O Técnico de Suporte foi designado para estabelecer, junto a...

Vamos analisar a questão e as alternativas para compreender a diretriz correta de acordo com a Norma NBR ISO/IEC 27002:2013.

A alternativa correta é a alternativa C: as unidades de mídias removíveis sejam habilitadas somente se houver uma necessidade do negócio.

A ISO/IEC 27002:2013 é uma norma internacional que fornece diretrizes para práticas de gestão de segurança da informação. Ela abrange diversas áreas, incluindo o controle de mídias removíveis, como pen drives, discos externos, CDs e DVDs. O objetivo é garantir que os dados armazenados nessas mídias sejam protegidos contra acessos não autorizados e perdas.

Justificativa da alternativa correta:

A alternativa C trata de um princípio importante da segurança da informação: o princípio da necessidade. Esse princípio preconiza que os recursos de TI, incluindo mídias removíveis, devem ser habilitados apenas quando há uma necessidade clara e justificável do negócio. Isso minimiza o risco de perda ou vazamento de dados, pois restringe o uso de mídias removíveis, tornando-as disponíveis apenas para quem realmente precisa delas.

Discussão das alternativas incorretas:

Alternativa A: sejam usadas técnicas de criptografia, no caso em que a autenticidade ou disponibilidade dos dados sejam considerações importantes.

Embora a criptografia seja uma prática recomendada para proteger a confidencialidade e integridade dos dados, esta diretriz não é específica para mídias removíveis no contexto da questão, que pede um código de prática específico para o gerenciamento de mídias removíveis.

Alternativa B: quando não for mais necessário, o conteúdo de qualquer meio magnético reutilizável seja destruído sempre.

Destruir sempre o conteúdo de mídias reutilizáveis pode ser uma prática exagerada e desnecessária. Em vez disso, a norma sugere a eliminação segura das informações, o que pode incluir a formatação ou sobrescrita dos dados, quando for apropriado.

Alternativa D: cópias múltiplas de dados valiosos sejam armazenadas na mesma mídia para reduzir riscos futuros de perda ou dano.

Armazenar várias cópias de dados valiosos na mesma mídia não reduz riscos. Pelo contrário, pode aumentar a chance de perda total se a mídia for danificada. A norma sugere a distribuição de cópias de backup em diferentes locais ou mídias para maior segurança.

Alternativa E: quando necessário e prático, seja requerida a autorização verbal para remoção de qualquer mídia da organização.

Autorizações verbais não são práticas em ambientes corporativos onde a segurança da informação é crítica. A norma sugere o uso de autorização documentada para rastreabilidade e auditoria.

Espero que esta explicação tenha ajudado a entender melhor o tema e a norma ISO/IEC 27002:2013. Se tiver mais dúvidas, estarei aqui para ajudar!

Criptografia não garante disponibilidade.

Marquei letra A e só depois de reler foi que vi meu erro.

Vamos aos Comentários...

a) Criptografia não garante disponibilidade

b) Nem sempre.  A norma sugere outros meios como a formatação por exemplo.

c) Correta.

d) Não faz sentido. Guardar multiplas cópias numa mesma mídia não reduz risco de perda ou dano.

e) Autorização formal.

Alternativa correta: C. 

Também marquei a A, mas depois que vi que a C estava correta, reli as alternativas. 

a) ERRADA: criptografia não garante a disponibilidade dos dados;

b) ERRADA: nem sempre se destroem os dados não mais utilizados. Tem muita coisa que é mantida para fins de histórico e recuperação, como no caso do histórico de navegação de um usuário, ou as versões anteriores de programas;

c) GABARITO;

d) ERRADA: estaria correto se fossem cópias em unidades diferentes, mas na mesma unidade isso apenas consome espaço;

e) ERRADA: há uma formalidade aqui, que depende de autorização escrita. É preciso que seja escrita para que fique registrado quem autorizou e quando. 

Letra C

O Técnico de Suporte foi designado para estabelecer, junto aos usuários da Defensoria, um código de prática para o controle de segurança da informação no gerenciamento de mídias removíveis, de acordo com a Norma NBR ISO/IEC 27002:2013. Uma das diretrizes mencionadas na Norma estabelece que
a)sejam usadas técnicas de criptografia, no caso em que a autenticidade ou disponibilidade dos dados sejam considerações importantes.
b)quando não for mais necessário, o conteúdo de qualquer meio magnético reutilizável seja destruído sempre.
c)as unidades de mídias removíveis sejam habilitadas somente se houver uma necessidade do negócio.
d)cópias múltiplas de dados valiosos sejam armazenadas na mesma mídia para reduzir riscos futuros de perda ou dano.
e)quando necessário e prático, seja requerida a autorização verbal para remoção de qualquer mídia da organização.

8.3.1 Gerenciamento de mídias removíveis

Controle
Convém que existam procedimentos implementados para o gerenciamento de mídias removíveis, de acordo com o esquema de classificação adotado pela organização.

Diretrizes para implementação
Convém que as seguintes diretrizes para o gerenciamento de mídias removíveis sejam consideradas:

a)quando não for mais necessário, o conteúdo de qualquer meio magnético reutilizável seja destruído, caso venha a ser retirado da organização;

-> INVALIDA A LETRA B

b)quando necessário e prático, seja requerida a autorização para remoção de qualquer mídia da organização e mantido o registro dessa remoção como trilha de auditoria;

-> INVALIDA A LETRA E

c)toda mídia seja guardada de forma segura em um ambiente protegido, de acordo com as especificações do fabricante;

d)convém que sejam usadas, no caso em que a integridade ou confidencialidade dos dados sejam considerações importantes, técnicas de criptografia, para proteger os dados na mídia removível;

-> INVALIDA A LETRA A

e)para mitigar o risco de degradar a mídia enquanto os dados armazenados ainda são necessários, convém que os dados sejam transferidos para uma mídia nova antes de se tornar ilegíveis;

f)cópias múltiplas de dados valiosos sejam armazenadas em mídias separadas para reduzir riscos futuros de perda ou dano, que ocorram por coincidência nessas mídias;

-> INVALIDA A LETRA D

g)as mídias removíveis sejam registradas para limitar a oportunidade de perda de dados;

h)as unidades de mídia removíveis sejam habilitadas somente se houver uma necessidade do negócio;

-> TORNA A LETRA C CORRETA

i)onde houver a necessidade para o uso de mídia removível, a transferência da informação contida na mídia seja monitorada.

Fonte: ISO 27002:2013

Letra B

Caso uma informação não seja mais necessária, não teria problema nenhum em destruir os dados fazendo formatação física, pois evitaria o risco de perda e vazamento.