SóProvas

ID
236038
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale a alternativa que indica corretamente o tipo de análise de risco que se refere à definição "O método que atribui valores monetários para os itens na avaliação de risco".

Alternativas
Comentários
  • Bseado no conceito dos processo de Realizar a Análise Qualitativa de Riscos e Realizar a Análise Quantitativa do  PMBok, presentes na área de conhecimento Gestão de Risco do Projeto, podemos chegar a reposta.

     Realizar a Análise Qualitativa de Riscos: Avalia a prioridade dos riscos identificados com base na probabilidade de ocorrerem e seu impacto nos objetivos do projeto.

    Realizar a Análise Quantitativa: Após a priorização feita pela análise qualitativa a análise quantitativa atribuí uma classificação numérica a esses riscos.
  • Tá, mas isso não diz que tem que ser valores monetários... por tem que ser exatamente a letra a?
  • Análise e Avaliação de Risco

    Durante o processo de Analise e Avaliação de Riscos é que serão feitos todos os levantamentos em relação as ameaças, vulnerabilidades, probabilidades e impactos aos quais os ativos estão sujeitos , esse é o processo mais trabalhoso  e de maior duração da Gestão de Riscos.

    Todas as informações identificadas aqui irão embasar decisões estratégicas e táticas relacionadas a segurança um erro nesse processo pode levar a julgamentos incorretos,comprometendo a efetividade de todo o programa de segurança de uma organização.

    Existem dois métodos que podem ser utilizados para executar esse processo: Quantitativo e Qualitativo

    Método Quantitativo – A métrica do risco é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco. Como resultado, o risco é representado em termos de possíveis perdas financeiras, isto é, em termos monetários. Método Qualitativo – Nesse método usarmos valores numéricos para estimar os componentes do risco, trabalharmos como menções mais subjetivas como alto, médio e baixo. Dessa forma, não há a necessidade que se levantem valores numéricos para os componentes do risco, o que torna o processo muito mais rápido.

    Nesse tipo de analise, os resultados dependem muito do conhecimento do profissional que atribui as notas aos componentes do risco que foram levantados. Por isso , a necessidade de se ter profissionais capacitados no processo é maior.

    Nesse exemplo temos os dois componentes do risco, impacto e probabilidade, sendo avaliados por meios de formas subjetivas. No caso da probabilidade, temos ainda seus dois componentes, ameaça e vulnerabilidade, também avaliados da mesma forma.

    Uma tabela entrecruzando os julgamentos leva uma escala numérica que , por sua vez, é avaliada perante uma segunda tabela que define o que é risco alto, médio e baixo.

    Essa tabela é baseada em três níveis de notas.Porem não significa que esse seja um modelo –padrão. Existe um consenso de que três níveis são insuficientes e mais do que cinco tornam o processo desnecessariamente complicado.
    Fonte:http://hercules-now.com/2010/01/12/gestao-de-riscos-%E2%80%93-topico-1-6/

  • Que lembre no PMBOK ele não cita a necessidade de estimar valores MONETÁRIOS na análise quantitavida e sim pesos atribuídos aos riscos.

  • A Norma 27005 não deixa isso claro - pelo menos não vi.
    Mas é importante não misturar ISO 27005 com PMBok.

    Acredito que, como a Avaliação Quantitativa traz valores numéricos, ela traduz maior granularidade de informação e acaba criando indicadores mais precisos, inclusive financeiro. A Avaliação Qualitativa dá uma dimensão nominal (baixo, médio ou alto risco), sendo mais rápida de implementar e não abrangendo detalhes específicos.
    Assim, daria para multiplicar "probabilidade 3 x impacto 4 x valor R$", mas não "probabilidade médio x impacto alto x valor R$".

  • Resposta: A

    -------------------------------------------

    Segundo a NBR ISO/IEC 27005

    8.2.2 Estimativa de riscos

    8.2.2.1 Metodologias para a estimativa de riscos

    b) Estimativa quantitativa:

    A estimativa quantitativa utiliza uma escala com valores numéricos (e não as escalas descritivas usadas na estimativa qualitativa)


  • Gabarito A

    Análise Qualitativa = Subjetiva

    Depois de termos identificado os riscos do projeto, iremos realizar a análise qualitativa dos riscos. Este é o processo de priorização dos riscos para análise ou ação adicional através da avaliação e combinação de sua probabilidade de ocorrência e impacto. Neste processo, faremos uma análise subjetiva com o propósito de priorizar riscos a partir da probabilidade de impacto medida durante a análise dos riscos e, também, determinar o que precisa ser analisado quantitativamente ou não antes de ser construído o plano de resposta aos riscos.

    As Entradas

    As entradas deste processo são o plano de análise de riscos, o registro dos riscos, a linha de base do escopo e os ativos de processos organizacionais. Com o plano de gerenciamento dos riscos temos o como fazer a análise e como priorizar os riscos, pois no plano encontraremos a matriz de impacto e e probabilidade. A linha de base do escopo irá nos apresentar as entregas que precisam de maior atenção devido a “estranhezas”, como tecnologias modernas ou entregas que nunca foram geradas pela organização. O registro dos riscos é fundamental, pois a partir do registro poderá ser feita a análise e a priorização. Por fim temos os ativos de processos organizacionais, que irão nos dar os subsídios para a elaboração da análise.

    As Técnicas

    As técnicas são seis: avaliação de probabilidade e impacto dos riscos, matriz de probabilidade e impacto, avaliação de qualidade dos dados sobre os riscos, categorização dos riscos, avaliação da urgência dos riscos e opinião especializada.

    Quando falamos em avaliação de probabilidade, acredito que seja mais importante apresentar a fórmula ER=P*I . Determinar probabilidades é algo subjetivo, mas uma vez que você tenha chegado ao número provável, pode ser produzido o Escore de Risco (ER) multiplicando a probabilidade (P) pelo impacto (I). É na matriz de probabilidade e impacto que podemos de fato utilizar a fórmula, pois iremos definir escalas de probabilidade e escalas de impacto. Em artigos futuros iremos apresentar no detalhe as ferramentas e técnicas, por ora é importante você manter em mente que tendo determinado as escalas, pode calcular o escore facilmente e, em consequência, montar sua matriz de probabilidade e impacto.

    Avaliar a qualidade dos dados sobre os riscos é validar os dados relacionados aos riscos. Categorizar os riscos é aprofundar o trabalho iniciado na identificação dos riscos a partir da matriz de impacto e probabilidade para poder utilizar este trabalho como entrada para o planejamento de resposta aos riscos. A avaliação da urgência dos riscos é a aplicação de uma escala pré-determinada de urgência ao escore de risco (ER) por meio da fórmula ER=P*I*U, sendo U a escala de urgência. Por fim, como quase sempre, temos a opinião especializada que, mais uma vez, dispensa comentários.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !