Como alternativa para a auditoria de TI, um modelo de avali...

Com base no mesmo assunto

Q403026

Ano: 2008 Banca: FCC Órgão: TCE-CE Prova: FCC - 2008 - TCE-CE - Analista de Controle Externo - Auditoria de Tecnologia da Informação |

Q403026 Governança de TI

Como alternativa para a auditoria de TI, um modelo de avaliação do risco de um ativo, que identifica também o risco residual e produz um plano de ação, deve combinar a probabilidade da ameaça,

a severidade do impacto e a seleção de contramedidas, apenas.

o grau de vulnerabilidade e a severidade do impacto, apenas.

e a seleção de contra medidas, apenas.

o grau de vulnerabilidade e a seleção de contramedidas, apenas.

o grau de vulnerabilidade, a severidade do impacto e a seleção de contramedidas.

Você errou! Resposta:

teste

Parabéns! Você acertou!

teste

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Vamos analisar a questão e entender a alternativa correta. A alternativa correta é a E - o grau de vulnerabilidade, a severidade do impacto e a seleção de contramedidas. Abaixo, explicarei o porquê dessa escolha e porque as outras alternativas estão incorretas.

O tema da questão é a avaliação de risco de um ativo em auditoria de TI. Esse tema é fundamental para a segurança da informação, pois envolve identificar potenciais ameaças, avaliar o impacto que essas ameaças poderiam ter sobre os ativos organizacionais e planejar ações para mitigar esses riscos.

Para resolver a questão, são necessários conhecimentos sobre os conceitos básicos de probabilidade da ameaça, grau de vulnerabilidade, severidade do impacto, e seleção de contramedidas. Vamos desmembrar esses conceitos:

Probabilidade da ameaça: Refere-se à chance de uma ameaça se concretizar.
Grau de vulnerabilidade: Indica a suscetibilidade do ativo em questão à ameaça.
Severidade do impacto: Refere-se ao nível de dano que a ameaça pode causar ao ativo se concretizada.
Seleção de contramedidas: Envolve escolher ações específicas para mitigar ou eliminar o risco.

Para uma abordagem eficaz de avaliação de risco, é necessário combinar a probabilidade da ameaça com outros fatores. Vamos analisar as alternativas:

A - a severidade do impacto e a seleção de contramedidas, apenas.

Incorreta. Não considera o grau de vulnerabilidade, que é essencial para entender a suscetibilidade do ativo à ameaça.

B - o grau de vulnerabilidade e a severidade do impacto, apenas.

Incorreta. Não menciona a seleção de contramedidas, que é crucial para mitigar ou eliminar o risco.

C - e a seleção de contramedidas, apenas.

Incorreta. Omite tanto o grau de vulnerabilidade quanto a severidade do impacto, ambos fundamentais para uma avaliação de risco completa.

D - o grau de vulnerabilidade e a seleção de contramedidas, apenas.

Incorreta. Não inclui a severidade do impacto, que é necessário para compreender o nível de dano potencial.

E - o grau de vulnerabilidade, a severidade do impacto e a seleção de contramedidas

Correta. Esta alternativa abrange todos os elementos fundamentais para uma avaliação de risco completa: grau de vulnerabilidade, severidade do impacto e seleção de contramedidas.

Portanto, a alternativa E é a mais completa e correta, pois engloba todos os componentes necessários para uma avaliação adequada do risco de um ativo na auditoria de TI.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Lembrar sempre das fases de identificação de riscos do Iso 27005 (2ACVC):

- A: identificar ativos

- A: identificar ameaças

- C: identificar controles ou contra medidas

- V: identificar vulnerabilidades

- C: identificar consequencias ou impactos

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

🚨 ÚLTIMOS DESCONTOS: ATÉ 67% OFF! 🚨