A política de segurança da informação deve

A alternativa correta é a Alternativa A: servir de base para a solução de futuros conflitos.

A política de segurança da informação é um conjunto de diretrizes e práticas que visam proteger as informações de uma organização contra ameaças à sua confidencialidade, integridade e disponibilidade. Ela serve como um guia para todas as ações relacionadas à segurança da informação, proporcionando um marco de referência que ajuda a resolver conflitos e tomar decisões futuras.

Justificativa das alternativas:

A - Correta: Servir de base para a solução de futuros conflitos. Uma política de segurança bem estruturada estabelece princípios que ajudam a resolver disputas e lidar com incidentes de segurança. Ela define claramente as responsabilidades, os procedimentos a serem seguidos e as penalidades para violações, sendo essencial para a governança da segurança da informação.

B - Incorreta: Basear-se nas opiniões dos responsáveis pela operação da infraestrutura de tecnologia da informação. Embora os responsáveis pela operação da infraestrutura de TI tenham um papel importante, a política de segurança da informação deve ser baseada em uma abordagem mais ampla, envolvendo diversas áreas da organização e alinhada aos objetivos estratégicos da empresa, e não apenas nas opiniões de um único grupo.

C - Incorreta: Ter sua divulgação restrita à alta direção da organização. Uma política de segurança eficaz deve ser amplamente divulgada dentro da organização, de modo que todos os funcionários estejam cientes das diretrizes e práticas de segurança. A restrição dessa informação à alta direção impede a adesão e o cumprimento das normas por toda a organização.

D - Incorreta: Ser elaborada por meio de um processo representativo democrático. A elaboração da política deve ser coordenada por especialistas em segurança da informação e gestores, refletindo as necessidades específicas da organização. Embora a inclusão de diferentes perspectivas seja valiosa, um processo inteiramente democrático pode não ser prático ou eficiente para este tipo de documento técnico e normativo.

E - Incorreta: Ser detalhada nos aspectos tecnológicos de sua implementação. A política de segurança da informação deve ser um documento de alto nível, focado em princípios e diretrizes gerais. Os detalhes técnicos são importantes, mas geralmente são abordados em documentos complementares como procedimentos operacionais e manuais técnicos.

Para uma boa compreensão do tema, é essencial entender que uma política de segurança da informação deve ser abrangente e servir como um guia estratégico para toda a organização, envolvendo todas as partes interessadas e sendo comunicada de forma eficaz para garantir a conformidade e a proteção das informações.

A POSI deve ser ampla e não deve conter termos técnicos e deve ser elaborado pela Alta Direção.