Em uma organização, a política de segurança da informação d...

A alternativa correta é a A - riscos e ameaças atuais.

Em uma organização, a política de segurança da informação é um documento essencial que estabelece linhas de conduta para proteger as informações e os sistemas contra acessos não autorizados, danos ou perdas. No contexto da pergunta, a política deve incluir prescrições relacionadas a riscos e ameaças atuais.

Este é um ponto crucial, pois a segurança da informação deve ser dinâmica e estar sempre atualizada em relação ao cenário de ameaças que evolui constantemente. Riscos e ameaças precisam ser identificados, avaliados e geridos para proteger os ativos de informação da organização efetivamente.

Vamos analisar por que as outras alternativas estão incorretas:

B - classificação e tratamento de informações. Embora seja um componente importante dentro da segurança da informação, a classificação e o tratamento de informações se referem a como as informações são categorizadas e protegidas, de acordo com seu nível de sensibilidade. Porém, não abrangem diretamente a identificação de ameaças e riscos atuais, que é essencial para a política de segurança.

C - controle de acesso. Este é um aspecto específico da segurança da informação que envolve a definição de quem tem permissão para acessar ou usar recursos de informação. Embora crucial, ele é um dos mecanismos de proteção e não cobre a totalidade da questão dos riscos e ameaças atuais.

D - gestão de incidentes. A gestão de incidentes é o processo de preparação, detecção e resposta a eventos que ameaçam a segurança da informação. No entanto, isso é uma parte da política que trata de questões quando os riscos já se concretizaram, e não da antecipação e mitigação desses riscos, que é o foco da alternativa correta.

A compreensão destes conceitos auxilia no desenvolvimento de uma abordagem mais robusta e proativa na proteção dos dados e sistemas da organização, garantindo que as políticas de segurança sejam relevantes e eficazes frente ao cenário de ameaças em constante mudança.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

A política de segurança da informação definida pela alta direção de uma organização deve incluir prescrições para a segurança da informação a respeito de requisitos relacionados a riscos e ameaças atuais e classificação e tratamento de informações.

A política de segurança da informação, ou POSIC, tem como objetivo estabelecer regras e padrões para a proteção da informação e possibilitar o gerenciamento da segurança na organização.

Alguns exemplos de itens que podem ser incluídos na política de segurança da informação são:

Definição de cronogramas de backup

Estabelecimento de regras para o uso de senhas e credenciais de acesso

Controle de acesso aos espaços físicos

Definição de diretrizes para o acesso à informação de diferentes profissionais e times

Diretrizes sobre como os funcionários devem lidar com dados confidenciais

Quais tipos de acesso à informação são permitidos

Como os dispositivos móveis devem ser protegidos

Quais medidas devem ser tomadas em caso de violação de segurança.

Errei a questão, fiquei com muita raiva pelo comentário do professor, pois não indica o erro das alternativas, apenas comenta que não correspondem a "riscos e ameaças", por ser esta a alternativa correta. De fato, todas as alternativas são elementos que devem constar na política de segurança da informação de uma organização. Porém, depois de refletir um pouco, acredito que a palavra-chave do enunciado (inclusive com ênfase) é "em seu mais alto nível". Ou seja, no mais alto nível, no nível mais abstrato, quais prescrições devem ser incluídas? A única possível seria "riscos e ameaças atuais", uma vez que todas as demais alternativa correspondem a ações específicas, concretas. Acredito que seja este o caminho para resolver corretamente.