-
a) 9.2.7 Remoção de propriedade.(9.2 Segurança de equipamentos)
b) 9.2.4 Manutenção dos equipamentos.(9.2 Segurança de equipamentos)
c) 10.2.1 Entrega de serviços. (10.2 Gerenciamento de serviços terceirizados)
d) Segregação de funções.
10.1 Procedimentos e responsabilidades operacionais
Objetivo: garantir a operação segura e correta dos recursos de processamento da informação.
controles:
10.1.1 Documentação dos procedimentos de operação
10.1.2 Gestão de mudanças
10.1.3 Segregação de funções
10.1.4 Separação dos recursos de desenvolvimento, teste e de produção
e) 10.3.1 Gestão de capacidade.(10.3 Planejamento e aceitação dos sistemas)
-
A segregação de funções é um método para redução do risco de mau uso acidental ou deliberado dos sistemas. Convém que a separação da administração ou execução de certas funções, ou áreas de responsabilidade, a fim de reduzir oportunidades para modificação não autorizada ou mau uso das informações ou dos serviços, seja considerada.
Recomenda-se que os seguintes controles sejam considerados:
- É importante segregar atividades que requeiram cumplicidade para a concretização de uma fraude, por exemplo a emissão de um pedido de compra e a confirmação do recebimento da compra.
- Se existir o perigo de conluios, então é necessário o planejamento de controles de modo que duas ou mais pessoas necessitem estar envolvidas, diminuindo dessa forma a possibilidade de conspirações.
-
Forçando um pouco a barra ....
10.1.3 Segregação de funções
Controle
Convém que funções e áreas de responsabilidade sejam segregadas para reduzir as oportunidades de modificação ou uso indevido não autorizado ou não intencional dos ativos da organização.
[]'s
-
Segundo a ISO 27002:2013,"6.1.2
Segregação de funções
Controle
Convém que funções conflitantes e áreas de responsabilidade sejam segregadas para reduzir as oportunidades de modificação não autorizada ou não intencional, ou uso indevido dos ativos da organização."