A respeito de segurança da informação, julgue o item seguint...

Alternativa correta: C - certo.

A questão aborda um aspecto importante da segurança da informação segundo a norma NBR ISO/IEC 17799, que atualmente é conhecida como ISO/IEC 27002. Essa norma estabelece diretrizes para a gestão da segurança da informação, propondo boas práticas para a proteção de informações em uma organização.

De acordo com a ISO/IEC 27002, é essencial que haja um proprietário responsável tanto pela aplicação inventariada quanto pelos ativos a ela associados. Isso significa que cada ativo de informação, como sistemas, dados e equipamentos, deve ter um responsável designado. Esse responsável é incumbido de garantir que os controles de segurança apropriados estão sendo implementados e mantidos.

Vamos agora entender por que a alternativa é correta:

Justificativa da alternativa correta:

A designação de um proprietário responsável é uma prática fundamental na gestão de segurança da informação. Esse proprietário é responsável por assegurar que os ativos sob sua responsabilidade estão protegidos de maneira adequada conforme as políticas e procedimentos da organização. Isso inclui tanto a aplicação (software, sistema) quanto os ativos associados (hardware, dados, etc.).

Essa prática garante que há uma clara atribuição de responsabilidades, o que é crucial para a eficácia dos controles de segurança. Sem um proprietário responsável, pode haver uma falta de clareza sobre quem deve tomar medidas corretivas ou preventivas em caso de incidentes de segurança.

Alternativas incorretas:

Visto que a questão é do tipo certo/errado e a alternativa correta é "certo", a alternativa "errado" seria incorreta porque negaria a necessidade de um proprietário responsável, o que vai contra as diretrizes da norma ISO/IEC 27002.

Em resumo, a presença de um proprietário responsável é uma boa prática de governança em segurança da informação, essencial para manter a integridade, confidencialidade e disponibilidade dos ativos da organização.

Espero que esta explicação tenha sido clara e ajudado a entender a importância do tema abordado na questão.

O tópico 8 da ISO 27002:2013 trata da Gestão de Ativos. Dentro do tópico, temos o item 8.1 Responsabilidade pelos ativos. Dentro dele temos o sub-item 8.1.2 Proprietário dos ativos. Trazendo o mais importante para respondermos à questão, temos:

8.1. Responsabilidade pelos ativos:Objetivo:

Identificar os ativos da organização; e

Definir as responsabilidades apropriadas para a proteção dos ativos.

8.1.2. Proprietário dos ativos:

Controle:

Convém que os ativos mantidos no inventário tenham um proprietário;

Informações adicionais:Em  sistemas  de  informação  complexos,  pode  ser  útil  definir  grupos  de  ativos  que  atuem  juntos  para  fornecer  um  serviço  particular;

Neste  caso,  o  proprietário  deste  serviço  é  responsável  pela  entrega  do  serviço, incluindo a operação dos ativos envolvidos.

A frase "... o  proprietário  deste  serviço  é  responsável  pela  entrega  do  serviço, incluindo a operação dos ativos envolvidos" contém o trecho-chave que corrobora o que a questão quis dizer.

Gabarito Certo

De acordo com a norma NBR ISO/IEC 17799

Gestão de Ativos

Responsabilidade pelos ativos. O objetivo e alcançar e manter a proteção adequada dos ativos da organização. Convém que todos os ativos sejam inventariados e tenham um proprietário responsável. Convém que os proprietários dos ativos sejam identificados e a eles seja atribuída a responsabilidade pela manutenção apropriada dos controles.

Proprietário dos ativos. Convém que todas as informações e ativos associados com os recursos de processamento da informação tenham um proprietário designado por uma parte definida da organização. As tarefas de rotina podem ser delegadas, por exemplo, para um custo diante que cuida do ativo no dia-a-dia, porém a responsabilidade permanece com o proprietário. Em sistemas de informação complexos pode ser útil definir grupos de ativos que atuem juntos para fornecer uma função particular, como serviços. Neste caso, o proprietário do serviço é o responsável pela entrega do serviço, incluindo o funcionamento dos ativos, que provê os serviços.

Classificação da informação. Objetivo: Assegurar que a informação receba um nível adequado de proteção. Convém que a informação seja classificada para indicar a necessidade, prioridades e o nível esperado de proteção quando do tratamento da informação. A informação possui vários níveis de sensibilidade e criticidade. Alguns itens podem necessitar um nível adicional de proteção ou tratamento especial. Convém que um sistema de classificação da informação seja usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento.

Recomendações para classificação. Que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização. E seus respectivos controles de proteção levem em consideração as necessidades de compartilhamento ou restrição de informações e os respectivos impactos nos negócios, associados com tais necessidades. Cuidados sejam tomados com a quantidade de categorias de classificação e com os benefícios obtidos pelo seu uso. Esquemas excessivamente complexos podem tornar o uso incômodo e ser inviáveis economicamente ou impraticáveis. O nível de proteção pode ser avaliado analisando a confidencialidade, a integridade e a disponibilidade da informação, Em geral, a classificação dada à informação é uma maneira de determinar como esta informação vai ser tratada e protegida.

"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !

Segundo a ISO 27002:2013,"

8.1.2 Proprietário dos ativos
Controle
Convém que os ativos mantidos no inventário tenham um proprietário."

GABARITO: CERTO.

Segundo a ISO 27002:2013,"

8.1.2 Proprietário dos ativos

Controle

Convém que os ativos mantidos no inventário tenham um proprietário."