Assinale a opção que apresenta uma recomendação da norma IS...

Vamos analisar a questão de acordo com a norma ISO/IEC 27002, que trata de controles de segurança da informação, especialmente no contexto de gerenciamento de projetos. A alternativa correta é a alternativa B: "Os objetivos de segurança da informação devem ser contemplados nos do projeto". A seguir, justificarei essa escolha e explicarei por que as outras opções estão incorretas.

Alternativa B - Correta: A ISO/IEC 27002 recomenda que os objetivos de segurança da informação sejam integrados aos objetivos do projeto. Isso significa que, desde o início do planejamento do projeto, a segurança deve ser considerada uma parte essencial, garantido que ela será abordada de forma sistemática e consistente durante todo o ciclo de vida do projeto.

Alternativa A - Incorreta: Esta alternativa sugere que a análise crítica de questões de segurança da informação deve ser feita apenas conforme a necessidade. No entanto, a norma ISO/IEC 27002 enfatiza a importância de uma abordagem proativa, onde a segurança da informação é continuamente monitorada e analisada, não apenas quando surge uma necessidade específica.

Alternativa C - Incorreta: A recomendação de conduzir a avaliação dos riscos de segurança da informação apenas na fase de testes de projeto está equivocada. A ISO/IEC 27002 destaca que a avaliação de riscos deve ser uma atividade contínua, realizada desde a fase de planejamento, passando pelo desenvolvimento e implementação, até o encerramento do projeto. Focar apenas na fase de testes pode deixar vulnerabilidades críticas sem tratamento adequado.

Alternativa D - Incorreta: A segurança da informação deve estar presente desde o início do projeto, e não apenas a partir da fase de implementação. A norma ISO/IEC 27002 preconiza a integração da segurança desde a concepção do projeto, para garantir que todas as medidas de controle sejam consideradas e aplicadas desde o início.

Alternativa E - Incorreta: Embora seja importante que as responsabilidades pela segurança da informação sejam compartilhadas entre todos os participantes do projeto, a ISO/IEC 27002 recomenda que haja uma clara definição e atribuição de responsabilidades específicas. Isso garante que todas as partes saibam exatamente o que se espera delas em termos de segurança, evitando lacunas e sobreposições de responsabilidades.

Em resumo, a alternativa B é a correta pois alinha-se diretamente com as recomendações da ISO/IEC 27002 sobre a integração dos objetivos de segurança da informação aos objetivos do projeto desde a sua concepção.

Obs: É fundamental lembrar que a ISO/IEC 27002 é uma norma abrangente que possui diversas recomendações e boas práticas que visam garantir a segurança da informação de forma holística.

O item E também poderia ser considerado uma recomendação da norma ISO/IEC 27002 no que se refere aos métodos de implementação de controle de segurança da informação no gerenciamento de projetos. Ele destaca a importância de difundir as responsabilidades pela segurança da informação entre todos os participantes do projeto.

No entanto, a opção B é mais abrangente e relevante nesse contexto específico de gerenciamento de projetos. A recomendação de que os objetivos de segurança da informação sejam contemplados nos objetivos do projeto é fundamental para garantir que a segurança seja tratada como parte integrante do projeto desde o início. Isso inclui considerar os riscos de segurança, implementar controles apropriados e garantir que a segurança da informação seja incorporada às entregas e ao planejamento geral do projeto.

Embora o item E também seja uma recomendação importante, ele se concentra mais nas responsabilidades individuais dos participantes do projeto, enquanto o item B aborda a necessidade de abordar a segurança da informação como uma consideração geral no planejamento e execução do projeto. Por essa razão, o item B é considerado uma resposta mais abrangente e abordagem mais completa em relação à implementação de controle de segurança da informação em projetos, de acordo com a norma ISO/IEC 27002.

Retirado do CHATGPT