SóProvas

ID
131320
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Atualmente, a informação é um importante ativo para praticamente todo o tipo de organização. A segurança desse ativo faz-se
necessária, seja por questão de conformidade com leis e contratos, seja para assegurar a continuidade do negócio. Acerca da segurança
da informação, bem como das normas e políticas a ela aplicáveis, julgue os itens a seguir.

A norma NBR ISO/IEC 27001 recomenda a adoção de abordagem qualitativa para a realização da análise de risco.

Alternativas
Comentários
  • ERRADO
    É possível uma abordagem quantitativa ou qualitativa. 
    Análise qualitativa é menos precisa, ou seja é mais subjetiva:
    • Associa palavras ou descrições para descrever probabilidades e impacto 
    • É baseada no "feeling" e em opiniões de funcionários-chave 
    É utilizada quando: 
    • Há falta de dados quantitativos sobre os ativos 
    • Há pouca experiência com a análise quantitativa 
    • O cronograma é apertado;

    Análise quantitativa 
    • Associa valores numéricos aos riscos e perdas potenciais 
    • Os resultados são revertidos em cifras 
    • Facilita o mapeamento de perdas 

    Características de utilização:
    • Adotada por grandes empresas 
    • Pode exigir cronogramas extensos 
    • Requer pessoal especializado
    • Fornece dados contundentes (em moeda) para definir seo custo da contramedida, vale mais ou menos que o risco

  • Errado

    Não se fala de abordagem qualitativa ou quantitativa na NBR ISO/IEC 27001 e sim na 27005

  • Complementando:

    Na norma 17799:2005 (27002:2005) deve-se fazer analise Quantitativa de riscos.

  • Rafael,
    Em que parte da 27002 diz que deve ser de forma quantitativa ?
  • O que a referida norma fala sobre a abordagem da análise de riscos é que ela deve seguir uma metodologia que assegure que as análises/avaliações de riscos produzam resultados COMPARÁVEIS e REPRODUZÍVEIS.
    A abordagem qualitativa (PROBABILIDADE/IMPACTO) pode ser utilizada pois produz resultados comparáveis e reproduzíveis, porém não é imposta pela norma. A norma cita como exemplo a ISO/IEC TR 13335-3.que chega a ter uma abordagem qualitativa mas é apenas um exemplo e não uma imposição.

  • Prezados,

    A ISO 27001 não recomenda a adoção de nenhuma abordagem especifica, nem qualitativa nem quantitativa.

    Vemos claramente na página 5 da referida ISO que ao estabelecer o SGSI a organização deve :

    c) Definir a abordagem de análise/avaliação de riscos da organização.

    1) Identificar uma metodologia de análise/avaliação de riscos que seja adequada ao SGSI e aos requisitos legais, regulamentares e de segurança da informação, identificados para o negócio.

    2) Desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis de risco (ver 5.1f)).


    A alternativa correta é : ERRADO.


  • Janete Lacerda,

     

    A norma pode até não recomendar, mas recomendar é diferente de impor.