Na NBR ISO 27005:2019, é estabelecido que as opções de trat...
Essa opção de tratamento do risco é a de
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
A alternativa correta é: D - modificação do risco
Vamos entender o contexto e as opções de tratamento de risco conforme a NBR ISO 27005:2019.
Esta norma é especialmente voltada para a Gestão de Riscos de Segurança da Informação e descreve uma abordagem sistemática para identificar, avaliar e tratar riscos associados à segurança da informação. No contexto da pergunta, é destacado que a opção de tratamento do risco deve ser baseada no resultado do processo de avaliação de riscos, considerando o custo de implementação e os benefícios esperados.
A questão descreve especificamente uma opção de tratamento do risco onde o nível de risco é gerenciado por meio da inclusão, exclusão ou alteração de controles, para que o risco residual possa ser reavaliado e considerado aceitável. Esta definição corresponde à modificação do risco.
Agora, vamos analisar cada uma das alternativas para entender por que as demais estão incorretas:
A - Aceitação do risco: Aceitar o risco significa que a organização decide não tomar nenhuma medida para reduzir o risco, pois considera que o risco está dentro dos limites aceitáveis. Isso não envolve a inclusão, exclusão ou alteração de controles.
B - Compartilhamento do risco: Compartilhar o risco implica transferir uma parte do risco para outra parte, como um seguradora ou parceiro. Isso também não envolve a inclusão, exclusão ou alteração de controles.
C - Evitação do risco: Evitar o risco implica adotar medidas para eliminar a atividade que causa o risco, ou seja, a organização decide não se engajar em uma atividade que gera risco. Novamente, isso não corresponde à inclusão, exclusão ou alteração de controles.
D - Modificação do risco: Aqui está a opção correta. Modificar o risco envolve a inclusão, exclusão ou alteração de controles para gerenciar o risco e reduzir o risco residual a um nível aceitável.
E - Retenção do risco: Reter o risco é semelhante à aceitação do risco, onde a organização decide manter o risco e não tomar nenhuma ação específica para mitigá-lo.
Portanto, a descrição fornecida na questão corresponde precisamente à modificação do risco, justificando a alternativa D como correta.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Modificação do risco
Ação: Convém que o nível de risco seja gerenciado por meio da inclusão, exclusão ou alteração de controles, para que o risco residual possa ser reavaliado e então considerado aceitável.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo