Alternativa correta: E (Errado)

Tema central: A questão trata da gestão de riscos em Tecnologia da Informação e Comunicação (TIC), tema fundamental para a segurança da informação em órgãos públicos e privados. Para responder corretamente, o aluno deve conhecer o conceito de riscos internos e externos e como são abordados nos processos de gestão de riscos.

Resumo teórico: Gestão de riscos consiste em identificar, avaliar e tratar ameaças potenciais que possam afetar a organização, seus ativos, informações e operações. Segundo normas internacionais, como a ISO/IEC 27005, e diretrizes nacionais, como o Manual de Gestão de Riscos do TCU, a gestão de riscos de TIC deve considerar tanto ameaças externas (ataques cibernéticos, hackers, malwares) quanto ameaças internas, incluindo erros operacionais, falhas de infraestrutura, problemas de conformidade e ações de colaboradores.

Ignorar riscos internos pode levar a falhas graves na proteção dos ativos, pois muitos incidentes partem de dentro da organização, seja por descuido, erro humano ou até má-fé (insider threats).

Justificativa da alternativa correta:
A afirmação está ERRADA porque a gestão de riscos de TIC deve considerar tanto ameaças externas quanto internas. Limitar o foco apenas às ameaças externas é um erro conceitual grave e pode comprometer toda a segurança da informação da organização.

Estratégia para resolver questões desse tipo:
Fique atento a termos absolutistas como "exclusivamente" ou "sem necessidade de considerar", pois em segurança da informação é raro existirem recomendações tão restritivas. Questões que desconsideram riscos internos costumam estar erradas.

Resumo final:
A gestão de riscos de TIC deve abranger ameaças internas e externas, conforme orientam padrões reconhecidos (ISO/IEC 27005, NIST SP 800-30), para garantir a segurança e a continuidade das operações da organização.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Item: Errado

A gestão de riscos de TIC (Tecnologia da Informação e Comunicação) não pode se limitar apenas a ameaças externas. Ela deve abranger todos os tipos de riscos que possam comprometer a confidencialidade, integridade, disponibilidade e legalidade dos ativos de informação.

• Ataques cibernéticos (ex.: malware, ransomware, phishing);
• Ameaças físicas externas (ex.: desastres naturais, invasões físicas).

Riscos internos também são críticos, tais como:

• Erros operacionais, como exclusão acidental de dados;
• Falhas de infraestrutura, como queda de energia, superaquecimento de servidores;
• Problemas de conformidade regulatória, como descumprimento da LGPD (Lei Geral de Proteção de Dados), normas da ANPD, ISO/IEC 27001 etc.;
• Uso indevido por colaboradores, intencional ou acidental (ex.: vazamento interno de dados).

Normas como a ISO/IEC 27005 (gestão de riscos em segurança da informação) e orientações do TCU e da Instrução Normativa SGD/ME nº 1/2019 reforçam a necessidade de considerar riscos internos e externos na gestão de TIC.

Errado.

A gestão de riscos de TIC deve considerar todas as fontes de risco, tanto externas quanto internas.

Além de ataques cibernéticos, fazem parte do escopo:

• Erros operacionais e humanos
• Falhas de infraestrutura e indisponibilidade
• Riscos de conformidade regulatória e legal
• Riscos de processos, pessoas e tecnologia

Normas e boas práticas como ISO/IEC 27005, ISO 31000 e frameworks de governança (ex.: COBIT) tratam o risco de forma abrangente e integrada, jamais restrita apenas a ameaças externas.