A fim de tratar os riscos técnicos identificados nos ativos,...

A alternativa correta é E: definir e estabelecer os cargos e responsabilidades associados ao processo de avaliação de risco de vulnerabilidade.

Na norma ABNT NBR ISO/IEC 27002:2022, que trata de práticas para a gestão da segurança da informação, a gestão de vulnerabilidades é um componente crucial para identificar, avaliar e tratar riscos associados a vulnerabilidades técnicas nos sistemas e ativos de uma organização.

A alternativa E foca na necessidade de estabelecer papéis e responsabilidades claras para a gestão das vulnerabilidades. Este é um passo fundamental para garantir que as avaliações de risco sejam conduzidas de forma organizada e eficaz, assegurando que todos saibam o que é esperado deles.

Agora, vamos entender porque as outras alternativas estão incorretas:

A - Analisar e verificar relatórios está relacionado com a etapa de resposta e remediação após a identificação de vulnerabilidades, não com a etapa de identificação em si, que é o foco da questão.

B - Embora relevante, identificar riscos e ações após a identificação de vulnerabilidades não é a orientação inicial para a identificação das vulnerabilidades propriamente dita.

C - Testar e avaliar atualizações são atividades importantes, mas estão relacionadas à implementação de correções e não à identificação de vulnerabilidades.

D - Blindar sistemas com filtros de tráfego é uma medida de proteção, mas não aborda o processo de identificação de vulnerabilidades técnicas.

Compreender a norma ISO 27002 e suas orientações sobre gestão de vulnerabilidades é essencial para implementar uma política de segurança eficaz que proteja os ativos da organização. A correta definição de responsabilidades garante que o processo flua sem interrupções e que as vulnerabilidades sejam tratadas de forma sistemática.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Direto da ISO:

"Convém que, para identificar vulnerabilidades técnicas, a organização considere: 

a) definir e estabelecer os cargos e responsabilidades associados à gestão de vulnerabilidades técnicas, incluindo monitoramento de vulnerabilidades, processo de avaliação de risco de vulnerabilidade , atualização, rastreamento de ativos e quaisquer responsabilidades de coordenação necessárias; 

b) para software e outras tecnologias (com base na lista de inventário de ativos, ver 5.9), identificar recursos de informações que serão utilizados para identificar vulnerabilidades técnicas relevantes e manter a conscientização sobre elas. Atualizar a lista de recursos de informação com base em alterações no inventário ou quando outros recursos novos ou úteis forem encontrados; 

c) exigir fornecedores de sistema de informação (incluindo seus componentes) para garantir relatórios, manuseio e divulgação de vulnerabilidades , incluindo os requisitos nos contratos aplicáveis;

d) utilizar ferramentas de varredura de vulnerabilidades adequadas às tecnologias em uso para identificar vulnerabilidades e verificar se a correção de vulnerabilidades foi bem-sucedida; 

e) realizar testes de invasão planejados, documentados e repetíveis ou avaliações de vulnerabilidade por pessoas competentes e autorizadas para apoiar a identificação de vulnerabilidades. Exercer cautela com tais atividades pode levar a um compromisso da segurança do sistema; 

f) rastrear o uso de bibliotecas de terceiros e código-fonte para vulnerabilidades. Convém que isso seja incluído em codificação segura"