Em um programa de Gestão de Riscos, o tratamento de riscos t...

Vamos analisar a questão de Gestão de Riscos em Segurança da Informação, focando no tratamento de riscos e suas diferentes opções de resposta. A alternativa correta para essa questão é a alternativa C.

C - Mitigar implica na redução da probabilidade e/ou do impacto de um evento de risco adverso para dentro de limites aceitáveis.

A alternativa C está correta porque mitigar realmente significa adotar medidas para reduzir a probabilidade e/ou o impacto de um risco, de modo a trazê-los para níveis aceitáveis. A mitigação é uma das estratégias mais comuns em gestão de riscos, pois busca diminuir os efeitos negativos de um risco em potencial.

Agora, vamos analisar as alternativas incorretas:

A - Mitigar objetiva descontinuar as atividades que geram o risco.

Essa alternativa está incorreta porque o termo correto para descontinuar atividades que geram risco é evitar, e não mitigar. Mitigar envolve reduzir o risco, não descontinuar atividades.

B - Transferir objetiva compartilhar o risco com terceiros, como ocorre com os associados à reputação de pessoa ou organização.

A alternativa B está incorreta porque, embora a transferência de risco envolva compartilhar o risco com terceiros, como seguradoras, a forma como está descrita está um pouco confusa e não explica claramente a essência da transferência de risco. A transferência é mais comum com riscos financeiros ou de responsabilidade.

D - Transferir envolve avaliar se os demais tipos de respostas ao risco são viáveis. Em situações como risco de baixo impacto ou custo desproporcional ao benefício do tratamento, a melhor opção é enviar o risco para terceiros.

Essa alternativa tem elementos corretos, mas não está bem formulada. Transferir riscos geralmente é utilizado para riscos que podem ser gerenciados por terceiros de maneira mais eficaz, e não necessariamente quando os riscos são de baixo impacto. Isso pode confundir mais do que ajudar.

E - Aceitar envolve isolar os objetivos do projeto do impacto do risco ou alterar o objetivo que está em perigo, como estender o cronograma ou reduzir o escopo.

A alternativa E está incorreta porque aceitar o risco significa reconhecer o risco e decidir não tomar nenhuma medida específica para alterá-lo, geralmente porque o custo de tratar o risco é maior do que o impacto caso o risco se materialize. Aceitar não envolve isolar ou alterar os objetivos do projeto.

Espero que essa explicação tenha deixado claro os conceitos de tratamento de risco e as razões pelas quais a alternativa C é a correta. Se tiver mais dúvidas ou precisar de mais esclarecimentos, estou à disposição!

GABARITO C

O risco deve ser eliminado ou mitigado, reduzido a um nível aceitável dentro da organização. É o chamado risco gerenciado! Contudo, o riso, mesmo gerenciado, tem capacidade de gerar dano. 

A fase do tratamento dos riscos é a que busca eliminar os riscos. 

Previnir (ou evitar): tem como objetivo eliminar a causa raiz do risco, implementando ações para levar a probabilidade do risco a zero

Transferir: confere à outra parte a responsabilidade por seu gerenciamento

Mitigar: busca reduzir a probabilidade de ocorrência ou o impacto de um risco a um nível abaixo do limite aceitável

Aceitação: nos casos em que a probabilidade de ocorrência e o impacto são baixos, ou ainda nada se pode fazer, podemos simplesmente aceitar os riscos

.

PMBOK

Estratégias para riscos negativos ou ameaças:

Eliminar ou Prevenir: remover em 100% a probabilidade que a ameaça ocorra. Exemplo: cancelar o projeto;

Transferir: transferir total ou parcial o impacto em relação a uma ameaça para um terceiro. Exemplo: fazer um seguro;

Mitigar: reduzir a probabilidade e/ou impacto de um risco. Exemplo: Redundância de recursos;

Aceitar: de forma ativa, estabelecendo plano de contingência caso o evento ocorra, ou de forma passiva, o risco será tratado quando ocorrer.