SóProvas

ID
801577
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens seguintes, relacionados a segurança física, segurança
lógica e gestão de risco.

Para que a gestão de riscos de segurança da informação seja viável e eficiente em qualquer tipo de organização, os ativos de informação devem ser analisados com o objetivo de identificar as vulnerabilidades e, a seguir, identificar as ameaças.

Alternativas
Comentários
  • A ordem está invertida. Primeiro identificam-se as ameaças, em seguida, as vulnerabilidades.
  • De acordo com a norma NBR ISO/IEC 27005, que trata das melhores práticas para gestão de riscos, a Identificação dos riscos obedece a seguinte sequência:
    i. Identificação dos ativos;
    ii. Identificação das ameaças;
    iii. Identificação dos controles existentes;
    iv. Identificação das vulnerabilidades;
    v. Identificação das consequências.
  • Olha, caberia recurso para essa questão. Dei uma vasculhada na norma e vi que realmente ele lista as atividades da fase identificação de riscos na seguinte ordem:

    8.2.1.1 Introdução à identificação de riscos

    8.2.1.2. Identificação dos ativos;

    8.2.1.3. Identificação das ameaças;

    8.2.1.4. Identificação dos controles existentes;

    8.2.1.5. Identificação das vulnerabilidades;

    8.2.1.6. Identificação das consequências.

    Porém, em nota da seção introdução à identificação de riscos, há uma nota que diz:

    " NOTA Atividades descritas nas seções subseqüentes podem ser executadas em uma ordem diferente dependendo da

    metodologia aplicada."

    E ainda veja que a descrição da fase geral análise/avaliação de riscos, a norma lista a identificação de ameaças e vulnerabilidades em um mesmo momento (ver negrito abaixo).

    "A análise/avaliação de riscos determina o valor dos ativos de informação, identifica as ameaças e vulnerabilidades aplicáveis existentes (ou que poderiam existir), identifica os controles existentes e seus efeitos no risco identificado, determina as conseqüências possíveis e, finalmente, prioriza os riscos derivados e ordena-os de acordo com os critérios de avaliação de riscos estabelecidos na definição do contexto."

    Para confirmar, se seria melhor identificar as ameaças antes das vulnerabilidades também, tem um parágrafo dentro de diretrizes para implementação da atividade Identificação de vulnerabilidades que diz que a relação ameaça vulnerabilidade é bidirecional. Pode haver uma ameaça e ativos sem vulnerabilidades e pode haver vulnerabilidades sem ameaças conhecidas. Assim, não importaria a ordem ao meu ver, vejamos:

    "A presença de uma vulnerabilidade não causa prejuízo por si só, pois precisa haver uma ameaça presente para explorá-la. Uma vulnerabilidade que não tem uma ameaça correspondente pode não requerer a implementação de um controle no presente momento, mas convém que ela seja reconhecida como tal e monitorada, no caso de haver mudanças. Note-se que um controle implementado, funcionando incorretamente ou sendo usado incorretamente, pode, por si só, representar uma vulnerabilidade. Um controle pode ser eficaz ou não, dependendo do ambiente no qual ele opera. Inversamente, uma ameaça que não tenha uma vulnerabilidade correspondente pode não resultar em um risco."

    Posso ter viajado e me aprofundado um pouco, mas para mim faz sentido!

    Bons estudos! 

  • Eu também concordo com o colega Sergio, porém acredito que quem elaborou a questão se ateve mesmo a estrutura direta descrita na norma e até mesmo a esse trecho abaixo da norma ISO 27005.


    Segundo a ISO 27005,"

    8.2.1.5 Identificação das vulnerabilidades

    Entrada: Uma lista de ameaças conhecidas, listas de ativos e controles existentes."

    **Sendo assim se a etapa de identificação de vulnerabilidades recebe como entrada uma lista de ameaças identificadas, então a identificação de ameaças vem primeiro pois gera uma saída que é usada na etapa de identificar vulnerabilidades.

  • Identificação de ativos->ameaças->controle->vulnerabilidade->consequências