Abaixo são feitas afirmações sobre recomendações sobre gestão de riscos e vulnerabilidades. Analise-as e responda: I. Processos de gestão de incidentes de segurança e programas de conscientização de segurança devem ser estabelecidos para apoiar a gestão de riscos cibernéticos. II. Serviços considerados seguros, como o HTTP e o FTP, devem ser mantidos e habilitados em sistemas críticos da organização. III. A aplicação de atualizações de segurança é fundamental para a efetiva gestão de vulnerabilidades. V. Indicadores e métricas específicas para gestão de vulnerabilidades devem ser monitorados pelo CISO e por equipes de cibersegurança. É CORRETO apenas o que se afirmar em:
Questão
Abaixo são feitas afirmações sobre recomendações sobre gestão de riscos e vulnerabilidades. Analise-as e responda:
I. Processos de gestão de incidentes de segurança e programas de conscientização de segurança devem ser estabelecidos para apoiar a gestão de riscos cibernéticos. II. Serviços considerados seguros, como o HTTP e o FTP, devem ser mantidos e habilitados em sistemas críticos da organização. III. A aplicação de atualizações de segurança é fundamental para a efetiva gestão de vulnerabilidades. V. Indicadores e métricas específicas para gestão de vulnerabilidades devem ser monitorados pelo CISO e por equipes de cibersegurança.
É CORRETO apenas o que se afirmar em:
Alternativas
A) II, III, e IV, apenas.
B) II e IV, apenas.
C) II e III, apenas.
D) I e II, apenas.
E) I, III e IV, apenas.
Explicação
Vamos avaliar cada afirmação (apesar da numeração no enunciado estar inconsistente: aparece “V”, mas nas alternativas há “IV”; trata-se claramente do item final).
I. “Processos de gestão de incidentes de segurança e programas de conscientização de segurança devem ser estabelecidos para apoiar a gestão de riscos cibernéticos.”
- Correto. Gestão de riscos cibernéticos é apoiada por processos formais de resposta/gestão de incidentes e por treinamento/conscientização, pois ambos reduzem probabilidade/impacto e melhoram detecção e reação.
II. “Serviços considerados seguros, como o HTTP e o FTP, devem ser mantidos e habilitados em sistemas críticos da organização.”
- Incorreto. HTTP e FTP não são protocolos ‘seguros’ por padrão (não oferecem criptografia fim a fim). Em ambientes críticos, a recomendação é desabilitar serviços desnecessários e, quando precisar de comunicação/transferência, usar alternativas seguras como HTTPS (HTTP sobre TLS) e SFTP/FTPS.
III. “A aplicação de atualizações de segurança é fundamental para a efetiva gestão de vulnerabilidades.”
- Correto. Patch management (correções/atualizações) é um dos pilares para reduzir a janela de exposição a vulnerabilidades conhecidas.
IV (no enunciado aparece como V). “Indicadores e métricas específicas para gestão de vulnerabilidades devem ser monitorados pelo CISO e por equipes de cibersegurança.”
- Correto. Métricas/KPIs (ex.: tempo para correção, backlog de vulnerabilidades por severidade, taxa de conformidade de patches, etc.) são essenciais para governança e tomada de decisão, e fazem parte das responsabilidades típicas de CISO e times de segurança.
Logo, estão corretas apenas I, III e IV.
Alternativa correta: (E).