Suponha que uma Auditora Fiscal da área de TI da SEFAZ-...

Q168104 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Auditor Fiscal, SEFAZ BA, FCC

Suponha que uma Auditora Fiscal da área de TI da SEFAZ-BA faz parte da equipe de Gestão de Riscos de Segurança da Informação. Para que possa haver eficácia na descoberta das consequências para os ativos e dos possíveis impactos sobre os negócios da organização, a Auditora procedeu a uma atividade que teve como um dos resultados a lista a seguir:

- um Auditor Tributário não estava usando crachá;

- o firewall não estava bloqueando a porta 1521 na máquina da sala de reuniões 2;

- um curto-circuito ocorreu no estabilizador naquela tarde;

- fazia 2 meses que o backup do banco de dados SEFAZ3 não era realizado;

- a chave da sala de servidores havia sumido;

- faltou energia na sala da cobertura do prédio ontem;

- o alarme de detecção de intrusos estava quebrado.

Essa lista

a) é resultante da etapa de Levantamento de Ativos de Informação, que pode empregar técnicas como entrevistas e brainstorm.
b) faz parte da etapa de Identificação de Controles Existentes e Planejados, efetuada depois da Identificação de Vulnerabilidades e após a Identificação de Riscos.
c) é obtida a partir da etapa de Identificação de Vulnerabilidades. Uma vulnerabilidade é uma causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou para a organização
d) resulta da etapa de Identificação de Riscos, que lista os riscos, ou seja, as fragilidades de um ativo ou grupo de ativos que podem ser exploradas por uma ou mais ameaças.
e) é resultante da etapa de Análise de Eventos. A compreensão dos eventos que ocorrem no ambiente da organização é essencial para que os riscos sejam avaliados com maior precisão.