Alternativa correta: E - errado

Vamos compreender o tema central da questão, que envolve a governança de segurança da informação e a norma ISO 27001. Esta norma é um padrão internacional que descreve as melhores práticas para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI).

Em uma organização, a segurança da informação é crucial, especialmente em cenários de trabalho remoto, onde o acesso a dados e sistemas ocorre fora do ambiente controlado do escritório. A norma ISO 27001, em conjunto com a ISO 27002, fornece diretrizes sobre a gestão de riscos e controles de segurança, mas não define quais informações específicas podem ser acessadas remotamente.

**Justificativa da alternativa correta:**

A afirmação dada na questão é considerada errada porque a ISO 27001 não estabelece as informações específicas que podem ser acessadas remotamente. Em vez disso, ela orienta sobre a criação de políticas e medidas de segurança que cada organização deve adotar com base em sua própria análise de riscos.

Segundo a ISO 27001, cabe à organização definir seu próprio escopo e determinar, com base em suas necessidades e riscos avaliados, como o acesso remoto deve ser gerenciado. Isso inclui a implementação de controles de acesso adequados, conforme descrito na cláusula 9.2 - Controle de Acesso, que sugere que a organização determine e documente as permissões de acesso de acordo com a necessidade de negócios.

**Exame da alternativa incorreta:**

A questão afirma que a norma define as informações acessíveis remotamente, o que não é verdade. A norma orienta a criação de políticas que cada organização deve desenvolver internamente, considerando suas próprias necessidades e riscos associados ao acesso remoto.

Para interpretar o enunciado corretamente, é importante entender que a ISO 27001 fornece um quadro de referência para a gestão de segurança da informação, mas não dita detalhes operacionais específicos, como quais informações podem ser acessadas remotamente. Essa responsabilidade cabe às organizações que implementam a norma.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

A ISO/IEC 27001 não define especificamente quais informações podem ser acessadas remotamente. O que a norma faz é exigir que a organização implemente controles adequados para garantir a segurança das informações, incluindo no trabalho remoto.

7. Trabalho Remoto

Controle: Medidas de segurança devem ser implementadas quando os colaboradores estão trabalhando remotamente, a fim de proteger as informações acessadas, processadas ou armazenadas fora das instalações da organização.

Propósito: Garantir a Segurança da Informação enquanto os colaboradores estão trabalhando remotamente.

Não especifica: apenas destaca a necessidade de serem implementadas, justamente porque cada organização vai implementar regras que se adequem a suas próprias políticas de segurança da informação.