Teste_ AO2_gestão de riscos

Prévia do material em texto

AO2
Entrega 12 dez em 23:59 Pontos 6 Perguntas 10
Disponível 1 dez em 0:00 - 12 dez em 23:59 12 dias Limite de tempo Nenhum
Instruções
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 64 minutos 3,6 de 6
 As respostas corretas estarão disponíveis em 13 dez em 0:00.
Pontuação deste teste: 3,6 de 6
Enviado 1 dez em 11:02
Esta tentativa levou 64 minutos.
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que
você clique em "FAZER O QUESTIONÁRIO", no final da página.
0 / 0,6 ptsPergunta 1IncorretaIncorreta
Leia o texto e analise a figura a seguir:
 
A ISO 27005 fornece as diretrizes para o gerenciamento dos riscos de
segurança da informação (SI) e dá sustentação aos conceitos
especificados na ISO 27001:2005, a norma de requisitos de sistemas
de gestão da SI, além de auxiliar sobremaneira na implementação e
certificação de tais sistemas de gestão.
De acordo com a nova norma, o processo de gestão de riscos de SI é
composto pelas seguintes atividades:
https://famonline.instructure.com/courses/16279/quizzes/62142/history?version=1
 
 
Fonte: CICCO, F. A nova norma internacional ISO 27005 de gestão
de riscos de segurança da informação. QSP. Disponível em:
https://www.qsp.org.br/artigo_27005.shtml
(https://www.qsp.org.br/artigo_27005.shtml) . Acesso em: 09 de março
de 2021.
 
Qual alternativa indica corretamente as etapas de tratamento do risco?
https://www.qsp.org.br/artigo_27005.shtml
 Modificação, retenção, ação de evitar e compartilhamento do risco. 
 
Monitoramento, análise e melhoria dos processos de prevenção ao
risco.
 
Instalar antivírus, antispam, firewall e proxy eficientes para proteção. 
 Definição do contexto, identificação, análise e aceitação dos riscos. 
Alternativa incorreta. As etapas do tratamento de risco são
modificação, retenção, ação de evitar e compartilhamento do
risco:
A modificação ocorre através da implementação de controles
específicos;
O compartilhamento ocorre através da transferência do risco para
terceiros;
A retenção é a aceitação do risco, onde se toma conhecimento do
mesmo, mas sem adoção de medidas de controle;
A ação de evitar é a eliminação de atividade ou condição que dá
origem a um determinado risco.
 
Identificação de ameaças, controles, vulnerabilidades e consequências.
0,6 / 0,6 ptsPergunta 2
Leia o texto a seguir:
 
Com o crescimento exponencial dos ataques realizados por
cibercriminosos e a dependência cada vez maior das empresas pelos
recursos tecnológicos, realizar uma análise de riscos em TI é
essencial, não só para se proteger, mas para seguir sobrevivendo no
mercado atual.
(...)
Os ataques citados acima só tendem a aumentar e, com isso, não
basta mais as empresas se preocuparem apenas com firewalls e
sistemas antivírus. É preciso criar uma cultura de proatividade em
busca das melhores tecnologias e técnicas para manter os seus dados
e os de seus clientes a salvo de pessoas mal-intencionadas.
A análise de riscos é uma técnica de levantamento de informações
acerca de processos e sistemas utilizados na empresa de modo a
melhorar a governança de ativos de TI em relação às vulnerabilidades
que podem ser encontradas, verificando a probabilidade de ocorrência
de determinados eventos e as consequências que eles podem trazer
para a empresa.
Existem diversas formas de se pôr em prática uma análise de risco,
mas o mais importante é entender a fórmula que determina o que é um
risco. Ele pode ser calculado multiplicando a vulnerabilidade de um
ativo e a importância para o todo.
Ou seja, quanto mais vulnerável for um item e quanto mais importante
para a empresa ele for, maior é o risco que ele corre. Assim, o
investimento para diminuir esse risco terá que ser maior.
A análise dos riscos é uma técnica que obedece a um ciclo e deve ser
feita periodicamente. Ao chegar ao final do ciclo, pode-se recomeçar a
fase de coleta de informações novamente.
A ideia é atribuir uma melhoria contínua aos processos, pois assim
como a tecnologia evolui todos os dias, as ações dos cibercriminosos
também, e é preciso estar preparado a todo o momento.
Entre as principais vantagens de implementar uma política de análise
de riscos na empresa estão o encontro das vulnerabilidades que
podem ser utilizadas por hackers para acessar os arquivos da
empresa.
Como em muitos casos a empresa tem muitas vulnerabilidades para
serem corrigidas, é necessário colocar a atenção nos ativos que tem
mais importância para o negócio da empresa, isto faz como que os
investimentos sejam dirigidos para o lugar certo de forma equilibrada.
Assim como evitar que dados sejam perdidos ou corrompidos,
interrompendo a disponibilidade dos serviços de tecnologia da
informação na empresa e causando prejuízos que poderiam ter sido
evitados, existe também a redução de custos com restaurações e
manutenção de sistemas.
 
Fonte: Análise de riscos em TI: o que é, como fazer e mais!. Strong
Security, 2018. Disponível em:
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-
que-e-como-fazer-e-mais/
(https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-
como-fazer-e-mais/) . Acesso em: 09 de março de 2021.
 
Considerando a importância de se realizar o processo de análise de
riscos em uma empresa, ao se realizar esse processo na empresa
deve-se levar em consideração os aspectos: 
 pontos fortes, pontos fracos, oportunidades e ameaças 
 gravidade, urgência, tendência e transferência 
 vulnerabilidades, Impactos e legalidade. 
 ativos, vulnerabilidades, ameaças e impactos. 
O que deve ser levado em consideração são os ativos, as
vulnerabilidades, as ameaças e o impacto para a empresa.
Os ativos são tudo aquilo que tem valor para a empresa; as
vulnerabilidades são os pontos fracos dos ativos; as ameaças são
os eventos que exploram as vulnerabilidades dos ativos; e os
impactos são as perdas que a empresa vai ter. Considerando-se
que o risco é a probabilidade de uma ameaça explorar a
vulnerabilidade dos ativos gerando impactos negativos, esses são
os principais elementos que devem ser levados em consideração
ao se realizar o processo de análise de riscos.
 confidencialidade, integridade e disponibilidade. 
0,6 / 0,6 ptsPergunta 3
Leia o texto a seguir:
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
 
Contexto
 
É necessário entender o significado conceitual de “contexto” e sua
aplicação na gestão de riscos. Ao buscar o seu significado nos
dicionários, encontra-se, entre outras definições, que contexto é um
substantivo masculino que significa “inter-relação de circunstâncias
que
acompanham um fato ou uma situação”.
Assim, ao nos referirmos a “contexto” queremos na verdade tratar da
totalidade de circunstâncias que possibilitam, condicionam ou
determinam a realização de um texto, projeto, atividade ou mesmo de
um evento de segurança da informação. Em outras palavras, contexto
é o conjunto de circunstâncias que se relacionam de alguma forma
com um determinado acontecimento.
É a situação geral ou o ambiente a que está sendo referido um
determinado assunto.
Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de
Janeiro: RNP/ESR, 2013. p. 22.
Considere as seguintes afirmações sobre a etapa de Definição de
Contexto:
 
I. A contextualização é a atividade de mapear todo o ambiente que
envolve o evento em análise.
II. São exemplos de escopo e limites: uma aplicação de TI, uma
infraestrutura de TI, um processo de negócio, departamento de TI,
entre outros.
III. A empresa deve utilizar os critérios de nível de impacto, criticidade
e nível de risco presente na norma ISO 27005.
 
É correto o que se afirma em:
 I e III, apenas 
 II e III, apenas. 
 I e II, apenas. 
Alternativa correta.
A afirmação I está correta, a etapa inicial do processo de Gestão
de Riscos é a Definição de Contexto, na qual ocorre a definição
do ambiente, escopo, critérios de avaliação, entre outras
definições. Esta etapaé fundamental para a equipe que realiza a
gestão de risco conhecer todas as informações sobre a
organização.
A afirmação II está correta, escopo é descrição dos limites do
projeto, sua abrangência, seus resultados e entregas. São
exemplos de escopo e limites: Uma aplicação de TI, A
infraestrutura de TI, um processo de negócio, o departamento de
TI, uma filial, o sistema de internet banking de uma instituição
financeira, o serviço de e-mail da organização, o processo de
controle de acesso físico da organização, o datacenter da
organização , o sistema logístico de distribuição de provas de
concurso público nacional, a intranet da organização, entre
outros.
A afirmação III está incorreta, pois a norma não define critérios
padronizados de risco e de criticidade. Os critérios são a forma e
o valor (pesos) com que serão valorados os riscos e os impacto.
 I, apenas. 
 I, II e III. 
0,6 / 0,6 ptsPergunta 4
Leia o texto a seguir:
 
A análise qualitativa de riscos avalia a prioridade dos riscos
identificados usando a probabilidade de eles ocorrerem, o impacto
correspondente nos objetivos do projeto [...]
A análise quantitativa de risco é o processo de analisar numericamente
o efeito dos riscos identificados nos objetivos gerais do projeto.
Fonte: PROJECT MANAGEMENT INSTITUTE (PMI). Um guia do
conjunto de conhecimentos em gerenciamento de projetos: Guia
PMBOK. 3. ed. Newtown Square: PMI, 2004.
Considerando as informações apresentadas, avalie as asserções a
seguir e a relação entre elas:
 
I. Durante o processo de gerenciamento de riscos, somente a
metodologia de análise quantitativa deve ser utilizada.
PORQUE
II. Na metodologia de análise de qualitativa não são atribuídos valores
monetários aos ativos, consequências e controles, mas escalas de
atributos.
 
A respeito dessas asserções, assinale a opção correta.
 
As asserções I e II são proposições verdadeiras, e a II é uma
justificativa da I.
 
A asserção I é uma proposição falsa, e a asserção II é uma proposição
verdadeira.
Alternativa correta.
A asserção I está incorreta, A análise pode ser realizada segundo
a metodologia qualitativa, quantitativa ou a combinação das duas,
dependendo das circunstâncias. A metodologia qualitativa é
principalmente utilizada para uma verificação inicial dos riscos,
quando não estão disponíveis dados numéricos em quantidade
suficiente.
A asserção II está correta, análise qualitativa se baseia na
avaliação, através de atributos qualificadores e descritivos, da
intensidade das consequências e probabilidade de ocorrência do
risco identificado. Por exemplo, a probabilidade de ocorrência
pode ser Baixa, Média, Alta, Muito Alta e Elevada. As
consequências ou impactos pode ser Alto, Médio e Baixo.
 
A asserção I é uma proposição verdadeira, e a asserção II é uma
proposição falsa.
 
As asserções I e II são proposições verdadeiras, mas a II não é uma
justificativa da I.
 A asserções I e II são proposições falsas. 
0,6 / 0,6 ptsPergunta 5
Leia o texto:
 
Para se elaborar uma Política de Segurança da Informação, deve se
levar em consideração a NBR ISO/IEC 27001:2005, que é uma norma
de códigos de praticas para a gestão de segurança da informação,
onde podem ser encontradas as melhores práticas para iniciar,
implementar, manter e melhorar a gestão de segurança da
informação (https://www.profissionaisti.com.br/2012/05/seguranca-da-
informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/)
 em uma organização. Para elaboração da política, são necessárias
algumas atividades básicas.
 
Fonte: https://www.profissionaisti.com.br/politica-de-seguranca-
da-informacao-definicao-importancia-elaboracao-e-
implementacao/ (https://www.profissionaisti.com.br/politica-de-
seguranca-da-informacao-definicao-importancia-elaboracao-e-
implementacao/) Acesso em 27/10/2020
 
Considerando o texto acima e o conteúdo visto, analise as afirmações
a seguir. 
I. Procedimentos e Instruções são um conjunto de orientações para
realizar atividades e instruções operacionais relacionadas à
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
segurança. Representam comandos operacionais a serem executados
no momento da realização de um procedimento de segurança. É
importante que exista uma estrutura de registro de que esses
procedimentos são executados.
II. Normas são conjuntos de regras gerais de nível estratégico que
estão baseadas na visão e na missão da empresa. Essas regras
representam as preocupações da organização sobre a segurança das
informações. 
III. A política de segurança deve considerar os negócios, os objetivos
da organização e sua cultura.
É verdadeiro o que se afirma em:
 II e III apenas. 
 I e II apenas. 
 III apenas. 
 I apenas. 
 I e III apenas. 
Alternativa correta. As afirmações I e III estão corretas.
Procedimentos e Instruções são um conjunto de orientações para
realizar atividades e instruções operacionais relacionadas à
segurança. Representam comandos operacionais a serem
executados no momento da realização de um procedimento de
segurança. É importante que exista uma estrutura de registro de
que esses procedimentos são executados. Assim como a política
de segurança deve considerar os negócios, os objetivos da
organização e sua cultura.
A afirmação II está incorreta, pois os conjuntos de regras gerais
de nível estratégico que estão baseadas na visão e na missão da
empresa, que representam as preocupações da organização
sobre a segurança das informações, são as Diretrizes e não
normas.
 
0,6 / 0,6 ptsPergunta 6
Leia o texto:
 
A Gestão de Riscos de Segurança da Informação é uma Dimensão do
Processo Corporativo de Segurança da Informação e tem por objetivo
minimizar a ocorrência de ameaças que podem interferir
(negativamente) no recurso de informação utilizado pela organização
para atingir os seus objetivos
Um risco combina as consequências originadas da ocorrência de um
evento indesejado e da probabilidade de sua ocorrência. O processo
de avaliação de riscos quantifica ou descreve o risco qualitativamente,
e capacita os gestores a priorizar os riscos, de acordo com a sua
gravidade percebida.
 
Fonte: https://imasters.com.br/devsecops/gestao-de-riscos-em-
seguranca-da-informacao-como-fazer-uma-
avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seu
 (https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-
da-informacao-como-fazer-uma-
avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20o
 Acesso em: 27//210/2020.
 
Considerando o exposto no texto acima, assim como o conteúdo visto
na disciplina, avalie as afirmações a seguir. 
I. A etapa de identificação de riscos é a determinação dos eventos que
possam causar uma perda potencial, evidenciando seu local, razão e
impactos. 
II. Uma ameaça tem o potencial de comprometer ativos (tais como:
informações, processos e sistemas) e, por isso, também as
organizações. Ameaças podem ser de origem natural ou humana, e
podem ser acidentais ou intencionais.
III. A identificação dos controles existentes é realizada para evitar
custos e trabalhos desnecessários, por exemplo, na duplicação de
controles. Além disso, é preciso testar os controles existentes – eles
são testados para assegurar que estão funcionando corretamente
https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da-informacao-como-fazer-uma-avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objetivos%20corporativos%20e%20possibilitar
É correto o que se afirma em:.
 I, II e III. 
Alternativa Correta. As afirmações I, II e III estão corretas, pois a
etapa de identificação de riscos é quando são determinados os
eventos que possam causar uma perda potencial, evidenciando
seu local, razão e impactos. Assim como, uma ameaça tem o
potencial de comprometer ativos, como informações, processos e
sistemas, e por isso, podem também comprometeras
organizações, elas podem ser de origem natural ou humana, e
podem ser acidentais ou intencionais. Finalmente, a identificação
de controles existentes é realizada para evitar custos e trabalhos
desnecessários, e tão importante quanto isso, é realizar testes
nos controles existentes, para assegurar que estão funcionando
corretamente.
 II apenas. 
 I apenas. 
 III apenas. 
 I e III apenas. 
0,6 / 0,6 ptsPergunta 7
Leia o Texto:
 
O risco pode ser modificado por meio da inclusão, exclusão ou
alteração de controles, de forma que o risco residual possa ser
reduzido e, por conseguinte, aceito. Os controles selecionados devem
satisfazer os critérios para aceitação do risco e os requisitos legais,
regulatórios e contratuais. Devem considerar também custos, prazos,
interação com outros controles, aspectos técnicos, culturais e
ambientais, e demais restrições que possam afetar sua
implementação.
 
Fonte:
https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.
(https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf)
Acesso em 27/10/2020
 
Dentre os tipos de proteção que os controles podem oferecer, há um
que é descrito como sendo as atividades que implementam controles
que visam reparar qualquer anormalidade. Qual é este tipo de
controle?
 Detecção 
 Recuperação 
 Prevenção 
 Conscientização 
 Correção 
Resposta correta, pois no tipo de controle de correção, as
atividades implementarão controles que visem corrigir qualquer
anormalidade.
0 / 0,6 ptsPergunta 8IncorretaIncorreta
Leia o texto a seguir:
 
