A questão cobra conhecimento sobre o
papel da auditoria de sistemas dentro do contexto de segurança da informação.
As organizações estabelecem políticas e
procedimentos de segurança da informação que devem ser observados no
desenvolvimento de sistemas da informação.
No entanto, na fase operacional do ciclo
de vida de um sistema, a segurança tende a se degradar pois o contexto
operacional muda continuamente: os usuários do sistema tendem a descobrir novas
maneiras de ignorar, intencionalmente ou não, os requisitos de segurança,
principalmente se existir uma percepção de que se ignorar os requisitos de
segurança a sua produtividade será otimizada ou que não haverá impactos
significativos para eles ou para os sistemas; e as políticas e procedimentos ficam
desatualizados diante da rápida mudança tecnológica.
Diante disso, conforme publicação de
introdução a segurança da informação do NIST (National Institute of Standards and Technology – USA),
as
organizações podem fazer uso de três métodos básicos para manter a operação
adequada:
1. Avaliação do sistema: “processo
contínuo de avaliação da segurança do sistema, em todo ou parte" [1].
2. Auditoria do sistema: “revisão
e exame independentes de registros e atividades para avaliar a adequabilidade dos
controles do sistema e garantir a conformidade com as políticas e procedimentos
operacionais estabelecidos" [1].
3. Monitoramento do sistema: “processo
para manter o conhecimento contínuo sobre vulnerabilidades e ameaças para
apoiar as decisões de gerenciamento de riscos organizacionais" [1].
Nesse contexto, as trilhas de auditoria podem ser
implementadas durante o desenvolvimento dos sistemas de informação. Uma trilha
de auditoria é “um registro de indivíduos que acessaram um sistema, bem como
quais operações foram executadas por qual usuário e em qual período" [1], ou
seja, é um registro cronológico das atividades do sistema desde o seu início
até o resultado final com a indicação dos responsáveis.
Em conjunto com as ferramentas e procedimentos
apropriados, as trilhas de auditoria podem ajudar a detectar violações de
segurança, problemas de desempenho e falhas nos aplicativos a fim de estabelecer
recomendações de mudanças e realizar as devidas responsabilizações.
Assim, a questão está correta e aderente
ao conceito internacional de auditoria de sistemas.
Gabarito da professora: CERTO.
Referência:
[1] NIST
Special Publication 800-12,
An Introduction to Information Security, Michael Nieles, Kelley Dempsey , Victoria Yan Pillitteri, 2017, tradução
da professora.
certa
“o auditor, para determinar a extensão e o alcance da fiscalização, deve examinar e avaliar o grau de confiabilidade dos controles internos” (Normas de Auditoria da INTOSAI).
“O papel do auditor é auditar as políticas, práticas e procedimentos de controle interno de uma organização, a fim de assegurar que os controles são adequados para se alcançar a missão institucional”. (Intosai, Controle Interno: estabelecendo uma base para prestação de contas no governo, 2001)