Estimar a probabilidade de uma ameaça se concretizar dentro ...

Gabarito: C (Certo)

A norma NBR ISO/IEC 27002:2005 é um conjunto de diretrizes para a gestão da segurança da informação, que oferece melhores práticas para implementar, manter e aprimorar controles de segurança. A questão aborda a análise e avaliação de riscos, que são atividades essenciais dentro dessa norma.

Análise/Avaliação de Riscos:

Essa etapa envolve duas atividades principais:

• Estimativa da Probabilidade: Aqui, avalia-se a probabilidade de uma ameaça se concretizar no ambiente computacional. Isso inclui avaliar a frequência com que um evento pode ocorrer e a facilidade com que uma ameaça pode explorar uma vulnerabilidade.
• Identificação dos Impactos: Esta atividade centra-se em entender os impactos que a concretização de uma ameaça poderia causar. Isso envolve avaliar as consequências financeiras, operacionais e reputacionais para a organização.

Portanto, a alternativa C está correta porque esses dois pontos são, de fato, componentes fundamentais da análise/avaliação de riscos conforme as diretrizes da ISO 27002.

Agora, vamos detalhar por que as alternativas incorretas não seriam aplicáveis (mesmo que não estejam explicitamente na questão):

Alternativas incorretas (hipotéticas):

• Se a questão dissesse que "A análise de riscos não envolve a identificação de impactos", isso estaria incorreto, pois identificar impactos é uma parte crucial dessa análise.
• Se a questão afirmasse que "A estimativa da probabilidade é a única atividade na análise de riscos", isso também estaria incorreto porque omite a importância de identificar os impactos.

Espero que essa explicação tenha elucidado o tema para você. A análise e avaliação de riscos são pilares na gestão da segurança da informação e conhecer suas atividades é essencial para a conformidade com a ISO 27002.

A questão trata, na verdade, da ISO 27005. Veja figura abaixo

http://screencast.com/t/idsPitim

Gravei a analise/avaliacao de risco como AVR. (Sigla para facilitar a memorização),

e ela tem haver COMO ESTABELECER OS REQUISITOS DA SEG INFORMAÇÃO,  a AVR identifica as ameaças aos ativos e as vulnerabilidades destes, estima  probablidade de ocorrencias das ameaças e o impacto potencial ao negocio, por ai deduzi a questão.

Para resolver essa questão é necessário ter em mente apenas o conceito de risco.
 
RISCO: combinação da probabilidade de um evento e de suas consequências.
 
Ora, “estimar a probabilidade de uma ameaça ('evento') se concretizar dentro do ambiente computacional e identificar os impactos ('consequências') que um evento de segurança pode acarretar” é o mesmo que dizer que se está realizando atividades resultantes da análise/avaliação de riscos. Portanto, gabarito corretíssimo.

Bons estudos e sucesso, galera!

CORRETO. Mais especificamente, essas estimativas são saídas das atividades de Avaliação da Probabilidade de Incidentes e Avaliação das consequencias (impactos) da fase Análise de Riscos, conforme descrito na seção 8.2 da norma 27.005.