fonte ChatGpt

Vamos interpretar o cenário com calma

A alta administração determinou que:

• o risco deve ser reduzido a um nível aceitável
• não pode interromper a operação
• serão necessários novos controles

Isso descreve claramente a estratégia de:

reduzir/mitigar o risco, sem eliminá-lo totalmente.

Na terminologia de gestão de riscos (como ISO 27005 e práticas alinhadas ao National Institute of Standards and Technology):

• Modificar o risco (risk modification) = implementar controles para diminuir probabilidade ou impacto

Exemplo:

• adicionar criptografia
• reforçar controle de acesso
• implementar monitoramento

A) Aceitar o risco

→ Não, pois estão sendo implementados controles.

B) Reter o risco

→ Similar à aceitação (não agir). Não é o caso.

C) Evitar o risco

→ Seria parar o sistema. O enunciado diz que a operação continua.

D) Compartilhar o risco

→ Transferir para terceiros (seguro, outsourcing). Não foi mencionado.

✔ Redução do risco por meio de controles

✔ Mantém a operação funcionando

✔ Exatamente o que o enunciado descreve

Se aparecer “reduzir”, “diminuir impacto/probabilidade”, “implementar controles” →

resposta quase sempre será MODIFICAR (mitigar) o risco