Julgue os próximos itens, a respeito da gestão de riscos. A ...

Gabarito: E

A gestão de riscos é um aspecto crucial em qualquer organização, especialmente no contexto de segurança da informação e proteção de dados. A questão aborda especificamente a ideia de que a aplicação de controles apropriados seria suficiente para diminuir o risco identificado.

Justificativa para a alternativa correta:

A alternativa correta é E - errado porque, na prática, a simples aplicação de controles apropriados não é suficiente para eliminar ou diminuir completamente os riscos. Vejamos por quê:

• Controles Sozinhos Não São Suficientes: O risco é uma combinação de ameaças, vulnerabilidades e o impacto potencial. Mesmo com controles apropriados, as ameaças e vulnerabilidades podem evoluir ou surgir novas, o que pode exigir uma gestão contínua e adaptativa dos riscos.
• Necessidade de Monitoramento Contínuo: A eficácia dos controles deve ser continuamente monitorada e reavaliada. Sem um processo de monitoramento contínuo, os controles podem se tornar obsoletos ou ineficazes com o tempo.
• Implementação e Manutenção dos Controles: A implementação inicial dos controles não garante que eles serão mantidos adequadamente. É necessário um plano de manutenção e atualização constante para assegurar que os controles permaneçam eficazes.
• Aspectos Humanos e Organizacionais: Além dos controles técnicos, é fundamental considerar fatores humanos e organizacionais, como a cultura de segurança, treinamento e conscientização. Esses aspectos são essenciais para a redução eficaz dos riscos, mas não são cobertos apenas pelos controles técnicos.

Portanto, ao assumir que a simples aplicação de controles apropriados é suficiente, a questão desconsidera a complexidade e a dinâmica envolvidas na gestão de riscos. Por isso, a alternativa correta é E - errado.

Alternativa Incorreta:

A alternativa C - certo estaria incorreta porque sugere que a aplicação de controles apropriados por si só é suficiente para diminuir o risco. Como discutido, a gestão de riscos envolve um ciclo contínuo de identificação, análise, avaliação, tratamento, monitoramento e revisão dos riscos. Confundir a aplicação de controles com a gestão de riscos completa é um erro comum que pode levar a uma falsa sensação de segurança.

Em resumo, a gestão de riscos é um processo holístico e contínuo que vai além da aplicação de controles apropriados. Ela requer monitoramento constante, revisão e adaptação para ser eficaz.

O VALOR DEFINITIVO DESTA QUESTÃO FOI ALTERADO PELO CESPE PARA "ERRADO", COM A SEGUINTE JUSTIFICATIVA NA QUESTÃO 70: "A aplicação de controles apropriados não é suficiente para se diminuir o risco identificado. Por este motivo, opta-se pela alteração de gabarito. "

Segundo a ISO 27005,9.2 Redução do risco, 

"Convém que controles apropriados e devidamente justificados sejam selecionados para satisfazer os requisitos identificados através da análise/avaliação de riscos e do tratamento dos mesmos."

Segundo a ISO 27005,9.2 Redução do risco, "

Há muitas restrições que podem afetar a seleção de controles. Restrições técnicas, tais como requisitos de desempenho, capacidade de gerenciamento (requisitos de apoio operacional) e questões de compatibilidade, podem dificultar a utilização de certos controles ou induzir erros humanos, chegando mesmo a anular o controle, a dar uma falsa sensação de segurança ou a tornar o risco ainda maior do que seria se o controle não existisse (por exemplo: exigir senhas complexas sem treinamento adequado leva os usuários a anotar as senhas por escrito). É importante lembrar também que um controle pode vir a afetar o desempenho sobremaneira."

**Portanto, aplicação de controles por si só não é suficiente para reduzir um risco, e ao invés de reduzir o risco, os controles podem aumentar as vulnerabilidades, e consequentemente, resultar e aumentar os riscos.

Depois de identificado o potencial de ataque, as organizações têm que decidir o nível de segurança a estabelecer para uma rede ou sistema os recursos físicos e lógicos a necessitar de proteção. No nível de segurança devem ser quantificados os custos associados aos ataques e os associados à implementação de mecanismos de proteção para minimizar a probabilidade de ocorrência de um ataque.