Deve haver a anulação da questão por possuir 3 alternativas corretas. B (gestão de mudanças), C (gestão de capacidade), D (gestão de vulnerabilidades técnicas) aplicáveis ao cenário em comento. Sendo B(gabarito) e C controles que atendem ao mesmo objetivo de controle: “Garantir a operação segura e correta dos recursos de processamento da informação”.
Transcrevo o comando da questão:
“Determinada organização pretende realizar uma mudança nos seus recursos de tecnologia da informação, criando ambientes diferentes para desenvolvimento, teste e
produção de software, o que afetará a segurança da informação. Considerando o disposto na NBR ISO/IEC 27001, assinale a opção que indica o controle que deve ser
aplicado pela organização nessa situação.”
Segundo a norma ISO 271001:2013 página 20.
A.12.1.3 Gestão de capacidade. Controle: A utilização dos recursos deve ser monitorada e ajustada, e as projeções devem ser feitas para necessidades de capacidade
futura para garantir o desempenho requerido do sistema.
Os controles gestão de mudanças A.12.1.2 (alternativa B) e a Gestão de capacidade A.12.1.3 (alternativa C) ambos fazem parte do item “Responsabilidades e
procedimentos operacionais”.
Ambos controles atendem o objetivo de controle de: “Garantir a operação segura e correta dos recursos de processamento da informação”. O que torna as alternativas
B e C aplicáveis neste cenário.
Considerando que a organização já possui ambiente compartilhado de teste e produção o que por si só já é uma vulnerabilidade técnica e que afeta a segurança da
informação antes mesmo da mudança.Também segundo a norma ISO 271001:2013
Página 22
A.12.6.1 Gestão de vulnerabilidades técnicas. Controle: informações sobre vulnerabilidades técnicas dos sistemas de informação em uso devem ser obtidas em tempo
hábil; a exposição da organização a estas vulnerabilidades deve ser avaliada e devem ser tomadas as medidas pra lidar com os riscos associados.
Portanto cabem, no mínimo, três respostas corretas o que torna nula a questão.
B gestão de mudanças
C gestão de capacidade
D gestão de vulnerabilidades técnicas
João (543210),
A colega Lopes está correta, você está cometendo um pequeno engano.
NÃO É PORQUE a gestão da mudança, gestão de capacidade fazem parte do mesmo OBJETIVO DE CONTROLE(A.12.1 Responsabilidades e procedimentos operacionais Objetivo: Garantir a operação segura e correta dos recursos de processamento da informação.) QUE ELES SÃO IGUAIS!
Observe que o enunciado da questão está mencionando que IREMOS MUDAR ALGO, MEXER EM ALGO, TROCAR ALGO..
O que é este algo?
é a criação de ambientes diferentes para desenvolvimento e teste.
E este algo irá afetar a segurança da informação?
Sim!!! Então o controle gestão de mudança terá que ficar de olho!
Por sua vez, após a criação destes ambientes separados afetou algum desempenho?.
Situação hipotética: A sala de desenvolvimento fica no 3º andar do prédio 1, e a sala de testes fica no 5º andar do prédio 23, haverá uma demora para levar fisicamente os dados, arquivos e sistemas. hmmm isto afetou o desempenho, como podemos melhorar? Agora sim entra a gestão de capacidade( pois envolve o MONITORAMENTO e o AJUSTE de algo que já foi implantado)
Conseguiu entender a diferença dos dois? São irmãos gemêos, mas são diferentes!!!
GABARITO -CORRETO- ALTERNATIVA B