SóProvas


ID
144679
Banca
CESPE / CEBRASPE
Órgão
SECONT-ES
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Um órgão público responsável pelo controle externo do
Poder Executivo de uma unidade da Federação desenvolveu um
conjunto de processos de auditoria de conformidade na gestão da
segurança da informação. As organizações para as quais o órgão
presta serviço implementaram sistemas de gestão da segurança da
informação, por força de normas, em aderência aos modelos
desenvolvidos pela ABNT e ISO/IEC, especialmente os
prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez
que várias organizações a serem auditadas já passaram cerca de
dois anos implementando seus sistemas de gestão, um
questionário de avaliação preliminar foi aplicado pelo órgão de
controle externo nas organizações clientes. Diferentes controles
do sistema de segurança da informação foram avaliados pelos
respondentes, tanto os de natureza física e lógica quanto os
organizacionais. A partir do recebimento dos resultados do
questionário preliminar, os auditores efetuaram uma visita à
organização e produziram diversos julgamentos acerca da
possível adequação dos controles implementados aos modelos
das normas mencionadas.

Tendo como referência as informações contidas na situação
hipotética apresentada acima, julgue os itens a seguir, a respeito
do julgamento realizado pelos auditores.

Se a análise do plano de tratamento de riscos de uma das organizações, no escopo de seu centro de dados, revelou que, para a eliminação de todos os riscos identificados no escopo, foi adotada a redução por meio de controles, é correto afirmar que tal abordagem está coerente com a prática do gerenciamento de riscos de segurança.

Alternativas
Comentários
  • Acho que o erro está na comparação de:"eliminação de todos os riscos"com"redução por meio de controles" (redução = mitigação).O que vocês acham?
  • Ficou confusa a questão.

    Foi dito "riscos identificados". E a eliminação de todos estes (riscos identificados) por meio de controles.

    Dizer que um erro é aceitável, diz que ele foi tratado, e no caso eliminado.

     

    Se ele não tivesse informado dos riscos "identificados", então realmente estaria errada. Pois é impossível elimitar todos os riscos "não identificados".

    Recurso.

  • Durante o Gerenciamento de Riscos de Segurança da Informação, a adoção de um tipo de tratamento não fará com que os riscos sejam eliminados, mas sim mitigados, ou seja, reduzidos a níveis aceitáveis. O erro está em dizer que os riscos poderiam ser eliminados.

    "... para a eliminação de todos os riscos identificados no escopo ..."
  • ERRADO. O gerenciamento de riscos de segurança prevê que a implementação dos controles deve estar de acordo com a relação custo-benefício. Se o custo para implementação dos controles, visando reduzir todos os riscos identificados no escopo, for maior que o benefício potencial promovido, essa abordagem se torna incoerente com a prática de gerenciamento de riscos.
  • ERRADO.

    Segundo a ISO 27005,p.22,"9.2 Redução do risco

    Ação: Convém que o nível de risco seja reduzido através da seleção de controles, para que o risco residual possa ser reavaliado e então considerado aceitável."

    ---------------------------------

    Segundo a ISO 27001,"3.9 risco residual:risco remanescente após o tratamento de riscos
    "

    **Portanto, a redução de riscos na etapa de tratamento de riscos não eliminará todos os riscos, visto que pode existir riscos residuais aceitáveis,ou seja, riscos que persistem mesmo após o tratamento de risco, e que podem ser aceitos.

  • Existe mais de uma maneira de se tratar o risco: Aceitar, mitigar, evitar, transferir e explorar. No caso da organização em questão foi utilizado apenas um para todos os riscos da organização e isso não faz tanto sentido já que se trata de uma grande quantidade de riscos. As outras formas também encontrariam aplicação.

  • eliminação de todos os riscos identificados no escopo ...

    adotada a redução (?) por meio de controles 

  • ELIMINAR todos os riscos, adotando REDUÇÃO?