Considere que, em uma organização, os auditores observaram q...
Poder Executivo de uma unidade da Federação desenvolveu um
conjunto de processos de auditoria de conformidade na gestão da
segurança da informação. As organizações para as quais o órgão
presta serviço implementaram sistemas de gestão da segurança da
informação, por força de normas, em aderência aos modelos
desenvolvidos pela ABNT e ISO/IEC, especialmente os
prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez
que várias organizações a serem auditadas já passaram cerca de
dois anos implementando seus sistemas de gestão, um
questionário de avaliação preliminar foi aplicado pelo órgão de
controle externo nas organizações clientes. Diferentes controles
do sistema de segurança da informação foram avaliados pelos
respondentes, tanto os de natureza física e lógica quanto os
organizacionais. A partir do recebimento dos resultados do
questionário preliminar, os auditores efetuaram uma visita à
organização e produziram diversos julgamentos acerca da
possível adequação dos controles implementados aos modelos
das normas mencionadas.
Tendo como referência as informações contidas na situação
hipotética apresentada acima, julgue os itens a seguir, a respeito
do julgamento realizado pelos auditores.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Vamos analisar a questão proposta e entender a justificativa para a alternativa correta.
A alternativa C (certo) é a resposta correta.
Justificativa: A questão aborda a sequência de atividades de identificação de riscos conforme a norma ISO/IEC 27005, que é uma norma específica para a gestão de riscos em segurança da informação.
De acordo com a ISO/IEC 27005, a sequência lógica para a identificação e avaliação de riscos em um Sistema de Gestão de Segurança da Informação (SGSI) costuma seguir os seguintes passos:
- Inventário dos ativos: Identificar e listar todos os ativos de informação que precisam ser protegidos. Isso inclui hardware, software, dados, pessoas, entre outros.
- Identificação de ameaças: Analisar e identificar possíveis ameaças que possam impactar esses ativos. Exemplo de ameaças incluem ataques cibernéticos, desastres naturais, falhas de hardware, entre outros.
- Identificação de vulnerabilidades: Detectar e listar as vulnerabilidades presentes nos ativos que podem ser exploradas pelas ameaças identificadas. Vulnerabilidades são fraquezas que podem ser exploradas para causar danos.
Essas atividades são essenciais para a gestão de riscos, pois permitem que a organização compreenda onde estão os pontos frágeis e quais são as ameaças mais prováveis, facilitando a definição de controles adequados para mitigar os riscos.
Portanto, a sequência de levantamento de dados mencionada na questão está correta e coerente com o indicado na Norma ISO/IEC 27005, justificando a alternativa C (certo).
Alternativas incorretas:
Como a questão é de julgamento binário (certo ou errado), não há outras alternativas além das indicadas. No entanto, se a sequência mencionada estivesse incorreta, ou se tivesse sido executada de forma que não seguisse a lógica da norma ISO/IEC 27005, a resposta seria E (errado).
Por exemplo, se a sequência fosse invertida ou se pulasse uma etapa crucial, como identificar vulnerabilidades antes de inventariar os ativos, isso indicaria uma abordagem falha e não estaria alinhada com as boas práticas da norma.
Espero que essa explicação tenha ajudado a esclarecer o tema da questão e a razão pela qual a alternativa correta é a C (certo). Se precisar de mais detalhes ou tiver outras dúvidas, sinta-se à vontade para perguntar!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
8.2.1.2 Identification of assets
8.2.1.3 Identification of threats
8.2.1.4 Identification of existing controls
8.2.1.5 Identification of vulnerabilities
A resposta está correta, no entanto poderia ser mais completa adicionando a identificação de controles existentes.
Bons estudos, pessoal.
Essa é a ordem descrita na norma, porém se a ordem utilizada fosse diferente, creio que a questão também seria correta pois há a seguinte nota na iso 27005
Essa questão pode causar uma certa dúvida, vejamos...
Consoante a norma 27005 a ordem é essa:
Análise de riscos
Fases de Identificação de riscos (AACVC):
- Identificação dos ativos;
- Identificação das ameaças;
- Identificação dos controles existentes;
- Identificação das vulnerabilidades;
Porém, vejamos que o termo na questão é inventário dos ativos. Daí temos que fazer uma correlação com a norma 27002 que fala acerca do inventário de ativos. Vejamos:7.1.1 Inventário dos ativos
Controle: Convém que todos os ativos sejam claramente identificados e um inventário de todos os ativos importantes seja estruturado e mantido.
Portanto, fiz a análise nesse sentido e marquei CERTO o gaba. Entretanto, confesso que fiquei em dúvida se estava elocubrando ou essa era a vibe do examinador.
Pessoal, eu vejo esta questão como correta. A chave para matar a questão é que é dito: "(...) os auditores observaram que algumas das atividades de identificação de riscos foram efetuadas parcialmente(...)". Realmente as atividades não estão completas, o que concorda com o uso do PARCIALMENTE. Se nesta questão estivesse escrito TOTALMENTE, aí sim poderíamos marcar como errada, visto que estaria faltando, por exemplo, a identificação dos controles existentes.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos