As melhores práticas de auditoria em segurança da informação são diretrizes e metodologias recomendadas para garantir que a auditoria seja conduzida de forma eficaz e eficiente. Seguir as práticas ajuda a identificar vulnerabilidades e a implementar medidas corretivas, assegurando que os controles de segurança estejam adequados para proteger os dados e os sistemas da organização. Qual das seguintes opções é considerada uma das melhores práticas de auditoria em segurança da informação?
Questão
As melhores práticas de auditoria em segurança da informação são diretrizes e metodologias recomendadas para garantir que a auditoria seja conduzida de forma eficaz e eficiente. Seguir as práticas ajuda a identificar vulnerabilidades e a implementar medidas corretivas, assegurando que os controles de segurança estejam adequados para proteger os dados e os sistemas da organização.
Qual das seguintes opções é considerada uma das melhores práticas de auditoria em segurança da informação?
Alternativas
Realizar auditorias sem aviso prévio aos funcionários
Focar exclusivamente na conformidade regulatória
Definir claramente o escopo da auditoria antes de iniciá-la
Utilizar apenas auditores internos para garantir familiaridade com os sistemas
Priorizar a velocidade da auditoria sobre a qualidade dos resultados
Explicação
A questão pede uma melhor prática em auditoria de segurança da informação (algo que aumente a eficácia e eficiência do trabalho, reduzindo ambiguidades e retrabalho).
- Definir claramente o escopo antes de iniciar é uma prática fundamental porque:
- determina o que será auditado (processos, sistemas, unidades, controles, períodos);
- explicita objetivos e critérios (ex.: políticas internas, ISO 27001/27002, NIST, requisitos legais);
- ajuda a planejar recursos, cronograma e evidências a coletar;
- reduz risco de “scope creep” (a auditoria ir “crescendo” sem controle) e melhora a rastreabilidade dos achados.
- As demais alternativas não representam, em geral, uma melhor prática:
- Auditoria sem aviso prévio pode ser usada em casos específicos, mas não é regra de boa prática (pode prejudicar cooperação e logística).
- Focar exclusivamente em conformidade é limitado: auditoria de SI deve avaliar também efetividade dos controles e riscos, não só “checklist” regulatório.
- Apenas auditores internos pode comprometer independência e visão externa; muitas abordagens recomendam independência e, quando adequado, auditoria externa.
- Velocidade acima da qualidade contraria o objetivo da auditoria (achados fracos = risco de falsa segurança).
Portanto, a alternativa que descreve uma melhor prática clara e amplamente aceita é a definição prévia do escopo.
Alternativa correta: (C).