Questões de Concurso
Comentadas sobre análise de vulnerabilidade e gestão de riscos em segurança da informação
Foram encontradas 752 questões
A análise de riscos pode identificar situações em que um risco de rara ocorrência pode levar à implementação de controles injustificáveis do ponto de vista estritamente econômico.
Com relação à gestão de riscos, julgue o próximo item.
Retenção é uma forma de tratamento do risco que visa implantar controles para se reduzirem os riscos a um nível aceitável pela organização. Na escolha dos controles, consideram-se os critérios da organização para a aceitação do risco, tais como requisitos legais, regulatórios, contratuais, culturais, ambientais e aspectos técnicos, além de custos e prazos para a implantação de controles.
Com relação à gestão de riscos, julgue o próximo item.
De acordo com a NBR ISO/IEC 31000:2009, a fim de assegurar que a gestão de riscos seja eficaz e continue a apoiar o desempenho organizacional, convém que a organização garanta recursos materiais irrestritos para evitar desvios em relação ao plano de gestão de riscos, que deve ser mantido inflexível, especialmente em relação ao contexto interno da organização.
Julgue o próximos item a respeito de segurança da informação.
Um ambiente com alto nível de informatização e alta concentração de informações acessíveis por sistemas automatizados apresenta baixa vulnerabilidade técnica e baixa dependência de uma política de classificação de informações, que tem por objetivo identificar informações valiosas e assegurar um grau mínimo de proteção para essas informações.
Objetivo: O Departamento de TI é responsável por implementar o serviço de segurança de acesso por identificação biométrica em 30 dias. Este serviço depende dos equipamentos de leitura biométrica a serem adquiridos pelo Departamento de Compras.
I. Departamento de Compras pode não entregar a tempo os equipamentos de leitura biométrica necessários para a entrega do serviço de segurança no acesso.
II. Incertezas relacionadas à aprovação, o Departamento de Compras pode não ter os recursos financeiros liberados a tempo para a aquisição dos equipamentos.
III. Atraso na entrega do serviço de segurança no prazo de 30 dias, que pode inviabilizar a instalação do equipamento com acesso restrito, que foi adquirido anteriormente, e será entregue pelo fabricante.
Na declaração de riscos, I, II e III correspondem, correta e respectivamente, a informações relativas a
I. Uma ameaça tem o poder de comprometer ativos vulneráveis.
II. Risco é a combinação das consequências de um incidente de segurança com a sua probabilidade de ocorrência.
III. Vulnerabilidades técnicas são mais críticas do que vulnerabilidades criadas por comportamento humano.
Está correto somente o que se afirma em:
Ao estabelecer um SGSI, a organização deverá analisar e avaliar os riscos e, nesse contexto, avaliar a probabilidade real da ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes, bem como de impactos associados aos ativos e aos controles atualmente implementados.
A respeito do processo de gestão de riscos, julgue o item que se segue.
Se um marco regulatório na área de energia elétrica for
publicado, esse evento será considerado uma variável externa
ao ambiente organizacional e deverá ser contemplado no
contexto do processo de gestão de riscos.
A respeito do processo de gestão de riscos, julgue o item que se segue.
Para avaliação do conjunto de controles de uma organização
devem-se considerar recepções, câmeras, senhas e
autorizações. Contudo, os processos de manutenção de
colaboradores e treinamento de pessoal devem ser
desconsiderados nessa avaliação, haja vista não configurarem
controles.
A respeito do processo de gestão de riscos, julgue o item que se segue.
A etapa de avaliação dos riscos, na qual se verifica a existência
e a efetividade de controles, é realizada após a identificação
dos riscos e pode ser realizada por meio de abordagem
quantitativa ou qualitativa.