SóProvas



Questões de Análise de Vulnerabilidade e Gestão de Riscos


ID
7354
Banca
ESAF
Órgão
CGU
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

Todas as etapas relacionadas à análise, administração e manutenção das medidas de segurança para proteger as informações de uma empresa formam um ciclo que deve retornar ao seu ponto de partida sempre que houver uma falha real ou uma falha em potencial na segurança da informação. Com relação e este ciclo é correto afirmar que

Alternativas
Comentários
  • Não ví qual o "pega" da letra "B". A meu ver ela está correta. Quando ocorre assim, vale a regra do mais completo. Entre as letras "B" e "E", esta tem mais conteúdo e portanto deve ser marcada.
  • Alternativa B incorreta pois DISPONIBILIDADE nao aumenta a vulnerabilidade do sistema em questao de seguranca.
  • A) errado, não existe AUMENTAR RISCOS.... é absurdo.
    B) errado, a perda de integridade, confidencialidade e disponibilidade são CAUSADAS pelas VULNERABILIDADES(quando exploradas pelas ameaças).
    C) errado, o que causa a perda de integridade não é a vulnerabilidade e sim a AMEAÇA, que se aproveita da vulnerabilidade.
    D) errado, a primeira medida, é identificar e analisar os ATIVOS da organização. Depois analisar os riscos... e assim sucessivamente.
    E) correto.

ID
10552
Banca
ESAF
Órgão
CGU
Ano
2006
Provas
Disciplina
Segurança da Informação
Assuntos

Ao passo que as informações são consideradas o principal patrimônio de uma organização, hoje em dia, estas estão sob constante risco, fazendo com que a segurança da informação tenha se tornado crucial para a sobrevivência das organizações. Sendo assim, é correto afirmar que

Alternativas
Comentários
  • Which book is a good source of knowledge about information security to solve this question?

ID
12079
Banca
CESPE / CEBRASPE
Órgão
Polícia Federal
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

A política de segurança é um conjunto de diretrizes, normas, procedimentos e instruções de trabalho que estabelecem os critérios de segurança para serem adotados no nível local ou a institucional, visando o estabelecimento, a padronização e a normalização da segurança tanto no âmbito humano quanto tecnológico. Acerca das boas práticas para elaboração, implantação e monitoração da política de segurança, julgue os itens seguintes.

Uma fonte primária para a definição dos requisitos de segurança consiste na avaliação de riscos dos ativos de informação. Essa análise permite ainda equilibrar os gastos com os controles de segurança de acordo com os danos causados aos negócios gerados pelas potenciais falhas na segurança.

Alternativas
Comentários
  • Como estabelecer requisitos de segurança

    É essencial que uma organização identifique os seus requisitos de segurança. Existem três fontes principais.

    A primeira fonte é derivada da avaliação de risco dos ativos da organização. Através da avaliação de risco são identificadas as ameaças aos ativos, as vulnerabilidades e sua probabilidade de ocorrência é avaliada, bem como o impacto potencial é estimado.

    A segunda fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros, contratados e prestadores de serviço têm que atender.

    A terceira fonte é o conjunto particular de princípios, objetivos e requisitos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.

    Resposta: Certo

    Fonte: NBR17799


    RwereRes 

  • O que me arrebentou nessa questão é q ela diz "danos causados aos negócios gerados pelas potenciais falhas na segurança". Pra mim o certo seria: "danos  QUE PODEM SER causados aos negócios gerados pelas potenciais falhas na segurança." E não DANOS CAUSADOS. Muita maldade da banca.

  • GABARITO: CERTO.


ID
16756
Banca
CESPE / CEBRASPE
Órgão
TRE-AL
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de ferramentas e métodos relacionados à segurança da
informação, julgue os itens seguintes.

É impossível encontrar vulnerabilidade em um sistema
operacional que esteja protegido por um firewall, mesmo
quando configurado para permitir que determinadas portas
sejam utilizadas para a execução de serviços com a Internet.

Alternativas
Comentários
  • Isso ai ta errado.....impossível........sei
  • Não existes sistemas computacionais 100% seguros, ou seja, TODOS possuem algum tipo de vulnerabilidade.
  • EXISTE SIM.
    A cifra de chave única é um bom exemplo. Também conhecido como One Time Pad.
  • Um firewall típico não é capaz de analisar o conteudo dos pacotes, ele se restringe aos cabeçalhos dos pacotes. Nem mesmo um proxy que é capaz de analisar o conteudo do pacote poderia previnir a exploração de vulnerabilidades. Nesse contexto o IPS seria capaz de previnir ataques, pois ele pode identificar o conteudo dos arquivos e compará-los a uma base de conhecimentos ou comportamentos. 

  • Gabarito Errado

    "Impossível", fui muito forte essa afirmação.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • FIREWALL: NÃO É ANTIVÍRUS

  • CESPE DANDO AQUELA COLHER DE CHÁ.

  • Nessa Época NISHIMURA REINAVA ' "impossivel" kkkkkk

  • O impossível é só questão de opinião!


ID
16759
Banca
CESPE / CEBRASPE
Órgão
TRE-AL
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de ferramentas e métodos relacionados à segurança da
informação, julgue os itens seguintes.

Uma ferramenta largamente empregada na Internet para
análise de vulnerabilidades em sistemas operacionais é o
NESSUS, que permite realizar diagnóstico de vários tipos de
dispositivos instalados em redes que utilizam o protocolo
TCP/IP.

Alternativas
Comentários
  • O NESSUS é um programa que verifica falhas e vulnerabilidades de segurança em sistemas operacionais.Uma das principais características do Nessus é a sua tecnologia cliente-servidor, onde os servidores podem ser alocados em pontos estratégicos da rede, permitindo testes de vários pontos diferentes. Um cliente central ou múltiplos clientes podem controlar todos os servidores.
  • Nessus é um scanner de porta. Ele faz uma varredura completa dos servicos (portas) disponibilizadas pelo servidor. Comunica com cada um destes servicos a procura de vulnerabilidades (versoes desatualizadas, erros de configuracoes). Com base na varredura ele disponibliza um relatório completo das vulnerabilidades detectadas.
  • Nessus
     
    Em análise de vulnerabilidade de rede, o vencedor isolado é o Nessus. O avô das ferramentas de segurança, o Nessus combina uma engine que analisa as vulnerabilidades e testa seus controles em tempo real, tornando-a indispensável em empresas ‘ricas’ ou com problemas de orçamento.
    A solução – que testa todos os aspectos da empresa, de sistema operacional, portas, os serviços e as aplicações – se mantém recorrentemente entre as melhores do setor em análises independentes. Os relatórios podem ser longos, mas eles são completos.
    O Nessus indica para o gestor qual é o ponto de entrada mais provável que um intruso tente.
    Alternativa: Certa
  • Gabarito Certo

    O Nessus é uma ferramenta de auditoria muito usada para detectar e corrigir vulnerabilidades nos PCs da rede local. Ele realiza uma varredura de portas, detectando servidores ativos e simulando invasões para detectar vulnerabilidades. Uma característica importante é que o Nessus procura por servidores ativos não apenas nas portas padrão, mas em todas as portas TCP. Ele é capaz de detectar uma vulnerabilidade em um servidor Apache escondido na porta 46580, por exemplo.

    Até a versão 2.2.8, o Nessus era um aplicativo open-source. Os desenvolvedores trabalham na área de segurança, prestando consultoria e vendendo versões personalizadas do Nessus, com plugins e recursos adicionais. O problema é que outras empresas de segurança passaram a se aproveitar disso para incorporar recursos do Nessus em seus produtos proprietários e a desenvolver versões modificadas, que competiam diretamente com as soluções oferecidas por eles.

    Isso criou um clima crescente de tensão até que os desenvolvedores decidiram mudar a licença, mudança que entrou em vigor a partir da versão 3.0. O Nessus continua sendo de uso gratuito, mas o código fonte passou a ser fechado, para evitar a concorrência predatória de outras empresas.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Além do NESSUS, também tem outras ferramentas boas para a realização de enumeração de vulnerabilidades como o NMAP, NSAT, BLASTER, PHOBIA e QUESO.


ID
17962
Banca
CESGRANRIO
Órgão
BNDES
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de vulnerabilidade.

Alternativas
Comentários
  • Como uma rede elétrica instável pode tornar um ambiente de segurança da informação vulnerável?

    Funcionário desonesto não é um exemplo de vulnerabilidade? ?Essa eu não entendi.
  • Funcionario Desonesto pode roubar informações por exemplo...
    E como uma rede eletrica instavel torna-se um ambiente vulneravel ? o maximo q pode acontecer e desligar o micro...
    Alguem poderia comentar essa ?
  • Quanto a rede eletrica acredito que a explicacao seja: quando falta a luz os servidores que estejam rodando algum aplicativo de seguranca ficam fora do ar, dai seria possivel uma invasao ate q o servidor seja completamente inicializado..
  • Uma rede elétrica instável pode gerar quedas e interrupções de serviços, por isso é uma vulnerabilidade.
    Um conceito interessante de vulnerabilidade: é toda ameaça que pode ser tratada e convertida em ponto positivo para a instituição. Tudo citado acima pode ser tratado e se tornar uma força para a instituição, exceto o funcionário desonesto cuja demissão é o caminho :)
  • é claro que problemas de instalação elétrica podem deixar o ambiente vulnerável - você perde dados, outros acabam corrompidos, não consegue transmitir as informações etc. Agora: você pode ter um ambiente super seguro, mas se um funcionário resolver sacanear, ele faz isso. Ou seja: quando a questão fala de ambiente seguro, está se referindo apenas ao aparato tecnológico que garante a integridade, disponibilidade e confidencibilidade da informação.
  • é claro que problemas de instalação elétrica podem deixar o ambiente vulnerável - você perde dados, outros acabam corrompidos, não consegue transmitir as informações etc. Agora: você pode ter um ambiente super seguro, mas se um funcionário resolver sacanear, ele faz isso. Ou seja: quando a questão fala de ambiente seguro, está se referindo apenas ao aparato tecnológico que garante a integridade, disponibilidade e confidencibilidade da informação.
  • Para garantirmos a segurança da informação devemos ter: confidencialidade, integridade e disponibilidade.

    Com uma rede elétrica instável teremos problemas de disponibilidade.

    Agora, o que é um link sem contingência?
  • A questão trata somente o que é uma vulnerabilidade. No caso, o funcionário desonesto é uma ameaça.

    Para que esse funcionário desonesto consiga fazer qualquer ação negativa contra a empresa, ele irá explorar uma vulnerabilidade. Dai a necessidade, por exemplo, de uma politica de segurança que tenha um controle de privilegios de acesso, afim de reduzir esse risco que a ameaça(funcionario desonesto) representa para a empresa.
  • Quando um link cai e você tem outro link de dados, ou outro meio para reestabelecer e/ou aumentar a capacidade do link, dizemos que isto é uma contingência ao link.Links sem contingência podem afetar também a Disponibilidade dos serviços.
  • A resposta correta é mesmo a LETRA A.

    pois um funcionário desonesto não é uma vulnerabilidade... e sim uma AMEAÇA que pode explorar vulnerabilidades como ....

    brechas na politica de acesso, sistemas operacionais desatualizados... e etc...

    portanto correta a questão.
  • vulnerabildade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. No caso, o Funcionário desonesto, o Firewall, o SO desatualizado e Links sem contingência,  são ativos internos, estão ligados a organização diretamente.

    ameaça: causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização. A Pane na rede elétrica ou qualquer catástrofe se enquadra em ameaça.

  • Funcionário desonesto é sim um ítem que envolve Seg. da Informação. Especificamente em seguraça física em relação ao controle administrativo que deve ter a empresa.
  • LETRA A. Um funcionário desonesto constitui uma AMEAÇA, não uma vulnerabilidade.

    Segundo a ISO 27005,página 47 , "Tabela C.2 – Exemplo da ameaças representadas por seres humanos

    Fontes de ameaçasPessoal interno (funcionários mal treinados, insatisfeitos, mal intencionados, negligentes, desonestos ou dispensados)"


ID
32728
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Um administrador de rede percebeu que um dos componentes de software do kernel do seu servidor Web está apresentando um comportamento estranho. Após realizar um checksum no componente ele percebeu que o teste falhou e que a solução para o problema seria reinstalar todo o sistema operacional, pois, outros componentes do kernel também apresentaram o mesmo problema. Com base neste teste, conclui-se que o servidor sofreu um ataque do tipo

Alternativas
Comentários
  • Rootkits são um tipo de Malware surgido nos últimos anos. A principal intenção dele é se camuflar, impedindo que seu código seja encontrado por qualquer antivírus. Isto é possível por que estas aplicações têm a capacidade de interceptar as solicitações feitas ao sistema operacional, podendo alterar o seu resultado. Por exemplo, quando o Windows faz um pedido para a leitura ou abertura de um arquivo (seja a mando do antivírus ou pelo proprio usuário), o vírus intercepta os dados que são requisitados (intercepção via API) e faz uma filtragem dessa informação, deixando passar apenas o código não infectado. Desta forma, o antivírus ou qualquer outra ferramenta ficam impossibilitados de encontrar o arquivo malicioso.
  • Alguém poderia me explicar onde, no enunciado da questão, o avaliador faz referência a rootkit. Não consegui ver relação entre o enunciado e a definição de rootkit. Pra falar a verdade, não achei nenhuma resposta correta.
  • Neste caso tem que ir pelo manos errada!

  • Definição de Rootkit
    •Um invasor, ao realizar uma invasão, pode utilizar mecanismos para esconder e assegurar a sua presença no computador comprometido. O conjunto de programas que fornece estes mecanismos é conhecido como rootkit.
    •Não é utilizado para obter acesso privilegiado em um computador, mas sim para mantê-lo

  • Achei essa fonte bem esclarecedora sobre essa questão...

     

    Rootkits attack techniques have matured over the past few years, posing a realistic threat to commodity operating systems. Comprehensive detection of such advanced rootkits is still an open research problem. The new attack techniques used by rootkits have in turn triggered the development of novel techniques to detect their presence. The evolution of rootkits and techniques to detect them continues to be an arms race between attackers and defenders. Rootkits have evolved from manipulating user space binaries and shared libraries to modifying control and non-control data in the kernel. The latest rootkits install themselves below the operating system.
    Early rootkits operate by modifying system binaries and shared libraries replacing them with trojaned versions. The goal of these trojaned binaries is to hide malicious objects or grant privileged access to malicious processes. For example, a trojaned ps binary will not list the malicious processes running on the system. A trojaned login process can give root privileges to a malicious user. To detect trojaned system binaries and shared libraries, tools such as Tripwire and AIDE were developed. These tools generate checksums of authentic binaries when run on a clean system and store them in a database. A user can examine the system at later points in time, using these tools, and compare the checksums of system binaries with those previously stored in the database. A mismatch in checksum indicates the presence of the trojaned binary. Other detection tools used an anti-virus like approach, where the presence of a rootkit is detected using a database of known signatures, such as a specific sequence of bytes in memory, or by the presence of certain files on disk. This approach does not protect the system against newer unknown rootkits. Rootkits could thwart such detectors by using polymorphic and metamorphic techniques for code obfuscation, traditionally used by viruses to escape detection from anti-virus programs.

     

    Fonte: Advanced Operating Systems and Kernel Applications: Techniques and Technologies


ID
47047
Banca
ESAF
Órgão
ANA
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Um risco de segurança pode ser considerado uma função da ameaça em relação a

Alternativas
Comentários
  • Risco - em relação à ameaça - é a conjugação de impacto e a probabilidade de sua ocorrência.
  • Amigos não encontrei essa resposta "E" da questão, visto que segundo a norma ISO 27005 encontrei algo diferente vejam. 

    Segundo a ISO 27005, "3.2

    riscos de segurança da informação:a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos,desta maneira prejudicando a organização.

    NOTA É medido em função da combinação da probabilidade de um evento e de sua conseqüência.



ID
47050
Banca
ESAF
Órgão
ANA
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Os procedimentos para a recuperação de operações, na escala de tempo estipulada, após a ocorrência de falhas de processos críticos do negócio, devem constar do(a)

Alternativas
Comentários
  • Não concordo com a resposta desta questão. Esse gabarito está correto?
  • Concordo com o questionamento da Cristhiane. Segundo a norma ISO/IEC 17799:2000, "Quando da materialidade de um evento que tenha interrompido os processos e operações computacionais dentro da instituição e consequentemente comprometido as missões críticas e funções dos negócios, os Planos de Contingência ou de continuidade/retomada do negócio surgem para garantir que os processos do negócio possam ser recuperados no tempo devido."
  • No meu entender, a resposta está correta. Avaliando cada letra, temos o seguinte:b) Uma política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa. (Referência: http://penta.ufrgs.br/gereseg/rfc2196/cap2.htm)c) Eventos que ocorrem periodicamente com o intuito de se averiguar o que foi estabelecido na Política de Segurançad) Acordo Legal para garantir que conteúdos de caráter confidencial não serão divulgados pelas partes que o acessam.e) Uma política de senhas deve cobrir os requisitos para formação de senhas, o período de validade das senhas, as normas para proteção de senhas, o reuso de senhas e o uso de senhas default.Logo, só pode ser a letra a.
  • Não concordo com a resposta.

    Política de segurança da Informação provêem de uma série de documentação que orienta e dá um apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Este documentos são composto por 3 (três) tipos de documentos, a saber:
    DIRETRIZES – São as regras de alto nível que representam os princípios básicos que a Organização resolveu incorporar a sua gestão de acordo com a visão estratégica da alta Direção. Servem como base para que as normas e os procedimentos sejam criados e detalhados.
    NORMAS – Especificam no plano tático as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégica definida nas diretrizes.
    INSTRUÇÕES E    P R O C E D I M E N T O S – Detalham no plano operacional configurações de um determinado produto ou funcionalidade que devem ser feitas para implementar os controles e tecnologias estabelecidas nas normas.

    O PCN é o desenvolvimento preventivo de um conjunto de estratégias e planos de ação de maneira a garantir que os serviços essenciais sejam devidamente identificados e preservados após a ocorrência de um desastre*, e até o retorno à situação normal de funcionamento da empresa dentro do contexto do negócio do qual ela faz parte. Além disso, sob o ponto de vista do PCN, o funcionamento de uma empresa deve-se a duas variáveis: os componentes e os processos.

  • O Plano de contigência pode ser chamado de: Planejamento de riscos, Plano de Continuidade de negócio ou Plano de recuperação de desastres, que tem por objetivo descrever asmedidas a serem tomadas por uma empresa para fazer com que os processos vitais voltem a funciona planamente em um estado minimamente aceitável.

ID
51283
Banca
CESGRANRIO
Órgão
TJ-RO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Uma pesquisa realizada pelos organizadores da Conferência Infosecurity Europe 2003 com trabalhadores de escritórios, que distribuía um brinde (de baixo valor) aos entrevistados, revelou que 75% deles se dispunham a revelar suas senhas em resposta a uma pergunta direta ("Qual é a sua senha?"), e outros 15% responderam a perguntas indiretas que levariam à determinação da senha. Esse experimento evidencia a grande vulnerabilidade dos ambientes computacionais a ataques de

Alternativas
Comentários
  • Em Segurança da informação, chama-se Engenharia Social as práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinados para esses ataques, podem ser facilmente manipuladas.Fonte: http://pt.wikipedia.org/wiki/Engenharia_social_%28seguran%C3%A7a_da_informa%C3%A7%C3%A3o%29
  • Tambem pode ser chamado de espionagem industrial
  • Engenharia social = hacker

ID
104614
Banca
FCC
Órgão
TCM-PA
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Entre os responsáveis pelo gerenciamento de riscos de uma organização estão os

Alternativas
Comentários
  • O gerenciamento de riscos deve ser feito através de auditoria INTERNA... o que exclui as possibilidades a,b,c,d

ID
104617
Banca
FCC
Órgão
TCM-PA
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a estrutura conceitual do COSO (The Committee of Sponsoring Organizations of the Treadway Commission), um dos componentes de gerenciamento de riscos corporativos é a identificação de eventos, os quais podem ser definidos como incidentes ou ocorrências geradas com base em fontes internas ou externas e que afetam a implementação de estratégias ou a realização dos objetivos de uma organização. Um exemplo de evento gerado por fatores externos econômicos é

Alternativas
Comentários
  • O enunciado pede um "evento gerado por fatores externos econômicos". Isso quer dizer que a questão quer identificar uma variável independente que seja concomitantemente externa e econômica (VI) e que, logicamente, impacte/cause/gere um evento neste caso, a variável dependente ou VD). Posto de outra forma ficaria assim: VI --> VD. 


    Essa lógica é importante para entender aquilo que o enunciado pede, pois alguns itens trazidos tratam ou de fatores internos da própria organização (item A e E) ou fatores não econômicos (itens B e D). Portanto, por eliminação e lógica, o item CERTO é a letra C (a restrição ao crédito).


ID
104824
Banca
FCC
Órgão
TCM-PA
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo a norma NBR ISO/IEC 17799:2005, NÃO se trata de uma etapa da gestão de riscos:

Alternativas
Comentários
  • Na página 2 da norma ISO/IEC 17799:2005 (atualmente 27002:2005) encontra-se a definição de gestão de riscos:

    2.13 - Gestão de Riscos: Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. NOTA: A gestão geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. [ABNT ISO/IEC Guia 73:2005]

    Assim sendo, alternativa B

  • Só um complemento segundo outra norma da ABNT ISO. 

    Segundo a ISO 27005, "

    6 Visão geral do processo de gestão de riscos de segurança da informação

    O processo de gestão de riscos de segurança da informação consiste na definição do contexto (Seção 7), análise/avaliação de riscos (Seção 8), tratamento do risco (Seção 9), aceitação do risco (Seção 10), comunicação do risco (Seção 11) e monitoramento e análise crítica de riscos (Seção 12)."


ID
118702
Banca
FCC
Órgão
TRT - 20ª REGIÃO (SE)
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre segurança da informação, considere:

I. Ameaça: algo que possa provocar danos à segurança da informação, prejudicar as ações da empresa e sua sustentação no negócio, mediante a exploração de uma determinada vulnerabilidade.

II. Vulnerabilidade: é medida pela probabilidade de uma ameaça acontecer e pelo dano potencial à empresa.

III. Risco: ponto pelo qual alguém pode ser atacado, molestado ou ter suas informações corrompidas.

Está correto o que se afirma APENAS em

Alternativas
Comentários
  • Letra CAmeaça: é o agente que explora uma determinada fraqueza (uma vulnerabilidade). Ex: hackerVulnerabilidade: é sinônimo de uma fraqueza. ex: computador sem antivírusRisco = Impacto X Probabilidade (vulnerabilidade + ameaça). A segurança não pode ser garantida, sempre haverá risco. Não há risco zero.
  • O item II descreve Risco;
    O item III descreve Vulnerabilidade
    • Risco: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização;
    • Vulnerabilidade: falha ou fraqueza de procedimento, design, implementação, ou controles internos de um sistema que possa ser acidentamente ou propositalmente explorada, resultando em uma brecha de segurança ou violação da política de segurança do sistema;
    • Ameaça: possibilidade de um agente (ou fonte de ameaça) explorar acidentamente ou propositalmente umavulnerabilidade específica;
    • fonte de Ameaça: ou (1) uma intenção e método objetivando a exploração de uma vulnerabilidade ou (2) uma situação e método que pode acidentalmente disparar uma vulnerabilidade;
    • Análise de Ameaças: verificação das fontes de ameaça versus vulnerabilidades, para determinar as ameaças de um sistema em particular em um ambiente operacional particular.

    Fonte:http://sseguranca.blogspot.com.br/2009/07/risco-vulnerabilidade-ameaca-e-impacto.html

    Acesso em: 24/03/2015


ID
126562
Banca
ESAF
Órgão
Prefeitura de Natal - RN
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as seguintes afi rmações relacionadas à Segurança da Informação:

I. Uma Vulnerabilidade é um evento com conseqüências negativas resultante de um ataque bem-sucedido.
II. Uma Ameaça é uma expectativa de acontecimento acidental ou proposital, causada por um agente, que pode afetar um ambiente, sistema ou ativo de informação.
III. A Vulnerabilidade é uma fonte produtora de um evento que pode ter efeitos adversos sobre um ativo de informação.
IV. O Ataque é um evento decorrente da exploração de uma vulnerabilidade por uma ameaça.

