SóProvas

ID
129955
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca dos conceitos de gerência de riscos, julgue os itens que se
seguem.

O impacto causado por um incidente de segurança é proporcional ao tipo de vulnerabilidade encontrada em um ativo, ou seja, quanto maior a vulnerabilidade, maior o impacto, e vice-versa.

Alternativas
Comentários
  • Para responder essa questão,faremos uma analogia a um caso real: imaginemos duas casas onde na primeira o dono a deixa sempre aberta,sem cadeados,sem grades de proteção (MAIS VULNERÁVEL). A segunda,o dono se cerca de atitudes de proteção,como utilização de alarmes,grades de proteção e cadeados nas portas (MENOS VULNERÁVEL). Caso as duas casas fossem aassaltadas,qual dos dois proprietários teriam o maior impacto? Certamente o que se cercou de vários cuidados,ou seja, o menos vulnerável.Portanto, quanto menor a vulnerabilidade,maior o impacto e vice-versa.
  • Para responder essa questão,faremos uma analogia a um caso real: imaginemos duas casas onde na primeira o dono a deixa sempre aberta,sem cadeados,sem grades de proteção (MAIS VULNERÁVEL). A segunda,o dono se cerca de atitudes de proteção,como utilização de alarmes,grades de proteção e cadeados nas portas (MENOS VULNERÁVEL). Caso as duas casas fossem aassaltadas,qual dos dois proprietários teriam o maior impacto? Certamente o que se cercou de vários cuidados,ou seja, o menos vulnerável.Portanto, quanto menor a vulnerabilidade,maior o impacto e vice-versa.
  • Não consegui encontrar uma resposta técnica em nenhum livro para esta questão. No meu entender  esse impacto diz respeito aos danos sofridos pelo sistema num eventual incidente de segurança,  então deduzi que quanto maior a vulnerabilidade maior seria o impacto sofrido. Sinceramente  não  entendi muito bem  a analogia feita pela colega. A questão parece um pouco dúbia.
    Se alguém souber explicar...
  • Usando a analogia das casas postado pela Colega, ter uma casa com menos itens de segurança não quer dizer que um assalta a ela teria maior impacto do que em uma casa com menos itens de segurança. O mesmo se pode dizer de uma vulenrabilidade encontrada em um ativo. Não se pode afirmar que quanto maior a vulnerabilidade em um ativo maior será o impacto.
  • Na minha análise, o impacto é medido pelo tipo de ativo, quanto mais sensível, maior o impacto  para a organização em caso de invasão. 
    É o caso de documentos secretos e documentos organizacionais. O maior impacto é se o secreto for acessado indevidamente.
  • O impacto não depende somente da vulnerabilidade, depende também do tipo de ativo. Logo é errado afirmar com certeza que quanto maior a vulnerabilidade maior será o impacto. Vai depender também do tipo do ativo que apresenta aquela vulnerabilidade.
  • O 'estrago' não tem a ver com a vulnerabilidade.
    O bandido poderia entrar na casa mais desprotegida, e roubar apenas uma caneta, ou entrar na casa protegida e roubar tv, som, dvd, joias....
    A proteção nao interfere no dano
  • O impacto gerado independe da vulnerabilidade. O impacto tem dependência da probabilidade de ocorrência para, assim, mensurar o risco em uma matriz impacto X probabilidade como esta: http://siigrupo7.wikispaces.com/file/view/screenshot.11.jpg/147314705/screenshot.11.jpg

  • ERRADO.

    Segundo Sêmola(2014,p.49),"A gravidade de um incidente pode ser analisada em termos qualitativos e quantitativos, sendo medida pelo seu impacto."

    Segundo a ISO 27005,p.16,"Um cenário de incidente é a descrição de uma ameaça explorando uma certa vulnerabilidade ou um conjunto delas em um incidente de segurança da informação. impacto dos cenários de incidentes é determinado considerando-se os critérios de impacto definidos durante a atividade de definição do contexto."


    **Juntando os dois pedaços das duas fontes acima, podemos concluir que A GRAVIDADE DE UMA AMEAÇA EXPLORANDO UMA CERTA VULNERABILIDADE É MEDIDA PELO SEU IMPACTO, NÃO APENAS PELA VULNERABILIDADE COMO AFIRMA A QUESTÃO, ATÉ PORQUE A PRESENÇA DE UMA VULNERABILIDADE, POR SI SÓ, NÃO CAUSA PREJUÍZO; POIS PRECISA DE UMA AMEAÇA PARA EXPLORÁ-LA. 


    Bibliografia:

    -ISO 27005

    - GESTÃO DE SEGURANÇA DA INFORMAÇÃO-SÊMOLA-2 EDIÇÃO 2014.