Auditoria e Segurana Informtica (Questes) Qual o principal objectivo da Auditoria?

Apenas emitir um parecer sobre os sistemas Qual das seguintes afirmaes se aplica melhor ao conceito de Auditoria Interna? Verificar se as normas internas so seguidas Qual das seguintes afirmaes se aplica melhor ao conceito de Auditoria Externa? O objectivo apenas emitir um parecer sobre os sistemas Assinale os itens que correspondem a controlos no contexto de Sistemas de Informao? (seleccione as opes que se aplicam) Controlos directivos Controlos de superviso Controlos preventivos Controlos de deteco Em relao ao equipamento informtico, quais os nveis de actuao da Auditoria Informtica? (seleccione as opes que se aplicam) Around computer With computer Through computer Quais das seguintes afirmaes so verdadeiras em relao ao MD5 (seleccione as opes que se aplicam) O hash representa-se atravs de 128 bits O hash representa-se atravs de 32 caracteres hexadecimais O hash representa-se atravs de 16 bytes Mtodo irreversvel Mtodo para garantir a autenticidade Faa a correspondncia entre o protocolo e o tipo de chave.

Auditoria e Segurana Informtica (Questes) Faa a correspondncia entre o protocolo e o tipo de chave / tipo de mtodo.

Complete a seguinte tabela: Relao Modelo de segurana / tipo de modelo

Em relao ao sistema criptogrfico One Time Pad, quais das afirmaes seguintes so verdadeiras (seleccione as opes que se aplicam) Sistema do tipo stream Chave aleatria Sistema simtrico Cifragem reversvel Na figura seguinte que tipo de chave (publica / privada) usava no passo A e B (seleccione as opes que se aplicam)

A chave pblica B chave privada

Auditoria e Segurana Informtica (Questes) Na figura seguinte que tipo de chave (publica / privada) usava no passo A e B (seleccione as opes que se aplicam)

A chave privada B chave pblica

O que entende por Auditoria de Sistemas de Informao? Aponte as principais princpios deve garantir em relao aos dados? A reviso dos sistemas de informao, para verificar se realizam as funes e operaes para as quais foram criados, assim como comprovar se os dados e demais informaes neles contidos correspondem aos princpios de fiabilidade, integridade, preciso e disponibilidade.

Descreva algumas tcnicas de anlise e de controlo, que um auditor dispe para realizar as suas funes? 1. 2. 3. 4. 5. 6. 7. 8. Questionrios Entrevistas Checklists Anlise de relatrios Anlise presencial Tcnicas de Ensaio com Simulao: test-deck, simulao paralela Anlise do Log / Accounting Estatstica

Descreva os principais passos da metodologia de uma Auditoria a Sistemas de Informao? 1. 2. 3. 4. 5. Anlise do ambiente geral da empresa; Organizao da empresa onde se realiza a auditoria; Caracterizao do ambiente das operaes no domnio informtico; Organizao dos recursos existentes e necessrios; Formulao do plano geral e dos programas de trabalho;
3

Auditoria e Segurana Informtica (Questes) 6. As fases de uma auditoria; 7. Aces, tcnicas e ferramentas da auditoria informtica; 8. Elaborao do relatrio final (adicionar alguma descrio de cada um dos passos)

