Ao realizar uma análise de riscos, um analista identificou q...

Próximas questões
Com base no mesmo assunto
Q3885129
Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos , Norma 27005 ,
Ano: 2026 Banca: FGV Órgão: AL-RO Prova: FGV - 2026 - AL-RO - Analista Legislativo (Tecnologia da Informação - Análise e Desenvolvimento de Sistemas) |
Q3885129 Segurança da Informação
Ao realizar uma análise de riscos, um analista identificou que a vulnerabilidade de Cross-Site Scripting em um portal de serviços tem uma probabilidade de ocorrência classificada como média e um impacto potencial classificado como Alto. A organização utiliza uma matriz de riscos 5X5 (Muito Baixa, Baixa, Média, Alta, Muito Alta). Para tratar este risco, foi implementado um WAF, que reduz a probabilidade de exploração de Média para Baixa.
Considerando a abordagem da ISO/IEC 27005, o termo técnico para o risco após a implementação do WAF e antes da decisão final de aceitação ou tratamento adicional é 
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: D

Fundamento decisivo: A definição decisiva é a de residual risk: risco que permanece após o tratamento. Como o enunciado situa o caso depois da implementação do WAF, o termo técnico aplicável é risco residual.

Tema central: Risco residual na ISO
Análise das alternativas
A
Errada
Incorreta. Risco inerente é o risco antes da aplicação de controles ou tratamentos. O enunciado já informa a implementação do WAF, então não se está mais na condição inicial do risco.
B
Errada
Incorreta. Ainda que 'risco bruto' possa aparecer em uso doutrinário ou de mercado como referência ao risco antes de controles, não é o termo técnico pedido na abordagem ISO/IEC 27005 para o risco remanescente após tratamento. Para esse momento, a terminologia correta é risco residual.
C
Errada
Incorreta. Risco aceitável depende de decisão de aceitação com base nos critérios da organização. O enunciado afirma expressamente que o momento considerado é anterior à decisão final de aceitação ou de tratamento adicional, portanto não cabe chamá-lo de risco aceitável.
D
Certa
A alternativa D está correta porque o enunciado descreve um risco após a aplicação de uma medida de tratamento, o WAF, que reduziu a probabilidade de exploração de média para baixa. Na terminologia da ISO/IEC 27005, o risco que permanece após o tratamento recebe o nome de risco residual.
E
Errada
Incorreta. 'Risco mitigado' pode descrever de forma informal que houve redução do risco, mas a questão pede o termo técnico da ISO/IEC 27005. O nome técnico do risco que permanece depois do tratamento é risco residual.
Pegadinha da questão
A confusão explorada foi entre risco reduzido e risco aceitável, somada à tendência de marcar um termo informal como 'mitigado' em vez da terminologia técnica da ISO para o risco remanescente após o controle.
Dica para questões semelhantes
  • Se o enunciado descreve o risco após a implementação de um controle, identifique-o primeiro como risco residual.
  • Não chame o risco de aceitável sem informação de decisão de aceitação com base em critérios definidos pela organização.
  • Diferencie o momento antes dos controles, que remete a risco inerente ou bruto, do momento depois do tratamento, que remete a risco residual.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

VAMOS AOS CONCEITOS PRIMEIRO:

Cross-Site Scripting (XSS) é uma vulnerabilidade de segurança em aplicações web em que um atacante consegue injetar scripts maliciosos (geralmente JavaScript) em páginas que serão exibidas para outros usuários.

WAF significa Web Application Firewall (Firewall de Aplicação Web).

Ele é um tipo de ferramenta de segurança projetada para proteger aplicações web (sites, portais, APIs) contra ataques que exploram vulnerabilidades no nível da aplicação.

Na prática, o WAF funciona como um “filtro” entre o usuário e o servidor da aplicação, analisando o tráfego HTTP/HTTPS antes que ele chegue ao sistema.

Na questão:

  • Antes do WAF: probabilidade média + impacto alto → risco inicial.
  • Após o WAF: a probabilidade cai de média para baixa, ou seja, houve um controle aplicado.
  • Esse novo nível de risco, ainda sujeito à avaliação e decisão da organização, é o risco residual.

GABARITO LETRA D

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas