Com relação à gestão de segurança da informação, julgue o it...

Gabarito: E - errado

Vamos entender o motivo pelo qual a alternativa correta é a letra E e por que a afirmação está incorreta.

A norma ISO/IEC 27005 é um padrão internacional que trata da gestão de riscos de segurança da informação. Ela fornece diretrizes para o processo de gestão de riscos, que inclui a identificação de ativos, ameaças e vulnerabilidades, a avaliação do impacto e a implementação de controles adequados.

Desmembrando a afirmação:

A questão sugere que, se uma ameaça tem um valor constante, o impacto resultante será o mesmo para todos os ativos, independentemente de qual deles seja afetado.

Por que isso está incorreto? Vamos analisar:

Ameaças e Impactos: Uma ameaça é qualquer circunstância ou evento com o potencial para causar danos a um sistema ou organização. No entanto, o impacto de uma ameaça não é um valor fixo e constante para todos os ativos. O impacto varia conforme o valor, a criticidade, a sensibilidade e a função do ativo afetado.

Exemplo Prático: Considere uma ameaça comum, como um ataque de malware. Se o malware afetar um servidor que contém dados críticos, o impacto pode ser extremamente alto. Por outro lado, se afetar um computador que contém apenas dados não críticos, o impacto será bem menor. Portanto, mesmo que a ameaça (o ataque de malware) seja a mesma, o impacto varia dependendo do ativo afetado.

Norma ISO/IEC 27005: A norma enfatiza a importância de avaliar os riscos com base em uma análise detalhada dos ativos, ameaças e vulnerabilidades específicos. Cada ativo tem um valor único para a organização, e o impacto de uma ameaça é avaliado conforme o contexto específico do ativo em questão.

Portanto, a alternativa está errada porque a ISO/IEC 27005 não afirma que o impacto de uma ameaça é constante para todos os ativos. Pelo contrário, a norma orienta que cada ativo deve ser avaliado individualmente para determinar o impacto específico de uma ameaça.

Espero que esta explicação tenha ajudado a esclarecer o motivo da escolha da alternativa correta e como a questão aborda os conceitos da gestão de segurança da informação conforme a norma ISO/IEC 27005. Se tiver mais dúvidas, estou à disposição para ajudar!

Segundo a ISO 27005:2011,p.23,

"8.2.3 Identificação das ameaças

Algumas ameaças podem afetar mais de um ativo. Nesses casos, elas podem provocar impactos diferentes, dependendo de quais ativos são afetados."

Depende de qual ativo será atingido.

Ativos tem valores diferentes entre si.

Assertiva ERRADA. 

Está errada pois uma mesma ameaça (energia elétrica cortada) pode ter efeitos diferentes nos vários ativos. Isso pode não ser alto muito grave para os servidores caso eles tenham geradores, mas pode deixar os terminais offline e impedir o funcionamento da organização caso eles não tenham gerador. Mesmo problema, impactos diferentes de acordo com os ativos. 

GABARITO: ERRADO.