O que são riscos residuais na gestão de riscos de segurança da informação?

Question

O que são riscos residuais na gestão de riscos de segurança da informação? A) Riscos que não podem ser tratados. B) Riscos que foram aceitos pela organização. C) Riscos que foram totalmente eliminados. D) Riscos que não foram identificados. E) Riscos que foram transferidos para terceiros.

Sapien IA · Accepted Answer

Alternativa B Riscos que foram aceitos pela organização Conceito de Risco Residual Na gestão de riscos de segurança da informação (baseada em normas como a ISO 27005), o processo segue etapas lógicas: identificação, análise, avaliação, tratamento e monitoramento. O Risco Residual é definido como o nível de risco que permanece após a aplicação das medidas de tratamento (controles de segurança). Risco Inicial (ou Intrínseco): O risco existente antes de qualquer controle ser aplicado. Tratamento: Ação de mitigar, evitar, transferir ou aceitar o risco. Risco Residual: É o risco que "sobrou" depois de todos os controles possíveis (dentro do custo benefício) terem sido implementados. Por que a alternativa B está correta? Quando uma organização identifica um risco residual, ela precisa decidir o que fazer com ele. Se esse nível de risco estiver dentro do limite tolerável da empresa (chamado de "apetite ao risco"), a organização formaliza a decisão de viver com esse risco , ou seja, ela o aceita . Portanto, na prática de concursos e certificações, o risco residual é frequentemente associado ao risco que a organização decidiu aceitar, pois caso não fosse aceitável, seriam implementados novos controles até que o risco fosse reduzido a um patamar aceitável. Análise das outras alternativas | Alternativa | Análise | | : | : | | A) Riscos que não podem ser tratados | Incorreta. Tecnicamente, quase todo risco pode ser tratado (mitigado), embora possa ser muito caro. Não é a definição de residual. | | C) Riscos que foram totalmente eliminados | Incorreta. Se o risco foi eliminado, não há risco residual. O risco residual é justamente o que restou . | | D) Riscos que não foram identificados | Incorreta. Estes são chamados de riscos ocultos ou desconhecidos, não residuais. | | E) Riscos que foram transferidos para terceiros | Incorreta. A transferência é uma forma de tratamento. Mesmo após transferir (ex: contratar um seguro), ainda existe um risco residual (ex: a parte não coberta pelo seguro). | Resumo: O risco residual é o risco remanescente após o tratamento, o qual a organização, via de regra, decide aceitar.

Explicação passo a passo

Conceito de Risco Residual

Por que a alternativa B está correta?

Análise das outras alternativas

Mais questões de Geral

Tem outra questão de Geral?

Alternativa	Análise
A) Riscos que não podem ser tratados	Incorreta. Tecnicamente, quase todo risco pode ser tratado (mitigado), embora possa ser muito caro. Não é a definição de residual.
C) Riscos que foram totalmente eliminados	Incorreta. Se o risco foi eliminado, não há risco residual. O risco residual é justamente o que restou.
D) Riscos que não foram identificados	Incorreta. Estes são chamados de riscos ocultos ou desconhecidos, não residuais.
E) Riscos que foram transferidos para terceiros	Incorreta. A transferência é uma forma de tratamento. Mesmo após transferir (ex: contratar um seguro), ainda existe um risco residual (ex: a parte não coberta pelo seguro).