Implementação do tratamento de riscos:
https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
Claro que nem todos os riscos são criados de forma igual – você deve
focar nos mais importantes, os assim chamados ‘riscos inaceitáveis’.
Existem quatro opções que você pode escolher para mitigar cada risco
inaceitável:
- Aplicar controles de segurança do Anexo A para reduzir os riscos –
veja este artigo Visão geral do Anexo A da ISO 27001:2013.
- Transferir o risco para terceiro – e.g. Para uma companhia de seguro
ao comprar uma apólice de seguro.
- Evitar o risco parando uma atividade que é muito arriscada, ou
realizando-a de modo completamente diferente.
- Aceitar o risco – se, por exemplo, o custo para mitigar aquele risco
seria maior do que o próprio dano.
Aqui é onde você precisa ser criativo – como reduzir os riscos com o
mínimo de investimento.
 
Fonte: KOSUTIC, D. Avaliação e tratamento de riscos segundo a
ISO 27001 – 6 etapas básicas. Tradução de Rhand Leal. Disponível
em https://advisera.com/27001academy/pt-
br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-
iso-27001-6-etapas-basicas/ (https://advisera.com/27001academy/pt-
br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-
27001-6-etapas-basicas/) . Acesso em: 01 de junho de 2020.
Considerando as informações apresentadas, avalie as asserções a
seguir e a relação entre elas:
 
I. Se o risco estiver acima do nível de aceitação de riscos estabelecido
pela organização, ocorrerá uma nova iteração no processo de gestão
de riscos.
PORQUE
II. Riscos residuais são aqueles que restam após a implantação de
controles para evitar, transferir ou mitigar riscos.
 
A respeito dessas asserções, assinale a opção correta.
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
 
As asserções I e II são proposições verdadeiras, e a II é uma
justificativa da I.
 
A asserção I é uma proposição verdadeira, e a asserção II é uma
proposição falsa.
 
As asserções I e II são proposições verdadeiras, mas a II não é uma
justificativa da I.
Esta alternativa está incorreta, pois as asserções I e II são
proposições verdadeiras, e a II é uma justificativa da I.
A asserção I está correta, pois caso o risco esteja acima do nível
de aceitação de riscos estabelecido pela organização, pode ser
necessária nova iteração.
A asserção II está correta, pois riscos residuais são os riscos
restantes após a implantação de controles para evitar, transferir
ou mitigar riscos. Após a implementação de um controle, pode ser
que o risco não tenha sido totalmente
Mitigado e esta diferença é denominada risco residual.
A asserção II é uma justificativa para a asserção I.
 
A asserção I é uma proposição falsa, e a asserção II é uma proposição
verdadeira.
 As asserções I e II são proposições falsas. 
0 / 0,6 ptsPergunta 9IncorretaIncorreta
Leia o texto a seguir:
 
Você já deve ter ouvido falar em termos como ISO 9000 e ISO 14000,
que são respectivamente as certificações internacionais de gestão da
qualidade e gestão ambiental para empresas. As marcas que
conquistam essas normas costumam expor selos que informam a
todos os públicos o fato de estarem adequadas a normas e práticas
internacionais. Clientes, fornecedores, colaboradores e futuros clientes
valorizam negócios que estejam nesse patamar. Afinal, são sinônimo
de preocupação com a qualidade, a inovação e com o meio ambiente.
Existe também uma certificação internacional que trata da segurança
da informação em empresas. É a ISO 27000, focada no Sistema de
Gestão de Segurança da Informação (SGSI), e tem como normas mais
conhecidas as ISO 27001 e ISO 27002. Todo o seu conceito está
relacionado a segurança da informação nos mais variados formatos.
Foi projetada para ser aplicável a todos os tipos e tamanhos de
empresas, desde multinacionais até os pequenos e médios
empreendimentos.
(...)
Na realidade, a ISO 27000 não é uma norma, mas sim um conjunto de
certificações – ou, como é comum ouvir, uma família. Dessa maneira,
cada membro da família recebe uma denominação única e objetivos
específicos. Existem mais de 40 normas, que foram desenvolvidas
com base em procedimentos para a implementação nas empresas,
havendo algumas também dedicadas exclusivamente a determinados
segmentos de mercado. Um exemplo é a ISO 27011, que aborda a
gestão da segurança da informação para empresas de
telecomunicações, enquanto a ISO 27015 é dedicada a negócios do
ramo de serviços financeiros. Existem outros focados em tópicos
específicos da tecnologia da informação, como controles para cloud
computing (ISO 27017) e segurança de redes (ISO 27033).
(...)
 
Fonte: ISO 27000: as vantagens da certificação de segurança da
informação para o seu negócio. OSTEC. Disponível em:
https://ostec.blog/geral/iso-27000-vantagens-certificacao-
seguranca/ (https://ostec.blog/geral/iso-27000-vantagens-certificacao-
seguranca/) . Acesso em: 09 de março de 2021.
 
São diversas as normas que tratam de segurança da informação. Qual
a resposta descreve corretamente uma norma da série ISO 27000 que
https://ostec.blog/geral/iso-27000-vantagens-certificacao-seguranca/
pode ser usada em uma empresa que deseja fazer uma adequada
Gestão de Riscos de Segurança da Informação?
 
É uma norma que define como as empresas do ramo alimentício
devem analisar seus riscos.
 
É uma norma que apresenta diretrizes de administração dos perigos na
segurança da informação.
 
É uma norma que determina as condições de bom funcionamento para
um SGSI.
 
É uma norma que descreve as boas práticas de gestão de segurança
da informação.
A resposta está incorreta. Essa é a definição da ISO 27002, que
define as boas práticas para a gestão da segurança da
informação, não tendo foco em gestão de riscos.
 
É uma norma que estabelece princípios e diretrizes genéricas de
tratamento de riscos para qualquer indústria ou setor.
0 / 0,6 ptsPergunta 10IncorretaIncorreta
Leia o texto a seguir:
 
Risco: efeito da incerteza nos objetivos.
NOTA 1 Um efeito é um desvio em relação ao esperado – positivo e/ou
negativo.
NOTA 2 Os objetivos podem ter diferentes aspectos (tais como metas
financeiras, de saúde e segurança e ambientais) e podem aplicar–se
em diferentes níveis (tais como estratégico, em toda a organização, de
projeto, de produto e de processo).
NOTA 3 O risco é muitas vezes caracterizado pela referência aos
eventospotenciais e às consequências, ou uma combinação destes.
NOTA 4 O risco em segurança da informação é muitas vezes expresso
em termos de uma combinação de consequências de um evento
(incluindo mudanças nas circunstâncias) e a probabilidade (likelihood)
associada de ocorrência.
NOTA 5 A incerteza é o estado, mesmo que parcial, da deficiência das
informações relacionadas a um evento, sua compreensão, seu
conhecimento, sua consequência ou sua probabilidade.
NOTA 6 O risco de segurança da informação está associado com o
potencial de que ameaças possam explorar vulnerabilidades de um
ativo de informação ou grupo de ativos de informação e,
consequentemente, causar dano a uma organização.
Fonte: ABNT. NBR ISO/IEC 27005:2008. Gestão de Riscos da
Segurança da Informação.
Considerando as informações apresentadas, avalie as asserções a
seguir e a relação entre elas:
 
I. A organização e seus ativos apresentam vulnerabilidades que pode
ser explorada por uma ameaça.
PORQUE
II. O risco de segurança da informação contém uma estimativa das
consequências de eventos de segurança que produzem impactos nos
objetivos de negócios.
 
A respeito dessas asserções, assinale a opção correta.
 
A asserção I é uma proposição verdadeira, e a asserção II é uma
proposição falsa.
 
As asserções I e II são proposições verdadeiras, e a II é uma
justificativa da I.
Alternativa incorreta.
A asserção I é verdadeira, pois uma Ameaça é a “causa potencial
de um incidente indesejado, que pode resultar em dano para um
sistema ou organização” (ISO/IEC, 2004) e a Vulnerabilidade é
uma “fragilidade de um ativo ou grupo de ativos que pode ser
explorada por uma ou mais ameaças”.
A asserção II também é verdadeira, pois o risco de segurança de
informação contém os efeitos de Evento de Segurança da
Informação, que representa a ocorrência identificada de um
estado de sistema, serviço ou rede, indicando uma possível
violação da política de segurança.
Entretanto, não existe uma relação de causalidade que justifica a
asserção I em função da asserção II.
 
As asserções I e II são proposições verdadeiras, mas a II não é uma
justificativa da I.
 As asserções I e II são proposições falsas. 
 
A asserção I é uma proposição falsa, e a asserção II é uma proposição
verdadeira.
Pontuação do teste: 3,6 de 6