Em auditorias de segurança da informação, a avaliação de controles precisa considerar desde o nível mais baixo — como parâmetros do sistema operacional e proteção física do data center — até camadas organizacionais — como governança, gestão de riscos, planos de continuidade e treinamento. Em paralelo, a trilha de identidade e acesso dos usuários (como são criadas, alteradas e removidas permissões) e o ciclo de vida de desenvolvimento e mudança de software influenciam diretamente a superfície de ataque. A efetividade da auditoria depende de evidências suficientes e apropriadas que conectem políticas, práticas e resultados observáveis. Analise as afirmativas sobre controles auditáveis (de software de sistema, acesso, desenvolvimento/mudança, físicos/lógicos e organizacionais) e assinale a alternativa correta. I. A verificação de RBAC com menor privilégio e segregação de funções integra a auditoria de controles de acesso, cobrindo autenticação, autorizações e processos de concessão/revogação. II. Em controles de software de sistema, é típico auditar atualizações do SO, baselines de configuração (firewall, políticas de senha), logs/eventos e até acesso físico a servidores/data centers. III. Quando há controles lógicos fortes (firewalls, MFA, criptografia), os controles físicos (CFTV, barreiras, salas-cofre) tornam-se prescindíveis na auditoria, pois pouco agregam à mitigação de riscos. IV. Em controles organizacionais de continuidade, a auditoria deve exigir evidências de BCP/DRP atualizados e testados, além de avaliar gestão de riscos, treinamento/conscientização e governança. Alternativas: a) Apenas I e II estão corretas. b) Apenas I, II e IV estão corretas. c) Apenas II e III estão corretas. d) Apenas I e III estão corretas. e) I, II, III e IV estão corretas.