A respeito da gestão de segurança da informação, julgue os itens subsequentes.

A gestão de riscos difere do planejamento de continuidade de negócios; enquanto aquela visa minimizar os prejuízos decorrentes de um incidente de segurança da informação, este objetiva, especificamente, minimizar a ocorrência de incidentes.

Em referência à gestão de riscos e ao plano de continuidade de negócios, julgue os itens seguintes.

A presença de ativo com vulnerabilidade explorável e de fonte de ameaça que possa explorar tal vulnerabilidade são condições para a existência de risco em um sistema de informação.

Em referência à gestão de riscos e ao plano de continuidade de negócios, julgue os itens seguintes.

A disseminação para as partes interessadas, o treinamento da equipe responsável e testes da real capacidade de continuidade são ações recomendáveis em um processo de implantação de um plano de continuidade de negócios em uma organização.

Em referência à gestão de riscos e ao plano de continuidade de negócios, julgue os itens seguintes.

Constitui estratégia válida de mitigação de riscos aquela na qual são considerados aceitáveis incidentes em que os ganhos do atacante são inferiores ao custo do ataque ou cujas perdas estimadas não excedam certo limiar.

A respeito da gestão de riscos, julgue os itens subsequentes.

No processo de análise de risco, deve ser realizada a identificação dos ativos, bem como dos responsáveis por eles. Nessa identificação, deve-se estabelecer um escopo para a gestão de riscos da organização.

A respeito da gestão de riscos, julgue os itens subsequentes.

De acordo com a norma ISO 27005, a análise de risco trata, entre outros aspectos, da identificação de vulnerabilidades e da implementação de controles para todas as vulnerabilidades encontradas.

A respeito da gestão de riscos, julgue os itens subsequentes.

teste de simulação baseado nos cenários previstos no plano é suficiente para garantir a efetividade de um plano de continuidade de negócios. Nesses testes, pode-se usar qualquer tipo de material disponível em uma situação real de desastre.

A respeito da gestão de riscos, julgue os itens subsequentes.

A estimativa do nível de risco baseada em métodos quantitativos pode apresentar resultados questionáveis quando aplicados a novos tipos de riscos, uma vez que tais métodos dependem fortemente de dados históricos.

Acerca de gestão de risco segundo o NIST SP 800-30, julgue os itens subsequentes.

Controles gerenciais e operacionais caracterizam os controles não técnicos.

Acerca de gestão de risco segundo o NIST SP 800-30, julgue os itens subsequentes.

Mecanismos de controle de acesso, identificação e autenticação são exemplos de controles técnicos.