Julgue o próximo item, relativo à política de segurança da i...

Alternativa Correta: C - certo

A questão aborda um aspecto crucial da política de segurança da informação em uma organização: a necessidade de balancear os custos de implementação de medidas de segurança com os custos associados a possíveis falhas e recuperações.

Ao desenvolver políticas de segurança, é essencial considerar não apenas o valor dos ativos a serem protegidos, mas também a relação custo-benefício. Isso significa que o gerente deve avaliar:

• Valor dos Ativos: Identificar quais ativos (dados, sistemas, infraestruturas) são críticos para a organização e qual é o valor deles.
• Custos de Segurança: Estimar os custos envolvidos na implementação de medidas de segurança (como firewalls, antivírus, políticas de acesso, treinamento de funcionários, etc.).
• Custos de Falha e Recuperação: Avaliar os custos associados a falhas de segurança (como violações de dados, perda de informações, danos à reputação, multas regulatórias) e os custos para recuperar de tais falhas.

Vamos detalhar o motivo pelo qual a alternativa correta é "C - certo":

1. Valor dos Ativos:
O valor dos ativos deve ser considerado para definir a prioridade e os recursos a serem dedicados à segurança. Por exemplo, informações confidenciais de clientes são mais valiosas e, portanto, necessitam de maior proteção.

2. Custos de Segurança:
Os custos de medidas de segurança podem incluir investimentos em tecnologia, treinamento de pessoal e desenvolvimento de políticas e procedimentos. Estes custos devem ser proporcionais ao valor dos ativos e ao nível de ameaça.

3. Custos de Falha e Recuperação:
Os custos de falha e recuperação englobam tudo que a organização pode gastar ao tentar recuperar-se de um evento de segurança, como perda de dados, interrupção de serviços e danos à reputação. Estes custos devem ser minimizados através de estratégias de prevenção e mitigação.

Portanto, considerar a relação entre custos de segurança e custos de falha e recuperação é fundamental para uma gestão eficiente da segurança da informação. Ignorar essa relação pode resultar em gastos excessivos com segurança ou em custos elevados devido a falhas não prevenidas.

Assim, a alternativa "C - certo" está correta, pois abrange todos esses aspectos que são vitais para a formulação de uma política de segurança eficaz.

Se o custo para proteger um ativo superar o valor dele, então não vale a pena o investimento. Afinal você pagaria um seguro de $2.000 para proteger um ativo de $500 ?

Gab: Certo.

Foco!

JUSTIFICATIVA: CERTO. Ao desenvolver uma política de segurança, um gerente de segurança precisa considerar os seguintes fatores: o valor dos ativos que estão sendo protegidos; as vulnerabilidades do sistema; e as ameaças potenciais e probabilidade de ataques. Além disso, ele deve considerar os seguintes compromissos: custo de segurança versus custo de falha e recuperação e custos de facilidade de uso e desempenho, caso faltem certas medidas de segurança. O custo de falha e recuperação de segurança deve levar em conta não somente o valor dos ativos que estão sendo protegidos e os danos resultantes de uma violação da segurança, mas também o risco, que é a probabilidade de que determinada ameaça explore certa vulnerabilidade com resultado danoso.