Questão Q1615393

Acerca da gestão de riscos da segurança da informação, julgue os itens subsecutivos, com base na norma ISO/IEC 27005.

A identificação de ameaças, atividade crucial da análise de riscos, deve estar restrita àquelas ameaças que existem dentro da organização.

Alternativas

Certo

Errado

Comentários

"Uma ameaça pode surgir de dentro ou de fora da organização. Convém que as ameaças sejam identificadas genericamente e por classe (por exemplo, ações não autorizadas, danos físicos, falhas técnicas) e, quando apropriado, ameaças específicas identificadas dentro das classes genéricas. Isso significa que, nenhuma ameaça é ignorada, incluindo as não previstas, mas que o volume de trabalho exigido é limitado."

Ademais, a identificação de ameaças recebe como entrada "informações sobre ameaças obtidas a partir da análise crítica de incidentes, dos responsáveis pelos ativos, de usuários e de outras fontes, incluindo catálogos externos de ameaças.”

Portanto, gab E

Fonte: ISO 27005
GAB: E

A organização deve ter um BD completo pois existem ameaças internas e externas.
Conforme cita o colega, as identificação das ameaças PRIMEIRAMENTE são as internas DEPOIS analisa-se as ameaças externas através do

MONITORAMENTO E ANALISE CRITICA DE RISCOS (internos e externos)
Fora o fato de que a organização deve incluir lista de ameaças internas e externas, há outro erro na questão que ninguém comentou. A identificação de ameaças ocorre na etapa de Identificação de Riscos e não na Análise de Riscos.

SóProvas