Questão nº 81

Questão de Tecnologia da Informação · FGV TCE-GO 2024 (nº 81)

FGV2024Analista de Controle Externo - Tecnologia da InformaçãoTecnologia da Informação
Gabarito: Cver comentário ↓

A ABNT NBR ISO/IEC 27001:2022, NBR ISO/IEC 27002:2022, os CIS v8, SIEM, e a Lei nº 13.709(LGPD) são algumas das diversas normas e leis que trabalham conjuntamente para assegurar a integridade, confidencialidade e disponibilidade dos dados no contexto da segurança da informação.
Assinale a opção que descreve corretamente uma contribuição combinada dessas leis e normas.

Resposta comentada

Gabarito Alternativa C

A Segurança da Informação é como um escudo que protege os dados de uma organização. Para que esse escudo seja eficaz, ele precisa de um conjunto de regras gerais (normas ISO/IEC), leis específicas para proteger informações de pessoas (LGPD), guias práticos para implementar defesas (CIS Controls) e ferramentas para monitorar tudo em tempo real (SIEM).

(A) Incorreta: É um erro comum pensar que uma única norma ou lei pode cobrir toda a complexidade da segurança da informação. A LGPD foca em dados pessoais, mas a segurança da informação é muito mais ampla, abrangendo todos os tipos de dados e sistemas. As outras normas e controles são essenciais e complementares, não redundantes.
(B) Incorreta: Um SIEM (Security Information and Event Management) é uma ferramenta tecnológica que coleta e analisa eventos de segurança de sistemas e redes, gerando alertas em tempo real. Ele não oferece "práticas de segurança pessoal"; seu foco é a segurança de sistemas e dados, não a segurança física ou pessoal de indivíduos.
(C) Correta: As normas ABNT NBR ISO/IEC 27001 e 27002 fornecem a estrutura para um sistema de gestão da segurança da informação (ISMS) e diretrizes para controles de segurança em geral. A LGPD é uma lei que se concentra especificamente na proteção de dados pessoais e na privacidade. Os SIEMs são ferramentas operacionais que coletam, monitoram e analisam eventos de segurança em tempo real, oferecendo visibilidade e controle sobre o ambiente de TI. Juntos, eles formam uma abordagem robusta e multifacetada.
(D) Incorreta: Esta é a alternativa mais tentadora. Embora os CIS Critical Security Controls v8 sejam um conjunto excelente e prático de controles de segurança, eles não "cobrem todos os requisitos de segurança" de forma exaustiva como um sistema de gestão da ISO/IEC 27001. Além disso, as normas ABNT NBR ISO/IEC têm um escopo muito mais amplo do que apenas "complementar a proteção de dados pessoais"; elas estabelecem um sistema de gestão para toda a segurança da informação, que inclui, mas não se limita a, dados pessoais.
(E) Incorreta: As normas ABNT NBR ISO/IEC 27001 e 27002 realmente promovem uma abordagem baseada em risco, mas não são as únicas a fazê-lo. Outros frameworks e metodologias também utilizam a análise de risco. Além disso, a LGPD, os CIS Controls e o SIEM não são meros "mecanismos" a serem utilizados apenas pela ISO; eles têm suas próprias finalidades e contribuições independentes e essenciais para a segurança e conformidade.

Fonte: FGV TCE-GO 2024 Analista de Controle Externo - Tecnologia da Informação (Caderno Tipo 1). Reproduzida para fins de estudo.

Continue estudando

Estudar é izi

Pratique milhares de questões como esta, de graça, com explicação e gamificação no Quizinho.

Estudar de graça no Quizinho