Considere as afirmativas abaixo sobre políticas de seguranç...
I. Na definição de uma política de segurança, é preciso avaliar as ameaças e os riscos, classificando-os de acordo com a susceptibilidade e a criticidade da operação e do ativo que poderá ser afetado, além de fornecer contramedidas para mitigá-las, caso a ameaça se concretize.
II. Uma política de segurança da informação visa prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.
III. Em uma política de segurança deve constar, entre outros, a definição dos principais conceitos de segurança da informação; comprometimento da direção apoiando as metas e os princípios; uma estrutura para estabelecer os objetivos de controle e os controles propriamente ditos, incluindo a estrutura da análise e avaliação de gerenciamento de riscos.
Quais afirmativas estão corretas?
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
A alternativa correta é: D - Apenas a II e III.
Vamos entender detalhadamente o motivo dessa escolha, começando com a análise de cada afirmativa:
I. Na definição de uma política de segurança, é preciso avaliar as ameaças e os riscos, classificando-os de acordo com a susceptibilidade e a criticidade da operação e do ativo que poderá ser afetado, além de fornecer contramedidas para mitigá-las, caso a ameaça se concretize.
Essa afirmativa não está inteiramente correta. Embora seja essencial avaliar ameaças e riscos e classificá-los, a formulação de contramedidas não ocorre apenas na política de segurança, mas também em outras etapas do processo de gestão de segurança. A política de segurança fornece diretrizes gerais e não detalha todas as contramedidas.
II. Uma política de segurança da informação visa prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.
Essa afirmativa está correta. De fato, uma política de segurança da informação tem o objetivo de estabelecer diretrizes e fornecer apoio da alta direção para garantir a segurança das informações. Ela alinha as necessidades de segurança com os requisitos do negócio e as leis e regulamentações aplicáveis.
III. Em uma política de segurança deve constar, entre outros, a definição dos principais conceitos de segurança da informação; comprometimento da direção apoiando as metas e os princípios; uma estrutura para estabelecer os objetivos de controle e os controles propriamente ditos, incluindo a estrutura da análise e avaliação de gerenciamento de riscos.
Essa afirmativa também está correta. Uma boa política de segurança de informação inclui a definição de conceitos fundamentais, o comprometimento da alta direção, e uma estrutura clara para estabelecer e manter os controles de segurança, bem como processos de análise e gerenciamento de riscos.
Com base nessa análise, podemos concluir que as afirmativas II e III são corretas, justificando a escolha da alternativa D.
Vamos revisar as alternativas incorretas:
A - Apenas a I.
Essa alternativa está incorreta, pois a afirmativa I não está inteiramente correta, conforme explicado anteriormente.
B - Apenas a III.
Embora a afirmativa III esteja correta, essa alternativa não abrange todas as afirmativas corretas, já que a afirmativa II também está correta.
C - Apenas a I e II.
Essa alternativa está incorreta porque a afirmativa I não está completamente correta.
E - I, II e III.
Essa alternativa está incorreta porque a afirmativa I não está correta.
Espero ter ajudado a esclarecer os pontos essenciais da questão. Caso tenha mais dúvidas, estou à disposição para ajudar!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Não consegui entender o porque da afirmativa I está incorreta.
I)INCORRETO. Segundo a ISO 27002,4.1 Analisando/avaliando os riscos de segurança da informação",
Convém que as análises/avaliações de riscos identifiquem, quantifiquem e priorizem os riscos com base em critérios para aceitação dos riscos e dos objetivos relevantes para a organização." (Minhas palavras>>)** A política de segurança da informação está mais para prover uma orientação, e apesar de prover uma estrutura para a análise e avaliação de risco, é responsabilidade da análise/avaliação avaliar as ameaças e riscos, e não da política de segurança.
--------------------
II) CORRETO. Segundo a ISO 27002,5.1 Política de segurança da informação,"Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes."
-----------------
III)CORRETO. Segundo a ISO 27002,5.1.1 Documento da política de segurança da informação,"
Convém que o documento da política contenha declarações relativas a:
a) uma definição de segurança da informação, suas metas globais, escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação (ver introdução); b) uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada com os objetivos e estratégias do negócio; c) uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco;"
O erro da assertiva I está :
além de fornecer contramedidas para mitigá-las nem todos os riscos podem ser mitigados.
Ainda nao entendi por que nao considerar a I certa
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos