Questão Q556352

Um analista de TI está utilizando as recomendações da norma ABNT NBR ISO/IEC 27005:2011 para realizar o tratamento de riscos dentro do processo de gestão de riscos de segurança da informação. Nesse contexto, a norma recomenda que

Alternativas

as opções de tratamento do risco sejam selecionadas apenas com base no resultado do processo de avaliação de riscos e no custo esperado para implementações dessas opções.

as quatro opções para tratamento do risco sejam aplicadas de forma mutuamente exclusiva, ou seja, não combinadas.

as opções de tratamento do risco sejam consideradas levando-se em conta como o risco é percebido pelas partes afetadas e as formas mais apropriadas de comunicação com estas partes.

as consequências adversas do risco sejam reduzidas ao mínimo possível de acordo com critérios absolutos, como a probabilidade do risco, pois riscos mais prováveis devem ser os primeiros a serem considerados.

um plano de tratamento de riscos seja definido identificando os riscos mais prováveis, as formas de tratar estes riscos, independente das prioridades, e os prazos de execução das ações de tratamento de risco indicadas.

Comentários

SEGUNDO A ISO 27005:2011:
ERRADO. A) Convém que as opções do tratamento do risco sejam selecionadas com base no resultado do processo de avaliação de riscos, no custo esperado para implementação dessas opções e nos benefícios previstos.
_______________________________
ERRADO. B) As quatro opções para o tratamento do risco não são mutuamente exclusivas.
_______________________________
CERTO. C) Convém que as opções de tratamento do risco sejam consideradas levando-se em conta: Como o risco é percebido pelas partes afetadas;� As formas mais apropriadas de comunicação com as partes.
ERRADO. D) Em geral, convém que as consequências adversas do risco sejam reduzidas ao mínimo possível, independentemente de quaisquer critérios absolutos.
_______________________________

ERRADO. E) Convém que um plano de tratamento do risco seja definido, identificando claramente a ordem de prioridade em que as formas específicas de tratamento do risco convém ser implementadas, assim como os seus prazos de execução.
_______________________________
Apenas complementando o comentário do nosso colega "HTTP Concurseiro" é sempre bom lembrar que o conceito de gravidade do risco depende inteiramente da organização, das suas políticas de governança corporativa, governança de ti, segurança da informação etc. O risco de um servidor falhar, por exemplo, sempre existirá, mas a prioridade que você dará a esse incidente dependerá muito das prioridades da organização. De repente aquele serviço disponibilizado por aquele servidor não é tão relevante, pode ser um sistema legado pouco utilizado, cujo downtime não implica em grandes prejuízos. Por outro lado pode ser o servidor que hospeda o site de uma loja de comércio eletrônico cujas vendas correspondem a 100% da atividade financeira da empresa, neste caso é óbvio que a prioridade a ser dada a esse evento será a máxima.

Quanto as opções de tratamento ficam bem claro que não precisam ser aplicadas exclusivamente. Por exemplo, para evitar falhas no serviço do provedor de internet é possível contratar mais de um fornecedor deste serviço, reduzindo os riscos, ao mesmo tempo em que o contrato transfere parcialmente a responsabilidade pelos danos financeiros que a falha no serviço possa causar a empresa. (E muito provavelmente o próprio provedor de internet já conta com uma seguradora para arcar com eventuais indenizações a clientes em processos judiciais)

SóProvas

Continue usando...

O que está incluso