Indique a opção que contenha todas as afi rmações verdadeiras.

Alternativas
Comentários
  • (E) I. Uma Vulnerabilidade é um evento com conseqüências negativas resultante de um ataque bem-sucedido
    - equipamentos e meios de armazenamento serem sucetíveis a danos pelos poluentes internos a organização
    - inerentes aos ativos
    - fraqueza ou deficiência que pode ser explorada por uma ameaça


    (C) II. Uma Ameaça é uma expectativa de acontecimento acidental ou proposital, causada por um agente, que pode afetar um ambiente, sistema ou ativo de informação. 
    - externas a organização e a ativos ou diversos poluentes
    - evento ou atitude indesejável que potencialmente remove, desabilita, danifica ou destroi um recurso



    (E) III. A Vulnerabilidade é uma fonte produtora de um evento que pode ter efeitos adversos sobre um ativo de informação.


    (C) IV. O Ataque é um evento decorrente da exploração de uma vulnerabilidade por uma ameaça.

    Livro da Claudia Dias
    Segurança e Auditoria da Tecnologia da Informação
  • I - uma vulnerabilidade não é um evento mas um ponto fraco.
    II - Correto. Se você tem um ponto fraco, uma vulnerabilidade, significa que ele poderá ser explorado e isso é uma ameaça. A ameaça não necessariamente é proposital. Ex: O telhado do CPD está com goteiras, isso é uma vulnerabilidade, a ameaça é o risco de chover e molhar os equipamentos, portanto, uma ameaça não proposital.
    III - uma vulnerabilidade não produz eventos, é só um ponto fraco. Buracos no forro do CPD não causam, produzem a chuva.
    IV - um Ataque é uma ameaça proposital. O atacante vê o ponto fraco e se aproveita dele.
  • GABARITO E

     

    Vulnerabilidade --> sofre um dano

    Ameaça --> causa um dano


ID
128392
Banca
FCC
Órgão
TRT - 15ª Região (SP)
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

No tocante à identificação de riscos de segurança, quanto ao tipo de acesso que uma parte externa terá aos recursos de processamento da informação, NÃO se deve considerar

Alternativas
Comentários
  • Só tá errada na grafia.
    sensilbilidade
  • A grafia está incorreta... Parabéns, você é muito esperta!

  • Tirado direto da ABNT NBR ISO/IEC 17799:2005
  • Na identificação dos riscos, TIPOS DE ACESSO

    a) Acesso físico
    b) Acesso lógico
    c) Acesso físico
    d) Acesso físico e/ou lógicos
    e) Aqui não é um tipo de acesso, aqui são critérios para identificar o grau de importância de uma informação.
  • Questão difícil da po*a!

    LETRA E.

    Segundo a ISO 27002,"6.2.1 Identificação dos riscos relacionados com partes externas

    Diretrizes para implementação

    Convém que a identificação de riscos relativos ao acesso da parte externa leve em consideração os seguintes aspectos:

    b) tipo de acesso que a parte externa terá aos recursos de processamento da informação e à informação, como, por exemplo:

    1) acesso físico ao escritório, sala dos computadores, gabinetes de cabeamento;

    2) acesso lógico ao banco de dados da organização e aos sistemas de informações;

    3) rede de conexão entre a organização e a rede da parte externa, como, por exemplo, conexão permanente, acesso remoto;

    4) se o acesso vai ser dentro ou fora da organização;


    c) valor e a sensibilidade da informação envolvida, e a sua criticidade para as operações do negócio;

    "


ID
129949
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca dos conceitos de gerência de riscos, julgue os itens que se
seguem.

Para que haja segurança da informação, as ameaças devem ser identificadas e devem ser tomadas medidas de segurança para se reduzir o risco ou a probabilidade de ocorrerem incidentes.

Alternativas
Comentários
  • Veja o texto associado a questão: "Acerca dos conceitos de gerência de riscos, julgue os itens que se
    seguem."

    A questão está correta por causa do contexto, mas para que se haja segurança da informação diversos outros aspectos devem ser levados em consideração.
  • Eu acertei pq "adivinhei" o nível que o elaborador exigiu do candidato.Um auditor marcaria como errada por ser muito simplista.
  • acho que o correto seria vulnerabilidades... é mais fácil identificá-las do que as ameaças

  • Senhores marquei como ERRADO este item, pois o o trecho "devem ser tomadas medidas de segurança para se reduzir" nos transmite uma ideia de obrigatoriedade de se reduzir os riscos, quando na verdade existem outras alternativas para se tratar um risco. Olhem só. NÃO SOU EU QUEM ESTOU FALANDO. SÃO AS NORMAS ISO 27001,27002 E 27005.

    Segundo a norma ISO 27002, p.18,"4.2 Tratando os riscos de segurança da informação

    Para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento

    do risco precisa ser tomada. Possíveis opções para o tratamento do risco, incluem:

    a) aplicar controles apropriados para reduzir os riscos;

    b) conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação de risco;

    c) evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos;

    d) transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores."

    **Portanto senhores, para que haja segurança da informação podem ser tomadas medidas de segurança para se reduzir o risco. Se caísse em uma outra prova novamente dava para entrar com recurso. Fica a dica. sucesso. =]


ID
129952
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca dos conceitos de gerência de riscos, julgue os itens que se
seguem.

Vulnerabilidades representam portas de entrada, fragilidade em ativos de informação que podem permitir a concretização de ameaças, colocando em risco esses ativos.

Alternativas
Comentários
  • A vulnerabilidade na computação significa ter brecha em um sistema computacional, também conhecida como BUG.

    Esta mesma pode ser explorada em um determinado sistema ou serviço vulnerável que esteja rodando na máquina.

    As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo BUFFER OVERFLOW, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDOS), e acesso irestrito ao sistema.

    Existem ferramentas específicas para se explorar as vulnerabilidades, cada ferramenta para a sua respectiva vulnerabilidade a ser explorada (na maioria das vezes escritas em  LINGUAGEM C E ASSEMBLY, essas ferramentas são chamadas de exploits.

  • Questão correta.

    Vulnerabilidade - Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
  • CERTO. SEGUE UM COMPLEMENTO.

    Segundo a ISO 27005,P,18,"8.2.1.5 Identificação das vulnerabilidades

    A presença de uma vulnerabilidade não causa prejuízo por si só, pois precisa haver uma ameaça presente para explorá-la. Uma vulnerabilidade que não tem uma ameaça correspondente pode não requerer a implementação de um controle no presente momento, mas convém que ela seja reconhecida como tal e monitorada, no caso de haver mudanças. Note-se que um controle implementado, funcionando incorretamente ou sendo usado incorretamente, pode, por si só, representar uma vulnerabilidade. Um controle pode ser eficaz ou não, dependendo do ambiente no qual ele opera. Inversamente, uma ameaça que não tenha uma vulnerabilidade correspondente pode não resultar em um risco."


ID
129955
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca dos conceitos de gerência de riscos, julgue os itens que se
seguem.

O impacto causado por um incidente de segurança é proporcional ao tipo de vulnerabilidade encontrada em um ativo, ou seja, quanto maior a vulnerabilidade, maior o impacto, e vice-versa.

Alternativas
Comentários
  • Para responder essa questão,faremos uma analogia a um caso real: imaginemos duas casas onde na primeira o dono a deixa sempre aberta,sem cadeados,sem grades de proteção (MAIS VULNERÁVEL). A segunda,o dono se cerca de atitudes de proteção,como utilização de alarmes,grades de proteção e cadeados nas portas (MENOS VULNERÁVEL). Caso as duas casas fossem aassaltadas,qual dos dois proprietários teriam o maior impacto? Certamente o que se cercou de vários cuidados,ou seja, o menos vulnerável.Portanto, quanto menor a vulnerabilidade,maior o impacto e vice-versa.
  • Para responder essa questão,faremos uma analogia a um caso real: imaginemos duas casas onde na primeira o dono a deixa sempre aberta,sem cadeados,sem grades de proteção (MAIS VULNERÁVEL). A segunda,o dono se cerca de atitudes de proteção,como utilização de alarmes,grades de proteção e cadeados nas portas (MENOS VULNERÁVEL). Caso as duas casas fossem aassaltadas,qual dos dois proprietários teriam o maior impacto? Certamente o que se cercou de vários cuidados,ou seja, o menos vulnerável.Portanto, quanto menor a vulnerabilidade,maior o impacto e vice-versa.
  • Não consegui encontrar uma resposta técnica em nenhum livro para esta questão. No meu entender  esse impacto diz respeito aos danos sofridos pelo sistema num eventual incidente de segurança,  então deduzi que quanto maior a vulnerabilidade maior seria o impacto sofrido. Sinceramente  não  entendi muito bem  a analogia feita pela colega. A questão parece um pouco dúbia.
    Se alguém souber explicar...
  • Usando a analogia das casas postado pela Colega, ter uma casa com menos itens de segurança não quer dizer que um assalta a ela teria maior impacto do que em uma casa com menos itens de segurança. O mesmo se pode dizer de uma vulenrabilidade encontrada em um ativo. Não se pode afirmar que quanto maior a vulnerabilidade em um ativo maior será o impacto.
  • Na minha análise, o impacto é medido pelo tipo de ativo, quanto mais sensível, maior o impacto  para a organização em caso de invasão. 
    É o caso de documentos secretos e documentos organizacionais. O maior impacto é se o secreto for acessado indevidamente.
  • O impacto não depende somente da vulnerabilidade, depende também do tipo de ativo. Logo é errado afirmar com certeza que quanto maior a vulnerabilidade maior será o impacto. Vai depender também do tipo do ativo que apresenta aquela vulnerabilidade.
  • O 'estrago' não tem a ver com a vulnerabilidade.
    O bandido poderia entrar na casa mais desprotegida, e roubar apenas uma caneta, ou entrar na casa protegida e roubar tv, som, dvd, joias....
    A proteção nao interfere no dano
  • O impacto gerado independe da vulnerabilidade. O impacto tem dependência da probabilidade de ocorrência para, assim, mensurar o risco em uma matriz impacto X probabilidade como esta: http://siigrupo7.wikispaces.com/file/view/screenshot.11.jpg/147314705/screenshot.11.jpg
  • ERRADO.

    Segundo Sêmola(2014,p.49),"A gravidade de um incidente pode ser analisada em termos qualitativos e quantitativos, sendo medida pelo seu impacto."

    Segundo a ISO 27005,p.16,"Um cenário de incidente é a descrição de uma ameaça explorando uma certa vulnerabilidade ou um conjunto delas em um incidente de segurança da informação. impacto dos cenários de incidentes é determinado considerando-se os critérios de impacto definidos durante a atividade de definição do contexto."


    **Juntando os dois pedaços das duas fontes acima, podemos concluir que A GRAVIDADE DE UMA AMEAÇA EXPLORANDO UMA CERTA VULNERABILIDADE É MEDIDA PELO SEU IMPACTO, NÃO APENAS PELA VULNERABILIDADE COMO AFIRMA A QUESTÃO, ATÉ PORQUE A PRESENÇA DE UMA VULNERABILIDADE, POR SI SÓ, NÃO CAUSA PREJUÍZO; POIS PRECISA DE UMA AMEAÇA PARA EXPLORÁ-LA. 


    Bibliografia:

    -ISO 27005

    - GESTÃO DE SEGURANÇA DA INFORMAÇÃO-SÊMOLA-2 EDIÇÃO 2014.



ID
129958
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca dos conceitos de gerência de riscos, julgue os itens que se
seguem.

Uma das principais medidas de segurança de ambientes eletrônicos é a definição e aplicação de uma política de senhas para acesso aos ativos de informação.

Alternativas
Comentários
  • CERTO.

    Segundo Nakamura(2010,p.204),6.8 Política para as senhas, "Por isso, a existência de uma política que auxilie na escolha de uma senha segura para a organização, que seja também boa para o usuário, é de extrema importância, o que pode aumentar o nível de segurança de toda a organização."


    **Portanto, se uma política de senhas aumenta a segurança de toda uma organização, então essa mesma política também é capaz de aumentar a segurança dos ambientes eletrônicos desta empresa.


    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010


ID
136291
Banca
ESAF
Órgão
MPOG
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

O Fluxo de Análise das ameaças e riscos, na ordem apresentada, consiste de

Alternativas
Comentários
  • A primeira coisa  a ser feita é a identificação dos riscos. Já teríamos a resposta.

    Pressman, 6a.Ed., pág. 562, no Cap. Gestão de Risco, diz (no quadro Panorama):

    "(...) é uma boa ideia identificá-lo (o risco), avaliar a sua probabilidade de ocorrência, estimar seu impacto e estabelecer um plano de contingência no caso de o problema efetivamente ocorrer."

    Estimar o impacto (estimativa de risco ou previsão de risco) compreende determinar o "peso" dos riscos (com, por exemplo, uma tabela de riscos; catastrófico, crítico, marginal, negligível); definir a priorização dos riscos, com a linha de corte que determina quais riscos receberão atenção.

    Por fim, a contingência, com a adoção das medidas de proteção.

ID
147448
Banca
FCC
Órgão
SEFAZ-SP
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo as normas ABNT sobre segurança da informação, o tratamento de risco está inserido no processo de

Alternativas
Comentários
  • Gestão de risco – atividade coordenada para direcionar e controlar uma organização no que se refere a risco. (nota- A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. [ABNT ISO/IEC Guia 73:2005]

  • Gestão de Riscos


    DATA - CM



    D - definição de contexto

    A - análise / avaliação

    T - tratamento de risco

    A - aceitação do risco

    C = comunicação 

    M - monitoração e análise crítica



    Dentro da análise de riscos temos a identificação dos riscos (AA-CVC) e a estimativa dos Riscos (QQ-CPN)


    A - ativos

    A - ameaças

    C - controles

    V - vulnerabilidades

    C - consequências


    Q - qualitativo

    Q - quantitativo

    C - consequencias

    P - probabilidades

    N - nível

  • Engraçado. Segundo a norma. As outras alternativas são processos da gestão de riscos. 


ID
148477
Banca
FCC
Órgão
MPU
Ano
2007
Provas
Disciplina
Segurança da Informação
Assuntos

Os riscos quanto à segurança física de determinadas informações dos aplicativos normalmente estão relacionados aos

Alternativas
Comentários
  • Prezados,

    Quando o enunciado fala da segurança física de informações, esse risco está relacionado aos meios de registros ou armazenamento, que podem ser fisicamente comprometidos ou terem um acesso indevido.

    Vejamos o que a ISO 27002 fala sobre isso no item 10.7.3 Procedimentos para tratamento de informação:

    Convém que sejam estabelecidos procedimentos para o tratamento e o armazenamento de informações, para proteger tais informações contra a divulgação não autorizada ou uso indevido.

    Convém considerar o tratamento e identificação de todos os meios magnéticos indicando o nível de classificação

    Convém considerar a proteção dos dados preparados para expedição ou impressão de forma consistente com a sua criticidade;


    A alternativa correta é : B.


  • Quando o enunciado fala da segurança física de informações, esse risco está relacionado aos meios de registro ou armazenamento.


ID
158356
Banca
FCC
Órgão
MPE-RN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em segurança da informação, NÃO é considerada uma causa de vulnerabilidade:

Alternativas
Comentários
  • Questão tirada do treinamento da IBM:

    http://www.detaileventos.com.br/ibm_dc2008/download/%28In%29Seguranca%20em%20Aplicacoes%20Web.pdf

  • Esta questão não foi elaborada e sim copiada. O controle de tempo pode sim ser um problema de vunerabilidade. Quando desenvolvemos um sistema e fazemos um controle de sessão, adivinhem o que estamos fazendo? sim, um controle de tempo, e para quê? para a segurança da informação. Quando você acessa o seu internet banking e vê aquele contador no topo: sua sessão expira em: mm:ss, o que será q significa?

    Enfim, em algumas questões temos que esquecer a lógica, a experiência e devemos pensar como um leigo, assim como são os "elaboradores"!

     

  • Retirado de um post da comunidade TIMASTERS.

    (a) Imaturidade em segurança. - É uma vulnerabilidade haja vista que se a
    empresa não possui um bom grau de maturidade nesse assunto ela pode ser alvo
    fácil de ataques.

    (b) Percepção de simplicidade.- Se o invasor percebe que determinado sistema
    é mais "fácil" de invadir ele o prefere a ter que tentar um outro que seja
    bem mais custoso.

    (c) Restrições de recursos. O acesso a alguns recursos principais deve ser
    restrito a determinadas pessoas. Ex.: Acesso restrito ao firewall, servidor
    web e servidor de aplicação.

    (d) Desenvolvimento in-house. - Pode ser considerada uma vulnerabilidade,
    pois é mais fácil haver conluio entre algum membro do time de
    desenvolvimento e algum outro interessado qualquer. Até mesmo um
    desenvolvedor insatisfeito com a empresa pode criar alguma "brecha" no
    software para prejudicá-la.

    (e) Controle de tempo. ?!?
  • Questão confusa...
     
    Restrição de recurso não é uma vulnerabilidade. A FALTA de restrição de recurso é que seria uma vulnberabilidade.
    Restrição de recurso é pratica obrigatória em todo sistema de segurança.
  • Gente que questão mal formulada e tendenciosa. Não se pode considerar que o Desenvolvimento in-house é causa de vulnerabilidade. A IBM realiza Outsourcing de Desenvolvimento e aponta que desenvolver internamente é causa de insegurança. Então, pasmem, todas as empresas que desenvolvem sistemas próprios possuem vulnerabilidades.

    Em outras palavras significa que se a IBM desenvolve para uma empresa o sistema não terá vulnerabilidades, mas, se ela desenvolver pra ela mesma, haverá vulnerabilidades. Isso é o mecanismo utilizado para vender um produto, não pode ser associado com a vulnerabilidade do desenvolvimento. Fico pensando que o SERPRO e a DATANORTE devem achar dessa informação.

  • A utilização do português de forma errada pela IBM foi apenas copiada pela banca. Assim concurso é cada vez mais sorte e menos saber


ID
158365
Banca
FCC
Órgão
MPE-RN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre segurança da informação, considere:

I. Ameaça: algo que possa provocar danos à segurança da informação, prejudicar as ações da empresa e sua sustentação no negócio, mediante a exploração de uma determinada vulnerabilidade.
II. Vulnerabilidade: é medida pela probabilidade de uma ameaça acontecer e o dano potencial à empresa.
III. Risco: ponto pelo qual alguém pode ser atacado, molestado ou ter suas informações corrompidas.

Está correto o que se afirma APENAS em

Alternativas
Comentários
  • as definições dos itens II e III, Vulnerabilidade e Risco, estão INVERTIDAS
  • AMEAÇA: é algo externo ao ativo. Por exemplo: pode ser invadido

    VULNERABILIDADE: é algo do ativo. Por exemplo: porta aberta

    RISCOS: é a probabilidade de que uma ameaça explore uma vulnerabilidade

    IMPACTO: é o dano causado por uma ameaça.

  • O risco é dado em função das vulnerabilidades, ameaças, impactos e medidas de segurança, da seguinte forma:

    RISCO = (VULNERABILIDADES x AMEAÇAS x IMPACTO) / MEDIDAS DE SEGURANÇA

    Tendo a Fórmula do Risco em mente, responder questões como essa fica mais fácil.

  • molestado? kkkk

ID
158398
Banca
FCC
Órgão
MPE-RN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Fraqueza ou deficiência que pode ser explorada por uma ameaça. Essa é a definição de

Alternativas
Comentários
  • Para a definição de uma política de segurança, em primeiro lugar, devem ser levantados as ameaças, riscos e vulnerabilidades a que as informações estão sujeitas, para que se possa definir a política com foco a combater estes pontos fracos para a organização. É importante ressaltar, mais uma vez, o fato de que não há como definir uma receita única para a elaboração de uma política de segurança visto que estes aspectos de ameaças, riscos e vulnerabilidades são particulares de cada organização. A seguir é apresentado um breve conceito para cada um destes aspectos.


    ALTERNATIVA A
  • Segundo a ISO 27002
    "2.16 Ameaça:
    causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização

    2.17 Vulnerabilidade:
    fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças."

ID
163942
Banca
FCC
Órgão
TJ-PI
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Um dos aspectos mais importantes da política de segurança é o processo de análise de riscos. Suas partes, quando isoladas, quase nada representam, mas, alinhadas e geridas adequadamente, apontam caminhos na busca de segurança de uma organização. Integram as partes do processo de análise de riscos:

I. Identificação e Classificação dos Processos de Negócio;

II. Identificação e Classificação dos Ativos;

III. Análise de Ameaças e Danos;

IV. Análise de Vulnerabilidades;

V. Análise de Risco.

É correto o que consta em

Alternativas
Comentários
  •  Identificação e Classificação dos Ativos;

    Isso não seria responsabilidade do processo de Classificação da informação e Gerenciamento de ativos?
  • Análise de riscos:
    Identificação dos riscos:
    1. Identificaçao dos ativos
    2. Identificação das ameaças
    3. Identificação dos controles existentes
    4. Identificação das vulnerabildade
    5. Identificação das consequências
  • Então a resposta correta seria a letra D?

  • Esta questão induz ao erro até quem conhece do assunto, pois exige a interpretação sobre a intenção de quem formulou um texto redundante, como dizer que a Análise de Risco é parte do processo de Análise de Riscos, bem como a Identificação de Ativos ser mais genérico do que Identificação dos Processos de Negócio.
  • Prezados,

    Infelizmente, essa questão não abordou uma análise de riscos segundo a ISO 27005, mas sim segundo um texto do autor RAMOS, F.F. Análise de Risco: O que se diz, o que se faz, e o que realmente é.

    Essa questão deveria ser anulada na época


    Gabarito da Banca : E.

    Gabarito do Professor : NULA.

  • Qual é a resposta correta?


ID
186820
Banca
FCC
Órgão
TRE-RS
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir.

I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros.

II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação.

III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos.

IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento.

Representam vulnerabilidades dos ativos de informação o que consta em

Alternativas
Comentários
  • Pessoal

    Podem existir diversos tipos de ameaças, porém seus ativos podem não ser vulneráveis a elas

    Por exemplo, todos os equipamentos como Servidores tem vulnerabilidades a pânes elétricas, isso é de fato uma ameaça, porém se vc instala-los em um CPD, que possui circuitos elétricos segregados, com proteção anti-curto etc.., isso deixará de ser uma ameaça, apesar dos servidores serem vulneráveis a penes elétricas.

    Então vamos a questão:

    I - Isso faz parte da própria natureza do computador, a partir do momento que ele aceita que programas sejam armazenados, então ele se torna vulneráveis infecções (Certo)

    II - As pessoas são altamente vulneráveis, pois não possuem nada que as façam automaticamente a guardar segredos. (Errado)

    III - Todos os ambientes estão suscetíveis aos fenômenos da natureza (em menor ou maior grau) (Certo)

    IV - De modo geral, todos os equipamentos são vulneráveis a umidade do ar, ou a substâncias que danificam. (Certo)

     

    Portanto a resposta correta é a letra "A"

     

     

  • Complementando...

    II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação.  (ERRADO)

    Na verdade, as pessoas estão entre os ativos mais vulneráveis de uma organização. Dados estatísticos mostram que testes de penetraçao feito com usuários, utilizando engenharia social tem grande índice de sucesso, e com isso obtenção de informações privilegiadas.

    EX: Empresas de segurança, para testarem a segurança de determinada empresa (a pedido), liga para funcionários da empresa se passando por Técnicos da própria empresa (setor de Suporte, Segurança, etc) e solicitam que façam testes etc, e muitos usuários caem na lábia.

    muitos vazamentoes de informações e ataques são feitos a pessoas, antes de atacarem as máquinas...


  • O item IV eu diria que é uma ameaça e não uma vulnerabilidade.
  • As pessoas SÃO vulneráveis.


ID
191956
Banca
CESGRANRIO
Órgão
ELETROBRAS
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Informações confidenciais de uma importante multinacional vazaram para a concorrente e, devido ao grande prejuízo, o alto escalão resolveu dar uma atenção para a segurança da informação. Com base nessa situação, é INCORRETO afirmar que

Alternativas
Comentários
  • Funcionário insatisfeito não é vulnerabilidade, e sim ameaça.

  • A vulnerabilidade é um ponto fraco do próprio sistema. A vulnerabilidade é um fator interno. A existência de vulnerabilidades permite a ação dos agentes externos.
    Por exemplo: se seu computador não tem um anti-virus, essa é uma vulnerabilidade; se um data center não tem dispositivos anti-incêndio, ele tem uma vulnerabilidade.

    A ameaça é um agente ou ação, espontâneo ou proposital, que se aproveita das vulnerabilidades de um sistema para conseguir seu intento. A ameaça é um fator externo.
    Por exemplo: emails falsos são uma ameaça (que se aproveitam da vulnerabilidade de não haver anti-virus no sistema do usuário); uma chuva com tempestades é uma ameaça, pois pode causar um incêndio.

    Quando existem uma vulnerabilidade E uma ameaça simultaneamente, ocorre o que se chama, em segurança da informação, um RISCO.
    Risco é o produto vulnerabilidade X ameaça. Assim, se há uma vulnerabilidade (falta de proteção contra terremotos), mas não há ameaça (sabe-se que na área não ocorrem terremotos), o risco é minimizado.
    O objetivo das contra-medidas preventivas é minimizar o risco. Isso se consegue ou diminuindo as vulnerabilidades (instalar anti-virus, atualizar as versões, treinar os funcionários) ou - mais raramente - diminuindo as ameaças (seguir regras de segurança, cultivar boas relações)

ID
192850
Banca
FCC
Órgão
MPE-RN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Na especificação dirigida a riscos, a compreensão da probabilidade de ocorrência de um risco e das consequências potenciais, se um acidente ou incidente, associado com este risco, ocorrer, é da competência do processo de

Alternativas
Comentários
  •  Gabarito: E

    O processo de análise e classificação de riscos liga-se principalmente com a compreensão da probabilidade de ocorrência de um risco e das consequências potenciais, se um acidente ou incidente, associado com este risco, ocorrer. Precisamos fazer essa análise para compreender se um risco é uma ameaça séria ao sistema ou ao ambiente, e para fornecer uma base para decidir os recursos que devem ser usados para gerenciar o risco.

     

    fonte: livro engenharia de software sommervile página 130

  • E' tao obvia que da ate' medo de marcar e se estrepar em outra pegadinha...rsrsrs
  • Bem dessa... quando é muito fácil vc, além perder tempo procurando pegadinhas, não acredita que seja tão fácil.
  • O que essa questão tem de "Análise de Requisitos"?

ID
193051
Banca
FCC
Órgão
TRF - 4ª REGIÃO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No contexto da segurança, pode ser definida como a fraqueza ou deficiência que pode ser explorada. Trata-se de:

Alternativas
Comentários
  • Nesta questão, acredito que poderia existir dúvidas entre os conceitos de Ameaça e Vulnerabilidade.

    Temos que, Vulnerabilidade é a fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. E temos que, Ameaça é a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.

    É isso pessoal, bons estudos!

    Abs,
    Felipe Ferrugem!!!

    "Juntos somos ainda melhores!!!"

    PS: Incentive os comentários, deixando registrada sua avaliação!

  • Complemento

    Segundo a ISO 27002, "

    2.7 incidente de segurança da informação>um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação

    2.16 ameaça:causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização

    2.17 vulnerabildade:fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças"

  • LETRA C.

    Em palavras mais simples, conforme SÊMOLA.


    Segundo Sêmola(2014,p.46),"Vulnerabilidades: São fragilidades presentes ou associadas a ativos que manipulam e/ou processam informações que, ao serem exploradas por ameaças, permitem a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios da segurança da informação: confidencialidade, integridade e disponibilidade."


    Bibliografia:

    GESTÃO DA SEGURANÇA DA INFORMAÇÃO-UMA VISÃO EXECUTIVA-MARCOS SÊMOLA-2 EDIÇÃO-2014-ED. CAMPUS.

  • Gabarito C

    Em segurança de computadores, uma vulnerabilidade é uma fraqueza que permite que um atacante reduza a garantia da informação de um sistema. Vulnerabilidade é a interseção de três elementos: uma suscetibilidade ou falha do sistema, acesso do atacante à falha e a capacidade do atacante de explorar a falha.[1] Para explorar uma vulnerabilidade, uma atacante deve ter pelo menos uma ferramenta ou técnica aplicável que possa conectar a uma fraqueza do sistema. Desta forma, vulnerabilidade também é conhecida como superfície de ataque.

    Vulnerabilidade é definida como uma condição que, quando explorada por um atacante, pode resultar em uma violação de segurança. Exemplos de vulnerabilidades são falhas no projeto, na implementação ou na configuração de programas, serviços ou equipamentos de rede. Um ataque de exploração de vulnerabilidades ocorre quando um atacante, utilizando-se de uma vulnerabilidade, tenta executar ações maliciosas, como invadir um sistema, acessar informações confidenciais, disparar ataques contra outros computadores ou tornar um serviço inacessível.(http://cartilha.cert.br/ataques/)

    Gerenciamento de vulnerabilidade é a prática cíclica de identificar, classificar, remediar e mitigar vulnerabilidades.[2] Esta prática geralmente refere-se a vulnerabilidades de softwarenos sistemas de computador. Esta mesma pode ser explorada em um determinado sistema ou serviço vulnerável que esteja rodando na máquina.

    As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
195391
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Uma equipe de desenvolvimento de software recebeu a
incumbência de desenvolver um sistema com as características
apresentadas a seguir.

* O sistema deverá ser integrado, interoperável, portável e
seguro.
* O sistema deverá apoiar tanto o processamento online, quanto
o suporte a decisão e gestão de conteúdos.
* O sistema deverá ser embasado na plataforma JEE (Java
enterprise edition
) v.6, envolvendo servlets, JSP (Java server
pages
), Ajax, JSF (Java server faces) 2.0, Hibernate 3.5, SOA
e web services.

O líder da equipe iniciou, então, um extenso processo de
coleta de dados com o objetivo de identificar as condições
limitantes da solução a ser desenvolvida e tomar decisões
arquiteturais e tecnológicas que impactarão várias características
funcionais e não funcionais do sistema, ao longo de seu ciclo de
vida. A partir dessa coleta, o líder deverá apresentar à equipe um
conjunto de informações e de decisões.

A respeito de práticas e técnicas de programação para desenvolver
com segurança o sistema integrado referido no texto, julgue os
próximos itens.

No projeto a ser desenvolvido, será apropriado adotar a revisão estática de código, pois tal abordagem produz resultados precisos, objetivos e completos acerca do grau de vulnerabilidade do código analisado, especialmente quando se utilizam ferramentas de software de análise estática que simulem o comportamento da aplicação a partir de seu código-fonte.

Alternativas
Comentários
  • Uma das boas práticas para o desenvolvimento de sistemas é a de testar o código o mais cedo possível. Nesta linha a revisão estática de código é uma técnica que se adotada continuamente contribui para a melhoria da qualidade de código produzido. Ela pode ser feita manualmente utilizando a programação em pares, ou de forma automatizada, com o uso de uma ferramenta de software que apresenta as seguintes vantagens:

    1. Utilização de uma base padrão de regras para a revisão de código

    2. Execução da revisão de código de forma automatizada durante a geração do "build" do software

    3. Estabelece uma cultura voltada às boas práticas de codificação, evitando a geração de códigos ruins.

  • No projeto a ser desenvolvido, será apropriado adotar a revisão estática de código, pois tal abordagem produz resultados precisos, objetivos e completos acerca do grau de vulnerabilidade do código analisado, especialmente quando se utilizam ferramentas de software de análise estática que simulem o comportamento da aplicação a partir de seu código-fonte.

    Errado

    As ferramentas de análise estática de código permitem que mais códigos sejam processados por meio da automação, mas as descobertas são rigorosamente limitadas pelo conjunto de padrões predefinidos de tipos conhecidos de problemas. Com freqüência, os resultados também podem conter vários falso-positivos que dificultam a solução de problemas com recursos limitados.

    http://msdn.microsoft.com/pt-br/magazine/cc163312.aspx
  • hum... ok! Errei, mas realmente, "resultados precisos" deu uma forçada na barra

  • Dizer que ...tal abordagem (revisão estática de código) produz resultados precisos, objetivos e completos acerca do grau de vulnerabilidade do código analisado... é forçar a barra demais, hein!

  • ✅Gabarito(Errado)

    No projeto a ser desenvolvido, será apropriado adotar a revisão estática de código, pois tal abordagem produz resultados precisos, objetivos e completos acerca do grau de vulnerabilidade do código analisado, especialmente quando se utilizam ferramentas de software de análise estática que simulem o comportamento da aplicação a partir de seu código-fonte.

    Na análise estática de código não existe a simulação do comportamento, ou seja, a simulação do comportamento é algo dinâmico, relacionado a execução da aplicação, que já deixa de ser estático.

    ➥ Segue uma afirmação a respeito:

     A análise estática de código é uma das práticas que verifica a qualidade do código-fonte. Esta verificação é realizada antes mesmo que haja execução do software (um conceito oposto ao dos testes unitários, que validam o software com base no resultado de sua execução).

     Considera-se, portanto, que a análise estática de código está relacionada à verificação, pois analisa como o código-fonte foi construído internamente.

    Fonte: https://www.devmedia.com.br/como-adotar-a-analise-estatica-de-codigo/32727


ID
205495
Banca
FEPESE
Órgão
SEFAZ-SC
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação protege as organizações contra uma ampla gama de ameaças, para assegurar a continuidade dos negócios, minimizar prejuízos e maximizar o retorno de investimentos e oportunidades comerciais.

A respeito dos conceitos de segurança da informação, assinale a alternativa correta.

Alternativas
Comentários
  • a) A propriedade é confidencialidade e não cinfiabilidade.

    c) Perfis biométricos são controles físicos e não lógicos.

    d) Todos os ativos não DEVEM ser classificados de acordo com esses critérios, na realidade eles PODEM ser classificados.

    e) Uma autenticação multifator vai depender da relação custo-benefício, ou seja, nem sempre deve-se implantar essa técnica.

  • a) A falha em um mecanismo de segurança PODE SER uma violação da confiabilidade. Os mecanismos de segurança (ex: criptografia, certificação digital) implementam serviços (confidencialidade, integridade, disponibilidade, não-repúdio...). Um contra-exemplo da assertiva poderia ser uma falha na assinatura digital (um mecanismo de segurança) e esse mecanismo nem assegura confidencialidade.
    c) Técnicas baseadas em perfis biométricos (impressão digital) e as técnicas que utilizam dispositivos especiais (smartcard). são controles físicos e não lógicos.
    d) Todos os ativos de INFORMAÇÃO não DEVEM ser classificados de acordo com esses critérios, na realidade eles PODEM ser classificados. Tanto que existem outras duas classificações de INFORMAÇÃO que já foram até cobradas em outros concursos
    Classificação comum
    • Pública – qq um tem acesso
    • Interna – informação nossa interna, mas se for divulgada fora não traz nenhum problema. Ex: confraternização de fim de ano
    • Confidencial – informação mais sigilosa de uma organização
    • Secreta – informação sigilosa, mas não de uma organização, mas, sim, de um estado. Segredo de estado
    OBS: classifica de acordo com o que tem maior sensibilidade (sigilo) caso tenha mais de um será pelo mais sigiloso
    Classificação com base no Decreto 4553 (são informações já sensíveis, cobrada pela ABIN)
    • Reservada
    • Confidencial
    • Secreta
    • Ultrassecreta
    Do menos sensível para o mais sensível
    e) As áreas de segurança CONVÊM SEREM protegidas por controles físicos de entrada (nenhum controle é obrigatório, são recomendações, vide norma 27002). Outro erro encontrado na assertiva diz respeito à autenticação forte. Para uma autenticação ser considerada forte, deve possuir dois ou mais dos seguintes requisitos de autenticação: algo que eu sei; algo que eu sou; algo que eu tenho. A senha seria algo que eu sei já a identificação é genérica, até mesmo poderia ser uma senha ou algo que eu sou (identificação por íris) ou crachá de acesso (algo que eu possuo). Mas de qualquer forma existiriam diversas outra formas de se ter uma identificação forte e NÃO sempre senha e identificação como afirma a questão.
  • Prezados,

    Engenharia social é uma técnica por meio da qual uma pessoa procura persuadir a outra a executar determinada ações. Ela é considerada uma prática de má-fé, usada por golpistas para tentar explorar a ganância, a vaidade e a boa-fé ou abusar da ingenuidade e da confiança de outras pessoas, a fim de aplicar golpes, ludibriar ou obter informações sigilosas importantes. 
    Dessa forma , vemos que as vulnerabilidades causadas por erro humano são mais fáceis de explorar que as controladas por máquinas , e assim, mais difíceis de prevenir e detectar.

    Portanto a alternativa correta é a letra B



ID
205498
Banca
FEPESE
Órgão
SEFAZ-SC
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Cada vez mais as organizações e seus sistemas de informação e redes enfrentam ameaças de segurança vindas das mais diversas fontes.

Em relação ao gerenciamento de riscos, assinale a alternativa correta.

Alternativas
Comentários
  • a) Conceito de ameça e não de risco.

    b) Não são apenas os atos intencionais que são analisados. Qualquer ato, mesmo que seja não intencional, que possa ameaçar a segurança deverá ser analisado.

    c) O ataque smurf é ativo e visa provocar um DoS.

    d) DoS não viola a confidencialidade  e worms nada tem a ver com Dos.

  • A letra (E) é bastante discutível, uma vez que a norma 27.001 define os requisitos para implantar um Sistema de gestão de Segurança da Informação. Quem define boas práticas e norma 27.002.

  • Caro ' pedro jose',

    O gerenciamento de riscos baseia-se em princípios e boas práticas de gerenciamento e segurança para auxiliar na tomada de decisões estratégicas.
    No contexto da letra (E) o examinador refere-se a 'gerenciamento de riscos' de uma maneira genérica e não a uma norma específica. Portanto, correta a afirmação.
    Dentre as boas práticas, destaca-se a norma ISO 27001 que define o modelo PDCA (Plan-Do-Check-Act), um procedimento cíclico para gestão da segurança da informação
    Aqui não há o que discutir, pois a norma 27001 estabelece um SGSI (Sistema de Gestão de Segurança da Informação) que deve ser implementado através do ciclo PDCA para melhoria contínua.
  • Complementando o que Thiago falou, preciso falar uma coisa que muita gente esquece. A Norma ISO/IEC 27001 tem em seu anexo A todos os objetivos de controle da 27002. Ou seja, no fringir dos ovos, a 27001 define um SGSI e tem ainda todos o controles que devem ser implementados.

    Trecho da norma 27001 que se refere ao anexo A:

    Os objetivos de controle e controles listados na tabela A.1 são derivados diretamente e estão alinhados com
    aqueles listados na ABNT NBR ISO/IEC 17799:2005 – seções 5 a 15.


    Bons estudos a todos.
  • O foco da ISO 27001 é um conjunto de controles para serem utilizados na auditoria da segurança da informação.

    a norma que cobre as boas práticas é a ISO 27002.

    a letra E está meio dubia... mas diante das outras todas serem claramente falsas... marcaria E
  • Até onde eu sei, a ISO 27001 não trata de boas práticas, e sim de controles que DEVEm ser implementados. Boas práticas são da norma 27002.

    Portanto a letra E é duvidosa não?

    Alguem comenta ?!

    Abc
  • O que a letra e) quis dizer: É uma boa prática de segurança e de gerenciamento adotar a Norma ISO 27001 para o gerenciamento de riscos e a gestão de segurança da informação. Isso está correto e é diferente de dizer que a Norma ISO 27001 seja um guia de boas práticas.
  • a) De acordo com o PMBok, RISCO é um evento/condição INCERTA que , se ocorrer, terá um efeito POSITIVO ou NEGATIVO em pelo menos um objetivo do projeto. Um risco não é necessáriamente algo ruim.
    b) Riscos podem ser intensionais ou acidentais.
    c) O ataque smurf é DoS. Porém as respostas aos pings são eviadas não para o computador do atacante e sim da vítima. O ataque a portar TCP abertas é o scanner de portas.
    d) Os ataques DoS violam a DISPONIBILIDADE somente.
    e) Correto.
  •  a) Risco é qualquer circunstância ou evento com o potencial intencional ou acidental de explorar uma vulnerabilidade específica, resultando na perda de confidencialidade, integridade ou disponibilidade.

    Errado. Esta é a definição de ameaça, não de risco. A série ISO 27000 define risco como a probabilidade e consequência de ocorrência de um evento de segurança potencialmente danoso à instituição, como a exploração de uma vulnerabilidade de algum ativo por alguma ameaça natural, intencional ou acidental.
     
     b) Durante a análise de riscos, um especialista faz uso sistemático da informação para identificar as fontes (ameaças e vulnerabilidades) e estimar o risco (determinação de probabilidades e análise de impactos). Na avaliação de riscos, somente atos intencionais que podem produzir violações de segurança são analisados.

    Errado. A primeira parte da proposta é correta, mas a avaliação de risco, conforme a ISO 27005 (link aqui), deve ser feita sobre possíveis atos intencionais, acidentais ou naturais.
     
     c) O ataque smurf é classificado como um ataque passivo, uma vez que este é caracterizado pelo envio de pacotes ICMP falsificados com o objetivo de identificar vulnerabilidades na rede, tais como portas TCP abertas.

    Errado. A questão descreve mapeamento de rede. No smurff, o atacante manda um ping para diversas máquinas simultaneamente, mas solicitando resposta para a máquina atacada:

     d) Os perigosos ataques de negação de serviço (Denial of Service - DoS) visam violar duas propriedades de segurança - a disponibilidade e a confidencialidade. Ataques por inundação (flooding), por reflexão e ataques que exploram vulnerabilidades específicas, como os worms, são exemplos de ataques DoS.

    Errado. A negação de serviço viola disponibilidade, mas a confidencialidade da informação pode ser mantida por outros métodos, como criptografia. 
     
     e) O gerenciamento de riscos baseia-se em princípios e boas práticas de gerenciamento e segurança para auxiliar na tomada de decisões estratégicas. Dentre as boas práticas, destaca-se a norma ISO 27001 que define o modelo PDCA (Plan-Do-Check-Act), um procedimento cíclico para gestão da segurança da informação

    Ok. Não procurei saber por que a questão foi anulada, mas n me parece haver nada errado com esta alternativa. 
  • Asdrubal, quem fala de boas práticas eh a 02!


ID
224590
Banca
FCC
Órgão
METRÔ-SP
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre segurança da informação, considere:

I. Ameaça: algo que possa provocar danos à segurança da informação, prejudicar as ações da empresa e sua sustentação no negócio, mediante a exploração de uma determinada vulnerabilidade.

II. Vulnerabilidade: é medida pela probabilidade de uma ameaça acontecer e o dano potencial à empresa.

III. Risco: ponto pelo qual alguém pode ser atacado, molestado ou ter suas informações corrompidas.

Está correto o que consta APENAS em

Alternativas
Comentários
  • Alternativa CORRETA letra D

    Em relação as definições incorretas, vejamos:

    Vulnerabilidade são as fraquezas presentes nos ativos de informação, que podem causar, intencionalmente ou não, a quebra de um ou mais dos três princípios de segurança da informação: confidencialidade, integridade, e disponibilidade.

    Risco é um termo abrangente, que é utilizado por dezenas de disciplinas relativas a segurança. No contexto de Segurança da Informação risco é tudo aquilo que pode acontecer em um momento futuro, associado ao seu impacto potencial.

  • Risco é a medida da exposição à qual o sistema computacional está
    sujeito. Depende da probabilidade de uma ameaça atacar o sistema e
    do impacto resultante desse ataque.
    Sêmola (2003, p. 50) diz que risco é a “probabilidade de ameaças
    explorarem vulnerabilidades, provocando perdas de
    confidencialidade, integridade e disponibilidade, causando,
    possivelmente, impactos nos negócios”. Como exemplo de um
    risco pode-se imaginar um funcionário insatisfeito e um martelo ao seu
    alcance; nesse caso o funcionário poderia danificar algum ativo da
    informação. Assim pode-se entender como risco tudo aquilo que traz
    danos às informações e com isso promove perdas para a organização

    Risco: é medido pela probabilidade de uma ameaça acontecer e
    causar algum dano potencial à empresa.
    Existem algumas maneiras de se classificar o grau de risco no mercado
    de segurança, mas de uma forma simples, poderíamos tratar como alto,
    médio e baixo risco. No caso do nosso exemplo da sala dos servidores,
    poderíamos dizer que, baseado na vulnerabilidade encontrada, a
    ameaça associada é de alto risco.

  • vulnerabilidade é uma fragilidade que poderia ser explorada por umaameaça para concretizar um ataque.

    O conhecimento do maior número de vulnerabilidades possíveis permite
    à equipe de segurança tomar medidas para proteção, evitando assim
    ataques e conseqüentemente perda de dados. Não há uma receita ou
    lista padrão de vulnerabilidades. Esta deve ser levantada junto a cada
    organização ou ambiente em questão. Sempre se deve ter em mente o
    que precisa ser protegido e de quem precisa ser protegido de acordo
    com as ameaças existentes.
    Podemos citar, como exemplo inicial, uma análise de ambiente em uma
    sala de servidores de conectividade e Internet com a seguinte
    descrição: a sala dos servidores não possui controle de acesso físico!!
    Eis a vulnerabilidade detectada nesse ambiente.

  • ***Ameaça é algo que possa provocar danos à segurança da informação,
    prejudicar as ações da empresa e sua sustentação no negócio,
    mediante a exploração de uma determinada vulnerabilidade.
    Em outras palavras, uma ameaça é tudo aquilo que pode
    comprometer a segurança de um sistema, podendo ser acidental
    (falha de hardware, erros de programação, desastres naturais, erros do
    usuário, bugs de software, uma ameaça secreta enviada a um endereço

    incorreto etc) ou deliberada (roubo, espionagem, fraude, sabotagem,
    invasão de hackers, entre outros).
    Ameaça pode ser uma pessoa, uma coisa, um evento ou uma ideia
    capaz de causar dano a um recurso, em termos de confidencialidade,
    integridade, disponibilidade etc. Seguindo o exemplo da sala dos
    servidores, poderíamos identificar a ameaça da seguinte forma:
    fraudes, sabotagens, roubo de informações, paralisação dos serviços.
    Basicamente existem dois tipos de ameaças: internas e externas.
     

  • Item correto letra D

    Nos itens II e III o examinador inverteu os conceitos, sendo correto afirmar:

    Vulnerabilidade: ponto pelo qual alguém pode ser atacado, molestado ou ter suas informações corrompidas;

    Risco: é medido pela probabilidade de uma ameaça acontecer e o dano potencial à empresa.
  • Não vou nem entrar no mérito das outras opções pois estão bem óbvias, mas RISCO, é caracterizado como a probabilidade de algo NEGATIVO ou POSITIVO de ocorrer.

    Exemplo: Se eu roubar uma casa, eu corro o risco de ser preso. Mas se eu jogo na megasena, eu corro o risco de ficar milionário.

    É isso !!

    Bons estudos a todos !!
  • Perfeito Marcelo!

    Todavia, salienta-se que, até onde sei, para as normas de segurança o risco é no sentido negativo, apenas. Não é na mesma visão do PMBOK, por exemplo,onde risco é algo ruím ou, num outro cenário, uma oportunidade. Tanto é que as ações de tratamento de riscos, na visão da norma 27005, são reduzir, reter (aceitar), eliminar ou transferir, não há nada como explorar, melhorar ou compartilhar - estes previstos no PMBOK como ações para riscos "positivos".
  • Palavra chave para o RISCO: probabilidade
    que é medido seguindo a equação:

    R = VAI / M  (V=Vulnerabilidade; A=Ameaça; I=Impacto; M=Medida de Segurança | Dica: vai a merda)


ID
229927
Banca
UFF
Órgão
UFF
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

No tocante às vulnerabilidades, aquela que está relacionada com a montagem de sites falsos ou envio de mensagens de e-mail, fazendo se passar como se fossem empresas legítimas a fim de solicitar aos usuários seus dados confidenciais, é conhecida como:

Alternativas
Comentários
  • B) correto

    Em computação, phishing é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir fotos e musicas e outros dados pessoais , ao se fazer passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial. Isto ocorre de várias maneiras, pricipalmente por email, mensagem instantânea, SMS, dentre outros.

    Em informática Pharming é o termo atribuído ao ataque baseado na técnica DNS cache poisoning (envenenamento de cache DNS) que, consiste em corromper o DNS (Sistema de Nomes de Domínio ou Domain Name System) em uma rede de computadores, fazendo com que a URL (Uniform Resource Locator ou Localizador Uniforme de Recursos) de um site passe a apontar para um servidor diferente do original.

    Ao digitar a URL (endereço) do site que deseja acessar, um banco por exemplo, o servidor DNS converte o endereço em um número IP, correspondente ao do servidor do banco. Se o servidor DNS estiver vulnerável a um ataque de Pharming, o endereço poderá apontar para uma página falsa hospedada em outro servidor com outro endereço IP, que esteja sob controle de um golpista.

    Os golpistas geralmente copiam fielmente as páginas das instituições, criando a falsa impressão que o usuário está no site desejado e induzindo-o a fornecer seus dados privados como login ou números de contas e senha que serão armazenados pelo servidor falso
     

  • Um Worm (verme, em português), em computação, é um programa auto-replicante, semelhante a um vírus. Enquanto um vírus infecta um programa e necessita deste programa hospedeiro para se propagar, o Worm é um programa completo e não precisa de outro para se propagar.

    Um worm pode ser projetado para tomar ações maliciosas após infestar um sistema, além de se auto-replicar, pode deletar arquivos em um sistema ou enviar documentos por email.

    A partir disso, o worm pode tornar o computador infectado vulnerável a outros ataques e provocar danos apenas com o tráfego de rede gerado pela sua reprodução – o Mydoom, por exemplo, causou uma lentidão generalizada na Internet no pico de seu ataque.


    Sniffers ou farejadores são softwares muito úteis. Tão grande é a utilidade deles, que até os sistemas de IDS (como o Snort) são feitos com base em sniffers. Um sniffer é um programa que consegue capturar todo o tráfego que passa em um segmento de uma rede. Para tornar mais fácil o entendimento,

     

  • CURIOSIDADE

    O que é um "sniffer"?

    Programas que permitem monitorar a atividade da rede registrando nomes (username, e senhas) sempre que estes acessam outros computadores da rede.

    Estes programas ficam monitorando ("xeretando") o tráfego da rede para capturar acessos a serviços de redes, tais como: serviço de email remoto (IMAP, POP), acesso remoto (telnet, rlogin, etc), transferência de arquivos (FTP), etc. Acessos feitos, pacotes capturados. Sempre com o objetivo de pegar a identificação de acesso a conta do usuário.

    Quando sua senha pode ser capturada por "sniffers"?

    Muitas redes locais (LANs) são configuradas compartilhando um mesmo segmento de rede Ethernet. Praticamente qualquer computador desta rede pode executar um programa "sniffer" para "roubar" senhas dos usuários. "Sniffers" atuam monitorando o fluxo de comunicação entre os computadores da rede para descobrir quando alguém utiliza os serviços de rede mencionados anteriormente. Cada um destes serviços utiliza um protocolo que define como uma sessão é estabelecida, como sua conta é identificada e autenticada e como o serviço é utilizado.

    Para ter acesso a um destes serviços, você primeiro tem que efetuar um "log in". É na sequência de login -- a parte de autenticação destes protocolos, a qual ocorre no início de cada sessão -- que os "sniffers" estão interessados, porque é nesta parte que está a sua senha. Portanto, é só filtrar as "strings" chaves que a senha é obtida.
     

  • Na minha avaliação a questão deveria ser anulada, pois tanto um como o outro ( B e D ) estão presentes no enunciado da questão.


    No ataque de Phishing o URL de um site malicioso é transmitido ao utilizador através de mensagens de correio electrónico, janelas publicitárias, comentários em redes sociais, programas de mensagens instantâneas ou outros conteúdos.

    No ataque de Pharming o atacante altera a correspondência entre um URL legítimo e um endereço IP, de forma que o URL de um site fidedigno passa a estar associado ao endereço IP de um site malicioso. Depois, quando alguém toma a iniciativa de utilizar o URL do site fidedigno os dados são dirigidos para o site malicioso. O Pharming é muito mais transparente que o Phishing porque, ao contrário deste, não expõe conteúdos adicionais (mensagens, páginas publicitárias, etc.) para ludibriar o utilizar. E torna-se mais difícil de detectar porque associa um nome habitualmente válido - o URL de um site fidedigno - a um endereço IP fraudulento.
  • Não pode ser pharming. Nele, há violação do servidor de DNS, fazendo com que a vítima seja redirecionada para outro endereço IP que não é o correspondente à URL digitada.
    Por isso é o phising. A questão afirma apenas que há a montagem do site falso para obtenção dos dados, não está dito que houve alteração do DNS.
  • Phishing é o estelionato da informatica.


ID
230038
Banca
FUNCAB
Órgão
PRODAM-AM
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Na gestão de risco, o registro da debilidade no sistema atual de proteção em relação a todas as ameaças em potencial, é realizado durante a atividade:

Alternativas
Comentários
  • Registra-se a fragilidade (debilidade) do sistema quando avalia-se as vulnerabilidades dos ativos. 
    Isso ocorre na fase de Análise de riscos.
  • Lembrei do conceito de vulnerabilidade segundo a norma ISO 27002.

    Complemento

    Segundo a ISO 27002, "

    2.7 incidente de segurança da informação>um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação

    2.16 ameaça:causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização

    2.17 vulnerabildade:fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças"


  • LETRA B. 

    Segundo ISO 27005,"8.2.1.5 Identificação das vulnerabilidades

    Entrada: Uma lista de ameaças conhecidas, listas de ativos e controles existentes.

    Ação: Convém que as vulnerabilidades que podem se exploradas por ameaças para comprometer os ativos ou a organização sejam identificadas (refere-se à ABNT NBR ISO/IEC 27001, Seção 4.2.1 d) 3)).

    "


ID
235972
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à análise de risco em segurança da informação, considere os tipos de risco a seguir.

I. Dano físico, como fogo, vandalismo e desastres naturais.
II. Perda de dados, seja intencional ou não.
III. Falha de equipamento.
IV. Risco de mercado e perda de investimento.

Assinale:

Alternativas
Comentários
  • O risco de mercado e a perda de investimento deve ser levado em consideração âmbito empresarial e de estratégia de negócios, mas não no âmbito da segurança da informação. A norma ISO 27005 compreende os demais riscos citados na questão.
    Portanto, a letra A está correta.
  • Adriana o seu argumento está correto porém sua conclusão não. O gabarito é a letra A mesmo!
    O enunciado enfatiza ˜análise de risco em segurança da informação˜.
  • É mesmo, tinha trocado o gabarito do comentário. Mas agora já corrigi. Valeu.

  • Discordo.
    7.2 Critérios básicos
    Critérios para avaliação de riscos
    Convém que os critérios para a avalição de riscos sejam desenvolvidos para avaliar os riscos de segurança da informação na organização, considerando os seguintes itens:
    ...
    Expectativas e percepções das partes interessadas e consequências negativas para o valor de mercado (em especial, no que se refere aos fatores intangíveis desse valor), a imagem e a reputação.

    Critérios de impacto
    Convém que os critérios de impacto sejam desenvolvidos e especificados em função do montante dos danos ou custos à organização causados por um evento relacionado a segurança da informação, considerando o seguinte:
    ...
    Perda de oportunidades de negócio e de valor financeiro
    Dano à reputação

    Não há essa dissociação da segurança da informação e do negócio.
    Essa visão míope da tecnologia da informação é combatida pelos conceitos e pilares da Governança de TI.

    Se há na organização um ativo que possua riscos associados ao mercado ou a investimentos, a partir da análise/avaliação de riscos serão definidos controles/tratamento para ele.
    O problema é que quem fez a questão também é portador dessa miopia da TI.
  • Concordo com o Leonardo Marcelino Teixeira, 
    Mas a questão não afrontou esse princípio, pois da Governança deve se preocupar com o negócio mas somente com o que estiver sob sua alçada.
    Ao meu ver, o erro da alternativa IV está no "Risco de mercado", que é definido como "a possibilidade de ocorrência de perdas resultantes da flutuação nos valores de mercado de posições ativas e passivas detidas pelas instituições financeiras (..). O risco de mercado inclui os riscos das operações sujeitas à variação cambial, taxa de juros, preços das ações e dos preços de mercadorias (commodities)."
    Portanto, o Risco de Mercado é algo que vai muito além das capacidades de prevenção de qualquer empresa.
  • Segundo a norma 27005, em sua parte introdutória, o processo de gestão de riscos em segurança da informação faz parte de um processo maior, presente nas organizações: O processo de gestão de riscos corporativos. Sendo assim, os itens I, II e III são questões afetas à area de atuação do processo de gestão de segurança da informação, enquanto o item IV é gerido e tratado pelo processo de gestão de riscos corporativos.
  • Gabarito A

    Risco de mercado e perda de investimento, não são risco de Segurança da Informação.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
235975
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Ao elaborar uma análise de risco, a principal abordagem em relação às ameaças deve ser de que:

Alternativas
Comentários
  • LETRA D.

    Segundo a ISO 27005,"

    8.2 Análise de riscos

    8.2.1 Identificação de riscos

    8.2.1.3 Identificação das ameaças

    Diretrizes para implementação:

    Convém que tanto as fontes das ameaças acidentais, quanto as intencionais, sejam identificadas. Uma ameaça pode surgir de dentro ou de fora da organização. Convém que as ameaças sejam identificadas genericamente e por classe (por exemplo: ações não autorizadas, danos físicos, falhas técnicas) e, quando apropriado, ameaças específicas identificadas dentro das classes genéricas. Isso significa que, nenhuma ameaça é ignorada, incluindo as não previstas, mas que o volume de trabalho exigido é limitado."

  • Gabarito D

    Muito óbvio.

     

    Vamos na fé !

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • ✅Gabarito(D) 

    Atualizando a resposta de acordo com a norma 27005 atualizada.

    8.2 Identificação de riscos

    8.2.3 Identificação das ameaças

    Diretrizes para implementação:

    Convém que as ameaças sejam identificadas genericamente e por classe (por exemplo, ações não autorizadas, danos físicos, falhas técnicas) e, quando apropriado, ameaças específicas identificadas dentro das classes genéricas. Isso significa que, nenhuma ameaça é ignorada, incluindo as não previstas, mas que o volume de trabalho exigido é limitado.

    Fonte: NORMA BRASILEIRA ABNT NBR ISO/IEC 27005 Terceira Edição 24.10.2019


ID
235981
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da análise de risco em segurança da informação, considere os objetivos a seguir.

I. Identificar os bens e seus valores.
II. Identificar vulnerabilidades e ameaças.
III. Quantificar a probabilidade e o impacto nos negócios das ameaças potenciais.
IV. Oferecer um equilíbrio econômico entre o impacto da ameaça e do custo da prevenção.

São objetivos principais da análise de risco:

Alternativas
Comentários
  • Todos os itens estão descritos na sessão 8.2 da norma ISO 27005

  • Gabarito E

    ISO 27005 descrita certinha... olhar a sessão 8.2.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • ✅Gabarito(Certo) 

    Nem todos os itens estão mencionados no tópico 8.2 como mencionado nos comentários anteriores.

    8 Processo de avaliação de riscos de segurança da informação

    8.2 Identificação de riscos

    8.2.2 Identificação dos ativos

     Identificar os bens e seus valores.

    8.2.3 Identificação das ameaças

     Identificar vulnerabilidades e ameaças.

    8.2.5 Identificação das vulnerabilidades

     Identificar vulnerabilidades e ameaças.

    8.3 Análise de riscos

    8.3.2 Avaliação das consequências

    Quantificar a probabilidade e o impacto nos negócios das ameaças potenciais.

    Oferecer um equilíbrio econômico entre o impacto da ameaça e do custo da prevenção.

    ➥ Assim, aos ativos podem ser atribuídos valores correspondendo tanto aos seus custos financeiros, quanto às consequências ao negócio se forem danificados ou comprometidos.

    ➥ O valor do impacto ao negócio pode ser expresso de forma qualitativa ou quantitativa, porém um

    método para designar valores monetários geralmente pode fornecer mais informações úteis para a

    tomada de decisões e, consequentemente, permitir que o processo de tomada de decisão seja mais

    eficiente.

    Fonte: ABNT/CB-21 PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) AGOSTO:2011

  • A questão levou como base a versão de 2008 em que a Análise de Riscos possuia as etapas de Identificação e Estimativa de riscos.


ID
235984
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No campo da análise de risco em segurança da informação, assinale a alternativa que apresenta a explicação verdadeira a respeito do conceito por trás da sigla ARO.

Alternativas
Comentários
  • Annualized Rate of Occurrence (ARO).

  • ALTERNATIVA C

    Para podermos avaliar o risco para um período mais longo de tempo precisamos
     estimar também o número de ocorrências da ameaça em questão que esperamos sofrer ao longo deste período. Esse período é normalmente de um ano e o número é representado pelo ARO (Annualized Rate Occurrence ) 
  • link para o conteúdo: http://hercules-now.com/2010/01/12/gestao-de-riscos-%E2%80%93-topico-1-6/
  • Para podermos avaliar o risco para um período mais longo de tempo precisamos estimar também o número de ocorrências da ameaça em questão que esperamos sofrer ao longo deste período. Esse período é normalmente de um ano e o número é representado pelo ARO (Annualized Rate Occurrence) . Se esperarmos que a ameaça ocorra 10 vezes por ano então trabalhamos com um ARO igual a 10. Se esperamos que a ameaça ocorra uma vez a cada cinco anos, trabalhamos com um ARO de 0,2 (1 dividido pó 5). 
  • Annualized Rate of Occurrence (Definition)

    The probability that a risk will occur in a particular year.

    For example, if insurance data suggests that a serious fire is likely to occur once in 25 years, then the annualized rate of ocurrence is 1/25 = 0.04.

  • Gabarito C

    SLE (Single Loss Expectancy – Expectativa de uma única perda): dinheiro que se espera perder caso um incidente ocorra uma vez.

    ARO (Annual Rate of Occurrence – Taxa anual de ocorrência): quantas vezes dentro de um período de um ano se espera que o incidente ocorra.

    ALE (Annual Loss Expectancy – Expectativa de perda anual): dinheiro que se espera perder em um ano considerando o SLE e o ARO (ALE = SLE * ARO). Para a avaliação de risco quantitativa, este é o valor do risco.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
235987
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Ao atribuir valores aos bens da corporação, não é determinante o custo:

Alternativas
Comentários
  • Não existe recuperação de uma ameaça, uma ameaça não tira de operação um sistema ou uma empresa. Portanto não há do que se recuperar.
    Estaria correto se fosse recuperação de um incidente.
  • Alguém tem algo sobre essa questão? A recuperação de uma ameça não tem um valor?

  • Gabarito E

    Na verdade Anne, existem ameaças que as empresas não querem ter que arcar com a recuperação... elas já têm isso como separadas e determinadas para uma eventual perda.

    Espero ter ajudado.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Fonte? mas q porr@ é essa?

ID
236032
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale, dentre as alternativas a seguir, a única que não corresponde a um objetivo da realização de uma análise de risco.

Alternativas
Comentários
  • Complicado é saber qual a profundidade da questão.
    Em uma acepção genérica do conceito análise de risco a resposta correta coaduma com o gabarito.
    No entanto, em uma conceituação mais específica a atividade de análise de riscos se divide em:
    1. Identificação de riscos

    1.1 identificar os ativos
    1.2 identificar as ameaças
    1.3 identificar os controles existentes
    1.4 identificar as vulnerabilidades
    1.5 identificar as consequências

    2. Estimativa de riscos

    E a partir disso teremos:
    a) Avaliação do custo/benefício da medidas preventivas: tratamento
    b) Quantificação do impacto de eventuais ameaças: análise (estimativa)
    c) Identificação dos riscos: análise
    d) Definição dos cargos de confiança: ? fora do escopo
    e) Estudo de mecanismos de proteção: ?tratamento
  • Gabarito D

    Fala sério, questão dada... a única opção que não se encaixa é a letra D.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
236038
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale a alternativa que indica corretamente o tipo de análise de risco que se refere à definição "O método que atribui valores monetários para os itens na avaliação de risco".

Alternativas
Comentários
  • Bseado no conceito dos processo de Realizar a Análise Qualitativa de Riscos e Realizar a Análise Quantitativa do  PMBok, presentes na área de conhecimento Gestão de Risco do Projeto, podemos chegar a reposta.

     Realizar a Análise Qualitativa de Riscos: Avalia a prioridade dos riscos identificados com base na probabilidade de ocorrerem e seu impacto nos objetivos do projeto.

    Realizar a Análise Quantitativa: Após a priorização feita pela análise qualitativa a análise quantitativa atribuí uma classificação numérica a esses riscos.
  • Tá, mas isso não diz que tem que ser valores monetários... por tem que ser exatamente a letra a?
  • Análise e Avaliação de Risco

    Durante o processo de Analise e Avaliação de Riscos é que serão feitos todos os levantamentos em relação as ameaças, vulnerabilidades, probabilidades e impactos aos quais os ativos estão sujeitos , esse é o processo mais trabalhoso  e de maior duração da Gestão de Riscos.

    Todas as informações identificadas aqui irão embasar decisões estratégicas e táticas relacionadas a segurança um erro nesse processo pode levar a julgamentos incorretos,comprometendo a efetividade de todo o programa de segurança de uma organização.

    Existem dois métodos que podem ser utilizados para executar esse processo: Quantitativo e Qualitativo

    Método Quantitativo – A métrica do risco é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco. Como resultado, o risco é representado em termos de possíveis perdas financeiras, isto é, em termos monetários. Método Qualitativo – Nesse método usarmos valores numéricos para estimar os componentes do risco, trabalharmos como menções mais subjetivas como alto, médio e baixo. Dessa forma, não há a necessidade que se levantem valores numéricos para os componentes do risco, o que torna o processo muito mais rápido.

    Nesse tipo de analise, os resultados dependem muito do conhecimento do profissional que atribui as notas aos componentes do risco que foram levantados. Por isso , a necessidade de se ter profissionais capacitados no processo é maior.

    Nesse exemplo temos os dois componentes do risco, impacto e probabilidade, sendo avaliados por meios de formas subjetivas. No caso da probabilidade, temos ainda seus dois componentes, ameaça e vulnerabilidade, também avaliados da mesma forma.

    Uma tabela entrecruzando os julgamentos leva uma escala numérica que , por sua vez, é avaliada perante uma segunda tabela que define o que é risco alto, médio e baixo.

    Essa tabela é baseada em três níveis de notas.Porem não significa que esse seja um modelo –padrão. Existe um consenso de que três níveis são insuficientes e mais do que cinco tornam o processo desnecessariamente complicado.
    Fonte:http://hercules-now.com/2010/01/12/gestao-de-riscos-%E2%80%93-topico-1-6/

  • Que lembre no PMBOK ele não cita a necessidade de estimar valores MONETÁRIOS na análise quantitavida e sim pesos atribuídos aos riscos.
  • A Norma 27005 não deixa isso claro - pelo menos não vi.
    Mas é importante não misturar ISO 27005 com PMBok.

    Acredito que, como a Avaliação Quantitativa traz valores numéricos, ela traduz maior granularidade de informação e acaba criando indicadores mais precisos, inclusive financeiro. A Avaliação Qualitativa dá uma dimensão nominal (baixo, médio ou alto risco), sendo mais rápida de implementar e não abrangendo detalhes específicos.
    Assim, daria para multiplicar "probabilidade 3 x impacto 4 x valor R$", mas não "probabilidade médio x impacto alto x valor R$".

  • Resposta: A

    -------------------------------------------

    Segundo a NBR ISO/IEC 27005

    8.2.2 Estimativa de riscos

    8.2.2.1 Metodologias para a estimativa de riscos

    b) Estimativa quantitativa:

    A estimativa quantitativa utiliza uma escala com valores numéricos (e não as escalas descritivas usadas na estimativa qualitativa)


  • Gabarito A

    Análise Qualitativa = Subjetiva

    Depois de termos identificado os riscos do projeto, iremos realizar a análise qualitativa dos riscos. Este é o processo de priorização dos riscos para análise ou ação adicional através da avaliação e combinação de sua probabilidade de ocorrência e impacto. Neste processo, faremos uma análise subjetiva com o propósito de priorizar riscos a partir da probabilidade de impacto medida durante a análise dos riscos e, também, determinar o que precisa ser analisado quantitativamente ou não antes de ser construído o plano de resposta aos riscos.

    As Entradas

    As entradas deste processo são o plano de análise de riscos, o registro dos riscos, a linha de base do escopo e os ativos de processos organizacionais. Com o plano de gerenciamento dos riscos temos o como fazer a análise e como priorizar os riscos, pois no plano encontraremos a matriz de impacto e e probabilidade. A linha de base do escopo irá nos apresentar as entregas que precisam de maior atenção devido a “estranhezas”, como tecnologias modernas ou entregas que nunca foram geradas pela organização. O registro dos riscos é fundamental, pois a partir do registro poderá ser feita a análise e a priorização. Por fim temos os ativos de processos organizacionais, que irão nos dar os subsídios para a elaboração da análise.

    As Técnicas

    As técnicas são seis: avaliação de probabilidade e impacto dos riscos, matriz de probabilidade e impacto, avaliação de qualidade dos dados sobre os riscos, categorização dos riscos, avaliação da urgência dos riscos e opinião especializada.

    Quando falamos em avaliação de probabilidade, acredito que seja mais importante apresentar a fórmula ER=P*I . Determinar probabilidades é algo subjetivo, mas uma vez que você tenha chegado ao número provável, pode ser produzido o Escore de Risco (ER) multiplicando a probabilidade (P) pelo impacto (I). É na matriz de probabilidade e impacto que podemos de fato utilizar a fórmula, pois iremos definir escalas de probabilidade e escalas de impacto. Em artigos futuros iremos apresentar no detalhe as ferramentas e técnicas, por ora é importante você manter em mente que tendo determinado as escalas, pode calcular o escore facilmente e, em consequência, montar sua matriz de probabilidade e impacto.

    Avaliar a qualidade dos dados sobre os riscos é validar os dados relacionados aos riscos. Categorizar os riscos é aprofundar o trabalho iniciado na identificação dos riscos a partir da matriz de impacto e probabilidade para poder utilizar este trabalho como entrada para o planejamento de resposta aos riscos. A avaliação da urgência dos riscos é a aplicação de uma escala pré-determinada de urgência ao escore de risco (ER) por meio da fórmula ER=P*I*U, sendo U a escala de urgência. Por fim, como quase sempre, temos a opinião especializada que, mais uma vez, dispensa comentários.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
238429
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, relativos a vulnerabilidades e ataques a
sistemas computacionais, bem como à proteção oferecida pela
criptografia para a segurança da informação.

As técnicas usadas para verificar a integridade de dados contra dano acidental, tais como os checksums, podem por si só ser usadas para garantir a integridade dos dados contra mudanças intencionais.

Alternativas
Comentários
  • MUDANCAS NAO INTENCIONAIS

  • Os checksums podem ser entendidos como uma espécie de função hash, então uma função hash gera colisões ok?

    Nesse caso é possível que alguém intencionalmente tente encontrar um conjunto de dados que tenha o mesmo checksum, e troque aqueles dados por estes.

  •  T. Renegado imagino que exista um ataquen mais simples ainda. 
    O atacante modifica a mensagem calcula o checksum para essa nova mensagem e substitui o checksum original por esse checksum novo.
  • Amigos o erro se encontra neste trecho "[...] os checksums, podem por si só [...]"

    Se este trecho acima fosse verdade, não haveria motivo para serem desenvolvidas as técnicas de função hash(que visa garantir a integridade dos dados).

    Segundo Kurose(2010,p.505),"A função hash recebe uma entrada,m, e computa uma cadeia de tamanho fixo H(m) conhecida como hash. A soma de verificação da Internet e os CRCs satisfazem essa definição. [...] É bom nos convencermos de que uma simples soma de verificação,como a da Internet,daria um péssimo algoritmo de resumo de mensagem."

    **Portanto, um Checksum, que é uma forma de verificar a integridade dos dados, não consegue por si só garantir a integridade de uma informação, sendo necessário o uso de tecnicas criptográficas, em especial, o uso de funções hash.

    Bibliografia:

    KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet: Uma Abordagem Top-Down. 5. ed. São Paulo: Pearson, 2010.

  • Prezados,

    A questão é interessante, mas ela afirma que apenas o checksum seria suficiente para garantir a integridade do arquivo e isso não é verdade. O checksum é uma soma de verificação com intuito de verificar se houve alterações entre o arquivo original e o arquivo recebido, então , normalmente, quando você quer baixar um arquivo você pode baixar junto o checksum e comparar depois , mas nada impediria que o atacante que teve acesso ao arquivo original , gerar um novo checksum de forma que em sua checagem , você acreditasse que está com o arquivo integro.



    A alternativa correta é : ERRADO.

  • GABARITO: ERRADO.

  • comentário do professor

    A questão é interessante, mas ela afirma que apenas o checksum seria suficiente para garantir a integridade do arquivo e isso não é verdade. O checksum é uma soma de verificação com intuito de verificar se houve alterações entre o arquivo original e o arquivo recebido, então , normalmente, quando você quer baixar um arquivo você pode baixar junto o checksum e comparar depois , mas nada impediria que o atacante que teve acesso ao arquivo original , gerar um novo checksum de forma que em sua checagem , você acreditasse que está com o arquivo integro.

  • Meus queridos, a assertiva erra ao afirmar que a técnica do checksums por si só garante a integridade d informação, entretanto, sabemos que isso não é verdade. 

    Resposta: Errado


ID
240490
Banca
FCC
Órgão
TRT - 22ª Região (PI)
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação ao processo de resposta a incidentes de segurança, a etapa de mitigação tem como objetivo

Alternativas
Comentários
  • mitigar - 
    v. tr. Abrandar (o que é mau de sofrer), suavizar, atenuar.
    (fonte dicionário online priberam)


    No Processo de resposta a incidentes pressupõe-se que o incidente já ocorreu. Então, mitigar (suavizar, atenuar) com uma solução temporária, até que a solução definitiva seja implementada é o correto a se fazer.

    t+
  • a) restabelecer o sistema, mesmo que seja com uma solução temporária, até que a solução definitiva seja implementada. Mitigação
    b) detectar e/ou identificar a existência de um incidente de segurança, com base em notificações externas ou em ferramentas de monitoração de rede. Identificação.
    c) coletar e analisar as evidências do incidente de segurança. Investigação
    d) identificar os danos causados pelo incidente e determinar ações que possivelmente podem resolver o incidente em andamento. Coordenação
    e) avaliar o processo de tratamento de incidentes e verificar a eficácia das soluções implementadas.Educação

    Fonte: "
    O processo de tratamento de incidentes de segurança da UFRGS." http://tri.ufrgs.br/files/ifis.pdf

ID
240493
Banca
FCC
Órgão
TRT - 22ª Região (PI)
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

É um aplicativo usado tanto pelas áreas de segurança, para análise de vulnerabilidades, quanto por pessoas mal intencionadas, para identificarem portas abertas e planejarem invasões:

Alternativas
Comentários
  • PortScan é um programa pequeno e simples que localiza todos os dispositivos ativos em uma rede. O utilitário procura e lista também todas as portas abertas, além de fornecer informações adicionais referentes a serviços HTTP, FTP, SMTP, SNMP, SMB, etc

     

    ALTERNATIVA B

  • Exemplo de um Port Scanner é o Nmap. 
  • Programas usados para varrer um computador para saber quais serviços estão habilitados naquele micro que se deseja invadir. Ao ato de varredura, em si, é chamado de Port Scan.Usando um port scanner em seu micro, um invasor pode ter certeza de quais serviços estão sendo servidos no micro-alvo e, com isso, pode desenhar a melhor estratégia para a invasão com base nas portas que estão abertas (lembre-se de que cada serviço é prestado através de uma porta específica).Normalmente, os port scanners não participam da invasão em si, mas são peças-chave no  processo de pré-invasão (ou seja, na preparação para o processo de invasão).


    Fonte: Prof. Joao Antonio


ID
241870
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação, julgue os itens seguintes.

Define-se vulnerabilidade em um ambiente computacional como a causa potencial de ocorrer um incidente indesejado, a qual pode resultar, ou não, em prejuízos para uma organização e seus ativos.

Alternativas
Comentários
  • O que foi dito na questão refere-se a risco e não vulnerabilidade. Vejam abaixo algumas definições importantes da ISO 27002:


    Risco – combinação da probabilidade de um evento e de suas consequências.
    nAmeaça – causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.

    Vulnerabilidade – fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

    Evento de segurança da informação – ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.

    Incidente de segurança da informação – um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação

  • O colega leoh abaixo deifiniuy muito bem os conceitos da ISO 27002, apenas se confundiu que a questão se refere a ameaça e não risco, como ele mesmo postou nas definições.

    []'s

  • A questão refere-se à ameaça!!!
  • Vulnerabilidade: são fraquezas presentes nos ativos de informação (tecnologia, pessoas, processos e ambientes).
    Ameaça: agente externo ao ativo de informação que se aproveita das vulnerabilidades para quebrar o CID (confidencialidade, integridade ou disponibilidade).
    Incidente: ocorrência de um evento que possa causar interrupções ou prejuízos aos processos de negócio.
    Impacto: potenciais prejuizos causados por um incidente.

    A questãoi afirma que vulnerabilidade é a causa de ocorrer um incidente. Deveria estar correta.


  • Complemento para estudo (Relação Ameaça x Vulnerabilidade)(Algo além dos conceitos mencionados pelos demais colegas)

    Segundo a ISO 27005, 8.2.1.5 Identificação das vulnerabilidades"

    A presença de uma vulnerabilidade não causa prejuízo por si só, pois precisa haver uma ameaça presente para explorá-la. Uma vulnerabilidade que não tem uma ameaça correspondente pode não requerer a implementação de um controle no presente momento, mas convém que ela seja reconhecida como tal e monitorada, no caso de haver mudanças. Note-se que um controle implementado, funcionando incorretamente ou sendo usado incorretamente, pode, por si só, representar uma vulnerabilidade. Um controle pode ser eficaz ou não, dependendo do ambiente no qual ele opera. Inversamente, uma ameaça que não tenha uma vulnerabilidade correspondente pode não resultar em um risco."

  • ✅Gabarito(Errado)

    Ameaça

    Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.

    Fontes: ABNT/CB-21 PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) AGOSTO:2011


ID
252196
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da prevenção e do tratamento de incidentes, julgue
os itens seguintes.

Uma medida preventiva é a realização periódica de avaliações de vulnerabilidade, com a prospecção ativa destas, na forma de testes de penetração e intrusão.

Alternativas
Comentários
  • ASSERTIVA CORRETA

    Testes de penetração
    As invasões “reais” são realizadas por pessoas com alto nível de conhecimento técnico, com focos específicos em determinadas instalações ou empresas. Existe vários motivos pessoal,  por questões financeiras, na intenção de cometer fraudes ou até mesmo contratados por empresas concorrentes para espionagem ou sabotagem.



    Testando o sistema de detecção de intrusão ( IDS )

    Sistema de Detecção de Intrusão ( IDS – Intrusion Detection Systems ) permite a notificação quando da ocorrência de tentativas de intrusão segundo a verificação de certos padrões de ataque que podem ser configurados dependendo da ferramenta que se está utilizando.

     

  • Complentando o comentário abaixo, o teste de penetração pode ser feito para fins benéficos. Uma organização pode contratar uma empresa para realizar um teste de penetração no sistema. Após os testes é entregue um relatório com sugestões para melhorar a segurança

ID
271120
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de planejamento, identificação e análise de riscos, julgue
os itens subsecutivos.

Riscos residuais referem-se aos riscos para os quais ainda não foram estabelecidos controles dentro do tratamento de riscos.

Alternativas
Comentários
  • Os controles foram estabelecidos, porém não garantem 100% de redução do risco.

    Os riscos sem tratamento são riscos aceitáveis, pois o impacto seria muito baixo ou o seu tratamento muito alto. Geralmente são riscos pouco prováveis. Ex.: Um terremoto.
  • Risco residual é um risco remanescente, ou seja, um risco mínimo que ainda permanece após a implementação de uma resposta a um risco. Os riscos residuais são aceites pelo gestor de projetos, pois são riscos com um baixo impacto e/ou uma baixa probabilidade de ocorrer. Caso ocorra, o projeto dispõe da reserva de contingência para lidar com estas situações.
  • A palavra "ainda" é crucial para esta questão. Para os riscos residuais (riscos restantes) não têm controles estabelecidos, estes riscos são aceitos pela organização.
  • Conforme a IS 27005:2011,"3.8 risco residual: risco remanescente após o tratamento do risco."

    Conforme dicionários remanescente quer dizer os que ficaram,sobraram,restaram.

     

    **Portanto, risco residual é aquele que resta mesmo após um tratamento de riscos.


ID
271123
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de planejamento, identificação e análise de riscos, julgue
os itens subsecutivos.

A transferência de riscos envolve a decisão de transferir o ônus de determinados riscos para terceiros, deixando a cargo destes a atividade de monitoração dos riscos transferidos.

Alternativas
Comentários
  • A transferência de riscos envolve a decisão de transferir o ônus de determinados riscos para terceiros, deixando a cargo destes a atividade de monitoração dos riscos transferidos.

    Imagine um seguro de carro: voce transfere o onus a um terceiro mas a seguradora jamais ficará monitorando seu carro. É você que o vigia
  • Errada.
    A monitoração do risco permanece, embora o ônus de sua ocorrência seja de terceiros.
  • Amigos não seria um dos erros o trecho " transferir o ônus"?

    Olhem o que encontrei na ISO 27005.

    3. Termos e Definições

    3.9

    transferência do risco: compartilhamento com uma outra entidade do ônus da perda ou do benefício do ganho associado a um risco.

    **Não seria o compartilhamento do ônus, ao invés da transferência do ônus? Eu interpreto transferir como algo que se passa de um para o outro, já compartilhar tem a ver com dividir, logo coisas diferentes.

  • O ônus é compartilhado. Pense no seu carro, que tem seguro. Vc bateu e o seguro cobre. A pergunta é: quem tem o transtorno de ficar sem carro e ter que acionar a seguradora, correr atrás de mecânico para fazer orçamento, pagar o reparo? São ambos (vc e a seguradora).


ID
271126
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação a plano de continuidade de negócio, julgue os itens
seguintes.

As análises/avaliações de risco do plano de continuidade do negócio devem envolver os responsáveis pelos processos e recursos do negócio. É importante que essas análises/avaliações não se limitem aos recursos de processamento da informação, mas incluam os resultados específicos da segurança da informação.

Alternativas
Comentários
  • De acordo com a própria norma ISO 27002:

    "14.1.2  Continuidade de negócios e análise/avaliação de riscos
    (..)
    Diretrizes para implementação
    (..)
    Convém que as análises/avaliações de riscos da continuidade do negócio sejam realizadas com total envolvimento dos responsáveis pelos processos e recursos do negócio. Convém que a análise/avaliação considere todos os processos do negócio e não esteja limitada aos recursos de processamento das informações, mas inclua os resultados específicos da segurança da informação."
  • Realmente, está na página 104 da Norma, como o companheiro Rafael aqui acima postou.

    Para baixar a norma (sem garantia de atualizações), acesse:

    http://www.mediafire.com/download/aat15rajyf5olc0/NBR_ISO_27002+para+impress%C3%A3o.pdf

    Bons estudos e sucesso, galera!
  • Copiaram colaram do livro abaixo

    https://uploaddeimagens.com.br/imagens/Pfn3n4E


ID
309808
Banca
CESPE / CEBRASPE
Órgão
TJ-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca do gerenciamento de segurança da informação, julgue os
itens a seguir.

Para que um incidente de segurança se caracterize, é necessária a concretização de ameaça que, por meio de vulnerabilidade presente em um dos ativos do ambiente tecnológico, gere impacto aos objetivos organizacionais.

Alternativas
Comentários
  • Correto.
    Um incidente é caracterizado quando ocorre a concretização da ameaça. Sem o fato, é apenas uma ameaça, não sendo entendido como incidente.
  • Alternativa correta.

    Incidente: situação que pode representar ou levar à interrupção de negócios, perdas, emergências ou crises. 

    Ameaça: causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.

    Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

    Impacto: consequência avaliada de um evento em particular.
  • Não concordo com esse gabarito. Segundo a Norma ISO 27002:

    Incidente de segurança da informação 
    um  incidente  de  segurança  da  informação  é  indicado  por  um  simples  ou  por  uma  série  de  eventos  de 
    segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer 
    as operações do negócio e ameaçar a segurança da informação 

    "...que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação ..."

    Pelo que se lê desse trecho dá a entender que para que ocorra um incidente não necessariamente tem que haver um impacto causado pela ameaça. 

    Portanto, segundo a norma, apenas a probabilidade de acontecer já configura o incidente.

    Só se a questão retirou esse conceito de algum outra referência, a qual não encontrei.
  • A queståo esta correta. 
    Cuidado com a interpretação da norma.
    Apenas a probabilidade de acontecer NÃO configura o incidente.
  • Quando uma AMEAÇA -> por meio de uma VULNERABILIDADE -> atinge um ATIVO -> acaba gerando um IMPACTO.
    Isso tudo é um incidente.

    O IMPACTO pode OU NÃO vir a gerar um dano (real ou potencial).

    A quebra da confiabilidade, por exemplo, é um impacto, mesmo sem causar dano, gerou um incidente.
  • Com esses dois trechos aqui dá para matar. 

    Segundo a ISO/IEC 27001,P.10,"

    3.6 incidente de segurança da informação:um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação"

    Segundo a ISO/IEC 27005,P.16,8.2.1.3 Identificação das ameaças,"Algumas ameaças podem afetar mais de um ativo. Nesses casos, elas podem provocar impactos diferentes, dependendo de quais ativos são afetados."

    Segundo a ISO/IEC 27005,P.18, 8.2.1.5 Identificação das vulnerabilidades,"

    A presença de uma vulnerabilidade não causa prejuízo por si só, pois precisa haver uma ameaça presente para explorá-la.

    "

  • Pronto... Não deu para chegar a uma conclusão.
    Alguém que concorda com o gabarito pode fundamentar sua posição mostrando alguma fonte confiável ?

  • Eu concordo com o gabarito.

    Segundo Sêmola(2014,p.48),"Incidente: Fato(evento) decorrente da ação de uma ameaça,que explora um ou mais vulnerabilidades, levando à perda de princípios da segurança da informação: confidencialidade, integridade e disponibilidade.Um incidente gera impactos aos processos de negócio da empresa, sendo ele o elemento a ser evitado em uma cadeia de gestão de processos e pessoas."


    Bibliografia:

    GESTÃO DE SEGURANÇA DA INFORMAÇÃO-UMA VISÃO EXECUTIVA-2 EDIÇÃO-2014-MARCOS SÊMOLA.

  • O que não gostei nessa questão foi a obrigatoriedade de todo incidente gerar impacto nos objetivos da organização. Se falasse que há chance de gerar esse impacto acho que ficaria mais coerente.


ID
319705
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No processo de gerenciamento de riscos, os riscos classificados como técnicos referem-se a

Alternativas

ID
320839
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à segurança da informação, assinale a opção correta.

Alternativas
Comentários
  • b) A avaliação de riscos deve abranger o que deve ser protegido e contra o quê. Porém, não deve levar em consideração o esforço, o tempo e os recursos necessários.
    Análise/ avaliação de risco: processo completo de análise e avaliação de riscos.
    Avaliação de riscos: Processo de comparar o risco estimado com critérios de riscos pré- definidos para determinar a importância do risco.

     c) Vulnerabilidade é uma feature de um software que, quando explorada, pode levar a comportamento não desejado.
    Vulnerabilidade: fragildade de umativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

    d) O risco de um ataque é proporcional à sua facilidade de execução.
    Risco: combinação da probabilidade de um evento e de suas consequências

    e) A ameaça é o produto do risco pelo custo da proteção.
    Ameaça: causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.
  • Mais uma mal formulada do CESPE

    Quando falamos em política de seguraça da informação devemos nos ater a um documento proposto pela alta cúpula da organização, ou seja, estamos aqui no nível estratégico, onde somente serão expostos macro-conceitos que serão desmembrados mais tarde.

    Deste modo teremos:

    4.ESTRUTURA NORMATIVA

    Os documentos que compõem a estrutura normativa são divididos em três categorias:

    a) Política (nível estratégico): constituída do presente documento, define as regras de alto nível que representam os princípios básicos que a organização decidiu incorporar à sua gestão de acordo com a visão estratégica da alta direção. Serve como base para que as normas e os procedimentos sejam criados e detalhados;

    b) Normas (nível tático): especificam, no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes da política;

    c) Procedimentos (nível operacional): instrumentalizam o disposto nas normas e na política, permitindo a direta aplicação nas atividades da organização.

    Definitivamente não caberá para o documento de política definições dispostas na questão 

    OK?


ID
327115
Banca
FUNCAB
Órgão
IDAF-ES
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Antes que uma empresa comprometa recursos com segurança, é necessário saber quais ativos exigem proteção e o quanto estes estão vulneráveis.Nesse contexto, é necessário:

Alternativas

ID
334765
Banca
FCC
Órgão
TRT - 14ª Região (RO e AC)
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo os autores Kenneth Wyk e Richard Forno [Keneth R. Wyk 2001], o processo de resposta a incidentes de segurança deve se constituir das etapas de Identificação, Coordenação, Mitigação, Investigação e Educação. Nesse sentido, considere:
I. A equipe concentra-se em identificar os sintomas do ataque e suas características, observando a severidade do incidente a partir do uso de notificações externas ou em um conjunto de ferramentas de monitoração.

II. A equipe concentra-se em identificar os danos causados pelo incidente para diagnosticar, de forma preliminar, a causa do problema ou, pelo menos, inferir conclusões que serão úteis para determinada ação a ser tomada.
Os itens I e II associam-se, respectivamente, às etapas de

Alternativas
Comentários
  • 1. Identificação: cabe a esta etapa detectar ou identificar de fato a existˆencia de um incidente de seguranc¸a. Para isso a equipe pode basear-se em notificac¸ ˜oes externas ou num conjunto de ferramentas de monitorac¸ ˜ao de rede, como um IDS (sistema de detecc¸ ˜ao de intrus˜ao). Os esforc¸os da equipe concentram-se em identificar os sintomas do ataque e suas caracter´?sticas, observando a severidade do incidente, ou seja, o quanto a estrutura de neg´ocios da instituic¸˜ao ´e afetada. Recomenda-se tamb´em que o time de resposta a incidentes implemente uma base de conhecimento de incidentes, isto ´e, um conjunto de registros de incidentes passados. Essa base de conhecimento ser´a ´util para levantar informac¸ ˜oes iniciais dos incidentes em andamento, assim como sintomas e caracter´?sticas.
    2. Coordenação: ap´os identificar a existˆencia de um incidente e suas conseq¨uˆencias na etapa anterior, cabe `a equipe identificar os danos causados pelo incidente em quest˜ao. A avaliac¸ ˜ao dos sintomas coletados permite diagnosticar de forma preliminar a causa do problema, ou pelo menos inferir algumas conclus˜oes que ser˜ao ´uteis para determinar a ac¸ ˜ao a ser tomada. De forma conclusiva, esta etapa sugere poss´?veis ac¸ ˜oes que possivelmente podem resolver o incidente em andamento.
    3. Mitigação: o objetivo desta etapa ´e isolar o problema e determinar a extens˜ao dos danos atrav´es da implementac¸ ˜ao da soluc¸ ˜ao delineada na etapa anterior. Al´em de utilizar procedimentos para isolar o incidente - evitando a propagac¸ ˜ao do ataque -, a equipe tamb´em busca restabelecer o sistema, mesmo que seja com uma soluc¸˜ao tempor´aria, at´e que a soluc¸ ˜ao definitiva seja implementada.
    4. Investigação: nesta etapa, o time de resposta concentra-se em coletar e analisar as evidˆencias do incidente de seguranc¸a. O processamento de evidˆencias como registros, arquivos de pacotes capturados e at´e mesmo entrevistas com os respons´aveis s˜ao muito importantes para a resoluc¸ ˜ao de futuros incidentes com caracter´?sticas semelhantes.
    5. Educação: esta etapa consiste em avaliar o processo de tratamento de incidentes e verificar a efic´acia das soluc¸ ˜oes implementadas. As lic¸ ˜oes aprendidas durante todo o processo devem ser propagadas para toda a equipe, descrevendo formas de obter melhores resultados e at´e mesmo recomendac¸ ˜oes aos usu´arios.
    Fonte: http://tri.ufrgs.br/files/ifis.pdf
    Fonte
     


ID
349321
Banca
FUNDEP (Gestão de Concursos)
Órgão
CODIUB
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Numere a COLUNA II de acordo com a COLUNA I associando os componentes de risco às suas definições.

COLUNA I

1. Risco de desempenho

2. Risco de apoio

3. Risco de cronograma

COLUNA II

( ) Incerteza de que o produto atenda seus requisitos e de que seja adequado ao uso planejado.

( ) Incerteza quanto ao prazo de entrega.

( ) Incerteza de que o produto será fácil de corrigir, adaptar e aperfeiçoar. 


Assinale a alternativa que apresenta a sequência de números CORRETA.

Alternativas

ID
369904
Banca
CESPE / CEBRASPE
Órgão
TCE-RN
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas NBR ISO/IEC 27.001 e 27.002, de gestão de segurança da informação, e à norma de risco NBR ISO/IEC 27.005, julgue o item a seguir.


A implantação de um sistema de gestão de segurança da informação envolve a análise de riscos na infraestrutura de tecnologia da informação, a fim de identificar os pontos vulneráveis e as falhas nos sistemas, que devem ser corrigidos, bem como definir processos para detectar e responder a incidentes de segurança, juntamente com os procedimentos para auditorias.

Alternativas
Comentários
  • Código Eleitoral:

    DAS JUNTAS ELEITORAIS

           Art. 36. Compor-se-ão as juntas eleitorais de um juiz de direito, que será o presidente, e de 2 (dois) ou 4 (quatro) cidadãos de notória idoneidade.

           § 1º Os membros das juntas eleitorais serão nomeados 60 (sessenta) dia antes da eleição, depois de aprovação do Tribunal Regional, pelo presidente deste, a quem cumpre também designar-lhes a sede.

           § 2º Até 10 (dez) dias antes da nomeação os nomes das pessoas indicadas para compor as juntas serão publicados no órgão oficial do Estado, podendo qualquer partido, no prazo de 3 (três) dias, em petição fundamentada, impugnar as indicações.

           § 3º Não podem ser nomeados membros das Juntas, escrutinadores ou auxiliares:

           I - os candidatos e seus parentes, ainda que por afinidade, até o segundo grau, inclusive, e bem assim o cônjuge;

           II - os membros de diretorias de partidos políticos devidamente registrados e cujos nomes tenham sido oficialmente publicados;

           III - as autoridades e agentes policiais, bem como os funcionários no desempenho de cargos de confiança do Executivo;

           IV - os que pertencerem ao serviço eleitoral.

           Art. 37. Poderão ser organizadas tantas Juntas quantas permitir o número de juizes de direito que gozem das garantias do Art. 95 da Constituição, mesmo que não sejam juizes eleitorais.

           Parágrafo único. Nas zonas em que houver de ser organizada mais de uma Junta, ou quando estiver vago o cargo de juiz eleitoral ou estiver este impedido, o presidente do Tribunal Regional, com a aprovação deste, designará juizes de direito da mesma ou de outras comarcas, para presidirem as juntas eleitorais.

  • Código Eleitoral:

        Art. 40. Compete à Junta Eleitoral;

           I - apurar, no prazo de 10 (dez) dias, as eleições realizadas nas zonas eleitorais sob a sua jurisdição.

           II - resolver as impugnações e demais incidentes verificados durante os trabalhos da contagem e da apuração;

           III - expedir os boletins de apuração mencionados no Art. 178;

           IV - expedir diploma aos eleitos para cargos municipais.

           Parágrafo único. Nos municípios onde houver mais de uma junta eleitoral a expedição dos diplomas será feita pelo que for presidida pelo juiz eleitoral mais antigo, à qual as demais enviarão os documentos da eleição.

           Art. 41. Nas zonas eleitorais em que for autorizada a contagem prévia dos votos pelas mesas receptoras, compete à Junta Eleitoral tomar as providências mencionadas no Art. 195.

  • ✅Gabarito(Certo) 

    O SGSI abrange um conjunto de processos e procedimentos, baseado em normas ISO, para prover segurança no uso dos ativos tecnológicos de uma empresa. Tal sistema deve ser seguido por todos aqueles que se relacionam direta ou indiretamente com a infraestrutura de TI da organização.

    Toda essa orientação está prevista no SGSI, onde sua implantação envolve primeiramente:

    1. Análise de riscos na infraestrutura de TI para identificar os pontos vulneráveis e as falhas nos sistemas que deverão ser corrigidos.
    2. Processos para detectar e responder aos incidentes de segurança assegurando, em casos emergenciais, o pronto restabelecimento dos sistemas e o acesso seguro às informações
    3. Procedimentos para auditoria.

    Fonte: https://www.redbelt.com.br/blog/2017/08/14/gestao-de-seguranca-da-informacao/


ID
370999
Banca
FCC
Órgão
TCE-GO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Em um processo de análise de riscos em TI, uma avaliação da vulnerabilidade depende das avaliações

Alternativas
Comentários
  • Segundo a ISO 27005, o processo de análise de riscos possui o subprocesso Identificação de riscos (8.2.1) que é composto pelas seguintes atividades:
    8.2.1.2 Identificação dos ativos
    8.2.1.3 Identificação das ameaças
    8.2.1.4 Identificação dos controles existentes
    8.2.1.5 Identificação das vulnerabilidades
    8.2.1.6 Identificação das consequências
  • Segundo a resposta do colega acima, as respostas B) e C) estariam corretas. Caberia recurso? Sim.
    O que poderia ser argumentado é a diferença entre controles e controles existentes.

    A falta de um controle sobre um ativo ou conjunto de ativos é considerada uma vulnerabilidade do ativo.
    Por exemplo, a falta de um perímetro de segurança dada por um firewall numa rede caracteriza uma vulnerabilidade da rede.
  • Repensando nessa questão e usando aquela velha tecnica de resoluções da FCC, acho que a resposta é a letra C porque:

    A avaliação de vulnerabilidades realmente depende das avaliações de ativos, ameaças e controles, respectivamente. Visto de maneira ordenada a letra C está MAIS correta, pois elenca itens mais básicos para a avaliação de vulnerabilidades nos quais esta depende mais.

    PS: Eu concordo que está muito mal formulada a questão e que esse pensando foi totalmente subjetivo, não podendo ser inferido através do comando da questão.
  • Complemento ao leonardo.

    Segundo a ISO 27005, "

    8.2.1.5 Identificação das vulnerabilidades

    Entrada: Uma lista de ameaças conhecidas, listas de ativos e controles existentes."


ID
392152
Banca
Aeronáutica
Órgão
CIAAR
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Durante o processo de análise de risco é necessário fazer uma avaliação dos tipos de riscos e dos riscos possíveis. Associe os tipos de riscos com os riscos possíveis.

Tipos de riscos:
A. Tecnologia
B. Pessoal
C. Ferramentas
D. Estimativas

Riscos possíveis:
( ) A taxa de reparo de defeito foi subestimada.
( ) O treinamento necessário não está disponível.
( ) O banco de dados usado no sistema não suporta a quantidade de transações que o sistema demanda.
( ) Não será possível integração de CASE.

Alternativas
Comentários
  •  d) D – B – A – C.


ID
459652
Banca
CESPE / CEBRASPE
Órgão
HEMOBRÁS
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança da informação, julgue os próximos itens.

Vulnerabilidades são fragilidades em ativos da informação que podem permitir a concretização de ameaças, colocando em risco os ativos de uma organização.

Alternativas
Comentários
  • Certo

    Vulnerabilidade é a fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

    Vulnerabilidade = Ponto Fraco
    Fraquezas associadas aos ativos da organização.
    Exemplos:
    Contratação inadequada;
    Falta de consultores de Segurança da Informação;
    Falta de monitoramento;
    Proteção física inadequada;
    Energia eletríca instável;
    Falta de backup;
    Armazenamento inadequado.

    Ameaça é a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.

    Ameaças = Chance de Ocorrência
    Exemplos:
    Oferta da concorrênia;
    Doença;
    Chuva forte, raios, furacões;
    Pessoas não autorizadas com acesso;
    Vírus.

ID
480139
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Os indicadores determinantes na análise qualitativa de riscos são representados apenas por

Alternativas
Comentários
  • Meu raciocínio foi o seguinte: o que é financeiro é contabilizável, então é quantitativo, então eliminei todas menos a opção B, a correta.
  • Esta questão estaria mais para PMBOK que SegInfo.
    Para o PMBOK na analise qualitativa dos riscos devemos atribuir um impacto ao risco baseado na probabilidade de uma ameaça explorar uma vulnerabilidade.
    Já na analise quantitativa devemos atribuir um dano financeiro a ocorrencia deste risco
  • Basta verificar o que é passível de ser analisado de forma qualitativa.


ID
495880
Banca
FUMARC
Órgão
BDMG
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação à segurança da informação, analise os itens a seguir, marcando com (V) a assertiva Verdadeira e com (F) a assertiva Falsa.

( ) Avaliação de riscos é o uso sistemático de informações para identificar fontes e estimar o risco.

( ) Análise de riscos é o processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco.

( ) Risco é uma medida que combina a probabilidade de uma determinada ameaça se concretizar com os impactos que ela pode trazer.

( ) O conceito de privilégio mínimo é uma estratégia de proteção que prega que não se deve ficar exposto a situações de risco desnecessárias.

Assinale a alternativa com a sequência CORRETA, de cima para baixo:

Alternativas
Comentários
  • 2.9 risco
    combinação da probabilidade de um evento e de suas conseqüências
    [ABNT ISO/IEC Guia 73:2005]

    2.10 análise de riscos
    uso sistemático de informações para identificar fontes e estimar o risco
    [ABNT ISO/IEC Guia 73:2005]

    2.11 análise/avaliação de riscos
    processo completo de análise e avaliação de riscos
    [ABNT ISO/IEC Guia 73:2005]

    2.12 avaliação de riscos
    processo de comparar o risco estimado com critérios de risco pré-definidos para determinar a importância do risco
    [ABNT ISO/IEC Guia 73:2005]

ID
610048
Banca
CONSULPLAN
Órgão
Chesf
Ano
2007
Provas
Disciplina
Segurança da Informação
Assuntos

Das alternativas abaixo, que tipo de ataque NÃO está em consonância com sua definição?

Alternativas
Comentários
  • http://www.securnet.biz/Ebooks/GuiadoHAcker.pdf

    Resposta Letra b) O sniffers é um utilitário que verifica vulnerabilidades. Pode ser um scanner de sistema quando checa vulnerabilidade na máquina local.


    Snifferes ou Farejadores, é um ataque cuja função é ficar farejando a rede, analisando os pacotes, entradas , saídas e transformando os pacotes em informações humanamente entendíveis.... é por ai
  • O sniffer não foi criado para ser um ataque, mas sim para identificar vulnerabilidades e falhas na rede. A sua utilização para outros fins caracteriza uma ameaça de segurança da informação. O erro do item B está no fato de dizer que o sniffer checa vulnerabilidades na máquina local, quando na verdade, ele o faz naquele segmento de rede.

  • LETRA A: footprinting: realmente, é o levantamento das informações do alvo, é a primeira atapa para o processo de ataque.

     

    LETRA B: sniffers: são ferramentas de analise e monitoração de tráfego de uma rede.

     

    LETRA E: Um exploit geralmente é uma sequência de comandos, dados ou uma parte de um software elaborados por hackers que conseguem tirar proveito de um defeito ou vulnerabilidade. O objetivo, neste caso, é causar um comportamento acidental ou imprevisto na execução de um software ou hardware, tanto em computadores quanto em outros aparelhos eletrônicos.

     


ID
622159
Banca
CESPE / CEBRASPE
Órgão
CBM-DF
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em referência à gestão de riscos e ao plano de continuidade de
negócios, julgue os itens seguintes.

Constitui estratégia válida de mitigação de riscos aquela na qual são considerados aceitáveis incidentes em que os ganhos do atacante são inferiores ao custo do ataque ou cujas perdas estimadas não excedam certo limiar.

Alternativas
Comentários
  • Errada. Claro que o custo do atacante for maior do que os controles de mitigação não será uma estratégia válida!
  • Marquei errado porque apesar do que o item diz ser uma forma de tratamento de riscos, não é uma mitigação. Mitigação seria a implementação de controles que diminuiriam o risco para um patamar aceitável e definido.

    O gabarito definitivo manteve que o item está correto.....fazer o que...
  • Achei errado a questão usar o conceito de INCIDENTE de forma imprópria. Pelo que estudei, incidente, segundo a norma 27002 e 27005, por si só, é algo crítico e exige ações imediatas.

    Se uma suposta violação de segurança, no caso um evento de segurança, é considerável aceitável, então não há incidente, nem incidentes.
  • Pelo meu conhecimento de mitigação de riscos, seria diminuir a probabilidade de determinado risco ocorrer. Nesta questão eu entendo que seria a aceitação do risco, pois estamos aceitando a probabilidade do risco acontecer e temos a conciência que o seu impacto não será superior ao gasto de implementar controles ao mesmo.

    Vai entender...
  • Sob a ótica da aceitação de riscos, a Norma 27005 traz na Seção 7 - "Defiinição do Contexto", alguns "Critérios para a aceitação do risco" que cita que: 

    Convém que a organização defina sua própria escala de níveis de aceitação do risco. Convém que os seguintes tópicos sejam considerados durante o desenvolvimento:
    * Critérios para a aceitação do risco podem incluir mais de um limite, representando um nível desejável de risco, porém precauções podem ser tomadas por gestores seniores para aceitar riscos acima desse nível desde que sob circunstâncias definidas.
    * Critérios para a aceitação do risco podem ser expressos como a razão entre o lucro estimado (ou outro benefício ao negócio) e o risco estimado.
    * Diferentes critérios para a aceitação do risco podem ser aplicados a diferentes classes de risco, por exemplo: riscos que podem resultar em não conformidade com regulamentações ou leis podem não ser aceitos, enquanto riscos de alto impacto poderão ser aceitos se isto for especificado como um requisito contratual.
    * Critérios para a aceitação do risco podem incluir requisitos para um tratamento adicional futuro, por exemplo: um risco poderá ser aceito se for aprovado e houver compromisso de que ações para reduzi-lo a um nível aceitável serão tomadas dentro de um determinado período de tempo.

    Penso que a questão encontra-se correta por esta "liberdade" que a Norma dá a organização de definir a escolha do nível de aceitação do risco, aliado às considerações de razoabilidade e limites estabelecidos.
  • Na minha opinião o item se refere ao conceito de aceitação de risco. Estando, portanto, errado.

    Na norma o conceito de aceitação de risco (ou retenção) é o seguinte (iso 27005 - item 9.3, pag. 20):
    "Convém que as decisões sobre retenção do risco, sem outras ações adicionais, sejam tomadas tendo como base a avalição de riscos"

    Enquanto que o conceito de mitigação de risco (ou redução) é o seguinte (iso 27005 - item 9.2, pag. 19):
    "Convém que o nível de risco seja reduzido através da seleção de controles, para que o risco residual possa ser reavaliado e então considerado aceitável"

    Na questão nenhum controle foi selecionado e foram considerados aceitáveis os riscos com base no custo-beneficio em relação ao ataque, isto é, apenas utilizando um critério de avaliação de risco, sem ser feita qualquer outra ação.
  • Concordo com o companheiro acima. A descrição exposta na questão refere-se à aceitação de riscos, e não à mitigação (redução) de riscos.
  • O problema foi a banca dizer: ˜Constitui estratégia válida para mitigação de riscos aquela ...˜

    Para mim a questão foi mal formulada.

  • Assertiva super Incorreta. E até engraçada ! =D
    Para a assertiva se tornar correta seria:
    Constitui estratégia válida de aceitação de riscos aquela na qual são considerados aceitáveis incidentes em que os ganhos da organização são inferiores aos custos de proteção do ativo ou cujas perdas estimadas não excedam certo limiar.
    Exemplo rápido:
    Tenho um ativo que tem o valor agregado (valor pago por ele + valor que ele gera para a organização) para a organização de 5 mil reais sem nenhum impacto intangível (reputação, imagem, etc.). Compensa pagar 10 Mil para proteger este ativo? Não!


ID
622162
Banca
CESPE / CEBRASPE
Órgão
CBM-DF
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em referência à gestão de riscos e ao plano de continuidade de
negócios, julgue os itens seguintes.

A disseminação para as partes interessadas, o treinamento da equipe responsável e testes da real capacidade de continuidade são ações recomendáveis em um processo de implantação de um plano de continuidade de negócios em uma organização.

Alternativas
Comentários
  • Segundo a ISO 27002,"

    14.1.3 Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação


    Convém que o processo de planejamento da continuidade de negócios considere os seguintes itens:

    a) identificação e concordância de todas as responsabilidades e procedimentos da continuidade do negócio;

    f) educação adequada de pessoas nos procedimentos e processos definidos, incluindo o gerenciamento de crise;

    g) teste e atualização dos planos."

  • CERTO 

    Segundo o guia de segurança da informação do TCU,"

    3.7 Como garantir que o Plano funcionará como esperado?

    É possível citar três formas de garantir a eficácia do Plano de Continuidade do Negócio: 

    -treinamento e conscientização das pessoas envolvidas;

    -testes periódicos do Plano, integrais e parciais; 

    -processo de manutenção contínua.

    "

    http://portal2.tcu.gov.br/portal/pls/portal/docs/2511466.PDF


ID
622165
Banca
CESPE / CEBRASPE
Órgão
CBM-DF
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em referência à gestão de riscos e ao plano de continuidade de
negócios, julgue os itens seguintes.

A presença de ativo com vulnerabilidade explorável e de fonte de ameaça que possa explorar tal vulnerabilidade são condições para a existência de risco em um sistema de informação.

Alternativas
Comentários
  • Risco = Vulnerabilidade + Ameaça
  • Quando existe uma vulnerabilidade e uma ameaça simultaneamente, ocorre o que se chama, em segurança da informação, um RISCO. Risco é o produto vulnerabilidade X ameaça. Assim, se há uma vulnerabilidade (ex: falta de proteção contra terremotos), mas não há ameaça (ex: sabe-se que na área não ocorrem terremotos), o risco é minimizado. O objetivo das contramedidas preventivas é minimizar o risco. Isso se consegue ou diminuindo as vulnerabilidades (instalar antivírus, atualizar as versões, treinar os funcionários) ou - mais raramente - diminuindo as ameaças (seguir regras de segurança, cultivar boas relações...).

    Alternativa: Certa

  • CERTO.

    Segundo a ISO 27005,"3. Termos e Definições

    3.2

    riscos de segurança da informação:a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização"

    **Portanto, o próprio conceito de risco permite concluirmos que a questão está correta.

  • CERTO.

    Outra fonte. 

    Segundo Sêmola(2014,p.48),"Riscos: Probabilidade de ameças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando, possivelmente, impactos nos negócios."


    Bibliografia:

    GESTÃO DE SEGURANÇA DA INFORMAÇÃO-UMA VISÃO EXECUTIVA-2 EDIÇÃO 2014- MARCOS SÊMOLA.


ID
627967
Banca
FCC
Órgão
TCE-SE
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

No processo de Avaliação de Riscos, no qual são executadas as análises da relevância dos riscos identificados nas entidades do setor público, NÃO se inclui

Alternativas

ID
628990
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere aos incidentes de segurança de informação, analise:

I. Considerando os cuidados com os aspectos de confidencialidade, os incidentes de segurança da informação podem ser utilizados em treinamento de conscientização como exemplos do que poderia ocorrer, como responder a tais incidentes e como evitá-los futuramente.

II. Um mau funcionamento ou outras anomalias de comportamento de sistemas podem ser um indicador de um ataque de segurança ou violação de segurança e, portanto, convém que sejam notificados como um evento de segurança da informação.

III. Convém que os funcionários, fornecedores e terceiros sejam alertados para não tentarem averiguar uma fragilidade de segurança da informação suspeita. Testar fragilidades pode ser interpretado como um uso impróprio potencial do sistema e também pode causar danos ao sistema ou serviço de informação, resultando em responsabilidade legal ao indivíduo que efetuar o teste.

IV. Convém que, adicionalmente à notificação de eventos de segurança da informação e fragilidades, o monitoramento de sistemas, alertas e vulnerabilidades seja utilizado para a detecção de incidentes de segurança da informação.

Está correto o que consta em

Alternativas
Comentários
  • Item a item, na ordem mais didática.

    II) ISO 27002, 13.1.1, Informações adicionais - Exemplos de eventos e incidentes de segurança da informação são:

    b) mau funcionamento ou sobrecarga de sistema;
    g) mau funcionamento de software ou hardware;

    I) Logo após a lista de exemplos acima vem um parágrafo que diz exatamente o que o item I da questão traz.

    III) As informações adicionais do item 13.1.2 da norma trazem exatamente o que diz este item da questão.

    IV) Item 13.2.1 da ISO 27002 - Responsabilidades e procedimentos: Convém que, adicionalmente à notificação de eventos de segurança da informação e fragilidades, o monitoramento de sistemas, alertas e vulnerabilidades seja utilizado para a detecção de incidentes de segurança da informação.
  • Apenas complementando o que o colega falou sobre o Item II)
    13.1.2 Notificando fragilidades de segurança da informação
    Controle
    Convém que os funcionários, fornecedores e terceiros de sistemas e serviços de informação sejam instruídos a registrar e notificar qualquer observação ou suspeita de fragilidade em sistemas ou serviços.Diretrizes para implementação Convém que os funcionários, fornecedores e terceiros notifiquem esse assunto o mais rápido possível para sua direção ou diretamente ao seu provedor de serviços, de forma a prevenir incidentes de segurança da informação. Convém que o mecanismo de notificação seja fácil, acessível e disponível sempre que possível.
    Convém que os usuários sejam informados que não podem, sob nenhuma circunstância, tentar averiguar fragilidade suspeita.
    Informações adicionais
    Convém que os funcionários, fornecedores e terceiros sejam alertados para não tentarem averiguar uma fragilidade de segurança da informação suspeita. Testar fragilidades pode ser interpretado como um uso impróprio potencial do sistema e também pode causar danos ao sistema ou serviço de informação, resultando em responsabilidade legal ao indivíduo que efetuar o teste.
  • Só deixando claro que o item III (que foi a que mais fiquei em dúvida) da questão aborda sobre o controle da seção 13. Gestão de Incidentes de Segurança da Informação: 13.1.2 Notificando fragilidades de segurança da informação

    "ControleConvém que os funcionários, fornecedores e terceiros de sistemas e serviços de informação sejam instruídos a registrar e notificar qualquer observação ou suspeita de fragilidade em sistemas ou serviços.

    Diretrizes para implementaçãoConvém que os funcionários, fornecedores e terceiros notifiquem esse assunto o mais rápido possível para sua direção ou diretamente ao seu provedor de serviços, de forma a prevenir incidentes de segurança da informação. Convém que o mecanismo de notificação seja fácil, acessível e disponível sempre que possível. Convém que os usuários sejam informados que não podem, sob nenhuma circunstância, tentar averiguar fragilidade suspeita."

    Bons estudos!


ID
658717
Banca
CESPE / CEBRASPE
Órgão
ANEEL
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, a respeito das características e das ações
relativas a uma organização que possui gestão de riscos e gestão de
continuidade de negócios aderentes às normas ISO/IEC 27005 e
NBR 15999.

Toda informação sobre ativos, ameaças, vulnerabilidades e cenários de risco levantada durante as análises/avaliações de risco deve ser comunicada por meio de uma wiki web acessível no escopo da intranet na organização.

Alternativas
Comentários
  • ✅Gabarito(Errado) 

    12 Monitoramento e análise crítica de riscos de segurança da informação

    12.2 Monitoramento, análise crítica e melhoria do processo de gestão de riscos

    Entrada: Todas as informações sobre os riscos obtidas através das atividades de gestão de riscos

    Diretrizes para implementação:

    Convém que quaisquer melhorias ao processo ou quaisquer ações necessárias para melhorar a conformidade com o processo sejam comunicadas aos gestores apropriados, para que se possa ter certeza que nenhum risco ou elemento do risco será ignorado ou subestimado, que as ações necessárias estão sendo executadas e que as decisões corretas estão sendo tomadas a fim de se garantir uma compreensão realista do risco e a capacidade de reação.

    Fonte: BNT/CB-21 PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) AGOSTO:2011


ID
658726
Banca
CESPE / CEBRASPE
Órgão
ANEEL
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, a respeito das características e das ações
relativas a uma organização que possui gestão de riscos e gestão de
continuidade de negócios aderentes às normas ISO/IEC 27005 e
NBR 15999.

Um dos resultados da avaliação de riscos é a produção de uma declaração de atividades críticas.

Alternativas
Comentários
  • Não é da avaliação de riscos, mas da BIA.

      

    6.2 Análise de impacto no negócio (BIA)
    6.2.1 Convém que a organização defina e documente o impacto de uma interrupção nas atividades que suportam seus produtos e serviços fundamentais. Esse processo é comumente conhecido como análise de impacto nos negócios (BIA).
     

    6.3 Identificação de atividades críticas
    A organização deve categorizar suas atividades de acordo com suas prioridades de recuperação. Aquelas atividades cuja perda, de acordo com os resultados da BIA, teriam o maior impacto no menor tempo e que necessitem ser recuperadas mais rapidamente devem ser chamadas de “atividades críticas”. Cada atividade crítica suporta um ou mais produtos ou serviços principais.
     

    6.5 Avaliando ameaças a atividades críticas (realizando uma avaliação de riscos)
    6.5.1 Em um contexto de GCN, convém que o nível de risco seja entendido especificamente no que diz respeito às atividades críticas da organização e aos riscos de uma interrupção destas. As atividades críticas têm como base recursos como pessoas, instalações, tecnologia, informações, suprimentos e partes interessadas. Convém que a organização entenda as ameaças a esses recursos, as vulnerabilidades de cada recurso e o impacto que haveria se uma ameaça se tornasse um incidente e causasse uma interrupção no negócio.

     

    Fonte: ABNT NBR 15999-1:2007


ID
659983
Banca
FCC
Órgão
TRE-CE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação à vulnerabilidades e ataques a sistemas computacionais, é correto afirmar:

Alternativas
Comentários
    • a) Medidas de segurança podem ser definidas como ações que visam eliminar riscos para evitar a concretização de uma vulnerabilidade.
    • b) O vazamento de informação e falha de segurança em um software constituem vulnerabilidades.
    • c) Roubo de informações e perda de negócios constitui ameaças.
    • d) Medidas de segurança podem ser definidas como ações que visam eliminar vulnerabilidades para evitar a concretização de uma ameaça. CORRETA
    • e) Área de armazenamento sem proteção e travamento automático da estação após período de tempo sem uso constituem ameaça.
  • Com os conceitos, dá pra matar a questão:

    - ameaças: evento ou atitude indesejável (roubo, incêndio, vírus) que potencialmente remove, desabilita, danifica ou destroi um recurso.

    - vulnerabilidades: fraqueza ou deficiência que pode ser explorada por uma ameaça. Pode ser associada à probabilidade da ameaça ocorrer.
  • Acho que a FCC deu uma forçada de barra.
    Medidas de segurança não visam eliminar vulnerabilidades, e sim reduzí-las.
  • Concordo com o Junior, foi uma forçação de barra.
    A segunda forçação foi afirmar que ameaças ocorrem...
    Segundo a norma 27002 a ameaça EXPLORA uma vulnerabilidade
  • ameaça: é algo ruim em pontecial que pode ocorrer
    vulnerabilidade: uma falha que pode permitir que uma ameaçã se concretize. Ex. firewall mal configurado
    Impacto: um dano causado por uma ameaça
  • Para não confundir mais:

    AMEAÇA : É algo externo do ativo, exemplo, você tem uma casa, quais são as ameaças: ela pode ser inundada, pode cair um raio em cima dela, um terremoto, pode ser invadida...

