Fraqueza ou deficiência que pode ser explorada por uma ameaça. Essa é a definição de
a) Vulnerabilidade.
b) Ameça.
c) Risco.
d) Divergência.
e) Perigo.
FCC 2010 – METRÔ-SP – Analista - TI Sobre segurança da informação, considere: I. Ameaça: algo que possa provocar danos à segurança da informação, prejudicar as ações da empresa e sua sustentação no negócio, mediante a exploração de uma determinada vulnerabilidade. II. Vulnerabilidade: é medida pela probabilidade de uma ameaça acontecer e o dano potencial à empresa. III. Risco: ponto pelo qual alguém pode ser atacado, molestado ou ter suas informações corrompidas. Está correto o que consta APENAS em
a) II e III.
b) I e II.
c) I e III.
d) I.
e) III.
FCC - 2009 - TCE-GO - Analista de Controle Externo - Tecnologia da Informação Em um processo de análise de riscos em TI, uma avaliação da vulnerabilidade depende das avaliações
a) do risco e dos controles.
b) do ativo e dos controles.
c) do ativo e das ameaças.
d) das ameaças e das contramedidas.
e) dos controles e do risco residual.
CESPE – 2010 – TCU – AFCE – TI
A norma NBR ISO/IEC 27005 prescreve que o gerenciamento de incidentes pode ser realizado iniciando- se com uma definição de contexto, seguido por uma análise e avaliação, tratamento, aceitação, comunicação, monitoramento e análise crítica dos incidentes.
Os processos que fazem parte da análise/avaliação de riscos são identificação de riscos, estimativa de riscos e avaliação de riscos.
FGV 2010 – FIOCRUZ – Segurança da Informação Assinale a alternativa que indica corretamente o tipo de análise de risco que se refere à definição "O método que atribui valores monetários para os itens na avaliação de risco".
a) Análise de risco quantitativa.
b) Análise de risco econômica.
c) Análise de risco calculado.
d) Análise de risco qualitativa.
e) Análise de risco de investimento.
FGV 2010 – FIOCRUZ – Segurança da Informação Assinale, dentre as alternativas a seguir, a única que não corresponde a um objetivo da realização de uma análise de risco.
a) Avaliação do custo/benefício da medidas preventivas.
b) Quantificação do impacto de eventuais ameaças.
c) Identificação dos riscos.
d) Definição dos cargos de confiança.
e) Estudo de mecanismos de proteção.
Toda informação sobre ativos, ameaças, vulnerabilidades e cenários de risco levantada durante as análises/avaliações de risco deve ser comunicada por meio de uma wiki web acessível no escopo da intranet na organização.
FCC 2011 – INFRAERO – Analista de Sistemas – Segurança da Informação
De acordo com a ISO/IEC 27005:2008, as opções completas para tratamento do risco são: mitigar (risk reduction),
a) ignorar (risk ignore), evitar (risk avoidance) e transferir (risk transfer).
b) aceitar (risk retention), evitar (risk avoidance) e transferir (risk transfer).
c) ignorar (risk ignore), aceitar (risk retention), evitar (risk avoidance) e transferir (risk transfer).
d) aceitar (risk retention), evitar (risk avoidance), transferir (risk transfer) e ocultar (risk hide).
e) evitar (risk avoidance) e transferir (risk transfer).
