Segundo a NBR ISO/IEC 27005, a identificação de controles e...
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Alternativa correta: Identificação de riscos
A questão aborda um aspecto fundamental da gestão de riscos dentro do contexto da NBR ISO/IEC 27005. Esta norma fornece diretrizes sobre como realizar a gestão de riscos de segurança da informação de forma estruturada e eficiente.
A gestão de riscos é um processo contínuo que envolve várias etapas, tais como a identificação de riscos, a definição do contexto, a estimativa de riscos, a avaliação de consequências e a organização para a gestão de riscos. Cada uma dessas etapas é essencial para garantir que os riscos sejam identificados, avaliados e tratados de maneira adequada.
Justificativa da alternativa correta: A identificação de riscos é a atividade que envolve a identificação de controles existentes, de ameaças e de vulnerabilidades. Esta etapa é crucial, pois permite que a organização compreenda quais são os riscos que podem impactar seus ativos de informação.
Vamos analisar as alternativas incorretas para entender melhor cada uma:
Definição do contexto: Esta etapa envolve a compreensão do ambiente em que a organização opera, incluindo os limites do sistema, as características da infraestrutura, e os objetivos do negócio. Embora importante, não é nesta etapa que se identificam controles existentes, ameaças e vulnerabilidades.
Organização para a gestão de riscos: Esta etapa refere-se ao estabelecimento de uma estrutura organizacional, políticas e responsabilidades para a gestão de riscos. Ela prepara a organização, mas não inclui a identificação direta de riscos específicos.
Estimativa de riscos: Nesta etapa, é realizada a análise dos riscos identificados para determinar a probabilidade e o impacto de cada risco. Embora esta etapa seja baseada nas informações obtidas durante a identificação de riscos, ela não é responsável pela identificação em si.
Avaliação de consequências: Esta etapa envolve a análise das possíveis consequências dos riscos identificados, ajudando a priorizar quais riscos requerem tratamento mais urgente. Novamente, trata-se de uma análise posterior à identificação dos riscos.
Em resumo, a identificação de riscos é a etapa correta que abrange a identificação de controles existentes, de ameaças e de vulnerabilidades dentro do processo de gestão de riscos conforme a NBR ISO/IEC 27005.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Não sei qual a versão da ISO 27005 foi utilizada.
De acordo com a ISO 27005 de 2019:
O processo de avaliação de riscos determina o valor dos ativos de informação, identifca as ameaças e vulnerabilidades aplicáveis existentes (ou que possam existir), identifca os controles existentes e seus efeitos no risco identifcado, determina as consequências possíveis e, fnalmente, prioriza os riscos derivados e os ordena de acordo com os critérios de avaliação de riscos estabelecidos na defnição do contexto.
Resumindo: é um processo de avaliação de riscos, não identificação de riscos.
Jeanderson, esse é um grande problema de tradução que essa norma tem (em todas as versões). Na norma temos a etapa Risk Assessment, que é composta das etapas Identification, Analysis e Evaluation. O problema é que a tradução para os termos Assessment e Evaluation ficou idêntica: "avaliação".
Portanto, na norma traduzida nós temos a Avaliação de Riscos, que é composta das etapas Identificação, Análise e Avaliação (sim, é complicado de entender). O que você citou é o "gênero" Avaliação, que inclui as três espécies citadas.
- A parte "identifica as ameaças e vulnerabilidades aplicáveis existentes (ou que possam existir), identifica os controles existentes e seus efeitos no risco identificado, determina as consequências possíveis" diz respeito à Identificação.
- A parte "prioriza os riscos derivados e os ordena de acordo com os critérios de avaliação de riscos estabelecidos na definição do contexto" diz respeito à etapa Avaliação (Evaluation).
Mas, por sorte, as bancas não cobram esse gênero nas questões (pelo menos nunca vi). Para não gerar confusão, considere que são três etapas distintas. Em resumo:
- Identificação: de ativos, ameaças, controles existentes, vulnerabilidades e consequências.
- Análise: probabilidade vs consequências (nível do risco).
- Avaliação: nível do risco vs critérios de risco, priorização.
Se quiser, adicione ainda a quarta etapa: Tratamento de Riscos. Essa sim vem fora do Risk Assessment na norma, mas pode considerar que são quatro etapas mesmo (as questões cobram assim).
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo