Ao realizar uma análise de segurança em determinada empresa, um consultor identificou que seria possível invadir o servidor web da empresa. Podemos afirmar que o consultor identificou um(a):

Alternativa E - Risco, porque a invasão requer uma análise de segurança da rede.

Análise Conceitual

Para resolver esta questão, é fundamental compreender a diferença entre os principais conceitos de Gestão de Segurança da Informação:

• Ativo: Tudo que tem valor para a organização (ex: o servidor web).
• Vulnerabilidade: Uma fraqueza na implementação, procedimento ou controle de segurança (ex: uma configuração incorreta que permite acesso não autorizado).
• Ameaça: Qualquer evento ou ação com potencial de causar dano a um ativo (ex: um hacker, um vírus).
• Risco: A probabilidade de uma ameaça explorar uma vulnerabilidade e causar impacto negativo em um ativo. É uma avaliação de futuro.
• Incidente / Ataque: São eventos que já ocorreram ou estão ocorrendo (violação de segurança confirmada).

Justificativa da Resposta

O enunciado afirma que o consultor identificou que "seria possível invadir" o servidor.

1. Não é um Incidente (D): Porque a invasão ainda não aconteceu; é uma possibilidade futura.
2. Não é um Ataque (B): O mesmo motivo acima. O ataque é a ação executada, não a previsão dela.
3. Não é uma Ameaça (A): A ameaça seria o agente (quem tenta invadir). A "possibilidade de algo acontecer" é a definição de risco. Além disso, a definição apresentada na alternativa A confunde conceitos, pois a probabilidade é característica do Risco, não da Ameaça isolada.
4. É um Risco (E): Ao realizar uma análise e concluir que existe a possibilidade de uma invasão, o consultor está quantificando ou apontando a existência de um Risco. O risco é a incerteza quanto à ocorrência de um evento adverso.

Portanto, a identificação de uma condição que permite uma invasão futura caracteriza a detecção de um Risco.