Os controles e objetivos de controle a serem implementados ...
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Para resolver a questão, é importante entender o papel das normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2022, que são fundamentais para a gestão da segurança da informação.
A ISO/IEC 27001 é uma norma que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI). Ela inclui requisitos para a avaliação e tratamento de riscos de segurança da informação que devem ser adaptados às necessidades da organização.
Já a ISO/IEC 27002 fornece diretrizes para a seleção e implementação de controles, levando em conta o contexto da avaliação de riscos e os objetivos de controle que foram definidos.
Na questão, o enunciado menciona que "os controles e objetivos de controle a serem implementados para mitigar os riscos devem ser adotados em alinhamento aos termos da subseção avaliação de riscos de segurança da informação". Este item está errado (Alternativa E).
A razão para isso é que, embora os controles devam estar alinhados com a avaliação de riscos, eles são apenas uma parte do processo. A definição dos controles precisa considerar também outros aspectos, como o ambiente organizacional e as necessidades específicas de segurança, além dos riscos identificados.
Os controles não são implementados unicamente com base na avaliação de riscos. Devem estar também em conformidade com a política de segurança da informação da organização e considerar as melhores práticas e diretrizes fornecidas pela ISO/IEC 27002.
Portanto, a afirmação de que os controles devem ser adotados exclusivamente em alinhamento aos termos de avaliação de riscos é uma simplificação incorreta do processo conforme descrito pelas normas.
Gostou do comentário? Deixe sua avaliação aqui embaixo!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Marquei como Certa
- A implementação de controles deve estar diretamente alinhada à avaliação de riscos de segurança da informação, conforme estabelecido em boas práticas e normas como a ISO/IEC 27001.
- Isso garante que os controles sejam eficazes na mitigação dos riscos identificados.
Todas as vezes em que fiz essa questão eu errei. Não consegui encontrar uma explicação, mas procurei na ISO e vi o seguinte:
O Item 6. Planejamento tem:
6.1. Ações para abordar riscos e oportunidades
6.1.1 Geral
[...]
6.1.2 Avaliação dos Riscos de Segurança da Informação
[...] (Aqui não fala nada de escolher os controles)
6.1.3 Tratamento dos Riscos de Segurança da Informação
b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento de riscos da segurança da informação;
Como a questão fala "aos termos da subseção avaliação de riscos de segurança da informação" e como essa parte está na verdade dentro de "tratamento de riscos de segurança da informação" que é uma subseção depois da de avaliação, talvez seja isso que torne a questão errada. Mas achei completamente nada a ver e mesmo com a norma aberta eu custei a achar isso.
Enfim, cespe sendo cespe. Vamos ver como fica no gabarito final.
A organização vai determinar seus requisitos, controles, por meio de três fontes:
Avaliação de riscos;
Os requisitos legais;
Conjuntos de princípios,objetivos e requisitos de negócios. Acredito que o erro seria de citar apenas avaliação de riscos.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos