Gestao de Riscos E1670338488

TECNOLOGIA DA
INFORMAÇÃO
Gestão de Riscos
SISTEMA DE ENSINO
Livro Eletrônico
TECNOLOGIA DA INFORMAÇÃO
Gestão de Riscos
Patrícia Quintão
Sumário
Apresentação......................................................................................................................................................................4
Gestão de Riscos. . .............................................................................................................................................................5
1. Escopo.................................................................................................................................................................................5
2. Referência Normativa. . ..............................................................................................................................................5
3. Termos e Definições...................................................................................................................................................5
4. Organização deste Documento. . ..........................................................................................................................6
5. Contextualização.........................................................................................................................................................6
6. Visão Geral do Processo de Gestão de Riscos de Segurança............................................................7
7. Definição do Contexto...............................................................................................................................................9
7.1. Considerações Gerais. . ...........................................................................................................................................9
7.2. Critérios Básicos......................................................................................................................................................9
7.3. Escopo e Limites................................................................................................................................................... 10
7.4. Organização para Gestão de Riscos de Segurança da Informação. ...........................................11
8. Processo de Avaliação de Riscos de Segurança da Informação.....................................................11
8.1. Descrição Geral do Processo de Avaliação de Riscos de Segurança da Informação. . .....11
8.2. Identificação de Riscos......................................................................................................................................12
8.3. Análise de Riscos.. .................................................................................................................................................14
8.4. Avaliação de Riscos.............................................................................................................................................15
9. Tratamento do Risco de Segurança da Informação...............................................................................16
9.1. Descrição Geral do Processo de Tratamento do Risco.....................................................................16
9.2. Modificação do Risco.. .........................................................................................................................................18
9.3. Retenção do Risco.. ...............................................................................................................................................18
9.4. Ação de Evitar o Risco........................................................................................................................................18
9.5. Compartilhamento do Risco............................................................................................................................18
10. Aceitação do Risco de Segurança da Informação. ................................................................................19
11. Comunicação e Consulta do Risco de Segurança da Informação..................................................19
12. Monitoramento e Análise Crítica de Riscos de Segurança da Informação. ............................19
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 2 de 43
Gestão de Riscos
Patrícia Quintão
12.1. Monitoramento e Análise Crítica dos Fatores de Risco.................................................................19

12.2. Monitoramento, Análise Crítica e Melhoria do Processo de Gestão de Riscos..............19
Resumo................................................................................................................................................................................20
Questão Comentada em Aula. . ................................................................................................................................ 24
Questões de Concurso................................................................................................................................................25
Gabarito...............................................................................................................................................................................29
Gabarito Comentado....................................................................................................................................................30
Referências........................................................................................................................................................................42
Gestão de Riscos
Patrícia Quintão
Apresentação
Olá, querido(a) amigo(a), tudo bem?
Hoje veremos uma série de conceitos e questões relacionados à gestão de riscos, com
destaque para os conceitos mais cobrados nos últimos certames.
Que Deus o(a) abençoe, e vamos ao que interessa !
Profa Patrícia Quintão.
Instagram: @coachpatriciaquintao
WhatsApp: (31) 99442.0615
Gestão de Riscos
Patrícia Quintão
GESTÃO DE RISCOS
A norma ABNT NBR ISO/IEC 27005:2019 – Tecnologia da informação — Técnicas de
segurança — Gestão de riscos de segurança da informação fornece diretrizes para a gestão
de riscos de segurança da informação em uma organização.
É baseada no método de identificação de riscos de ativos, ameaças e vulnerabilidades,
que não é mais requerido pela ABNT NBR ISO/IEC 27001. Existem outras abordagens que
podem ser usadas.
Aplicável a gestores e pessoal envolvidos com a gestão de riscos de segurança da infor-
mação em uma organização e, quando apropriado, em entidades externas que dão suporte a
essas atividades.
1. Escopo
Fornece diretrizes para o processo de gestão de riscos de segurança da informação.
Estabelece os conceitos gerais especificados na ABNT NBR ISO/IEC 27001 e foi elabo-
rado para facilitar uma implementação satisfatória da segurança da informação tendo como
base uma abordagem de gestão de riscos.
Aplicável a todos os tipos de organização (por exemplo: empreendimentos comerciais,
agências governamentais, organizações sem fins lucrativos), que pretendam gerenciar os ris-
cos que podem comprometer a segurança da informação da organização.
2. Referência Normativa
O seguinte documento é referenciado no texto de tal forma que partes ou todo o seu
conteúdo constituem requisitos deste documento.
3. Termos e Definições
Aplicam-se os termos e definições a seguir e os da ISO/IEC 27000.
Gestão de Riscos
Patrícia Quintão
4. Organização deste Documento
Figura. Seções da Norma ABNT NBR ISO/IEC 27005:2019
5. Contextualização
Uma abordagem sistemática de gestão de riscos de segurança da informação é necessária
para se identificar as necessidades da organização em relação aos requisitos de segurança da
informação e para criar um sistema de gestão de segurança da informação (SGSI) que seja eficaz.
Convém que a gestão de riscos de segurança da informação seja parte integrante das ati-
vidades de gestão da segurança da informação e seja aplicada tanto à implementação quanto
à operação cotidiana de um SGSI.
Convém que a gestão de riscos de segurança da informação seja um processo contínuo.
O processo de gestão de riscos de segurança da informação pode ser aplicado à organização
como um todo, a uma área específica da organização (por exemplo: um departamento, um local fí-
sico, um serviço), a qualquer sistema de informações, a controles já existentes, planejados ou ape-
nas a aspectos particulares de um controle (por exemplo: o plano de continuidade de negócios).
Gestão de Riscos
Patrícia Quintão
6. Visão Geral do Processo de Gestão de Riscos de Segurança

Uma visão de alto nível do processo de gestão de riscos é especificado na ABNT NBR ISO
31000 e apresentado na figura seguinte.
De acordo com a ABNT NBR ISO/IEC 27005:2019, o processo de Gestão de Riscos de
Segurança da Informação (GRSI) de uma empresa passa pelas etapas listadas a seguir:
• definição do contexto (Seção 7);
• processo de avaliação de riscos (Seção 8);
• tratamento do risco (Seção 9);
• aceitação do risco (Seção 10);
• comunicação e consulta do risco (Seção 11);
• monitoramento e análise crítica de riscos (Seção 12).
Figura. O Processo de Gestão de Riscos. Fonte: (ABNT NBR ISO/IEC 27005:2019, p. 4)

A figura seguinte apresenta como este documento é aplicado ao processo de gestão
de riscos.
Gestão de Riscos
Patrícia Quintão
Figura. Processo de Gestão de Riscos de Segurança da Informação Fonte: (ABNT NBR ISO/IEC 27005:2019, p. 5)
O tratamento do risco envolve um processo cíclico para:

• avaliar um tratamento do risco;
• decidir se os níveis de risco residual são aceitáveis;
• gerar um novo tratamento do risco se os níveis de risco não forem aceitáveis; e
• avaliar a eficácia do tratamento.
Gestão de Riscos
Patrícia Quintão
7. Definição do Contexto
7.1. Considerações Gerais
Entrada: todas as informações sobre a organização relevantes para a definição do con-
texto da GRSI.
Ação: convém que os contextos externo e interno para GRSI sejam estabelecidos.
Diretrizes para implementação:
É essencial determinar o propósito da GRSI, pois ele afeta o processo em geral e a defini-
ção do contexto em particular. Esse propósito pode ser:
• suporte a um SGSI;
• conformidade legal e evidência da devida diligência (“due diligence”);
• preparação de um PCN;
• preparação de um plano de resposta a incidentes; e
• descrição dos requisitos de segurança da informação para um produto, um serviço ou
um mecanismo.
Saída: a especificação dos critérios básicos; o escopo e os limites do processo de GRSI; e

a organização responsável pelo processo.
7.2. Critérios Básicos

7.2.1. Abordagem da gestão de riscos
• Diferentes métodos podem ser aplicados.
• O método também pode ser diferente para cada iteração do processo.
• Convém que um método de gestão de riscos apropriado seja selecionado ou desenvol-
vido e considere critérios básicos, como:
− critérios de avaliação de riscos,
− critérios de impacto, e
− critérios de aceitação do risco.
7.2.2. Critérios para a avaliação de riscos
Convém que esses critérios sejam desenvolvidos para avaliar os riscos de segurança da
informação na organização, considerando:
• o valor estratégico do processo que trata as informações de negócio;
• a criticidade dos ativos de informação envolvidos;
• importância do ponto de vista operacional e dos negócios, da disponibilidade, da confi-
dencialidade e da integridade, e
Gestão de Riscos
Patrícia Quintão
• expectativas e percepções das partes interessadas e consequências negativas para o

valor de mercado (e a reputação.
7.2.3. Critérios de impacto
Convém que esses critérios sejam desenvolvidos e especificados em função do montante dos
danos ou custos à organização causados por um evento relacionado à segurança da informação.
7.2.4. Critérios para a aceitação do risco
Os critérios de aceitação do risco dependem frequentemente das políticas, metas e obje-

tivos da organização, bem como dos interesses das partes interessadas.
Critérios para a aceitação do risco podem ser diferenciados de acordo com o tempo de
existência previsto do risco.
Convém que os critérios para a aceitação do risco sejam estabelecidos, considerando:
• critérios de negócio;
• operações;
• tecnologia;
• finanças;
• fatores sociais; e
• humanitários.
7.3. Escopo e Limites

O escopo do processo de GRSI precisa ser definido para assegurar que todos os ativos
relevantes sejam considerados no processo de avaliação de riscos.
Além disso, os limites precisam ser identificados para permitir o reconhecimento dos ris-
cos que possam transpor esses limites.
Convém que as informações sobre a organização sejam reunidas para que seja possível
determinar o ambiente em que ela opera e a relevância desse ambiente para o processo de
gestão de riscos de segurança da informação.
Na definição do escopo e dos limites, convém que a organização considere as informações:
• objetivos estratégicos, políticas e estratégias da organização;
• processos de negócio;
• funções e estrutura da organização;
• política de segurança da informação da organização;
• a abordagem da organização à gestão de riscos;
• ativos de informação;
• localidades em que a organização se encontra e suas características geográficas;
• restrições que afetam a organização;
Gestão de Riscos
Patrícia Quintão
• expectativas das partes interessadas;

• ambiente sociocultural;
• interfaces (troca de informação com o ambiente).
Ainda, convém que a organização forneça justificativa para quaisquer exclusões do escopo.
7.4. Organização para Gestão de Riscos de Segurança da Informação

Convém que a organização e as responsabilidades para o processo de GRSI sejam esta-
belecidas e mantidas.
Principais papéis e responsabilidades dessa organização:
• desenvolvimento do processo de GRSI adequado à organização;
• identificação e análise das partes interessadas;
• definição dos papéis e responsabilidades de todas as partes, internas e externas à or-
ganização;
• estabelecimento das relações necessárias entre a organização e as partes interessa-
das, das interfaces com as funções de alto nível de gestão de riscos da organização,
bem como das interfaces com outros projetos ou atividades relevantes;
• definição de alçadas para a tomada de decisões;
• especificação dos registros a serem mantidos.
Convém que essa organização seja aprovada pelos gestores apropriados da organização.
8. Processo de Avaliação de Riscos de Segurança da Informação

8.1. Descrição Geral do Processo de Avaliação de Riscos de Segurança
da Informação
Entrada: critérios básicos, escopo e limites, e organização do processo de gestão de riscos

de segurança da informação que se está definindo.
Ação: convém que os riscos sejam identificados, quantificados ou descritos qualitativa-
mente, priorizados em função dos critérios de avaliação de riscos e dos objetivos relevantes
da organização.
Diretrizes para implementação:
Um risco é a combinação das consequências que podem seguir após a ocorrência de um
evento indesejado e da probabilidade da ocorrência deste.
O processo de avaliação de riscos quantifica ou descreve o risco qualitativamente e capa-
cita os gestores a priorizar os riscos de acordo com a sua gravidade percebida ou com outros
critérios estabelecidos.
Gestão de Riscos
Patrícia Quintão
Fonte: (ABNT NBR ISO/IEC 27005:2019)
8.2. Identificação de Riscos

Fases da identificação de riscos:
• Introdução à identificação de riscos;
• Identificação dos ativos;
• Identificação das ameaças;
• Identificação dos controles existentes;
• Identificação das vulnerabilidades;
• Identificação das consequências.
8.2.1. Introdução à identificação de riscos
A identificação de riscos busca determinar o que possa causar uma perda potencial e dei-
xar claro como, onde e por que a perda pode acontecer.
Convém que a identificação de riscos inclua os riscos cujas fontes estejam ou não sob
controle da organização, mesmo que a fonte ou a causa dos riscos não seja evidente.
8.2.2. Identificação dos ativos
Um ativo é algo que tem valor para a organização e que, portanto, requer proteção.
Convém que a identificação dos ativos seja executada com um detalhamento adequado
que forneça informações suficientes para o processo de avaliação de riscos.
Convém que um responsável seja identificado para cada ativo, para fornecer responsabili-
dade e responsabilização pelo ativo.
Gestão de Riscos
Patrícia Quintão
Obs.: O responsável pelo ativo pode não ter direitos de propriedade sobre este, mas tem res-
ponsabilidade sobre sua produção, desenvolvimento, manutenção, utilização e segu-
rança, conforme apropriado.
8.2.3. Identificação das ameaças
Convém que tanto as fontes das ameaças acidentais, quanto as intencionais, sejam identificadas.
Uma ameaça pode surgir de dentro ou de fora da organização.
Convém que as ameaças sejam identificadas genericamente e por classe (por exemplo:
ações não autorizadas, danos físicos, falhas técnicas) e, quando apropriado, ameaças especí-
ficas identificadas dentro das classes genéricas. Isto significa que, nenhuma ameaça é ignora-
da, incluindo as não previstas, mas que o volume de trabalho requerido é limitado.
Convém que experiências internas de incidentes e avaliações anteriores das ameaças se-
jam consideradas na avaliação atual.
8.2.4. Identificação dos controles existentes
Convém que a identificação dos controles existentes seja realizada para evitar custos e
trabalho desnecessários.
Além disso, enquanto os controles existentes estiverem sendo identificados, convém que
seja feita uma verificação para assegurar que eles estão funcionando corretamente.
Um controle que não funcione como esperado pode provocar o surgimento de vulnerabili-
dades. Convém que seja levada em consideração a possibilidade de um controle selecionado
(ou estratégia) falhar durante sua operação e, sendo assim, controles complementares são
requeridos para tratar efetivamente o risco identificado.
Convém que um controle insuficiente ou não justificado seja verificado para determinar se
convém que este seja removido, substituído por outro controle mais adequado ou se convém
que o controle permaneça em vigor, por exemplo, em função dos custos.
8.2.5. Identificação das vulnerabilidades
Vulnerabilidades podem ser identificadas nas seguintes áreas:

