Uma empresa multinacional está migrando seus sistemas crític...

Próximas questões
Com base no mesmo assunto
Q3878372
Segurança da Informação ISO 27002 , Controles de segurança ,
Ano: 2026 Banca: FGV Órgão: TJ-RJ Prova: FGV - 2026 - TJ-RJ - Analista Judiciário - Tecnologia da Informação - Analista de Projetos |
Q3878372 Segurança da Informação
Uma empresa multinacional está migrando seus sistemas críticos para o ambiente de nuvem. Nesse processo, a equipe de auditoria identificou que os contratos com os provedores do serviço de nuvem não especificavam claramente as responsabilidades sobre a segurança da informação.
Para que a multinacional fique em conformidade com a norma ABNT NBR ISO/IEC 27002:2013, o controle a ser aplicado para mitigar o risco é: 
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: E

Fundamento decisivo: O ponto decisivo é que o enunciado descreve contratos com provedor de nuvem sem definição clara das responsabilidades de segurança da informação, o que indica o controle de relacionamentos com fornecedores.

Tema central: Relacionamento com fornecedores
Análise das alternativas
A
Errada
Incorreta. Gestão de continuidade de negócios trata de disponibilidade e recuperação das operações. O problema da questão não é continuidade, mas falta de definição contratual de responsabilidades de segurança com o provedor.
B
Errada
Incorreta. Política de uso aceitável regula como usuários usam ativos e recursos da organização. Isso não resolve a distribuição de obrigações de segurança em contratos de nuvem com terceiro.
C
Errada
Incorreta. Monitoramento de logs é medida operacional de detecção e acompanhamento. Ele não corrige a omissão contratual nem define papéis e responsabilidades entre organização e fornecedor.
D
Errada
Incorreta. Criptografia ponta a ponta é uma salvaguarda técnica específica. A inconformidade apontada está na ausência de cláusulas e responsabilidades de segurança no relacionamento com o provedor, e solução técnica não substitui esse controle de gestão de fornecedores.
E
Certa
A alternativa E está certa porque a situação envolve um fornecedor externo e a ausência de definição contratual sobre responsabilidades de segurança. A ABNT NBR ISO/IEC 27002:2013 trata esse caso no controle de segurança da informação em relacionamentos com fornecedores.
Pegadinha da questão
A confusão real era trocar um problema de governança contratual com fornecedor por uma medida técnica ou operacional, só porque o contexto envolve computação em nuvem.
Dica para questões semelhantes
  • Se o risco nasce de contrato, obrigação ou divisão de responsabilidades com terceiro, procure o controle de relacionamento com fornecedores.
  • Quando o enunciado destacar provedor externo e falta de definição de segurança, o foco é requisito acordado e responsabilidade documentada, não medida técnica isolada.
  • Diferencie controle contratual de fornecedor de controles internos de uso, continuidade ou monitoramento: eles atuam sobre problemas distintos.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Letra E

5.20 Abordagem da segurança da informação nos contratos de fornecedores

Note que a questão pede a norma desatualizada de 2013 e não sua atual versão de 2022, que possui um controle próprio para nuvem: 5.23 segurança da informação para uso de serviços em nuvem.

A alternativa correta é a E.

De acordo com a norma ABNT NBR ISO/IEC 27002:2013, o cenário descrito (falta de clareza em responsabilidades contratuais com provedores de nuvem) é abordado diretamente na seção que trata do relacionamento com terceiros.

  • A) a gestão de continuidade de negócios Justificativa: Este controle (Seção 17 da norma) foca em manter as operações em caso de interrupções graves ou desastres. Embora a nuvem ajude na disponibilidade, o problema central aqui é a definição de responsabilidades contratuais, e não o plano de recuperação em si.

  • B) a política de uso aceitável de recursos de TI Justificativa: Este controle (Seção 8.1.3) define regras para que os funcionários e colaboradores internos utilizem os ativos da empresa de forma correta. Ele não rege a relação jurídica e técnica entre a multinacional e um provedor de serviços externo.

  • C) o monitoramento contínuo de logs de acesso Justificativa: O monitoramento (Seção 12.4) é um controle operacional essencial para detectar incidentes. No entanto, sem que o contrato especifique de quem é a responsabilidade por gerar, armazenar ou fornecer esses logs (provedor ou cliente), a implementação técnica fica prejudicada pela lacuna jurídica.

  • D) a implementação de criptografia ponta a ponta nos sistemas internos Justificativa: A criptografia (Seção 10) é uma medida técnica de proteção de dados. Embora mitigue riscos de confidencialidade, ela não resolve a falha de conformidade apontada pela auditoria, que é a omissão de cláusulas de segurança nos contratos de serviço.

  • E) a gestão de segurança da informação em relacionamentos com fornecedores Justificativa: Esta é a resposta correta. A Seção 15 da norma trata especificamente da segurança em relacionamentos com fornecedores. O controle 15.1.2 (Abordando a segurança dentro de acordos com fornecedores) estabelece que as responsabilidades de segurança da informação devem ser formalmente acordadas e documentadas, garantindo que não existam dúvidas sobre o papel do provedor de nuvem e da contratante.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas