SóProvas

• a) política planejada, válida para os setores críticos da organização, com regras o mais claro e simples possível, e estrutura gerencial de fiscalização dessa política, claramente sustentada pela alta hierarquia da área de informática.
  -O erro esta em dizer que é sustentada pela alta hierarquia da informática, não deixando claro que deve ser sustentada pela alta hierarquia em geral da instituição, e não somente de um setor

• b) política elaborada, implantada e em contínuo processo de revisão, válida para toda a organização, com regras o mais claro e simples possível, e estrutura gerencial e material de suporte a essa política, claramente sustentada pela alta hierarquia.
  -Està correta

• c) política e diretrizes de implantação, em contínuo processo de desenvolvimento, fiscalizada por toda a organização, com regras criptografadas e estrutura matricial e material de priorização dessa política, claramente sustentada pela alta hierarquia.
  -O erro esta em "regras criptografadas", pois a politica deve ser de facil acesso e assimilação e amplamente divulgada entre os colaboradores, e em nenhum momento ser escondida ou criptografada

• d) política elaborada, implantada e imune a revisões, válida para toda a organização,com estrutura gerencial de regras de formalização individualizada dessa política nas unidades organizacionais, claramente sustentada pelos gestores do nível operacional.
  - o erro esta em dizer que é imune a revisões, pois a todo momento pode e deve ser revisada

• e) o conjunto de diretrizes e metas elaboradas, implantadas e em contínuo processo de revisão, válidas para os responsáveis pela segurança, com técnicas criptográficas o mais claro e simples possível, e estrutura gerencial e material de terceirização de procedimentos, sustentada pela alta hierarquia, quando possível.
  -o erro esta em supor que só é valida para os responsaveis pela segurança, não deixando claro que deve considerar as outras areas, e tambem dizer que ira usar tecnicas criptograficas claras e simples

Conceitto básico da política de segurança é ser válida para toda a organização, e não para determinados setores ou hierarquias.

Vamos na fé.

A ESAF extraiu essa definição de um parágrafo grifado na página 24 do livro
do Caruso, Segurança em Informática e de Informações. Esse livro não nos será
necessário.

A norma ISO 27002 define a Segurança da Informação como “a proteção da
informação de vários tipos de ameaças para garantir a continuidade no
negócio, minimizar o risco ao negócio, maximizar o retorno sobre os
investimentos e as oportunidades de negócio”.

Ainda, esta mesma norma diz que o objetivo da política da segurança da
informação é “prover uma orientação e apoio da direção para a segurança da
informação de acordo com os requisitos do negócio e com as leis e
regulamentações relevantes”, e que “convém que a direção estabeleça uma
política clara, alinhada com os objetivos do negócio e demonstre apoio e
comprometimento com a segurança da informação por meio da publicação e
manutenção de uma política de segurança da informação para toda a
organização.”

Sendo conhecedor esta definição e entendendo o intuito dela, veja que
podemos trabalhar as alternativas por eliminação:

a)a alternativa “a” fala em política apenas para os setores críticos da
organização. Segurança da informação é preocupação de TODOS! Eliminada;
 

c)Política ”com regras criptografadas”? Estamos falando de políticas,
diretrizes, alto nível. Eliminada;
 

d)Política “imune a revisões”. Nem precisa continuar lendo;
 

e)Nesta os erros estão um pouco mais velados. Fala em “terceirização de
procedimentos” e em suporte “quando possível”. Na pior das hipóteses, dá pra
ficar em dúvida entre a letra e) e a letra b), e uma observação mais atenta nos
conduzirá à resposta correta.

Ao longo das questões de Segurança da Informação, você constatará que o
bom-senso pode ser um forte aliado na resolução deste tipo de questão.

Confirmando, letra b).

Prof Victor Dalton