Assinale a opção correta acerca da análise de riscos de segu...
Próximas questões
Com base no mesmo assunto
Ano: 2012
Banca:
CESPE / CEBRASPE
Órgão:
TJ-RO
Provas:
CESPE - 2012 - TJ-RO - Analista Judiciário - Análise de Sistemas - Desenvolvimento
|
CESPE - 2012 - TJ-RO - Analista Judiciário - Analista de Sistemas Suporte |
Q275999
Segurança da Informação
Assinale a opção correta acerca da análise de riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005.
Comentários
Veja os comentários dos nossos alunos
Alguém sabe porque a opção "D" está errada?
A banca manteve o gabarito como a letra B, mas também não vi erro na letra D.
Comentário de um especialista:
http://www.itnerante.com.br/forum/topics/quest-o-comentada-cespe-iso-27005-gest-o-de-riscos
Comentário de um especialista:
http://www.itnerante.com.br/forum/topics/quest-o-comentada-cespe-iso-27005-gest-o-de-riscos
Alguém já publicou a URL com o comentário correto da questão. A cópia dele que publiquei aqui, acabo de remover. Simples: ajudo quem quer ser ajudado. Quem quiser debater o assunto de verdade, vai lá no link. O ácido colega em momento algum debateu a questão. Pelo contrário, foram dois ataques pessoais. Por quê?
Não é o primeiro nem último caso de gabarito equivocado do CESPE. Também não se trata de falta de humildade ou coisa parecida. Trata-se de, como professor da disciplina, ser responsável o suficiente para não fazer engenharia reversa de gabarito desconsiderando o que dizem a teoria e bibliografia sobre o assunto.
Para quem estuda baseado em questões, tomar o gabarito oficial dessa questão como correto prejudica a formação do conceito. Mas fica a critério de cada um. Apenas uma sugestão: leia a norma e entenda o motivo do meu aborrecimento com o gabarito. Preocupo-me com os alunos que estudaram o assunto a fundo, fizeram a questão de forma consciente e são obrigados a engolir esse tipo de equívoco do CESPE.
Ademais, pense melhor antes de criticar e agredir gratuitamente quem por absoluta boa vontade passa finais de semana inteiros ajudando colegas a redigirem recursos, mesmo alunos de outras redes e disciplinas. Visite meus canais, veja quanto material de graça disponibilizo para a comunidade de concurseiros. Assista uma aula com a gente, é meu convidado. Espero ser digno de mudar a opinião de pessoa tão especial.
Forte abraço e sucesso.
Não é o primeiro nem último caso de gabarito equivocado do CESPE. Também não se trata de falta de humildade ou coisa parecida. Trata-se de, como professor da disciplina, ser responsável o suficiente para não fazer engenharia reversa de gabarito desconsiderando o que dizem a teoria e bibliografia sobre o assunto.
Para quem estuda baseado em questões, tomar o gabarito oficial dessa questão como correto prejudica a formação do conceito. Mas fica a critério de cada um. Apenas uma sugestão: leia a norma e entenda o motivo do meu aborrecimento com o gabarito. Preocupo-me com os alunos que estudaram o assunto a fundo, fizeram a questão de forma consciente e são obrigados a engolir esse tipo de equívoco do CESPE.
Ademais, pense melhor antes de criticar e agredir gratuitamente quem por absoluta boa vontade passa finais de semana inteiros ajudando colegas a redigirem recursos, mesmo alunos de outras redes e disciplinas. Visite meus canais, veja quanto material de graça disponibilizo para a comunidade de concurseiros. Assista uma aula com a gente, é meu convidado. Espero ser digno de mudar a opinião de pessoa tão especial.
Forte abraço e sucesso.
Concordo com o Mestre Fagury,
Não só por ser aluno de suas disciplinas, mas pelo fato de ser vítima do cespe em questões que basta abrir a norma e atestar nas mesmas palavras que não está correta. Acontece com Cobit, PMBOK, ITIL e qualquer outra disciplina. Não há outra forma a não ser estudar baseado na norma e esperar que o iluminado que fez as questões não tenha medo de admitir sua falha...
