Questão nº 64

Questão de Tecnologia da Informação · FGV CGE-SP 2025 (nº 64)

FGV2025Auditor Estadual de Controle - Tecnologia da InformaçãoTecnologia da Informação
Gabarito: Cver comentário ↓

Uma organização de médio porte está priorizando a implementação dos Controles de Segurança CIS v8 e possui os seguintes recursos:

• Orçamento limitado de segurança;
• Equipe técnica de 5 profissionais;
• Maturidade inicial em segurança (não possui inventário de ativos completo);
• Alta dependência de e-mail para comunicação de negócios.

O CISO está analisando as salvaguardas (safeguards) que deve implementar prioritariamente. Os Controles de Segurança CIS v8 classificam os controles em três grupos de implementação (Implementation Groups – IGs):

• IG1: Controles básicos e fundamentais (56 safeguards).
• IG2: Controles intermediários (74 safeguards).
• IG3: Controles avançados (23 safeguards).

Considerando o contexto organizacional e a metodologia do CIS Controls v8, assinale a opção que indica a estratégia de implementação adequada.

Resposta comentada

Gabarito Alternativa C

O conceito-chave dos Controles de Segurança CIS v8 é fornecer um conjunto priorizado de ações de segurança cibernética, divididas em Grupos de Implementação (IGs) para guiar organizações de diferentes tamanhos e maturidades, começando pelos fundamentos essenciais (IG1).

A) Incorreta: Implementar todos os 153 safeguards simultaneamente é inviável para uma organização com orçamento limitado, equipe pequena e maturidade inicial, levando ao esgotamento de recursos e falha na implementação.
B) Incorreta: Os CIS Controls v8 possuem 18 controles, e o IG1 seleciona safeguards específicos de vários desses controles, não apenas os primeiros 6. Focar exclusivamente em 6 controles e todos os seus safeguards (que podem incluir IG2/IG3) não segue a estrutura do IG1.
(C) Correta: Esta opção alinha-se perfeitamente com a metodologia do CIS Controls v8 para o perfil da organização. Priorizar os 56 safeguards do IG1 é o recomendado para maturidade inicial e recursos limitados. Focar nos controles 1 (Inventário de Ativos) e 2 (Inventário de Software) é crucial, pois a organização "não possui inventário de ativos completo", sendo a base para qualquer outra medida de segurança. Os controles 4, 5 e 6 também são fundamentais e seguem essa lógica de prioridade.
D) Incorreta: Começar por controles avançados do IG3, como Penetration Testing, é inadequado para uma organização com maturidade inicial e sem os fundamentos (como inventário de ativos). Seria como tentar construir o telhado antes de ter as paredes.
E) Incorreta: Embora a dependência de e-mail seja um risco, implementar apenas controles de e-mail e, pior, do IG2 (ignorando o IG1), é uma abordagem míope e perigosa. A segurança cibernética exige uma base sólida de higiene cibernética (IG1) antes de focar em vetores de ataque específicos de forma isolada. A armadilha aqui é a tentação de resolver um problema "óbvio" sem construir a fundação.

Fonte: FGV CGE-SP 2025 Auditor Estadual de Controle - Tecnologia da Informação (Caderno Tipo 1). Reproduzida para fins de estudo.

Continue estudando

Estudar é izi

Pratique milhares de questões como esta, de graça, com explicação e gamificação no Quizinho.

Estudar de graça no Quizinho