Questão nº 3
Questão de Tecnologia da Informação · FGV CVM 2024 (nº 3)
As recomendações de segurança CIS Critical Security Controls, estruturadas em camadas, envolvem à implementação de um conjunto de controles de segurança. Em sua versão 8, são compostas por 18 níveis ou controles macro.
Sobre esses controles, aquele que está definido corretamente de acordo com a especificação é o:
- Acontrole CIS 5: Gerenciamento de Controle de Acesso - visa a estabelecer e manter a configuração segura de ativos corporativos (dispositivos de usuário final, incluindo portáteis e móveis; dispositivos de rede; dispositivos não computacionais/IoT; e servidores) e software (sistemas operacionais e aplicativos);
- Bcontrole CIS 7: Gerenciamento de Controle de Acesso - usa processos e ferramentas para atribuir e gerenciar a autorização de credenciais para contas de usuário, incluindo contas de administrador, bem como contas de serviço, para ativos e software corporativos;
- Ccontrole CIS 1: Gerenciamento Contínuo de Vulnerabilidades - coleta, alerta, revisão e retenção de logs de auditoria de eventos que podem ajudar a detectar, entender ou se recuperar de um ataque;
- Dcontrole CIS 11: Teste de Penetração - indica processos e ferramentas para estabelecer e manter monitoramento de rede abrangente e defesa contra ameaças de segurança em toda a infraestrutura de rede e base de usuários da empresa;
- Econtrole CIS 3: Proteção de dados - desenvolve processos e controles técnicos para identificar, classificar, manipular, reter e descartar dados com segurança. (alternativa correta)
Resposta comentada
Gabarito Alternativa E
Os CIS Critical Security Controls (Controles Críticos de Segurança do CIS) são um conjunto de 18 práticas de segurança cibernética, priorizadas e comprovadas, que as organizações podem implementar para se defender contra os ataques cibernéticos mais comuns. Cada controle é uma área de foco para proteger os sistemas e dados.
- A) Incorreta: O controle CIS 5 é "Gerenciamento de Contas" (Account Management), não "Gerenciamento de Controle de Acesso". A descrição fornecida ("estabelecer e manter a configuração segura de ativos corporativos...") corresponde ao controle CIS 4: "Configuração Segura de Ativos e Software Corporativos" (Secure Configuration of Enterprise Assets and Software).
- B) Incorreta: O controle CIS 7 é "Gerenciamento Contínuo de Vulnerabilidades" (Continuous Vulnerability Management). A descrição fornecida ("usa processos e ferramentas para atribuir e gerenciar a autorização de credenciais para contas de usuário...") corresponde ao controle CIS 6: "Gerenciamento de Controle de Acesso" (Access Control Management). A armadilha aqui é que o nome "Gerenciamento de Controle de Acesso" e a descrição combinam entre si, mas estão associados ao número de controle errado (CIS 7 em vez de CIS 6).
- C) Incorreta: O controle CIS 1 é "Inventário e Controle de Ativos Corporativos" (Inventory and Control of Enterprise Assets). A descrição fornecida ("coleta, alerta, revisão e retenção de logs de auditoria de eventos...") corresponde ao controle CIS 8: "Gerenciamento de Logs de Auditoria" (Audit Log Management).
- D) Incorreta: O controle CIS 11 é "Configuração Segura de Dispositivos de Rede" (Secure Configuration of Network Devices). A descrição fornecida ("indica processos e ferramentas para estabelecer e manter monitoramento de rede abrangente e defesa contra ameaças de segurança...") corresponde ao controle CIS 13: "Monitoramento e Defesa de Rede" (Network Monitoring and Defense).
- (E) Correta: O controle CIS 3 é "Proteção de Dados" (Data Protection). A descrição "desenvolve processos e controles técnicos para identificar, classificar, manipular, reter e descartar dados com segurança" está perfeitamente alinhada com o objetivo e as práticas desse controle, que visa a proteger as informações sensíveis da organização em todo o seu ciclo de vida.
Fonte: FGV CVM 2024 Analista CVM - TI Infraestrutura e Segurança (Perfil 9) (Caderno Tipo 1). Reproduzida para fins de estudo.