Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de conti...

Vamos analisar a questão sobre as normas NBR ISO/IEC 27001, 27002 e 27005 e plano de continuidade de negócios. A alternativa correta é a C - certo.

A questão aborda a importância de garantir que empresas terceirizadas de desenvolvimento de sistemas realizem testes suficientes para identificar e mitigar vulnerabilidades em sistemas novos ou em manutenção. Isso se alinha às diretrizes das normas ISO/IEC 27002, que fornecem um conjunto de boas práticas para a gestão de segurança da informação.

A ISO/IEC 27002 é um guia para a implementação de controles de segurança que suportam a gestão de segurança da informação descrita na ISO/IEC 27001. Ela detalha as práticas e controles recomendados para proteger a informação da organização.

De acordo com a ISO/IEC 27002, é essencial que organizações que terceirizam o desenvolvimento de sistemas mantenham uma supervisão rigorosa e monitorem constantemente essas atividades. Isso inclui exigir evidências formais de que testes de segurança foram realizados adequadamente.

Justificativa da Alternativa Correta (C - certo):

A implementação do controle relativo à supervisão e ao monitoramento de atividades de desenvolvimento terceirizado deve incluir a exigência de evidências formais de que testes suficientes foram realizados contra vulnerabilidades conhecidas. Isso permite que a organização assegure que o software desenvolvido ou mantido por terceiros atende aos padrões de segurança necessários, conforme recomendado pela ISO/IEC 27002.

Por que as outras alternativas estão incorretas?

Como a questão pede para julgar a assertiva apresentada, que está correta, não há outras alternativas para serem consideradas como incorretas ou analisadas neste caso específico.

Assim, a alternativa C - certo é justificada pelas diretrizes da ISO/IEC 27002, que enfatiza a necessidade de monitoramento e obtenção de evidências formais dos testes realizados por empresas terceirizadas, garantindo a segurança e integridade dos sistemas desenvolvidos.

Questão em consonância com a ISO 27002.

14.2 f) fornecimento de evidências de que testes suficientes foram realizados para proteger contra a

ausência de conteúdo malicioso, tanto intencional e não intencional no momento da entrega.

Na verdade, a questão fez um compilado do objetivo do desenvolvimento terceirizado.

Logo, gabarito certo.

Na seção 14.2.7, temos: "Convém que a organização supervisione e monitore as atividades de desenvolvimento de sistemas terceirizado. Diretrizes para implementação. Quando o desenvolvimento de sistemas for terceirizado, convém que os seguintes pontos sejam considerados ao longo de toda a cadeia de suprimento externo da organização: (...) g) fornecimento de evidências de que testes suficientes foram aplicados para proteger contra a presença de vulnerabilidades conhecidas"

GABARITO: CERTO

CERTO

Senti falta de umas vírgulas nessa frase.

JUSTIFICATIVA: CERTO. Convém que a organização supervisione e monitore as atividades de desenvolvimento de sistemas terceirizado. Diretrizes para implementação (...) g) fornecimento de evidências de que testes suficientes foram aplicados para proteger contra a presença de vulnerabilidades conhecidas; (...). (NBR ISO/IEC 27002:2013)