Assinale a alternativa que apresenta procedimento de segurança da informação que pode ser adotado pelas organizações.
Questão
Assinale a alternativa que apresenta procedimento de segurança da informação que pode ser adotado pelas organizações.
Alternativas
Realizar, periodicamente, análises de riscos, com o objetivo de contemplar as mudanças nos requisitos de segurança da informação
Não envolver a direção com a segurança da informação, tendo em vista que ela já possui diversas outras atribuições
Descartar o inventário dos ativos, caso a organização possua
Direcionar os funcionarios apenas para o exercício de suas funcões diarias; pois treinamentos em segurança da informação ou outros eventos relacionados devem ser evitados
Conceder aos funcionários o acesso completo aos sistemas e à rede (intranet) da organização
Explicação
A alternativa correta é a que recomenda realizar análises de riscos periodicamente, pois a gestão de riscos é um procedimento essencial em segurança da informação (ex.: alinhado a boas práticas como ISO/IEC 27001/27002), permitindo identificar ameaças, vulnerabilidades e impactos e ajustar controles conforme mudanças no ambiente, processos e requisitos.
As demais alternativas contrariam princípios básicos de segurança:
- Não envolver a direção: enfraquece governança e comprometimento (patrocínio) necessários.
- Descartar inventário de ativos: impede saber o que proteger e priorizar.
- Evitar treinamentos: reduz conscientização e aumenta incidentes por erro humano.
- Conceder acesso completo a todos: viola o princípio do menor privilégio e segregação de funções.