SóProvas

Esse exemplo da norma não me entra na cabeça: "Riscos podem ser aceitos se, por exemplo, for avaliado que o risco é baixo ou que o custo do tratamento não é economicamente viável para a organização."

Por que uma organização aceitaria um risco cujo custo de tratamento não seria economicamente viável para ela? Seria o caso de transferir o risco para uma outra parte?

Alexandre, não. Se é economicamente inviável significa que ou ele é baixo, ou o impacto dele não seria significante para o negócio, ou seja, caso o risco se concretize basta tomar uma ação específica para o caso. Pelo menos foi isso que consegui compreender das disciplinas que envolvem gerência de riscos, e são muitas. Me corrija, por favor, se entendi o questionamento de forma equivocada.

Me lembro sempre do Deadlock quando falamos em riscos. É mais viavel e economico para a organização tratar o deadlock que ocorrer do que tentar impedir. Então, eles podem ser aceitos dependendo do grau de impacto e custo.

Gabarito D;

A questão está errada apenas na parte: ...Riscos não podem ser aceitos....

4.2 Tratando os riscos de segurança da informação

Convém que, antes de considerar o tratamento de um risco, a organização defina os critérios para determinar se os riscos podem ser ou não aceitos. Riscos podem ser aceitos se, por exemplo, for avaliado que o risco é baixo ou que o custo do tratamento não é economicamente viável para a organização. Convém que tais decisões sejam registradas.

Fonte: http://www.ebah.com.br/content/ABAAAe_csAE/abnt-nbr-iso-iec-17799?part=3

Bons estudos!

Prezados ,

Segundo a ISO 27002 :

Convém que as análises/avaliações de riscos identifiquem, quantifiquem e priorizem os riscos com base em critérios para aceitação dos riscos e dos objetivos relevantes para a organização. Convém que os resultados orientem e determinem as ações de gestão apropriadas e as prioridades para o gerenciamento dos riscos de segurança da informação, e para a implementação dos controles selecionados, de maneira a proteger contra estes riscos. O processo de avaliar os riscos e selecionar os controles pode precisar ser realizado várias vezes, de forma a cobrir diferentes partes da organização ou de sistemas de informação específicos.

Convém que a análise/avaliação de riscos inclua um enfoque sistemático de estimar a magnitude do risco (análise de riscos) e o processo de comparar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco). ( alternativa C )

Convém que as análises/avaliações de riscos também sejam realizadas periodicamente, para contemplar as mudanças nos requisitos de segurança da informação e na situação de risco, ou seja, nos ativos, ameaças, vulnerabilidades, impactos, avaliação do risco e quando uma mudança significativa ocorrer. Essas análises/avaliações de riscos devem ser realizadas de forma metódica, capaz de gerar resultados comparáveis e reproduzíveis. ( alternativa B  e alternativa E )

Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. ( alternativa A )

Vemos que a única alternativa que não guarda correspondência com o que vemos na ISO 27002 é a alternativa D , ela na verdade fala justamente o contrário , vejamos o que a mesma ISO fala no item 4.2 :

A alternativa correta é : D.