Questões de Concursos Gerência de Riscos

A gestão de riscos de uma organização só será considerada eficiente se conseguir eliminar todos os riscos internos e também os externos.

Na gestão de risco, o registro da debilidade no sistema atual de proteção em relação a todas as ameaças em potencial, é realizado durante a atividade:

O nível de detalhamento da identificação dos ativos de uma organização pode influenciar na quantidade de informações reunidas durante a avaliação de riscos.

A monitoração de riscos consiste em verificar se as suposições sobre os riscos de produto, de processo e de negócios não mudaram. Para efetuar tal verificação, são necessários indicadores. Dentre estes indicadores de risco NÃO se inclui

Vulnerabilidades representam portas de entrada, fragilidade em ativos de informação que podem permitir a concretização de ameaças, colocando em risco esses ativos.

A integração de novos controles de risco à infraestrutura existente e a interdependência entre controles existentes são fatores constantemente ignorados pelos gestores de segurança da informação.

O impacto causado por um incidente de segurança é proporcional ao tipo de vulnerabilidade encontrada em um ativo, ou seja, quanto maior a vulnerabilidade, maior o impacto, e vice-versa.

Requisitos de segurança da informação podem ser obtidos a partir da análise/avaliação dos riscos da organização com base nos seus objetivos estratégicos; a partir da legislação vigente; e, finalmente, a partir dos requisitos do negócio para o processamento da informação que a organização desenvolve para realizar suas operações.

Um dos aspectos mais importantes da política de segurança é o processo de análise de riscos. Suas partes, quando isoladas, quase nada representam, mas, alinhadas e geridas adequadamente, apontam caminhos na busca de segurança de uma organização. Integram as partes do processo de análise de riscos:

I. Identificação e Classificação dos Processos de Negócio;

II. Identificação e Classificação dos Ativos;

III. Análise de Ameaças e Danos;

IV. Análise de Vulnerabilidades;

V. Análise de Risco.

É correto o que consta em

Uma das principais medidas de segurança de ambientes eletrônicos é a definição e aplicação de uma política de senhas para acesso aos ativos de informação.

Selecionar objetivos de controle e controles para o tratamento de riscos não é tarefa inerente ao estabelecimento do SGSI, pois essa atividade é própria do tratamento dos riscos, que é feito apenas após a ocorrência de eventos e incidentes.

Considerando a TI, as empresas devem ter constante preocupação com os riscos, que se concretizados, podem vir a prejudicar suas atividades. Dessa forma, a gestão de riscos é uma atividade de grande importância na condução dos negócios de uma empresa. Na maioria dos casos, a primeira etapa a ser realizada na gestão de riscos é a identificação dos riscos, que consiste em

Na gestão de riscos de um projeto que envolva a TI, há diversas técnicas que podem ser empregadas em sua análise. Do ponto de vista técnico, a análise de riscos deve levar em consideração os 3 principais aspectos que podem levar um projeto a enfrentar riscos. Esses aspectos são:

Uma análise de riscos deve ser realizada periodicamente em um ambiente computacional, principalmente quando houver a mudança nos requisitos de segurança ou quando surgirem novas ameaças ou vulnerabilidades que ponham em risco a segurança.

De acordo com as normas de segurança de TI, o desenvolvimento de SGSI abrange, em suas diversas fases, a definição de escopo e limites, a identificação de riscos, a execução de procedimentos de controle e monitoramento, a medição de eficácia de controles implantados, entre outros requisitos.

A definição, pela organização, dos critérios para aceitação do risco depende de suas políticas, metas e objetivos. Uma vez definidos, esses critérios devem ser utilizados para todas as classes de risco.

Para que haja segurança da informação, as ameaças devem ser identificadas e devem ser tomadas medidas de segurança para se reduzir o risco ou a probabilidade de ocorrerem incidentes.

A ação de se evitar um risco, de modo a eliminar a ocorrência de suas consequências e, naturalmente, a realização da atividade que o ocasionaria, não faz parte do tratamento do risco, pois o tratamento refere-se ao risco que se toma, não ao que se evita.