No que se refere a trabalho remoto, rotinas de segurança da ...

Olá, aluno!

Vamos analisar a questão apresentada e entender a resposta correta com detalhes.

A alternativa correta é: Errado (E)

A questão aborda a verificação da conformidade técnica, que inclui testes de invasão e avaliações de vulnerabilidades. Esses processos são fundamentais para identificar falhas de segurança em sistemas e redes.

No entanto, a afirmação sugere que esses testes seriam suficientes e que, por isso, a avaliação de risco poderia ser dispensada. Isso está incorreto.

Explicação e Justificativa:

1. Testes de Invasão (Penetration Tests): São utilizados para simular ataques reais a um sistema com o objetivo de identificar e explorar vulnerabilidades. Esses testes mostram possíveis pontos de entrada que um atacante poderia usar.

2. Avaliações de Vulnerabilidades: São varreduras automatizadas ou manuais para identificar possíveis falhas de segurança em sistemas e redes. Elas fornecem uma visão geral sobre quais vulnerabilidades existem.

Embora importantes, esses testes não substituem uma avaliação de risco. A avaliação de risco envolve uma análise mais ampla e profunda, considerando a probabilidade de ocorrência de um incidente e o impacto potencial que esses incidentes podem causar à organização.

Por que a avaliação de risco é essencial?

• Contexto: A avaliação de risco leva em conta o contexto organizacional, incluindo ativos críticos, ameaças específicas e as consequências de possíveis incidentes.
• Priorização: Ajuda a priorizar as vulnerabilidades identificadas com base no risco que representam, não apenas na sua existência.
• Planejamento: Fornece uma base para o desenvolvimento de planos de mitigação e respostas a incidentes.

Resumo: Portanto, mesmo que testes de invasão e avaliações de vulnerabilidades sejam ferramentas cruciais na segurança da informação, elas devem ser complementadas por uma avaliação de risco abrangente. Esta combinação garante que as organizações entendam não só onde estão as vulnerabilidades, mas também a gravidade e o impacto potencial dessas vulnerabilidades.

Espero que esta explicação tenha sido clara e útil para você! Se tiver dúvidas, estou aqui para ajudar.

O que diz a norma?

O teste de invasão e as avaliações de vulnerabilidades não são um substituto da avaliação de risco. ISO 27002.

Logo, questão incorreta.

Bjus pra tia Lea!

O risco NUNCA é eliminado!

Gabarito: ERRADO

ABNT NBR ISO/IEC 27002:2013

18. Conformidade

18.2 Análise crítica da segurança da informação

18.2.3 Análise crítica da conformidade técnica

"Os testes de invasão e avaliação de vulnerabilidades fornecem um snapshot de um sistema em um

estado específico para um tempo específico. O snapshot está limitado àquelas partes do sistema

realmente testadas durante a etapa da invasão. O teste de invasão e as avaliações de vulnerabilidades

não são um substituto da avaliação de risco."

Errado.

A verificação da conformidade técnica pode incluir testes de invasão e avaliações de vulnerabilidades para identificar pontos fracos em sistemas e redes. No entanto, isso não dispensa a avaliação de risco. A avaliação de risco é um processo mais abrangente que considera ameaças, vulnerabilidades, impactos e a probabilidade de um evento adverso ocorrer, proporcionando uma compreensão mais completa do perfil de risco de uma organização. Portanto, enquanto os testes de invasão e as avaliações de vulnerabilidade são componentes valiosos para entender a postura de segurança, eles são apenas uma parte do processo global de gestão de riscos.

Aqui está um desdobramento didático e sequencial da avaliação de risco:

1. Identificação de Ativos:

• O que estamos protegendo? Primeiro, é crucial identificar os ativos que são valiosos para uma organização. Estes podem ser tangíveis, como hardware, ou intangíveis, como dados ou propriedade intelectual.

2. Identificação de Ameaças:

• O que poderia dar errado? Aqui, identificamos potenciais eventos ou atores maliciosos que poderiam causar dano ou perda para os ativos identificados.

3. Identificação de Vulnerabilidades:

• Como isso poderia dar errado? Vulnerabilidades são fraquezas ou lacunas em nossos sistemas ou procedimentos que podem ser exploradas por ameaças.

4. Avaliação de Impacto:

• Quão ruim seria se isso desse errado? Aqui, avaliamos as consequências potenciais da materialização de uma ameaça. Isto pode ser quantitativo (por exemplo, perda financeira) ou qualitativo (por exemplo, perda de reputação).

5. Avaliação da Probabilidade:

• Com que frequência esperamos que isso dê errado? É uma estimativa de quão provável é que uma determinada ameaça se materialize e explore uma vulnerabilidade.

6. Determinação do Nível de Risco:

• Quão arriscado é isso? O nível de risco é geralmente calculado como uma combinação da probabilidade de um evento ocorrer e do impacto desse evento.
• Risco = Probabilida de Impacto

7. Implementação de Medidas de Mitigação:

• O que podemos fazer para reduzir o risco? Com base na avaliação, decidimos sobre as medidas adequadas para reduzir ou aceitar o risco.

8. Monitoramento e Revisão:

• O ambiente mudou? O processo não termina após a implementação das medidas. É vital revisar regularmente a avaliação de risco, especialmente quando ocorrem mudanças no ambiente.

A avaliação de risco permite que organizações identifiquem, priorizem e gerenciem riscos de uma maneira estruturada. Ao fazê-lo, elas podem proteger seus ativos, melhorar sua postura de segurança e garantir a continuidade dos negócios.