SóProvas

ID
1208383
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a norma ABNT NBR ISO/IEC n.º 27005, julgue os próximos itens, no que se refere à gestão de riscos da segurança da informação.

Para a fase de tratamento do risco da segurança da informação, essa norma estabelece quatro possíveis ações não mutuamente exclusivas: redução, retenção, prevenção e eliminação do risco.

Alternativas
Comentários

  • ERRADO. Senhores este é o trecho errado: "[...] redução, retenção, prevenção e eliminação do risco.". O resto da questão está correto. 

    Segundo a ISO 27005,"9.1 Descrição geral do processo de tratamento do risco

    Diretrizes para implementação:

    quatro opções disponíveis para o tratamento do risco: redução do risco, retenção do risco, evitar o risco e transferência do risco."

    -------------|||-------------

    Sobre o resto da questão. 

    Segundo a ISO 27005, 9.1 Descrição geral do processo de tratamento do risco,"As quatro opções para o tratamento do risco não são mutuamente exclusivas. Às vezes, a organização pode beneficiar-se substancialmente de uma combinação de opções, tais como a redução da probabilidade do risco, a redução de suas conseqüências e a transferência ou retenção dos riscos residuais."


  • Dizemos que dois ou mais eventos são mutuamente exclusivos quando a realização de um, exclui a realização do(s) outro(s).

    Ao analisar cada risco, deve-se decidir em qual dos 4 tipos de tratamento devemos enquadra-lo, ou seja, os tratamentos de riscos são mutuamente exclusivos;

    O erro da questão esta na palavra "não";

  • Realmente as opções de tratamento de riscos não são mutuamente exclusivas. O erro da questão está nas opções de tratamento de riscos que são: Reter, Mitigar, Evitar eTransferir

  • Analisando cada ação sugerida pela questão em relação à utilização de controles, temos:

    Redução: é necessária a seleção de controles, porém o risco não é eliminado e sim reduzido!

    Retenção: ou aceitar o risco, não é necessário utilizar nenhum controle.

    Prevenção: ou evitar o risco, não utiliza nenhum controle.

    Eliminação: não é possível, estando em uma situação em que há uma ameaça a uma vulnerabilidade de um ativo, na utilização de um controle, eliminar um risco. A opção seria evitar o risco, ou seja, evitar uma situação em que possa existir uma ameaça a um ativo. Em outras palavras, aliene o ativo ou não o adquira.

    Transferência: faltou esta ação na questão. Pode ser necessário selecionar controles para os novos riscos que podem surgir da escolha desta ação.

  • Ainda estaria ERRADA CONFORME A VERSÃO DE 2011.

    Segundo a ISO 27005:2011,"Há quatro opções disponíveis para o tratamento do risco: modificação do risco (ver 9.2), retenção do
    risco (ver 9.3), ação de evitar o risco (ver 9.4) e compartilhamento do risco (ver 9.5)."