Com base na norma NBR ISO/IEC n.º 27005:2011, julgue o item ...

Vamos abordar a questão apresentada sobre a norma NBR ISO/IEC 27005:2011, que trata da gestão de riscos de segurança da informação. O gabarito correto é: E - Errado.

Para entender melhor, precisamos compreender alguns conceitos-chave da norma:

1. Vulnerabilidade: É uma fraqueza que pode ser explorada por uma ameaça. Pode estar relacionada a processos, controles, sistemas ou ativos de informação.

2. Ameaça: É um possível incidente que pode explorar uma vulnerabilidade para causar danos à organização.

Agora, analisando a questão:

"Conforme a norma em apreço, um controle implementado que funcione mal ou que seja usado incorretamente é incapaz de representar por si só uma vulnerabilidade, o que ocorrerá somente se houver uma ameaça associada."

Explicação da Alternativa Correta (Errado): A afirmação está incorreta porque um controle que funcione mal ou que seja usado incorretamente por si só já representa uma vulnerabilidade. A presença de uma ameaça pode explorar essa vulnerabilidade, mas a vulnerabilidade existe independentemente da ameaça. Portanto, a vulnerabilidade não depende da ameaça para existir, mas sim pode ser explorada por ela.

Por que a alternativa é errada:

• Um controle mal implementado ou mal utilizado é uma vulnerabilidade.
• A vulnerabilidade é uma condição inerente ao sistema ou controle, enquanto a ameaça é um fator externo que pode explorá-la.
• A existência de uma vulnerabilidade não depende da presença de uma ameaça específica; a ameaça apenas determina a probabilidade de exploração dessa vulnerabilidade.

Com isso, fica claro que a questão aborda a distinção entre vulnerabilidade e ameaça e como elas interagem na gestão de riscos. Ao entender que vulnerabilidades existem independentemente das ameaças, você poderá aplicar melhor os conceitos da ISO/IEC 27005 na identificação e mitigação de riscos de segurança da informação.

Espero ter esclarecido o tema. Se precisar de mais alguma informação, estarei à disposição!

Um controle implementado, funcionando incorretamente ou sendo usado incorretamente, PODE, por si só, representar uma vulnerabilidade.

Gabarito: ERRADO

Fonte: https://www.grancursosonline.com.br/download-demonstrativo/download-aula-pdf/codigo/q5wsUI6bCxI=

Página 14.

GRAN é top

ERRADO!

Um controle implementado, funcionando incorretamente ou sendo usado incorretamente, pode, por si só, representar uma vulnerabilidade. Um controle pode ser eficaz ou não, dependendo do ambiente no qual ele opera. Inversamente, uma ameaça que não tenha uma vulnerabilidade correspondente pode não resultar em um risco.

ERRADO!

8.2.5 Identificação das Vulnerabilidades

A presença de uma vulnerabilidade não causa prejuízo por si só, pois precisa haver uma ameaça presente para explorá-la. Uma vulnerabilidade que não tem uma ameaça correspondente pode não requerer a implementação de um controle no presente momento, mas convém que ela seja reconhecida como tal e monitorada, no caso de haver mudanças. Notar que um controle implementado, funcionando incorretamente ou sendo usado incorretamente, pode, por si só, representar uma vulnerabilidade. 

8.2.4 Identifcação dos controles existentes

Diretrizes para implementação: Convém que a identifcação dos controles existentes seja realizada para evitar custos e trabalho desnecessários, por exemplo: na duplicação de controles. Além disso, enquanto os controles existentes estiverem sendo identifcados, convém que seja feita uma verifcação para assegurar que eles estão funcionando corretamente – uma referência aos relatórios já existentes de auditoria do SGSI pode reduzir o tempo gasto nesta tarefa. Um controle que não funcione como esperado pode provocar o surgimento de vulnerabilidades.

ISO 27005