Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de conti...
Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de continuidade de negócios, julgue o item a seguir.
Na análise de riscos, a avaliação de probabilidade dos
incidentes é realizada sobre uma lista de cenários de incidentes
identificados como relevantes, incluindo a identificação de
ameaças, ativos afetados, vulnerabilidades exploradas e
consequências para os ativos e processos do negócio.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
A alternativa correta é C - certo.
Para entender a justificativa, vamos analisar cada parte da questão:
O enunciado aborda as normas NBR ISO/IEC 27001, 27002 e 27005, que são padrões internacionais para a gestão de segurança da informação e análise de riscos. Essas normas orientam como as organizações devem proteger suas informações e gerenciar riscos de segurança.
A frase da questão afirma que, na análise de riscos, a avaliação da probabilidade dos incidentes é realizada sobre uma lista de cenários de incidentes identificados como relevantes. Isso inclui a identificação de ameaças, ativos afetados, vulnerabilidades exploradas e consequências para os ativos e processos do negócio.
Vamos detalhar esses conceitos:
Ameaças: São potenciais causas de um incidente indesejado que podem resultar em danos para a organização e seus ativos. Exemplos incluem ciberataques, desastres naturais, falhas de sistema, etc.
Ativos afetados: São os recursos valiosos da organização que podem ser impactados por um incidente. Isso pode incluir dados, sistemas de TI, infraestrutura física, entre outros.
Vulnerabilidades exploradas: São fraquezas em sistemas ou processos que podem ser exploradas por ameaças para causar danos ou violações de segurança. Essas vulnerabilidades podem ser técnicas, como falhas de software, ou não técnicas, como erros humanos.
Consequências para os ativos e processos do negócio: Referem-se aos impactos que um incidente pode ter sobre a organização. Isso pode incluir perda de dados, interrupção do serviço, danos à reputação, perdas financeiras, entre outros.
A questão está correta ao afirmar que a análise de riscos inclui a avaliação de probabilidade dos incidentes considerando esses fatores. Esse é um processo detalhado que visa identificar e priorizar riscos para implementar controles de segurança adequados. Portanto, a alternativa C - certo está correta.
Não há alternativas incorretas a serem discutidas aqui, pois a questão apresenta apenas uma afirmação para ser julgada.
Espero que esta explicação tenha sido clara e útil para sua compreensão do tema. Se precisar de mais esclarecimentos, estou à disposição!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Correto!
A fase de Análise de Riscos, que faz parte do PROCESSO DE AVALIAÇÃO DE RISCOS, deve considerar o que foi identificado na fase anterior, de Identificação de Riscos, onde se identificam ameaças, ativos, vulnerabilidades, etc.
Lembrando que o Processo de Avaliação de Riscos é composto das seguintes fase:
1 - Identificação de Riscos
2 - Análise de Riscos
3 - Avaliação de Riscos
JUSTIFICATIVA: CERTO. 8.3.3 Avaliação da probabilidade dos incidentes Entrada: Uma lista de cenários de incidentes identificados como relevantes, incluindo a identificação de ameaças, ativos afetados, vulnerabilidades exploradas e consequências para os ativos e processos do negócio. Além disso, listas com todos os controles existentes e planejados, sua eficácia, implementação e status de utilização.(NBR ISO/IEC 27005:2011)
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos