Em uma organização, é importante que as áreas seguras sejam ...

Questão fácil, sem nenhuma pegadinha, basta ler atentamente o seguinte trecho da letra D)

convém que as permissões de acesso sejam concedidas para todas as finalidades, e sejam emitidas somente com instruções sobre procedimentos de emergência.

Obviamente não se pode conceder permissões de acesso com qualquer finalidade, nem somente com instruções de emergência.

Nem era necessário conhecer a norma para saber qual alternativa estava errada. Outro erro que considero mais difícil de identificar, também relacionado ao item D, foi:  A data da entrada e saída de visitantes deve ser registrada, e todos os visitantes devem ser supervisionados, mesmo que o seu acesso tenha sido previamente aprovado; 
Letra da norma (27002 seção 9.1.2 - Diretrizes para implementação item a): "...todos os visitantes sejam supervisionados, a não ser que o acesso tenha sido previamente aprovado..."
Abraços, vamo que vamo. 

Segue na íntegra para consulta. 

Segundo a ISO 27002, "9.1.2 Controles de entrada física

Diretrizes para implementação

Convém que sejam levadas em consideração as seguintes diretrizes:

a) a data e hora da entrada e saída de visitantes sejam registradas, e todos os visitantes sejam supervisionados, a não ser que o seu acesso tenha sido previamente aprovado; convém que as permissões de acesso sejam concedidas somente para finalidades específicas e autorizadas, e sejam emitidas com instruções sobre os requisitos de segurança da área e os procedimentos de emergência;

b) acesso às áreas em que são processadas ou armazenadas informações sensíveis seja controlado e restrito às pessoas autorizadas; convém que sejam utilizados controles de autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification number), para autorizar e validar todos os acessos; deve ser mantido de forma segura um registro de todos os acessos para fins de auditoria;

c) seja exigido que todos os funcionários, fornecedores e terceiros, e todos os visitantes, tenham alguma forma visível de identificação, e eles devem avisar imediatamente o pessoal de segurança caso encontrem visitantes não acompanhados ou qualquer pessoa que não esteja usando uma identificação visível;

d) aos terceiros que realizam serviços de suporte, seja concedido acesso restrito às áreas seguras ou às instalações de processamento da informação sensível somente quando necessário; este acesso deve ser autorizado e monitorado;

e) os direitos de acesso a áreas seguras sejam revistos e atualizados em intervalos regulares, e revogados quando necessário (ver 8.3.3)."

d-

A data da entrada e saída de visitantes deve ser registrada, e todos os visitantes devem ser supervisionados, mesmo que o seu acesso tenha sido previamente aprovado; convém que as permissões de acesso sejam concedidas para todas as finalidades, e sejam emitidas sempre, nao somente com instruções sobre procedimentos de emergência.

Vamos abordar a questão apresentada sobre a proteção de áreas seguras em uma organização, conforme a norma ABNT NBR ISO/IEC 27002. A alternativa correta, que não está de acordo com as diretrizes da norma, é a Alternativa D.

Primeiro, vamos entender o contexto: a norma ABNT NBR ISO/IEC 27002 fornece diretrizes práticas para a gestão de segurança da informação, incluindo o controle de acesso a áreas seguras. Vamos analisar cada alternativa para compreender melhor a questão:

Alternativa Correta: D

A alternativa D diz que a "data de entrada e saída de visitantes deve ser registrada, e todos os visitantes devem ser supervisionados, mesmo que o seu acesso tenha sido previamente aprovado; convém que as permissões de acesso sejam concedidas para todas as finalidades, e sejam emitidas somente com instruções sobre procedimentos de emergência".

O problema aqui é a frase "convém que as permissões de acesso sejam concedidas para todas as finalidades", que está incorreta. Na prática, permissões de acesso devem ser concedidas apenas para finalidades específicas e controladas, e não para todas as finalidades. Isso fere o princípio de mínimos privilégios, onde o acesso deve ser restrito apenas ao necessário para a realização de uma tarefa específica.

Alternativas Incorretas:

A - Esta alternativa está correta porque sugere que terceiros só tenham acesso quando necessário, com autorização e monitoramento, o que está em conformidade com a norma.

B - Também correta. Recomenda o uso de controles de autenticação e a manutenção de registros de acesso para fins de auditoria, o que é uma prática recomendada pela norma.

C - Correta. Exige identificação visível para todos e a comunicação imediata de irregularidades, garantindo a segurança das áreas restritas, conforme a norma.

E - Esta alternativa está correta. A revisão e atualização regular dos direitos de acesso é uma prática recomendada para garantir que apenas pessoas autorizadas tenham acesso a áreas seguras.

Espero que essa explicação tenha ajudado a esclarecer as diretrizes da norma ABNT NBR ISO/IEC 27002 relativas ao controle de acesso a áreas seguras. Se precisar de mais alguma orientação ou tiver dúvidas, estou à disposição!