SóProvas

ID
235972
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à análise de risco em segurança da informação, considere os tipos de risco a seguir.

I. Dano físico, como fogo, vandalismo e desastres naturais.
II. Perda de dados, seja intencional ou não.
III. Falha de equipamento.
IV. Risco de mercado e perda de investimento.

Assinale:

Alternativas
Comentários
  • O risco de mercado e a perda de investimento deve ser levado em consideração âmbito empresarial e de estratégia de negócios, mas não no âmbito da segurança da informação. A norma ISO 27005 compreende os demais riscos citados na questão.
    Portanto, a letra A está correta.
  • Adriana o seu argumento está correto porém sua conclusão não. O gabarito é a letra A mesmo!
    O enunciado enfatiza ˜análise de risco em segurança da informação˜.

  • É mesmo, tinha trocado o gabarito do comentário. Mas agora já corrigi. Valeu.

  • Discordo.
    7.2 Critérios básicos
    Critérios para avaliação de riscos
    Convém que os critérios para a avalição de riscos sejam desenvolvidos para avaliar os riscos de segurança da informação na organização, considerando os seguintes itens:
    ...
    Expectativas e percepções das partes interessadas e consequências negativas para o valor de mercado (em especial, no que se refere aos fatores intangíveis desse valor), a imagem e a reputação.

    Critérios de impacto
    Convém que os critérios de impacto sejam desenvolvidos e especificados em função do montante dos danos ou custos à organização causados por um evento relacionado a segurança da informação, considerando o seguinte:
    ...
    Perda de oportunidades de negócio e de valor financeiro
    Dano à reputação

    Não há essa dissociação da segurança da informação e do negócio.
    Essa visão míope da tecnologia da informação é combatida pelos conceitos e pilares da Governança de TI.

    Se há na organização um ativo que possua riscos associados ao mercado ou a investimentos, a partir da análise/avaliação de riscos serão definidos controles/tratamento para ele.
    O problema é que quem fez a questão também é portador dessa miopia da TI.
  • Concordo com o Leonardo Marcelino Teixeira, 
    Mas a questão não afrontou esse princípio, pois da Governança deve se preocupar com o negócio mas somente com o que estiver sob sua alçada.
    Ao meu ver, o erro da alternativa IV está no "Risco de mercado", que é definido como "a possibilidade de ocorrência de perdas resultantes da flutuação nos valores de mercado de posições ativas e passivas detidas pelas instituições financeiras (..). O risco de mercado inclui os riscos das operações sujeitas à variação cambial, taxa de juros, preços das ações e dos preços de mercadorias (commodities)."
    Portanto, o Risco de Mercado é algo que vai muito além das capacidades de prevenção de qualquer empresa.
  • Segundo a norma 27005, em sua parte introdutória, o processo de gestão de riscos em segurança da informação faz parte de um processo maior, presente nas organizações: O processo de gestão de riscos corporativos. Sendo assim, os itens I, II e III são questões afetas à area de atuação do processo de gestão de segurança da informação, enquanto o item IV é gerido e tratado pelo processo de gestão de riscos corporativos.

  • Gabarito A

    Risco de mercado e perda de investimento, não são risco de Segurança da Informação.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !