Na NBR ISO 27005:2019, é estabelecido que as opções de trat...

Próximas questões
Com base no mesmo assunto
Q2383207 Segurança da Informação
Na NBR ISO 27005:2019, é estabelecido que as opções de tratamento do risco sejam selecionadas com base no resultado do processo de avaliação de riscos, no custo esperado para implementação dessas opções e nos benefícios previstos. A ação de uma das opções de tratamento do risco recomenda que o nível de risco seja gerenciado por meio da inclusão, da exclusão ou da alteração de controles, para que o risco residual possa ser reavaliado e, então, considerado aceitável.
Essa opção de tratamento do risco é a de
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

A alternativa correta é: D - modificação do risco

Vamos entender o contexto e as opções de tratamento de risco conforme a NBR ISO 27005:2019.

Esta norma é especialmente voltada para a Gestão de Riscos de Segurança da Informação e descreve uma abordagem sistemática para identificar, avaliar e tratar riscos associados à segurança da informação. No contexto da pergunta, é destacado que a opção de tratamento do risco deve ser baseada no resultado do processo de avaliação de riscos, considerando o custo de implementação e os benefícios esperados.

A questão descreve especificamente uma opção de tratamento do risco onde o nível de risco é gerenciado por meio da inclusão, exclusão ou alteração de controles, para que o risco residual possa ser reavaliado e considerado aceitável. Esta definição corresponde à modificação do risco.

Agora, vamos analisar cada uma das alternativas para entender por que as demais estão incorretas:

A - Aceitação do risco: Aceitar o risco significa que a organização decide não tomar nenhuma medida para reduzir o risco, pois considera que o risco está dentro dos limites aceitáveis. Isso não envolve a inclusão, exclusão ou alteração de controles.

B - Compartilhamento do risco: Compartilhar o risco implica transferir uma parte do risco para outra parte, como um seguradora ou parceiro. Isso também não envolve a inclusão, exclusão ou alteração de controles.

C - Evitação do risco: Evitar o risco implica adotar medidas para eliminar a atividade que causa o risco, ou seja, a organização decide não se engajar em uma atividade que gera risco. Novamente, isso não corresponde à inclusão, exclusão ou alteração de controles.

D - Modificação do risco: Aqui está a opção correta. Modificar o risco envolve a inclusão, exclusão ou alteração de controles para gerenciar o risco e reduzir o risco residual a um nível aceitável.

E - Retenção do risco: Reter o risco é semelhante à aceitação do risco, onde a organização decide manter o risco e não tomar nenhuma ação específica para mitigá-lo.

Portanto, a descrição fornecida na questão corresponde precisamente à modificação do risco, justificando a alternativa D como correta.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Modificação do risco

Ação: Convém que o nível de risco seja gerenciado por meio da inclusão, exclusão ou alteração de controles, para que o risco residual possa ser reavaliado e então considerado aceitável.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo