A respeito de segurança da informação, julgue o item seguint...

A alternativa correta para a questão é E - errado.

Vamos entender por que essa é a resposta correta e os conceitos envolvidos.

Tema da Questão

A questão aborda a gestão de riscos e a segurança da informação, com base na norma NBR ISO/IEC 17799. Esta norma é um padrão internacional que fornece diretrizes para a gestão da segurança da informação, incluindo a avaliação e o tratamento de riscos.

Explicação da Alternativa Correta

A norma NBR ISO/IEC 17799 (atualmente ISO/IEC 27002) orienta que os riscos de segurança da informação devem ser avaliados e tratados de maneira apropriada. No entanto, a afirmação de que "todos os riscos devem ser tratados e aceitos, independentemente dos custos" está incorreta.

A norma recomenda que os riscos sejam gerenciados de acordo com a política de segurança da organização. Isso significa que nem todos os riscos precisam ser aceitos ou tratados a qualquer custo. Em vez disso, a organização deve realizar uma análise de custo-benefício para decidir como tratar cada risco: mitigando, transferindo, aceitando ou evitando-o. Portanto, a gestão de riscos deve considerar o equilíbrio entre os custos e os benefícios das medidas de mitigação.

Justificativa para a Alternativa Incorreta

A alternativa sugere que todos os riscos devem ser tratados e aceitos indiscriminadamente, o que é um equívoco. Na prática, tratar todos os riscos independentemente dos custos pode ser economicamente inviável e até ineficiente. A gestão de riscos deve ser feita de forma estratégica e baseada em prioridades, considerando a probabilidade e o impacto dos riscos, bem como os recursos disponíveis para mitigação.

Portanto, ao afirmar que todos os riscos devem ser tratados e aceitos independentemente dos custos, a questão contraria os princípios da norma NBR ISO/IEC 17799, justificando a alternativa E - errado como a correta.

Espero que essa explicação tenha esclarecido o tema e ajudado você a compreender melhor a questão. Se tiver mais dúvidas ou precisar de mais informações, estou à disposição!

O risco sempre haverá, mas isso não quer dizer que ele terá que ser aceito, até porque ele pode ser transferido, reduzindo assim, o custo de eventuais impactos negativos na organização.

 

ERRADO

quando começei a ler . "Independentemente de eventuais custos para sua mitigação"

começou falando besteira, já marquei errado.

Se o custo da mitigação de qualquer risco for maior que os prejuízos causados caso a situação seja concretizada, então não vale a pena mitigá-lo. Nem precisa conhecer o assunto pra responder. É simples, se o seguro de um carro, por exemplo, é mais caro que um carro novo então não vale a pena ter seguro....

Minha lógica 

se quer economia,  como independe dos custos?

falso! isso é gestão!!

se a eliminação do risco for mais do que conviver com, deixa saporra lá!

 

um risco faz a empresa perder/gastar 10 mil/mes, pra elimina-lo é preciso gastar uma quantia de 11/mes. NUNCA