Considerando a ITIL 4, julgue o item a seguir.A prática de g...

Alternativa correta: E - Errado

A questão aborda o tema da prática de gerenciamento de segurança da informação dentro do contexto da ITIL 4. Para responder a essa questão corretamente, é necessário compreender o escopo mais amplo da prática de gerenciamento de segurança da informação em ITIL. Embora a elaboração e manutenção da política de segurança da informação seja uma atividade importante, ela não constitui o objetivo principal da prática.

Na ITIL 4, o gerenciamento de segurança da informação é uma prática que visa proteger as informações da organização contra ameaças e vulnerabilidades, garantindo a confidencialidade, integridade e disponibilidade dessas informações. Isso inclui uma série de atividades, tais como a avaliação de riscos, o tratamento e a resposta a incidentes de segurança, além do estabelecimento de controles para prevenir tais incidentes. A política de segurança é uma parte desse conjunto, servindo como um documento que define regras, diretrizes e responsabilidades para a segurança da informação.

Portanto, a questão apresenta uma visão limitada do objetivo do gerenciamento de segurança da informação ao sugerir que se resume apenas à política de segurança. Na realidade, a prática é muito mais abrangente, envolvendo o gerenciamento do risco de segurança da informação em todos os aspectos, desde a prevenção até a resposta a incidentes. A ITIL 4 destaca a importância de um enfoque holístico para a segurança, e não apenas o desenvolvimento de políticas.

Assim, a resposta correta é que a afirmativa é errada, pois o objetivo principal da prática de gerenciamento de segurança da informação é mais abrangente do que apenas a elaboração e manutenção da política de segurança da informação.

Ger. de segurança da informação:

Proteção de uma organização

Entendimento e Gerenciamento dos riscos a:

• Confidencialidade
• Integridade
• Disponib. das informações

Gabarito Errado

O item está "Errado". Na ITIL 4, a prática de gerenciamento de segurança da informação vai além da simples elaboração e manutenção da política de segurança da informação da organização. 

Enquanto a criação e manutenção de uma política de segurança da informação são aspectos importantes dessa prática, o escopo do gerenciamento de segurança da informação na ITIL 4 é mais abrangente. Ele inclui a identificação, avaliação e controle de riscos relacionados à segurança da informação; a implementação de medidas de segurança adequadas para proteger a informação; o monitoramento contínuo e a revisão da eficácia dessas medidas; e a resposta a incidentes de segurança.

Portanto, restringir o objetivo do gerenciamento de segurança da informação apenas à elaboração e manutenção da política de segurança da informação é uma simplificação excessiva do seu verdadeiro alcance e responsabilidades dentro da ITIL 4.

O objetivo é proteger as informações necessárias à organização

para conduzir seus negócios. Isso inclui entender e gerenciar

riscos à confidencialidade, integridade e disponibilidade das

informações, além de outros aspectos da segurança das

informações, como autenticação (garantir que alguém seja

quem eles alegam ser) e não-repúdio (garantir que alguém não

possa negar que tomou uma ação).

ITIL4 -p83:

O propósito da gerência de segurança da informação é proteger a informação necessária para conduzir o negócio pela organização. Isto inclue compreender e gerenciar riscos de confidencialidade, integridade e disponibilidade da informação, assim como outros aspectos da segurança da informação como autenticação (garantir que alguém é quem ele revindica ser) e não-repúdio (garantir que alguém não possa negar que tomou uma ação). (tradução própria)

The purpose of the information security management practice is to protect the information needed by the organization to conduct its business. This includes understanding and managing risks to the confidentiality, integrity, and availability of information, as well as other aspects of information security such as authentication (ensuring someone is who they claim to be) and non-repudiation (ensuring that someone can’t deny that they took an action).

ERRADO

Gerenciamento da segurança da informação: Proteção de uma organização pelo entendimento e gerenciamento dos riscos à confidencialidade, integridade e disponibilidade das informações.