Vamos analisar a questão apresentada sobre gestão de riscos em segurança da informação.

A alternativa correta é a Errado.

A questão aborda a efetividade do tratamento dos riscos de segurança da informação ao considerar várias alternativas para tratamento de todos os riscos vinculados a cada um dos ativos de informação do ministério.

Para compreender melhor a questão, é importante entender o que é gestão de riscos e quais são as estratégias comuns para o tratamento de riscos, que podem incluir:

• Mitigar ou reduzir: Implementar medidas para reduzir a probabilidade ou impacto do risco.
• Reter ou aceitar: Decidir não tomar nenhuma ação explícita em relação ao risco, aceitando suas consequências.
• Transferir ou compartilhar: Passar a responsabilidade do risco para outra entidade, como no caso de seguros.
• Evitar: Modificar planos ou processos para eliminar o risco.

Apesar de a questão listar corretamente as alternativas de tratamento de riscos, a palavra-chave para resolver a questão está na expressão "será efetivo se forem consideradas". A afirmação sugere que apenas considerar essas alternativas garante a efetividade no tratamento dos riscos, o que não é necessariamente verdade.

A efetividade do tratamento de riscos não depende apenas de considerar todas essas alternativas, mas sim de uma análise detalhada e implementação adequada das medidas de tratamento. Além disso, a gestão de riscos deve ser um processo contínuo e adaptativo, baseado em avaliações periódicas e atualização de dados.

Portanto, a afirmação de que o tratamento dos riscos será efetivo apenas por considerar várias alternativas é incorreta, pois desconsidera a importância de uma implementação correta e contínua avaliação.

Espero que essa explicação tenha ajudado a entender por que a alternativa correta é a Errado. Se tiver mais dúvidas ou precisar de mais esclarecimentos, estou à disposição!

Não tenho como garantir se será efetivo.

Acredito que a questão tenha sido abrangente demais no seguinte trecho: 

"O tratamento dos riscos de segurança da informação será efetivo se forem consideradas as várias alternativas para tratamento de todos os riscos vinculados a cada um dos ativos de informação do ministério, tais como mitigar ou reduzir, reter ou aceitar, transferir ou compartilhar, além de ação de evitar o risco."

Ativos? Somente os relevantes.

Riscos? Somente os relevantes também.

Fora a questão bem lembrada pela colega "FFF: Fé", como garantir se será efetivo?

7.3 Escopo e limites
Convém que a organização defina o escopo e os limites da gestão de riscos de segurança da informação.
O escopo do processo de gestão de riscos de segurança da informação precisa ser definido para assegurar que todos os ativos relevantes sejam considerados no processo de avaliação de riscos. Além disso, os limites precisam ser identificados [ver também a ABNT NBR ISO/IEC 27001:2006
Seção 4.2.1.a)] para permitir o reconhecimento dos riscos que possam transpor esses limites.

8.3.4 Determinação do nível de risco
Entrada: Uma lista de cenários de incidentes com suas consequências associadas aos ativos, processos de negócio e suas probabilidades (no método quantitativo ou no qualitativo).
Ação: Convém que o nível de risco seja estimado para todos os cenários de incidentes considerados relevantes (refere-se à ABNT NBR ISO/IEC 27001:2006, Seção 4.2.1 e) 4)).

Fonte: ISO 27005:2011
 

Em 05/10/2018, às 15:46:29, você respondeu a opção C.Errada!

Em 04/09/2018, às 19:35:40, você respondeu a opção C.Errada!

Que inferno!

nao tentem justificar o gabarito, pode confundir os demais. o cespe quis errada e pronto

nao tentem justificar o gabarito, pode confundir os demais. o cespe quis errada e pronto [2]