Definição das ameaças; Categorização do risco; Tratamento do risco.

Avaliação das ameaças; Tratamento das ameaças; Aceitação dos riscos e ameaças.

Avaliação do contexto; Categorização das ameaças; Tratamento das ameaças.

Contextualização dos riscos; Tratamento dos riscos e das ameaças; Aceitação dos riscos e das ameaças.

Definição do contexto; Tratamento do risco; Aceitação do risco.

possam ser expressos como a razão entre o lucro estimado (ou outro benefício ao negócio) e o risco estimado.

possam incluir apenas um limite, representando um nível desejável de risco.

dependam das políticas, metas e objetivos da organização e nunca dos interesses das partes interessadas.

não sejam diferenciados de acordo com o tempo de existência previsto do risco.

não incluam requisitos para um tratamento adicional futuro do risco.

<!DOCTYPE html>
<html lang="pt-BR">
<head>
 <meta charset="UTF-8">
 <style>
 body {
 font-size: 16px;
 line-height: 1.5;
 }
 .blue {
 color: blue;
 }
 </style>
</head>
<body>
 A Norma ABNT NBR ISO/IEC 27005:2011 orienta sobre a gestão de riscos em segurança da informação, especificando processos para identificar, avaliar e tratar riscos de segurança da informação em uma organização. Um dos pontos cruciais nesta norma é a definição e aceitação de riscos, que devem ser alinhados à estratégia da empresa.
 
 
 Vamos analisar cada alternativa no contexto da gestão de riscos conforme a norma:
 
 
 <ul>
 <li>A) possam ser expressos como a razão entre o lucro estimado (ou outro benefício ao negócio) e o risco estimado:
 Esta opção é correta e reflete bem o princípio de que a gestão de riscos deve considerar tanto o potencial de perda quanto o potencial de ganho, avaliando se os benefícios justificam a exposição ao risco. Esse equilíbrio entre benefício e risco é essencial para tomadas de decisão estratégicas.
 </li>
 
 <li>B) possam incluir apenas um limite, representando um nível desejável de risco:
 Incorreta, pois a norma sugere a definição de critérios mais amplos e flexíveis do que um simples limite único. A gestão de risco eficaz frequentemente requer múltiplos níveis e tipos de limiares para adequar-se às diferentes circunstâncias e contextos de risco.
 </li>
 
 <li>C) dependam das políticas, metas e objetivos da organização e nunca dos interesses das partes interessadas:
 Incorreta, pois a norma também valoriza os interesses das partes interessadas na definição de critérios de aceitação de risco. Além das políticas internas, o impacto sobre stakeholders é uma consideração importante na gestão de riscos.
 </li>
 
 <li>D) não sejam diferenciados de acordo com o tempo de existência previsto do risco:
 Incorreta devido ao fato de que diferentes horizontes temporais para a avaliação e tratamento de riscos (curto, médio e longo prazo) podem necessitar abordagens distintas conforme eles evoluem ou conforme a organização muda suas estratégias.
 </li>
 
 <li>E) não incluam requisitos para um tratamento adicional futuro do risco:
 Incorreta, visto que a gestão de risco é um processo contínuo e adaptativo; mudanças no ambiente de negócios ou na própria avaliação de riscos podem exigir revisões e tratamento futuros dos riscos já aceitos ou identificados previamente.
 </li>
 
 </ul>
 

 Portanto, a alternativa correta é A.
 
</body>
</html>

priorizada de acordo com os objetivos do negócio e com os cenários de incidentes.

associada a cada ativo, processo de negócio ou processo de TI.

categorizada e priorizada a partir da análise crítica dos incidentes ocorridos.

com níveis de valores designados e critérios para a avaliação de riscos.

e cenários de incidentes com suas consequências associadas aos ativos e processos de negócio.

<!DOCTYPE html>
<html lang="pt-BR">
<head>
 <meta charset="UTF-8">
 <style>
 body {
 font-size: 16px;
 line-height: 1.5;
 }
 .blue {
 color: blue;
 }
 math {
 font-size: 16px;
 }
 </style>
</head>
<body>
 A ISO/IEC 27005:2011 estabelece um framework para o gerenciamento de riscos de segurança da informação, incluindo a identificação, análise e avaliação de riscos. A questão em análise solicita precisamente o entendimento do tipo de entrada necessária para a atividade de avaliação de riscos dentro deste processo.
 
 
 Vamos analisar cada alternativa à luz da norma mencionada:
 
 
 <ul>
 <li>A) Priorizada de acordo com os objetivos do negócio e com os cenários de incidentes.
 Embora os objetivos do negócio e os cenários de incidentes sejam fatores importantes no contexto de gestão de riscos, a norma ISO 27005, na etapa de avaliação, foca principalmente no uso de critérios predefinidos para determinar a gravidade e a prioridade dos riscos já identificados e analisados. A priorização de acordo com os objetivos e cenários não é especificada como entrada para avaliação de risco.
 </li>
 
 <li>B) Associada a cada ativo, processo de negócio ou processo de TI.
 Esta alternativa descreve mais uma característica que pode ser encontrada na fase de identificação e durante análises de riscos onde os riscos são vinculados a ativos específicos, processos de negócio ou processos de TI. No entanto, não detalha sobre os critérios e avaliações que são essenciais na fase de avaliação.
 </li>
 
 <li>C) Categorizada e priorizada a partir da análise crítica dos incidentes ocorridos.
 Essa descrição se encaixa em uma prática de revisão e melhoria do processo de gestão de riscos após a ocorrência de incidentes, ou mesmo como parte da análise de riscos, mas não especificamente fornece os elementos de entrada para a fase de avaliação como descrita pela norma.
 </li>
 
 <li>D) Com níveis de valores designados e critérios para a avaliação de riscos.
 Esta alternativa está alinhada com o que a ISO 27005 define para a entrada da atividade de avaliação de riscos. A norma enfatiza que a avaliação deve considerar uma listagem onde os riscos já estão com níveis de impacto e probabilidade determinados, suportando, assim, uma avaliação consistente baseada em critérios definidos previamente. A descrição desta alternativa captura corretamente essa necessidade, pois implica que os riscos a serem avaliados já passaram por uma prévia quantificação ou qualificação, o que os torna prontos para serem avaliados segundo critérios estabelecidos.
 </li>
 
 <li>E) E cenários de incidentes com suas consequências associadas aos ativos e processos de negócio.
 Esta alternativa confunde elementos que podem estar presentes nas fases de identificação e análise de riscos, mas não especificamente o que é exigido como entrada para a avaliação de riscos segundo a norma. Cenários de incidentes são úteis, mas a norma demanda que estes já venham com avaliações prévias de impactos e probabilidades estabelecidas.
 </li>
 
 </ul>
 
 
 Portanto, a alternativa correta é D.
 

</body>
</html>

Questões de Fundação Carlos Chagas - Tecnologia da Informação - Gestão de riscos de segurança da informação - ISO 27005 - 2014