SóProvas

ID
224590
Banca
FCC
Órgão
METRÔ-SP
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre segurança da informação, considere:

I. Ameaça: algo que possa provocar danos à segurança da informação, prejudicar as ações da empresa e sua sustentação no negócio, mediante a exploração de uma determinada vulnerabilidade.

II. Vulnerabilidade: é medida pela probabilidade de uma ameaça acontecer e o dano potencial à empresa.

III. Risco: ponto pelo qual alguém pode ser atacado, molestado ou ter suas informações corrompidas.

Está correto o que consta APENAS em

Alternativas
Comentários

  • Alternativa CORRETA letra D

    Em relação as definições incorretas, vejamos:

    Vulnerabilidade são as fraquezas presentes nos ativos de informação, que podem causar, intencionalmente ou não, a quebra de um ou mais dos três princípios de segurança da informação: confidencialidade, integridade, e disponibilidade.

    Risco é um termo abrangente, que é utilizado por dezenas de disciplinas relativas a segurança. No contexto de Segurança da Informação risco é tudo aquilo que pode acontecer em um momento futuro, associado ao seu impacto potencial.

  • Risco é a medida da exposição à qual o sistema computacional está
    sujeito. Depende da probabilidade de uma ameaça atacar o sistema e
    do impacto resultante desse ataque.
    Sêmola (2003, p. 50) diz que risco é a “probabilidade de ameaças
    explorarem vulnerabilidades, provocando perdas de
    confidencialidade, integridade e disponibilidade, causando,
    possivelmente, impactos nos negócios”. Como exemplo de um
    risco pode-se imaginar um funcionário insatisfeito e um martelo ao seu
    alcance; nesse caso o funcionário poderia danificar algum ativo da
    informação. Assim pode-se entender como risco tudo aquilo que traz
    danos às informações e com isso promove perdas para a organização

    Risco: é medido pela probabilidade de uma ameaça acontecer e
    causar algum dano potencial à empresa.
    Existem algumas maneiras de se classificar o grau de risco no mercado
    de segurança, mas de uma forma simples, poderíamos tratar como alto,
    médio e baixo risco. No caso do nosso exemplo da sala dos servidores,
    poderíamos dizer que, baseado na vulnerabilidade encontrada, a
    ameaça associada é de alto risco.

  • vulnerabilidade é uma fragilidade que poderia ser explorada por umaameaça para concretizar um ataque.

    O conhecimento do maior número de vulnerabilidades possíveis permite
    à equipe de segurança tomar medidas para proteção, evitando assim
    ataques e conseqüentemente perda de dados. Não há uma receita ou
    lista padrão de vulnerabilidades. Esta deve ser levantada junto a cada
    organização ou ambiente em questão. Sempre se deve ter em mente o
    que precisa ser protegido e de quem precisa ser protegido de acordo
    com as ameaças existentes.
    Podemos citar, como exemplo inicial, uma análise de ambiente em uma
    sala de servidores de conectividade e Internet com a seguinte
    descrição: a sala dos servidores não possui controle de acesso físico!!
    Eis a vulnerabilidade detectada nesse ambiente.

  • ***Ameaça é algo que possa provocar danos à segurança da informação,
    prejudicar as ações da empresa e sua sustentação no negócio,
    mediante a exploração de uma determinada vulnerabilidade.
    Em outras palavras, uma ameaça é tudo aquilo que pode
    comprometer a segurança de um sistema, podendo ser acidental
    (falha de hardware, erros de programação, desastres naturais, erros do
    usuário, bugs de software, uma ameaça secreta enviada a um endereço

    incorreto etc) ou deliberada (roubo, espionagem, fraude, sabotagem,
    invasão de hackers, entre outros).
    Ameaça pode ser uma pessoa, uma coisa, um evento ou uma ideia
    capaz de causar dano a um recurso, em termos de confidencialidade,
    integridade, disponibilidade etc. Seguindo o exemplo da sala dos
    servidores, poderíamos identificar a ameaça da seguinte forma:
    fraudes, sabotagens, roubo de informações, paralisação dos serviços.
    Basicamente existem dois tipos de ameaças: internas e externas.
     

  • Item correto letra D

    Nos itens II e III o examinador inverteu os conceitos, sendo correto afirmar:

    Vulnerabilidade: ponto pelo qual alguém pode ser atacado, molestado ou ter suas informações corrompidas;

    Risco: é medido pela probabilidade de uma ameaça acontecer e o dano potencial à empresa.
  • Não vou nem entrar no mérito das outras opções pois estão bem óbvias, mas RISCO, é caracterizado como a probabilidade de algo NEGATIVO ou POSITIVO de ocorrer.

    Exemplo: Se eu roubar uma casa, eu corro o risco de ser preso. Mas se eu jogo na megasena, eu corro o risco de ficar milionário.

    É isso !!

    Bons estudos a todos !!
  • Perfeito Marcelo!

    Todavia, salienta-se que, até onde sei, para as normas de segurança o risco é no sentido negativo, apenas. Não é na mesma visão do PMBOK, por exemplo,onde risco é algo ruím ou, num outro cenário, uma oportunidade. Tanto é que as ações de tratamento de riscos, na visão da norma 27005, são reduzir, reter (aceitar), eliminar ou transferir, não há nada como explorar, melhorar ou compartilhar - estes previstos no PMBOK como ações para riscos "positivos".

  • Palavra chave para o RISCO: probabilidade
    que é medido seguindo a equação:

    R = VAI / M  (V=Vulnerabilidade; A=Ameaça; I=Impacto; M=Medida de Segurança | Dica: vai a merda)