Questão nº 3

Questão de Tecnologia da Informação · FGV CVM 2024 (nº 3)

FGV2024Analista CVM - TI Infraestrutura e Segurança (Perfil 9)Tecnologia da Informação
Gabarito: Ever comentário ↓

As recomendações de segurança CIS Critical Security Controls, estruturadas em camadas, envolvem à implementação de um conjunto de controles de segurança. Em sua versão 8, são compostas por 18 níveis ou controles macro.
Sobre esses controles, aquele que está definido corretamente de acordo com a especificação é o:

Resposta comentada

Gabarito Alternativa E

Os CIS Critical Security Controls (Controles Críticos de Segurança do CIS) são um conjunto de 18 práticas de segurança cibernética, priorizadas e comprovadas, que as organizações podem implementar para se defender contra os ataques cibernéticos mais comuns. Cada controle é uma área de foco para proteger os sistemas e dados.

  • A) Incorreta: O controle CIS 5 é "Gerenciamento de Contas" (Account Management), não "Gerenciamento de Controle de Acesso". A descrição fornecida ("estabelecer e manter a configuração segura de ativos corporativos...") corresponde ao controle CIS 4: "Configuração Segura de Ativos e Software Corporativos" (Secure Configuration of Enterprise Assets and Software).
  • B) Incorreta: O controle CIS 7 é "Gerenciamento Contínuo de Vulnerabilidades" (Continuous Vulnerability Management). A descrição fornecida ("usa processos e ferramentas para atribuir e gerenciar a autorização de credenciais para contas de usuário...") corresponde ao controle CIS 6: "Gerenciamento de Controle de Acesso" (Access Control Management). A armadilha aqui é que o nome "Gerenciamento de Controle de Acesso" e a descrição combinam entre si, mas estão associados ao número de controle errado (CIS 7 em vez de CIS 6).
  • C) Incorreta: O controle CIS 1 é "Inventário e Controle de Ativos Corporativos" (Inventory and Control of Enterprise Assets). A descrição fornecida ("coleta, alerta, revisão e retenção de logs de auditoria de eventos...") corresponde ao controle CIS 8: "Gerenciamento de Logs de Auditoria" (Audit Log Management).
  • D) Incorreta: O controle CIS 11 é "Configuração Segura de Dispositivos de Rede" (Secure Configuration of Network Devices). A descrição fornecida ("indica processos e ferramentas para estabelecer e manter monitoramento de rede abrangente e defesa contra ameaças de segurança...") corresponde ao controle CIS 13: "Monitoramento e Defesa de Rede" (Network Monitoring and Defense).
  • (E) Correta: O controle CIS 3 é "Proteção de Dados" (Data Protection). A descrição "desenvolve processos e controles técnicos para identificar, classificar, manipular, reter e descartar dados com segurança" está perfeitamente alinhada com o objetivo e as práticas desse controle, que visa a proteger as informações sensíveis da organização em todo o seu ciclo de vida.

Fonte: FGV CVM 2024 Analista CVM - TI Infraestrutura e Segurança (Perfil 9) (Caderno Tipo 1). Reproduzida para fins de estudo.

Continue estudando

Estudar é izi

Pratique milhares de questões como esta, de graça, com explicação e gamificação no Quizinho.

Estudar de graça no Quizinho