SóProvas

ID
480172
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Governança de TI
Assuntos

Com base na seção “Gestão de incidentes da segurança da informação” da norma ISO/IEC 27002:2005, é possível tratar os incidentes da segurança dentro de processos propostos pelo CobiT 4.1 e pelo ITIL. A afirmação faz referência

Alternativas
Comentários
  • Acredito que o mais correto seria :DS5 - Garantir a segurança dos sistemas (COBIT)
    e Gestão da segurança da informação (ITITL), o que não consta em nenhuma opção.
  • Acredito que a gestão da segurança da informação irá cuidar de todo o planejamento e metodologia de gerenciamento de segurança, mas quando falamos dos incidentes realmente acontecendo, os processos apresentados na alternativa A se encaixam melhor. Seria algo como o gerencimento de incidentes resolvendo incidentes de segurança da informação, com base no que foi determinado pelos processos relacionados a gestão de segurança.

    Uma observação importante é que caso a alternativa A trouxesse,  para o framework ITIL, a Central de Serviço, isso invalidaria a questão, visto que esta não é um processo mas uma função.
  • Da ABNT NBR ISO/IEC 27002:2005 (pág. 100), o referido processo tem por objetivo "Assegurar que um enfoque conseistente e efetivo seja aplicado à gestão de incidentes de segurança da informação." 

    Por "incidente de segurança da informação", a norma toma a definição da ISO/IEC 18044:2004, que diz que "um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as opera;óes do negócio e ameaçar a segurança da informação" (pág. 2).

    Desta forma, pelas definições do processo DS8 do CobiT 4.1 e Gerência de Incidentes do ITIL v3, bem como os exemplos de incidentes dados pela 27002 (também na página 100), há nesse processo um enfoque prático (diferente, por exemplo, do apregoado nos processos PO ou ME, ou mesmo na Gerência de Segurança do CobiT).
  • No pentágono de governança de TI, presente no manual do COBIT 4.1 (página 131) , a gestão de riscos não consta nem como foco secundário.  Ao meu ver o item foi mal implementado, seria mais correto o DS5

    DS5   Garantir a Segurança dos Sistemas
    Para manter a integridade da informação e proteger os ativos de  TI, é necessário implementar um processo de gestão de segurança.
    Esse processo inclui o estabelecimento e a manutenção de papéis, responsabilidades, políticas, padrões e procedimentos de segu-
    rança de TI. A gestão de segurança inclui o monitoramento, o teste periódico e a implementação de ações corretivas das defici-
    ências ou dos incidentes de segurança. A gestão eficaz de segurança protege todos os ativos de TI e minimiza o impacto sobre os 
    negócios de vulnerabilidades e incidentes de segurança.

  • Falando em Governança de TI, podemos verificar que a ISO 27000 é “totalmente aderente” ao modelo de Governança do COBIT, ou vice-versa. Se quisermos, podemos mapear praticamente todas as seções acima aos processos que o COBIT 4.1 traz. Para fins de exemplo, podemos pegar a seção “Gestão de incidentes da segurança da informação” acima e tratar os incidentes da segurança dentro do processo de gestão de incidentes propostos pelo COBIT 4.1 (DS8) e ITIL (Operação de Serviço: Gestão de Incidentes), mas tratando o incidente da segurança de acordo com o sugerido pela norma ISO 27000. Portanto, caso sua empresa tenha um service desk baseado nas práticas do ITIL, só precisaria incluir mais alguns procedimentos para o tratamento dos incidentes de segurança.

    http://www.governancadeti.com/2011/01/governanca-de-ti-seguranca-da-informacao-–-normas-iso-27000/