Questões de Concurso
Comentadas sobre análise de vulnerabilidade e gestão de riscos em segurança da informação
Foram encontradas 752 questões
A tomada de ações corretivas em tempo hábil depende da notificação de fragilidades e ocorrências de eventos de segurança da informação.
Caso ocorra um evento de segurança de informação, recomenda-se que o agente observador tome uma ação pessoal para mitigar o risco e, em seguida, comunique o fato ao ponto de contato.
Todos os riscos de segurança da informação identificados deverão ser tratados, visto que qualquer risco não tratado constitui uma falha de segurança.
De acordo com critérios predefinidos, a importância do risco é determinada na fase de análise do risco.
A aplicação de controles apropriados é suficiente para se diminuir o risco identificado.
Os riscos devem ser avaliados antes, durante e após implantações e revisões de políticas de segurança da informação.
Os riscos devem ser identificados, quantificados e priorizados, com base nos critérios definidos pela área de tecnologia da informação (TI) da organização.
A preparação pré-incidente é a única fase proativa do processo de tratamento e resposta, envolvendo não somente a obtenção de ferramentas e o desenvolvimento de técnicas para a resposta, mas também a execução de ações nos sistemas e redes que possam vir a ser examinados em caso de ocorrência de incidentes.
Os objetivos estratégicos, os processos de negócio e a política de segurança da informação são alguns dos aspectos considerados na definição do escopo e dos limites da gestão de risco de segurança da informação.
Uma forma de expressar o nível de aceitação do risco é tomá-lo como a razão entre o lucro estimado (ou algum outro benefício) e o prejuízo estimado.
Os critérios para avaliação de impacto envolvem, entre outros fatores, o nível de classificação do ativo de informação afetado, as operações que venham a ser comprometidas e a perda de oportunidade de negócio e de valor financeiro.
A aceitação de um risco não deve envolver requisitos para um tratamento futuro.
Evitar: Tomar uma ação para evitar totalmente um risco. Exemplo I.
Transferir: Pode-se transferir o risco para um terceiro. Exemplo II.
Mitigar: Tomar ações para minimizar riscos. Exemplo III.
Aceitar: Existem alguns riscos que são tão caros de serem combatidos que vale mais a pena aceitar o risco e ter um plano B caso o mesmo ocorra. Exemplo IV.
O tipo de ação e o exemplo estão INCORRETAMENTE associados em:
A análise de risco é um dos principais recursos para o estabelecimento de ações para implantação de um plano de continuidade de negócios.