À luz do código de prática para a gestão da segurança da inf...

A alternativa correta é a E.

Comentário:

A questão aborda conceitos centrais do código de prática para a gestão da segurança da informação, conforme a norma ABNT NBR ISO/IEC 27002:2005. Essa norma fornece diretrizes para a implementação, manutenção e melhoria contínua da segurança da informação em uma organização.

Alternativa E (Correta): "Os requisitos de segurança da informação de uma organização são obtidos por três fontes principais, sendo a análise/avaliação de riscos uma delas."

Justificativa: Os requisitos de segurança da informação vêm de várias fontes, entre elas a análise/avaliação de riscos, que é fundamental para identificar e gerenciar riscos potenciais. Além dessa, outras fontes incluem requisitos legais, regulamentares e contratuais, além das necessidades operacionais e de negócios da organização. Portanto, a alternativa E está correta.

Alternativa A (Incorreta): "Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para implementação da segurança da informação é efetuada imediatamente após a identificação dos fatores de risco."

Justificativa: Embora a seleção de controles seja uma etapa crucial, a formulação não está precisa. A seleção de controles deve ser baseada não apenas na identificação de riscos, mas também na avaliação desses riscos e na definição de critérios de aceitação de risco pela organização.

Alternativa B (Incorreta): "No escopo legal da segurança da informação, há três controles essenciais para uma organização: o documento da política de segurança da informação, a atribuição de responsabilidades pela segurança da informação e o processamento correto das aplicações."

Justificativa: Esses elementos são importantes, mas a norma abrange uma gama mais ampla de controles, incluindo a gestão de ativos, controle de acessos, segurança física e ambiental, segurança em operações e comunicações, entre outros. A alternativa simplifica excessivamente o escopo da norma.

Alternativa C (Incorreta): "A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, monitoramento e melhoria da segurança da informação."

Justificativa: A cultura organizacional tem um impacto significativo na adoção e eficácia da segurança da informação. Uma cultura que valoriza a segurança da informação facilita o desenvolvimento e a implementação de políticas e práticas eficazes. Portanto, essa alternativa está incorreta.

Alternativa D (Incorreta): "A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias adequadas."

Justificativa: A segurança da informação não depende apenas de tecnologias, mas de uma abordagem abrangente que inclui políticas, processos, pessoas, e a própria cultura organizacional, além das tecnologias. Portanto, essa visão é limitada e incorreta.

Em resumo, a alternativa E é a correta porque reflete adequadamente a fonte dos requisitos de segurança da informação, conforme prescrito pela norma ISO/IEC 27002:2005.

Como estabelecer requisitos de Segurança da Informação?

"É essencial que uma organização identifique os seus requisitos de Segurança da Informação.

Existem três fontes principais de requisitos de Segurança da Informação.

1. Uma fonte é obtida a partir da análise/avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negócios da organização. Por meio da análise/avaliação de riscos, são identificadas as ameaças aos ativos e as vulnerabilidades destes e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócios.

2. Uma outra fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente sócio-cultural.

3. A terceira fonte é um conjunto particular de princípios, objetivos e os requisitos do negócio para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações"

Sobre a questão b.

Os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem, dependendo

da legislação aplicável:

a) proteção de dados e privacidade de informações pessoais (ver 15.1.4);

b) proteção de registros organizacionais (ver 15.1.3);

c) direitos de propriedade intelectual (ver 15.1.2).

Os controles considerados praticas para a seguranca da informacao incluem:

a) documento da politica de seguranca da informacao (ver 5.1.1);

b) atribuicao de responsabilidades para a seguranca da informacao (ver 6.1.3);

c) conscientizacao, educacao e treinamento em seguranca da informacao (ver 8.2.2);

d) processamento correto nas aplicagoes (ver 12.2);

e) gestao de vulnerabilidades técnicas (ver 12.6);

f) gestao da continuidade do negocio (ver secao 14);

g) gestao de incidentes de seguranga da informacao e melhorias (ver 13.2).