A norma internacional ISO/IEC 27005 é parte da série de nor...

A alternativa correta é B - estimativa.

A norma internacional ISO/IEC 27005, parte da série de normas da ISO/IEC 27000, fornece diretrizes específicas para o processo de Gestão de Riscos de Segurança da Informação. Esse processo é crucial para garantir a proteção adequada dos ativos de informação de uma organização.

Vamos analisar cada alternativa para entender melhor:

B - estimativa: A atividade mencionada no enunciado, cujo objetivo é atribuir valor ao impacto de um risco e à probabilidade de sua ocorrência, é denominada "estimativa". Nesta fase, são combinadas a probabilidade de um cenário de incidente e suas consequências, utilizando métodos qualitativos ou quantitativos. Portanto, essa é a alternativa correta, pois descreve exatamente o processo de avaliação do impacto e da probabilidade dos riscos.

A - avaliação: Embora a "avaliação" também seja uma etapa importante na gestão de riscos, ela se refere a um processo mais amplo que envolve a análise dos riscos identificados e a tomada de decisões sobre sua prioridade. Diferente da "estimativa", que é uma avaliação detalhada da probabilidade e das consequências, a "avaliação" engloba uma visão mais geral e comparativa dos riscos.

C - tratamento: O "tratamento" de riscos envolve a implementação de medidas para mitigar, transferir, aceitar ou evitar os riscos. Essa etapa ocorre após a identificação e a análise dos riscos, e trata-se de uma resposta prática aos riscos avaliados. Não é o mesmo que a "estimativa", pois o tratamento foca na resposta e mitigação dos riscos.

D - identificação: A "identificação" de riscos é a etapa inicial do processo de gestão de riscos, onde são reconhecidos os possíveis riscos que podem afetar a organização. Esta fase precede a "estimativa" e não envolve a atribuição de valores ao impacto ou à probabilidade dos riscos, sendo apenas um levantamento dos riscos potenciais.

Portanto, é fundamental entender as definições e objetivos de cada etapa no processo de gestão de riscos para responder corretamente a questões como essa. A "estimativa" é a fase onde se quantifica o impacto e a probabilidade dos riscos, combinando essas informações para fornecer uma visão detalhada e específica de cada risco identificado.

"...sendo o objetivo de um deles atribuir valor ao impacto que um risco pode ter e a probabilidade de sua ocorrência, de forma qualitativa ou quantitativa, através da combinação entre a probabilidade de um cenário de incidente e suas consequências."

Mensurar os riscos, Estimar...

LETRA B

As oito atividades que compõem o processo de gestão de riscos de segurança da informação, conforme a norma **ISO/IEC 27005**, são:

1. **Identificação de Riscos**

- Reconhecer e listar os riscos que podem afetar os ativos de informação da organização.

2. **Análise de Riscos**

- Avaliar as causas, fontes, consequências e probabilidades dos riscos identificados.

3. **Estimativa de Riscos**

- Atribuir valores qualitativos ou quantitativos ao impacto e à probabilidade de ocorrência dos riscos.

4. **Avaliação de Riscos**

- Comparar os riscos estimados com os critérios de risco estabelecidos pela organização para determinar sua aceitabilidade.

5. **Tratamento de Riscos**

- Definir e implementar medidas para modificar, transferir, evitar ou aceitar os riscos, de acordo com a política de gestão de riscos da organização.

6. **Aceitação de Riscos**

- Decidir se os riscos residuais (após o tratamento) são aceitáveis ou se medidas adicionais são necessárias.

7. **Comunicação de Riscos**

- Compartilhar informações sobre os riscos e suas tratativas com as partes interessadas relevantes.

8. **Monitoramento e Revisão de Riscos**

- Acompanhar continuamente os riscos, revisar as avaliações e ajustar o tratamento conforme necessário, considerando mudanças no contexto da organização ou no ambiente de risco.

Essas atividades são interconectadas e devem ser realizadas de forma contínua para garantir uma gestão eficaz dos riscos de segurança da informação.