SóProvas

ID
622159
Banca
CESPE / CEBRASPE
Órgão
CBM-DF
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em referência à gestão de riscos e ao plano de continuidade de
negócios, julgue os itens seguintes.

Constitui estratégia válida de mitigação de riscos aquela na qual são considerados aceitáveis incidentes em que os ganhos do atacante são inferiores ao custo do ataque ou cujas perdas estimadas não excedam certo limiar.

Alternativas
Comentários
  • Errada. Claro que o custo do atacante for maior do que os controles de mitigação não será uma estratégia válida!
  • Marquei errado porque apesar do que o item diz ser uma forma de tratamento de riscos, não é uma mitigação. Mitigação seria a implementação de controles que diminuiriam o risco para um patamar aceitável e definido.

    O gabarito definitivo manteve que o item está correto.....fazer o que...
  • Achei errado a questão usar o conceito de INCIDENTE de forma imprópria. Pelo que estudei, incidente, segundo a norma 27002 e 27005, por si só, é algo crítico e exige ações imediatas.

    Se uma suposta violação de segurança, no caso um evento de segurança, é considerável aceitável, então não há incidente, nem incidentes.
  • Pelo meu conhecimento de mitigação de riscos, seria diminuir a probabilidade de determinado risco ocorrer. Nesta questão eu entendo que seria a aceitação do risco, pois estamos aceitando a probabilidade do risco acontecer e temos a conciência que o seu impacto não será superior ao gasto de implementar controles ao mesmo.

    Vai entender...
  • Sob a ótica da aceitação de riscos, a Norma 27005 traz na Seção 7 - "Defiinição do Contexto", alguns "Critérios para a aceitação do risco" que cita que: 

    Convém que a organização defina sua própria escala de níveis de aceitação do risco. Convém que os seguintes tópicos sejam considerados durante o desenvolvimento:
    * Critérios para a aceitação do risco podem incluir mais de um limite, representando um nível desejável de risco, porém precauções podem ser tomadas por gestores seniores para aceitar riscos acima desse nível desde que sob circunstâncias definidas.
    * Critérios para a aceitação do risco podem ser expressos como a razão entre o lucro estimado (ou outro benefício ao negócio) e o risco estimado.
    * Diferentes critérios para a aceitação do risco podem ser aplicados a diferentes classes de risco, por exemplo: riscos que podem resultar em não conformidade com regulamentações ou leis podem não ser aceitos, enquanto riscos de alto impacto poderão ser aceitos se isto for especificado como um requisito contratual.
    * Critérios para a aceitação do risco podem incluir requisitos para um tratamento adicional futuro, por exemplo: um risco poderá ser aceito se for aprovado e houver compromisso de que ações para reduzi-lo a um nível aceitável serão tomadas dentro de um determinado período de tempo.

    Penso que a questão encontra-se correta por esta "liberdade" que a Norma dá a organização de definir a escolha do nível de aceitação do risco, aliado às considerações de razoabilidade e limites estabelecidos.
  • Na minha opinião o item se refere ao conceito de aceitação de risco. Estando, portanto, errado.

    Na norma o conceito de aceitação de risco (ou retenção) é o seguinte (iso 27005 - item 9.3, pag. 20):
    "Convém que as decisões sobre retenção do risco, sem outras ações adicionais, sejam tomadas tendo como base a avalição de riscos"

    Enquanto que o conceito de mitigação de risco (ou redução) é o seguinte (iso 27005 - item 9.2, pag. 19):
    "Convém que o nível de risco seja reduzido através da seleção de controles, para que o risco residual possa ser reavaliado e então considerado aceitável"

    Na questão nenhum controle foi selecionado e foram considerados aceitáveis os riscos com base no custo-beneficio em relação ao ataque, isto é, apenas utilizando um critério de avaliação de risco, sem ser feita qualquer outra ação.
  • Concordo com o companheiro acima. A descrição exposta na questão refere-se à aceitação de riscos, e não à mitigação (redução) de riscos.

  • O problema foi a banca dizer: ˜Constitui estratégia válida para mitigação de riscos aquela ...˜

    Para mim a questão foi mal formulada.

  • Assertiva super Incorreta. E até engraçada ! =D
    Para a assertiva se tornar correta seria:
    Constitui estratégia válida de aceitação de riscos aquela na qual são considerados aceitáveis incidentes em que os ganhos da organização são inferiores aos custos de proteção do ativo ou cujas perdas estimadas não excedam certo limiar.
    Exemplo rápido:
    Tenho um ativo que tem o valor agregado (valor pago por ele + valor que ele gera para a organização) para a organização de 5 mil reais sem nenhum impacto intangível (reputação, imagem, etc.). Compensa pagar 10 Mil para proteger este ativo? Não!