Questão nº 7
Questão de Tecnologia da Informação · FGV CVM 2024 (nº 7)
Regularmente, a equipe de gestão de vulnerabilidades realiza auditorias internas nos sistemas operacionais dos ativos escolhidos para verificar a conformidade dos requisitos de segurança estabelecidos para cada ativo.
Conforme a ISO/IEC 27002, convém que a equipe observe a seguinte diretriz para a realização das auditorias internas:
- Aos requisitos de auditoria para acesso aos sistemas devem ser definidos pelo proprietário do risco do ativo;
- Bos testes de auditoria devem possuir acessos de leitura e escrita para validar as ações realizadas nos softwares e nos dados no ambiente de produção;
- Cos testes de auditoria devem ser realizados durante o horário de expediente para refletir o comportamento real do sistema;
- Dos acessos devem ser monitorados e registrados para produzir uma trilha de referência; (alternativa correta)
- Eum prazo deve ser definido para a reação a notificações de potenciais vulnerabilidades técnicas relevantes.
Resposta comentada
Gabarito Alternativa D
O conceito-chave é que, ao realizar auditorias de segurança em sistemas, especialmente aquelas que envolvem acesso privilegiado, é fundamental garantir a rastreabilidade e a responsabilidade de todas as ações. Isso significa que tudo o que é feito deve ser registrado para que possa ser verificado posteriormente.
(A) Incorreta: Embora o proprietário do risco seja crucial na gestão de segurança, a definição dos requisitos de acesso para uma auditoria é geralmente uma responsabilidade compartilhada entre a equipe de segurança, o proprietário do ativo e as políticas de segurança da organização, não sendo exclusiva do proprietário do risco.
(B) Incorreta: Esta é uma armadilha comum. Conceder acesso de escrita em ambiente de produção para testes de auditoria é uma prática de alto risco que pode comprometer a integridade dos dados e a disponibilidade do sistema. Auditorias devem ser o menos intrusivas possível, preferencialmente com acesso de leitura ou em ambientes controlados/de teste.
(C) Incorreta: Realizar testes de auditoria durante o horário de expediente pode impactar negativamente a operação do negócio. Muitas auditorias, especialmente as mais intrusivas, são agendadas fora do horário comercial para minimizar riscos e interrupções. O "comportamento real" pode ser analisado via logs ou em ambientes de teste.
(D) Correta: Conforme a ISO/IEC 27002, a diretriz de monitorar e registrar os acessos é essencial. Isso cria uma trilha de auditoria (trilha de referência) que garante a responsabilidade, permite a investigação de incidentes e comprova que as ações foram realizadas de acordo com as políticas de segurança. É um princípio fundamental para a segurança da informação.
(E) Incorreta: Definir prazos para a reação a vulnerabilidades é uma boa prática de gestão de vulnerabilidades, mas é uma ação que ocorre após a identificação das vulnerabilidades pela auditoria, não uma diretriz para a realização da auditoria em si.
Fonte: FGV CVM 2024 Analista CVM - TI Infraestrutura e Segurança (Perfil 9) (Caderno Tipo 1). Reproduzida para fins de estudo.