Provas Discursivas – NBR ISO/IEC 27005:2011

postado em: Provas Discursivas | 0

logo_ticoncurso

O Provas Discursivas é uma iniciativa do TI Concurso para disseminar o conhecimento sobre temas já conhecidos. Acreditamos que isso possa servir de base para a elaboração de seus textos.

Nas próximas semanas, postaremos outros temas.

Bons estudos!!

NBR ISOIEC 270052011

O centro de dados da organização HTYZ, que presta serviços exclusivamente por um aplicativo de celular de economia compartilhada (HTYZ), está sediado em um edifício alugado localizado ao lado de um posto de gasolina e em cujos fundos encontra-se um depósito de pneus. Embora toda a infraestrutura de TI da HTYZ, que fica no referido edifício, esteja coberta por seguro, a alta direção da empresa acredita que uma interrupção dos negócios, mesmo que temporária, pode resultar no desaparecimento da empresa, que não tem um centro de dados alternativo. Todas as redundâncias do ambiente de TI, organizadas em um plano de continuidade de negócios atualizado, estão localizadas no mesmo edifício.

A estrutura organizacional da HTYZ é enxuta, e a alta direção é composta apenas por um diretor geral, um diretor de negócios e um diretor de TI. A maioria dos empregados da empresa é composta de desenvolvedores de software alocados em projetos e analistas de infraestrutura. A organização investe significativamente em segurança da informação, inclusive no que se refere à formação de seu pessoal, já que, sistematicamente, sofre ataques e possui valiosos projetos, que poderão gerar grande lucro ao longo do tempo. Essa preocupação e o investimento em segurança refletem no produto oferecido, sendo as melhores avaliações dos clientes direcionadas ao quesito segurança do aplicativo.

Nos últimos meses, dados o pioneirismo e a qualidade do produto da HTYZ, seu valor de mercado cresceu muito, e a empresa tem feito frequentes atualizações em seu ambiente de TI, onde se concentra a maioria de seus ativos. Vários novos projetos de aplicativos para celulares — sempre baseados em princípios como praticidade, economia por compartilhamento de recursos, facilidade de uso, agilidade, segurança e satisfação dos usuários — estão em andamento com vistas ao fortalecimento e ao aumento do espaço da HTYZ no mercado. Os principais parceiros da empresa são operadoras de Internet, indústrias de equipamentos e software e empresas de serviços básicos, como, por exemplo, de geolocalização, de motores de busca etc.

A HTYZ tem encontrado problemas como concorrência — empresas com menos participação no mercado, com o objetivo de conquistar mais espaço, têm introduzido melhorias e inovações em seus serviços e produtos — e ameaças públicas e diretas de várias fontes —, que incluem segmentos concorrentes da economia tradicional que reclamam de prejuízos, dada a inexistência de regulamentação oficial sobre os negócios que a HTYZ opera no país. Uma das ameaças recebidas consistiu no envio, ao diretor-geral, de um link — por um email de origem falsificada — para um vídeo que mostrava uma explosão, em um posto de gasolina, que havia destruído vários edifícios e empresas de uma região comercial de uma grande cidade em um país estrangeiro. Há, ainda, quatro ações judiciais em andamento contra a HTYZ, todas referentes a supostos prejuízos à lógica econômica de mercado. Por motivos como esses, entre outros, o departamento de comunicações da HTYZ trabalha arduamente com foco em transparência e relações sociais e a empresa mantém um departamento jurídico robusto e capacitado para acompanhar todas as demandas.

Com referência à situação hipotética acima apresentada, de acordo com o processo de Identificação de Riscos proposto pela NBR ISO/IEC 27005:2011, elabore um texto elencando as atividades do processo Identificação de Riscos e os itens identificados de cada uma das atividades do processo para a HTYZ.

 

RESPOSTA

 

2.1. Atividades do processo “Identificação de Riscos” da NBR ISO/IEC 27005:2011

São atividades do processo: identificação dos ativos, identificação das ameaças, identificação dos controles existentes, identificação das vulnerabilidades e identificação das consequências.

 

2.2. Itens identificados de cada um das atividades do processo “Identificação de Riscos” para a HTYZ:

 

  1. Identificação dos ativos: a) Centro de dados, ativo primário, responsável: diretor de TI; b) Aplicativo HTYZ, ativo primário, responsável: diretor de negócios; c) Projetos de aplicativos, ativo primário, responsável: diretor de negócios.
  2. Identificação das ameaças: a) Incêndio criminoso originado nos vizinhos (contra o centro de dados); b) Ataques hacker contra a infraestrutura de TI (contra os projetos e o aplicativo HTYZ); c) Regulamentação oficial ou decisões judiciais favorecendo interesses contrários (contra o aplicativo HTYZ e os novos projetos); d) Avanço expressivo de produtos concorrentes sobre o mercado (contra o aplicativo HTYZ).
  3. Identificação dos controles existentes: a) Seguro de toda a infraestrutura (centro de dados); b) Plano de continuidade de negócios (aplicativo HTYZ e novos projetos); c) Investimentos em segurança da informação e atualização dos equipamentos e do software (centro de dados, aplicativo e novos projetos); d) Política de comunicação e transparência de negócios para controle social (regulações oficiais); e) Departamento jurídico robusto e capacitado (demandas judiciais); f) Desenvolvimento do aplicativo HTYZ e novos projetos (concorrência).
  4. Identificação das vulnerabilidades: a) Falta de domínio sobre a segurança física dos vizinhos (incêndio); b) Seguro repõe o prejuízo material, mas não garante a continuidade da HTYZ; c) Plano de continuidade só é eficiente contra sinistros sem perda do edifício do centro de dados; d) vulnerabilidades de software não conhecidas ou não corrigidas; e) Atuação mais forte dos contrários na política das regulações oficiais e derrotas judiciais.
  5. Identificação das consequências: a) Perda do centro de dados e desaparecimento da HTYZ; b) Invasões, danos e vazamentos de projetos; c) Regulamentação oficial contrária à organização que inviabilizem ou dificultem os negócios; d) Condenações judiciais que acarretem prejuízos financeiros e de imagem e reputação.

 
 

Cursos Online para Concursos

Deixe uma resposta