Questão nº 7

Questão de Tecnologia da Informação · FGV CVM 2024 (nº 7)

FGV2024Analista CVM - TI Infraestrutura e Segurança (Perfil 9)Tecnologia da Informação
Gabarito: Dver comentário ↓

Regularmente, a equipe de gestão de vulnerabilidades realiza auditorias internas nos sistemas operacionais dos ativos escolhidos para verificar a conformidade dos requisitos de segurança estabelecidos para cada ativo.
Conforme a ISO/IEC 27002, convém que a equipe observe a seguinte diretriz para a realização das auditorias internas:

Resposta comentada

Gabarito Alternativa D

O conceito-chave é que, ao realizar auditorias de segurança em sistemas, especialmente aquelas que envolvem acesso privilegiado, é fundamental garantir a rastreabilidade e a responsabilidade de todas as ações. Isso significa que tudo o que é feito deve ser registrado para que possa ser verificado posteriormente.

(A) Incorreta: Embora o proprietário do risco seja crucial na gestão de segurança, a definição dos requisitos de acesso para uma auditoria é geralmente uma responsabilidade compartilhada entre a equipe de segurança, o proprietário do ativo e as políticas de segurança da organização, não sendo exclusiva do proprietário do risco.
(B) Incorreta: Esta é uma armadilha comum. Conceder acesso de escrita em ambiente de produção para testes de auditoria é uma prática de alto risco que pode comprometer a integridade dos dados e a disponibilidade do sistema. Auditorias devem ser o menos intrusivas possível, preferencialmente com acesso de leitura ou em ambientes controlados/de teste.
(C) Incorreta: Realizar testes de auditoria durante o horário de expediente pode impactar negativamente a operação do negócio. Muitas auditorias, especialmente as mais intrusivas, são agendadas fora do horário comercial para minimizar riscos e interrupções. O "comportamento real" pode ser analisado via logs ou em ambientes de teste.
(D) Correta: Conforme a ISO/IEC 27002, a diretriz de monitorar e registrar os acessos é essencial. Isso cria uma trilha de auditoria (trilha de referência) que garante a responsabilidade, permite a investigação de incidentes e comprova que as ações foram realizadas de acordo com as políticas de segurança. É um princípio fundamental para a segurança da informação.
(E) Incorreta: Definir prazos para a reação a vulnerabilidades é uma boa prática de gestão de vulnerabilidades, mas é uma ação que ocorre após a identificação das vulnerabilidades pela auditoria, não uma diretriz para a realização da auditoria em si.

Fonte: FGV CVM 2024 Analista CVM - TI Infraestrutura e Segurança (Perfil 9) (Caderno Tipo 1). Reproduzida para fins de estudo.

Continue estudando

Estudar é izi

Pratique milhares de questões como esta, de graça, com explicação e gamificação no Quizinho.

Estudar de graça no Quizinho