SóProvas


ID
81643
Banca
FCC
Órgão
TRE-AM
Ano
2010
Provas
Disciplina
Redes de Computadores
Assuntos

Em relação a implementação de segurança em redes de computadores, considere:

I. No contexto empresarial, a segurança de redes é obtida através da utilização do uso apropriado de equipamentos e políticas de segurança que administrem o uso desses recursos. Em relação à segurança de redes e controle de acesso que assegurem a integridade dos serviços executados nos sistemas operacionais.

II. O entendimento apropriado sobre o risco permite aos administradores a habilidade de avaliar a relação custo-benefício e decidir sobre implementar controles para a correção de vulnerabilidades ou arcar com as consequências de uma ameaça potencial de invasão.

III. Em ambientes de rede de computadores o gerenciamento de riscos deve ocorrer através de auditorias periódicas nos principais equipamentos de conectividade e sistemas de proteção de rede existentes. O processo de análise de riscos deve cobrir o maior número possível de ativos de tecnologia, tais como, roteadores de borda, roteadores de acesso remoto, access points, sistemas de proxy, sistemas antivírus e firewalls.

IV. O custo para implementar controles que evitem vulnerabilidades, tais como, servidores de e-mails inadequadamente configurados, implementações de segurança específicas para alguns ativos de TI e substituição de servidores open relay é relativamente maior que suas consequências, invalidando, dessa forma, a política de segurança.

É correto o que se afirma APENAS em

Alternativas
Comentários
  • O custo para implementar controles que evitem vulnerabilidades, tais como, servidores de e-mails inadequadamente configurados, implementações de segurança específicas para alguns ativos de TI e substituição de servidores open relay não é necessariamente maior que suas consequências, fato que não invalida a política de segurança.
  • Alguém pode explicar o que está escrito no item I?
  • Eu achei que o treche em vermelho estava errado:

    III - O processo de análise de riscos deve cobrir o maior número possível de ativos de tecnologia, tais como, roteadores de borda, roteadores de acesso remoto, access points, sistemas de proxy, sistemas antivírus e firewalls.

    Para mim deveria cobrir todos os ativos de TI. Foi preciosismo meu?

    Abraço e bons estudos.

    Em relação ao item I) acho que tirando o . (ponto) do texto talvez fique mais claro o item.
  • Concordo com o colega: não se pode deixar ativo sem ser analisado
  • IV o erro em está em relatar que o investimento nos equipamentos e maior que as consequências geradas pelos riscos.

  • Apesa de ter acertado a questão, deixo um comentário..

     

    No item II - O entendimento apropriado sobre o risco permite aos administradores a habilidade de avaliar a relação custo-benefício(probabilidade e impacto) e decidir sobre implementar controles para a correção de vulnerabilidades ou arcar com as consequências de uma ameaça potencial de invasão.

     

    As estratégias de tratamento de risco, em geral são baseadas na probabilidade e impacto.. Não encontrei estratégia baseada em custo-beneficio

  • Letra B

     

    Turetto,

    Há presente menção de tanto na norma ISO 27005:2008 como na ISO 27005:2011.

    Pensando,  na prática, se o custo para se implementar uma proteção for muito maior do que o benefício, não há razão de se implementá-lo, não é mesmo?! De toda forma, seguem abaixo trechos mencionando 'custo-benefício'.

     

    "Some risk treatments can effectively address more than one risk (e.g. information security training and awareness). A risk treatment plan should be defined which elearly identifies the priority ordering in whole individual risk treatments should be implemented and their timeframes. Priorities can be established using various techniques, including risk ranking and cost-benefit analysis. It is the organization's managers' responsibily to decide the balance between the costs of implementing controls and the budget assignment."

    ISO 27005:2008

    _________________________________________________

     

    "8.3.4 Determinação do nível de risco


    Entrada: Uma lista de cenários de incidentes com suas consequências associadas aos ativos, processos de negócio e suas probabilidades (no método quantitativo ou no qualitativo).


    Ação: Convém que o nível de risco seja estimado para todos os cenários de incidentes considerados relevantes (refere-se à ABNT NBR ISO/IEC 27001:2006, Seção 4.2.1 e) 4)).


    Diretrizes para implementação:
    A análise de riscos designa valores para a probabilidade e para as consequências de um risco. Esses valores podem ser de natureza quantitativa ou qualitativa. A análise de riscos é baseada nas consequências e na probabilidade estimadas. Além disso, ela pode considerar o custo-benefício, as preocupações das partes interessadas e outras variáveis, conforme apropriado para a avaliação de riscos. O risco estimado é uma combinação da probabilidade de um cenário de incidente e suas consequências.

    ISO 27005:2011

  • Não pode ser que o texto esteja tão mal escrito na prova. Deve ter sido erro de cópia.