-
Ameaças e culnerabilidades são estabelecidos na fase de identificação dos riscos (na Análise de riscos)
-
a) identificação de ameaças e vulnerabilidaes ficam na etapa de identificação dos riscos
b) uma vulnerabilidade é uma fraqueza. Uma ameaça é uma circunstância que pode aproveitar da fraqueza para concretizar riscos.
c) a aceitação do risco não tem uma escala fechada de níveis. A organização é quem define.
d) não há referências quanto aos prazos citados na questão
e) gabarito
-
d) As normas ISO 27000 citam como regra análise crítica periódica ou a intervalos planejados. Portanto, é de se esperar que não haja referências nesse sentido.
-
LETRA E.
Segundo a ISO 27005:2011,"Há quatro opções disponíveis para o tratamento do risco: modificação do risco (ver 9.2), retenção do
risco (ver 9.3), ação de evitar o risco (ver 9.4) e compartilhamento do risco (ver 9.5).
(...)
As quatro opções para o tratamento do risco não são mutuamente exclusivas."
-
PROCESSOS DE GESTÃO DE RISCO
1. Definição do contexto
2. identificação de risco
3. análise de risco
4. avaliação de risco
5. Tratamento de risco (opções, não excludentes entre si: redução, retenção, evitação e transferência de risco).
6. Aceitação de risco
-
Gabarito E
Tratamento do risco
Implementar controles para reduzir, reter, evitar ou transferir os riscos. Se o tratamento do risco não for satisfatório, ou seja, não resultar em um nível de risco residual que seja aceitável, deve-se iniciar novamente a atividade ou o processo até que os riscos residuais sejam explicitamente aceitos pelos gestores da organização.
MO|R|E COM O RISCO
MO - modificar;
R - reter;
E - evitar;
COM - compartilhar
"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !
-
2018
a presença de vulnerabilidades, por si só, requer a previsão de controles para a mitigação dos riscos.
errada
D - Os riscos não são estáticos. As ameaças, as vulnerabilidades, a probabilidade ou as consequências podem mudar abruptamente, sem qualquer indicação. Portanto, o monitoramento constante é necessário para que se detectem essas mudanças. Serviços de terceiros que forneçam informações sobre novas ameaças ou vulnerabilidades podem prestar um auxílio valioso.
-
a) Na etapa de definição do contexto, a organização busca atingir seus objetivos; nela, são determinados os valores dos ativos da organização, identificadas as ameaças e vulnerabilidades existentes e determinadas as potenciais consequências dessas ameaças e vulnerabilidades. Tudo isso é feito no processo de avaliação dos riscos)
b) A presença de uma vulnerabilidade é sempre uma ameaça à segurança da informação. A identificação das vulnerabilidades é realizada na etapa de análise/avaliação de riscos. A identificação das vulnerabilidades é feita na etapa de identificação dos riscos.
c) Na etapa de aceitação de risco, lida-se com modelos predefinidos de escalas de níveis, dentre os quais a organização deve optar pelo mais adequado aos seus negócios. A organização é quem deve definir a sua escala de níveis de acordo com o contxto organizacional.
d) Na etapa de monitoramento de riscos, recomenda-se que as vulnerabilidades e os riscos sejam reavaliados periodicamente, entre um mês e um semestre. Não existe um tempo pré-determinado para a reavaliação de riscos. Isso deve ser feito de acordo com cada risco e com o contexto organizacional.
e) A etapa de tratamento de risco conta com as seguintes opções, não excludentes entre si: redução, retenção, evitação e transferência de risco.
Obs.: "evitação" foi bem forçado
-
Por que o gabarito foi letra E?
A questão diz que as opções de tratamento são:
- redução
- retenção
- evitação
- transferência
E na norma fala:
- modificar
- reter;
- ação de evitar;
- compartilhar