SóProvas

ID
144682
Banca
CESPE / CEBRASPE
Órgão
SECONT-ES
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Um órgão público responsável pelo controle externo do
Poder Executivo de uma unidade da Federação desenvolveu um
conjunto de processos de auditoria de conformidade na gestão da
segurança da informação. As organizações para as quais o órgão
presta serviço implementaram sistemas de gestão da segurança da
informação, por força de normas, em aderência aos modelos
desenvolvidos pela ABNT e ISO/IEC, especialmente os
prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez
que várias organizações a serem auditadas já passaram cerca de
dois anos implementando seus sistemas de gestão, um
questionário de avaliação preliminar foi aplicado pelo órgão de
controle externo nas organizações clientes. Diferentes controles
do sistema de segurança da informação foram avaliados pelos
respondentes, tanto os de natureza física e lógica quanto os
organizacionais. A partir do recebimento dos resultados do
questionário preliminar, os auditores efetuaram uma visita à
organização e produziram diversos julgamentos acerca da
possível adequação dos controles implementados aos modelos
das normas mencionadas.

Tendo como referência as informações contidas na situação
hipotética apresentada acima, julgue os itens a seguir, a respeito
do julgamento realizado pelos auditores.

Considere que o plano de classificação de ativos de uma das organizações auditadas valore os ativos usando uma metodologia mista, isto é, empregando ora a valoração qualitativa, ora a valoração quantitativa. Nesse caso, tal abordagem produz desconformidades com o prescrito em modelos da ABNT e da ISO/IEC, uma vez que se deve adotar um ou outro modelo, mas não ambos simultaneamente.

Alternativas
Comentários

  •  Na classificação dos ativos de uma organização poderia ser adota as duas formas de valoração, por exemplo, os projetos da organização poderiam ser classificados em confidenciais ou públicos, esse tipo de valoração seria qualitativa, agora um exemplo de tipo de valoração quantitativa, seria o risco de ocorrer um incêndio no prédio que se encontram meus servidores de banco de dados, 5% de chance.

  • Aqui está o erro da questão: "Nesse caso, tal abordagem produz desconformidades com o prescrito em modelos da ABNT e da ISO/IEC, uma vez que se deve adotar um ou outro modelo, mas não ambos simultaneamente."

    Não produz desconformidade pois a Norma permite a mistura dos dois métodos. 
  • Thiago,
    Em qual norma e em que parte dela eu encontro que permite o uso dos dois métodos ?

  • Lembrando também que a norma cita que é preferível o uso da valoração quantitativa, devido a subjetividade da qualitativa... 

  • Creio que a 27002 não especifica como valorar os ativos. Ela apenas diz o seguinte:


    7.1.1 - Inventário dos ativos


    "[...] (mais informações sobre como valorar os ativos para indicar a sua importância podem ser encontrados na ISO IEC TR 13335-3)"


    Resta ler essa 13335-3 para tentar encontrar essa questão de "qualitativamente vs quantitativamente".

  • ISO 27005. Isso no caso da gestão de riscos por exemplo.

    8.2.2.1 Metodologias para a estimativa de riscos

    A análise de riscos pode ser empreendida com diferentes graus de detalhamento, dependendo da criticidade dos ativos, da extensão das vulnerabilidades conhecidas e dos incidentes anteriores envolvendo a organização. Uma metodologia para a estimativa pode ser qualitativa ou quantitativa ou uma combinação de ambos, dependendo das circunstâncias.