SóProvas

ID
311995
Banca
CESPE / CEBRASPE
Órgão
TJ-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens que se seguem, considerando a norma ABNT NBR
ISO/IEC 27002:2005.

A análise de riscos tem como objetivo principal eliminar todas as ameaças existentes em um ambiente computacional, impedindo, assim, que ocorram incidentes de segurança.

Alternativas
Comentários
  • Resposta: ERRADA.

    De acordo com a Norma ISO 27002 (seção 4) nenhum conjunto de controle consegue a segurança completa. Após a indentificação dos riscos e dando prosseguimento a avaliação de riscos, uma decisão de tratamento deve ser tomada. O tratamento de riscos inclui:
    1 - Aplicar controle adequados para reduzir os riscos.
    2 - Aceitar os riscos, sabendo que eles atendem à política da organização e aos critérios de aceitação de riscos.
    3 - Evitar os riscos, nçao permitindo que ações possam ocasionar os riscos.
    4 - Transferir os riscos para outras partes, como seguradoras e fornecedores.
  • O objetivo da análise de riscos é estimar a magnitude do risco e não de eliminar ameaças.
  • Segundo a Norma 27002:

    2.10 Análise de Riscos 
    uso sistemático de informações para identificar  fontes e estimar o risco 
  • Questão de segurança + "eliminar todas as ameaças existentes" = errado em 95% das questões.

  • Segundo a ISO 27005:2011,

    "3.10
    análise de riscos:processo de compreender a natureza do risco e determinar o nível de risco (3.6)"

  • Se fosse tratamento dos riscos em vez de análise de riscos, estaria certa.