No contexto da gerência de riscos de segurança da informação e levando em conta os critérios para a avaliação de riscos, deve-se