• organização;
• processos e procedimentos;
• rotinas de gestão;
• recursos humanos;
• ambiente físico;
• configuração do sistema de informação;
• hardware, software ou equipamentos de comunicação;
• dependência de entidades externas.
Gestão de Riscos
Patrícia Quintão
A presença de uma vulnerabilidade não causa prejuízo por si só, pois precisa haver uma
ameaça presente para explorá-la.
Um controle implementado, funcionando incorretamente ou sendo usado incorretamente,
pode, por si só, representar uma vulnerabilidade.
Um controle pode ser eficaz ou não, dependendo do ambiente no qual ele opera. Inversa-
mente, uma ameaça que não tenha uma vulnerabilidade correspondente pode não resultar
em um risco.
8.2.6. Identificação das consequências
Uma consequência pode ser, por exemplo, a perda da eficácia, condições adversas de ope-
ração, a perda de oportunidades de negócio, reputação afetada, prejuízo etc.
Convém que as organizações identifiquem as consequências operacionais de cenários de
incidentes em função de (mas não limitado a):
• investigação e tempo de reparo;
• tempo (de trabalho) perdido;
• oportunidade perdida;
• saúde e segurança;
• custo financeiro das competências específicas necessárias para reparar o prejuízo, e
• imagem, reputação e valor de mercado.
8.3. Análise de Riscos

8.3.1. Metodologias de análise de riscos
A análise de riscos pode ser empreendida com diferentes graus de detalhamento, depen-
dendo da criticidade dos ativos, da extensão das vulnerabilidades conhecidas e dos inciden-
tes anteriores envolvendo a organização.
Uma metodologia para a análise de riscos pode ser qualitativa ou quantitativa ou uma
combinação de ambas, dependendo das circunstâncias.
• Análise Qualitativa de Riscos: utiliza uma escala com atributos qualificadores que des-
crevem a magnitude das consequências potenciais (ex.: pequena, média e grande) e a
probabilidade dessas consequências ocorrerem. É de fácil compreensão pelos envolvi-
dos, enquanto uma desvantagem é a dependência da escolha subjetiva da escala.
• Análise Quantitativa de Riscos: utiliza uma escala com valores numéricos (e não as es-
calas descritivas usadas na análise qualitativa) tanto para consequências quanto para a
probabilidade, usando dados de diversas fontes.
Gestão de Riscos
Patrícia Quintão
Figura. Metodologias para Análise de Riscos (Quintão, 2020).
8.3.2. Avaliação das consequências
As consequências ou o impacto ao negócio podem ser determinados por meio da criação

de modelos com os resultados de um evento, um conjunto de eventos ou por meio da extrapo-
lação a partir de estudos experimentais ou dados passados.
As consequências podem ser expressas em função dos critérios monetários, técnicos ou
humanos, de impacto ou de outro critério relevante para a organização.
Convém que as consequências expressas em tempo e valor financeiro sejam medidas com
a mesma abordagem utilizada para a probabilidade da ameaça e as vulnerabilidades.
8.3.3. Avaliação da probabilidade dos incidentes
Depois de identificar os cenários de incidentes, é necessário avaliar a probabilidade de cada

cenário do impacto correspondente, usando técnicas de análise qualitativas ou quantitativas.
8.3.4. Determinação do nível de risco
O risco estimado é uma combinação da probabilidade de um cenário de incidente e suas

consequências.
8.4. Avaliação de Riscos

Convém que os critérios de avaliação de riscos utilizados na tomada de decisões sejam con-
sistentes com o contexto definido, externo e interno, relativo à gestão de riscos de segurança da in-
formação e considerem os objetivos da organização, o ponto de vista das partes interessadas etc.
Gestão de Riscos
Patrícia Quintão
9. Tratamento do Risco de Segurança da Informação

9.1. Descrição Geral do Processo de Tratamento do Risco
A norma ABNT NBR ISO/IEC 27005:2019 destaca que há quatro opções disponíveis para o
tratamento do risco: modificação do risco, retenção do risco, ação de evitar o risco e Compar-
tilhamento do risco. Veja mais detalhes a seguir:
Figura. A Atividade de Tratamento do Risco. Fonte: (ABNT NBR ISO/IEC 27005:2019)
Gestão de Riscos
Patrícia Quintão
Gerenciar o nível de risco

através da inclusão, exclusão
Modificação do ou alteração de controles que
risco modifiquem o nível de risco,
para que o risco residual seja
considerado aceitável.
Aceitar o risco, consciente e
objetivamente, sem ações adicionais,
Retenção do risco
caso o nível do risco atenda aos critérios
para a aceitação do risco.
Ação de evitar Evitar/eliminar a atividade ou condição
o risco que dá origem ao risco.
Compartilhar o risco com outra
Compartilhamento entidade que possa gerenciá-lo mais
do risco eficazmente, dependendo da avaliação
de riscos.
As quatro opções para o tratamento do risco não são mutuamente exclusivas.

Convém que um plano de tratamento do risco seja definido, identificando claramente a
ordem de prioridade em que convém que as formas específicas de tratamento do risco sejam
implementadas, assim como os seus prazos de execução.
O risco para a organização é não estar em conformidade e convém que sejam implemen-
tadas opções de tratamento para limitar essa possibilidade.
001. (CESPE/CGE – CE/AUDITOR DE CONTROLE INTERNO/TECNOLOGIA DA INFORMA-

ÇÃO/2019) Segundo a NBR ISO/IEC 27005, a opção de tratamento de risco que consiste na
possibilidade de aceitação do ônus da perda ou do benefício do ganho associado a determina-
do risco é denominada
a) redução do risco.
b) retenção do risco.
c) ação de evitar o risco.
d) compartilhamento do risco.
e) transferência do risco.
A norma ABNT NBR ISO/IEC 27005:2019 cita que há quatro opções disponíveis para o trata-
mento do risco. São elas:
Gestão de Riscos
Patrícia Quintão
Gerenciar o nível de risco através da

inclusão, exclusão ou alteração de
Modificação do
controles que modifiquem o nível de
risco
risco, para que o risco residual seja
Aceitar o risco, consciente e objetivamente,
Retenção do risco sem ações adicionais, caso o nível do risco
atenda aos critérios para a aceitação do risco.
Ação de evitar Evitar/eliminar a atividade ou condição que
o risco dá origem ao risco.
Compartilhar o risco com outra entidade
Compartilhamento
que possa gerenciá-lo mais eficazmente,
do risco
dependendo da avaliação de riscos.
Conforme visto, a retenção do risco busca a aceitação do ônus da perda ou do benefício do
ganho associado a um determinado risco, consciente e objetivamente, sem outras ações adi-
cionais, caso o nível do risco atenda aos critérios para a aceitação do risco.
Letra b.
9.2. Modificação do Risco

Convém que controles apropriados e devidamente justificados sejam selecionados para satis-
fazer aos requisitos identificados pelo processo de avaliação de riscos e do tratamento de riscos.
A ABNT NBR ISO/IEC 27002 fornece informações detalhadas sobre controles.
9.3. Retenção do Risco

Se o nível de risco atende aos critérios para a aceitação do risco, não há necessidade de se
implementar controles adicionais e pode haver a retenção do risco.
9.4. Ação de Evitar o Risco

Quando os riscos identificados são considerados demasiadamente elevados e quando
os custos da implementação de outras opções de tratamento do risco excederem os bene-
fícios, pode-se decidir que o risco seja evitado completamente, seja pela eliminação de uma
atividade planejada ou existente (ou de um conjunto de atividades), seja pelas mudanças nas
condições em que a operação da atividade ocorre.
9.5. Compartilhamento do Risco

O compartilhamento do risco envolve a decisão de se compartilhar certos riscos com
entidades externas.
Gestão de Riscos
Patrícia Quintão
O compartilhamento do risco pode criar novos riscos ou modificar riscos existentes e

identificados.
Portanto, um novo tratamento do risco pode ser necessário.
10. Aceitação do Risco de Segurança da Informação

Convém que a decisão de aceitar os riscos seja feita e formalmente registrada, juntamente
com a responsabilidade pela decisão.
Convém que os planos de tratamento do risco descrevam como os riscos avaliados serão
tratados para que os critérios de aceitação do risco sejam atendidos.
Os critérios para a aceitação do risco podem ser mais complexos do que somente a deter-
minação se o risco residual está, ou não, abaixo ou acima de um limite bem definido.
Essa atividade produz como saída uma lista de riscos aceitos, incluindo uma justificativa
para aqueles que não satisfaçam os critérios normais para aceitação do risco.
11. Comunicação e Consulta do Risco de Segurança da Informação

A comunicação do risco é uma atividade que objetiva alcançar um consenso sobre como
gerenciar os riscos por meio da troca e/ou compartilhamento das informações sobre o risco
entre os tomadores de decisão e as outras partes interessadas.
12. Monitoramento e Análise Crítica de Riscos de Segurança da Informação

Essa atividade envolve duas subatividades: monitoramento e análise crítica dos fatores de
risco; e monitoramento, análise crítica e melhoria do processo de gestão de riscos.
12.1. Monitoramento e Análise Crítica dos Fatores de Risco

Convém que os riscos e seus fatores (isto é, valores dos ativos, impactos, ameaças, vulne-
rabilidades, probabilidade de ocorrência) sejam monitorados e analisados criticamente.
Fatores que afetam a probabilidade ou as consequências das ameaças já ocorridas podem mu-
dar, assim como os fatores que afetam a adequação ou o custo das várias opções de tratamento.
12.2. Monitoramento, Análise Crítica e Melhoria do Processo de

Gestão de Riscos
Convém que o processo de gestão de riscos de segurança da informação seja continuamente
monitorado, analisado criticamente e melhorado, quando necessário e apropriado.
Gestão de Riscos
Patrícia Quintão
RESUMO
• A ABNT NBR ISO/IEC 27005:2019 – Tecnologia da informação — Técnicas de segurança —
Gestão de riscos de segurança da informação fornece diretrizes para a gestão de riscos de
segurança da informação em uma organização.
Figura. Seções da Norma ABNT NBR ISO/IEC 27005:2019
Gestão de Riscos
Patrícia Quintão
Figura. O Processo de Gestão de Riscos. Fonte: (ABNT NBR ISO/IEC 27005:2019, p. 4)
Gestão de Riscos
Patrícia Quintão
Figura. Processo de Gestão de Riscos de Segurança da Informação Fonte: (ABNT NBR ISO/IEC 27005:2019, p. 5)
Gestão de Riscos
Patrícia Quintão
Figura. Metodologias para Análise de Riscos (Quintão, 2020)
Gestão de Riscos
Patrícia Quintão
QUESTÃO COMENTADA EM AULA

001. (CESPE/CGE – CE/AUDITOR DE CONTROLE INTERNO/TECNOLOGIA DA INFORMA-
ÇÃO/2019) Segundo a NBR ISO/IEC 27005, a opção de tratamento de risco que consiste na
possibilidade de aceitação do ônus da perda ou do benefício do ganho associado a determinado
risco é denominada
a) redução do risco.
b) retenção do risco.
c) ação de evitar o risco.
d) compartilhamento do risco.
e) transferência do risco.
Gestão de Riscos
Patrícia Quintão
QUESTÕES DE CONCURSO
002. (CEBRASPE (CESPE)/ANALISTA DA DEFENSORIA PÚBLICA/DPE-RO/REDES E COMU-
NICAÇÃO DE DADOS/2022) Segundo a Norma NBR ISO/IEC 27005, no que diz respeito ao mo-
nitoramento e análise crítica dos fatores de riscos de segurança da informação, é necessária
uma análise crítica periódica sobre
a) os novos ativos incluídos no escopo da gestão de riscos.
b) as opções selecionadas para o tratamento de riscos.
c) os incidentes relacionados à segurança da informação.
d) a exposição de vulnerabilidades já identificadas a ameaças novas.
e) as novas ameaças ainda não avaliadas e que podem estar ativas.
003. (CESPE/TCE-RN/INSPETOR/TECNOLOGIA DA INFORMAÇÃO – CARGO 5/2015) Com

base nas normas NBR ISO/IEC 15999 e NBR ISO/IEC 27005, julgue o item subsequente. É objeto
da norma 27005 entender, desenvolver e implementar plano de continuidade de negócios em
uma organização.
004. (FCC/TRT – 20ª REGIÃO (SE)/TÉCNICO JUDICIÁRIO – TECNOLOGIA DA INFORMA-

ÇÃO/2016/ADAPTADA) Considere que o Tribunal Regional do Trabalho esteja seguindo orientações
da norma ABNT NBR ISO/IEC 27005:2019, que fornece diretrizes para o processo de gestão de riscos
de segurança da informação. Seguindo esta norma, a implantação do processo de gestão de riscos
deve passar pelas etapas: definição do contexto, processo de avaliação de riscos, tratamento do risco,
a) análise de impacto do risco, monitoramento do risco e comunicação do risco.
b) aceitação do risco, comunicação e consulta do risco e monitoramento e análise crítica
de riscos.
c) mitigação do impacto do risco e análise crítica sobre o risco.
d) análise de impacto do risco, comunicação do risco e definição de ações de contenção do risco.
e) tomada de decisão sobre o risco, divulgação do risco na organização e monitoramento e
controle de riscos.
005. (CESPE/TRT – 7ª REGIÃO (CE)/ANALISTA JUDICIÁRIO/TECNOLOGIA DA INFORMA-

ÇÃO/2017/ADAPTADA) De acordo com a ABNT NBR ISO/IEC 27005:2019, a primeira etapa do
processo de avaliação de riscos consiste em
a) avaliar os riscos.
b) tratar os riscos.
c) monitorar os riscos.
d) identificar os riscos.
Gestão de Riscos
Patrícia Quintão
006. (FCC/PREFEITURA DE TERESINA – PI/ANALISTA TECNOLÓGICO/ANALISTA DE NEGÓ-

CIOS/2016/ADAPTADA) A NBR ISO/IEC 27005:2019 NÃO considera como opção para o trata-
mento do risco de segurança da informação:
a) a retenção do risco.
b) a modificação do risco.
c) o compartilhamento do risco.
d) a eliminação do risco.
e) a ação de evitar o risco.
007. (CESPE/TRF – 1ª REGIÃO/ANALISTA JUDICIÁRIO – INFORMÁTICA/2017) Julgue o

item subsecutivo com relação à norma ABNT NBR ISO 27005, que fornece diretrizes para o
processo de gestão de riscos de segurança da informação (GRSI) de uma organização. A qua-
lidade e a exatidão do processo de análise quantitativa de riscos estão relacionadas à disponi-
bilidade de dados históricos e auditáveis.
008. (CESPE/TRF – 1ª REGIÃO/ANALISTA JUDICIÁRIO – INFORMÁTICA/2017) Julgue o item

subsecutivo com relação à norma ABNT NBR ISO 27005, que fornece diretrizes para o processo
de gestão de riscos de segurança da informação (GRSI) de uma organização. Entre os ativos de
suporte e infraestrutura incluem-se os recursos humanos, as instalações físicas e a estrutura da
organização.
009. (CESPE/TCE RN/ASSESSOR TÉCNICO DE INFORMÁTICA – CONTROLE EXTERNO/2015)

Acerca de gestão de riscos, julgue o próximo item. O processo de gestão de riscos de segurança
da informação pode ser aplicado em todos os segmentos da organização: departamento, servi-
ço, sistema de informações e até controles já existentes.
010. (FCC/SABESP/TÉCNICO EM GESTÃO – INFORMÁTICA/SEGURANÇA DA INFORMA-

ÇÃO/2014) De acordo com a Norma NBR ISO/IEC 27005, o processo de Gestão de Riscos da
Segurança da Informação é composto pelas atividades mostradas na figura abaixo:
Gestão de Riscos
Patrícia Quintão
As atividades I, II e III da figura acima correspondem, respectivamente, a:

a) Definição das ameaças; Categorização do risco; Tratamento do risco.
b) Avaliação das ameaças; Tratamento das ameaças; Aceitação dos riscos e ameaças.
c) Avaliação do contexto; Categorização das ameaças; Tratamento das ameaças.
d) Contextualização dos riscos; Tratamento dos riscos e das ameaças; Aceitação dos riscos e
das ameaças.
e) Definição do contexto; Tratamento do risco; Aceitação do risco.
011. (CESPE/TELEBRAS/AUDITOR/2013) Julgue os itens seguintes, acerca dos componen-

tes de controle interno, previstos na estrutura integrada do COSO. Risco é a probabilidade de
perda ou incerteza associada ao cumprimento de um objetivo.
Gestão de Riscos
Patrícia Quintão
012. (FCC/INFRAERO/ANALISTA DE SISTEMAS – SEGURANÇA DA INFORMAÇÃO/ADAPTA-

DA/2011) De acordo com a ISO/IEC 27005:2019, as opções completas para tratamento do risco
são: compartilhamento do risco,
a) ignorar, evitar e transferir.
b) modificação do risco, retenção do risco e ação de evitar o risco.
c) ignorar, aceitar, evitar e transferir.
d) aceitar, evitar, transferir e ocultar.
e) evitar e transferir.
013. (CESPE/TJ-SE/ANALISTA JUDICIÁRIO/ANÁLISE DE SISTEMAS/2014) De acordo com

a norma ABNT NBR ISO/IEC n.º 27005, julgue os próximos itens, no que se refere à gestão de
riscos da segurança da informação.
Para a fase de tratamento do risco da segurança da informação, essa norma estabelece quatro
possíveis ações não mutuamente exclusivas: redução, retenção, prevenção e eliminação do risco.

a norma ABNT NBR ISO/IEC n. 27005, julgue os próximos itens, no que se refere à gestão de
A comunicação de riscos visa assegurar que as informações sobre os riscos sejam comparti-
lhadas entre os responsáveis pelas decisões e as outras partes envolvidas.
015. (CESPE/TJ-SE/ANALISTA JUDICIÁRIO/ANÁLISE DE SISTEMAS/2014) Considerando

o que dispõe a NBR ISO/IEC 27005, julgue os itens subsecutivos.
Requisitos legais e regulatórios a serem necessariamente atendidos pela organização devem
fazer parte do escopo da gestão de riscos de segurança da informação.
Gestão de Riscos
Patrícia Quintão
GABARITO
1. b
2. b
3. E
4. b
5. d
6. d
7. C
8. C
9. C
10. e
11. C
12. b
13. E
14. C
15. C
Gestão de Riscos
Patrícia Quintão
GABARITO COMENTADO
002. (CEBRASPE (CESPE)/ANALISTA DA DEFENSORIA PÚBLICA/DPE-RO/REDES E COMU-
NICAÇÃO DE DADOS/2022) Segundo a Norma NBR ISO/IEC 27005, no que diz respeito ao moni-
toramento e análise crítica dos fatores de riscos de segurança da informação, é necessária uma
análise crítica periódica sobre
a) os novos ativos incluídos no escopo da gestão de riscos.
b) as opções selecionadas para o tratamento de riscos.
c) os incidentes relacionados à segurança da informação.
d) a exposição de vulnerabilidades já identificadas a ameaças novas.
e) as novas ameaças ainda não avaliadas e que podem estar ativas.
A norma ABNT NBR ISO/IEC 27005:2019 destaca:

“Convém que a gestão de riscos de segurança da informação contribua para o seguinte:
• identificação de riscos;
• processo de avaliação de riscos em função das consequências ao negócio e da proba-
bilidade de sua ocorrência;
• comunicação e entendimento da probabilidade e das consequências destes riscos;
• estabelecimento da ordem prioritária para tratamento do risco;
• priorização das ações para reduzir a ocorrência dos riscos;
• envolvimento das partes interessadas nas decisões de gestão de riscos tomadas e para
informação sobre a situação da gestão de riscos;
• eficácia do monitoramento do tratamento do risco;
• monitoramento e análise crítica periódica dos riscos e do processo de gestão de riscos;
• coleta de informações de forma a melhorar a abordagem da gestão de riscos;
• treinamento de gestores e pessoal sobre os riscos e as ações para mitigá-los.
Ainda, em outro momento, a norma cita:
Convém que qualquer grande mudança que afete a organização seja seguida por uma análise crí-
tica mais específica. Assim sendo, convém que as atividades de monitoramento de riscos sejam
repetidas regularmente, e que as opções selecionadas para o tratamento do risco sejam analisadas
criticamente periodicamente.
Conforme visto, a letra b é a resposta da questão!

