A respeito da aquisição, do desenvolvimento e da manutenção ...

Próximas questões
Com base no mesmo assunto
Q2133250
Segurança da Informação ISO 27002 ,
Ano: 2023 Banca: CESPE / CEBRASPE Órgão: CNMP Prova: CESPE / CEBRASPE - 2023 - CNMP - Analista do CNMP – Àrea: Tecnologia da Informação e Comunicação - Especialidade: Desenvolvimento de Sistemas |
Q2133250 Segurança da Informação

A respeito da aquisição, do desenvolvimento e da manutenção de sistemas e das responsabilidades e papéis pela segurança da informação, julgue o item subsequentesà luz da norma ABNT NBR ISO/IEC n.º 27002:2013.  


Mesmo que a organização atribua a um gestor a responsabilidade global por desenvolver e implementar a segurança da informação, é relevante que a responsabilidade por pesquisar e implementar os controles permaneça com os gestores individuais dos ativos.

Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Alternativa correta: C (certo)

Vamos entender a razão pela qual a afirmativa está correta à luz da norma ABNT NBR ISO/IEC 27002:2013.

A ISO 27002 é uma norma internacional que fornece diretrizes para a gestão da segurança da informação, abrangendo diversos aspectos, incluindo a aquisição, desenvolvimento e manutenção de sistemas. Um dos tópicos centrais é a atribuição de responsabilidades dentro da organização.

De acordo com a norma, a responsabilidade global pela segurança da informação deve ser atribuída a um gestor específico. Este gestor tem o papel de desenvolver e implementar políticas e procedimentos relacionados à segurança da informação.

Entretanto, é igualmente importante que a responsabilidade pela implementação dos controles específicos de segurança seja distribuída entre os gestores individuais dos ativos. Isso porque esses gestores possuem um entendimento mais detalhado e específico dos ativos sob sua responsabilidade, permitindo uma aplicação mais eficaz e contextualizada dos controles de segurança.

Agora vamos justificar em detalhes:

Justificativa da alternativa correta (C):

A afirmativa está correta porque, segundo a ISO 27002:2013, enquanto o gestor global da segurança da informação define a estratégia e políticas gerais, os gestores individuais dos ativos são responsáveis por pesquisar e implementar os controles específicos. Essa divisão de responsabilidades garante que os controles sejam aplicados de maneira mais precisa e adequada às características de cada ativo.

Por que as alternativas incorretas não se aplicam:

Se a alternativa fosse "errado", estaríamos indo contra a recomendação da norma. A ISO 27002:2013 deixa claro que uma boa prática é justamente distribuir a responsabilidade pelos controles entre os gestores dos ativos, para que esses controles sejam implementados de forma mais eficaz. Centralizar toda a responsabilidade em um único gestor pode levar a uma menor eficácia na aplicação dos controles específicos, já que o conhecimento detalhado de cada ativo pode não ser suficientemente abrangente.

Conclusão:

Portanto, a afirmativa está correta ao destacar a importância de manter a responsabilidade de pesquisar e implementar controles com os gestores individuais dos ativos, mesmo que haja um gestor global para a segurança da informação. Essa abordagem permite uma aplicação mais contextualizada e eficaz dos controles de segurança.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

CERTO

Embora a organização possa designar um gestor global com a responsabilidade geral de desenvolver e implementar a segurança da informação, é fundamental que a implementação dos controles seja descentralizada e envolva os gestores responsáveis pelos ativos específicos. Essa abordagem descentralizada permite que os gestores individuais entendam as necessidades específicas de segurança relacionadas aos seus ativos e adotem medidas adequadas para protegê-los.

6 Organização da segurança da informação

Objetivo: Estabelecer uma estrutura de gerenciamento para iniciar e controlar a implementação e operação da segurança da informação dentro da organização.

(...)

Indivíduos que receberam responsabilidades de segurança da informação podem delegar tarefas de segurança da informação para outros. Todavia, convém que eles permaneçam responsáveis e determinem se quaisquer tarefas delegadas tenham sido corretamente executadas.

(...)

Muitas organizações atribuem a um gestor de segurança da informação a responsabilidade global pelo desenvolvimento e implementação da segurança da informação, e para apoiar a identificação de controles.

Entretanto, a responsabilidade por pesquisar e implementar os controles frequentemente permanecerá com os gestores individuais. Uma prática comum é a nomeação de um proprietário para cada ativo que, então, se torna responsável por sua proteção no dia a dia.

Fonte: ABNT NBR ISO/IEC n.º 27002:2013, pag 16 e 17.

Mesmo que exista um gestor responsável globalmente pelo desenvolvimento e implementação da segurança da informação, a responsabilidade pela implementação e manutenção dos controles específicos deve permanecer com os gestores individuais dos ativos.

  1. ISO/IEC 27001 (Seção 5.3 – Papéis e Responsabilidades na Segurança da Informação)
  • Recomenda que as responsabilidades de segurança sejam distribuídas entre diferentes níveis da organização, garantindo que os gestores dos ativos sejam responsáveis por sua proteção.
  1. ISO/IEC 27002 (Seção 8.9 – Gestão de Ativos)
  • Define que os proprietários dos ativos devem garantir a aplicação adequada dos controles de segurança sobre seus ativos, pois são eles que entendem melhor o valor e os riscos associados a cada recurso.
  1. Princípio da Responsabilidade Descentralizada
  • Um gestor de segurança pode definir diretrizes e supervisionar a implementação, mas os gestores dos ativos devem aplicar os controles específicos, pois conhecem melhor o funcionamento dos sistemas e seus riscos operacionais.

Na segurança da informação, ativos são todos os recursos que possuem valor para a organização e precisam ser protegidos contra ameaças e vulnerabilidades.

  1. Ativos de Informação
  • Dados e informações armazenadas, processadas ou transmitidas.
  • Exemplos: Banco de dados, documentos, e-mails, contratos, registros financeiros.
  1. Ativos de Software
  • Sistemas, aplicativos e programas utilizados na organização.
  • Exemplos: ERP, CRM, sistemas de gestão, softwares internos.
  1. Ativos de Hardware
  • Equipamentos físicos usados para armazenar ou processar informações.
  • Exemplos: Servidores, computadores, roteadores, dispositivos móveis.
  1. Ativos Humanos
  • Pessoas que possuem conhecimento crítico e operam os sistemas de informação.
  • Exemplos: Funcionários, consultores, administradores de TI.
  1. Ativos de Serviço
  • Serviços essenciais para o funcionamento da organização.
  • Exemplos: Provedores de internet, serviços de nuvem, suporte técnico.
  1. Ativos Intangíveis
  • Elementos que agregam valor, mas não são físicos.
  • Exemplos: Reputação, marca, patentes, propriedade intelectual.

A ISO/IEC 27001 e 27002 estabelecem que os ativos devem ser identificados, classificados e protegidos de acordo com seu valor e nível de risco.

  • Identificação: Listar todos os ativos que precisam ser protegidos.
  • Classificação: Definir níveis de criticidade (Ex.: Confidencial, Restrito, Público).
  • Proteção: Implementar controles de segurança para minimizar riscos.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas