SóProvas

ID
1055581
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, a respeito da gestão de riscos.

Todos os riscos de segurança da informação identificados deverão ser tratados, visto que qualquer risco não tratado constitui uma falha de segurança.

Alternativas
Comentários
  • Existe a possibilidade de aceitação dos riscos.

    A atividade de aceitação do risco tem de assegurar  que os riscos residuais sejam explicitamente aceitos pelos gestores da organização. Isso é especialmente importante em uma situação em que a implementação de controles é omitida ou adiada, por exemplo, devido aos custos."
    "

  • Achei meio estranho isso, porque Aceitar o Risco é uma opção de Tratamento do Risco, de acordo com a ISO 27002. Logo, aceitar é também tratar um risco. Então, continuo à procura da justificativa da questão.   =)

  • Questão estranha. Opções de tratamento de acordo com a 27002:

    Aplicar controles apropriados para reduzir os riscos;

    Conhecer e objetivamente aceitar os riscos;

    Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos;

    Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.

    Outra frase que consta na iso 27002:

    "Para cada um dos riscos identificados com base na análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada"

  • A possibilidade de aceitação de um risco não deixa de ser um tratamento...continuo sem entender o erro da questão!

  • ISO 27005

    Anexo E (Informativo)

    Abordagens para o processo de avaliação de riscos de segurança da informação

    E.1 Processo de avaliação de riscos de segurança da informação - Enfoque de alto nível

    Uma avaliação de alto nível permite definir prioridades e uma cronologia para a execução das ações. Por várias razões, como por exemplo o orçamento, talvez não seja possível implementar todos os controles simultaneamente e, com isso, somente os riscos mais críticos podem ser tratados durante o processo de tratamento do risco. Da mesma forma, pode ser prematuro dar início a uma forma de gestão de riscos muito detalhada se a implementação só será contemplada após um ou dois anos. Para alcançar esse objetivo, uma avaliação de alto nível pode começar com um exame também de alto nível das consequências, em vez de começar por uma análise sistemática das ameaças, vulnerabilidades, ativos e consequências.

  • Nao podemos afirmar que todo risco não tratado caracteriza uma falha de segurança. Falha de segurança é o não tratamento dos riscos mensuráveis, ou seja, aqueles riscos que têm maior grau de probabilidade de se concretizar.

  • Gabarito Errado

    Alguns riscos são aceitáveis e outros são transferidos.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !