Julgue o seguinte item, relativos ao COBIT 2019. O COBIT pos...
O COBIT possui visão abrangente em seus processos de governança, especialmente no que se refere à segurança da informação, por isso não há processo específico para manter o nível do risco de segurança da informação, uma vez que, nesse modelo, a política de segurança deve estar presente de uma forma holística.
CORRETA - Processo APO13 - Gerenciar Segurança - Manter o impacto e a ocorrência de incidentes de segurança da informação dentro dos níveis de apetite de risco da empresa.
O COBIT 2019, de fato, tem uma abordagem abrangente na governança e gerenciamento da informação e tecnologia, inclusive na segurança da informação. No entanto, a afirmação de que "não há processo específico para manter o nível do risco de segurança da informação" no COBIT 2019 é incorreta.
O COBIT 2019 incorpora práticas e processos específicos que lidam diretamente com a gestão de riscos de segurança da informação. Um dos objetivos do COBIT é assegurar que os riscos de TI, incluindo os de segurança da informação, sejam identificados, avaliados, geridos e monitorizados de forma eficaz. Isso é alcançado através de um conjunto de processos e práticas específicas dedicadas à gestão de riscos.
Além disso, o modelo COBIT reconhece a importância de integrar a política de segurança da informação em todas as suas práticas de governança e gestão de forma holística. No entanto, isso não elimina a necessidade de processos específicos que abordem diretamente a segurança da informação e a gestão de riscos relacionados.
Portanto, o item deve ser considerado "Errado". O COBIT 2019, embora tenha uma abordagem holística, inclui processos específicos para a gestão de riscos de segurança da informação.
ERRADO!
O COBIT 2019 possui um processo específico para manter o nível do risco de segurança da informação, o processo DSS05: Gerenciamento da segurança de serviços. Esse processo tem como objetivo garantir que os serviços de TI sejam seguros e confiáveis, e que os riscos de segurança sejam mantidos em um nível aceitável.
O processo DSS05 inclui as seguintes atividades:
- Definição de uma estratégia de segurança de serviços.
- Gerenciamento do risco de segurança de serviços.
- Implementação de controles de segurança de serviços.
- Avaliação do desempenho da segurança de serviços.
CEBRASPE adora dizer que o COBIT negligencia a segurança.
GABARITO; ERRADO.
__________________
A afirmação de que "o COBIT não possui um processo específico para manter o nível de risco de segurança da informação" está incorreta. Apesar de ter uma visão abrangente da governança, com ênfase na segurança da informação, o COBIT 2019 fornece sim um processo dedicado à gestão de riscos de segurança da informação: o DSS05: Gestão da Segurança de Serviços.
É verdade que o COBIT 2019 adota uma abordagem holística à segurança da informação, incorporando políticas e controles em diversos processos. Essa visão abrangente é fundamental para garantir a efetividade da segurança da informação na organização. No entanto, um processo específico para gerenciar os riscos de segurança da informação é crucial para complementar essa abordagem holística.
O DSS05: Gestão da Segurança de Serviços se concentra em:
Identificar e avaliar os riscos de segurança da informação: O processo ajuda a identificar os ativos de informação que precisam ser protegidos, os tipos de ameaças que podem comprometer esses ativos e os impactos potenciais dessas ameaças.
Implementar e manter controles de segurança: O processo fornece diretrizes para implementar e manter controles de segurança adequados para mitigar os riscos identificados. Esses controles podem incluir medidas técnicas, organizacionais e físicas.
Monitorar e revisar a efetividade dos controles: O processo define atividades para monitorar os controles de segurança e garantir que eles estejam funcionando de forma eficaz. Também inclui a revisão periódica dos controles para garantir que eles estejam atualizados e sejam adequados aos riscos atuais.
Ao seguir as etapas do DSS05: Gestão da Segurança de Serviços, as organizações podem:
Manter um nível aceitável de risco de segurança da informação: O processo ajuda a garantir que os riscos de segurança da informação sejam identificados, avaliados e mitigados de forma eficaz, minimizando o impacto potencial de eventos de segurança.
Atender aos requisitos de conformidade: O processo pode auxiliar na conformidade com leis, regulamentações e padrões de segurança da informação relevantes.
Melhorar a tomada de decisões: O processo fornece informações para embasar decisões relacionadas à segurança da informação, permitindo que a organização aloque recursos de forma eficiente e eficaz.
Políticas de segurança holísticas e um processo dedicado à gestão de riscos de segurança da informação se complementam para garantir um programa de segurança da informação robusto e eficaz.
Gabarito: Errado (E)
Vamos entender a questão proposta e os conceitos necessários para resolvê-la.
O COBIT (Control Objectives for Information and Related Technologies) é um framework de governança e gerenciamento de TI que fornece uma visão abrangente e integrada das melhores práticas para o controle e a governança da tecnologia da informação.
Na questão, é mencionado que o COBIT possui uma visão abrangente de governança, com foco especial na segurança da informação, mas afirma que não há um processo específico para manter o nível de risco de segurança da informação, já que a política de segurança está presente de forma holística. Vamos analisar isso.
O COBIT 2019 realmente possui uma visão abrangente de governança de TI e inclui a segurança da informação como um de seus componentes essenciais. No entanto, a afirmação de que não há um processo específico para manter o nível de risco de segurança da informação está incorreta.
No COBIT 2019, há processos bem definidos para lidar com a segurança da informação. Especificamente, o processo “Manage Security” (APO13) aborda a gestão da segurança da informação, e o processo “Manage Risk” (APO12) é dedicado à gestão dos riscos de TI, incluindo os riscos de segurança da informação. Estes processos são projetados para garantir que os riscos de segurança da informação sejam identificados, avaliados e mitigados de forma adequada.
Portanto, a alternativa correta é Errado (E), porque a afirmação feita na questão não considera a existência dos processos específicos de gestão de segurança e de riscos no COBIT 2019.
Para lembrar, os pontos chave são:
- COBIT 2019 é um framework abrangente de governança e gerenciamento de TI.
- Existem processos específicos no COBIT 2019 para lidar com a segurança da informação e os riscos associados.
- Os processos APO13 (Manage Security) e APO12 (Manage Risk) são exemplos claros desses processos.
Espero que esta explicação tenha ajudado a compreender melhor o tema e a resolver a questão corretamente. Se precisar de mais alguma coisa, estou à disposição!
Conheça nossos planos