João recebeu a tarefa de adequar a gestão de riscos de segur...

Olá, aluno!

A alternativa correta para a questão é a Alternativa C: assegurar que os riscos residuais sejam aceitos pelos gestores.

Vamos entender por que a alternativa C está correta e as outras estão incorretas.

Alternativa C: A norma ABNT NBR ISO/IEC 27005:2019 descreve claramente que, após a implementação das medidas de tratamento de risco, os riscos residuais devem ser avaliados e aceitos pelos gestores competentes. Isso é fundamental para garantir que os gestores estejam cientes dos riscos que ainda existem após a aplicação dos controles e que concordem com a sua aceitação.

Agora, vejamos por que as outras alternativas estão incorretas:

Alternativa A: Remover ou substituir os controles considerados insuficientes não é uma etapa direta mencionada na norma. A norma orienta para a análise e tratamento dos riscos, mas a remoção ou substituição de controles é uma ação que pode decorrer do processo de análise de riscos e não uma etapa inicial ou obrigatória.

Alternativa B: Determinar o valor dos ativos de informação durante a definição do contexto não é um requisito específico da norma. A norma 27005:2019 foca na avaliação dos riscos e pode envolver a identificação dos ativos, mas determinar o seu valor financeiro não é uma exigência explícita nesta etapa.

Alternativa D: Determinar os riscos residuais antes de definir o plano de tratamento do risco está incorreta porque a determinação dos riscos residuais só ocorre após a implementação das medidas de tratamento. Primeiro, um plano de tratamento de risco é definido e, posteriormente, os riscos residuais são avaliados.

Alternativa E: Iniciar o processo de gestão de riscos com a identificação dos riscos está incorreta porque o início do processo de gestão de riscos envolve a definição do contexto, que inclui a compreensão do ambiente da organização, os objetivos e a definição do escopo. A identificação dos riscos vem após essa etapa.

Espero ter ajudado na compreensão deste tema crucial para a Segurança da Informação e na preparação para os concursos públicos. Qualquer dúvida, estou à disposição!

A norma 27005 define o processo de gestão de risco como atividades coordenadas para dirigir e controlar o risco de uma organização.

O processo de gestão de risco tem 8 atividades: Definição do contexto > Identificação de riscos > Estimativa de riscos > Avaliação de Riscos > Tratamento do risco > Aceitação do risco > Comunicação do risco > monitoramento e análise crítica do risco.

Na atividade de tratamento do risco que envolve implementar controles (para reduzir, reter, evitar ou transferir) o risco, se o tratamento não for satisfatório, ou seja, não resultar em um nível de risco residual que seja aceitável, deve-se iniciar novamente a atividade ou o processo até que os riscos residuais sejam explicitamente aceitos pelos gestores da organizção.