-
Segundo a ISO 27002
Diretrizes para implementação
Convém que os funcionários, fornecedores e terceiros notifiquem esse assunto o mais rápido possível para
sua direção ou diretamente ao seu provedor de serviços, de forma a prevenir incidentes de segurança da
informação. Convém que o mecanismo de notificação seja fácil, acessível e disponível sempre que possível.
Convém que os usuários sejam informados que não podem, sob nenhuma circunstância, tentar averiguar
fragilidade suspeita.
-
Faltou ao colega do comentário anterior indicar a qual controle se refere a questão. É o controle 13.1.1 Notificação de eventos de segurança da informação, do objetivo de controle 13.1 Notificação de fragilidades e eventos de segurança da informação da seção 13 Gestão de incidentes de segurança da informação.
-
Demorei para achar porque o controle citado pelo colega não está certo. A resposta se encontra neste controle aqui:
Segundo a ISO 27002, p.119,
"13. GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
13.1. NOTIFICAÇÃO DE FRAGILIDADES E EVENTOS DE SEGURANÇA DA INFORMAÇÃO
13.1.2 NOTIFICANDO FRAGILIDADES DE SEGURANÇA DA INFORMAÇÃO
Diretrizes para implementação"
Bibliografia:
Norma ISO 27002
-
Vamos simplificar! Funcionários, fornecedores e terceiros devem ser instruídos a qualquer observação suspeita.
-
Não é averiguar e sim Notificar!
-
Segundo a ISO 27002:2013,
"16.1.3 Notificando fragilidades de segurança da informação
Controle
Convém que os funcionários e partes externas que usam os sistemas e serviços de informação da organização, sejam instruídos a registrar e notificar quaisquer fragilidades de segurança da informação, suspeita ou observada, nos sistemas ou serviços.
Diretrizes para implementação
Convém que todos os funcionários e partes externas notifiquem essas questões para o ponto de contato, o mais rápido possivel, de forma a prevenir incidentes de segurança da informação. O mecanismo de notificação deve ser fácil, acessivel e disponível, sempre que possível.
Informações adicionais
Convém que funcionários e fornecedores sejam avisados a não tentar provar suspeitas de fraquezas de segurança. Testar fraquezas pode ser interpretado como potencial mau uso do sistema e pode também causar danos ao serviço ou sistema de informação e resultar em responsabilidade legal para o indivíduo que executou o teste."
-
Sinônimos de averiguar: apurar, INVESTIGAR, certificar
-
Prezados,
Quando essa questão foi feita a norma em vigência era a ABNT NBR ISO 27002:2005 , hoje já temos a versão 2013, entretanto, segundo a ABNT NBR ISO 27002/2005, temos :
Diretrizes para implementação – Saber quando e quais autoridades devem ser contatadas e como os incidentes de segurança da informação identificados devem ser notificados em tempo hábil, no caso de suspeita que a lei foi violada. Avisar as organizações que estão sofrendo ataque (provedor de internet, operador de telecomunicações).
Portanto a questão está errada