SóProvas

ID
370999
Banca
FCC
Órgão
TCE-GO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Em um processo de análise de riscos em TI, uma avaliação da vulnerabilidade depende das avaliações

Alternativas
Comentários
  • Segundo a ISO 27005, o processo de análise de riscos possui o subprocesso Identificação de riscos (8.2.1) que é composto pelas seguintes atividades:
    8.2.1.2 Identificação dos ativos
    8.2.1.3 Identificação das ameaças
    8.2.1.4 Identificação dos controles existentes
    8.2.1.5 Identificação das vulnerabilidades
    8.2.1.6 Identificação das consequências
  • Segundo a resposta do colega acima, as respostas B) e C) estariam corretas. Caberia recurso? Sim.
    O que poderia ser argumentado é a diferença entre controles e controles existentes.

    A falta de um controle sobre um ativo ou conjunto de ativos é considerada uma vulnerabilidade do ativo.
    Por exemplo, a falta de um perímetro de segurança dada por um firewall numa rede caracteriza uma vulnerabilidade da rede.
  • Repensando nessa questão e usando aquela velha tecnica de resoluções da FCC, acho que a resposta é a letra C porque:

    A avaliação de vulnerabilidades realmente depende das avaliações de ativos, ameaças e controles, respectivamente. Visto de maneira ordenada a letra C está MAIS correta, pois elenca itens mais básicos para a avaliação de vulnerabilidades nos quais esta depende mais.

    PS: Eu concordo que está muito mal formulada a questão e que esse pensando foi totalmente subjetivo, não podendo ser inferido através do comando da questão.

  • Complemento ao leonardo.

    Segundo a ISO 27005, "

    8.2.1.5 Identificação das vulnerabilidades

    Entrada: Uma lista de ameaças conhecidas, listas de ativos e controles existentes."