Bons estudos para nós, que somos os que precisam passar...
Não só por ser aluno de suas disciplinas, mas pelo fato de ser vítima do cespe em questões que basta abrir a norma e atestar nas mesmas palavras que não está correta. Acontece com Cobit, PMBOK, ITIL e qualquer outra disciplina. Não há outra forma a não ser estudar baseado na norma e esperar que o iluminado que fez as questões não tenha medo de admitir sua falha...
Bons estudos para nós, que somos os que precisam passar...
Concordo que não devemos brigar com a banca, mas sim entendê-la para acertar a questão numa próxima vez, porém às vezes não dá. Não sou mestre no assunto e também marquei a letra D.
Enquanto não houver outro comentário indicando o motivo do item B está certo, vou deixar o gabarito como este e colocar nos comentários dessa questão os motivos pelo qual discordo (comentário do Thiago é esclarecedor).
Obrigado Thiago pelas explicações, espero encontrar mais comentários seus.
Fiz uma fórmula para decorar o que é RISCO que pode dar uma ideia do que é maior ou menor nível de risco, mas não sei onde pus, refazendo-a:
RISCO - é a possibilidade (probabilidade) de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando (causando impacto) a organização. Vejam que a definição não cita nada sobre tipo de propriedade da informação: confidencialidade, integridade ou disponibilidade.
RISCO = (PROBABILIDADE x AMEAÇA x VULNERABILIDADE) x IMPACTO => ou seja, se o impacto for pequeno, por exemplo, 0,000001 os outros valores sendo alto vai trazer o risco para um nível baixo e vice-versa (ou qualquer outra variável), para saber o nível de um risco é necessário a junção de diversas variáveis e que o tipo de propriedade da informação não é sequer citado na definição.
Após escrever este comentário, eu imaginei o que a banca pensou e se for isso discordo ainda mais do gabarito. Provável raciocínio da banca:
"Como a disponibilidade pode ser atacada simplesmente impedindo que o usuário chegue até a origem da informação, não necessitando atacar a origem de fato, tem uma maior exposição e por isso um nível maior de risco. No caso da confidencialidade e integridade é necessário chegar na origem da informação para obter sucesso no ataque, ou seja, menos exposto, menor risco."
Enquanto não houver outro comentário indicando o motivo do item B está certo, vou deixar o gabarito como este e colocar nos comentários dessa questão os motivos pelo qual discordo (comentário do Thiago é esclarecedor).
Obrigado Thiago pelas explicações, espero encontrar mais comentários seus.
Fiz uma fórmula para decorar o que é RISCO que pode dar uma ideia do que é maior ou menor nível de risco, mas não sei onde pus, refazendo-a:
RISCO - é a possibilidade (probabilidade) de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando (causando impacto) a organização. Vejam que a definição não cita nada sobre tipo de propriedade da informação: confidencialidade, integridade ou disponibilidade.
RISCO = (PROBABILIDADE x AMEAÇA x VULNERABILIDADE) x IMPACTO => ou seja, se o impacto for pequeno, por exemplo, 0,000001 os outros valores sendo alto vai trazer o risco para um nível baixo e vice-versa (ou qualquer outra variável), para saber o nível de um risco é necessário a junção de diversas variáveis e que o tipo de propriedade da informação não é sequer citado na definição.
Após escrever este comentário, eu imaginei o que a banca pensou e se for isso discordo ainda mais do gabarito. Provável raciocínio da banca:
"Como a disponibilidade pode ser atacada simplesmente impedindo que o usuário chegue até a origem da informação, não necessitando atacar a origem de fato, tem uma maior exposição e por isso um nível maior de risco. No caso da confidencialidade e integridade é necessário chegar na origem da informação para obter sucesso no ataque, ou seja, menos exposto, menor risco."
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos