servidor LDAP em uso era o OpenLDAP na versão 2.4.

Considerando essa situação hipotética, julgue os próximos itens.

Para a configuração de autenticação do OpenLDAP, é recomendável o uso do SASL (simple authentication and security layer) com Kerberos V, já que qualquer aplicação de rede que usa LDAP suporta o protocolo Kerberos para autenticação.

• C. Certo
• E. Errado

O TRF da 3a Região necessita que seus sistemas sejam monitorados e eventos de segurança da informação sejam registrados. Com relação a esses registros, é correto afirmar que

• A. todos os administradores de sistemas devem ter permissão de exclusão ou desativação dos registros (log) de suas próprias atividades.
• B. registros (log) de auditoria devem incluir registros das tentativas de acesso a outros recursos e dados aceitos, mas não a dados rejeitados.
• C. o estabelecimento correto dos relógios dos computadores é importante para assegurar a exatidão dos registros (log) de auditoria.
• D. registros (log) de auditoria são úteis para a coleta e retenção de evidência, mas não podem ser guardados como parte da política de retenção de registros.
• E. os registros (log) de auditoria devem ser produzidos e mantidos por um prazo máximo de um mês.

Considerando que, no desenvolvimento de um novo sistema para a empresa, um analista seja encarregado de avaliar e monitorar a utilização de normas e padrões de segurança da informação, julgue os itens subsequentes.

Dada a inviabilidade de se preparar uma resposta a cada ameaça possível, deve-se verificar, na auditoria da segurança do sistema, se as ameaças ignoradas consideram a probabilidade de ocorrência do ataque e o impacto provocado no caso de sucesso.

• C. Certo
• E. Errado

Julgue os próximos itens, relativos a conceitos de auditoria e controle de riscos em tecnologia da informação (TI).

O uso de ferramentas de teste de penetração de rede, como o nmap, não deve ser realizado durante uma atividade de auditoria, pois o teste de aderência a controles e políticas de segurança em redes está fora do escopo do trabalho do auditor.

• C. Certo
• E. Errado

Julgue os próximos itens, relativos a conceitos de auditoria e controle de riscos em tecnologia da informação (TI).

Considere que, durante a auditoria de planos de contingência e recuperação de desastres, tenha sido identificado que a última revisão do plano havia sido efetuada há três meses. Nessa situação, mesmo que a organização não tenha sofrido no último ano nenhuma mudança significativa nas áreas administrativas no ambiente competitivo externo nem em seu ambiente de TI, uma das recomendações da auditoria seria a imediata revisão do plano.

• C. Certo
• E. Errado

Julgue os próximos itens, relativos a conceitos de auditoria e controle de riscos em tecnologia da informação (TI).

A emissão de um relatório definitivo de uma auditoria de sistemas de informações não precisa ser precedida de uma validação dos achados junto aos representantes da organização auditada, a fim de que não haja distorção ou pressão sobre os resultados da auditoria.

• C. Certo
• E. Errado

Julgue os próximos itens, relativos a conceitos de auditoria e controle de riscos em tecnologia da informação (TI).

Após uma auditoria, as recomendações para a separação de técnicos de uma organização de desenvolvimento de sistemas em duas equipes: de desenvolvimento e de teste, podem ser diretamente embasadas no princípio da segregação de responsabilidades.

• C. Certo
• E. Errado

Julgue os próximos itens, relativos a conceitos de auditoria e controle de riscos em tecnologia da informação (TI).

Ao atuar na avaliação das funções de um help desk, o auditor estará mais focado na adequação dos aspectos operacionais de uma organização que nos aspectos de desenvolvimento de projetos dessa organização.

• C. Certo
• E. Errado