Uma organização de grande porte, com unidades distribuídas ...

Próximas questões
Com base no mesmo assunto
Q3992126 Segurança da Informação
Uma organização de grande porte, com unidades distribuídas em diferentes regiões, decidiu revisar sua Política de Segurança da Informação após identificar inconsistências internas: ausência de critérios formais para classificação de dados, indefinição sobre responsabilidades quanto ao uso de credenciais privilegiadas e mistura, no mesmo documento, de diretrizes estratégicas com instruções técnicas detalhadas de configuração de sistemas. Durante as discussões, surgiram divergências entre a equipe técnica e a gestão executiva acerca do escopo adequado da política e de sua relação com normas complementares e procedimentos operacionais. À luz das boas práticas em segurança da informação, assinale a alternativa CORRETA.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: D

Fundamento decisivo: O ponto decisivo foi a presença da classificação da informação no contexto da PSI, em contraste com as demais alternativas que confundem política com procedimento, dispensam governança formal ou restringem a segurança à TI.

Tema central: Classificação da informação e escopo da PSI
Análise das alternativas
A
Errada
Está errada porque a implementação de controles técnicos não substitui a governança formal da política. A PSI institucional precisa de aprovação formal da alta administração para ter legitimidade, autoridade e alinhamento organizacional.
B
Errada
Está errada porque trata a revisão periódica como facultativa. Pelas boas práticas, a política deve ser revista regularmente e também quando houver mudanças relevantes no ambiente, nos riscos ou na estrutura organizacional.
C
Errada
Está errada porque confunde política com procedimento técnico. A PSI é documento de diretrizes gerais, princípios e responsabilidades; configurações detalhadas de firewall, antivírus e backup pertencem a normas, padrões ou procedimentos complementares.
D
Certa
A alternativa D está correta porque, nas boas práticas de segurança da informação, a classificação da informação serve para identificar o nível de sensibilidade ou criticidade dos dados e orientar a adoção de controles compatíveis com cada classe. Esse é justamente o papel técnico-organizacional da classificação dentro da política institucional: permitir tratamento proporcional da informação.
E
Errada
Está errada porque restringe a segurança da informação à área de TI. A responsabilidade é organizacional e compartilhada entre gestão, TI, áreas de negócio e usuários, ainda que parte dos controles seja tecnológica.
Pegadinha da questão
A confusão real foi misturar governança da segurança com execução técnica: tratar a PSI como manual operacional, supor que controles técnicos dispensam aprovação formal e reduzir a responsabilidade pela segurança à TI.
Dica para questões semelhantes
  • Se a alternativa atribuir à PSI detalhamento operacional de configuração, elimine: isso pertence a normas, padrões ou procedimentos.
  • Se a alternativa dispensar aprovação da alta direção ou revisão periódica, ela contraria a governança básica da política.
  • Quando aparecer classificação da informação, verifique se ela está ligada à definição de controles proporcionais à sensibilidade dos dados.
  • Segurança da informação deve ser lida como responsabilidade institucional compartilhada, não exclusiva da área técnica.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

A — Incorreta:

A Política de Segurança deve ser formalmente aprovada pela alta administração, pois isso garante autoridade, alinhamento estratégico e obrigatoriedade.

B — Incorreta:

A revisão não é facultativa; deve ser periódica, para acompanhar mudanças em riscos, tecnologia e no negócio.

C — Incorreta:

A política deve ser estratégica e de alto nível. Detalhes técnicos (firewall, antivírus, backup) ficam em normas e procedimentos, não na política.

D — Correta:

A classificação da informação orienta os controles, permitindo aplicar medidas proporcionais à sensibilidade dos dados. GABARITO

E — Incorreta:

A segurança da informação é responsabilidade de toda a organização, não apenas da TI.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo