SóProvas

ID
271117
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com as normas NBR/ISO/IEC 15999 e 27005, julgue os
próximos itens.

Uma ameaça pode causar impacto em vários ativos ou apenas em parte de um deles, podendo ter efeitos imediatos (operacionais) ou futuros (negócios).

Alternativas
Comentários
  • Vejamos os conceitos de ameaça e incidente:

    Ameaça: causa potencial de um incidente indesejado que pode resultar em um dano para o sistema ou organização.

    Incidente: um simples ou uma série de enventos de segurança da informação indesejados ou inesperados e que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

    Segundo a norma 27002, "um cenário de incidente é a descrição de uma ameaça explorando uma certa vulnerabilidade ou um
    conjunto delas em um incidente     de segurança da informação" e "ele pode afetar um ou mais ativos ou apenas parte de um ativo".

    Portanto, é o incidente (concretização da ameaça) que pode causar impacto em vários ativos ou apenas em parte de um deles, podendo ter efeitos imediatos (operacionais) ou futuros(negócios).

    A seção B.3 da norma 27005 que trata da Avaliação do Impacto confirma isso:

    Um incidente envolvendo a segurança da informação pode trazer conseqüências a vários ativos ou apenas a parte
    de um único ativo. O impacto está relacionado à medida do sucesso do incidente. Por conseguinte, existe uma
    diferença importante entre o valor do ativo e o impacto resultante do incidente. Considera-se que o impacto tem
    um efeito imediato (operacional) ou uma conseqüência futura (relativa ao negócio como um todo), a qual inclui
    aspectos financeiros e de mercado.
  • Questãozinha enjoada ein..
  • Enjoada mesmo..
    Mas a explicação do nosso colega foi muito boa.

    Se vc ler a questão rapidamente vai colocar "Certo". Mas lendo com mais calma vc vai ver que "Uma ameaça não pode causar impacto", somente "Um incidente,  que pode causar um impacto em um ativo".

  • Achei muito relevante o comentário do primeiro colega, mas ouso descordar em um ponto. Como a própria definição de ameaça disse, ameaça "é a causa potencial de um incidente indesejado..." Bem, se a ameaça pode causar um incidente e um incidente pode causar impacto em vários ativos ou apenas em parte de um deles, então uma ameaça também pode causar impacto nos ativos. Numa metáfora simples: um motorista embreagado é uma ameaça. Esse motorista pode causar um acidente que trará danos para outrem. Logo, o motorista (ameaça) pode causar dano a alguém. Portanto, ao meu ver, a questão está correta.
  • Pessoal...

    uma ameaça por sí só não pode causar impactos com efeitos imediatos (operacionais) ou futuros (negócios). ... se a ameaça se transformar em um incidente ai sim.

    lembrem-se que estamos falando de GCN.

    Basta associar com a matriz SWOT, onde uma ameaça (externa) não afeta diretamente o negócio.