Segundo a NBR ISO/IEC 27005, a identificação de controles e...

Alternativa correta: Identificação de riscos

A questão aborda um aspecto fundamental da gestão de riscos dentro do contexto da NBR ISO/IEC 27005. Esta norma fornece diretrizes sobre como realizar a gestão de riscos de segurança da informação de forma estruturada e eficiente.

A gestão de riscos é um processo contínuo que envolve várias etapas, tais como a identificação de riscos, a definição do contexto, a estimativa de riscos, a avaliação de consequências e a organização para a gestão de riscos. Cada uma dessas etapas é essencial para garantir que os riscos sejam identificados, avaliados e tratados de maneira adequada.

Justificativa da alternativa correta: A identificação de riscos é a atividade que envolve a identificação de controles existentes, de ameaças e de vulnerabilidades. Esta etapa é crucial, pois permite que a organização compreenda quais são os riscos que podem impactar seus ativos de informação.

Vamos analisar as alternativas incorretas para entender melhor cada uma:

Definição do contexto: Esta etapa envolve a compreensão do ambiente em que a organização opera, incluindo os limites do sistema, as características da infraestrutura, e os objetivos do negócio. Embora importante, não é nesta etapa que se identificam controles existentes, ameaças e vulnerabilidades.

Organização para a gestão de riscos: Esta etapa refere-se ao estabelecimento de uma estrutura organizacional, políticas e responsabilidades para a gestão de riscos. Ela prepara a organização, mas não inclui a identificação direta de riscos específicos.

Estimativa de riscos: Nesta etapa, é realizada a análise dos riscos identificados para determinar a probabilidade e o impacto de cada risco. Embora esta etapa seja baseada nas informações obtidas durante a identificação de riscos, ela não é responsável pela identificação em si.

Avaliação de consequências: Esta etapa envolve a análise das possíveis consequências dos riscos identificados, ajudando a priorizar quais riscos requerem tratamento mais urgente. Novamente, trata-se de uma análise posterior à identificação dos riscos.

Em resumo, a identificação de riscos é a etapa correta que abrange a identificação de controles existentes, de ameaças e de vulnerabilidades dentro do processo de gestão de riscos conforme a NBR ISO/IEC 27005.

Não sei qual a versão da ISO 27005 foi utilizada.

De acordo com a ISO 27005 de 2019:

O processo de avaliação de riscos determina o valor dos ativos de informação, identifca as ameaças e vulnerabilidades aplicáveis existentes (ou que possam existir), identifca os controles existentes e seus efeitos no risco identifcado, determina as consequências possíveis e, fnalmente, prioriza os riscos derivados e os ordena de acordo com os critérios de avaliação de riscos estabelecidos na defnição do contexto. 

Resumindo: é um processo de avaliação de riscos, não identificação de riscos.

Jeanderson, esse é um grande problema de tradução que essa norma tem (em todas as versões). Na norma temos a etapa Risk Assessment, que é composta das etapas Identification, Analysis e Evaluation. O problema é que a tradução para os termos Assessment e Evaluation ficou idêntica: "avaliação".

Portanto, na norma traduzida nós temos a Avaliação de Riscos, que é composta das etapas Identificação, Análise e Avaliação (sim, é complicado de entender). O que você citou é o "gênero" Avaliação, que inclui as três espécies citadas.

- A parte "identifica as ameaças e vulnerabilidades aplicáveis existentes (ou que possam existir), identifica os controles existentes e seus efeitos no risco identificado, determina as consequências possíveis" diz respeito à Identificação.

- A parte "prioriza os riscos derivados e os ordena de acordo com os critérios de avaliação de riscos estabelecidos na definição do contexto" diz respeito à etapa Avaliação (Evaluation).

Mas, por sorte, as bancas não cobram esse gênero nas questões (pelo menos nunca vi). Para não gerar confusão, considere que são três etapas distintas. Em resumo:

- Identificação: de ativos, ameaças, controles existentes, vulnerabilidades e consequências.

- Análise: probabilidade vs consequências (nível do risco).

- Avaliação: nível do risco vs critérios de risco, priorização.

Se quiser, adicione ainda a quarta etapa: Tratamento de Riscos. Essa sim vem fora do Risk Assessment na norma, mas pode considerar que são quatro etapas mesmo (as questões cobram assim).