Constitui diretriz de implementação de controles contra códi...

A alternativa correta para a questão é a alternativa D: conduzir análises críticas regulares dos softwares e dados dos sistemas que suportam processos críticos de negócio.

A ISO 27002 é uma norma internacional que fornece diretrizes para a implementação de controles de segurança da informação. Um dos pontos importantes dessa norma é a proteção contra códigos maliciosos (malwares), que são programas criados para causar danos ou obter informações de sistemas sem o consentimento do usuário.

Vamos entender por que a alternativa D é a correta e analisar as demais opções:

Alternativa D: Conduzir análises críticas regulares dos softwares e dados dos sistemas que suportam processos críticos de negócio é uma diretriz fundamental conforme a ISO 27002. Esse monitoramento contínuo permite identificar e remediar vulnerabilidades, garantindo que os sistemas críticos de negócio estejam protegidos contra possíveis ameaças de códigos maliciosos. É essencial manter a integridade e a segurança dos processos de negócio.

Alternativa A: Estabelecer controles criptográficos para serviços de tecnologia da informação que exijam autenticação diz respeito à proteção da informação por meio de criptografia, um outro domínio da ISO 27002. Embora seja importante, essa alternativa não está diretamente relacionada ao controle de códigos maliciosos.

Alternativa B: Aplicar mecanismos apropriados de registro e monitoração para habilitar a gravação das ações relevantes de segurança é um controle relacionado ao monitoramento e registro de atividades. Esse tipo de controle é crucial para auditorias e investigações, mas também não se aplica diretamente à proteção contra códigos maliciosos.

Alternativa C: Destruir o conteúdo de qualquer meio magnético, ainda que reutilizável, que não seja mais necessário, ou seja, retirado da organização é uma prática de descarte seguro de mídias. Esse controle é importante para evitar vazamento de dados, não sendo, no entanto, um controle específico contra códigos maliciosos.

Alternativa E: Ativar medidas técnicas disponíveis nos sistemas específicos para garantir que o código móvel esteja sendo administrado envolve o controle de código móvel, como scripts e applets que possam ser executados em sistemas. Embora seja relevante no contexto de segurança, também não aborda diretamente o controle de códigos maliciosos de maneira geral.

Portanto, a alternativa D é a que melhor reflete as diretrizes da ISO 27002 para implementação de controles contra códigos maliciosos, pois foca em análises críticas regulares, fundamentais para a segurança dos sistemas de negócio.

LETRA D.

Segundo a ISO 27002,"10.4.1 Controles contra códigos maliciosos

c) conduzir análises críticas regulares dos softwares e dados dos sistemas que suportam processos críticos de negócio; convém que a presença de quaisquer arquivos não aprovados ou atualização não autorizada seja formalmente investigada;"

As normas ABNT NBR ISO/IEC 27.002 dispõem sobre uma padronização nos procedimentos de segurança da informação.

Dentre as alternativas, a única que se relaciona às diretrizes das normas ISO 27.002 é a letra D, que está condita no tópico 10.4.1:

10.4 . Proteção contra códigos maliciosos e códigos móveis / 10.4.1 . Controles contra códigos maliciosos

Ou seja, no 10.4.1 precisamos realizar procedimentos para a implantação de controles para detecção, prevenção e proteção contra códigos maliciosos;

Com isso, o gabarito da questão ficou a letra D: "conduzir análises críticas regulares dos softwares e dados dos sistemas que suportam processos críticos de negócio".