A respeito da criptografia, da NBR ISO/IEC n.º 27002:2013 e ...

Gabarito: C

Para entender o gabarito correto desta questão, é essencial compreender os fundamentos da Segurança da Informação conforme descritos na ISO/IEC 27002 e na ISO/IEC 27017. Ambas as normas fornecem diretrizes para a implementação de controles de segurança da informação, mas a primeira é mais geral, enquanto a segunda foca em serviços de nuvem.

A ISO/IEC 27002 apresenta um conjunto de boas práticas de controles de segurança, abordando aspectos como políticas de segurança, organização da segurança da informação, segurança em recursos humanos, gestão de ativos, controle de acesso, entre outros. A ISO/IEC 27017 complementa essas práticas com controles específicos para ambientes de nuvem.

A alternativa C está correta porque a afirmação menciona que "implementando-se um conjunto adequado de controles, de forma coordenada e coerente com os riscos associados a uma visão holística da organização, alcança-se a segurança da informação". Este conceito está alinhado com os princípios das normas mencionadas, que enfatizam a importância de uma abordagem coordenada e baseada em risco para a implementação de controles de segurança.

Um dos princípios fundamentais da ISO/IEC 27002 é justamente a gestão baseada em risco, onde a organização deve identificar, avaliar e tratar os riscos de segurança da informação de forma sistemática. Além disso, a implementação dos controles deve ser coordenada e coerente para garantir a eficácia global do sistema de gestão de segurança da informação.

Em contraste, se a alternativa estivesse incorreta, ela poderia ter afirmado algo como "a segurança da informação é alcançada apenas pela implementação de controles técnicos", o que ignoraria a necessidade de uma abordagem holística e de gestão de risco. Isso seria inconsistente com os princípios das normas mencionadas, que defendem uma visão abrangente e integrada da segurança da informação.

Portanto, a alternativa C está correta porque reflete fielmente o espírito e as recomendações das normas ISO/IEC 27002 e ISO/IEC 27017, confirmando a importância de uma abordagem coordenada e baseada em riscos para garantir a segurança da informação na organização.

A segurança da informação é alcançada pela implementação de um conjunto adequado de controles, incluindo políticas, processos, procedimentos, estrutura organizacional e funções de software e hardware. ISO 27002. 

Gab: Certo.

Bjus pra tia Lea!

Visão holística quer dizer visão como um todo, sob um aspecto geral.

A visão holística significa observar ou analisar algo ou alguma área da vida de forma global, ou seja, como um todo e não de maneira fragmentada (muito abordada no meio empresarial). No caso em tela, implementar esses controles associado a uma visão holística da organização traz uma melhor compreensão do cenário, pois a empresa deve conhecer seu ambiente como um todo para poder tomar decisões assertivas visando alcançar a segurança da informação.