Julgue os próximos itens, a respeito da gestão de riscos. To...

Alternativa Correta: E - Errado

A questão trata da gestão de riscos em segurança da informação, um tema crucial para garantir a proteção dos ativos de uma organização. Para resolver esta questão, é necessário entender os conceitos de identificação, avaliação, priorização e tratamento de riscos.

Vamos analisar por que a afirmação está errada:

Justificativa da alternativa correta:

A frase "Todos os riscos de segurança da informação identificados deverão ser tratados, visto que qualquer risco não tratado constitui uma falha de segurança" está incorreta. Na gestão de riscos, a abordagem não é tratar todos os riscos identificados, mas sim avaliar e priorizar quais riscos devem ser tratados baseando-se no impacto e na probabilidade de ocorrência.

Existem várias estratégias para lidar com riscos, como:

• Mitigar: Tomar ações para reduzir a probabilidade ou o impacto do risco.
• Aceitar: Decidir não tomar nenhuma ação específica com base na avaliação de que o risco é baixo.
• Transferir: Transferir o risco para uma terceira parte, como adquirir um seguro.
• Evitar: Alterar o plano para eliminar completamente o risco.

Portanto, nem todos os riscos necessariamente constituem uma falha de segurança se não forem tratados; depende de sua avaliação no contexto específico da organização.

Analisando a afirmação:

A gestão de riscos envolve tomar decisões informadas sobre quais riscos são aceitáveis e quais necessitam de tratamento. O reconhecimento e aceitação de certos riscos não tratados, quando bem documentados e justificados, fazem parte de uma gestão de riscos eficaz. A noção de que qualquer risco não tratado é uma falha de segurança é uma simplificação que não reflete a prática real.

Espero que esta explicação tenha esclarecido suas dúvidas. Se precisar de mais alguma informação ou tiver outras questões, estou à disposição!

Achei meio estranho isso, porque Aceitar o Risco é uma opção de Tratamento do Risco, de acordo com a ISO 27002. Logo, aceitar é também tratar um risco. Então, continuo à procura da justificativa da questão.   =)

Questão estranha. Opções de tratamento de acordo com a 27002:

Aplicar controles apropriados para reduzir os riscos;

Conhecer e objetivamente aceitar os riscos;

Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos;

Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.

"Para cada um dos riscos identificados com base na análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada"

A possibilidade de aceitação de um risco não deixa de ser um tratamento...continuo sem entender o erro da questão!

ISO 27005

Anexo E (Informativo)

Abordagens para o processo de avaliação de riscos de segurança da informação

E.1 Processo de avaliação de riscos de segurança da informação - Enfoque de alto nível

Uma avaliação de alto nível permite definir prioridades e uma cronologia para a execução das ações. Por várias razões, como por exemplo o orçamento, talvez não seja possível implementar todos os controles simultaneamente e, com isso, somente os riscos mais críticos podem ser tratados durante o processo de tratamento do risco. Da mesma forma, pode ser prematuro dar início a uma forma de gestão de riscos muito detalhada se a implementação só será contemplada após um ou dois anos. Para alcançar esse objetivo, uma avaliação de alto nível pode começar com um exame também de alto nível das consequências, em vez de começar por uma análise sistemática das ameaças, vulnerabilidades, ativos e consequências.