Letra b.
Gestão de Riscos
Patrícia Quintão
003. (CESPE/TCE-RN/INSPETOR/TECNOLOGIA DA INFORMAÇÃO – CARGO 5/2015)

Com base nas normas NBR ISO/IEC 15999 e NBR ISO/IEC 27005, julgue o item subsequente.
É objeto da norma 27005 entender, desenvolver e implementar plano de continuidade de ne-
gócios em uma organização.
A norma ABNT NBR ISO/IEC 22301:2013, intitulada: “Segurança da Sociedade – Sistema de

Gestão de Continuidade de Negócios – Requisitos” especifica requisitos para planejar, esta-
belecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar continua-
mente um eficaz Sistema de Gestão de Continuidade de Negócios (SGCN). Portanto, essa é a
norma que trata as ações para entender, desenvolver e implementar plano de continuidade de
negócios em uma organização.
A norma ABNT NBR ISO/IEC 27005:2019 fornece diretrizes para o processo de Gestão de Ris-
cos de Segurança da Informação (GRSI) de uma organização, atendendo particularmente aos re-
quisitos de um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a ISO 27001.
Errado.
004. (FCC/TRT – 20ª REGIÃO (SE)/TÉCNICO JUDICIÁRIO – TECNOLOGIA DA INFORMA-

ÇÃO/2016/ADAPTADA) Considere que o Tribunal Regional do Trabalho esteja seguindo orien-
tações da norma ABNT NBR ISO/IEC 27005:2019, que fornece diretrizes para o processo de
gestão de riscos de segurança da informação. Seguindo esta norma, a implantação do proces-
so de gestão de riscos deve passar pelas etapas: definição do contexto, processo de avaliação
de riscos, tratamento do risco,
a) análise de impacto do risco, monitoramento do risco e comunicação do risco.
b) aceitação do risco, comunicação e consulta do risco e monitoramento e análise crítica de riscos.
c) mitigação do impacto do risco e análise crítica sobre o risco.
d) análise de impacto do risco, comunicação do risco e definição de ações de contenção do risco.
e) tomada de decisão sobre o risco, divulgação do risco na organização e monitoramento e
controle de riscos.
A norma ABNT NBR ISO/IEC 27005:2019 destaca as seguintes atividades de Gestão de Ris-
cos de Segurança da Informação (GRSI):
• definição do contexto (Seção 7);
• processo de avaliação de riscos (Seção 8);
• tratamento do risco (Seção 9);
• aceitação do risco (Seção 10);
• comunicação e consulta do risco (Seção 11);
• monitoramento e análise crítica de riscos (Seção 12).
Gestão de Riscos
Patrícia Quintão
Dessa forma, a letra b é a resposta da questão!

Letra b.
005. (CESPE/TRT – 7ª REGIÃO (CE)/ANALISTA JUDICIÁRIO/TECNOLOGIA DA INFORMA-

ÇÃO/2017/ADAPTADA) De acordo com a ABNT NBR ISO/IEC 27005:2019, a primeira etapa
do processo de avaliação de riscos consiste em
a) avaliar os riscos.
b) tratar os riscos.
c) monitorar os riscos.
d) identificar os riscos.
De acordo com a ABNT NBR ISO/IEC 27005:2019, o processo de avaliação de riscos consiste
nas seguintes atividades:
• Identificação de riscos;
• Análise de riscos;
• Avaliação de riscos.
Portanto, a primeira etapa do processo de avaliação de riscos consiste em Identificar os riscos.
Fases da identificação de riscos:
• Introdução à identificação de riscos;
• Identificação dos ativos;
• Identificação das ameaças;
• Identificação dos controles existentes;
• Identificação das vulnerabilidades;
• Identificação das consequências.
Gestão de Riscos
Patrícia Quintão
A figura listada a seguir é de grande valia para resolver inúmeras questões sobre o processo de GRSI.
Figura. O Processo de Gestão de Riscos de Segurança da Informação. Fonte: (ABNT NBR ISO/IEC
27005:2019)
Letra d.
006. (FCC/PREFEITURA DE TERESINA – PI/ANALISTA TECNOLÓGICO/ANALISTA DE NE-

GÓCIOS/2016/ADAPTADA) A NBR ISO/IEC 27005:2019 NÃO considera como opção para o
tratamento do risco de segurança da informação:
a) a retenção do risco.
b) a modificação do risco.
c) o compartilhamento do risco.
d) a eliminação do risco.
e) a ação de evitar o risco.
Gestão de Riscos
Patrícia Quintão
A norma ABNT NBR ISO/IEC 27005:2019 destaca que há quatro opções disponíveis para o
tratamento do risco: modificação
do risco, retenção do risco, ação de evitar o risco e Compartilhamento do risco. Conforme vis-
to, a eliminação do risco não é uma das opções aqui elencadas de tratamento do risco.
Letra d.
007. (CESPE/TRF – 1ª REGIÃO/ANALISTA JUDICIÁRIO – INFORMÁTICA/2017) Julgue o item

subsecutivo com relação à norma ABNT NBR ISO 27005, que fornece diretrizes para o processo
de gestão de riscos de segurança da informação (GRSI) de uma organização. A qualidade e a exa-
tidão do processo de análise quantitativa de riscos estão relacionadas à disponibilidade de dados
históricos e auditáveis.
Cabe destacar que uma metodologia para a análise de riscos pode ser qualitativa ou quanti-
tativa ou uma combinação de ambas, dependendo das circunstâncias.
Gestão de Riscos
Patrícia Quintão
• Análise Qualitativa de Riscos: utiliza uma escala com atributos qualificadores que des-
crevem a magnitude das consequências potenciais (ex.: pequena, média e grande) e a
probabilidade dessas consequências ocorrerem.
• Análise Quantitativa de Riscos: utiliza uma escala com valores numéricos (e não as
escalas descritivas usadas na análise qualitativa). A qualidade da análise depende da
exatidão e da integralidade dos valores utilizados e da validade dos modelos utilizados.
Na maioria dos casos, utiliza dados históricos dos incidentes, proporcionando a vanta-
gem de poder ser relacionada diretamente aos objetivos da segurança da informação e
interesses da organização. Uma desvantagem é a falta de tais dados sobre novos riscos
ou sobre fragilidades da segurança da informação. Quando dados factuais e auditáveis
não estão disponíveis, a exatidão do processo de avaliação de riscos e os valores as-
sociados tornam-se ilusórios (ABNT NBR ISO/IEC 27005:2011, p. 21).
Certo.
008. (CESPE/TRF – 1ª REGIÃO/ANALISTA JUDICIÁRIO – INFORMÁTICA/2017) Julgue o

item subsecutivo com relação à norma ABNT NBR ISO 27005, que fornece diretrizes para o
processo de gestão de riscos de segurança da informação (GRSI) de uma organização. Entre
os ativos de suporte e infraestrutura incluem-se os recursos humanos, as instalações físicas e
a estrutura da organização.
A norma ABNT NBR ISO 27005: 2019define a seguinte classificação para ativos:
Assim, entre os ativos de suporte incluem-se os recursos humanos, as instalações físicas e a

estrutura da organização.
Certo.
Gestão de Riscos
Patrícia Quintão
009. (CESPE/TCE RN/ASSESSOR TÉCNICO DE INFORMÁTICA – CONTROLE EXTER-

NO/2015) Acerca de gestão de riscos, julgue o próximo item. O processo de gestão de riscos
de segurança da informação pode ser aplicado em todos os segmentos da organização: de-
partamento, serviço, sistema de informações e até controles já existentes.
O processo de gestão de riscos de segurança da informação, de acordo com a norma ABNT

NBR ISO/IEC n. 27005:2019, pode ser aplicado à organização como um todo, a uma área espe-
cífica da organização (por exemplo, um departamento, um local físico, um serviço), a qualquer
sistema de informações, a controles já existentes, planejados ou apenas a aspectos particula-
res de um controle (por exemplo: o plano de continuidade de negócios).
Certo.
010. (FCC/SABESP/TÉCNICO EM GESTÃO – INFORMÁTICA/SEGURANÇA DA INFORMA-

ÇÃO/2014) De acordo com a Norma NBR ISO/IEC 27005, o processo de Gestão de Riscos da
Segurança da Informação é composto pelas atividades mostradas na figura abaixo:
As atividades I, II e III da figura acima correspondem, respectivamente, a:
Gestão de Riscos
Patrícia Quintão
a) Definição das ameaças; Categorização do risco; Tratamento do risco.

b) Avaliação das ameaças; Tratamento das ameaças; Aceitação dos riscos e ameaças.
c) Avaliação do contexto; Categorização das ameaças; Tratamento das ameaças.
d) Contextualização dos riscos; Tratamento dos riscos e das ameaças; Aceitação dos riscos e
das ameaças.
e) Definição do contexto; Tratamento do risco; Aceitação do risco.
Conforme visto na figura seguinte, extraída de ABNT NBR ISO/IEC 27005:2019, as atividades
são: I (Definição do Contexto); II (Tratamento do Risco) e III (Aceitação do Risco).
Figura. Processo de Gestão de Riscos de Segurança da Informação Fonte: (ABNT NBR ISO/IEC 27005:2019)
Letra e.
Gestão de Riscos
Patrícia Quintão
011. (CESPE/TELEBRAS/AUDITOR/2013) Julgue os itens seguintes, acerca dos componen-

tes de controle interno, previstos na estrutura integrada do COSO. Risco é a probabilidade de
perda ou incerteza associada ao cumprimento de um objetivo.
Risco é a probabilidade de ocorrência de eventos que possam impedir ou dificultar o alcance

de um objetivo. As incertezas geram riscos com potencial para destruir valor. O gerencia-
mento de riscos e o controle interno possibilitam aos administradores tratar com eficácia as
incertezas, os riscos e as oportunidades a elas associados de forma a aprimorar a capacidade
de geração de valor.
Certo.
012. (FCC/INFRAERO/ANALISTA DE SISTEMAS – SEGURANÇA DA INFORMAÇÃO/ADAP-

TADA/2011) De acordo com a ISO/IEC 27005:2019, as opções completas para tratamento do
risco são: compartilhamento do risco,
a) ignorar, evitar e transferir.
b) modificação do risco, retenção do risco e ação de evitar o risco.
c) ignorar, aceitar, evitar e transferir.
d) aceitar, evitar, transferir e ocultar.
e) evitar e transferir.
No que tange às opções para tratamento do risco, na versão 2019, tem‑se:

• Modificação do risco;
• Retenção do risco;
• Ação de evitar o risco;
• Compartilhamento do risco.
Gestão de Riscos
Patrícia Quintão
Figura. A Atividade de Tratamento do Risco. Fonte: (ABNT NBR ISO/IEC 27005:2019, p.26)
Esses itens são especificados na Seção 9 “Tratamento do risco de segurança da informação” da NBR ISO/IEC
27005:2011.
Letra b.

a norma ABNT NBR ISO/IEC n.º 27005, julgue os próximos itens, no que se refere à gestão de
Para a fase de tratamento do risco da segurança da informação, essa norma estabelece quatro
possíveis ações não mutuamente exclusivas: redução, retenção, prevenção e eliminação do risco.
Questão muito cobrada em prova!

A ISO/IEC 27005:2011 destaca as seguintes opções de tratamento de riscos:
• Modificação do risco;
• Retenção do risco;
• Ação de evitar o risco;
• Compartilhamento do risco.
Gestão de Riscos
Patrícia Quintão
Veja mais detalhes a seguir:
Gerenciar o nível de risco através da inclusão,

exclusão ou alteração de controles que modifiquem
Modificação do risco
o nível de risco, para que o risco residual seja
Aceitar o risco, consciente e objetivamente, sem ações
Retenção do risco adicionais, caso o nível do risco atenda aos critérios para a
aceitação do risco.
Ação de evitar
Evitar/eliminar a atividade ou condição que dá origem ao risco.
o risco
Compartilhamento do Compartilhar o risco com outra entidade que possa gerenciá-lo
risco mais eficazmente, dependendo da avaliação de riscos.
Não existe a opção de eliminação do risco. Segundo a ABNT NBR ISO/IEC n. 27005, “as quatro
opções para o tratamento do risco não são mutuamente exclusivas. Às vezes, a organização
pode beneficiar-se substancialmente de uma combinação de opções.
Errado.
014. (CESPE/TJ-SE/ANALISTA JUDICIÁRIO/ANÁLISE DE SISTEMAS/2014) De acordo com a

norma ABNT NBR ISO/IEC n. 27005, julgue os próximos itens, no que se refere à gestão de riscos
da segurança da informação.
Gestão de Riscos
Patrícia Quintão
A comunicação de riscos visa assegurar que as informações sobre os riscos sejam comparti-
lhadas entre os responsáveis pelas decisões e as outras partes envolvidas.
Segundo a norma ABNT NBR ISO/IEC n. 27005:2011, a comunicação de riscos envolve a troca
e/ou compartilhamento de informações sobre o risco entre o tomador de decisão e as outras
partes interessadas.
São diretrizes da comunicação do risco de Segurança da Informação: obter consenso sobre
como gerenciar os riscos devem ser gerenciados, fazendo uso para tal da troca e/ou partilha
das informações sobre o risco entre os tomadores de decisões e as outras partes interessadas
(ABNT NBR ISO/IEC n. 27005:2011).
Certo.
015. (CESPE/TJ-SE/ANALISTA JUDICIÁRIO/ANÁLISE DE SISTEMAS/2014) Considerando o

que dispõe a NBR ISO/IEC 27005, julgue os itens subsecutivos.
Requisitos legais e regulatórios a serem necessariamente atendidos pela organização devem
fazer parte do escopo da gestão de riscos de segurança da informação.
A norma ABNT NBR ISO/IEC n. 27005:2011 destaca que o escopo do processo de GRSI precisa
ser definido para assegurar que todos os ativos relevantes sejam considerados no processo
de avaliação de riscos. Além disso, os limites precisam ser identificados para permitir o reco-
nhecimento dos riscos que possam transpor esses limites.
Ao definir o escopo e os limites, convém que a organização considere as seguintes informa-
ções (ABNT NBR ISO/IEC n.º 27005:2011, p. 14):
• os objetivos estratégicos, políticas e estratégias da organização;
• processos de negócio;
• as funções e estrutura da organização;
• requisitos legais, regulatórios e contratuais aplicáveis à organização;
• a política de segurança da informação da organização;
• a abordagem da organização à gestão de riscos;
• ativos de informação;
• localidades em que a organização se encontra e suas características geográficas;
• restrições que afetam a organização;
• expectativas das partes interessadas;
• ambiente sociocultural;
• interfaces (ou seja: a troca de informação com o ambiente).
Certo.
Gestão de Riscos
Patrícia Quintão
REFERÊNCIAS
QUINTÃO, P. L. Notas de aula da disciplina “Tecnologia da Informação”. 2022.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 27005: Tecnologia da informação —

Técnicas de segurança — Gestão de riscos de segurança da informação. Rio de Janeiro. 2019.
Patrícia Quintão
Mestre em Engenharia de Sistemas e computação pela COPPE/UFRJ, Especialista em Gerência de

Informática e Bacharel em Informática pela UFV. Atualmente é professora no Gran Cursos Online;
Analista Legislativo (Área de Governança de TI), na Assembleia Legislativa de MG; Escritora e Personal &
Professional Coach.
Atua como professora de Cursinhos e Faculdades, na área de Tecnologia da Informação, desde 2008. É
membro: da Sociedade Brasileira de Coaching, do PMI, da ISACA, da Comissão de Estudo de Técnicas de
Segurança (CE-21:027.00) da ABNT, responsável pela elaboração das normas brasileiras sobre gestão da
Segurança da Informação.
Autora dos livros: Informática FCC - Questões comentadas e organizadas por assunto, 3ª. edição e 1001
questões comentadas de informática (Cespe/UnB), 2ª. edição, pela Editora Gen/Método.
Foi aprovada nos seguintes concursos: Analista Legislativo, na especialidade de Administração de Rede, na
Assembleia Legislativa do Estado de MG; Professora titular do Departamento de Ciência da Computação
do Instituto Federal de Educação, Ciência e Tecnologia; Professora substituta do DCC da UFJF; Analista de
TI/Suporte, PRODABEL; Analista do Ministério Público MG; Analista de Sistemas, DATAPREV, Segurança da
Informação; Analista de Sistemas, INFRAERO; Analista - TIC, PRODEMGE; Analista de Sistemas, Prefeitura
de Juiz de Fora; Analista de Sistemas, SERPRO; Analista Judiciário (Informática), TRF 2ª Região RJ/ES, etc.
@coachpatriciaquintao /profapatriciaquintao
@plquintao t.me/coachpatriciaquintao

Gestao de Riscos E1670338488

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Gestao de Riscos E1670338488

Enviado por

Direitos autorais:

Formatos disponíveis

TECNOLOGIA DA

12.1. Monitoramento e Análise Crítica dos Fatores de Risco.................................................................19

4. Organização deste Documento

Figura. Seções da Norma ABNT NBR ISO/IEC 27005:2019

6. Visão Geral do Processo de Gestão de Riscos de Segurança

Figura. O Processo de Gestão de Riscos. Fonte: (ABNT NBR ISO/IEC 27005:2019, p. 4)

O tratamento do risco envolve um processo cíclico para:

Saída: a especificação dos critérios básicos; o escopo e os limites do processo de GRSI; e

7.2. Critérios Básicos

7.2.2. Critérios para a avaliação de riscos

• expectativas e percepções das partes interessadas e consequências negativas para o

7.2.3. Critérios de impacto

7.2.4. Critérios para a aceitação do risco

Os critérios de aceitação do risco dependem frequentemente das políticas, metas e obje-

7.3. Escopo e Limites

• expectativas das partes interessadas;

7.4. Organização para Gestão de Riscos de Segurança da Informação

8. Processo de Avaliação de Riscos de Segurança da Informação

Entrada: critérios básicos, escopo e limites, e organização do processo de gestão de riscos

Fonte: (ABNT NBR ISO/IEC 27005:2019)

8.2. Identificação de Riscos

8.2.1. Introdução à identificação de riscos

8.2.2. Identificação dos ativos

8.2.3. Identificação das ameaças

8.2.4. Identificação dos controles existentes

8.2.5. Identificação das vulnerabilidades

Vulnerabilidades podem ser identificadas nas seguintes áreas:

8.2.6. Identificação das consequências

8.3. Análise de Riscos

Figura. Metodologias para Análise de Riscos (Quintão, 2020).

8.3.2. Avaliação das consequências

As consequências ou o impacto ao negócio podem ser determinados por meio da criação

8.3.3. Avaliação da probabilidade dos incidentes

Depois de identificar os cenários de incidentes, é necessário avaliar a probabilidade de cada

8.3.4. Determinação do nível de risco

O risco estimado é uma combinação da probabilidade de um cenário de incidente e suas

8.4. Avaliação de Riscos

9. Tratamento do Risco de Segurança da Informação

Figura. A Atividade de Tratamento do Risco. Fonte: (ABNT NBR ISO/IEC 27005:2019)

Gerenciar o nível de risco

As quatro opções para o tratamento do risco não são mutuamente exclusivas.

001. (CESPE/CGE – CE/AUDITOR DE CONTROLE INTERNO/TECNOLOGIA DA INFORMA-

Gerenciar o nível de risco através da

9.2. Modificação do Risco

9.3. Retenção do Risco

9.4. Ação de Evitar o Risco

9.5. Compartilhamento do Risco

O compartilhamento do risco pode criar novos riscos ou modificar riscos existentes e

10. Aceitação do Risco de Segurança da Informação

11. Comunicação e Consulta do Risco de Segurança da Informação

12. Monitoramento e Análise Crítica de Riscos de Segurança da Informação

12.1. Monitoramento e Análise Crítica dos Fatores de Risco

12.2. Monitoramento, Análise Crítica e Melhoria do Processo de

Figura. Seções da Norma ABNT NBR ISO/IEC 27005:2019

Figura. O Processo de Gestão de Riscos. Fonte: (ABNT NBR ISO/IEC 27005:2019, p. 4)

Figura. Metodologias para Análise de Riscos (Quintão, 2020)

Figura. A Atividade de Tratamento do Risco. Fonte: (ABNT NBR ISO/IEC 27005:2019)

QUESTÃO COMENTADA EM AULA

003. (CESPE/TCE-RN/INSPETOR/TECNOLOGIA DA INFORMAÇÃO – CARGO 5/2015) Com

004. (FCC/TRT – 20ª REGIÃO (SE)/TÉCNICO JUDICIÁRIO – TECNOLOGIA DA INFORMA-

005. (CESPE/TRT – 7ª REGIÃO (CE)/ANALISTA JUDICIÁRIO/TECNOLOGIA DA INFORMA-

006. (FCC/PREFEITURA DE TERESINA – PI/ANALISTA TECNOLÓGICO/ANALISTA DE NEGÓ-

007. (CESPE/TRF – 1ª REGIÃO/ANALISTA JUDICIÁRIO – INFORMÁTICA/2017) Julgue o