A NBR ISO/IEC 27005 define risco como a combinação das cons...

Alternativa Correta: E - a identificação e a estimativa de riscos.

Vamos entender melhor por que a alternativa correta é a E e discutir o que está incorreto nas outras alternativas.

A questão aborda a NBR ISO/IEC 27005, que é uma norma internacional específica para a gestão de riscos em Segurança da Informação. De acordo com essa norma, a análise de riscos é uma parte fundamental do processo de gestão de riscos e inclui várias atividades essenciais.

Justificativa para a alternativa correta:

E - a identificação e a estimativa de riscos: A análise de riscos na NBR ISO/IEC 27005 abrange duas atividades principais: a identificação e a estimativa de riscos. A identificação envolve reconhecer quais riscos podem afetar a organização, enquanto a estimativa trata de avaliar a probabilidade e as consequências de cada risco identificado.

Explicação das alternativas incorretas:

A - a comunicação e a avaliação de riscos: A comunicação de riscos é uma atividade de gestão de riscos, mas não faz parte da análise de riscos. Já a avaliação de riscos é uma atividade que vem após a análise e envolve a comparação dos resultados da análise com critérios de risco para determinar a importância dos mesmos.

B - o tratamento e a aceitação de riscos: O tratamento de riscos e a aceitação de riscos são etapas que ocorrem após a análise e avaliação de riscos. O tratamento envolve a aplicação de medidas para mitigar ou eliminar riscos, e a aceitação refere-se a decisão de assumir o risco residual.

C - a estimativa e o tratamento de riscos: A estimativa de riscos faz parte da análise, mas o tratamento de riscos é uma etapa subsequente, não integrada na fase de análise.

D - a avaliação e o tratamento de riscos: A avaliação de riscos é uma fase que vem após a análise de riscos, onde se determina a magnitude dos riscos. O tratamento de riscos também é uma fase posterior, onde se busca mitigar ou eliminar os riscos identificados e avaliados.

Em resumo, a análise de riscos, de acordo com a NBR ISO/IEC 27005, inclui a identificação e a estimativa dos riscos, tornando a alternativa E a correta. As outras alternativas incluem atividades que fazem parte do processo de gestão de riscos, mas não são específicas da fase de análise.

A análise de riscos inclui:

● Identificação dos riscos

● Estimativas do riscos

● Avaliação dos riscos

http://ap.imagensbrasil.org/image/qPZKkR

Letra E

Análise De Riscos

Fases de:

IDENTIFICAÇÃO DE RISCOS (AACVC):

- Identificação dos Ativos;

- Identificação das Ameaças;

- Identificação dos Controles existentes;

- Identificação das Vulnerabilidades;

- Identificação das Consequências.

ESTIMATIVA DE RISCO –

·        Estimativa Qualitativa

·        Estimativa Quantitativa

·        Avaliação Das Consequências

·        Avaliação Das Probabilidades

Nível

Eu não possuo conhecimentos aprofundados em informática, então busquei resolver a questão através da interpretação de texto.

'' Probabilidade de ocorrência desse mesmo evento''

''Probabilidade'' é sinônimo de ''Estimativa''

Essa dispensou saber, bastou leitura

Não concordo com o gabarito, na Análise de riscos a entrada já vai ser uma lista com os riscos identificados.

Análise de riscos vai medir o valor do impacto de forma qualitativa ou quantitativa, avaliar consequências e probabilidades e determinar o nível do risco.

A identificação dos riscos acontece numa etapa anterior.