Com base na norma ABNT NBR ISO 27001:2013, qual das alternativas melhor define uma "Ameaça" no contexto da segurança da informação?

Alternativa D - Causa potencial de um incidente indesejado que pode resultar em danos a um sistema ou organização.

Fundamentação Teórica

A norma ABNT NBR ISO/IEC 27000 (que estabelece os fundamentos e vocabulário para a família de normas ISO 27000, incluindo a 27001) define conceitos fundamentais para a Gestão de Segurança da Informação. É crucial distinguir entre Ameaça, Vulnerabilidade e Incidente.

Definição de Ameaça (Threat)

Segundo a norma, uma Ameaça é qualquer causa potencial de um incidente indesejado que possa causar dano a um sistema ou organização. Ela existe independentemente de ser explorada ou não.

• Característica chave: É algo que pode acontecer (potencial).
• Exemplos: Um hacker malicioso, um vírus de computador, um desastre natural, um funcionário descuidado.

Comparativo com outros Conceitos

Análise das Alternativas

• (A) Uma vulnerabilidade no sistema de informação: Incorreta. Vulnerabilidade é a fraqueza (ex: software desatualizado), não a causa externa.
• (B) Uma ferramenta usada para proteger dados: Incorreta. Isso se refere a controles ou medidas de segurança.
• (C) Uma política de segurança interna da empresa: Incorreta. Refere-se a documentos diretrizes, não à ameaça em si.
• (D) Causa potencial de um incidente indesejado...: Correta. Esta é a definição exata do termo técnico utilizado pela norma ISO.
• (E) Um incidente que já causou danos à organização: Incorreta. Se o dano já ocorreu, trata-se de um Incidente, não mais de uma Ameaça (que é o risco latente).

Conclusão

Para responder corretamente a questões sobre a norma ISO 27001, é fundamental memorizar a tríade básica: Ativo + Vulnerabilidade + Ameaça = Risco. A alternativa D é a única que descreve corretamente a natureza de uma ameaça como uma causa potencial.