Julgue o item subsequente referente a conceitos de segurança...

Alternativa correta: Errado (E)

A questão aborda a gestão de riscos em tecnologia da informação com base na norma ABNT NBR ISO/IEC 27005:2019, focando especificamente no impacto de incidentes de segurança da informação.

A ISO/IEC 27005 é uma norma que fornece diretrizes para a gestão de riscos relacionados à segurança da informação. Ela ajuda as organizações a entenderem, avaliarem e tratarem riscos para proteger a confidencialidade, integridade e disponibilidade das informações.

Justificativa da alternativa correta (E):

De acordo com a ISO/IEC 27005, um incidente de segurança da informação que decorre de uma violação de obrigações estatutárias ou regulatórias pode causar diferentes tipos de impactos, tanto imediatos quanto a longo prazo. No entanto, a norma não classifica automaticamente esse tipo de incidente como tendo um impacto imediato (operacional) direto.

O impacto de um incidente de segurança pode variar dependendo da natureza da violação e das consequências específicas para a organização. Por exemplo, um incidente pode resultar em consequências legais, financeiras ou de reputação, que podem se manifestar de várias maneiras e em diferentes momentos.

Portanto, afirmar que qualquer violação de obrigações estatutárias ou regulatórias sempre resulta em um impacto imediato (operacional) direto está incorreto, e por isso a alternativa correta é Errado (E).

Explicação das alternativas incorretas:

Não há outras alternativas além de "Certo (C)" e "Errado (E)" nesta questão. A alternativa "Certo (C)" estaria incorreta porque ela implicaria que a norma ISO/IEC 27005 sempre considera um impacto imediato e direto para quaisquer violações regulatórias, o que não é verdade.

Em resumo, entender a ISO/IEC 27005 e sua abordagem para a gestão de riscos é crucial para responder corretamente a questões como esta. É fundamental saber que a norma contempla uma análise mais abrangente e contextualizada dos impactos dos incidentes de segurança da informação.

A resposta correta é E - Errado.

De acordo com a ABNT NBR ISO/IEC 27005:2019, quando um incidente que envolve a segurança da informação provém de violação de obrigações estatutárias ou regulatórias, fica caracterizado o impacto imediato (operacional) indireto, e não o impacto imediato (operacional) direto[2][3].

O impacto imediato (operacional) direto está relacionado a interrupções ou degradação dos processos de negócio, enquanto o impacto imediato (operacional) indireto está associado a penalidades, multas ou ações legais decorrentes de violações de requisitos legais ou regulatórios[2][3].

Portanto, a afirmação de que o impacto imediato (operacional) direto é caracterizado quando o incidente provém de violação de obrigações estatutárias ou regulatórias está incorreta, sendo a resposta Errada.

Citations:

[1] https://www.estrategiaconcursos.com.br/blog/seguranca-informacao-iso-27001-2022/

[2] https://jkolb.com.br/nbr-iso-iec-270012013/

[3] https://www.normas.com.br/visualizar/abnt-nbr-nm/25074/nbriso-iec27001-seguranca-da-informacao-seguranca-cibernetica-e-protecao-a-privacidade-sistemas-de-gestao-da-seguranca-da-informacao-requisitos

[4] https://www.abntcatalogo.com.br/pnm.aspx?Q=WXV0VDkwSGkvd0ZRQ1RhMjRXbUZhbmJSeU8vQUU3RzlIVHJoditrMGJUUT0%3D

ABNT NBR ISO/IEC 27005:2019. Gestão de riscos de segurança da informação. Esta norma apresenta diretrizes para o processo de gestão de riscos de segurança da informação de uma organização, atendendo particularmente aos requisitos de um SGSI, conforme a NBR ISO/IEC 27001.

https://www.fazenda.mg.gov.br/transparencia/lgpd/LGPD-SEF-Padroes-Frameworks-Normas-ABNT.pdf

Julgar este item como **incorreto**.

A ABNT NBR ISO/IEC 27005:2019 trata da gestão de riscos em segurança da informação, fornecendo diretrizes para o processo de gerenciamento de riscos. Quando se menciona um incidente envolvendo a segurança da informação, especialmente aqueles que resultam de violações de obrigações estatutárias ou regulatórias, o impacto pode variar e não se limita exclusivamente a ser um impacto imediato (operacional) direto.

Na verdade, uma violação de obrigações estatutárias ou regulatórias pode ter diversas consequências, incluindo, mas não se limitando a:

- **Impactos financeiros**: multas e penalidades impostas pela violação de regulamentos.

- **Impactos reputacionais**: danos à imagem e à reputação da organização, que podem afetar a confiança dos clientes e parceiros.

- **Impactos legais**: possíveis ações judiciais e custos legais associados à defesa contra essas ações.

- **Impactos operacionais**: interrupção das operações e necessidade de mudanças nos processos para se conformar aos regulamentos.

Portanto, o impacto de um incidente não é caracterizado apenas como imediato (operacional) direto. A natureza e a extensão do impacto dependem das circunstâncias específicas do incidente e dos requisitos regulatórios ou estatutários violados. A gestão de riscos conforme a ISO/IEC 27005:2019 inclui a avaliação e a mitigação de todos esses tipos de impactos potenciais.