SóProvas

ID
1682740
Banca
CESPE / CEBRASPE
Órgão
STJ
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Com base nas normas ISO 27001, ISO 27002, ISO 27003, ISO 27004 e ISO 27005, relativas à segurança de ativos de informação das organizações, julgue o item a seguir.

De acordo com a norma ISO 27005, na estimativa de riscos, podem ser aplicadas metodologias qualitativas para a identificação de riscos.


Alternativas
Comentários

  • Gabarito Certo

    Metodologias para a estimativa de riscos : a estimativa de risco pode ser realizada em diversos graus de detalhamento, já que a análise/avaliação de riscos normalmente é feita em pelo menos duas iterações do processo. A primeira iteração seria de alto nível com o objetivo de identificar os grandes riscos que a organização está exposta e para tanto utilizaria um método qualitativo. Uma segunda iteração mais detalhada utilizaria métodos quantitativos para estimar os riscos considerados mais graves pela organização.

    Os métodos de estimativa qualitativa utilizam uma escala de palavras que qualificam ou que descrevem a gravidade das consequências identificadas, como por exemplo, pequeno, médio e grande, e a probabilidade das ameaças ocorrerem. Um método qualitativo é de fácil compreensão por qualquer pessoa e pouco oneroso, porém a dependência à escolha subjetiva da escala é uma desvantagem. Conforme a ISO/IEC 27005, a estimativa qualitativa pode ser utilizada: 

    (i) como uma verificação inicial a fim de identificar riscos que exigirão uma análise mais detalhada; 

    (ii) quando esse tipo de análise é suficiente para a tomada de decisões;

    (iii) quando os dados numéricos ou recursos são insuficientes para uma estimativa quantitativa.

    Os métodos de estimativa quantitativos utilizam escalas com valores numéricos para definir as consequências e a probabilidade. Utilizam, na maioria dos casos, dados históricos de incidentes que podem ser relacionados aos objetivos e interesses da organização, porém a falta desses dados principalmente sobre novos riscos inviabiliza a sua utilização. Uma desvantagem da abordagem quantitativa ocorre quando dados factuais e auditáveis não estão disponíveis. Nesse caso, a exatidão da análise/avaliação de riscos e os valores associados tornam-se ilusórios. Por isso, a incerteza e a variabilidade das consequências e da probabilidade devem ser consideradas na análise e comunicadas de forma eficaz.


  • 8.3 Análise de riscos

    8.3.2 Avaliação das consequências

    8.3.3 Avaliação da probabilidade dos incidentes

    8.3.4 Determinação do nível de risco
    Diretrizes para implementação:
    A análise de riscos designa valores para a probabilidade e para as consequências de um risco. Esses valores podem ser de natureza quantitativa ou qualitativa. A análise de riscos é baseada nas consequências e na probabilidade estimadas. Além disso, ela pode considerar o custo-benefício, as preocupações das partes interessadas e outras variáveis, conforme apropriado para a avaliação de riscos. O risco estimado é uma combinação da probabilidade de um cenário de incidente e as consequências.

    Fonte: NBR ISO/IEC 27005:2011

  • Errei a questão pois considerei que no trecho "para a identificação de riscos" o examinador estava se referindo ao sub-processo Identificação dos Riscos de Segurança da Informação. Assim, achei que ele estava querendo trocar "Análise de riscos" por "Identificação dos Riscos".

  • Achei a questão estranha. Pensei que o processo de identificação já tivesse ocorrido ao chegar no processo de estimativa.

  • Estimativa de risco – estimativa qualitativa:
    - Utiliza uma escala com atributos qualificadores que descrevem a magnitude das consequências potenciais;
    - Por exemplo: Pequena, Média e Grande;
    Estimativa de risco – estimativa quantitativa:
    - Utiliza uma escala com valores numéricos tanto para consequências, quanto para a probabilidade;
    - Usa referências históricas dos incidentes para tal;
    - Novos riscos e fragilidades e são um problema;
    Estimativa de risco – avaliação das consequências:
    - Avalia as consequências para cada cenário de incidente identificado;
    Estimativa de risco – avaliação das probabilidades:
    - A partir da lista de cenários e controles, avalia a probabilidade dos cenários de incidente;
    Estimativa de risco – nível:
    - Estima o nível para cada risco e produz uma lista de risco com níveis (valores) designados.

    fonte: provas de ti

  • tô contigo flash!

    o método qualitativo é usado para estimar os riscos, não para identificá-los...pra eu poder usar o método qualitativo, estes já devem estar identificados!

  • Análise qualitativa pra IDENTIFICAR riscos??????????????????? examinador fumou 1 kg de crack antes de elaborar essa questão

  • Questão meio confusa mesmo. De início errei porque não entendi que não fazia sentido identificar riscos estando na fase de estimativa.

    Porém analisando mais a fundo a questão, o que pude entender é que de fato a estimativa qualitativa pode ser usada na fase de estimativa de riscos. Como durante o uso da estimativa qualidade podem surgir situações que acabam identificando riscos que precisam de maiores detalhes, talvez foi aí que a questão quis abordar. Mas confesso que da forma como foi escrita não da pra entender dessa forma.