À luz do código de prática para a gestão da segurança da inf...
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
A alternativa correta é: A - Os requisitos de segurança da informação de uma organização são obtidos por três fontes principais, sendo a análise/avaliação de riscos uma delas.
Vamos agora entender o porquê dessa alternativa ser a correta e discutir as demais alternativas.
Alternativa A: Esta alternativa está correta. Segundo a ISO 27002, os requisitos de segurança da informação de uma organização são geralmente derivados de três fontes principais: a) a avaliação da análise de riscos, b) os requisitos legais, regulamentares e contratuais, e c) os princípios, objetivos e requisitos de negócios para o tratamento da informação. A análise/avaliação de riscos é uma parte fundamental desse processo, pois ajuda a identificar quais são os riscos e quais controles devem ser implementados para mitigá-los.
Alternativa B: Esta alternativa está incorreta. A seleção de controles apropriados é, de fato, uma etapa crucial para reduzir os riscos a um nível aceitável. No entanto, ela não é efetuada "imediatamente após a identificação dos fatores de risco". Primeiro, é necessário realizar uma análise detalhada dos riscos para entender sua magnitude e impacto, e só então selecionar os controles mais adequados. Este processo é mais elaborado e não ocorre de maneira tão imediata como sugerido.
Alternativa C: Esta alternativa está incorreta. Embora a documentação da política de segurança da informação e a atribuição de responsabilidades sejam, de fato, controles importantes, o "processamento correto das aplicações" não é um dos três controles essenciais mencionados especificamente na ISO 27002. A norma aborda uma gama mais ampla de controles que incluem, mas não se limitam, à gestão de ativos, controle de acesso, criptografia, entre outros.
Alternativa D: Esta alternativa está incorreta. A cultura organizacional tem um impacto significativo na implementação, monitoramento e melhoria da segurança da informação. Uma cultura organizacional que valoriza a segurança da informação é crucial para o sucesso das políticas e controles de segurança. Ignorar a influência da cultura organizacional na segurança da informação é um erro grave.
Alternativa E: Esta alternativa está incorreta. A segurança da informação não é alcançada apenas pela adoção de um conjunto de tecnologias adequadas. Ela envolve uma abordagem holística que inclui políticas, processos, procedimentos, a conscientização dos funcionários e a implementação de controles administrativos, físicos e técnicos. A combinação desses elementos é que proporciona uma segurança da informação eficaz.
Resumo: A alternativa A é a correta porque identifica corretamente uma das fontes principais dos requisitos de segurança da informação, conforme a ISO 27002. As outras alternativas falham ao apresentar informações incompletas, imprecisas ou incorretas sobre a gestão da segurança da informação.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
1 - Análise/avaliação de riscos;
2 - Legislação vigente, estatutos, regulamentação e as cláusulas contratuais;
3 - Conjunto particular de princípios, objetivos e requisitos de negócio.
Information security is achieved by implementing a suitable set of controls, including policies, processes, procedures, organizational structures and software and hardware functions.
Definição de tecnologia do wikipedia:
Tecnologia (do grego τεχνη — "técnica, arte, ofício" e λογια — "estudo") é um termo que envolve o conhecimento técnico ecientífico e a aplicação deste conhecimento através de sua transformação no uso de ferramentas, processos e materiais criados e/ou utilizados a partir de tal conhecimento. Dependendo do contexto, a tecnologia pode ser:
- As ferramentas e as máquinas que ajudam a resolver problemas;
- As técnicas, conhecimentos, métodos, materiais, ferramentas e processos usados para resolver problemas ou ao menos facilitar a solução dos mesmos;
- Um método ou processo de construção e trabalho (tal como a tecnologia de manufatura, a tecnologia de infraestrutura ou atecnologia espacial);
- A aplicação de recursos para a resolução de problemas;
- O termo tecnologia também pode ser usado para descrever o nível de conhecimento científico, matemático e técnico de uma determinada cultura;
- Na economia, a tecnologia é o estado atual de nosso conhecimento de como combinar recursos para produzir produtos desejados (e nosso conhecimento do que pode ser produzido).
- Os recursos e como utilizá-los para se atingir a um determinado objetivo, para se fazer algo, que pode ser a solução ou minimização de um problema ou a geração de uma oportunidade, por exemplo.
Em resumo: não vejo o erro.
Complementando a resposta...
b) Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para implementação da segurança da informação é efetuada imediatamente após a identificação dos fatores de risco. - Errado
0.4. Analisando/avaliando os riscos de Segurança da Informação
“(...)Os requisitos de segurança da informação são identificados por meio de uma análise/avaliação sistemática dos riscos de segurança da informação. Os gastos com os controles precisam ser balanceados de acordo com os danos causados aos negócios (...)”
“(...)Uma vez tendo sido identificados os requisitos de segurança, convém que os controles sejam selecionados e implementados para assegurar que os riscos são reduzidos (...)
c) No escopo legal da segurança da informação, há três controles essenciais para uma organização: o documento da política de segurança da informação, a atribuição de responsabilidades pela segurança da informação e o processamento correto das aplicações. – Errado--
0.6. Ponto de partida para a segurança da informação
“(...) Um número de controles pode ser considerado como princípios básicos, fornecendo um bom ponto de partida”
“Os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem:
a) proteção de dados e privacidade de informações pessoais.
b) salvaguarda de registros organizacionais.
c) direitos de propriedade intelectual.”
--
d) A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, monitoramento e melhoria da segurança da informação. - Errado
0.7. Fatores Críticos de Sucesso
“A experiência tem mostrado que os seguintes fatores são geralmente críticos para o sucesso da implementação da segurança da informação dentro de uma organização:
b) uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e melhoria da segurança da informação que seja consistente com a cultura organizacional;
c) comprometimento e apoio visível de todos os níveis gerenciais; (...)”
--e) A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias adequadas. - Errado.
0.2. Por que a segurança da informação é necessária?
“(...) A segurança que pode ser alcançada por meios
técnicos é limitada e convém que seja apoiada por gestão e procedimentos apropriados. A identificação de quais controles
convém que sejam implantados requer planejamento cuidadoso e atenção aos detalhes. “
--
[]´s
Fernando Palma
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos