Julgue o seguinte item, relativos ao COBIT 2019. O COBIT pos...

Gabarito: Errado (E)

Vamos entender a questão proposta e os conceitos necessários para resolvê-la.

O COBIT (Control Objectives for Information and Related Technologies) é um framework de governança e gerenciamento de TI que fornece uma visão abrangente e integrada das melhores práticas para o controle e a governança da tecnologia da informação.

Na questão, é mencionado que o COBIT possui uma visão abrangente de governança, com foco especial na segurança da informação, mas afirma que não há um processo específico para manter o nível de risco de segurança da informação, já que a política de segurança está presente de forma holística. Vamos analisar isso.

O COBIT 2019 realmente possui uma visão abrangente de governança de TI e inclui a segurança da informação como um de seus componentes essenciais. No entanto, a afirmação de que não há um processo específico para manter o nível de risco de segurança da informação está incorreta.

No COBIT 2019, há processos bem definidos para lidar com a segurança da informação. Especificamente, o processo “Manage Security” (APO13) aborda a gestão da segurança da informação, e o processo “Manage Risk” (APO12) é dedicado à gestão dos riscos de TI, incluindo os riscos de segurança da informação. Estes processos são projetados para garantir que os riscos de segurança da informação sejam identificados, avaliados e mitigados de forma adequada.

Portanto, a alternativa correta é Errado (E), porque a afirmação feita na questão não considera a existência dos processos específicos de gestão de segurança e de riscos no COBIT 2019.

Para lembrar, os pontos chave são:

• COBIT 2019 é um framework abrangente de governança e gerenciamento de TI.
• Existem processos específicos no COBIT 2019 para lidar com a segurança da informação e os riscos associados.
• Os processos APO13 (Manage Security) e APO12 (Manage Risk) são exemplos claros desses processos.

Espero que esta explicação tenha ajudado a compreender melhor o tema e a resolver a questão corretamente. Se precisar de mais alguma coisa, estou à disposição!

CORRETA - Processo APO13 - Gerenciar Segurança - Manter o impacto e a ocorrência de incidentes de segurança da informação dentro dos níveis de apetite de risco da empresa.

O COBIT 2019, de fato, tem uma abordagem abrangente na governança e gerenciamento da informação e tecnologia, inclusive na segurança da informação. No entanto, a afirmação de que "não há processo específico para manter o nível do risco de segurança da informação" no COBIT 2019 é incorreta.

O COBIT 2019 incorpora práticas e processos específicos que lidam diretamente com a gestão de riscos de segurança da informação. Um dos objetivos do COBIT é assegurar que os riscos de TI, incluindo os de segurança da informação, sejam identificados, avaliados, geridos e monitorizados de forma eficaz. Isso é alcançado através de um conjunto de processos e práticas específicas dedicadas à gestão de riscos.

Além disso, o modelo COBIT reconhece a importância de integrar a política de segurança da informação em todas as suas práticas de governança e gestão de forma holística. No entanto, isso não elimina a necessidade de processos específicos que abordem diretamente a segurança da informação e a gestão de riscos relacionados.

Portanto, o item deve ser considerado "Errado". O COBIT 2019, embora tenha uma abordagem holística, inclui processos específicos para a gestão de riscos de segurança da informação.

ERRADO!

O COBIT 2019 possui um processo específico para manter o nível do risco de segurança da informação, o processo DSS05: Gerenciamento da segurança de serviços. Esse processo tem como objetivo garantir que os serviços de TI sejam seguros e confiáveis, e que os riscos de segurança sejam mantidos em um nível aceitável.

O processo DSS05 inclui as seguintes atividades:

• Definição de uma estratégia de segurança de serviços.
• Gerenciamento do risco de segurança de serviços.
• Implementação de controles de segurança de serviços.
• Avaliação do desempenho da segurança de serviços.

CEBRASPE adora dizer que o COBIT negligencia a segurança.

GABARITO; ERRADO.

__________________

A afirmação de que "o COBIT não possui um processo específico para manter o nível de risco de segurança da informação" está incorreta. Apesar de ter uma visão abrangente da governança, com ênfase na segurança da informação, o COBIT 2019 fornece sim um processo dedicado à gestão de riscos de segurança da informação: o DSS05: Gestão da Segurança de Serviços.

É verdade que o COBIT 2019 adota uma abordagem holística à segurança da informação, incorporando políticas e controles em diversos processos. Essa visão abrangente é fundamental para garantir a efetividade da segurança da informação na organização. No entanto, um processo específico para gerenciar os riscos de segurança da informação é crucial para complementar essa abordagem holística.

O DSS05: Gestão da Segurança de Serviços se concentra em:

Identificar e avaliar os riscos de segurança da informação: O processo ajuda a identificar os ativos de informação que precisam ser protegidos, os tipos de ameaças que podem comprometer esses ativos e os impactos potenciais dessas ameaças.

Implementar e manter controles de segurança: O processo fornece diretrizes para implementar e manter controles de segurança adequados para mitigar os riscos identificados. Esses controles podem incluir medidas técnicas, organizacionais e físicas.

Monitorar e revisar a efetividade dos controles: O processo define atividades para monitorar os controles de segurança e garantir que eles estejam funcionando de forma eficaz. Também inclui a revisão periódica dos controles para garantir que eles estejam atualizados e sejam adequados aos riscos atuais.

Ao seguir as etapas do DSS05: Gestão da Segurança de Serviços, as organizações podem:

Manter um nível aceitável de risco de segurança da informação: O processo ajuda a garantir que os riscos de segurança da informação sejam identificados, avaliados e mitigados de forma eficaz, minimizando o impacto potencial de eventos de segurança.

Atender aos requisitos de conformidade: O processo pode auxiliar na conformidade com leis, regulamentações e padrões de segurança da informação relevantes.

Melhorar a tomada de decisões: O processo fornece informações para embasar decisões relacionadas à segurança da informação, permitindo que a organização aloque recursos de forma eficiente e eficaz.

Políticas de segurança holísticas e um processo dedicado à gestão de riscos de segurança da informação se complementam para garantir um programa de segurança da informação robusto e eficaz.