O item 12.2.1 da norma ABNT NBR ISO/IEC 27002:2013 diz respeito aos controles contra malware, cujas diretrizes para implementação recomendam a proteção contra códigos maliciosos baseada na detecção de malware e reparo, na conscientização da informação, no controle de acesso adequado e nos planos de continuidade de negócio. Com base no acima exposto, e no seu conhecimento de segurança da informação e sistemas de computação, marque a alternativa que possui uma das diretrizes recomendadas:

Alternativa D - Estabelecer uma política formal para proteção contra os riscos associados com a importação de arquivos e softwares...

Análise da Questão

A questão aborda o controle de segurança da informação referente a Malware, especificamente conforme a norma ABNT NBR ISO/IEC 27002:2013 (Item 12.2.1). Esta norma fornece diretrizes para implementar controles de segurança dentro de um Sistema de Gestão de Segurança da Informação (SGSI).

Por que a Alternativa D é Correta?

A norma estabelece explicitamente a necessidade de formalização nas ações de segurança. Para o controle contra malware, uma das diretrizes primordiais é:

• Estabelecer uma política formal para proteger a organização contra os riscos associados à importação de arquivos e softwares (seja de redes externas, e-mail, mídias removíveis, etc.).
• Essa política deve indicar claramente quais medidas preventivas devem ser adotadas (como verificação por antivírus antes do uso).

Isso garante que o processo não dependa apenas da boa vontade do funcionário, mas siga regras claras definidas pela empresa.

Por que as outras alternativas estão Incorretas?

As demais alternativas violam princípios básicos de governança e segurança da informação:

• Alternativa A: Políticas de segurança devem ser sempre formais, documentadas e comunicadas, nunca informais. Além disso, proibir o uso de softwares autorizados seria contraproducente; o ideal é permitir apenas softwares autorizados.
• Alternativa B: Análises de sistemas críticos devem ser formais, periódicas e comprometidas. Análises "esporádicas e descompromissadas" deixariam brechas de segurança inaceitáveis.
• Alternativa C: Embora a instalação de antivírus seja necessária, a frase "independentemente da fabricante, procedência e confiabilidade" é perigosa. Recomenda-se utilizar soluções de fornecedores confiáveis. Além disso, a política formal (Alternativa D) é a base que sustenta a execução técnica.
• Alternativa E: Ignorar arquivos não aprovados é negligência. Arquivos desconhecidos são vetores comuns de ataque e devem ser analisados e bloqueados.

Resumo

A segurança da informação exige processos formais e documentados. A norma ISO 27002 reforça que a defesa contra malware começa com uma política clara sobre a importação e uso de softwares e arquivos externos.