Segundo a NBR ISO/IEC 27005, a identificação de controles e...
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Alternativa correta: Identificação de riscos
A questão aborda um aspecto fundamental da gestão de riscos dentro do contexto da NBR ISO/IEC 27005. Esta norma fornece diretrizes sobre como realizar a gestão de riscos de segurança da informação de forma estruturada e eficiente.
A gestão de riscos é um processo contínuo que envolve várias etapas, tais como a identificação de riscos, a definição do contexto, a estimativa de riscos, a avaliação de consequências e a organização para a gestão de riscos. Cada uma dessas etapas é essencial para garantir que os riscos sejam identificados, avaliados e tratados de maneira adequada.
Justificativa da alternativa correta: A identificação de riscos é a atividade que envolve a identificação de controles existentes, de ameaças e de vulnerabilidades. Esta etapa é crucial, pois permite que a organização compreenda quais são os riscos que podem impactar seus ativos de informação.
Vamos analisar as alternativas incorretas para entender melhor cada uma:
Definição do contexto: Esta etapa envolve a compreensão do ambiente em que a organização opera, incluindo os limites do sistema, as características da infraestrutura, e os objetivos do negócio. Embora importante, não é nesta etapa que se identificam controles existentes, ameaças e vulnerabilidades.
Organização para a gestão de riscos: Esta etapa refere-se ao estabelecimento de uma estrutura organizacional, políticas e responsabilidades para a gestão de riscos. Ela prepara a organização, mas não inclui a identificação direta de riscos específicos.
Estimativa de riscos: Nesta etapa, é realizada a análise dos riscos identificados para determinar a probabilidade e o impacto de cada risco. Embora esta etapa seja baseada nas informações obtidas durante a identificação de riscos, ela não é responsável pela identificação em si.
Avaliação de consequências: Esta etapa envolve a análise das possíveis consequências dos riscos identificados, ajudando a priorizar quais riscos requerem tratamento mais urgente. Novamente, trata-se de uma análise posterior à identificação dos riscos.
Em resumo, a identificação de riscos é a etapa correta que abrange a identificação de controles existentes, de ameaças e de vulnerabilidades dentro do processo de gestão de riscos conforme a NBR ISO/IEC 27005.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Não sei qual a versão da ISO 27005 foi utilizada.
De acordo com a ISO 27005 de 2019:
O processo de avaliação de riscos determina o valor dos ativos de informação, identifca as ameaças e vulnerabilidades aplicáveis existentes (ou que possam existir), identifca os controles existentes e seus efeitos no risco identifcado, determina as consequências possíveis e, fnalmente, prioriza os riscos derivados e os ordena de acordo com os critérios de avaliação de riscos estabelecidos na defnição do contexto.
Resumindo: é um processo de avaliação de riscos, não identificação de riscos.
Jeanderson, esse é um grande problema de tradução que essa norma tem (em todas as versões). Na norma temos a etapa Risk Assessment, que é composta das etapas Identification, Analysis e Evaluation. O problema é que a tradução para os termos Assessment e Evaluation ficou idêntica: "avaliação".
Portanto, na norma traduzida nós temos a Avaliação de Riscos, que é composta das etapas Identificação, Análise e Avaliação (sim, é complicado de entender). O que você citou é o "gênero" Avaliação, que inclui as três espécies citadas.
- A parte "identifica as ameaças e vulnerabilidades aplicáveis existentes (ou que possam existir), identifica os controles existentes e seus efeitos no risco identificado, determina as consequências possíveis" diz respeito à Identificação.
- A parte "prioriza os riscos derivados e os ordena de acordo com os critérios de avaliação de riscos estabelecidos na definição do contexto" diz respeito à etapa Avaliação (Evaluation).
Mas, por sorte, as bancas não cobram esse gênero nas questões (pelo menos nunca vi). Para não gerar confusão, considere que são três etapas distintas. Em resumo:
- Identificação: de ativos, ameaças, controles existentes, vulnerabilidades e consequências.
- Análise: probabilidade vs consequências (nível do risco).
- Avaliação: nível do risco vs critérios de risco, priorização.
Se quiser, adicione ainda a quarta etapa: Tratamento de Riscos. Essa sim vem fora do Risk Assessment na norma, mas pode considerar que são quatro etapas mesmo (as questões cobram assim).
Letra A
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo