Acerca do processo de avaliação de riscos de TI, assinale a alternativa incorreta.
- A. O risco de segurança da informação pode ser definido como a possibilidade de uma ameaça explorar vulnerabilidades de um ativo ou conjunto deles, prejudicando assim a organização.
- B. Entre as opções de tratamento de riscos, a transferência do risco compreende a aceitação do ônus da perda associada a um determinado risco.
- C. Ação de evitar o risco é uma decisão de não se envolver ou agir de forma a se retirar de uma situação de risco.
- D. O risco remanescente, após o tratamento de riscos, é chamado de residual.
- E. A norma ABNT, que trata da gestão de riscos de segurança da informação, é a NBR ISO/IEC 27005.