SóProvas

ID
1055593
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de gestão de continuidade de negócio (GCN), julgue os itens que se seguem.

Vulnerabilidades são falhas desconhecidas e que não possuem risco identificado; por essa razão, o plano de continuidade do negócio não proporciona tratamento para vulnerabilidades.

Alternativas
Comentários

  • ERRADO.

    Segundo a ISO 27002, Termos e definições,

    "2.17 Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças."

    Segundo a ISO 27002,

    14.1.3 Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação,

    "Diretrizes para implementação

    Convém que o plano de continuidade do negócio trate as vulnerabilidades da organização, que pode conter informações sensíveis e que necessitem de proteção adequada."

  • Assertiva ERRADA. 


    Não tem como você tratar de vulnerabilidades pois elas são desconhecidas, mas tem como você incluir elas no plano de negócio pois sabe-se que elas existem. 

  • "Não tem como você tratar de vulnerabilidades pois elas são desconhecidas, (...)": Cuidado, vulnerabilidades podem muito bem ser conhecidas. Lembrando que vulnerabilidade é inerente ao ativo. Por exemplo, você sabe que seu sistema não possui anti-vírus e pode ser invadido por vírus, hackers, etc (ameaças exploram vulnerabilidades e podem causar incidentes). Dessa forma, a ideia é você fazer uma análise/avaliação de riscos e selecionar controles para combater essas ameaças.


    Analisando a questão:
    "Vulnerabilidades são falhas desconhecidas (...)": Errado! Vulnerabilidades não são falhas, são fragilidades nos ativos, podem ser ou não conhecidos!

    "(...) e que não possuem risco identificado; (...)": Bom, ameaças exploram vulnerabilidades e podem causar incidentes. Incidentes são 1 ou mais eventos de segurança. Risco é a probabilidade e consequência de um evento de segurança. Ou seja, uma vulnerabilidade pode sim indicar um Risco. Correto esse trecho.

    "(...) por essa razão, o plano de continuidade do negócio não proporciona tratamento para vulnerabilidades.": OK. Convém que o plano de continuidade do negócio trate as vulnerabilidades da organização, que pode conter informações sensíveis e que necessitem de proteção adequada."

  • Se eu vejo uma questão que REBAIXA a Gestão de Continuidade de Negócios já fico louco para marcar ERRADO.

    Quase todos as boas práticas de TI cita sobre a Gestão de Continuidade