SóProvas


ID
828004
Banca
CESPE / CEBRASPE
Órgão
TJ-RO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale a opção correta acerca da análise de riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005.

Alternativas
Comentários
  • Alguém sabe porque a opção "D" está errada?
  • A banca manteve o gabarito como a letra B, mas também não vi erro na letra D. 


    Comentário de um especialista:
    http://www.itnerante.com.br/forum/topics/quest-o-comentada-cespe-iso-27005-gest-o-de-riscos
  • Alguém já publicou a URL com o comentário correto da questão. A cópia dele que publiquei aqui, acabo de remover. Simples: ajudo quem quer ser ajudado.  Quem quiser debater o assunto de verdade, vai lá no link. O ácido colega em momento algum debateu a questão. Pelo contrário, foram dois ataques pessoais. Por quê?

    Não é o primeiro nem último caso de gabarito equivocado do CESPE. Também não se trata de falta de humildade ou coisa parecida. Trata-se de, como professor da disciplina, ser responsável o suficiente para não fazer engenharia reversa de gabarito desconsiderando o que dizem a teoria e bibliografia sobre o assunto. 

    Para quem estuda baseado em questões, tomar o gabarito oficial dessa questão como correto prejudica a formação do conceito. Mas fica a critério de cada um. Apenas uma sugestão: leia a norma e entenda o motivo do meu aborrecimento com o gabarito. Preocupo-me com os alunos que estudaram o assunto a fundo, fizeram a questão de forma consciente e são obrigados a engolir esse tipo de equívoco do CESPE.

    Ademais, pense melhor antes de criticar e agredir gratuitamente quem por absoluta boa vontade passa finais de semana inteiros ajudando colegas a redigirem recursos, mesmo alunos de outras redes e disciplinas. Visite meus canais, veja quanto material de graça disponibilizo para a comunidade de concurseiros. Assista uma aula com a gente, é meu convidado. Espero ser digno de mudar a opinião de pessoa tão especial. 

    Forte abraço e sucesso.


  • Concordo com o Mestre Fagury,

    Não só por ser aluno de suas disciplinas, mas pelo fato de ser vítima do cespe em questões que basta abrir a norma e atestar nas mesmas palavras que não está correta. Acontece com Cobit, PMBOK, ITIL e qualquer outra disciplina. Não há outra forma  a não ser estudar baseado na norma e esperar que o iluminado que fez as questões não tenha medo de admitir sua falha...

    Bons estudos para nós, que somos os que precisam passar...

  • Concordo que não devemos brigar com a banca, mas sim entendê-la para acertar a questão numa próxima vez, porém às vezes não dá.  Não sou mestre no assunto e também marquei a letra D.  
    Enquanto não houver outro comentário indicando o motivo do item B está certo, vou deixar o gabarito como este e colocar nos comentários dessa questão os motivos pelo qual discordo (comentário do Thiago é esclarecedor).
    Obrigado Thiago pelas explicações, espero encontrar mais comentários seus.

    Fiz uma fórmula para decorar o que é RISCO que pode dar uma ideia do que é maior ou menor nível de risco, mas não sei onde pus, refazendo-a:
    RISCO - é a possibilidade (probabilidade) de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando (causando impacto) a organização.  Vejam que a definição não cita nada sobre tipo de propriedade da informação: confidencialidade, integridade ou disponibilidade.

    RISCO = (PROBABILIDADE x AMEAÇA x VULNERABILIDADE) x IMPACTO  => ou seja, se o impacto for pequeno, por exemplo, 0,000001 os outros valores sendo alto vai trazer o risco para um nível baixo e vice-versa (ou qualquer outra variável), para saber o nível de um risco é necessário a junção de diversas variáveis e que o tipo de propriedade da informação não é sequer citado na definição.

