Julgue o próximo item, relativo a políticas de segurança da...

A alternativa correta é: C - certo.

Essa questão aborda um aspecto fundamental das políticas de segurança da informação, especificamente relacionado ao gerenciamento de riscos. A ideia é entender que os objetivos de controle de segurança da informação devem ser definidos com base na avaliação e no gerenciamento desses riscos.

Justificativa da alternativa correta:

C - certo: A questão está correta ao afirmar que os objetivos do controle de segurança da informação devem ser estabelecidos com base em gerenciamento de riscos. Isso é porque o gerenciamento de riscos permite identificar as ameaças e vulnerabilidades mais críticas para a organização, possibilitando a priorização de medidas de segurança que tratem dessas questões de forma eficaz. Esse alinhamento garante que os recursos sejam direcionados de maneira eficiente para onde são mais necessários e que as políticas de segurança sejam moldadas conforme as necessidades específicas de proteção da organização.

Explicação das alternativas incorretas:

Não há outras alternativas a serem explicadas, pois a questão é do tipo "certo ou errado". A única alternativa correta é justamente a que indica que a afirmação é verdadeira.

Vamos explorar um pouco mais o contexto para solidificar seu entendimento:

O gerenciamento de riscos é uma prática essencial em segurança da informação que envolve a identificação, avaliação, e tratamento de riscos. O objetivo é minimizar o impacto negativo de potenciais incidentes de segurança. Ao usar o gerenciamento de riscos como base para estabelecer objetivos de controle, a organização pode tomar decisões informadas sobre onde implementar controles, como alocar recursos e quais políticas desenvolver.

Em um cenário prático, considere uma empresa que enfrenta ameaças tanto de ataques cibernéticos quanto de falhas internas. Com o gerenciamento de riscos, a empresa pode identificar que os ataques cibernéticos representam um risco maior e, portanto, alocar mais recursos para fortalecer suas defesas cibernéticas, ao mesmo tempo em que implementa controles adequados para mitigar riscos internos. Dessa forma, os objetivos de controle de segurança da informação são definidos conforme uma análise criteriosa e contextualizada dos riscos.

Essa abordagem não só melhora a eficácia das medidas de segurança, mas também otimiza o uso dos recursos disponíveis, garantindo uma proteção mais robusta e direcionada.

Espero que essa explicação tenha ajudado a esclarecer o tema. Se tiver alguma dúvida ou precisar de mais exemplos, sinta-se à vontade para perguntar!

Segundo NBR/ISO 27002:2013, seção 0.3 Seleção de controle:

"A seleção de controles de segurança da informação depende das decisões da organização, baseadas nos critérios para aceitação de risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização."

Ainda segundo a norma, o resultado da avaliação de risco é uma das fontes de requisitos de segurança da informação. (E objetivos de controle são selecionados para atender requisitos).

CERTO.

"Esta Norma cobre todos os tipos de organizações (por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. Ela especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes."

Fonte: ABNT NBR ISO/IEC 27001

Tanto a norma 27001, como a 27002, destacam em vários pontos a necessidade da análise de riscos.