Os procedimentos de classificação da informação quanto ao sigilo não podem ser concluídos sem que sejam investigados os riscos à perda de confidencialidade, integridade e disponibilidade da informação.

Acerca de problemas e soluções possivelmente presentes no capítulo sobre políticas de segurança da informação, julgue o próximo item.
A fim de ampliar o acesso a fontes de informação para detecção de vulnerabilidades organizacionais, a política de segurança da informação proposta deve evidenciar a importância dos resultados de testes de auditoria.

Acerca de problemas e soluções possivelmente presentes no capítulo sobre políticas de segurança da informação, julgue o próximo item.

No controle de acessos, tanto físico quanto lógico, às instalações prediais e aos sistemas de computação do ministério, deve ser considerado o uso de autenticação por múltiplos fatores, pois esse é procedimento descrito na norma NBR 27001, no seu guia de implementação de vários controles, entre eles os relacionados ao objetivo Controle de Acesso à Rede.

Julgue o item a seguir, considerando que o capítulo sobre criptografia contenha problemas e sugestões para o uso de criptografia simétrica, criptografia assimétrica e funções hash, na plataforma de sistemas de computação do ministério.
A prescrição para banimento do uso da função MD5, em favor da adoção de SHA-1, pode ser recomendada, especialmente porque a facilidade de produção de ataques de colisão em sistemas que usam MD5 tornaria mais simples a implementação de ataques de dicionário em sistemas de armazenamento de senhas criptografadas nos bancos de dados de autenticação de usuários do ministério.

Julgue o item a seguir, considerando que o capítulo sobre criptografia contenha problemas e sugestões para o uso de criptografia simétrica, criptografia assimétrica e funções hash, na plataforma de sistemas de computação do ministério.
Em comunicações seguras com os cidadãos que são afetados pelas políticas públicas conduzidas pelo ministério, efetuadas predominantemente com o uso de navegadores e servidores web, devem ser adotados sistemas criptográficos assimétricos, de chave pública, mas não sistemas criptográficos simétricos, pois esses últimos exigiriam que os cidadãos tivessem prévio acesso às chaves criptográficas dos sítios do ministério, ou que o ministério tivesse acesso prévio às chaves criptográficas dos cidadãos, sendo esses acessos inviáveis na prática. Política inversa deve ser adotada internamente ao ministério, com a adoção de sistemas criptográficos simétricos.

Considere que a apresentação do capítulo sobre gestão de riscos tenha sido precedida pela indicação de que há pouca disponibilidade de registros históricos quanto a incidentes de segurança no ministério. Nesse contexto, julgue o item subsecutivo.
Para o planejamento da gestão de riscos no ministério, é recomendável a adoção inicial de uma metodologia de riscos quantitativa, em detrimento de metodologia qualitativa, tendo em vista a pouca disponibilidade de registros históricos de incidentes.

Considere que a apresentação do capítulo sobre gestão de riscos tenha sido precedida pela indicação de que há pouca disponibilidade de registros históricos quanto a incidentes de segurança no ministério. Nesse contexto, julgue o item subsecutivo.
O estudo das ameaças à segurança da informação será mais efetivo se forem previamente identificados os ativos de informação mais relevantes para o ministério, que são os ativos ligados ao funcionamento do setor de tecnologia da informação (TI) do órgão.

Considere que a apresentação do capítulo sobre gestão de riscos tenha sido precedida pela indicação de que há pouca disponibilidade de registros históricos quanto a incidentes de segurança no ministério. Nesse contexto, julgue o item subsecutivo.
O tratamento dos riscos de segurança da informação será efetivo se forem consideradas as várias alternativas para tratamento de todos os riscos vinculados a cada um dos ativos de informação do ministério, tais como mitigar ou reduzir, reter ou aceitar, transferir ou compartilhar, além de ação de evitar o risco.

Julgue o seguinte item, considerando que o capítulo sobre gestão de continuidade de negócios contenha uma proposta em aderência à norma NBR 15999-1 – Gestão de Continuidade de Negócios.
A elaboração de um estudo de análise de impacto nos negócios (BIA) pode ser precedida por uma análise de riscos de segurança da informação, especialmente se for focado na indisponibilidade de ativos, pois, se o BIA identifica de forma mais precisa os impactos de uma interrupção, ele também demanda investigações detalhadas sobre os custos da interrupção de processos, e será mais efetivo se for focado nos processos de negócios associados aos riscos de maior magnitude.

Julgue o seguinte item, considerando que o capítulo sobre gestão de continuidade de negócios contenha uma proposta em aderência à norma NBR 15999-1 – Gestão de Continuidade de Negócios.
No processo de terceirização de serviços de segurança da informação, a contratação de um estudo de análise de impacto nos negócios apresenta maior risco à continuidade ou sustentação organizacional, quando comparada à contratação de um serviço terceirizado para a gestão de riscos de segurança da informação.