A alternativa correta para a questão apresentada é E - errado.

Tema central da questão: A questão aborda a governança de segurança da informação no contexto do framework NIST (National Institute of Standards and Technology), especificamente a categoria "Proteger". Entender as categorias do NIST é crucial para quem trabalha com desenvolvimento e segurança em TI.

Resumo teórico: O framework NIST Cybersecurity Framework (CSF) é composto por cinco funções principais: Identificar, Proteger, Detectar, Responder e Recuperar. Cada uma dessas funções é subdividida em categorias específicas que guiam as organizações na implementação de práticas de segurança cibernética.

No contexto do NIST, a categoria Proteger concentra-se em medidas de segurança para garantir a entrega de serviços de infraestrutura crítica. Ela inclui controles relacionados à proteção de dados, autenticação, controle de acesso, conscientização e treinamento, segurança dos dados e proteção de manutenção.

Por outro lado, gestão de ativos e avaliação de riscos são aspectos que pertencem à função Identificar, que visa entender o contexto empresarial, os recursos que apoiam funções críticas e os riscos associados a esses recursos.

Justificativa da alternativa correta: A afirmação na questão está incorreta porque coloca a gestão de ativos e a avaliação de riscos na categoria "Proteger", enquanto na verdade, esses aspectos pertencem à função "Identificar". O erro está na categorização dos elementos dentro do NIST.

Análise das alternativas incorretas: A questão é de "Certo ou Errado", portanto, a explicação já abrange o motivo da alternativa ser considerada "E - errado". A alternativa "C - certo" seria incorreta por reafirmar uma categorização errada dos elementos no framework NIST.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

A afirmação está errada.

No NIST Cybersecurity Framework (NIST CSF), a categoria "Proteger" (Protect) não envolve gestão de ativos nem avaliação de riscos.

• A gestão de ativos pertence à função "Identificar" (Identify), que envolve o conhecimento dos ativos, ambientes, dados e riscos associados.
• A avaliação de riscos também faz parte da função "Identificar", pois está relacionada à análise e compreensão das ameaças e vulnerabilidades.

A função "Proteger" (Protect) foca em medidas preventivas, como controle de acessos, proteção de dados, processos de segurança, manutenção e conscientização.

GABARITO ERRADO

IDENTIFICAR (IDENTIFY)

• Gestão de ativos
• Avaliação de riscos
• Governança
• Ambiente de negócios
• Gestão de riscos da cadeia de suprimentos

PROTEGER (PROTECT)

• Controle de acesso
• Conscientização e treinamento
• Segurança de dados
• Processos de proteção
• Tecnologia de proteção
• Manutenção

Gabarito: Errado

Justificativa:

No framework de segurança da informação do NIST (NIST Cybersecurity Framework - CSF), a função "Proteger" (Protect) abrange atividades para implementar salvaguardas que garantam a entrega de serviços críticos, incluindo:

• Controles de acesso,
• Treinamento e conscientização,
• Proteção de dados,
• Manutenção e proteção de ativos,
• Proteção de tecnologia da informação.

Já a gestão de ativos é, de fato, parte da função "Proteger", mas a avaliação de riscos está dentro da função "Identificar" (Identify), que trata do entendimento do ambiente de risco, incluindo governança, avaliação de riscos e gestão de ativos.

Portanto, a avaliação de riscos não está na categoria "Proteger", mas sim na categoria "Identificar".

Gabarito: Errado.