A política de segurança de uma empresa pode ser considerada...

A alternativa D é a correta.

Vamos analisar o que cada alternativa propõe e por que a alternativa D é a mais adequada.

Alternativa D: É importante que processos de auditoria à segurança sejam definidos nessa política.

Justificativa: A política de segurança de uma empresa deve incluir processos de auditoria, pois são fundamentais para garantir a integridade, confidencialidade e disponibilidade dos recursos de TI. As auditorias permitem identificar vulnerabilidades, verificar a conformidade com as normas e regulamentações e implementar melhorias contínuas na segurança.

Alternativa A: Orientações quanto ao acesso aos recursos e a utilização de senhas não precisam fazer parte dessa política de segurança.

Por que está incorreta: As orientações sobre acesso e uso de senhas são essenciais para qualquer política de segurança. Controlar quem acessa os recursos e como as senhas são geridas é crucial para proteger contra acessos não autorizados e possíveis violações de dados.

Alternativa B: As obrigações dos usuários quanto à utilização dos recursos de tecnologia da informação (TI) não precisam fazer parte da política de informação de uma empresa.

Por que está incorreta: Definir as obrigações dos usuários é uma parte vital da política de segurança. Isso garante que os usuários entendam suas responsabilidades e sigam práticas de segurança, como o uso adequado dos recursos de TI e a proteção contra ameaças.

Alternativa C: O documento de "Política de Segurança" de uma empresa deve ser um documento bastante simples e pequeno, de no máximo 3 páginas, pois não necessita fazer referência a todas as áreas da empresa.

Por que está incorreta: Uma política de segurança abrangente precisa detalhar todas as áreas relevantes da empresa, incluindo práticas, procedimentos e responsabilidades. Limitar o documento a 3 páginas não é realista e pode deixar de fora informações cruciais para a segurança da organização.

Alternativa E: Não há necessidade de negar ou restringir o acesso dos funcionários de uma empresa aos diversos sistemas ou serviços de TI, pois eles são considerados confiáveis.

Por que está incorreta: Confiar cegamente nos funcionários sem nenhuma restrição ou controle de acesso pode levar a abusos e brechas de segurança. É fundamental implementar controles de acesso baseados no princípio do menor privilégio, onde os usuários têm apenas as permissões necessárias para realizar suas tarefas.

Em resumo, a alternativa D é a correta porque aborda a necessidade de incluir processos de auditoria na política de segurança, garantindo a constante avaliação e melhoria das práticas de segurança dentro da organização.

Gabarito: D- É importante que processos de auditoria à segurança sejam definidos nessa política.