João recebeu a tarefa de adequar a gestão de riscos de segur...

Olá, aluno!

A alternativa correta para a questão é a Alternativa C: assegurar que os riscos residuais sejam aceitos pelos gestores.

Vamos entender por que a alternativa C está correta e as outras estão incorretas.

Alternativa C: A norma ABNT NBR ISO/IEC 27005:2019 descreve claramente que, após a implementação das medidas de tratamento de risco, os riscos residuais devem ser avaliados e aceitos pelos gestores competentes. Isso é fundamental para garantir que os gestores estejam cientes dos riscos que ainda existem após a aplicação dos controles e que concordem com a sua aceitação.

Agora, vejamos por que as outras alternativas estão incorretas:

Alternativa A: Remover ou substituir os controles considerados insuficientes não é uma etapa direta mencionada na norma. A norma orienta para a análise e tratamento dos riscos, mas a remoção ou substituição de controles é uma ação que pode decorrer do processo de análise de riscos e não uma etapa inicial ou obrigatória.

Alternativa B: Determinar o valor dos ativos de informação durante a definição do contexto não é um requisito específico da norma. A norma 27005:2019 foca na avaliação dos riscos e pode envolver a identificação dos ativos, mas determinar o seu valor financeiro não é uma exigência explícita nesta etapa.

Alternativa D: Determinar os riscos residuais antes de definir o plano de tratamento do risco está incorreta porque a determinação dos riscos residuais só ocorre após a implementação das medidas de tratamento. Primeiro, um plano de tratamento de risco é definido e, posteriormente, os riscos residuais são avaliados.

Alternativa E: Iniciar o processo de gestão de riscos com a identificação dos riscos está incorreta porque o início do processo de gestão de riscos envolve a definição do contexto, que inclui a compreensão do ambiente da organização, os objetivos e a definição do escopo. A identificação dos riscos vem após essa etapa.

Espero ter ajudado na compreensão deste tema crucial para a Segurança da Informação e na preparação para os concursos públicos. Qualquer dúvida, estou à disposição!

A norma 27005 define o processo de gestão de risco como atividades coordenadas para dirigir e controlar o risco de uma organização.

O processo de gestão de risco tem 8 atividades: Definição do contexto > Identificação de riscos > Estimativa de riscos > Avaliação de Riscos > Tratamento do risco > Aceitação do risco > Comunicação do risco > monitoramento e análise crítica do risco.

Na atividade de tratamento do risco que envolve implementar controles (para reduzir, reter, evitar ou transferir) o risco, se o tratamento não for satisfatório, ou seja, não resultar em um nível de risco residual que seja aceitável, deve-se iniciar novamente a atividade ou o processo até que os riscos residuais sejam explicitamente aceitos pelos gestores da organizção.

A alternativa correta é:

B. determinar o valor dos ativos de informação durante a definição do contexto.

De acordo com a norma ABNT NBR ISO/IEC 27005:2019, o processo de gestão de riscos começa com a definição do contexto, que inclui identificar os ativos de informação, seus proprietários, e determinar seu valor. Essa etapa é crucial para priorizar os riscos e garantir que os esforços de proteção sejam alocados de forma eficiente e proporcional à importância dos ativos.

A. remover ou substituir os controles considerados insuficientes: Errado.

A norma não determina que controles insuficientes devem ser removidos ou substituídos diretamente durante a gestão de riscos. Essa decisão é parte do plano de tratamento de riscos, que ocorre em uma etapa posterior.

C. assegurar que os riscos residuais sejam aceitos pelos gestores: Errado.

A aceitação dos riscos residuais é uma etapa importante do processo, mas ocorre após o tratamento do risco e não é o primeiro passo para adequar a gestão de riscos à norma.

D. determinar os riscos residuais antes de definir o plano de tratamento do risco: Errado.

Os riscos residuais só podem ser identificados depois de implementados os controles e realizado o tratamento do risco, e não antes.

E. iniciar o processo de gestão de riscos com a identificação dos riscos: Errado.

O processo de gestão de riscos começa com a definição do contexto, e não diretamente com a identificação de riscos. O contexto define o escopo, os ativos e os critérios de avaliação.