As melhores práticas de auditoria em segurança da informação são diretrizes e metodologias recomendadas para garantir que a auditoria seja conduzida de forma eficaz e eficiente. Seguir as práticas ajuda a identificar vulnerabilidades e a implementar medidas corretivas, assegurando que os controles de segurança estejam adequados para proteger os dados e os sistemas da organização. Qual das seguintes opções é considerada uma das melhores práticas de auditoria em segurança da informação?

Questão

As melhores práticas de auditoria em segurança da informação são diretrizes e metodologias recomendadas para garantir que a auditoria seja conduzida de forma eficaz e eficiente. Seguir as práticas ajuda a identificar vulnerabilidades e a implementar medidas corretivas, assegurando que os controles de segurança estejam adequados para proteger os dados e os sistemas da organização.

Qual das seguintes opções é considerada uma das melhores práticas de auditoria em segurança da informação?

Alternativas

Realizar auditorias sem aviso prévio aos funcionários

Focar exclusivamente na conformidade regulatória

Definir claramente o escopo da auditoria antes de iniciá-la

94%

Utilizar apenas auditores internos para garantir familiaridade com os sistemas

Priorizar a velocidade da auditoria sobre a qualidade dos resultados

Explicação

A questão pede uma melhor prática em auditoria de segurança da informação (algo que aumente a eficácia e eficiência do trabalho, reduzindo ambiguidades e retrabalho).

  1. Definir claramente o escopo antes de iniciar é uma prática fundamental porque:
  • determina o que será auditado (processos, sistemas, unidades, controles, períodos);
  • explicita objetivos e critérios (ex.: políticas internas, ISO 27001/27002, NIST, requisitos legais);
  • ajuda a planejar recursos, cronograma e evidências a coletar;
  • reduz risco de “scope creep” (a auditoria ir “crescendo” sem controle) e melhora a rastreabilidade dos achados.
  1. As demais alternativas não representam, em geral, uma melhor prática:
  • Auditoria sem aviso prévio pode ser usada em casos específicos, mas não é regra de boa prática (pode prejudicar cooperação e logística).
  • Focar exclusivamente em conformidade é limitado: auditoria de SI deve avaliar também efetividade dos controles e riscos, não só “checklist” regulatório.
  • Apenas auditores internos pode comprometer independência e visão externa; muitas abordagens recomendam independência e, quando adequado, auditoria externa.
  • Velocidade acima da qualidade contraria o objetivo da auditoria (achados fracos = risco de falsa segurança).

Portanto, a alternativa que descreve uma melhor prática clara e amplamente aceita é a definição prévia do escopo.

Alternativa correta: (C).

Questões relacionadas

Ver últimas questões

Comece a estudar de forma inteligente hoje mesmo

Resolva questões de concursos e vestibulares com IA, gere simulados personalizados e domine os conteúdos que mais caem nas provas.

Cancele quando quiser.