-
ISO 27005 / 2011
"8.3 Análise de riscos
8.3.1 Metodologias de análise de riscos
Na prática, a análise qualitativa é frequentemente utilizada em primeiro lugar para obter uma indicação geral do nível de risco e para revelar os grandes riscos. Depois, poderá ser necessário efetuar uma análise quantitativa ou mais específica, nos grandes riscos. Isso ocorre porque normalmente é menos complexo e menos oneroso realizar análises qualitativas do que quantitativas.
...
A análise qualitativa utiliza uma escala com atributos qualificadores que descrevem a magnitude das consequências potenciais (por exemplo, Pequena, Média e Grande) e a probabilidade dessas consequências ocorrerem. Uma vantagem da análise qualitativa é sua facilidade de compreensão por todas as pessoas envolvidas enquanto que uma desvantagem é a dependência à escolha subjetiva da escala.
...
A análise quantitativa, na maioria dos casos, utiliza dados históricos dos incidentes, proporcionando a vantagem de poder ser relacionada diretamente aos objetivos da segurança da informação e interesses da organização."
a) [ ERRADO ] qualitativa em 1o. lugar segundo a norma
b) [ ERRADO ] qualitativa é menos complexa e onerosa segundo a norma
c) [ ERRADO ] a norma não fala em atributos quantificadores, fala em qualificadores, e somente se referindo a análise qualitativa
d) [ ERRADO ] descreveu uma característica da qualitativa segundo a norma
e) [ GABARITO ] ipsis litteris segundo a norma
-
a) E. Primeiro é feito a análise qualitativa, que avalia a prioridade dis riscos, se baseando na probabilidade deles ocorrerem, e se ocorrerreram terão impacto nos objetivos do projeto (ex: prazo, tolerância,custo,...). Já a análise quantitativa (que vem após a qualitativa) avaliará o efeito dos principais eventos de riscos, avaliando o efeito agregado de todos os riscos que afetam o projeto.Essa se trata de uma classificação numérica.
b) E. Não existe essa restrição da análise qualitativa ser baseada somente nos grandes riscos. Vide item a
c) E. Vide item a. Não há essa desvantagem.
d) E.
e) C.
Força guerreiros :)
-
Análise Qualitativa = Subjetiva
Este é o processo de priorização dos riscos para análise ou ação adicional através da avaliação e combinação de sua probabilidade de ocorrência e impacto. Neste processo, faremos uma análise subjetiva com o propósito de priorizar riscos a partir da probabilidade de impacto medida durante a análise dos riscos e, também, determinar o que precisa ser analisado quantitativamente ou não antes de ser construído o plano de resposta aos riscos.
Análise Quantitativa = Números
Este é o processo de analisar numericamente os efeitos dos riscos nos objetivos gerais do projeto. Iremos considerar, por meio de análises, a exposição que o projeto tem aos riscos identificados. Para tais análises são utilizadas, em geral, simulações de cenários como a técnica de Monte Carlo. Este processo pode ser realizado com a entrada dos riscos registrados e priorizados pela análise qualitativa. Vale lembrar que os riscos a serem analisados aqui serão aqueles que podem trazer maior prejuízo ou impacto significativo ao projeto. Em projetos pequenos não são aplicadas as técnicas que veremos a seguir.
Fonte: https://sitecampus.com.br/vamos-planejar-analise-qualitativa-quantitativa-dos-riscos/
Bons estudos
-
LETRA E
Roger Sampaio eu acho que não devemos ser tão taxativos quanto a essa ordem de avaliação, pois já vi questões aqui no qc em que as bancas simplesmente a ignoram.
No mais fiquei na dúvida entre C e E, porém as analisando profundamente cheguei a resposta certa:
c) de riscos utiliza uma escala com atributos quantificadores que descrevem a magnitude das consequências potenciais (pequena, média ou grande) e a probabilidade dessas consequências ocorrerem. - Atributos quantificadores DESCREVEM magnitude dos erros NUMERICAMENTE.
-
2017
A qualidade e a exatidão do processo de análise quantitativa de riscos estão relacionadas à disponibilidade de dados históricos e auditáveis.
Certa