Fórum de discussão

Foruns > Curso e-learning Fundamentos da Segurança da Informação (com base na ISO 27001 e 27002:2013) - DESCONTINUADO > Tópico

Consulte abaixo todas as dúvidas e comentários relacionados a este curso. Se você tem alguma dúvida, utilize o botão CRIAR NOVO TÓPICO. Verifique antes se a sua dúvida já não foi enviada por outro aluno.

CRIAR NOVO TÓPICO
Procurar

Pesquisa avançada Voltar pesquisa simples

Josenilson Mensagens: 1
Dúvidas sobre Tratamento do Risco Categoria: Dúvidas gerais - Módulo: Módulo 2 - Ameaça e risco
Enviado em 20/09/2016 11:27

Primeiro: a medida de 'evitar' o risco também engloba deixar de implementar aquilo que levaria ao risco? No slide ficou parecendo que, de fato, o risco seria completamente eliminado ao eliminar a ameaça, como se não houvesse resíduo após a plicação do controle. Ex.: evitar a compra de um servidor de 100.000,00 pelo fato de não ter uma boa estrutura elétrica para dar suporte.

Segundo: a medida de 'neutralizar/mitigar' sempre leva à combinação prevenção+detecção+repressão?
TUTOR
Flávio Mensagens: 14353 Mensagem privada
Re: Dúvidas sobre Tratamento do Risco Categoria: Dúvidas gerais - Módulo: Módulo 2 - Ameaça e risco
Enviado em 20/09/2016 12:11
Bom dia, Josenilson

Na estratégia evitar a ideia, de acordo com o livro de referência da Vanharen,  se espera que o risco não ocorra levando a um incidente, então pode ser incluída uma resposta que envolva deixar de fazer algo para que não exista a vulnerabilidade. 

Na estratégia neutralizar, de acordo com o livro de referência da Vanharen, na maioria das vezes (isso não quer dizer sempre) são adotadas medidas de prevenção para reduzir o risco a um nível aceitável (risco residual). E se ficou um nível de risco com chance de levar a um incidente, então é uma boa prática ter uma medida para detecta-lo rapidamente e na sequência uma medida para reprimir as consequências do incidente. 

Na prática, é difícil não ficar algum risco residual. Geralmente fica mesmo na estratégia evitar, mas tem que ficar um risco residual que tenha baixa probabilidade de gerar um incidente. Por isto, na ISO 27005, não existe a estratégia evitar e sim existe a estratégia modificar o risco. Todas as estratégias na 27005 podem deixar algum risco residual, mas o que importa é o critério para aceitar ou não este risco. Veja isso na figura 3 no PDF da norma 27005. 

xÉ necessário estar logado no ambiente de ensino para poder enviar respostas. Fazer o login
Evite a pirataria

Para que continuemos desenvolvendo novos cursos com preços acessíveis, contamos com a sua colaboração. O conteúdo dos nossos cursos não pode ser redistribuído de qualquer forma ou por qualquer meio. Somente o aluno devidamente inscrito nos cursos poderá fazer uso dos nossos materiais. Se você identificar que alguém está usando indevidamente o conteúdo dos nossos cursos, ou distribuindo-o ilegalmente, por favor avise-nos imediatamente através do e-mail contato@tiexames.com.br. Veja as condições de uso dos nossos conteúdos.

Leia a licença de uso
Filtro por categoria
Dúvidas gerais
294
Filtro por módulos
Modulo 0 - Introdução ao curso e no ...
28
Módulo 1 - Informação e segurança
45
Módulo 2 - Ameaça e risco
41
Módulo 3 - Abordagem e organização
32
Módulo 4 - Parte 1 - Importância da ...
16
Módulo 4 - Parte 2 - Medidas física ...
4
Módulo 4 - Parte 3 - Medidas técnic ...
13
Módulo 4 - Parte 4 - Medidas organi ...
11
Módulo 5 - Legislação e regulamento ...
16
Modulo 6 - Preparação para o exame ...
59
Simulados
34