Uma microempresa possui um nobreak convencional para seus computadores. Ele se situa em uma região com muita instabilidade no fornecimento de energia elétrica. Na fase de processo de avaliação de riscos do seu sistema de GR, a probabilidade de faltar energia elétrica por mais tempo do que o nobreak é capaz de suportar em termos de fornecimento de energia, desligando seus computadores, foi categorizada como um risco sem tratamento. Esse risco é denominado:

Análise da Questão de Gestão de Riscos

Alternativa B - Residual

Esta questão aborda conceitos fundamentais da Gestão de Riscos (Risk Management), especificamente sobre o estado de um risco após a avaliação e decisão de tratamento.

## Explicação Didática

Para responder corretamente, é necessário compreender a classificação dos riscos em relação aos controles aplicados:

1. Risco Inerente: É o risco inicial, antes de qualquer controle ou medida de segurança ser aplicado.
2. Risco Residual: É o risco que permanece após a aplicação de controles e tratamentos. Isso inclui riscos que foram aceitos (tratamento de "não fazer nada") ou riscos que não puderam ser totalmente eliminados.

No enunciado, a empresa analisou o risco de falta de energia prolongada. Embora tenha decidido não tratar esse risco especificamente (talvez por custo ou aceitabilidade), ele continua existindo na organização. Na terminologia padrão de auditoria e gestão (como ISO 27005), o risco que persiste após a fase de decisão de tratamento — mesmo que seja a decisão de aceitá-lo — é classificado como Risco Residual.

## Análise das Alternativas

Conclusão

Como a questão apresenta apenas uma opção que corresponde a uma nomenclatura real e reconhecida no mercado de TI e Segurança da Informação, a resposta correta é a Alternativa B. O risco que não foi tratado (mitigado) e permanece ativo é denominado Risco Residual.