Descreva as principais funes de um Auditor Informtico? O auditor informtico tem de cuidar da correcta utilizao de todos os recursos que a organizao utiliza para poder dispor de um sistema de informao suficientemente eficiente e eficaz. Embora no tenha poder para modificar a situao por ele analisada, o auditor informtico tem como funo muito importante emitir um juzo global ou parcial baseado em factos e situaes inteiramente correctas. Nas suas relaes com a empresa ou com o responsvel da rea a ser auditada, o auditor tem de ter algumas preocupaes e cuidados. De facto, as funes de anlise e de reviso que o auditor informtico realiza podem ter dificuldades devido s caractersticas psicolgicas do auditado, dado que o primeiro tem necessidade de executar o seu trabalho com racionalidade e eficincia. Alm de verificar directamente o funcionamento dos sistemas, o auditor tem de fazer com que o auditado responda a alguns questionrios. Estes questionrios, tambm chamados checklists, so conservados cuidadosamente pelo auditor quer seja interno quer seja um tcnico de uma empresa de auditoria informtica. Os objectivos e os pormenores destes questionrios tm de ser muito bem compreendidos pelo auditor, pois se forem mal aplicados podem conduzir a resultados distintos dos que so pretendidos pela prpria empresa auditora. Cada questionrio pode chegar a explicar como ocorrem os factos, mas no porque ocorrem. Por isso, deve estar subordinado a regras, a normas, a mtodos. S uma metodologia precisa pode descobrir as causas pelas quais se realizam actividades teoricamente inadequadas ou se omitem outras correctas. A actuao do auditor informtico acentua-se hoje em todas as reas da organizao. Procurando a optimizao do emprego dos recursos utilizados no processamento electrnico de dados e a melhoria do desempenho empresarial que deles depende, o auditor informtico tem um papel cada vez mais importante para apoiar a gesto de topo.

Descreva os principais tpicos que devem estar presentes num relatrio final de uma auditoria descrio pela ordem correcta? 1. Introduo - importa que sejam apresentados os objectivos propostos no plano director anual de auditoria de sistemas e explicadas as eventuais alteraes desses objectivos que tenham acontecido; 2. mbito e os objectivos da auditoria; 3. reas auditadas - as reas que foram sujeitas anlise e avaliao, nomeadamente a estrutura orgnica e funcional da rea de informtica; 4. Apresentao dos indicadores de qualidade que foram utilizados - mostrar a sua caracterizao, as tcnicas utilizadas, os processos de medida empregues e as variaes existentes nas medidas efectuadas ao longo do ano e em comparao com os anos anteriores; 5. Situao actual - identificao geral da situao actual, nomeadamente a configurao do hardware, do software instalado e o sistema de controlo interno; 6. Problemas - descrio dos problemas detectados, dos pontos fracos e das eventuais ameaas; 7. Comentrios e recomendaes - no que se refere aos problemas detectados no ano em anlise, s dificuldades de trabalho encontradas e s orientaes sugeridas para o plano da auditoria de sistemas a realizar futuramente. Em particular devem ser apresentadas as solues recomendadas e os respectivos planos; 8. Avaliao final - avaliao global do ambiente auditado.
4

Auditoria e Segurana Informtica (Questes) O que o Plano Director de Informtica? Descreva as principais funes e competncias? O Plano Director de Informtica (PDI) tem em conta os objectivos de evoluo empresarial, o possvel uso estratgico da informtica, as necessidades informticas da empresa e deve considerar as alternativas possveis para satisfaz-las o mais completamente possvel, atendendo situao da evoluo tecnolgica. A necessidade de definir uma poltica global, estabelecer os objectivos e organizar as actividades da funo informtica conduz, nalgumas empresas, elaborao de um PDI. Formalizando o planeamento estratgico de informtica assente nos princpios da filosofia de Processamento Informtico de Dados (PID), este documento deve apresentar principalmente os objectivos de curto e mdio prazo, o plano de aces quanto ao desenvolvimento dos sistemas informticos, as necessidades de hardware e software, a seleco, formao e motivao dos tcnicos e utilizadores, um oramento de custos das aces propostas e o sistema de controlo que deve acompanhar a implementao de todo o plano.

Quando falamos de segurana, quais os principais tpicos que a segurana envolve, que devemos garantir? No essencial, segurana envolve: Confidencialidade - conhecimento da existncia e contedo da informao apenas por quem tem permisso Integridade - alterao da informao apenas por quem tem permisso Disponibilidade - Utilizao permanente da informao por quem tem permisso Autenticidade - Certificao do dono No repudio quem fez a informao no pode recusar a autoria

Explique um sistema tpico de assinatura digital? Como criado o documento assinado e como o receptor confirma que o documento est assinado por quem dizer ser. Uma assinatura digital tpica envolve dois processos criptogrficos: O hash (resumo) Encriptao deste hash

