O modelo do Framework CIS v.8 é uma publicação que apresenta...

Próximas questões
Com base no mesmo assunto
Q2398343
Segurança da Informação Segurança de sistemas de informação , Controles de segurança , Segurança física e lógica ,
Ano: 2024 Banca: FGV Órgão: CGE-PB Prova: FGV - 2024 - CGE-PB - Auditor de Contas Públicas - Auditoria de Tecnologia da Informação |
Q2398343 Segurança da Informação
O modelo do Framework CIS v.8 é uma publicação que apresenta boas práticas e recomendações para a área de Segurança da Informação. Os 18 controles do CIS v.8 foram aprimorados para acompanhar sistemas e softwares modernos. A mudança para computação baseada em nuvem, virtualização, mobilidade, terceirização, trabalho em casa e mudanças nas táticas dos invasores motivaram a atualização e apoiam a segurança de uma empresa à medida que ela migra para ambientes totalmente em nuvem e híbridos.
Nesse contexto, entre os controles do CIS v.8 elencados abaixo, o que se relaciona com sua definição corretamente é:
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Olá, aluno! Vamos analisar a questão sobre os controles do Framework CIS v.8 e entender a alternativa correta e as incorretas. A alternativa correta nesta questão é a Alternativa E.

Alternativa E: Controle 03 – Proteção de Dados

A definição deste controle está correta. O Controle 03 do CIS v.8 se concentra na proteção de dados, abarcando todas as etapas desde a identificação, classificação, manuseio seguro, retenção, armazenamento até o descarte dos dados. Este controle é essencial para garantir que os dados da organização sejam protegidos contra acessos não autorizados e vazamentos.

Vamos agora analisar as alternativas incorretas:

Alternativa A: Controle 09 – Proteções para Navegador Web e E-mail

O controle 09 realmente abrange proteções para navegador web e e-mail, mas a definição fornecida na questão não está correta. O foco do controle 09 está mais em proteger os usuários contra ameaças web e ataques baseados em e-mail, como phishing, malware e outras formas de exploração, e não especificamente em impedir ou controlar a instalação, disseminação e execução de qualquer código script malicioso.

Alternativa B: Controle 14 – Conscientização de Segurança e Treinamento de Competência

A definição também está incorreta. O controle 14 do CIS v.8 trata da conscientização de segurança e treinamento, mas o objetivo é mais amplo do que simplesmente evitar incidentes de segurança. Ele visa educar todos os colaboradores da organização sobre boas práticas de segurança, reconhecer ameaças e responder de maneira apropriada, contribuindo para uma cultura organizacional voltada para a segurança da informação.

Alternativa C: Controle 12 – Gestão de Infraestrutura de Redes

Embora esse controle realmente trate da gestão da infraestrutura de redes, a definição não está precisa. O Controle 12 foca em assegurar que a infraestrutura de rede seja robusta e segura, envolvendo aspectos como segmentação de rede, controle de acesso, monitoramento contínuo e defesa contra ameaças em toda a infraestrutura e base de usuários. A definição fornecida é vaga e não captura todos esses elementos essenciais.

Alternativa D: Controle 05 – Gestão de Contas

O Controle 05 cobre a gestão das contas, mas a definição na questão não está completamente correta. Este controle envolve a criação, gerenciamento, monitoramento e remoção de contas de usuário de forma segura, assegurando que apenas indivíduos autorizados tenham acesso às informações e recursos da organização. A definição deve enfatizar a gestão de identidades e acessos de maneira abrangente.

Espero que essa explicação tenha clarificado suas dúvidas sobre os controles do CIS v.8. Se tiver mais perguntas, estarei à disposição para ajudar!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

De onde que a FGV tira isso ????

A proteção de dados é crucial, especialmente com as mudanças na tecnologia e nas táticas dos invasores. Estabelecer processos e controles técnicos para proteger dados em todas as fases do ciclo de vida é fundamental para garantir a segurança da informação em ambientes modernos, incluindo nuvem, mobilidade e trabalho remoto.

Todas estão corretas, mas a (E) é a que mais se encaixa no contexto da questão

✅Gabarito(E)  

Keylane, Cuidado! Você esta equivocada ao falar que "Todas estão corretas". As outras estão erradas!

O texto da A é sobre o controle 10 - Defesas contra malware

Visão geral

  • Impedir ou controlar a instalação, disseminação e execução de aplicações, códigos ou scripts maliciosos em ativos corporativos.

O texto da B que pode gerar um pouco mais de dúvida.

Algumas definições estão embaralhadas.

"esse controle recomenda que a empresa estabeleça e mantenha programas de conscientização e treinamento para evitar incidentes de segurança;"

Visão geral

  • Estabelecer e manter um programa de conscientização de segurança para influenciar o comportamento da força de trabalho para ser consciente em segurança e devidamente qualificada para reduzir os riscos de segurança cibernética para a empresa.

Veja que a visão geral não esta alinhada com o que foi passado na alternativa.

O texto da C é sobre o controle 13 - Monitoramento e defesa da Rede

Visão Geral

  • Operar processos e ferramentas para estabelecer e manter monitoramento e defesa de rede abrangente contra ameaças de segurança em toda a infraestrutura de rede corporativa e base de usuários.

O texto da D é sobre o controle 06 - Gestão do controle de acesso

Visão Geral

  • Use processos e ferramentas para criar, atribuir, gerenciar e revogar credenciais de acesso e privilégios para contas de usuário, administrador e serviço para ativos e software corporativos.

Fonte: Controles CIS Versão 8

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas