SóProvas

ID
3396514
Banca
CESPE / CEBRASPE
Órgão
SEFAZ-DF
Ano
2020
Provas
Disciplina
Governança de TI
Assuntos

Com relação ao plano de continuidade de negócios, a assinatura digital e a auditoria, julgue o item a seguir.


São objetivos da auditoria a revisão e o exame independentes de registros e atividades do sistema, para testar a adequabilidade dos controles desse sistema, de modo a verificar se há obediência às políticas e aos procedimentos estabelecidos.

Alternativas
Comentários

  • GABARITO - CERTO

     

    Não se pode depender dos registros do sistema para fazer auditoria. Pelo contrário, a auditoria inclusive pode apontar se os registros obedecem à política da organização.

     

    FONTE - direcaoconcursos

  • A questão cobra conhecimento sobre o papel da auditoria de sistemas dentro do contexto de segurança da informação.

    As organizações estabelecem políticas e procedimentos de segurança da informação que devem ser observados no desenvolvimento de sistemas da informação.

    No entanto, na fase operacional do ciclo de vida de um sistema, a segurança tende a se degradar pois o contexto operacional muda continuamente: os usuários do sistema tendem a descobrir novas maneiras de ignorar, intencionalmente ou não, os requisitos de segurança, principalmente se existir uma percepção de que se ignorar os requisitos de segurança a sua produtividade será otimizada ou que não haverá impactos significativos para eles ou para os sistemas; e as políticas e procedimentos ficam desatualizados diante da rápida mudança tecnológica.
    Diante disso, conforme publicação de introdução a segurança da informação do NIST (National Institute of Standards and Technology – USA), as organizações podem fazer uso de três métodos básicos para manter a operação adequada:
    1. Avaliação do sistema: “processo contínuo de avaliação da segurança do sistema, em todo ou parte" [1].
    2. Auditoria do sistema: “revisão e exame independentes de registros e atividades para avaliar a adequabilidade dos controles do sistema e garantir a conformidade com as políticas e procedimentos operacionais estabelecidos" [1].

    3. Monitoramento do sistema: “processo para manter o conhecimento contínuo sobre vulnerabilidades e ameaças para apoiar as decisões de gerenciamento de riscos organizacionais" [1].

    Nesse contexto, as trilhas de auditoria podem ser implementadas durante o desenvolvimento dos sistemas de informação. Uma trilha de auditoria é “um registro de indivíduos que acessaram um sistema, bem como quais operações foram executadas por qual usuário e em qual período" [1], ou seja, é um registro cronológico das atividades do sistema desde o seu início até o resultado final com a indicação dos responsáveis.
    Em conjunto com as ferramentas e procedimentos apropriados, as trilhas de auditoria podem ajudar a detectar violações de segurança, problemas de desempenho e falhas nos aplicativos a fim de estabelecer recomendações de mudanças e realizar as devidas responsabilizações.
    Assim, a questão está correta e aderente ao conceito internacional de auditoria de sistemas.


    Gabarito da professora: CERTO.



    Referência:

    [1] NIST Special Publication 800-12, An Introduction to Information Security, Michael Nieles, Kelley Dempsey , Victoria Yan Pillitteri, 2017, tradução da professora.

  • Veja a solução da resposta no vídeo do Professor Vinícius Gnandt: https://youtu.be/CPAllPeRqm0

  • certa

    o auditor, para determinar a extensão e o alcance da fiscalização, deve examinar e avaliar o grau de confiabilidade dos controles internos” (Normas de Auditoria da INTOSAI).

    “O papel do auditor é auditar as políticas, práticas e procedimentos de controle interno de uma organização, a fim de assegurar que os controles são adequados para se alcançar a missão institucional”. (Intosai, Controle Interno: estabelecendo uma base para prestação de contas no governo, 2001)