A respeito da aquisição, do desenvolvimento e da manutenção ...

Alternativa correta: C (certo)

Vamos entender a razão pela qual a afirmativa está correta à luz da norma ABNT NBR ISO/IEC 27002:2013.

A ISO 27002 é uma norma internacional que fornece diretrizes para a gestão da segurança da informação, abrangendo diversos aspectos, incluindo a aquisição, desenvolvimento e manutenção de sistemas. Um dos tópicos centrais é a atribuição de responsabilidades dentro da organização.

De acordo com a norma, a responsabilidade global pela segurança da informação deve ser atribuída a um gestor específico. Este gestor tem o papel de desenvolver e implementar políticas e procedimentos relacionados à segurança da informação.

Entretanto, é igualmente importante que a responsabilidade pela implementação dos controles específicos de segurança seja distribuída entre os gestores individuais dos ativos. Isso porque esses gestores possuem um entendimento mais detalhado e específico dos ativos sob sua responsabilidade, permitindo uma aplicação mais eficaz e contextualizada dos controles de segurança.

Agora vamos justificar em detalhes:

Justificativa da alternativa correta (C):

A afirmativa está correta porque, segundo a ISO 27002:2013, enquanto o gestor global da segurança da informação define a estratégia e políticas gerais, os gestores individuais dos ativos são responsáveis por pesquisar e implementar os controles específicos. Essa divisão de responsabilidades garante que os controles sejam aplicados de maneira mais precisa e adequada às características de cada ativo.

Por que as alternativas incorretas não se aplicam:

Se a alternativa fosse "errado", estaríamos indo contra a recomendação da norma. A ISO 27002:2013 deixa claro que uma boa prática é justamente distribuir a responsabilidade pelos controles entre os gestores dos ativos, para que esses controles sejam implementados de forma mais eficaz. Centralizar toda a responsabilidade em um único gestor pode levar a uma menor eficácia na aplicação dos controles específicos, já que o conhecimento detalhado de cada ativo pode não ser suficientemente abrangente.

Conclusão:

Portanto, a afirmativa está correta ao destacar a importância de manter a responsabilidade de pesquisar e implementar controles com os gestores individuais dos ativos, mesmo que haja um gestor global para a segurança da informação. Essa abordagem permite uma aplicação mais contextualizada e eficaz dos controles de segurança.

CERTO

Embora a organização possa designar um gestor global com a responsabilidade geral de desenvolver e implementar a segurança da informação, é fundamental que a implementação dos controles seja descentralizada e envolva os gestores responsáveis pelos ativos específicos. Essa abordagem descentralizada permite que os gestores individuais entendam as necessidades específicas de segurança relacionadas aos seus ativos e adotem medidas adequadas para protegê-los.

6 Organização da segurança da informação

Objetivo: Estabelecer uma estrutura de gerenciamento para iniciar e controlar a implementação e operação da segurança da informação dentro da organização.

(...)

Indivíduos que receberam responsabilidades de segurança da informação podem delegar tarefas de segurança da informação para outros. Todavia, convém que eles permaneçam responsáveis e determinem se quaisquer tarefas delegadas tenham sido corretamente executadas.

(...)

Muitas organizações atribuem a um gestor de segurança da informação a responsabilidade global pelo desenvolvimento e implementação da segurança da informação, e para apoiar a identificação de controles.

Entretanto, a responsabilidade por pesquisar e implementar os controles frequentemente permanecerá com os gestores individuais. Uma prática comum é a nomeação de um proprietário para cada ativo que, então, se torna responsável por sua proteção no dia a dia.

Fonte: ABNT NBR ISO/IEC n.º 27002:2013, pag 16 e 17.