A Gerência de Riscos avalia os riscos de uma determinada or...

A alternativa correta é a D - qualitativa e quantitativa.

A questão aborda um aspecto fundamental da Gestão de Riscos em Segurança da Informação. A gerência de riscos é crucial para avaliar ameaças e vulnerabilidades que podem impactar uma organização. Esses riscos são analisados com o objetivo de identificar e mitigar possíveis problemas antes que eles ocorram.

Para realizar essa avaliação de maneira eficaz, é necessário aplicar metodologias que permitam uma compreensão tanto qualitativa quanto quantitativa dos riscos. Vamos entender por que a alternativa D está correta e as demais não:

Alternativa D - qualitativa e quantitativa: A avaliação de riscos deve ser tanto qualitativa quanto quantitativa. Isso significa que os riscos não só precisam ser descritos em termos de sua natureza e possíveis consequências (qualitativa), mas também devem ser medidos em termos de probabilidade e impacto numérico (quantitativa). A combinação desses dois métodos fornece uma visão mais abrangente e precisa dos riscos.

Alternativa A - imediata e irrestrita: Não faz sentido, pois a avaliação de riscos é um processo contínuo e detalhado, que requer tempo e análise aprofundada. A ideia de ser "imediata" e "irrestrita" não se aplica, já que o processo precisa ser metódico e baseado em dados concretos.

Alternativa B - pública e privada: Tal classificação não se aplica ao contexto de avaliação de riscos. A distinção entre público e privado não é relevante aqui; em vez disso, a avaliação deve focar na natureza dos riscos e suas consequências.

Alternativa C - manual e automática: Apesar de parecer uma boa prática usar ferramentas automáticas para avaliação de riscos, a combinação de métodos manuais e automáticos não aborda diretamente a necessidade de análise qualitativa e quantitativa dos riscos. Portanto, não é a resposta correta.

Alternativa E - total e local: A avaliação de riscos pode envolver diferentes escopos (total e local), mas essa não é uma classificação padrão ou suficiente para uma análise completa dos riscos. O foco reside mais na natureza da avaliação qualitativa e quantitativa.

Em resumo, a avaliação de riscos em Segurança da Informação deve ser um processo abrangente que utiliza tanto métodos qualitativos quanto quantitativos para garantir uma análise completa e precisa dos possíveis riscos. Espero que essa explicação tenha esclarecido suas dúvidas!

Letra D.

Qualitativa e quantitativa.

A imediata e irrestrita. Num primeiro momento devem ser realizadas a identificação e análise. Ademais não há avaliação irrestrita.

B pública e privada. Item mais relacionado com auditoria.

C manual e automática. Não existe tal designação na norma.

D qualitativa e quantitativa. A norma afirma: Uma metodologia para a análise de riscos pode ser qualitativa ou

quantitativa ou uma combinação de ambos, dependendo das circunstâncias. ISO 27005.

E total e local. Não existe tal designação na norma.

Gab: D

Foco!

Avaliação de risco qualitativa

Na qualitativa, o foco é na percepção das partes interessadas sobre a probabilidade de um risco ocorrer e seu impacto sobre aspectos organizacionais pertinentes (por exemplo, financeiro, reputação, etc.). Esta percepção é representada em escalas como “baixa – média – alta” ou “1 – 2 – 3”, que são usadas para definir o valor final do risco.

Avaliação de risco quantitativa

Por outro lado, a avaliação quantitativa do risco concentra-se em dados factuais e mensuráveis, e bases altamente matemáticas e computacionais, para calcular os valores de probabilidade e impacto, normalmente expressando valores de risco em termos monetários, o que torna seus resultados úteis fora do contexto da avaliação (perda de dinheiro é compreensível para qualquer unidade de negócio)

https://advisera.com/27001academy/pt-br/blog/2017/03/13/avaliacoes-de-risco-qualitativa-vs-quantitativas-em-seguranca-da-informacao/