SóProvas

ID
208834
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.

Um incidente de segurança da informação refere-se a um ou mais riscos não desejados ou esperados que possuem significativa probabilidade de comprometer os ativos de informação e ameaçam a segurança da informação.

Alternativas
Comentários

  • Incidente é uma ameça que aconteceu, o texto da questão está se referindo a ameças e não incidente.

  • Desculpe, mas tenho que discordar do colega.

    Segundo a ISO 27001, um incidente de segurança é um simples ou uma série de EVENTOS de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

    Logo, o erro da questão está ao afirmar que um incidente refere-se a um ou mais riscos.

  • Mas como o conceitos de riscos é:

           Risco - combinação da probabilidade de um evento e de suas consequências.

    , no meu entendimento o risco envolve o evento, conseguentemente a questão estaria correta.
  • Caro Amarildo,

    Um risco envolve a PROBABILIDADE de um evento e não a ocorrencia do evento em si. Por isso a questão está errada, conforme a explicação da Thays. E além disso temos que são eventos INesperados.
  • Para confirmar, incidente é um simples evento ou uma série de eventos de segurança da informação INDESEJADOS ou INESPERADOS, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. 
  • Outro ponto importante ainda não comentado é que a questão afirma " (...) que possuem significativa probabilidade de comprometer os ativos de informação(...)". Deve haver probabilidade de comprometimento das operações de negócio, não dos ativos.
  • Senhores a Thays não citou a fonte completa, vou só citar para facilitar o estudo de vocês. Ela encontrou a resposta na norma ISO 27001. Segue a bibliografia da mesma resposta na ISO 27002.


    Seção

    2 TERMOS E DEFINIÇÕES
    2.7 incidente de segurança da informação

    Segundo ISO 27002, p. 22 "Um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação."

  • Assertiva incorreta.
    Gente, temos que nos atentar a norma que está sendo cobrada aqui que é a ISO 27005 que tem uma visão um pouco diferente da norma ISO 27001.
    Um Incidente de segurança da Informação é quando ele já aconteceu. Então não é algo que tem probabilidade de acontecer. Nesse segundo caso é o RISCO
    Para deixar mais claro vou dar um exemplo:
    Eu tenho um servidor que não está devidamente atualizado com as últimas atualizações de segurança do fabricante. (Existe o risco, porque se já existe a atualização significa que já se tornou uma falha conhecida = vulnerabilidade no meu ativo = servidor. Mas ninguém = ameaça invadiu ou explorou tal vulnerabilidade do meu ativo.)
    No final de semana, um ATACANTE consegue invadir o meu servidor através da vulnerabilidade do meu ativo. (Então neste caso obtivemos um incidente de segurança da informação. Porque a ameaça conseguiu explorar a vulnerabilidade do meu ativo. Aconteceu.)

    Motorista bêbado = Risco de acidente. (Risco)
    Bateu ou atropelou alguém = Acidente concretizado (Incidente)

  • Concordo Daniel, mas um incidente não tratado vira um risco novamente!
    Afinal, para que serviria um incidente, dentro da política de segurança de uma instituição - uma vez que ele já ocorreu, com suas possíveis consequências - se não fosse para ser considerado um risco e tratado?
    Isso é uma prova sobre um tema que vamos usar enquanto funcionários públicos ou uma prova infantil de memorização?
    Devemos lembrar que a 27.001 se baseia no ciclo PDCA, que é um ciclo de negócios contínuos...ou seja, um incidente é um risco sim! E isso, mesmo que aquele incidente já estivesse sendo considerado como risco residual ou aceitável...
    Acho que pra ser professor de faculdade e poder fazer questão, deveria que ter, tipo, 10 anos de experiência comprovada no mercado...Sou Analista de TI de uma Federal...e o que acaba com o universo da inteligência e do talento, chama-se stricto sensu!