Questão nº 44
Questão de Tecnologia da Informação · FGV DATAPREV 2024 (nº 44)
O NIST (National Institute of Standards and Technology) Cybersecurity Framework (versão 1.1) é amplamente utilizado como uma referência para fortalecer a segurança cibernética em organizações.
Estruturado de forma a fornecer um guia adaptável para o gerenciamento de riscos, as funções do componente principal do framework, excluindo a camada de implementação e os perfis, são
- AGovernança, Auditoria, Resposta, Recuperação e Comunicação.
- BIdentificação, Proteção, Detecção, Resposta e Recuperação. (alternativa correta)
- CAvaliação de Riscos, Proteção de Dados, Conformidade, Resposta a Incidentes e Recuperação.
- DPlanejamento, Proteção, Detecção, Mitigação e Recuperação.
- EClassificação de Riscos, Proteção de Ativos, Monitoramento, Resposta e Recuperação.
Resposta comentada
Gabarito Alternativa B
O NIST Cybersecurity Framework (CSF) é um guia que ajuda as organizações a entenderem e melhorarem sua segurança cibernética, organizando as atividades de segurança em cinco funções principais. Essas funções são como os pilares que sustentam um programa de segurança eficaz.
- (A) Incorreta: "Governança", "Auditoria" e "Comunicação" não são as cinco funções principais do NIST CSF.
- (B) Correta: Estas são as cinco funções centrais do NIST CSF: Identificação (entender seus ativos e riscos), Proteção (colocar salvaguardas), Detecção (encontrar eventos de segurança), Resposta (agir sobre incidentes) e Recuperação (restaurar operações).
- (C) Incorreta: Embora "Avaliação de Riscos", "Proteção de Dados", "Conformidade", "Resposta a Incidentes" e "Recuperação" sejam atividades importantes de segurança, os três primeiros não são os nomes das funções principais do NIST CSF. Esta é a armadilha da banca, pois mistura termos de segurança relevantes que são subcategorias ou conceitos relacionados, mas não as cinco funções de alto nível do framework.
- (D) Incorreta: "Planejamento" e "Mitigação" não são as cinco funções principais do NIST CSF, sendo o planejamento uma atividade mais ampla e a mitigação parte da proteção e resposta.
- (E) Incorreta: "Classificação de Riscos", "Proteção de Ativos" e "Monitoramento" são atividades que se encaixam dentro das funções principais, mas não são as funções em si.
Fonte: FGV DATAPREV 2024 Analista de Processamento (Caderno Tipo 1). Reproduzida para fins de estudo.