A respeito da aquisição, do desenvolvimento e da manutenção ...

O gabarito da questão é "E" (errado).

A questão aborda o tema de aquisição, desenvolvimento e manutenção de sistemas conforme a norma ABNT NBR ISO/IEC 27002:2013. Para resolver essa questão, é necessário entender os princípios e práticas recomendadas pela norma, especialmente no que tange à integração dos requisitos de segurança da informação nos projetos de desenvolvimento de sistemas.

Justificativa da alternativa correta:

De acordo com a norma ISO/IEC 27002:2013, a identificação dos requisitos de segurança da informação deve ocorrer no início dos projetos de desenvolvimento de sistemas, e não nos estágios finais. É crucial que esses requisitos sejam considerados desde as fases iniciais do projeto para garantir que a segurança seja incorporada de maneira efetiva ao longo de todo o ciclo de vida do sistema.

A norma enfatiza a importância de integrar os processos de segurança da informação desde o planejamento e design, até a implementação e manutenção. Isso inclui realizar uma análise de riscos, definir controles adequados e assegurar que os requisitos de segurança são implementados e testados adequadamente.

Entendendo as alternativas incorretas:

A alternativa "C" (certo) estaria incorreta porque sugere que a identificação dos requisitos de segurança deve ocorrer nos estágios finais dos projetos. Isso contraria a recomendação da ISO/IEC 27002:2013, que defende uma abordagem proativa e preventiva, integrando a segurança desde o início do projeto.

Essa abordagem proativa é fundamental para evitar vulnerabilidades e garantir que a segurança não seja tratada como um complemento, mas como uma parte integral do desenvolvimento do sistema.

Dessa forma, podemos concluir que a alternativa correta é "E" (errado), pois a identificação dos requisitos de segurança deve ocorrer nas fases iniciais dos projetos de desenvolvimento de sistemas de informação.

ERRADO

De acordo com a norma ABNT NBR ISO/IEC 27002:2013, a identificação dos requisitos de segurança da informação e a integração dos processos associados devem ocorrer desde as fases iniciais dos projetos de desenvolvimento dos sistemas de informação, e não apenas nos estágios finais.

A norma destaca a importância de considerar a segurança da informação como um requisito fundamental ao longo do ciclo de vida completo dos sistemas, desde a concepção até a desativação. Isso significa que os requisitos de segurança devem ser identificados, documentados e incorporados ao processo de desenvolvimento desde o início, a fim de garantir que os controles e medidas adequados sejam implementados e considerados durante todo o projeto.

14 Aquisição, desenvolvimento e manutenção de sistemas

Pag: 79

(...)

Convém que a identificação e a gestão dos requisitos de segurança da informação e os processos associados sejam integrados aos estágios iniciais dos projetos de sistemas de informação. Considerações iniciais dos requisitos de segurança da informação, por exemplo, na fase do projeto, podem conduzir a uma solução de custo mais efi ciente e efi caz.

Fonte: IABNT NBR ISO/IEC 27002:2013

sem cabimento projetar tudo e deixar pra no fim ver se atende algo de SI

De acordo com a ISO/IEC 27001 e ISO/IEC 27002, a segurança da informação deve ser incorporada ao gerenciamento de projetos desde o início, e as responsabilidades devem ser claramente definidas e atribuídas a papéis específicos.

1. Seção 5.6 da ISO/IEC 27002 (Responsabilidades da Segurança da Informação)

• Recomenda que a organização defina papéis e responsabilidades específicas para garantir que a segurança da informação seja gerenciada de forma eficaz.

1. Seção 6.1.5 da ISO/IEC 27001 (Gerenciamento de Segurança em Projetos)

• Estabelece que a segurança da informação deve ser considerada em todas as fases do projeto, e que as responsabilidades devem ser alocadas conforme as necessidades do projeto.

1. Metodologias de Gerenciamento de Projetos (PMBOK, PRINCE2, Agile)

• Todos esses frameworks enfatizam a importância da definição clara de papéis e responsabilidades, incluindo aspectos relacionados à segurança da informação.

A identificação dos requisitos de segurança da informação e sua integração aos processos associados devem ocorrer desde o início do projeto, e não apenas nos estágios finais.

1. ISO/IEC 27002 (Seção 8.25 - Segurança da Informação no Desenvolvimento de Sistemas)

• A norma recomenda que a segurança seja incorporada desde as fases iniciais do ciclo de vida do desenvolvimento de software (SDLC), garantindo que os requisitos de segurança sejam considerados desde o planejamento e o design do sistema.

1. ISO/IEC 27005 (Gestão de Riscos de Segurança da Informação)

• Indica que a análise de riscos e a definição de requisitos de segurança devem ocorrer desde a concepção do projeto, reduzindo custos e riscos associados a falhas de segurança detectadas tardiamente.

1. Boas Práticas de Desenvolvimento Seguro (Secure by Design, OWASP, NIST SP 800-64)

• Modelos como DevSecOps e Security by Design enfatizam que integrar a segurança no final do desenvolvimento pode ser ineficaz e caro, pois pode exigir grandes retrabalhos.