Questão nº 81
Questão de Tecnologia da Informação · FGV TCE-GO 2024 (nº 81)
A ABNT NBR ISO/IEC 27001:2022, NBR ISO/IEC 27002:2022, os CIS v8, SIEM, e a Lei nº 13.709(LGPD) são algumas das diversas normas e leis que trabalham conjuntamente para assegurar a integridade, confidencialidade e disponibilidade dos dados no contexto da segurança da informação.
Assinale a opção que descreve corretamente uma contribuição combinada dessas leis e normas.
- AApenas a implementação da LGPD é suficiente para garantir a conformidade legal e a segurança da informação, tornando as outras normas e controles redundantes.
- BO ponto chave dos Sistemas de Gerenciamento de Informações e Eventos de Segurança (SIEM) oferecer somente práticas de segurança pessoal em tempo real que deve ser combinado as demais normas e leis.
- CAs normas ABNT NBR ISO/IEC estabelecem os requisitos gerais de segurança, a LGPD foca na proteção de dados pessoais, e os SIEM proporcionam a visão e controle operacionais necessários. (alternativa correta)
- DA adoção dos CIS Critical Security Controls v8 cobre os requisitos de segurança e as normas ABNT NBR ISO/IEC fornecem o complemento no que se refere a proteção de dados pessoais.
- EA ABNT NBR ISO/IEC 27001:2022 e a 27002:2022 são as únicas que fornecem uma abordagem baseada em risco que utilizará os outros mecanismos para organizar e controlar os sistemas de segurança.
Resposta comentada
Gabarito Alternativa C
A Segurança da Informação é como um escudo que protege os dados de uma organização. Para que esse escudo seja eficaz, ele precisa de um conjunto de regras gerais (normas ISO/IEC), leis específicas para proteger informações de pessoas (LGPD), guias práticos para implementar defesas (CIS Controls) e ferramentas para monitorar tudo em tempo real (SIEM).
(A) Incorreta: É um erro comum pensar que uma única norma ou lei pode cobrir toda a complexidade da segurança da informação. A LGPD foca em dados pessoais, mas a segurança da informação é muito mais ampla, abrangendo todos os tipos de dados e sistemas. As outras normas e controles são essenciais e complementares, não redundantes.
(B) Incorreta: Um SIEM (Security Information and Event Management) é uma ferramenta tecnológica que coleta e analisa eventos de segurança de sistemas e redes, gerando alertas em tempo real. Ele não oferece "práticas de segurança pessoal"; seu foco é a segurança de sistemas e dados, não a segurança física ou pessoal de indivíduos.
(C) Correta: As normas ABNT NBR ISO/IEC 27001 e 27002 fornecem a estrutura para um sistema de gestão da segurança da informação (ISMS) e diretrizes para controles de segurança em geral. A LGPD é uma lei que se concentra especificamente na proteção de dados pessoais e na privacidade. Os SIEMs são ferramentas operacionais que coletam, monitoram e analisam eventos de segurança em tempo real, oferecendo visibilidade e controle sobre o ambiente de TI. Juntos, eles formam uma abordagem robusta e multifacetada.
(D) Incorreta: Esta é a alternativa mais tentadora. Embora os CIS Critical Security Controls v8 sejam um conjunto excelente e prático de controles de segurança, eles não "cobrem todos os requisitos de segurança" de forma exaustiva como um sistema de gestão da ISO/IEC 27001. Além disso, as normas ABNT NBR ISO/IEC têm um escopo muito mais amplo do que apenas "complementar a proteção de dados pessoais"; elas estabelecem um sistema de gestão para toda a segurança da informação, que inclui, mas não se limita a, dados pessoais.
(E) Incorreta: As normas ABNT NBR ISO/IEC 27001 e 27002 realmente promovem uma abordagem baseada em risco, mas não são as únicas a fazê-lo. Outros frameworks e metodologias também utilizam a análise de risco. Além disso, a LGPD, os CIS Controls e o SIEM não são meros "mecanismos" a serem utilizados apenas pela ISO; eles têm suas próprias finalidades e contribuições independentes e essenciais para a segurança e conformidade.
Fonte: FGV TCE-GO 2024 Analista de Controle Externo - Tecnologia da Informação (Caderno Tipo 1). Reproduzida para fins de estudo.