    Após escrever este comentário, eu imaginei o que a banca pensou e se for isso discordo ainda mais do gabarito. Provável raciocínio da banca:
    "Como a disponibilidade pode ser atacada simplesmente impedindo que o usuário chegue até a origem da informação, não necessitando atacar a origem de fato, tem uma maior exposição e por isso um  nível maior de risco.  No caso da confidencialidade e integridade é necessário chegar na origem da informação para obter sucesso no ataque, ou seja, menos exposto, menor risco."
  • Se a minha tese acima sobre o que a banca pensou ao colocar o gabarito B como correto, a questão deveria dizer dentre as propriedades da informação a de maior risco é a disponibilidade, nesse caso, poderia ser que o gabarito estivesse certo.  
    Devemos sempre lembrar se a questão pede a certa e havendo 2 ou 3 itens certos, precisamos ver qual delas é a "mais"certa para banca. Mesma ideia quando a questão quer a errada.
  • Qual o mais certo? A banca ou a literatura existente? Se a banca comete erros tem de os reconhecer alterando o gabarito ou anulando a questão. Só assim será digna de reconhecimento e respeito.
  • Pessoal, pelo que vi na 27001, no item 4.2.1, no estabelecimento de um SGSI, na letra D tem a identificação dos riscos. Aqui, no subitem 1, consta aidentificação dos ativos. A análise e avaliação dos riscos é feita na letra E, que nao tem identificação de ativos. Isso tornaria a letra d errada.

  • Atualizando a questão para ISO 27005:2011 a letra D permanece errada, conforme itens extraídos da referida norma:

    8.2 Identificação de riscos

    8.2.1 Introdução à identificação de riscos

    O propósito da identificação de riscos é determinar eventos que possam causar uma perda potencial e deixar claro como, onde e por que a perda pode acontecer. As etapas descritas nas próximas subseções de 8.2 servem para coletar dados de entrada para a atividade de análise de riscos. 

    8.2.2 Identificação dos ativos

    Entrada: Escopo e limites para o processo de avaliação de riscos a ser executado; lista de componentes com responsáveis, localidade, função etc..

    Ação: Convém que os ativos dentro do escopo estabelecido sejam identificados (refere-se à ABNT NBR ISO/IEC 27001:2006, Seção 4.2.1.d) 1)). 

    Resumindo, a Identificação dos ativos ocorre na Identificação dos riscos e não na Análise de Riscos.
  • Nessa questão não se busca a alternativa certa, mas a menos errada. A letra D evidente está errada porque a "identificação dos ativos" ocorre na atividade "identificação de riscos" que ocorre no "Processo de avaliação de Riscos". Em relação a B é fato que o nível de disponibilidade afeta a relevância do ativo, mas não é o único fator.

    Porém..... por falta de uma alternativa melhor ficamos com a B mesmo.
  • A letra "D" está errada se considerada a ISO 27005 : 20011, que não é a que está no edital. Na 27005 : 2005, que é a que está no edital, é provável que o professor Fagury esteja certo.

  • CURIOSIDADE!

    PELA ISO 27005:2011, a alternativa C também estaria CORRETA.

    8 Processo de avaliação de riscos de segurança da informação 
    8.1 Descrição geral do processo de avaliação de riscos de segurança da informação
    8.2 Identificação de riscos
    8.2.1 Introdução à identificação de riscos 
    8.2.2 Identificação dos ativos
    8.2.3 Identificação das ameaças 

    "Algumas ameaças podem afetar mais de um ativo."
    8.2.4 Identificação dos controles existentes
    8.2.5 Identificação das vulnerabilidades 
    8.2.6 Identificação das consequências

  • esquece essa questão e pula para próxima

     

    nem vale a pena estudar por ela

     

  • Você errou!Em 23/01/17 às 23:12, você respondeu a opção D.

    !

    Você errou!Em 23/01/17 às 23:12, você respondeu a opção D.

    !

    Você errou!Em 02/11/16 às 23:53, você respondeu a opção D.

    !

    Você errou!

  • Gente, de forma alguma a B. Quais são os controles essenciais? informações sensíveis, ou seja, confidencialidade.

  • O risco é calculado em função da probabilidade pelo impacto.

    Somente a probabilidade não determina quem é o maior risco.

    Dito isso, está explícito na norma que se o impacto sobre a disponibilidade de um determinado ativo for irrelevante ao processo de negócios, nem precisa ter controle sobre o risco, o que contradiz frontalmente a letra B.

    Gabarito correto é anular a questão, todas estão erradas.