Questões de Concurso
Sobre análise de vulnerabilidade e gestão de riscos em segurança da informação
Foram encontradas 839 questões
O estudo das ameaças à segurança da informação será mais efetivo se forem previamente identificados os ativos de informação mais relevantes para o ministério, que são os ativos ligados ao funcionamento do setor de tecnologia da informação (TI) do órgão.
Para o planejamento da gestão de riscos no ministério, é recomendável a adoção inicial de uma metodologia de riscos quantitativa, em detrimento de metodologia qualitativa, tendo em vista a pouca disponibilidade de registros históricos de incidentes.
O processo de gestão de riscos de segurança da informação pode ser aplicado em todos os segmentos da organização: departamento, serviço, sistema de informações e até controles já existentes.
A prática de contratação de seguro para equipamentos de alto custo de TIC, tais como servidores de alto desempenho e sistemas de armazenamento em escala, caracteriza transferência de risco.
A implementação de gestão de risco deverá resultar na identificação, no tratamento, no acompanhamento e na extinção total do risco.
A diferença básica entre análise de impacto no negócio (AIN) e avaliação de risco está no uso da probabilidade. Em ambos os casos, analisa-se o impacto; na avaliação de risco, mensura-se a probabilidade; na AIN, mensura-se o tempo máximo de parada dos processos críticos.
A análise de riscos pode identificar situações em que um risco de rara ocorrência pode levar à implementação de controles injustificáveis do ponto de vista estritamente econômico.
Com relação à gestão de riscos, julgue o próximo item.
Retenção é uma forma de tratamento do risco que visa implantar controles para se reduzirem os riscos a um nível aceitável pela organização. Na escolha dos controles, consideram-se os critérios da organização para a aceitação do risco, tais como requisitos legais, regulatórios, contratuais, culturais, ambientais e aspectos técnicos, além de custos e prazos para a implantação de controles.
Com relação à gestão de riscos, julgue o próximo item.
De acordo com a NBR ISO/IEC 31000:2009, a fim de assegurar que a gestão de riscos seja eficaz e continue a apoiar o desempenho organizacional, convém que a organização garanta recursos materiais irrestritos para evitar desvios em relação ao plano de gestão de riscos, que deve ser mantido inflexível, especialmente em relação ao contexto interno da organização.
Julgue o próximos item a respeito de segurança da informação.
Um ambiente com alto nível de informatização e alta concentração de informações acessíveis por sistemas automatizados apresenta baixa vulnerabilidade técnica e baixa dependência de uma política de classificação de informações, que tem por objetivo identificar informações valiosas e assegurar um grau mínimo de proteção para essas informações.
Objetivo: O Departamento de TI é responsável por implementar o serviço de segurança de acesso por identificação biométrica em 30 dias. Este serviço depende dos equipamentos de leitura biométrica a serem adquiridos pelo Departamento de Compras.
I. Departamento de Compras pode não entregar a tempo os equipamentos de leitura biométrica necessários para a entrega do serviço de segurança no acesso.
II. Incertezas relacionadas à aprovação, o Departamento de Compras pode não ter os recursos financeiros liberados a tempo para a aquisição dos equipamentos.
III. Atraso na entrega do serviço de segurança no prazo de 30 dias, que pode inviabilizar a instalação do equipamento com acesso restrito, que foi adquirido anteriormente, e será entregue pelo fabricante.
Na declaração de riscos, I, II e III correspondem, correta e respectivamente, a informações relativas a
I. Uma ameaça tem o poder de comprometer ativos vulneráveis.
II. Risco é a combinação das consequências de um incidente de segurança com a sua probabilidade de ocorrência.
III. Vulnerabilidades técnicas são mais críticas do que vulnerabilidades criadas por comportamento humano.
Está correto somente o que se afirma em: