SóProvas

ID
5555494
Banca
CESPE / CEBRASPE
Órgão
SEFAZ-AL
Ano
2021
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de criptografia, políticas de segurança e gestão de riscos, julgue o item a seguir, com base nas NBR ISO/IEC 27001, 27002 e 27005.

Suponha que, no processo de identificação de vulnerabilidades em uma organização, várias vulnerabilidades encontradas não possuíssem ameaças correspondentes relacionadas e não tenham sido identificados controles a serem implantados. Nessa situação, de acordo com a NBR ISO/IEC 27005, o gestor de segurança da informação agirá corretamente se determinar, formalmente, que tais vulnerabilidades sejam ignoradas.

Alternativas
Comentários

  • Errado

    Diretrizes para implementação:

    Convém que a identificação dos controles existentes seja realizada para evitar custos e trabalho desnecessários, por exemplo, na duplicação de controles. Além disso, enquanto os controles existentes estão sendo identificados, convém que seja feita uma verificação para assegurar que eles estão funcionando corretamente – uma referência aos relatórios já existentes de auditoria do SGSI pode reduzir o tempo gasto nesta tarefa. Um controle que não funcione como esperado pode provocar o surgimento de vulnerabilidades. Convém que seja levada em consideração a possibilidade de um controle selecionado (ou estratégia) falhar durante sua operação. Sendo assim, controles complementares são necessários para tratar efetivamente o risco identificado. 

  • A ameaça pode não existir hoje, mas poderá existir amanhã e se tornar um risco, caso a vulnerabilidade seja deixada de lado. A obrigação do responsável é eliminar ou mitigar o risco e ele faz isso eliminando as vulnerabilidades. Gabarito Errado.