Sobre a Gestão da Segurança da Informação, NÃO É RECOMENDÁV...

Alternativa correta: A - Considerar a segurança como um projeto.

A questão aborda a Gestão da Segurança da Informação, um tema crucial no contexto de TI, especialmente em ambientes corporativos e governamentais. A segurança da informação não deve ser vista como um evento pontual ou um projeto temporário, mas sim como um processo contínuo e integrado aos objetivos estratégicos da organização. Vamos explorar cada uma das alternativas para entender por que a alternativa A é a correta:

Alternativa A: Considerar a segurança como um projeto.

Esta é a alternativa correta porque não é recomendável tratar a segurança da informação como um projeto com início, meio e fim. A segurança precisa ser uma prática contínua, adaptável e sempre em evolução para responder a novas ameaças e mudanças tecnológicas. Um projeto, por definição, tem um ciclo de vida limitado, o que pode levar à falsa sensação de que a segurança foi "concluída" após o término do projeto.

Alternativa B: Posicionar essa equipe acima da Diretoria de TI.

Esta alternativa está incorreta porque, em muitas organizações, é recomendável que a equipe de segurança da informação tenha uma posição de destaque e autonomia, muitas vezes reportando diretamente à alta administração ou ao Conselho de Administração. Isso assegura que a segurança tenha a devida atenção e recursos, além de evitar conflitos de interesse com a Diretoria de TI, cujo foco pode estar mais voltado para a operação eficiente do ambiente de TI.

Alternativa C: Fazer a ligação direta da segurança com o negócio.

Esta alternativa está incorreta porque é essencial que a segurança da informação esteja alinhada com os objetivos e metas do negócio. A segurança deve ser vista como um facilitador que protege ativos críticos e garante a continuidade dos serviços, não como um obstáculo. Esse alinhamento é fundamental para justificar investimentos e para integrar a segurança nas operações diárias da empresa.

Alternativa D: Desenvolver planos de ação orientados à prevenção.

Esta alternativa está incorreta porque desenvolver planos de ação preventivos é uma prática recomendada e essencial para a segurança da informação. A prevenção ajuda a minimizar riscos e a evitar incidentes de segurança, sendo mais eficaz e menos dispendiosa do que lidar com as consequências de um incidente após sua ocorrência.

Em resumo, a gestão da segurança da informação deve ser contínua e alinhada aos objetivos estratégicos da organização, com uma equipe dedicada e autonomia suficiente para garantir que a segurança seja uma prioridade constante.

Projeto é um esforço temporário, para entregar um produto ou serviço exclusivo. Como a segurança deve ser contínua, então não pode ser considerada como um projeto.

Mas eu marquei a letra B, achei estranho essa colocação de posicionar a equipe de gestão da segurança da informação acima da diretoria de TI. Ainda não tinha ouvido falar nesse tipo de hierarquia.

Vamos na fé.

Estranha essa questão 

Então é recomendável colocar a gestão da Segurança da Informação acima da direitoria de TI. Em qual documento eles tiraram isso?

Pessoal, a segurança da informação, nos dias atuais, não precisa necessariamente estar abaixo da diretoria de TI da empresa. Pode ser criado um departamento de SI ligado diretamente à presidência da empresa. A informação passou um ativo de muito valor para a organização.

Conforme a norma ISO/IEC 2001 informa na seção 5:

5 Responsabilidades da direção

5.1 Comprometimento da direção

A Direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação,

monitoramento, análise crítica, manutenção e melhoria do SGSI mediante:

a) o estabelecimento da política do SGSI;

b) a garantia de que são estabelecidos os planos e objetivos do SGSI;

c) o estabelecimento de papéis e responsabilidades pela segurança de informação;