    VULNERABILIDADE: É algo do ativo, seguindo o exemplo da casa, quais são suas vulnerabilidades: um muro baixo, uma janela que não fecha...

    RISCO: É a probalidade de uma ameaça explorar um vulnerabilidade, seguindo o exemplo: Qual a probabilidade de sua casa ser invadida tendo ela um muro baixo? A resposta é o risco.

    Abraços e vamo que vamo...









  • Acho que NÃO HÁ RESPOSTA. A resposta dada como certa não me parece adequada ...

    Ameaça
    Potencial para violação da segurança quando há uma circunstância que, capacidade, ação ou evento que pode quebrar a seguranç e causar danos. Ou seja, uma ameaça é um POSSÍVEL PERIGO que pode explorar uma vulnerabilidade.

    Ataque
    Um ataque à segurança do sistema, derivado de uma ameaça inteligente, ou seja, UM ATO inteligente que é uma tentativa deliberada de burlar os serviços de segurança e violar a política de segurança de um sistema.

    Fonte: RFC 2828 retirado de Stallings
  • Prezados,

    Segundo os termos e definições da ISO 27002 , ameaça é a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização, enquanto vulnerabilidade é a fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

    Entendendo os conceitos, vamos as alternativas :

    a) Medidas de segurança podem ser definidas como ações que visam eliminar riscos para evitar a concretização de uma vulnerabilidade.

    Alternativa errada. Medidas de segurança servem para mitigar os riscos, para se eliminar as vulnerabilidades que podem ser causas de incidentes. As vulnerabilidades não se concretizam, elas já estão lá.

    b) O vazamento de informação e falha de segurança em um software constituem vulnerabilidades.

    Alternativa errada. Vazamento de informação é um incidente, que provavelmente ocorreu por uma ameaça que explorou uma vulnerabilidade.

    c) Roubo de informações e perda de negócios constitui ameaças.

    Alternativa errada. Roubo de informações é um incidente, que pode ter sido ocasionado por uma ameaça que explorou uma vulnerabilidade.

    d) Medidas de segurança podem ser definidas como ações que visam eliminar vulnerabilidades para evitar a concretização de uma ameaça.

    Alternativa correta. A ameaça explora a vulnerabilidade, se a vulnerabilidade foi eliminada, a ameaça não pode se concretizar.

    e) Área de armazenamento sem proteção e travamento automático da estação após período de tempo sem uso constituem ameaça.

    Alternativa errada. Área de armazenamento sem proteção e travamento automático são vulnerabilidades que podem ser exploradas por uma ameaça.


    A alternativa correta é : D.


  • Não concordo com o gabarito.
    Pra que vulnerabilidade maior que o ser humano? Sim, as pessoas estão sujeitas a ataques de engenharia social, tornando-se assim vulnerabilidades, diante disto é possível eliminar as pessoas? 

  • Em maiúscula e negrito as correções.
    a) Medidas de segurança podem ser definidas como ações que visam eliminar riscos para evitar a concretização de uma AMEAÇA.

    b) O vazamento de informação e falha de segurança em um software constituem INCIDENTES DE SEGURANÇA.

    c) Roubo de informações e perda de negócios constitui INCIDENTES DE SEGURANÇA.

    d) Medidas de segurança podem ser definidas como ações que visam eliminar vulnerabilidades para evitar a concretização de uma ameaça.

    e) Área de armazenamento sem proteção e travamento automático da estação após período de tempo sem uso constituem VULNERABILIDADES.




  • Autor: Leandro Rangel , Auditor Federal de Finanças e Controle da Controladoria-Geral da União (CGU)

     

    Prezados,

    Segundo os termos e definições da ISO 27002 , ameaça é a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização, enquanto vulnerabilidade é a fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

    Entendendo os conceitos, vamos as alternativas :

    a) Medidas de segurança podem ser definidas como ações que visam eliminar riscos para evitar a concretização de uma vulnerabilidade.

    Alternativa errada. Medidas de segurança servem para mitigar os riscos, para se eliminar as vulnerabilidades que podem ser causas de incidentes. As vulnerabilidades não se concretizam, elas já estão lá.

    b) O vazamento de informação e falha de segurança em um software constituem vulnerabilidades.

    Alternativa errada. Vazamento de informação é um incidente, que provavelmente ocorreu por uma ameaça que explorou uma vulnerabilidade.

    c) Roubo de informações e perda de negócios constitui ameaças.

    Alternativa errada. Roubo de informações é um incidente, que pode ter sido ocasionado por uma ameaça que explorou uma vulnerabilidade.

    d) Medidas de segurança podem ser definidas como ações que visam eliminar vulnerabilidades para evitar a concretização de uma ameaça.

    Alternativa correta. A ameaça explora a vulnerabilidade, se a vulnerabilidade foi eliminada, a ameaça não pode se concretizar.

    e) Área de armazenamento sem proteção e travamento automático da estação após período de tempo sem uso constituem ameaça.

    Alternativa errada. Área de armazenamento sem proteção e travamento automático são vulnerabilidades que podem ser exploradas por uma ameaça.

     

    A alternativa correta D.


ID
697303
Banca
FCC
Órgão
TRE-SP
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre a gerência de riscos é INCORRETO afirmar:

Alternativas
Comentários
  • Respostas ao risco: transferindo, reduzindo, aceitando
  • De acordo com a norma ISO 27002 os tratamentos para os riscos são os seguintes:

    - Aplicar controles apropriados para REDUZIR OS RISCOS.
    - Conhecer e objetivamente ACEITAR OS RISCOS.
    - EVITAR RISCOS, não permitindo ações que poderiam causar a existência de riscos.
    - TRASNFERIR OS RISCOS para outra parte, por exemplo, fornecedores ou seguradoras.

    NÃO SE FALA EM IGNORAR OS RISCOS

  • Estratégias de Resposta aos Riscos

    Evitar: mudar o Plano de projeto p/eliminar o risco
    Transferir: Transferir as conseqüências e as respostas a ao risco para um terceiro
    Aceitar: Não mudar o plano de projeto
    Mitigar: reduzir a probabilidade ou o impacto do risco

    Fonte: PMBOK 4a. edição
  • A 27001 usa o termo “aceitação do risco” em vez de “retenção do risco”.

    "RETA" (Reduzir, Evitar, Transferir, Aceitar/Reter)
  • Se a Gerência de Riscos é toda baseada no análise de riscos você não pode simplesmente ignorar o risco, senão não teria sentido.

  • Complemento segundo a ISO 27005.

    Segundo a NBR ISO/IEC 27005:2008,"

    9 Tratamento do risco de segurança da informação

    9.1 Descrição geral do processo de tratamento do risco

    Diretrizes para implementação:

    quatro opções disponíveis para o tratamento do risco: redução do risco (ver 9.2), retenção do risco (ver 9.3), evitar o risco (ver 9.4) e transferência do risco (ver 9.5)."

  • Ignorar, apesar de não estar explicito na ISO 27002, pode-se muito bem entender ignorar um risco. Lembra do algoritmo da avestruz quando se encontra um deadlock. Sendo o mais usado.

    http://pt.wikipedia.org/wiki/Algoritmo_do_avestruz

    O algoritmo simplesmente é ignorar que uma aplicação multithread pode entrar em deadlock, até porque o custo seria muito alto e a probablilidade de acontecer pode ser muito baixa. Então seria melhor ignora-lo.
    Eu entendo isso como uma forma de aceitar um risco, ou seja, aceita-lo que existe e simplesmente não fazer nada para trata-lo, ou seja, ignora-lo.

  • Não se ignora riscos, o que se pode fazer é aceitá-los.

  • Eliminar ou Ignorar NUNCA.... 

  • RISCOS...

    PODE: REDUZIR, ACEITAR, EVITAR, TRANSFERIR, IDENTIFICAR, ANALISAR, AVALIAR, TRATAR, ESTABELECER SEU CONTEXTO, PREVENIR, MITIGAR, MINIMIZAR, ELIMINAR, CONTROLAR, PREVINIR, RENTER, ACEITAR.

    NÃO PODE: TRANSFORMAR E IGNORAR


ID
708880
Banca
FCC
Órgão
MPE-PE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre o gerenciamento de riscos é correto afirmar:

Alternativas
Comentários
  • A questão pode ser resolvida tendo como base a Norma ISO 27002, na seção 4 (análise/avaliação e tratamento de riscos).
    A letra a está errada porque "Convém que as análises/avaliações de riscos identifiquem, quantifiquem e priorizem os riscos com base em critérios para aceitação dos riscos e dos objetivos relevantes para a organização". Portanto, os processos de negócio são relevantes nesse contexto.
    A letra b está certa, conforme consta no controle 4.1 (Analisando/avaliando os riscos de segurança da informação): "Convém que os resultados orientem e determinem as ações de gestão apropriadas e as prioridades para o gerenciamento dos riscos de segurança da informação, e para a implementação dos controles selecionados, de maneira a proteger contra estes riscos"
    A letra c está errada porque a análise/avaliação de riscos deve ser realizada periodicamente, conforme consta no controle 4.1: "Convém que as análises/avaliações de riscos também sejam realizadas periodicamente, para contemplar as mudanças nos requisitos de segurança da informação e na situação de risco, ou seja, nos ativos, ameaças, vulnerabilidades, impactos, avaliação do risco e quando uma mudança significativa ocorrer"
    A letra d está errada porque, uma vez identificados os riscos, os controles a serem implementados depedem das decisões tomadas (Controle 4.2, Tratando os riscos de segurança da informação) e os riscos podem ser considerados aceitáveis, por exemplo. A alternativa diz que todos os riscos devem ser eliminados, o que não é verdade.
    A letra e está errada porque  "Convém que os controles assegurem que os riscos sejam reduzidos a um nível aceitável, levando-se em conta:
    a) os requisitos e restrições de legislações e regulamentações nacionais e internacionais;
    b) os objetivos organizacionais;
    ..."

  • A)Errado. Processos de negócios são importantes na avaliação de risco. 
    B)Correta. 
    C)Errado. Deve sempre ser repetida. 
    D)Errado. Não é obrigatório que se elimine todos riscos, mas que sejam reduzidos. 
    E)Errado. Os critérios da organização deve respeitar as legislações e regulamentações.

  • A letra B está certa, pois direciona e determina, ou seja manda implementar ações de controle para determinados riscos envolvidos.


ID
720559
Banca
ESAF
Órgão
CGU
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

No modelo de desenvolvimento em espiral, cada ciclo da espiral representa uma fase do processo de software. Nesse modelo, a atividade que obrigatoriamente estará presente em todos os ciclos é:

Alternativas
Comentários
  • Modelo espiral de Boehm

    Cada volta na espiral representa uma fase do processo de software. Dessa forma, a volta mais interna pode preocupar-se com a viabilidade do sistema; o ciclo seguinte, com definição de requisitos; o seguinte, com o projeto do sistema, e assim por diante. O modelo em espiral combina prevenção e tolerância a mudanças, assume que mudanças são um resultado de riscos de projeto e inclui atividades explícitas de gerenciamento de riscos para sua redução.

    Cada volta da espiral é dividida em quatro setores:

    1.Definição de objetivos;

    2.Avaliação e redução de riscos;

    3.Desenvolvimento e validação;

    4.Planejamento.




    SOMMERVILLE, Ian. Engenharia de Software / Ian Sommerville; tradução Ivan Bosnic e Kalinka G. do O. Gonçalves; revisão técnica Kechi HIrama. 9 Ed. São Paulo: Pearson Prentice Hall, 2011.
  • O foco é análise de RISCOS.
  • Lembrei da IN 04


ID
747220
Banca
ESAF
Órgão
CGU
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O serviço das Equipes de Tratamento e Resposta a Incidentes de Segurança em Redes Computacionais – ETIR, que consiste em divulgar, de forma proativa, alertas sobre vulnerabilidades e problemas de incidentes de segurança em redes de computadores em geral, cujos impactos sejam de médio e longo prazo, possibilitando que a comunidade se prepare contra novas ameaças é chamado de

Alternativas
Comentários
  • Norma Complementar 08

    item 7 GESTÃO DOS SERVIÇOS

    7.3.4 Anúncios - Este serviço consiste em divulgar, de forma
    proativa, alertas sobre
    vulnerabilidades e problemas de incidentes de segurança em redes de
    computadores
    em geral, cujos impactos sejam de médio e longo prazo,
    possibilitando que a
    comunidade se prepare contra novas ameaças;
  • Norma complementar 08... Oi?

  • ✅Gabarito(A)  

    Como estudo por tópicos, acabo sempre passando por questões antigas também, sendo assim segue a definição de uma fonte atual que acabei encontrando:

    Art. 14. - Observadas as limitações institucionais e de forma gradativa, a ETIR deverá oferecer os seguintes serviços complementares, conforme definido na Norma Complementar nº 08/IN01/DSIC/GSIPR:

    II - Emissão de alertas e advertências - divulgação de alertas ou advertências imediatas como uma reação diante de um incidente de segurança em redes de computadores ocorrido, com o objetivo de advertir a comunidade ou dar orientações sobre como a comunidade deve agir diante do problema;

    III - Anúncios - divulgação, de forma proativa, alertas sobre vulnerabilidades e problemas de incidentes de segurança em redes de computadores em geral, cujos impactos sejam de médio e longo prazo, possibilitando que a comunidade se prepare contra novas ameaças;

    IV - Prospecção ou monitoração de novas tecnologias - prospecção e/ou monitoramento do uso de novas técnicas das atividades de intrusão e tendências relacionadas, as quais ajudarão a identificar futuras ameaças. Inclui a participação em listas de discussão sobre incidentes de segurança em redes de computadores e o acompanhamento de notícias na mídia em geral sobre o tema;

    V - Avaliação de segurança - análise detalhada da infraestrutura de segurança em redes de computadores e de sistemas de informação da organização com base em requisitos da própria organização ou em melhores práticas de mercado. Pode incluir: revisão da infraestrutura, revisão de processos, análise de aplicativos, avaliação de sistemas de informação, varredura da rede e testes de penetração;

    VII - Disseminação de informações relacionadas à segurança - busca de informações úteis no auxílio do tratamento de incidentes de segurança em redes computacionais.

    Fonte: PORTARIA Nº 402, DE 3 DE SETEMBRO DE 2018


ID
770671
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de gestão de segurança da informação, seus conceitos e definições, julgue os itens que se seguem.


A atividade de avaliação de riscos em segurança da informação consiste na identificação de fontes e estimativas de riscos por meio do uso sistemático de informações, obtidas mediante observação.

Alternativas
Comentários
  • ERRADA. A questão trata da ANÁLISE DE RISCO:

    1 - ANÁLISE DE RISCO: Uso sistemático de informações para identificar fontes e estimar o risco. Estimar a magnitude dos riscos.
    2 - AVALIAÇÃO DE RISCOS: Comparar o risco estimado com critérios de risco pré-definidos para determinar a importância do risco. 
    3 - GESTÃO DE RISCOS: Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos.
    4 - TRATAMENTO DOS RISCOS: Processos de seleção e implementação de medidas para modificar um risco.
  • Na verdade o examinador quis confundir o Processo de Avaliação( Alguns autores o chamam de Avaliação/Análise), que envolve a Identificação, a Análise e a Avaliação dos riscos, com a Atividade de Avaliação propriamente dita.
  • Dá para matar essa questão com o trecho abaixo da norma ISO 27005,  OU com trecho da norma 27002 logo mais abaixo.

    ------------------ISO 27005------------------

    "

    8 Análise/avaliação de riscos de segurança da informação

    8.1 Descrição geral do processo de análise/avaliação de riscos de segurança da informação

    Diretrizes para implementação:

    A análise/avaliação de riscos consiste nas seguintes atividades:

     - Análise de riscos (Seção 8.2) compreende:

                   *Identificação de riscos (Seção 8.2.1)

                   *Estimativa de riscos (Seção 8.2.2)

     - Avaliação de riscos (Seção 8.3)"

    ------------------------ISO 27002----------------------------

    "2. Termos e Definições

    2.10

    análise de riscos: uso sistemático de informações para identificar fontes e estimar o risco

    [ABNT ISO/IEC Guia 73:2005]"


  • Mais um trecho da norma ISO 27002 que pode ser usado para matar esta questão.

    Segundo a ISO 27002,"

    4 Análise/avaliação e tratamento de riscos

    4.1 Analisando/avaliando os riscos de segurança da informação


    Convém que a análise/avaliação de riscos inclua um enfoque sistemático de estimar a magnitude do risco (análise de riscos) e o processo de comparar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco). "


ID
770707
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Selecionar objetivos de controle e controles para o tratamento de riscos não é tarefa inerente ao estabelecimento do SGSI, pois essa atividade é própria do tratamento dos riscos, que é feito apenas após a ocorrência de eventos e incidentes.

Alternativas
Comentários
  • errado-
    ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System)

    Esta norma foi elaborada para prover um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A especificação e implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, exigências de segurança, os processos empregados e o tamanho e estrutura da organização.
  • Questão errada.

    A norma ISO 27002 deve: PROTEGER A INFORMAÇÃO por meio de CONTROLES ADEQUADOS(políticas, processo, procedimentos, estruturas organizacionais e funções de software e hardware) PARA ATENDER aos REQUISITOS IDENTIFICADOSpor meio de uma ANÁLISE/AVALIAÇÃO DOS RISCOS DA ORGANIZAÇÃO.
  • Questão errada.

    Selecionar objetivos de controle e controles para o tratamento de riscos não é tarefa inerente ao estabelecimento do SGSI, pois essa atividade é própria do tratamento dos riscos, que é feito apenas após a ocorrência de eventos e incidentes.

    Selecionar objetivos de controle e controles para o tratamento de riscos É tarefa inerente ao estabelecimento do SGSI.

    4. Sistema de Gestão de Segurança da Informação
    4.2 Estabelecendo e gerenciamendo o SGSI
    4.2.1 Estabelecer o SGSI
    4.2.1 f) Selecionar objetivos de controle e controles para o trtamento de riscos.

    fonte: ISO 27001, pag. 06
  • Outro erro (“brutal”) não comentado: “... que é feito apenas após a ocorrência de eventos e incidentes”.

    Bons estudos e sucesso, galera!
  • Tratamento de risco: 'MATE'

    Mitigar
    Aceitar
    Transferir
    Evitar

  • Gabarito Errado

    Na verdade é realizado também antes da ocorrência de eventos e incidentes.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
770734
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com base nos aspectos gerais da norma ABNT NBR ISO/IEC27002, que estabelece o código de prática para a gestão da segurança da informação, julgue os itens que se seguem.

Uma análise de riscos deve ser realizada periodicamente em um ambiente computacional, principalmente quando houver a mudança nos requisitos de segurança ou quando surgirem novas ameaças ou vulnerabilidades que ponham em risco a segurança.

Alternativas
Comentários
  • CERTO. 

    Segudo a ISO 27002, Termos e Definições,

    "2.11 análise/avaliação de riscos:processo completo de análise e avaliação de riscos"

    Segundo a ISO 27002, 4.1 Analisando/avaliando os riscos de segurança da informação,

    "Convém que as análises/avaliações de riscos também sejam realizadas periodicamente, para contemplar as mudanças nos requisitos de segurança da informação e na situação de risco, ou seja, nos ativos, ameaças, vulnerabilidades, impactos, avaliação do risco e quando uma mudança significativa ocorrer."


  • Para mim, a resposta estaria INCORRETA. Pois a norma convém e não obriga

    Portanto a palavra deve no texto "Uma análise de riscos DEVE ser realizada periodicamente em um ambiente computacional,". estaria incorreta.

    Além disso, a análise de risco não deve ser necessariamente ser realizada em ambiente computacional.


ID
770812
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A gestão de riscos de uma organização só será considerada eficiente se conseguir eliminar todos os riscos internos e também os externos.

Alternativas
Comentários
  • É impossível eliminar todos os riscos existentes na organização e fora dela.  Existem riscos que podem ser aceitos e mitigados pela organização. Essa aceitação dependerá da análise de risco e da decisão da direção.
  • Outro erro é que a organização será considera eficiente se conseguir se reestabelecer, de qualquer incidente, em um curto espaço de tempo.
    O examinador brincou com as palavras eficaz e eficiente.
  • É POSSÍVEL SIM ELIMINAR OS RISCOS!.------

    --------------------04/IN01/DSIC/GSI/PR-----------------------------

    Segundo a norma complementar 04/IN01/DSIC/GSI/PR sobre Gestão de Riscos

    4.9 Gestão de Riscos de Segurança da Informação e Comunicações – conjunto de processos que permitem identificar e implementar as medidas de proteção necessárias  para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos; 

    --------------------------------ISO 27005-------------------------------------

    Lembrando também que conforme a ISO 27005,9.1 Descrição geral do processo de tratamento do risco,"

    Há quatro opções disponíveis para o tratamento do risco: redução do risco (ver 9.2), retenção do risco (ver 9.3), evitar o risco (ver 9.4) e transferência do risco (ver 9.5)."

    **Portanto, a palavra "só" da questão a torna errada, visto que os riscos podem ser minimizados (através de opções de tratamento de riscos)também tornando a gestão de riscos eficiente.

    Bibliografia:

    http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf

    - Norma ABNT/IEC ISO 27005


  • ERRADO. Complemento.

    Segundo a ISO 27002,"4.2 Tratando os riscos de segurança da informação

    Riscos podem ser aceitos se, por exemplo, for avaliado que o risco é baixo ou que o custo do tratamento não é economicamente viável para a organização."


    **Se os riscos podem ser aceitos, logo, não é necessário que todos riscos sejam eliminados, e, ainda assim, a gestão de riscos continuará a ser eficiente.



  • É impossível eliminar todos os riscos...

    (CESPE – TRE-RJ / ANALISTA – 2012) São opções para tratamento do risco: reduzi-lo, aceitá-lo, evitá-lo ou transferi-lo. C

    (CESPE – TRE-RJ / TÉCNICO – 2012) Para o gerenciamento de projetos, consideram-se riscos as ameaças e oportunidades,
    que podem ter impacto positivo ou negativo ao projeto. C


ID
770836
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A existência de vulnerabilidade, ainda que não se verifique ameaça a ela relacionada, requer, necessariamente, a implementação de controle apropriado.

Alternativas
Comentários
  • Para resolver essa questão é necessário ter em mente os seguintes conceitos, segundo a 27002:
    vulnerabildade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças;
    ameaça: causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização;
    risco: combinação da probabilidade de um evento e de suas conseqüências
    controle: forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal 

    Como o risco é combinação da probabilidade de um evento e de suas consequências, e no texto da questão afirma que não foi verificado ameaça alguma a vulnerabilidade, então o risco é ZERO. Por isso, a vulnerabilidade não requer necessariamente a implementação de um controle apropriado.
  • Identificação de Vulnerabilidades.

    A presença de uma vulnerabilidade não causa prejuízo por si só, pois precisa haver uma ameaça presente para explorá-la. Uma vulnerabilidade que não tem uma ameaça correspondente pode não requerer a implementação de um controle no presente momento, mas convém que ela seja reconhecida como tal e monitorada, no caso de haver mudanças.

    Como notado, não há a obrigação da implementação imediata do controle, existe sim um aconselhamento para implementação futura para o caso onde ocorram alterações no contexto.
  • Nosso colega Diogo Brasil esqueceu de citar a fonte. Segue ela para ajudar os demais colegas.

    Segundo a ISO IEC 27005:2011,"8.2.5 Identificação das vulnerabilidades

    A presença de uma vulnerabilidade não causa prejuízo por si só, pois precisa haver uma ameaça presente para explorá-la. Uma vulnerabilidade que não tem uma ameaça correspondente pode não requerer a implementação de um controle no presente momento, mas convém que ela seja reconhecida como tal e monitorada, no caso de haver mudanças."


ID
770839
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Na fase “planejar” de um SGSI, define-se o contexto, procede-se à avaliação de riscos, desenvolve-se o plano de tratamento do risco e definem-se os critérios de aceitação do risco.

