Alternativa correta: A - riscos e ameaças atuais.

Tema central da questão

A questão aborda política de segurança da informação, especialmente o que deve ser contemplado em seu nível mais alto, definido pela alta direção de uma organização. Isso é fundamental para garantir que os objetivos estratégicos de proteção da informação estejam alinhados com os riscos e ameaças enfrentados.

Resumo teórico

A política de segurança da informação é o documento que orienta toda a organização sobre como proteger suas informações. Segundo normas como a ABNT NBR ISO/IEC 27001, a política deve refletir o comprometimento da direção e estabelecer diretrizes para prevenir, detectar e responder a ameaças que possam comprometer a confidencialidade, integridade e disponibilidade dos ativos de informação.

Justificativa da alternativa correta (A)

A política de segurança, em seu mais alto nível, deve trazer diretrizes sobre como a organização irá identificar e tratar riscos e ameaças atuais. Isso é essencial, pois a gestão de riscos é o ponto de partida para definir todas as demais ações de segurança, garantindo que as medidas adotadas estejam de acordo com os desafios reais enfrentados.

Fontes como a ISO/IEC 27001 reforçam essa abordagem, ao exigir a avaliação dos riscos como base para todo o sistema de gestão da segurança da informação.

Análise das alternativas incorretas

B - classificação e tratamento de informações: apesar de importante, a classificação é um requisito operacional, ou seja, um detalhamento posterior à definição da política de alto nível.

C - controle de acesso: também é uma medida específica e operacional, que deriva da definição dos riscos e das necessidades de proteção, não sendo o foco principal do documento estratégico.

D - gestão de incidentes: igualmente fundamental, mas trata-se de um processo que só será definido de acordo com os riscos identificados e não compõe, de imediato, o escopo da política de mais alto nível.

Estratégia para interpretação

Ao se deparar com termos como “mais alto nível” ou “alta direção”, procure sempre alternativas que tratem de princípios gerais, diretrizes estratégicas ou gestão de riscos, e não de procedimentos ou controles específicos, pois esses são detalhados em etapas posteriores.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

A política de segurança da informação definida pela alta direção de uma organização deve incluir prescrições para a segurança da informação a respeito de requisitos relacionados a riscos e ameaças atuais e classificação e tratamento de informações.

A política de segurança da informação, ou POSIC, tem como objetivo estabelecer regras e padrões para a proteção da informação e possibilitar o gerenciamento da segurança na organização.

Alguns exemplos de itens que podem ser incluídos na política de segurança da informação são:

Definição de cronogramas de backup

Estabelecimento de regras para o uso de senhas e credenciais de acesso

Controle de acesso aos espaços físicos

Definição de diretrizes para o acesso à informação de diferentes profissionais e times

Diretrizes sobre como os funcionários devem lidar com dados confidenciais

Quais tipos de acesso à informação são permitidos

Como os dispositivos móveis devem ser protegidos

Quais medidas devem ser tomadas em caso de violação de segurança.

Errei a questão, fiquei com muita raiva pelo comentário do professor, pois não indica o erro das alternativas, apenas comenta que não correspondem a "riscos e ameaças", por ser esta a alternativa correta. De fato, todas as alternativas são elementos que devem constar na política de segurança da informação de uma organização. Porém, depois de refletir um pouco, acredito que a palavra-chave do enunciado (inclusive com ênfase) é "em seu mais alto nível". Ou seja, no mais alto nível, no nível mais abstrato, quais prescrições devem ser incluídas? A única possível seria "riscos e ameaças atuais", uma vez que todas as demais alternativa correspondem a ações específicas, concretas. Acredito que seja este o caminho para resolver corretamente.