Para o receptor verificar a assinatura usa a chave pblica do emissor

Auditoria e Segurana Informtica (Questes) O que entende por Entidade de Certificao? Em que contextos aparece? Indique alguns exemplos? Uma Entidade de Certificao responsvel pela emisso de certificados digitais para identificar indivduos, comunidades, sistemas ou outras entidades que utilizem meios ligados a redes informticas. Ao assinar digitalmente os certificados que emite, a entidade certificadora relaciona a identidade do portador do certificado, e portanto da chave privada, chave pblica existente no certificado. Desta forma podemos ter a certeza que aquela chave publica pertence de facto ao seu emissor. As entidades certificadoras representam um papel essencial no que diz respeito confiana da informao transmitida em rede, uma vez que representam uma terceira entidade em que as duas partes confiam. Exemplos de entidades: verisign; thawte; multicert; digitalsign; Exemplos de uso: bancos, lojas de comrcio electrnico

Num ambiente aberto como a Web, qual o tipo de sistema de cifra melhor, simtrico ou assimtrico, porqu? Assimtrica - par de chaves pblica / privada Essencialmente pelo facto de se basear numa infoestrutura de chave publica, assim, podemos publicar a chave publica de forma aberta, uma vez que s se consegue decifrar o que foi cifrado coma chave publica quem possuir a respectiva chave privada. A chave pblica pode ser facilmente transferida de um servidor Web para o pc do cliente atravs de um certificado digital.

Descreva os principais mtodos de cifragem que conhece? 1. stream (ou contnuo) 2. bloco Mtodo contnuo (stream) O texto a cifrar dividido em partes de igual tamanho P = P1P2... Cada uma das partes cifrada com uma chave diferente K = K1K2... C = K(P) = K1(P1)K2 (P2)... Se o n de chaves for menor que o n de partes a cifrar, o sistema diz-se peridico Exemplos: algoritmo de Vigenre, one-time pad

Que tipos de sistemas criptogrficos conhece em relao ao tipo de aplicao? D alguns exemplos. 1. Bidireccional, reversvel (two-way) 2. Unidireccional, irreversvel (one-way) 3. Cifragem reversvel (ou bidireccional, two-way encryption): Utilizao: Confidencialidade; Autenticao; Verificao de Integridade 4. Cifragem irreversvel (ou unidireccional, one-way encryption): Utilizao: Autenticao; Verificao de Integridade

Auditoria e Segurana Informtica (Questes) Descodifique o seguinte texto codificado: mtodo usado Cifra de Csar - chave +3 Alfabeto portugus DILQDO D FULSXRJUDILD H IDFLO AFINAL A CRIPTOGRAFIA FACIL

Codifique o seguinte texto: mtodo usado Cifra de Csar - chave +3 Alfabeto portugus AUDITORIA E SEGURANCA INFORMATICA DZGLXRULD H VHJZUDQFD LQIRUPDXLFD

Descodifique o seguinte texto codificado: mtodo usado Cifra de Csar - chave + 4 Alfabeto (Tem o K, mas sem W e Y) mtodo em bloco: S ICEQI I XMQMPEV E ZEK O EXAME SIMILAR A TAG

Codifique o seguinte texto: mtodo usado Cifra de Csar adaptada Alfabeto (Tem o K, mas sem W e Y) Mtodo de cifragem em blocos de 3 caracteres com chave iniciada em +1 para o 1 bloco, +2, +3, at ao +n para o ultimo bloco: AUDITORIAESEGURANCAINFORMATICA RIA ESE GUR ANC AIN FOR 3 4 5 6 7 8

AUD 1

ITO 2

MAT 9

ICA 10

Alfabeto = A B C D E F G H I J K L M N O P Q R S T U V X Z AUD +1 -> BVE ITO +2 -> KVQ RIA +3 -> ULD ESE +4 -> IXI GUR +5 -> LBX ANC +6 -> GTI AIN +7 -> HPU FOR +8 -> NXB MAT +9 -> VJE ICA +10 -> SMK BVE KVQ ULD IXI LBX GTI HPU NXB VJE SMK