Abaixo são feitas afirmações sobre recomendações sobre gestão de riscos e vulnerabilidades. Analise-as e responda: I. Recomenda-se que a gestão de riscos cibernéticos seja realizada regularmente. II. Recomenda-se que testes de segurança, como a avaliação de vulnerabilidades e testes de invasão, sejam realizados sem a autorização dos gestores responsáveis por aplicações e sistemas. III. Recomenda-se que a avaliação de vulnerabilidades seja somente manual. IV. Recomenda-se que a gestão de vulnerabilidades seja contínua. É CORRETO apenas o que se afirmar em:

Vamos avaliar cada afirmação à luz de boas práticas de segurança da informação (gestão de riscos e vulnerabilidades):

I. “Recomenda-se que a gestão de riscos cibernéticos seja realizada regularmente.” Correta. A gestão de riscos deve ser recorrente/cíclica, pois o ambiente muda (novas ameaças, mudanças em sistemas, novos ativos, etc.). Logo, é recomendável realizar revisões periódicas e sempre que houver mudanças relevantes.

II. “Recomenda-se que testes de segurança (...) sejam realizados sem a autorização dos gestores responsáveis...” Incorreta. Testes como varredura de vulnerabilidades e principalmente teste de invasão (pentest) devem ocorrer com autorização formal (escopo, regras de execução, janela, responsáveis, aprovação), para evitar impacto operacional e problemas legais/organizacionais.

III. “Recomenda-se que a avaliação de vulnerabilidades seja somente manual.” Incorreta. A prática recomendada é combinar ferramentas automatizadas (scanners, SAST/DAST, etc.) com análise manual para validação e redução de falsos positivos/negativos. “Somente manual” não é a recomendação.

IV. “Recomenda-se que a gestão de vulnerabilidades seja contínua.” Correta. Gestão de vulnerabilidades é um processo contínuo: identificar, priorizar, corrigir, verificar, monitorar e repetir.

Assim, estão corretas apenas I e IV.

Alternativa correta: (D).