Alternativas
Comentários
  • Plan (planejar) - estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.
    Do (fazer) - implementar e operar a política, controles, processos e procedimentos do SGSI.
    Check (checar) - avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresenta os resultados p/ a análise crítica pela direção.
    Act (agir) - Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.
    Fonte: 
    NBR ISO/IEC 27001
  • Questão diz:
    Na fase “planejar” de um SGSI, define-se o contexto, procede-se à avaliação de riscos, desenvolve-se o plano de tratamento do risco e definem-se os critérios de aceitação do risco.

    Mas venho estudando e percebido o abaixo:
    4.2.2 – DO – Implementar e Operar o SGSI:
    Fase “Fazer” do PDCA, onde deve-se:
    • A formular e implementar de um plano de tratamento de riscos;
    • Com o plano pronto, deve-se implementar os controles selecionados e deve-se também buscar uma forma de se medir a eficácia destes controles;
    http://www.leonardobastos.com.br/1/post/2012/03/clusulas-mandatrias-42-estabelecendo-e-gerenciando-o-sgsi.html

    Um fala que é no PLAN o outro fala que é no DO(Fazer), alguém se habilita a explicar por favor ??
  • Essa questão realmente gera muita confusão, pois as norma 27001 e 27005 tratam o plano de tratamento de risco em fases diferentes. Vejamos:

    27001:

    4.2.2 Implementar e Operar o SGSI (DO)

    A organização deve:

    a) Formular um PLANO DE TRATAMENTO DE RISCO que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão de riscos de segurança. (ver Seção 5).

    27005:

    6 Visão geral do processo de gestão de riscos de segurança da informação - Pág 6

    (...)

    Em um SGSI, a definição do contexto, a análise/avaliação de riscos, o DESENVOLVIMENTO DO PLANO DE TRATAMENTO DE RISCOS e a aceitação do risco, fazem parte da fase "PLANEJAR".

    Como podemos perceber, na norma 27001, o plano de tratamento de risco é desenvolvido na fase DO, enquanto na norma 27005, é desenvolvido na fase PLAN. Como acertar essa questão? Basta, verificarmos o comando da questão:

    "De acordo com a NBR ISO/IEC 27005, julgue os próximos itens."

    De acordo com a 27005, o plano de tratamento risco é desenvolvido na fase "planejar", certa a resposta.

  • Na norma 27001:2005 - a formulação do plano de tratamento de riscos está em DO 

    Na norma 27001:2013, que é a vigente, a formulação do plano de tratamento de riscos está em PLAN. 

    A confusão era grande. Agora cada coisa esta no seu lugar.


ID
770845
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A definição, pela organização, dos critérios para aceitação do risco depende de suas políticas, metas e objetivos. Uma vez definidos, esses critérios devem ser utilizados para todas as classes de risco.

Alternativas
Comentários
  • Errado.
    Existem classes de risco.
    Gravíssimo - Grave - Mediato - Leve
    Riscos baixos podem ser aceitados (ou assumidos) dependendo da política, metas e objetivos da organização.
    Já riscos altos, por exemplo, os gravíssimos ou graves, não deve ser simplesmente assumidos sem trata-los.
  •   [...] devem ser utilizados para todas as classes de risco. (Trecho errado, o restante está correto)

    Segundo a ISO 27005,p.10,"

    7.2 Critérios básicos

    Critérios para a aceitação do risco

    Diferentes critérios para a aceitação do risco podem ser aplicados a diferentes classes de risco, por exemplo: riscos que podem resultar em não conformidade com regulamentações ou leis podem não ser aceitos, enquanto riscos de alto impacto poderão ser aceitos se isto for especificado como um requisito contratual."

  • Sobre a primeira parte que está correta. a PARTE ERRADA eu comentei na minha outra postagem logo abaixo.

    Segundo a ISO 27005,"

    Critérios para a aceitação do risco

    Convém que os critérios para a aceitação do risco sejam desenvolvidos e especificados e dependam freqüentemente das políticas, metas e objetivos da organização, assim como dos interesses das partes."



ID
770848
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O nível de detalhamento da identificação dos ativos de uma organização pode influenciar na quantidade de informações reunidas durante a avaliação de riscos.

Alternativas
Comentários
  • Quando aumentamos o nivel de detalhe da informações coletadas dos ativos da organização é influenciada para avaliação de riscos
  • CERTO

    Segundo a ISO 27005,8.2.1.2 Identificação dos ativos,"

    Convém que a identificação dos ativos seja executada com um detalhamento adequado que forneça informações suficientes para a análise/avaliação de riscos. O nível de detalhe usado na identificação dos ativos influenciará na quantidade geral de informações reunidas durante a análise/avaliação de riscos. O detalhamento pode ser aprofundado em cada iteração da análise/avaliação de riscos."


ID
770854
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A integração de novos controles de risco à infraestrutura existente e a interdependência entre controles existentes são fatores constantemente ignorados pelos gestores de segurança da informação.

Alternativas
Comentários
  • Item correto, conforme o anexo F(Restrições que afetam a redução do risco) da norma ISO 27005

    "A integração de controles novos a uma infra-estrutura existente e a interdependência entre controles são fatores

    freqüentemente ignorados. Controles novos podem não ser facilmente implementados se houver incongruência ou

    incompatibilidade com controles existentes."
    Abraços, vamo que vamo.

  • Rapaz, o CESPE foi no Anexo F da ISO/IEC 27.005! 

    Inclusive, é o último parágrafo da referida norma. Achei interessante o exemplo dado pela própria norma para nos atentarmos para possíveis conflitos entre controles: existentes e novos. Ver, em negrito, o exemplo:"A integração de controles novos a uma infra-estrutura existente e a interdependência entre controles são fatores freqüentemente ignorados. Controles novos podem não ser facilmente implementados se houver incongruência ou incompatibilidade com controles existentes. Por exemplo, um plano para usar dispositivos de identificação biométrica para controle de acesso físico pode conflitar com um sistema que se baseie na digitação de números de identificação pessoal (PIN, conforme a sigla em Inglês) para o controle de acesso. Convém que o custo da mudança dos controles existentes para os planejados inclua também os itens a serem adicionados ao custo geral do tratamento do risco. Talvez não seja possível implementar alguns dos controles selecionados devido aos conflitos com os controles atuais."Abs!

ID
771172
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Em segurança da informação, um risco é um evento ou uma condição incerta que pode causar algum dano a um sistema de informação ou até à própria organização como um todo.

Com referência à avaliação de riscos, julgue os próximos itens.

Em uma organização, a identificação de vulnerabilidades é uma atividade importante, que deve ser realizada em conjunto com a avaliação de riscos.

Alternativas
Comentários
  • Certo

    Riscos = vulnerabilidade + ameaça


ID
771175
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Em segurança da informação, um risco é um evento ou uma condição incerta que pode causar algum dano a um sistema de informação ou até à própria organização como um todo.

Com referência à avaliação de riscos, julgue os próximos itens.

Em avaliação de riscos, os riscos podem ser analisados de acordo com sua probabilidade de acontecimento e com os possíveis impactos que eles podem causar.

Alternativas
Comentários
  • Certo


    Trata-se de Analise Quantitativa e Qualitativa em Segurança da Informação


    Analisar quantitativamente

    Neste tipo de análise, procura-se quantificar, ou seja, calcular os valores para cada um dos itens coletados durante as fases da avaliação do risco. Nesse cenário eram observados os valores reais de cada ativo existente nos processos de negócios da organização, em termos do custo de substituição e também ligados à perda de produtividade.


    Analisar qualitativamente

    Este tipo de técnica de análise de risco procura utilizar critérios para estimar os impactos aos negócios, provocados pela exploração das vulnerabilidades dos ativos por parte de ameaças. Procura-se com esta técnica utilizar critérios e classificações que podem abranger ao mesmo tempo valores tangíveis (o que você consegue ver e tocar) e intangíveis (algo não fisico, como o abalo da imagem de uma organização).


ID
776491
Banca
CESGRANRIO
Órgão
Chesf
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A gestão de continuidade de negócio envolve prioritariamente os seguintes processos:

Alternativas
Comentários
  • a) tratamento de incidentes; solução de problemas; acordo de nível de operação.
    ERRADA: Tais processos são mais relacionados a ITIL do que às normas de GCN.

    b) plano de redundância; análise de risco; planejamento de capacidade.
    ERRADA: As normas de GCN não tratam de planos de redundância.
    c) 
    investigação e diagnóstico; resolução de problemas; recuperação.
    ERRADA: As normas não falam em invetigação e diagnóstico, lembrando que esta questão é da CESGRANRIO e não do CESPE.
    d) gestão de configuração; planejamento de capacidade; gestão de mudança
    ERRADA: Idem letra a)
    e) 
    análise de impacto no negócio; avaliação de risco; plano de contingência
    Gabarito da questão.

ID
777649
Banca
CESPE / CEBRASPE
Órgão
TRE-RJ
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de conceitos relacionados a segurança da informação, julgue os itens a seguir.

Na área de segurança da informação, vulnerabilidade representa causa potencial de um incidente indesejado.

Alternativas
Comentários
  • Tomando como referência a ISO 27002 em seus termos e definições onde diz:

    “Termo 2.16 – Ameaça é a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização[ISO/IEC 13335-1:2004]

  • Termo 2.17 – Vulnerabilidade é a fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.”
  • RISCO: Combinação da probabilidade de um evento e de suas consequências.
    ANÁLISE DE RISCO: Uso sistemático de informações para identificar fontes e estimar o risco. Estima a magnitude dos riscos.
    AVALIAÇÃO DE RISCOS: Comparar o risco estimado com critérios de risco pré-definidos para determinar a importância do risco.
    AMEAÇA: Causa potencial de um incidente indesejado.
    VULNERABILIDADE: Fragilidade de um ativo que pode ser explorarada por uma ou mais ameaças.

  • Gabarito Errado

    Em segurança de computadores, uma vulnerabilidade é uma fraqueza que permite que um atacante reduza a garantia da informação de um sistema.Vulnerabilidade é a interseção de três elementos: uma suscetibilidade ou falha do sistema, acesso do atacante à falha e a capacidade do atacante de explorar a falha.

    Vamos na fé !

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
777682
Banca
CESPE / CEBRASPE
Órgão
TRE-RJ
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da gestão de riscos, julgue os próximos itens.

São consideradas entradas para o processo de análise/avaliação de riscos de segurança da informação os critérios básicos, o escopo, os limites e a organização do processo de gestão de riscos de segurança da informação.

Alternativas
Comentários
  • Correto, item 8.1 de : http://www.brunomoraes.com.br/governanca-em-ti/wp-content/uploads/2010/11/NBR_ISO27005_ConsultaABNT.pdf
  • O processo de Gestão de Riscos de Segurança da Informação definido pela ISO 27005 é composto pelas seguintes fases:

    1. Definição do Contexto
    2. Análise/Avaliação de Riscos
    3. Definição do plano de tratamento de risco
    4. Aceitação do Risco
    5. Implementação do plano de tratamento do risco
    6. Monitoramento contínuo e análise crítica de riscos.
    7. Manter e melhorar o processo de Gestão de Riscos de Segurança da Informação


    A entrada para o processo de Análise/Avaliação de Riscos, por conseguinte, é a saída do processo Definição do Contexo. Este, por sua vez, define os CRITÉRIOS BÁSICOS necessários para a gestão de riscos de segurança da informação; define o ESCOPO e os LIMITES; e estabelece uma ORGANIZAÇÃO apropriada para o processo de GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO.

    fonte: ISO 27005 (7. Definição do Contexto)
  • CERTO

    Segundo a ISO 27005,"

    8 Análise/avaliação de riscos de segurança da informação

    8.1 Descrição geral do processo de análise/avaliação de riscos de segurança da informação

    Entrada: Critérios básicos, o escopo e os limites, e a organização do processo de gestão de riscos de segurança da informação que se está definindo."

  • AGORA É ENTRADA PARA A AVALIAÇÃO DE RISCOS.

    Segundo a ISO 27005:2011,"8 Processo de avaliação de riscos de segurança da informação
    8.1 Descrição geral do processo de avaliação de riscos de segurança da informação

    NOTA A atividade do processo de avaliação de riscos é referida como processo de análise/avaliação de riscos na ABNT NBR ISO/IEC 27001:2006.

    Entrada: Critérios básicos, o escopo e os limites,e a organização do processo de gestão de riscos de segurança da informação que se está definindo."


ID
777685
Banca
CESPE / CEBRASPE
Órgão
TRE-RJ
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da gestão de riscos, julgue os próximos itens.

São opções para tratamento do risco: reduzi-lo, aceitá-lo, evitá-lo ou transferi-lo.

Alternativas
Comentários
  • São as quatro opções para tratamento de risco presentes na 27002:
    1.  reduzi-lo, aplicando um controle sobre ele;
    2. aceitá-lo, após conhecê-lo objetivamente, caso esteja de acordo com a política de aceitação de riscos;
    3. evitá-lo, não permitindo as ações que o causem; e
    4. transferi-lo, como, por exemplo, para um seguradora.
  • São opções para o tratamento de risco na norma ISO NBR 27002, na seção 4 - Análise/Avaliação de Riscos e Tratamento de Riscos :
     
    - Aplicar controles apropriados para reduzir os riscos;
    - Conhecer e objetivamente aceitar os riscos;
    - Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos;
    - Transferir os riscos associados para outras partes, por ex, seguradoras ou fornecedores.
  • CERTO conforme ISO 27005-Gestão de Riscos de Segurança da Informação

    Segundo a norma ISO 27005,"

    9 Tratamento do risco de segurança da informação

    9.1 Descrição geral do processo de tratamento do risco

    Diretrizes para implementação:

    Há quatro opções disponíveis para o tratamento do risco: redução do risco (ver 9.2), retenção do risco (ver 9.3), evitar o risco (ver 9.4) e transferência do risco (ver 9.5)."

  • Mais outra fonte, agora conforme a ISO 27001.

    Segundo a ISO 27001,"

    4.2.1 Estabelecer o SGSI

    A organização deve:

    f) Identificar e avaliar as opções para o tratamento de riscos.

    Possíveis ações incluem:

    1) aplicar os controles apropriados;   (PARA REDUZIR OS RISCOS, INCLUSÃO MINHA!)

    2) aceitar os riscos consciente e objetivamente, desde que satisfaçam claramente às políticas da organização e aos critérios de aceitação de riscos (ver 4.2.1c)2));

    3) evitar riscos; e

    4) transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores.

    "

  •  tratamento de risco -  norma ISO NBR 27002

                                                                  RETA  - reduzir/Evitar/Transferir/ aceitar

  • Na ISO de 27005 de 2011 a questão estaria "ERRADA" pois a nomenclatura agora é outra.

     

    Segundo a ISO 27005:2011,"9.1 Descrição geral do processo de tratamento do risco

    Há quatro opções disponíveis para o tratamento do risco: modificação do risco (ver 9.2), retenção do risco (ver 9.3), ação de evitar o risco (ver 9.4) e compartilhamento do risco (ver 9.5)."


ID
781636
Banca
CESPE / CEBRASPE
Órgão
TJ-AL
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O escâner de vulnerabilidade é uma ferramenta para as áreas de análises de riscos, segurança na rede e auditoria da política de segurança das organizações. Com relação a essa ferramenta, assinale a opção correta.

Alternativas
Comentários
  • Resposta letra E

    O Scanner de Vulnerabilidade da Acunetix (WVS) é uma ferramenta automatizada da segurança da Web que examina suas aplicações verificando se há vulnerabilidades exploráveis com a técnica de exploit hacking . As varreduras automatizadas podem ser mais completas como SQL Injection, Cross Site Scripting (XSS) e outras vulnerabilidades.
    Antes de tudo devemos atualizar sua base de dados com as vulnerabilidades, pois o Scanner possui atualizações para manter sempre as vulnerabilidades em dia e com isso poder oferecer maior confiança na sua varredura.

     


ID
783397
Banca
CESGRANRIO
Órgão
BNDES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Uma atividade fundamental para o bom desenvolvimento de um projeto de software e que tem por base a execução de quatro tarefas conduzidas sequencialmente — identificação, projeção, avaliação e administração — é a análise de

Alternativas
Comentários
  • Mais uma do livro do Pressman

    neste material tem explicando essas tarefas http://www.scribd.com/doc/15922679/Analise-dos-Riscos
  • Não a anáise de usuário, tempo ou sistemas.
    Ficamos apenas com duas opções: riscos e requisitos.

    Requisitos não tem projeção ou administração (embora tenhamos gerenciamento de mudanças nos requisitos), tendo isto em mente, a única que se encaixaria seria a de riscos.
  • Creio que a palavra chave nesta questão seja a palavra projeção..Pois de toda a literatura que eu ja li nunca vi a mesma

ID
794029
Banca
FCC
Órgão
TST
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando a TI, as empresas devem ter constante preocupação com os riscos, que se concretizados, podem vir a prejudicar suas atividades. Dessa forma, a gestão de riscos é uma atividade de grande importância na condução dos negócios de uma empresa. Na maioria dos casos, a primeira etapa a ser realizada na gestão de riscos é a identificação dos riscos, que consiste em

Alternativas
Comentários
  • Metodologia AS/NZS 4360
    - Estabelecer o contexto
    - Identificar riscos: Identificação das ameaças e vulnerabilidades que podem causar um incidente de segurança
    - Analisar riscos
    - Avaliar riscos
    - Tratar riscos

    http://professor.ufabc.edu.br/~joao.kleinschmidt/aulas/seg2011/gestao_riscos.pdf
  • identificação dos riscos, que consiste em (simplesmente descobrir quais os riscos estão envolvidos)

    • a) elaborar os planos de contingência, cujo objetivo é obter um controle preciso dos riscos presentes. (análise de riscos)
    • b) minimizar os problemas que possam surgir, eventualmente, em função dos riscos existentes. (tratamento de riscos)
    • c) registrar todas as ações tomadas no decorrer da concretização de um risco de forma a evitar problemas semelhantes no futuro. (avaliação de riscos)
    • d) detectar os perigos potenciais que possam vir a prejudicar as operações da empresa, como, a execução de um projeto de TI. (identificação de riscos)
    • e) elaborar as medidas mais adequadas a serem tomadas quando da concretização de um risco, dentro do plano de contingência. (análise de riscos)
  • LETRA D.

    Segundo a ISO 27005,Seção 6.,"O processo de gestão de riscos de segurança da informação consiste na definição do contexto, análise/avaliação de riscos, tratamento do risco, aceitação do risco, comunicação do risco e monitoramento e análise crítica de riscos."

    **Dentro da etapa de análise/avaliação de riscos há a atividade de Identificação de riscos.

    Segundo a ISO 27005,"8.2.1.1 Introdução à identificação de riscos

    O propósito da identificação de riscos é determinar eventos que possam causar uma perda potencial e deixar claro como, onde e por que a perda pode acontecer."


ID
794032
Banca
FCC
Órgão
TST
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Na gestão de riscos de um projeto que envolva a TI, há diversas técnicas que podem ser empregadas em sua análise. Do ponto de vista técnico, a análise de riscos deve levar em consideração os 3 principais aspectos que podem levar um projeto a enfrentar riscos. Esses aspectos são:

Alternativas
Comentários
  • Resolvi lembrando da tripla restrição do PMBOK.
  • Apenas complementando a informação anterior, de fato as restrições do PMI auxiliaram na solução, porém a restrição que antes era de apenas 3 domínios passam a ter mais.

    Na versão atual do PMBOK, tríplice restrição foi eliminada, passando a existir restrições do projeto que são elas: Escopo, Qualidade, Cronograma, Orçamento, Recursos e Riscos. Portanto, qualquer alteração em um desses itens certamente haverá restrições em um ou mais dos demais itens.

ID
801247
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subsequentes, relativos a ataques e vulnerabilidades.

Em decorrência da disponibilização de serviços e aplicações sediados em máquinas virtuais (MVs), que proporciona contenção e rápida recuperação em caso de ataques, uma mesma vulnerabilidade pode estar presente em várias instâncias de um mesmo snapshot de uma MV que originalmente apresente tal vulnerabilidade.

Alternativas
Comentários
  • Correta!

    De fato, ao criar multiplos snapshots de uma mesma máquina virtual que já possui uma vulnerabilidade, todos os snapshots apresentarão o problema, não adiantando fazer um roll back em um snapshot anterior.
  • Não acho que esteja correto: "máquinas virtuais (MVs), que proporciona contenção e rápida recuperação em caso de ataques"

    De fato a recuperação é um pouco mais rápida, mas acredito que não haja essa diferença toda.

  • O snapshots permite que a VM volta para o msm estado. Qq instância criada com o snapshot terá o msm estado, inclusive a vulnerabilidade (fonte: www.meubizu.com.br)

  • Na verdade acho que essa questão fala mais sobre MV do que segurança da informação, ataques etc

  • GABARITO: CERTO.


ID
801313
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, relativos à gestão de continuidade de
negócio (GCN).

A GCN não tem relação com o gerenciamento de riscos.

Alternativas
Comentários
  • Item 5 da norma 15999-1:
    Documentação de GCN
    •política de GCN;
    •análise de impacto nos negócios (BIA);
    •avaliação de riscos e ameaças;
    •estratégias de GCN;
    •programa de conscientização;
    •programa de treinamento;
  • Questão ERRADA.

    Tanto tem relação com o gerenciamento de riscos que ela é uma norma complementar ao gerênciamento de riscos. Não existe continuidade de negócio em uma empresa que não faça um gerencimento, mesmo que mínimo, dos riscos associados ao negócio da sua empresa.

    Na 15999-1 em seu item 3. que trata da Visão Geral da GCN diz:

    "A GCN é complementar a uma estrutura de gestão de riscos que busca entender os riscos às operações e negócios e suas consequências."
  • Dá para matar também com a ISO 27002 para quem nunca leu/estudou a ISO 15999-1.

    Segundo o ISO 27002,14.1.2 Continuidade de negócios e análise/avaliação de riscos,"

    Em função dos resultados da análise/avaliação de riscos, convém que um plano estratégico seja desenvolvido para se determinar a abordagem mais abrangente a ser adotada para a continuidade dos negócios.

    **A análise/avaliação de riscos faz parte da gestão de riscos, e a continuidade dos negócios é o objetivo da GCN."

  • Se ela não tiver pode ter a certeza de que a empresa entrará num caos em caso de algum sinistro


ID
801400
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à segurança da informação, bem como às técnicas,
às tecnologias e aos conceitos a ela relacionados, julgue os
próximos itens.

Em um processo de gestão de riscos de TI, é importante avaliar os riscos e estimar os seus impactos nos negócios da organização.

Alternativas
Comentários
  • Risk management is the identification, assessment, and prioritization of risks (defined in ISO 31000 as the effect of uncertainty on objectives, whether positive or negative) followed by coordinated and economical application of resources to minimize, monitor, and control the probability and/or impact of unfortunate events[1] or to maximize the realization of opportunities.

    http://en.wikipedia.org/wiki/Risk_management

    Não tem como gerir riscos de TI sem avaliá-los e estimar seus impactos nos negócios da organização...
  • Complementando:

    O item 8 da ISO 27005 - de técnicas de gestão de riscos de seguraná da informação - que trata de Análise/Avaliação de Riscos de Segurança da Informação contempla:
    "8.1 Descrição geral do processo de análise/avaliação de riscos de segurança da informação
     8.2 Análise de riscos
     8.2.1 Identificação de riscos
     8.2.2 Estimativa de riscos
     8.3 Avaliação de riscos"

ID
801574
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens seguintes, relacionados a segurança física, segurança
lógica e gestão de risco.

Na gestão de riscos, a análise de causalidade entre eventos representa uma forma de prever a ocorrência de eventos e modelá-los na forma de riscos.

Alternativas
Comentários
  • Gerenciamento de riscos (risk management information system) é o processo de suporte de soluções p/ o melhor custo/benefício do uso de TI e inclui:
    Identificação e avaliação de risco
    controle de risco
    cust do risco
  • Risco = probabilidade + ameaça (vulnerabilidade)

    Ou seja, a questão está certa, pois a ocorrência e análise de eventos pode expor vulnerabilidades que configuradas como ameaças, têm probabilidade de se concretizar.