A gestão de riscos em auditoria de segurança da informação é um processo fundamental para identificar, avaliar e controlar ameaças potenciais aos ativos de informação de uma organização. Esse processo envolve a análise de vulnerabilidades, a avaliação da probabilidade e do impacto de possíveis incidentes de segurança, e a implementação de controles adequados para mitigar os riscos. Qual é o primeiro passo no processo de gestão de riscos em auditoria de segurança da informação?
Questão
A gestão de riscos em auditoria de segurança da informação é um processo fundamental para identificar, avaliar e controlar ameaças potenciais aos ativos de informação de uma organização. Esse processo envolve a análise de vulnerabilidades, a avaliação da probabilidade e do impacto de possíveis incidentes de segurança, e a implementação de controles adequados para mitigar os riscos.
Qual é o primeiro passo no processo de gestão de riscos em auditoria de segurança da informação?
Alternativas
Implementar controles de segurança
Monitorar e revisar os controles
Identificar os ativos de informação
Avaliar o impacto dos riscos
Definir as políticas de segurança
Explicação
Em gestão de riscos (inclusive em auditoria de segurança da informação), o processo começa pela identificação do que será protegido, pois não é possível avaliar ameaças, vulnerabilidades, probabilidade, impacto ou definir controles sem antes saber quais são os ativos de informação relevantes (dados, sistemas, processos, infraestrutura, pessoas e serviços).
Fluxo típico (visão geral):
- Identificar ativos e seu valor/importância.
- Identificar ameaças e vulnerabilidades associadas.
- Estimar probabilidade e impacto (analisar/avaliar riscos).
- Selecionar e implementar controles.
- Monitorar e revisar continuamente.
Portanto, o primeiro passo é identificar os ativos de informação.
Alternativa correta: (C).