SóProvas

ID
144676
Banca
CESPE / CEBRASPE
Órgão
SECONT-ES
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Um órgão público responsável pelo controle externo do
Poder Executivo de uma unidade da Federação desenvolveu um
conjunto de processos de auditoria de conformidade na gestão da
segurança da informação. As organizações para as quais o órgão
presta serviço implementaram sistemas de gestão da segurança da
informação, por força de normas, em aderência aos modelos
desenvolvidos pela ABNT e ISO/IEC, especialmente os
prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez
que várias organizações a serem auditadas já passaram cerca de
dois anos implementando seus sistemas de gestão, um
questionário de avaliação preliminar foi aplicado pelo órgão de
controle externo nas organizações clientes. Diferentes controles
do sistema de segurança da informação foram avaliados pelos
respondentes, tanto os de natureza física e lógica quanto os
organizacionais. A partir do recebimento dos resultados do
questionário preliminar, os auditores efetuaram uma visita à
organização e produziram diversos julgamentos acerca da
possível adequação dos controles implementados aos modelos
das normas mencionadas.

Tendo como referência as informações contidas na situação
hipotética apresentada acima, julgue os itens a seguir, a respeito
do julgamento realizado pelos auditores.

Considere que, em uma organização, os auditores observaram que algumas das atividades de identificação de riscos foram efetuadas parcialmente, na seguinte sequência: inventário dos ativos; identificação de ameaças; e identificação de vulnerabilidades. Nesse caso, a sequência de levantamento de dados realizada está coerente com o indicado na Norma 27.005.

Alternativas
Comentários
  • 8.2 Risk analysis
    8.2.1.2 Identification of assets
    8.2.1.3 Identification of threats
    8.2.1.4 Identification of existing controls
    8.2.1.5 Identification of vulnerabilities

    A resposta está correta, no entanto poderia ser mais completa adicionando a identificação de controles existentes.

    Bons estudos, pessoal.
  • Se não está na sequência correta ou não lista a atividade, então, ao meu ver a resposta está errada.
  • Gilberto, as atividades seriam:

    8.2.1.2
    Identificação dos ativos
    8.2.1.3
    Identificação das ameaças
    8.2.1.4
    Identificação dos controles existentes
    8.2.1.5
    Identificação das vulnerabilidades
    8.2.1.6
    Identificação das conseqüências

    Essa é a ordem descrita na norma, porém se a ordem utilizada fosse diferente, creio que a questão também seria correta pois há a seguinte nota na iso 27005

    8.2 Análise de riscos
    8.2.1
    8.2.1.1
    Identificação de riscos
    Introdução à identificação de riscos
    O propósito da identificação de riscos é determinar eventos que possam causar uma perda potencial e deixar claro
    como, onde e por que a perda pode acontecer. As etapas descritas nas próximas subseções de 8.2.1 servem para
    coletar dados de entrada para a atividade de estimativa de riscos.
    NOTA
    Atividades descritas nas seções subseqüentes podem ser executadas em uma ordem diferente dependendo da
    metodologia aplicada
     
     

  • Essa questão pode causar uma certa dúvida, vejamos...

    Consoante a norma 27005 a ordem é essa:


    Análise de riscos

    Fases de Identificação de riscos (AACVC):

    - Identificação dos ativos;

    - Identificação das ameaças;

    - Identificação dos controles existentes;

    - Identificação das vulnerabilidades;

    Porém, vejamos que o termo na questão é inventário dos ativos. Daí temos que fazer uma correlação com a norma 27002 que fala acerca do inventário de ativos. Vejamos:


    7.1.1 Inventário dos ativos

    Controle: Convém que todos os ativos sejam claramente identificados e um inventário de todos os ativos importantes seja estruturado e mantido.


    Portanto, fiz a análise nesse sentido e marquei CERTO o gaba. Entretanto, confesso que fiquei em dúvida se estava elocubrando ou essa era a vibe do examinador. 

  • Pessoal, eu vejo esta questão como correta. A chave para matar a questão é que é dito: "(...) os auditores observaram que algumas das atividades de identificação de riscos foram efetuadas parcialmente(...)". Realmente as atividades não estão completas, o que concorda com o uso do PARCIALMENTE. Se nesta questão estivesse escrito TOTALMENTE, aí sim poderíamos marcar como errada, visto que estaria faltando, por exemplo, a identificação dos controles existentes.