Para cada um dos riscos identificados, seguindo a an...

Alternativa correta: D - II e IV, somente.

Para compreender a questão, é fundamental conhecer as estratégias de tratamento de riscos em segurança da informação e como elas são abordadas pela norma ABNT NBR ISO/IEC 17799:2005 (atualizada e renomeada para ISO/IEC 27002). Esta norma descreve as melhores práticas em controles de segurança da informação, incluindo o gerenciamento de riscos.

O tratamento de riscos envolve avaliar e decidir como lidar com os riscos identificados. As opções comuns de tratamento de riscos incluem:

• Transferir: Envolve a transferência ou compartilhamento do risco com terceiros, o que pode ser feito por meio de seguros ou acordos contratuais.
• Evitar: Significa tomar medidas para prevenir a ocorrência de um risco, o que pode incluir evitar certas atividades ou contextos que levem a esse risco.
• Aceitar: Uma decisão consciente de aceitar o risco tal como ele é, frequentemente porque os custos para mitigá-lo seriam desproporcionais aos benefícios.
• Mitigar: Implementar controles para reduzir a probabilidade ou impacto de um risco.

Segundo a norma, as opções de tratamento de risco ideais são aquelas que efetivamente diminuem o risco para um nível aceitável, alinhado com a política de segurança da organização. A questão foca na adequação dessas opções de tratamento de risco conforme a norma mencionada.

A Alternativa I, que fala sobre transferir os riscos para outras áreas de negócios, não é mencionada na norma como uma opção de tratamento. A transferência geralmente ocorre para terceiros fora da organização, como seguradoras, e não internamente.

A Alternativa III sugere conhecer e aceitar os riscos, independentemente da política da organização, o que é incorreto. A aceitação de riscos deve sempre ser feita dentro dos critérios estabelecidos pela política de segurança da organização.

As Alternativas II e IV estão corretas. A Alternativa II menciona evitar riscos, uma estratégia reconhecida e recomendada quando a ocorrência de um risco não está alinhada com a política de segurança da organização. Já a Alternativa IV cita aplicar controles apropriados para reduzir os riscos, que é uma parte central da gestão de riscos em segurança da informação e é amplamente recomendada pela norma ISO/IEC 17799:2005.

Portanto, a resposta correta é a Alternativa D, que afirma que as opções corretas de tratamento de risco, conforme a norma, são evitar os riscos e aplicar controles apropriados para reduzi-los.

LETRA D.

Segundoa ISO 27002,"4.2 Tratando os riscos de segurança da informação

Possíveis opções para o tratamento do risco, incluem:

a) aplicar controles apropriados para reduzir os riscos;

b) conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação de risco;

c) evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos;

d) transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.

Esse lance de transferir riscos é interessante. Particularmente, no início não me sentia confortável com essa terminologia. No entanto, basta pensar no risco de ocorrer uma explosão em uma planta industrial. Neste exemplo, a indústria, na maior parte das vezes, opta por contratar uma seguradora, segurar a planta industrial (ou parte dela), transferindo, assim, o risco da explosão para a seguradora. A partir daí, a explosão, em si, da planta ou da parte da planta segurada, não pertence diretamente a essa indústria. Obviamente, devem-se mapear os demais riscos inerentes a essa explosão de modo a trata-los em separado ou, até mesmo, inclui-los como parte do bem segurado.

Transferir os riscos para outro setor interno à organização não é uma forma de tratamento de riscos. O correto é que o Risco seja transferido para outra organização como uma seguradora por exemplo.