Quais são as duas tarefas que um engenheiro de segurança deve realizar para proteger os dados privados de uma organização?

Alternativa 1 e 2 - Identificar dados detectados e classificá-los / Identificar funções, usuários e políticas autorizadas.

Análise da Questão

Esta questão aborda os fundamentos da Gestão de Segurança da Informação. Para proteger dados privados, um engenheiro de segurança deve seguir uma abordagem estratégica que prioriza o conhecimento do ambiente e o controle de acesso.

Por que estas são as respostas corretas?

1. Identificar dados detectados e classificá-los:

• Conceito: A classificação de dados é o passo zero da segurança. Você não consegue proteger o que não conhece.
• Importância: Ao classificar os dados (ex: confidenciais, internos, públicos), a organização decide quais medidas de proteção aplicar. Dados sensíveis exigem proteções mais rigorosas do que dados públicos.
• Analogia: É como organizar uma casa. Antes de trancar as portas, você precisa saber quais cômodos contêm joias (dados valiosos) e quais contêm lixo comum (dados sem valor).

1. Identificar funções, usuários e políticas autorizadas:

• Conceito: Isso refere-se ao Controle de Acesso e à Gestão de Identidade.
• Importância: A segurança depende de saber quem tem permissão para acessar o quê. Definir funções (papéis) e políticas garante o Princípio do Menor Privilégio, onde o usuário só acessa o estritamente necessário para sua função.
• Analogia: São as chaves e as listas de convidados. Você precisa saber quem é autorizado a entrar na sala forte e quais regras eles devem seguir.

Por que as outras opções estão incorretas?

Conclusão

A proteção eficaz de dados baseia-se primeiro na governança (saber o que temos e quem pode acessar) antes de implementar controles técnicos específicos. Portanto, as tarefas fundamentais são classificar os ativos de informação e gerenciar os acessos aos mesmos.