No que tange a gestão de riscos e continuidade do negócio, ...

Vamos analisar a questão proposta sobre gestão de riscos e continuidade do negócio segundo a NBR ISO/IEC 27005:2019.

A alternativa correta é E - errado. Vamos entender o porquê disso.

A NBR ISO/IEC 27005:2019 trata da gestão de riscos de segurança da informação. Essa norma fornece diretrizes para o processo de gestão de riscos, alinhando-se às necessidades das organizações em proteger adequadamente suas informações. A gestão de riscos é uma parte fundamental da segurança da informação e visa identificar, avaliar e tratar os riscos que podem comprometer a confidencialidade, integridade e disponibilidade dos dados.

Explicação da alternativa correta:

A afirmação da questão sugere que a NBR 27005:2019 exige a adoção de um método de gestão de segurança para todos os processos existentes com o objetivo de facilitar o treinamento dos colaboradores. Essa interpretação não está correta. A norma 27005:2019 não define que a gestão de segurança deve ser implementada em todos os processos especificamente para facilitar o treinamento. Em vez disso, a norma se concentra em fornecer uma estrutura para gerenciar riscos de segurança da informação de maneira sistemática e eficaz, considerando o contexto e os objetivos da organização.

Por que a alternativa está errada?

A NBR 27005:2019 não especifica que a gestão de segurança deve ser aplicada a todos os processos exclusivamente para facilitar o treinamento dos colaboradores. A norma aborda a gestão de riscos de uma maneira mais ampla, focando na identificação, análise, avaliação, tratamento, monitoramento e comunicação dos riscos. Facilitar o treinamento dos colaboradores pode ser um benefício indireto de uma boa gestão de segurança, mas não é um requisito central da norma.

Conceitos relevantes da NBR 27005:2019:

• Identificação de Riscos: Processo de encontrar, listar e caracterizar elementos de risco.
• Análise de Riscos: Compreende a compreensão da natureza do risco e a determinação do nível de risco.
• Avaliação de Riscos: Comparação entre o nível de risco encontrado durante a análise de risco e os critérios de risco estabelecidos para determinar a significância do risco.
• Tratamento de Riscos: Processo de seleção e implementação de medidas para modificar o risco.
• Monitoramento e Revisão: Processo contínuo para garantir que a gestão de riscos permanece eficaz e se adapta a mudanças no contexto organizacional.

Espero que esta explicação tenha ajudado a clarificar o conceito abordado na questão e a justificar a resposta correta. Se precisar de mais alguma orientação ou tiver dúvidas adicionais, estou à disposição para ajudar!

✅Gabarito(Errado)  

Segundo a NBR n.º 27005:2019, a abordagem da gestão de riscos de segurança da informação define que se deve adotar um método de fazer a gestão da segurança para todos os processos existentes para facilitar o treinamento dos colaboradores.  

Esta Norma Internacional não inclui um método específico para a gestão de riscos de segurança da informação. Cabe à organização definir sua abordagem ao processo de gestão de riscos, levando em conta, por exemplo, o escopo do seu SGSI, o contexto da gestão de riscos e o seu setor de atividade econômica.

O processo de gestão de riscos de segurança da informação pode ser aplicado à organização como um todo, a uma área específica da organização (por exemplo, um departamento, um local físico, um serviço), a qualquer sistema de informações, a controles já existentes, planejados ou apenas a aspectos particulares de um controle (por exemplo, o plano de continuidade de negócios).

Dependendo do escopo e dos objetivos da gestão de riscos, diferentes métodos podem ser aplicados. O método também pode ser diferente para cada iteração do processo. Convém que um método de gestão de riscos apropriado seja selecionado ou desenvolvido e leve em conta critérios básicos, como: critérios de avaliação de riscos, critérios de impacto e critérios de aceitação do risco.

Fonte: NORMA BRASILEIRA - ABNT NBR ISO/IEC 27005 -

A ABNT NBR ISO/IEC 27005:2019 não menciona explicitamente que um método único de gestão de riscos deve ser adotado para todos os processos existentes com o objetivo de facilitar o treinamento dos colaboradores. Na verdade, a norma destaca a importância de uma abordagem adaptável e personalizada para a gestão de riscos de segurança da informação, que leve em consideração as necessidades e características específicas de cada organização.

A norma também enfatiza a importância do envolvimento dos colaboradores e da conscientização sobre a gestão de riscos de segurança da informação. No entanto, ela não sugere que a adoção de um método único para todos os processos é a melhor maneira de facilitar o treinamento dos colaboradores.