SóProvas

ID
1460281
Banca
FCC
Órgão
CNMP
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

A segregação de funções é um método para redução do risco de mau uso acidental ou deliberado dos sistemas. Convém que a separação da administração ou execução de certas funções ou áreas de responsabilidade seja considerada, a fim de reduzir oportunidades para modificação não autorizada ou mau uso das informações ou dos serviços.

Desta forma, recomenda-se que:

I. O início de um evento seja separado de sua autorização.

II. Sejam segregadas atividades que requeiram cumplicidade para a concretização de uma fraude como, por exemplo, a emissão de um pedido de compra e a confirmação do recebimento da compra.

III. Na possibilidade de ocorrência de conluios, sejam planejados controles de tal modo que somente uma pessoa esteja envolvida, diminuindo dessa forma a possibilidade de conspirações.

Está correto o que se recomenda APENAS em

Alternativas
Comentários

  • III. Na possibilidade de ocorrência de conluios, sejam planejados controles de tal modo que somente uma pessoa esteja envolvida, diminuindo dessa forma a possibilidade de conspirações. 


    Errado. Conforme trecho da norma abaixo, não é uma boa prática o envolvimento de "somente uma pessoa".


    10.1.3 Segregação de funções

    Controle

    Convém que funções e áreas de responsabilidade sejam segregadas para reduzir as oportunidades de

    modificação ou uso indevido não autorizado ou não intencional dos ativos da organização.

    Diretrizes para implementação

    A segregação de funções é um método para redução do risco de uso indevido acidental ou deliberado dos

    sistemas. Convém que sejam tomados certos cuidados para impedir que uma única pessoa possa acessar,

    modificar ou usar ativos sem a devida autorização ou detecção. Convém que o início de um evento seja

    separado de sua autorização. Convém que a possibilidade de existência de conluios seja considerada no

    projeto dos controles.


    Fonte: ISO/IEC 27002


    []'s




  • Embora a assertiva I esteja com uma redação, a meu ver, bastante pobre, ela é respaldada pela defesa da segregação, ou seja, ninguém deve se autorizar a iniciar determinada atividade, ambas as ações devem ser separadas, segregadas.

    A assertiva II segue a mesma lógica da assertiva I.

    Sobre a assertiva III, ela é justamente o oposto do que defende a lógica da segregação. Especialmente em situações como essa, não devemos ter uma única pessoa envolvida.

    mauriciorochabastos@gmail.com