SóProvas

ID
613237
Banca
CESPE / CEBRASPE
Órgão
BRB
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

      De uma lanchonete na Georgia (EUA), um ex-funcionário de uma empresa farmacêutica norte-americana conseguiu apagar a maior parte da infraestrutura de computadores dessa companhia. Usando uma conta de usuário, o ex-funcionário acessou a rede da empresa e disparou o console de gerenciamento vSphere VMware instalado secretamente por ele próprio na rede da companhia algumas semanas antes da sua demissão. Pelo vSphere, ele apagou 88 servidores dos sistemas de hospedagem VMware da empresa, um a um.
Internet: <idgnow.uol.com.br> (com adaptações)


Acerca da situação descrita no texto acima e considerando o disposto na norma ISO/IEC 27002, julgue os itens subsequentes.

Considerando-se as recomendações da norma ISO/IEC 27002, infere-se que houve falha da empresa na implementação dos controles relativos à segurança de recursos humanos.

Alternativas
Comentários
  • O item 8.3.3 (dentro do tópico Segurança em Recursos Humanos) da 27002 diz que:
    "Convém que os direitos de acesso de todos os funcionários, fornecedores e terceiros às informações e aos recursos de processamento da informação sejam retirados após o encerramento de suas atividades, contratos ou acordos, ou ajustados após a mudança destas atividades."
  • Caros, concordo com a justificativa do colega e com o gabarito caso a conta de usuário mensionada no texto fosse do autor do ataque, mas, pela redação da questão, acredito ser correto inferir em "Usando uma conta de usuário" que a conta de usuário usada não é do atacante, o que torna o gabarito inválido.
  • Discordo do gabarito, pois assim como dito pelo colega acima, ele realizou usando sua propria conta e sim a conta de UM usuário.
  • Importante este detalhe mencionado: qual conta ele utilizou?? A dele? Ou de um usuário? Como está no texto pode ser a de qualquer pessoa.
    ERRADO.

    Mas, e se pegou (pegou emprestada e emprestada mesmo) a senha de outra pessoa. A culpa foi da outra pessoa. Portanto,
    CERTO.

    Problema na interpretação do texto???
  • Seção 8 - Segurança em Recursos Humanos

    - Encerramento ou mudança da contratação

    - responsabilidades devem ser definidas, para garantir que a saída seja feita de modo
    controlado e que sejam devolvidos os equipamentos e retirados os direitos de acesso;

    - os direitos de acesso lógico e físico de funcionários devem ser retirados 
    após o encerramento das atividades, contratos ou acordos, ou ajustados;

  • Gabarito CORRETO
    O texto deixa clara a situação em que ele é um ex-funcionário e obteve acesso ao programa instalado por ele antes de sair. Logo temos que nos atentar às informações oferecidas e não fazermos suposições. É exatamente isso que a banca quer que você faça. Suponha. Se a empresa fizesse a gestão de acesso, isso não aconteceria. 



  • CONFORME A NOVA ISO 27002:2013, também há falha nos CONTROLES da seção de Controle de Acesso.

     

    Segundo a ISO 27002:2013,"

    9 Controle de acesso

    9.2.6 Retirada ou ajuste de direitos de acesso
    Controle
    Convém que os direitos de acesso de todos os funcionários e partes externas às informações e aos recursos de processamento da informação sejam retirados logo após o encerramento de suas atividades, contratos ou acordos, ou ajustados após a mudança destas atividades."

  • Prezados,

    Conforme a norma ISO 27002, vemos :

    " Convém que o processo para gerenciar o identificador de usuário (ID de usuário) inclua:
    b) a imediata remoção ou desabilitação do ID de usuário que tenha deixado a organização
      "

    Portanto a questão está correta, a empresa falhou na implementação da norma ao não implementar um controle de revogação de contas de ex funcionários.