Considere que o plano de classificação de ativos de uma das ...

Próximas questões
Com base no mesmo assunto
Q48225
Segurança da Informação Norma ISO 27001 , ISO 27002 , Norma 27005 ,
Ano: 2009 Banca: CESPE / CEBRASPE Órgão: SECONT-ES Prova: CESPE - 2009 - SECONT-ES - Auditor do Estado – Tecnologia da Informação |
Q48225 Segurança da Informação
Um órgão público responsável pelo controle externo do
Poder Executivo de uma unidade da Federação desenvolveu um
conjunto de processos de auditoria de conformidade na gestão da
segurança da informação. As organizações para as quais o órgão
presta serviço implementaram sistemas de gestão da segurança da
informação, por força de normas, em aderência aos modelos
desenvolvidos pela ABNT e ISO/IEC, especialmente os
prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez
que várias organizações a serem auditadas já passaram cerca de
dois anos implementando seus sistemas de gestão, um
questionário de avaliação preliminar foi aplicado pelo órgão de
controle externo nas organizações clientes. Diferentes controles
do sistema de segurança da informação foram avaliados pelos
respondentes, tanto os de natureza física e lógica quanto os
organizacionais. A partir do recebimento dos resultados do
questionário preliminar, os auditores efetuaram uma visita à
organização e produziram diversos julgamentos acerca da
possível adequação dos controles implementados aos modelos
das normas mencionadas.

Tendo como referência as informações contidas na situação
hipotética apresentada acima, julgue os itens a seguir, a respeito
do julgamento realizado pelos auditores.

Considere que o plano de classificação de ativos de uma das organizações auditadas valore os ativos usando uma metodologia mista, isto é, empregando ora a valoração qualitativa, ora a valoração quantitativa. Nesse caso, tal abordagem produz desconformidades com o prescrito em modelos da ABNT e da ISO/IEC, uma vez que se deve adotar um ou outro modelo, mas não ambos simultaneamente.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Olá, aluno!

Vamos analisar a questão e entender por que a alternativa correta é a E.

A questão trata de auditorias de conformidade na gestão da segurança da informação em um órgão público que segue normas da ABNT e ISO/IEC, especialmente as normas 15.999, 27.001, 27.002 e 27.005. O foco aqui é a classificação de ativos, e se a metodologia empregada pelas organizações auditadas está em conformidade com essas normas.

Primeiro, vamos entender alguns conceitos importantes:

Classificação de Ativos: É um processo essencial na gestão de segurança da informação. Ele envolve a identificação, avaliação e categorização de ativos, como dados e sistemas, de acordo com sua importância e valor para a organização.

Valoração Qualitativa: Avalia os ativos com base em critérios subjetivos, como impacto e criticidade, usando descrições e categorias.

Valoração Quantitativa: Utiliza métricas financeiras e numéricas para avaliar o valor dos ativos de maneira objetiva.

A questão menciona que a organização auditada utiliza uma metodologia mista, combinando valoração qualitativa e quantitativa. O enunciado pergunta se essa abordagem está em desconformidade com as normas da ABNT e ISO/IEC.

Segundo a ISO/IEC 27002, que é um código de prática para controles de segurança da informação, não há uma restrição explícita que proíba o uso simultâneo de abordagens qualitativas e quantitativas. Pelo contrário, a norma é flexível e permite que as organizações adaptem suas metodologias de acordo com suas necessidades e contextos específicos.

Portanto, a afirmação de que a metodologia mista está em desconformidade com as normas é incorreta. Isso justifica a resposta E - errado, pois a utilização de ambas as metodologias não viola as diretrizes das normas mencionadas.

Vamos recapitular:

Alternativa correta: E - errado.

Justificativa: A ISO/IEC 27002 permite flexibilidade na escolha dos métodos de valoração, e não exige a exclusividade de uma abordagem sobre a outra. Portanto, usar uma metodologia mista não representa desconformidade com as normas.

Espero ter ajudado a esclarecer o tema! Caso tenha dúvidas adicionais, estou aqui para ajudar.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

 Na classificação dos ativos de uma organização poderia ser adota as duas formas de valoração, por exemplo, os projetos da organização poderiam ser classificados em confidenciais ou públicos, esse tipo de valoração seria qualitativa, agora um exemplo de tipo de valoração quantitativa, seria o risco de ocorrer um incêndio no prédio que se encontram meus servidores de banco de dados, 5% de chance.

Aqui está o erro da questão: "Nesse caso, tal abordagem produz desconformidades com o prescrito em modelos da ABNT e da ISO/IEC, uma vez que se deve adotar um ou outro modelo, mas não ambos simultaneamente."

Não produz desconformidade pois a Norma permite a mistura dos dois métodos. 
Thiago,
Em qual norma e em que parte dela eu encontro que permite o uso dos dois métodos ?

Lembrando também que a norma cita que é preferível o uso da valoração quantitativa, devido a subjetividade da qualitativa... 

Creio que a 27002 não especifica como valorar os ativos. Ela apenas diz o seguinte:


7.1.1 - Inventário dos ativos


"[...] (mais informações sobre como valorar os ativos para indicar a sua importância podem ser encontrados na ISO IEC TR 13335-3)"


Resta ler essa 13335-3 para tentar encontrar essa questão de "qualitativamente vs quantitativamente".

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas