Alternativa C - Para demonstrar a conformidade com os requisitos de SGSI e gerenciar riscos.
Introdução à ISO/IEC 27001
A norma ISO/IEC 27001 é o padrão internacional mais reconhecido para implementação de um Sistema de Gestão de Segurança da Informação (SGSI). O objetivo principal não é criar um sistema imune a ataques, mas sim estabelecer processos estruturados para proteger ativos de informação.
Esta certificação foca na gestão proativa de riscos, garantindo que a organização identifique, avalie e trate suas vulnerabilidades de forma sistemática.
Desenvolvimento da Resposta
Vamos analisar por que a alternativa C é a correta e as outras estão incorretas:
- Gerenciamento de Riscos: A norma exige que a organização realize uma análise de riscos e aplique controles adequados para mitigá-los. Ela não promete eliminar todos os riscos, mas gerenciá-los dentro de um nível aceitável.
- Conformidade (Compliance): A certificação serve como prova externa de que a empresa segue boas práticas internacionais e regulações específicas de segurança.
As outras alternativas contêm erros conceituais comuns sobre segurança da informação:
| Alternativa | Análise |
|---|
| A | É impossível evitar toda ameaça. A segurança busca reduzir o risco, não eliminá-lo totalmente. |
| B | Garantir que nenhum incidente ocorra é uma afirmação falsa. Incidentes podem acontecer mesmo em sistemas seguros; o foco é a resposta e recuperação. |
| C | Correta. Foca nos requisitos do SGSI e na gestão contínua de riscos. |
| D | A norma exige pessoal qualificado e engajamento da alta direção. Não substitui a equipe, mas estrutura o trabalho dela. |
| E | Embora a segurança influencie a confiança, o foco da ISO 27001 é a confidencialidade, integridade e disponibilidade dos dados, não a satisfação geral do usuário em transações comerciais. |
Análise Detalhada
- O mito da segurança absoluta: Em TI, não existe "segurança total". A opção A e B caem no erro de prometerem resultados absolutos ("evitar toda", "garantir nenhum"), o que é tecnicamente inviável.
- Foco no Processo: A ISO 27001 é uma norma de gestão. Ela valida se existem políticas, procedimentos e monitoramentos definidos (o SGSI), e não apenas se o software está atualizado.
- Valor de Mercado: Obter a certificação ajuda a organização a demonstrar seriedade para clientes e parceiros, mostrando que ela leva a segurança a sério através da conformidade (Alternativa C).
Conclusão
A certificação ISO/IEC 27001 tem como função principal estruturar a gestão da segurança, permitindo que a organização demonstre conformidade com normas internacionais e gerencie seus riscos de forma eficiente. Portanto, a resposta correta é a Alternativa C.