SóProvas

ID
241870
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação, julgue os itens seguintes.

Define-se vulnerabilidade em um ambiente computacional como a causa potencial de ocorrer um incidente indesejado, a qual pode resultar, ou não, em prejuízos para uma organização e seus ativos.

Alternativas
Comentários

  • O que foi dito na questão refere-se a risco e não vulnerabilidade. Vejam abaixo algumas definições importantes da ISO 27002:


    Risco – combinação da probabilidade de um evento e de suas consequências.
    nAmeaça – causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.

    Vulnerabilidade – fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

    Evento de segurança da informação – ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.

    Incidente de segurança da informação – um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação

  • O colega leoh abaixo deifiniuy muito bem os conceitos da ISO 27002, apenas se confundiu que a questão se refere a ameaça e não risco, como ele mesmo postou nas definições.

    []'s

  • A questão refere-se à ameaça!!!
  • Vulnerabilidade: são fraquezas presentes nos ativos de informação (tecnologia, pessoas, processos e ambientes).
    Ameaça: agente externo ao ativo de informação que se aproveita das vulnerabilidades para quebrar o CID (confidencialidade, integridade ou disponibilidade).
    Incidente: ocorrência de um evento que possa causar interrupções ou prejuízos aos processos de negócio.
    Impacto: potenciais prejuizos causados por um incidente.

    A questãoi afirma que vulnerabilidade é a causa de ocorrer um incidente. Deveria estar correta.


  • Complemento para estudo (Relação Ameaça x Vulnerabilidade)(Algo além dos conceitos mencionados pelos demais colegas)

    Segundo a ISO 27005, 8.2.1.5 Identificação das vulnerabilidades"

    A presença de uma vulnerabilidade não causa prejuízo por si só, pois precisa haver uma ameaça presente para explorá-la. Uma vulnerabilidade que não tem uma ameaça correspondente pode não requerer a implementação de um controle no presente momento, mas convém que ela seja reconhecida como tal e monitorada, no caso de haver mudanças. Note-se que um controle implementado, funcionando incorretamente ou sendo usado incorretamente, pode, por si só, representar uma vulnerabilidade. Um controle pode ser eficaz ou não, dependendo do ambiente no qual ele opera. Inversamente, uma ameaça que não tenha uma vulnerabilidade correspondente pode não resultar em um risco."

  • ✅Gabarito(Errado)

    Ameaça

    Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.

    Fontes: ABNT/CB-21 PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) AGOSTO:2011