De acordo com a norma ABNT NBR ISO/IEC n.º 27005, julgue os ...

Alternativa correta: Errado (E)

A questão aborda a norma ABNT NBR ISO/IEC 27005, que trata da gestão de riscos da segurança da informação. Para entender essa questão, é essencial conhecer as fases de tratamento do risco conforme essa norma.

De acordo com a ISO/IEC 27005, durante a fase de tratamento do risco, são estabelecidas quatro possíveis ações. No entanto, a questão apresenta essas ações de maneira incorreta. A norma menciona as seguintes ações:

• Redução do risco: Implementar medidas para diminuir a probabilidade ou o impacto do risco.
• Retenção do risco: Aceitar o risco, consciente dos custos e benefícios, sem implementar medidas adicionais para mitigá-lo.
• Evitamento do risco: Alterar os planos ou as atividades para eliminar a situação de risco.
• Transferência do risco: Transferir o impacto do risco para terceiros, como por meio de seguros ou contratos.

Agora, vamos analisar as alternativas apresentadas na questão:

1. Redução: Sim, essa é uma das ações corretas conforme a norma.

2. Retenção: Também está correta de acordo com a norma.

3. Prevenção: Essa não é uma terminologia usada pela norma na fase de tratamento do risco. A norma utiliza o termo "evitamento" em vez de prevenção.

4. Eliminação: Novamente, esse não é um termo que a norma usa. A norma fala em "transferência" do risco, não em eliminação.

Portanto, a questão está errada porque menciona ações que não estão alinhadas com a norma ISO/IEC 27005.

Caso tenha mais dúvidas ou precise de mais esclarecimentos, estou à disposição para ajudar!

ERRADO. Senhores este é o trecho errado: "[...] redução, retenção, prevenção e eliminação do risco.". O resto da questão está correto. 

Segundo a ISO 27005,"9.1 Descrição geral do processo de tratamento do risco

Diretrizes para implementação:

Há quatro opções disponíveis para o tratamento do risco: redução do risco, retenção do risco, evitar o risco e transferência do risco."

-------------|||-------------

Sobre o resto da questão. 

Segundo a ISO 27005, 9.1 Descrição geral do processo de tratamento do risco,"As quatro opções para o tratamento do risco não são mutuamente exclusivas. Às vezes, a organização pode beneficiar-se substancialmente de uma combinação de opções, tais como a redução da probabilidade do risco, a redução de suas conseqüências e a transferência ou retenção dos riscos residuais."

Dizemos que dois ou mais eventos são mutuamente exclusivos quando a realização de um, exclui a realização do(s) outro(s).

Ao analisar cada risco, deve-se decidir em qual dos 4 tipos de tratamento devemos enquadra-lo, ou seja, os tratamentos de riscos são mutuamente exclusivos;

O erro da questão esta na palavra "não";

Analisando cada ação sugerida pela questão em relação à utilização de controles, temos:

Redução: é necessária a seleção de controles, porém o risco não é eliminado e sim reduzido!

Retenção: ou aceitar o risco, não é necessário utilizar nenhum controle.

Prevenção: ou evitar o risco, não utiliza nenhum controle.

Eliminação: não é possível, estando em uma situação em que há uma ameaça a uma vulnerabilidade de um ativo, na utilização de um controle, eliminar um risco. A opção seria evitar o risco, ou seja, evitar uma situação em que possa existir uma ameaça a um ativo. Em outras palavras, aliene o ativo ou não o adquira.

Transferência: faltou esta ação na questão. Pode ser necessário selecionar controles para os novos riscos que podem surgir da escolha desta ação.

Ainda estaria ERRADA CONFORME A VERSÃO DE 2011.

Segundo a ISO 27005:2011,"Há quatro opções disponíveis para o tratamento do risco: modificação do risco (ver 9.2), retenção do
risco (ver 9.3), ação de evitar o risco (ver 9.4) e compartilhamento do risco (ver 9.5)."