Se a análise do plano de tratamento de riscos de uma das org...

A alternativa correta é a letra E - errado.

A questão aborda o tema do gerenciamento de riscos de segurança da informação, que é central nas normas ISO/IEC, especialmente a ISO/IEC 27001 e 27002. Essencialmente, o gerenciamento de riscos é o processo de identificar, avaliar e tratar os riscos que podem comprometer a segurança da informação.

Entendendo a questão:

O cenário descreve um órgão público que realiza auditorias de conformidade em sistemas de gestão da segurança da informação implementados por várias organizações. Essas auditorias são baseadas nas normas ABNT e ISO/IEC, como as normas 15.999, 27.001, 27.002 e 27.005. Durante uma auditoria, foi analisado o plano de tratamento de riscos de uma organização, focado em seu centro de dados. A organização escolheu a redução dos riscos por meio de controles como estratégia.

Justificativa da alternativa correta:

A razão pela qual a alternativa é considerada errada é que, dentro do gerenciamento de riscos, existem várias estratégias possíveis para tratar riscos, conforme prescrito nas normas ISO/IEC 27001 e 27005. Essas estratégias incluem:

• Redução: Implementar controles para diminuir a probabilidade ou o impacto dos riscos.
• Evitação: Alterar os planos para eliminar o risco completamente.
• Transferência: Transferir o risco para outra entidade (por exemplo, um seguro).
• Aceitação: Aceitar o risco sem tomar qualquer ação adicional.

Embora a redução de riscos por meio de controles seja uma abordagem válida, afirmar que essa foi a única estratégia adotada para eliminar todos os riscos identificados, sem considerar outras possibilidades como transferência, aceitação ou evitação, não está em total conformidade com as práticas de gerenciamento de riscos de segurança da informação. As normas enfatizam a necessidade de uma abordagem abrangente e multifacetada.

Portanto, a alternativa é errada porque uma abordagem coerente de gerenciamento de riscos deve considerar diversas estratégias possíveis, não apenas a redução por meio de controles.

Conclusão: As normas ISO/IEC 27001 e 27005 fornecem um framework amplo para o tratamento de riscos. Focar exclusivamente em uma única abordagem (neste caso, a redução por meio de controles) não está de acordo com as práticas recomendadas, que promovem uma avaliação mais ampla e a utilização de várias estratégias para lidar com os riscos de segurança da informação.

Ficou confusa a questão.

Foi dito "riscos identificados". E a eliminação de todos estes (riscos identificados) por meio de controles.

Dizer que um erro é aceitável, diz que ele foi tratado, e no caso eliminado.

Se ele não tivesse informado dos riscos "identificados", então realmente estaria errada. Pois é impossível elimitar todos os riscos "não identificados".

Recurso.

ERRADO.

Segundo a ISO 27005,p.22,"9.2 Redução do risco

Ação: Convém que o nível de risco seja reduzido através da seleção de controles, para que o risco residual possa ser reavaliado e então considerado aceitável."

---------------------------------

Segundo a ISO 27001,"3.9 risco residual:risco remanescente após o tratamento de riscos
"

**Portanto, a redução de riscos na etapa de tratamento de riscos não eliminará todos os riscos, visto que pode existir riscos residuais aceitáveis,ou seja, riscos que persistem mesmo após o tratamento de risco, e que podem ser aceitos.