Com relação à NBR 27005, assinale a opção correta, no que se...

A alternativa correta é a alternativa E.

Vamos analisar cada uma das alternativas para entender melhor a questão e os conceitos envolvidos na gestão de riscos de segurança da informação segundo a NBR 27005.

Alternativa A: "Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo." Esta afirmação está incorreta. Na gestão de riscos, aceitar ou reter um risco significa que a organização está decidindo conviver com o risco, reconhecendo sua presença e decidindo não tomar medidas adicionais para mitigá-lo. Transferir o risco, por outro lado, implica passar a responsabilidade do risco para outra parte, como contratar um seguro.

Alternativa B: "Os riscos residuais são conhecidos antes da comunicação do risco." Esta alternativa também é incorreta. Riscos residuais são aqueles que permanecem após o tratamento dos riscos. Eles são conhecidos após a implementação das medidas de controle e mitigação, e não antes.

Alternativa C: "Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles." Isto é incorreto. Para reduzir ou mitigar riscos, é essencial a seleção e implementação de controles apropriados. Sem controles, não há como garantir a diminuição dos riscos.

Alternativa D: "Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização." Esta alternativa está equivocada. A comunicação de riscos é um processo contínuo que deve ocorrer em todas as fases da gestão de riscos, desde a identificação até a aceitação e monitoramento contínuo. Não deve ser restrita apenas ao pós-aceitação do plano de tratamento.

Alternativa E: "A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor." Esta é a alternativa correta. Na gestão de riscos, é fundamental primeiro definir o contexto, o que inclui entender o ambiente interno e externo da organização, antes de se proceder à identificação dos ativos que possuem valor e, consequentemente, os riscos associados a eles. Este passo inicial garante que a gestão de riscos seja realizada de maneira direcionada e eficaz.

Espero que esta explicação tenha ajudado a entender melhor os conceitos de gestão de riscos de segurança da informação segundo a NBR 27005. Se tiver mais dúvidas, estou à disposição para ajudar!

a) Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. (ERRADO)

(Aceitar=Reter) ≠  Transferir.           (Só para melhorar o entendimento)

Segundo a ISO 27005,9.1 Descrição geral do processo de tratamento do risco, "Há quatro opções disponíveis para o tratamento do risco: redução do risco (ver 9.2), retenção do risco (ver 9.3), evitar o risco (ver 9.4) e transferência do risco (ver 9.5).

NOTA A ABNT NBR ISO/IEC 27001 4.2.1.f) 2) usa o termo “aceitação do risco” em vez de “retenção do risco”."

-------------------------------------||--------------------------------

b) Os riscos residuais são conhecidos antes da comunicação do risco. (ERRADO)

**Senhores não conseguir encontrar a resposta para esta questão. Quem encontrar compartilha com a galera.

------------------------------||-------------------------------

c) Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.(ERRADO)

Reduzir=Mitigar.(Só para melhorar o entendimento)

Segundo a ISO 27005,"9.2 Redução do risco

Ação: Convém que o nível de risco seja reduzido através da seleção de controles, para que o risco residual possa ser reavaliado e então considerado aceitável."

------------------------||---------------------------------

d) Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização.(ERRADO)

Segundo a ISO 27005,11 Comunicação do risco de segurança da informação, "Convém que a comunicação do risco seja realizada a fim de: 

-Compartilhar os resultados da análise/avaliação de riscos e apresentar o plano de tratamento do risco."

**Portanto, nesse caso acima, por exemplo, a comunicação de risco pode ocorrer antes, visto que a comunicação apresenta o plano de tratamento do risco.

---------------------------------------||----------------------------------

e) A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.(CORRETO) (Tentem seguir o raciocínio abaixo para entender.

Segundo a ISO 27005,"A análise/avaliação de riscos determina o valor dos ativos de informação, identifica as ameaças e vulnerabilidades aplicáveis existentes (ou que poderiam existir), identifica os controles existentes e seus efeitos no risco identificado, determina as conseqüências possíveis e, finalmente, prioriza os riscos derivados e ordena-os de acordo com os critérios de avaliação de riscos estabelecidos na definição do contexto."

É Isso mesmo. =]. 

pelo gráfico da 27005, todos os processos geram saídas para comunicação de riscos

DATA - CM

erro da letra B deve ser isso mesmo

Gabarito E

D efinir contexto

A avaliação de risco

T tratamento de risco

E stimativa

C comunicação

A ceitação

M onitoramento

I dentifcação do risco



Definição do contexto
 Security needs Identification for Enterprise Assets


Identificação dos Riscos
 Threat Assessment


Análise de riscos
 Asset Valuation
 Threat Assessment
 Vulnerability Assessment
 Enterprise Security Approaches


Avaliação de riscos
 Risk Determination


Tratamento do risco
 Enterprise Security Services


Aceitação do Risco
 Security needs Identification for Enterprise Assets
 Enterprise Security Approaches
 Document the Security Goals


Comunicação do risco
 Enterprise Partner Communication
 Share Responsibility for Security
 Document the Security Goals


Monitoramento e Análise
Crítica de Riscos
 Security Accounting Requirements
 Security Accounting Design
 Audit Requirements
 Audit Design
 Audit Trails & Logging Requirements
 Audit Trails & Logging Design
 Non-Repudiation Requirements
 Non- Repudiation Design
 Documentation Review
 Log Review

"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !