SóProvas

ID
801289
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos controles a serem implementados em um SGSI,
julgue os itens seguintes.

Os usuários devem ser conscientizados e educados no que diz respeito à segurança da informação, uma vez que recai sobre eles a responsabilização pelos eventos em que venham a se envolver, como quebras de segurança e erros de operação.

Alternativas
Comentários
  • ERRADO

    Os usuários não podem ser responsabilizados por quebras de segurança e erros de operação, isso é responsabilidade das equipes de suporte e desenvolvimento
  • Primeiro erro é que quebras de segurança e erros de operação não são eventos. segundo a ISO 27002:
    Eventos de segurança da informação - ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para segurança da informação.
    Então estaria mais para incidente e não para evento. Outro fato é que o simples envolvimento não resposabiliza o usuário. O controle 8.2.3 Processo disciplinar da 27002 diz que deve haver a investigação para apontar os culpados garantindo um tratamento justo.
  • Corrigindo o colega acima: Todo incidente é um evento. Mas nem todo evento é um incidente.
  • Complementando,
    Um evento indica uma possível violação da segurança da informação. Enquanto que um incidente é um simples ou uma serie de eventos que tenham uma grande probabilidade de comprometer as operaçõs do negócio e ameaçar a segurança da informação
  • Se um usuário permite o acesso de uma pessoa não autorizada à uma área segregada, de quem é a responsabilidade? Isso não é um erro de operação?

    Se eu mando um arquivo confidencial para uma lista de pessoas alheias à Organização, de quem é a responsabilidade?

    Se eu jogo um impresso no lixo, sem triturá-lo, estou me envolvendo em uma "quebra de segurança" ? 


    As questões do CESPE não se baseiam no que acontece no mundo real,, então tem que basear numa decoreba absurda para responder.
  • Segundo o item 5.2.2 da Norma, "A organização deve assegurar que todo o pessoal que tem responsabilidades atribuídas no SGSI seja competente para desempenhar as tarefas requeridas ..."
  • No ERRO de OPERAÇÃO, a culpa é das máquinas!

  • Respondi essa questão por um ângulo completamente diferente.

    A assertiva diz que o motivo para que os usuários sejam informados é unicamente porque eles são responsáveis pelas consequências de eventos.

    Ocorre que, antes de tudo, é preciso entender que não existe uma regra de responsabilidade universal para todas as organizações e situações. A responsabilidade por eventos adversos às vezes vai ser do usuário, e outras vezes não (podendo recair sobre o setor de suporte, a chefia do setor de negócio, consultores externos, vendedores de software de segurança, ou apenas sobre a pessoa jurídica sem imputação a nenhum indivíduo específico), a depender das políticas internas da organização e até mesmo da legislação aplicável à relação dos usuários com essa organização - se são empregados, prestadores de serviço, clientes etc.

    Em vista disso, o motivo para que os usuários sejam conscientizados a respeito da segurança da informação não pode ser simplesmente porque eles serão responsabilizados, até porque isso não necessariamente é verdade, mas sim porque ter usuários conscientes, por si só, já ajuda a evitar falhas de segurança! Ou seja, a educação sobre segurança da informação é uma estratégia para evitar brechas, e não (ao menos priomordialmente) para proteger o usuário de eventual responsabilidade.

  • Gabarito Errado

    Questão estranha... cabe recurso.

     

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • ERRADO

    Antes de se responsabilizar alguém por um evento deve se fazer uma verificação prévia e uma confirmação da violação, para aí sim a organização iniciar o seu processo disciplinar.

    Não se deve responsabilizar um usuário por um evento sem uma confirmação prévia e sem o uso de um Processo Disciplinar.

  • A questão não afirma que o usuário é responsabilizado imediatamente

  • POLÊMICA POLÊMICA POLÊMICA