No que se refere à análise/avaliação de riscos descrita na n...
I. Por meio da análise/avaliação de riscos, são identificadas as ameaças aos ativos e às vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.
II. Não é conveniente que a análise/avaliação de riscos seja repetida periodicamente para não impactar negativamente nos custos dos projetos de TI.
III. Uma vez que os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido tomadas, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a zero.
IV. Convém que a análise/avaliação de riscos inclua um enfoque sistemático de estimar a magnitude do risco (análise de riscos) e o processo de comparar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco).
Está correto o que consta em
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
A alternativa correta é D - I e IV, apenas.
Tema da Questão:
A questão aborda a análise/avaliação de riscos conforme descrito na norma ABNT NBR ISO/IEC 27002. Esta norma fornece diretrizes para a gestão de segurança da informação e destaca a importância da identificação e avaliação dos riscos associados aos ativos de uma organização.
Explicação:
Para resolver essa questão, é importante compreender as práticas recomendadas pela norma ISO/IEC 27002 em relação à análise e avaliação de riscos. A norma sugere que essa análise deve ser feita de maneira sistemática e periódica para identificar ameaças, estimar a probabilidade de ocorrência e o impacto potencial dessas ameaças, além de comparar os riscos estimados contra os critérios de risco predefinidos.
Justificativa das Alternativas:
Alternativa I: Correta. A análise/avaliação de riscos inclui a identificação das ameaças aos ativos, as vulnerabilidades associadas a esses ativos, e a estimativa da probabilidade de ocorrência dessas ameaças e do impacto potencial no negócio. Isso está alinhado com a norma ISO/IEC 27002.
Alternativa II: Incorreta. A análise/avaliação de riscos deve ser repetida periodicamente. Isso é fundamental para garantir que os riscos sejam continuamente monitorados e gerenciados, já que o ambiente de TI pode mudar rapidamente e introduzir novos riscos.
Alternativa III: Incorreta. Embora seja crucial selecionar e implementar controles para tratar os riscos, a norma ISO/IEC 27002 não sugere que os riscos possam ser reduzidos a zero. Na realidade, é impossível eliminar completamente todos os riscos; o objetivo é reduzi-los a um nível aceitável.
Alternativa IV: Correta. A análise/avaliação de riscos deve incluir um enfoque sistemático para estimar a magnitude do risco (análise de risco) e comparar os riscos estimados contra critérios de risco predefinidos para determinar sua significância (avaliação de risco), conforme recomendado pela norma ISO/IEC 27002.
Resumo:
As alternativas I e IV estão corretas, pois estão em conformidade com as diretrizes da norma ISO/IEC 27002. Alternativas II e III estão incorretas devido a conceitos errôneos sobre a periodicidade da análise de riscos e a impossibilidade de eliminar completamente os riscos.
Espero que essa explicação tenha esclarecido suas dúvidas sobre o tema. Qualquer outra questão, estou à disposição!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
III. ERRADO. A seleção de controles faz parte da etapa de TRATAMENTO do risco, que está na Gerência do Risco. A Análise de Risco envolve a Identificação e a Estimativa dos riscos, enquanto que a Avaliação dos Riscos é o processo de comparar os riscos estimados com os critérios de risco para determinar a significância do risco.
I e IV estão corretas. Com a ressalva de quem compara alguma coisa, geralmente compara algo COM outro, não algo CONTRA outro.
I. Por meio da análise/avaliação de riscos, são identificadas as ameaças aos ativos e às vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio. (Correto - 4.1 Analisando/avaliando os Riscos de segurança da informação)
II. Não é conveniente que a análise/avaliação de riscos seja repetida periodicamente para não impactar negativamente nos custos dos projetos de TI. (Errado - 4.1 Analisando/avaliando os Riscos de segurança da informação - prega exatamente o contrário)
III. Uma vez que os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido tomadas, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a zero. (Errado - 4.2 Tratando os Riscos de segurança da informação - Os riscos podem ser: aceitos, reduzidos, evitados ou transferidos)
IV. Convém que a análise/avaliação de riscos inclua um enfoque sistemático de estimar a magnitude do risco (análise de riscos) e o processo de comparar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco). (Correto - 4.1 Analisando/avaliando os Riscos de segurança da informação)
Resolução:
Logo, você percebe que o item II está Incorreto.
Portanto, NÃO pode ser as alternativas A,B e E.
Sobram C e D. Que possuem itens I e IV, a decisão está em saber a resposta da III.
III ---> implementados para assegurar que os riscos sejam reduzidos a um nível aceitável.
"Letra D". Assim chegaremos lá!
Riscos sempre existem. Nunca cairão a zero.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos