A gestão de riscos é um processo essencial para garantir a segurança da informação nas organizações. Envolve a identificação, a avaliação e o tratamento de riscos, com o objetivo de proteger a confidencialidade, integridade e disponibilidade das informações. Fonte: BAARS, H. et al. Fundamentos de segurança da informação: com base na ISO 27001 e na ISO 27002. Rio de Janeiro: BRASPORT, 2018. Sobre os conceitos de risco na gestão de segurança da informação, assinale a alternativa correta:

Question

A gestão de riscos é um processo essencial para garantir a segurança da informação nas organizações. Envolve a identificação, a avaliação e o tratamento de riscos, com o objetivo de proteger a confidencialidade, integridade e disponibilidade das informações.

Fonte: BAARS, H. et al. Fundamentos de segurança da informação: com base na ISO 27001 e na ISO 27002. Rio de Janeiro: BRASPORT, 2018.

Sobre os conceitos de risco na gestão de segurança da informação, assinale a alternativa correta:

O risco de TI inclui apenas os riscos de origem externa.
O risco é o potencial de uma ação ou atividade escolhida levar a uma perda ou evento indesejável.
O risco é apenas o impacto negativo das operações e na prestação de serviços.
O risco não está relacionado à incerteza e, portanto, não necessita de teoria da decisão.
O risco é sempre controlável, independentemente de sua origem.

Sapien IA · Accepted Answer

Alternativa B O risco é o potencial de uma ação ou atividade escolhida levar a uma perda ou evento indesejável. Introdução A gestão de riscos em segurança da informação segue padrões internacionais como a ISO 27001 e ISO 27002 . Compreender o conceito correto de risco é fundamental para implementar controles adequados nas organizações. Desenvolvimento Na teoria de gestão de riscos, existem três componentes essenciais: | Componente | Descrição | | | | | Probabilidade | Chance do evento ocorrer | | Impacto | Consequência quando ocorre | | Risco | Combinação dos dois anteriores | O risco representa a incerteza associada a consequências , podendo ser positivo ou negativo. Na segurança da informação, focamos principalmente nos riscos negativos que afetam a tríade CID (Confidencialidade, Integridade e Disponibilidade). Análise Vamos examinar cada alternativa: Alternativa A : Incorreta. Riscos de TI podem ser internos (funcionários, falhas humanas) ou externos (hackers, desastres naturais) Alternativa B : Correta. Esta é a definição padrão segundo normas como ISO 31000 e ISO 27005 Alternativa C : Incorreta. Risco não é apenas impacto; inclui também a probabilidade de ocorrência Alternativa D : Incorreta. O risco está intrinsecamente ligado à incerteza e requer teoria da decisão para tratamento adequado Alternativa E : Incorreta. Alguns riscos não podem ser totalmente controlados ; devem ser aceitos, transferidos ou mitigados dentro de limites aceitáveis Conclusão A alternativa B apresenta a definição mais precisa e alinhada com as normas internacionais de segurança da informação. Compreender que risco envolve tanto a probabilidade quanto o impacto permite às organizações priorizarem seus tratamentos de forma eficiente. Nota: Para aplicação prática em concursos, recomenda se verificar a banca examinadora específica, pois algumas podem utilizar terminologias próprias.

Explicação passo a passo

Introdução

Desenvolvimento

Análise

Conclusão

Mais questões de Informática

Tem outra questão de Informática?

Componente	Descrição
Probabilidade	Chance do evento ocorrer
Impacto	Consequência quando ocorre
Risco	Combinação dos dois anteriores