Um auditor interno de uma Secretaria da Fazenda está conduzindo uma avaliação de riscos de segurança da informação nos sistemas críticos de arrecadação. Para priorizar os esforços de tratamento e alocar recursos de forma eficiente, ele decide utilizar uma Matriz de Risco, que combina os níveis de probabilidade (Baixa, Média, Alta) e impacto (Baixo, Médio, Alto, Critico) para determinar a magnitude do risco. Em sua analise, ele identificou dois riscos específicos:

- Risco A: Possibilidade de um funcionário, por descuido, enviar um arquivo contendo dados fiscais sigilosos por e-mail pessoal. O auditor estima que a probabilidade de isso ocorrer é alta, mas, considerando os controles atuais de monitoramento de rede e DLP, o impacto financeiro e reputacional seria Baixo se detectado rapidamente.
- Risco B: Possibilidade de um ataque de ransomware direcionado a explorar uma vulnerabilidade não corrigida no servidor principal do sistema de impostos. A probabilidade é estimada como média, mas o impacto seria critico.

Com base na metodologia de matriz de risco, a ação de tratamento prioritaria que o auditor deve recomendar com base na analise dos Riscos A e B é:

Uma Secretaria da Fazenda esta implementando um Sistema de Detecção e Resposta de Endpoint (EDR) de Ultima geração que utiliza modelos de Inteligência Artificial (IA) para identificar ameaças. Durante uma reunião técnica, surgiu a discussões sobre como esses modelos são desenvolvidos e aplicados na proteção contra malware desconhecido. Nesse contexto, um dos especialistas em segurança afirmou que os modelos de IA

Uma Secretaria da Fazenda de um grande estado esta reformulando sua estratégia de segurança cibernética após uma série de incidentes. Investigações revelaram que as violações exploraram falhas únicas em controles internos: um ataque de phishing “bypassou’” o filtro de e-mails, um ransomware explorou uma vulnerabilidade não corrigida em um servidor e um acesso interno indevido foi possível devido a permissões excessivas. Em face desses incidentes, a equipe de segurança propôs a adoção do principio de Defesa em Profundidade definida por

A equipe de desenvolvimento de uma Secretaria da Fazenda está analisando protocolos para implementar o SSO no Portal do Contribuinte. Considerando os requisitos de segurança, a delegação segura de autorização e a necessidade de obter informações básicas do perfil do cidadão (como nome e CPF) para personalização do portal, a equipe de desenvolvimento optou por

Uma Secretaria da Fazenda identificou, por meio de uma auditoria, que seu domínio oficial está sendo indevidamente utilizado em campanhas de e-mail fraudulentas que se passam pela instituição para aplicar golpes em contribuintes.
Considerando a fase de detecção e análise do NIST SP 800-61 rev. 2 e a necessidade de ampliar a visibilidade sobre ameaças externas que utilizam os ativos digitais da Secretaria (como domínios e IPs), a equipe de segurança sugeriu a adoção de

Uma Secretaria da Fazenda esta conduzindo um projeto estratégico de migração total de sua infraestrutura de TI para a nuvem publica. O ambiente hospedara sistemas de arrecadação de impostos, bancos de dados com informações fiscais sigilosas e o portal de serviços ao contribuinte. Diante do aumento de tentativas de ataques cibernéticos contra o setor publico, a alta administração determinou a adoção formal de normas internacionais que atendam a duas necessidades especificas:

I. Estabelecer controles de segurança especializados para o ambiente de computação em nuvem, considerando o modelo de responsabilidade compartilhada com o provedor; e
II. Implementar um processo estruturado de gestão de incidentes de segurança da informação para detectar, responder e recuperar-se de violações de forma ágil e eficaz.

Considerando o projeto de migração para a nuvem e as necessidades I e II, o conjunto de normas mais adequado para atender a esses dois objetivos de forma integrada é

Uma Secretaria da Fazenda do Estado possui um SGSI implementado conforme a ABNT NBR ISO/IEC 27001. Durante o monitoramento de rotina, foi detectada uma atividade anômala no sistema de processamento de declarações fiscais, indicando possível extração não autorizada de dados sigilosos de contribuintes em tempo real. A equipe de segurança confirmou que o incidente esta ativo e há indícios de que possa se espalhar para outros sistemas internos. Considerando as diretrizes do controle de resposta a incidentes de segurança da informação da ISO/IEC 27002:2022, a ação inicial mais adequada e prioritária que a equipe de resposta a incidentes deve adotar consiste em

Uma Secretaria da Fazenda está implementando um Sistema de Gestão da Segurança da Informação (SGSI) conforme os requisitos da ABNT NBR ISO/IEC 27001 com a emenda 1:2024. O objetivo é proteger informações criticas sobre contribuintes, arrecadação tributaria e processos fiscais. Durante o planejamento do SGSI, a Secretaria da Fazenda realizou uma análise de contexto e identificou que um novo sistema de cobrança de dividas ativas esta sendo desenvolvido por uma empresa terceirizada. Nesse cenário e considerando os controles estabelecidos na ABNT NBR ISO/IEC 27001, a Secretaria da Fazenda deve

Um órgão fazendário federal mantém uma API para que empresas consultem pendências tributarias. A equipe de segurança identificou que o backend reutiliza o mesmo token de acesso OAuth2 por até 24 horas, sem rotação, com permissões amplas e sem validação de escopo em relação ao que o cliente solicitou. Um atacante que obtenha esse token consegue consultar dados de múltiplos contribuintes. Nesse cenário, considerando o OWASP Top 10:2021, a ação que corrige diretamente as falhas de controle de acesso e de sessão descritas é

Uma Secretaria da Fazenda estadual opera um ambiente hibrido para processamento de declarações fiscais, com diversas APIs internas acessando bases com dados sensíveis. A auditoria apontou ausência de padronização de criptografia, falta de documentação dos fluxos de dados e baixa visibilidade sobre onde e como os dados fiscais trafegam. O comité decidiu priorizar ações alinhadas ao Controle 3 - Data Protection da CIS v8.1. Nesse cenário, a ação mais aderente a essa prioridade é