A Norma NBR ISO 17799 estabelece o Código de Prática para a...

A alternativa correta é a Alternativa D.

A Norma NBR ISO 17799 é um padrão internacional que estabelece as melhores práticas de gestão da segurança da informação. Na seção de Gestão das Operações e Comunicações, há uma ação denominada Segregação de Funções, que é crucial para a segurança da informação.

Segregação de funções envolve evitar que uma única pessoa possa realizar todas as ações dentro de um processo ou sistema. Isso é feito para mitigar o risco de erros ou fraudes, garantindo que nenhum indivíduo tenha controle total sobre todas as partes do sistema. A ideia é dividir responsabilidades e tarefas de modo que a execução de uma função dependa da ação de outra pessoa.

Agora, vamos analisar as alternativas:

A - distribuir as informações em localidades distintas: Esta alternativa não se relaciona diretamente com a segregação de funções. O foco aqui está na distribuição geográfica da informação, o que é uma prática distinta voltada para a redundância e recuperação de desastres.

B - distribuir os módulos de software em computadores distintos: Embora esta prática possa ser usada para melhorar a segurança e a disponibilidade do sistema, ela não aborda a questão da segregação de funções, que se concentra na distribuição de responsabilidades humanas.

C - dividir o código das aplicações em componentes de software: Esta alternativa fala sobre modularização do software, que é uma prática de desenvolvimento de sistemas, não uma prática de segurança relacionada a funções de usuários.

D - evitar que uma única pessoa possa realizar todas as ações: Esta é a alternativa correta. Essa descrição alinha-se perfeitamente ao conceito de segregação de funções, que visa a distribuir responsabilidades para que nenhum indivíduo tenha controle completo sobre um processo ou sistema.

E - utilizar diferentes métodos criptográficos: Esta alternativa se refere a uma técnica de proteção de dados em trânsito ou armazenados, mas não tem relação com a distribuição de tarefas ou responsabilidades entre pessoas.

Em resumo, a Alternativa D é a correta porque descreve precisamente o objetivo da segregação de funções, que é a garantia de que nenhuma pessoa detém controle total sobre todas as partes de um processo ou sistema, reduzindo assim os riscos de erros e fraudes.

ISO 17799 - Seção 10 - Gerenciamento das operações e comunicações

10.1 Procedimentos e responsabilidades operacionais

10.1.3 Segregação de funções

A segregação de funções é um método para redução do risco de uso indevido acidental ou deliberado dos
sistemas. Convém que sejam tomados certos cuidados para impedir que uma única pessoa possa acessar,
modificar ou usar ativos sem a devida autorização ou detecção.

LETRA D

Segundo a ISO 27002:2013,"6.1.2
Segregação de funções
Controle
Convém que funções conflitantes e áreas de responsabilidade sejam segregadas para reduzir as oportunidades de modificação não autorizada ou não intencional, ou uso indevido dos ativos da organização.
Diretrizes para implementação
Convém que sejam tomados certos cuidados para impedir que uma única pessoa possa acessar, modificar ou usar ativos sem a devida autorização ou detecção."