A alta administração da XPTO está implementando o ITIL v4. Para alcançar os resultados e trabalhar de forma mais eficaz, é necessário considerar todas as dimensões do comportamento do ITIL v4, mas, na prática, as organizações muitas vezes se concentram demais em uma área de suas iniciativas e negligenciam as outras.

Ao implementar o ITIL v4, a XPTO se preocupou em como as várias partes da organização trabalham de forma integrada e coordenada para habilitar a criação de valor através de produtos e serviços.

Com isso, segundo o ITIL v4, a XPTO se concentrou em implementar as dimensões:

A equipe de redes de um órgão público está trabalhando para auxiliar no cumprimento das metas da equipe de desenvolvimento de sistemas do mesmo órgão e vislumbrou a possibilidade de utilização de DevOps. Para tal, a equipe de redes indicou a contratação de uma API em uma nuvem. A API indicada permite que os desenvolvedores e os administradores dos sistemas interajam com a infraestrutura de modo programático e em escala, evitando a instalação e a configuração dos recursos manualmente todas as vezes que precisam recriar um ambiente de desenvolvimento.

Para essa atividade, a equipe de desenvolvimento utilizou a prática DevOps de:

A equipe de Tecnologia da Informação (TI) de um órgão da Administração Pública Federal (APF), ao definir sua Política de Gestão de Continuidade de Negócios (PGCN), precisará restringir o escopo inicial da PGCN, devido a restrições orçamentárias. Considerando que o órgão oferta serviços web essenciais para a população e que a indisponibilidade desses serviços poderia acarretar grandes prejuízos para seus usuários, a alta administração do órgão definiu o escopo inicial de sua PGCN, incluindo os dez principais serviços web ofertados.

Para assegurar a implementação e a sustentação da PGCN, de acordo com a ABNT 22301 (Segurança e resiliência – Sistema de gestão de continuidade de negócios), a equipe de TI deve optar por uma estratégia de recuperação de negócios que:

A equipe liderada por Jonas é responsável por prover o home office de um órgão da Administração Pública Federal (APF). Jonas recebeu uma solicitação da Equipe de Tratamento de Incidente de Rede (ETIR) para fornecer os registros de acesso a um sistema, ocorridos durante determinado tempo, para averiguação por suspeita de um incidente de segurança da informação.

Considerando as orientações da Norma Complementar 21/IN01/DSIC/GSIPR, quanto aos requisitos para adequação dos ativos de informação para coleta e preservação das evidências, a equipe de Jonas deve fornecer as seguintes informações para cada acesso:

A equipe de Tecnologia da Informação (TI) de um órgão público está implementando uma solução de TI para atender requisitos de segurança e privacidade dos dados pessoais em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD). Adicionalmente, a equipe passou a adotar controles de segurança do CIS v8 (Center for Internet Security, Inc.) para mitigar os tipos de ataques cibernéticos mais conhecidos. Para reforçar o trabalho associado à LGPD, a equipe de TI identificou e começou a implementar um controle de segurança do CIS v8 que auxilia na mitigação de violação de dados, garantindo privacidade e integridade das informações sensíveis e pessoais.

O controle de segurança do CIS v8 implementado pela equipe de TI é a:

Geraldo foi aprovado em um concurso público e assumiu a função de gestor de Segurança da Informação. O órgão em que Geraldo trabalha está atualizando sua Política de Segurança da Informação alinhada às orientações da Instrução Normativa nº 01 do Gabinete de Segurança Institucional (GSI).

Como gestor de Segurança da Informação, Geraldo possui, entre suas atribuições:

Wallace está implementando em um órgão público um modelo de infraestrutura de chaves públicas baseado no padrão X.509 (PKIX). Wallace identificou que os sistemas clientes, para operarem com segurança, necessitam da instalação de materiais da chave que possuem o relacionamento apropriado com as chaves armazenadas em outro lugar na infraestrutura de chaves públicas.

Para gerenciar a PKIX de forma a atender o requisito identificado, Wallace deve implementar a função:

João foi contratado para fazer a gestão de risco em um órgão público de acordo com as diretrizes para o processo de gestão de riscos de segurança da informação estabelecidas na norma ABNT NBR ISO/IEC 27005:2019. João está trabalhando em sua tarefa incluindo, excluindo e alterando alguns controles. Com isso poderá avaliar os riscos residuais e considerá-los aceitáveis ou não.

A etapa do processo de gestão de riscos de segurança da informação em que João está trabalhando é:

Roberto é funcionário de um órgão público e está trabalhando em home office devido ao cenário pandêmico. Para que não haja perda de produtividade, Roberto precisa acessar a rede interna do órgão onde trabalha. Para isso, Roberto irá utilizar um computador considerado um endpoint, por se tratar de um dispositivo final que se conecta fisicamente a uma rede interna do órgão.

Para que o órgão público em que Roberto trabalha possa confiar em conexões externas com a rede interna, soluções de segurança de endpoints precisam ser implementadas e ter como características:

Um Sistema de Gestão de Segurança da Informação (SGSI) é um conjunto de controles que uma organização implementa para proteger os seus próprios ativos de informação e também para proteger outros ativos pelos quais é responsável.

A norma ABNT NBR ISO/IEC 27001:2019 fornece os requisitos necessários para um SGSI. Rafael foi contratado para implementar o SGSI em um órgão público. Ele elencou os controles necessários para garantir a adequação à norma.

Para isso, Rafael teve que elaborar: