Questão nº 64
Questão de Tecnologia da Informação · FGV CGE-SP 2025 (nº 64)
Uma organização de médio porte está priorizando a implementação dos Controles de Segurança CIS v8 e possui os seguintes recursos:
• Orçamento limitado de segurança;
• Equipe técnica de 5 profissionais;
• Maturidade inicial em segurança (não possui inventário de ativos completo);
• Alta dependência de e-mail para comunicação de negócios.
O CISO está analisando as salvaguardas (safeguards) que deve implementar prioritariamente. Os Controles de Segurança CIS v8 classificam os controles em três grupos de implementação (Implementation Groups – IGs):
• IG1: Controles básicos e fundamentais (56 safeguards).
• IG2: Controles intermediários (74 safeguards).
• IG3: Controles avançados (23 safeguards).
Considerando o contexto organizacional e a metodologia do CIS Controls v8, assinale a opção que indica a estratégia de implementação adequada.
- AImplementar todos os 153 safeguards dos três IGs simultaneamente para garantir proteção abrangente, utilizando ferramentas open-source para reduzir custos.
- BFocar exclusivamente nos 6 CIS Controls básicos (1- Inventory of Assets; 2- Inventory of Software; 3- Data Protection; 4- Secure Configuration; 5- Account Management; 6- Access Control Management), implementando todos os safeguards desses controles.
- CImplementar prioritariamente os 56 safeguards do IG1, focando inicialmente nos controles 1 (Inventário de Ativos) e 2 (Inventário de Software) como fundação, depois 4 (Configuração Segura), 5 (Gestão de Contas) e 6 (Controle de Acesso), seguindo a ordem de prioridade recomendada. (alternativa correta)
- DComeçar pelos controles mais avançados do IG3, como Penetration Testing e Red Team Exercises, pois são os que oferecem maior retorno sobre investimento em detecção de vulnerabilidades.
- EImplementar apenas controles relacionados a e-mail (anti-spam, anti-phishing, DMARC/SPF/DKIM) do IG2, pois e-mail é o maior vetor de ataque, segundo o contexto da organização.
Resposta comentada
Gabarito Alternativa C
O conceito-chave dos Controles de Segurança CIS v8 é fornecer um conjunto priorizado de ações de segurança cibernética, divididas em Grupos de Implementação (IGs) para guiar organizações de diferentes tamanhos e maturidades, começando pelos fundamentos essenciais (IG1).
A) Incorreta: Implementar todos os 153 safeguards simultaneamente é inviável para uma organização com orçamento limitado, equipe pequena e maturidade inicial, levando ao esgotamento de recursos e falha na implementação.
B) Incorreta: Os CIS Controls v8 possuem 18 controles, e o IG1 seleciona safeguards específicos de vários desses controles, não apenas os primeiros 6. Focar exclusivamente em 6 controles e todos os seus safeguards (que podem incluir IG2/IG3) não segue a estrutura do IG1.
(C) Correta: Esta opção alinha-se perfeitamente com a metodologia do CIS Controls v8 para o perfil da organização. Priorizar os 56 safeguards do IG1 é o recomendado para maturidade inicial e recursos limitados. Focar nos controles 1 (Inventário de Ativos) e 2 (Inventário de Software) é crucial, pois a organização "não possui inventário de ativos completo", sendo a base para qualquer outra medida de segurança. Os controles 4, 5 e 6 também são fundamentais e seguem essa lógica de prioridade.
D) Incorreta: Começar por controles avançados do IG3, como Penetration Testing, é inadequado para uma organização com maturidade inicial e sem os fundamentos (como inventário de ativos). Seria como tentar construir o telhado antes de ter as paredes.
E) Incorreta: Embora a dependência de e-mail seja um risco, implementar apenas controles de e-mail e, pior, do IG2 (ignorando o IG1), é uma abordagem míope e perigosa. A segurança cibernética exige uma base sólida de higiene cibernética (IG1) antes de focar em vetores de ataque específicos de forma isolada. A armadilha aqui é a tentação de resolver um problema "óbvio" sem construir a fundação.
Fonte: FGV CGE-SP 2025 Auditor Estadual de Controle - Tecnologia da Informação (Caderno Tipo 1). Reproduzida para fins de estudo.