Alternativa D - Causa potencial de um incidente indesejado que pode resultar em danos a um sistema ou organização.
Introdução à Segurança da Informação
Esta questão aborda conceitos fundamentais da gestão de segurança da informação, especificamente definidos pela norma ABNT NBR ISO/IEC 27000 e aplicados na ISO/IEC 27001. Para responder corretamente, é essencial distinguir entre os termos técnicos de Ameaça, Vulnerabilidade e Risco.
Desenvolvimento do Conceito
Na terminologia padrão de segurança da informação:
- Ameaça (Threat): É qualquer evento, ação ou condição com o potencial de causar dano. Ela existe independentemente de haver uma falha no sistema. Pode ser natural (furacão, incêndio) ou humana (hackers, erro interno).
- Vulnerabilidade (Vulnerability): É uma fraqueza em um ativo ou conjunto de controles que pode ser explorada por uma ameaça.
- Incidente (Incident): É uma ocorrência real onde a segurança foi violada ou comprometida.
A definição correta de Ameaça foca na sua natureza potencial e na capacidade de gerar um incidente indesejado.
Análise das Alternativas
Vamos analisar cada opção com base nas definições técnicas:
- Alternativa A (Incorreta): Descreve uma Vulnerabilidade, não uma Ameaça. Uma vulnerabilidade é a brecha que permite que a ameaça atinja o alvo.
- Alternativa B (Incorreta): Refere-se a um Controle de Segurança ou medida de proteção, não ao fator de risco em si.
- Alternativa C (Incorreta): Trata-se de um documento de governança (Política), que serve para estabelecer regras, não é a ameaça em si.
- Alternativa D (Correta): Esta é a definição exata encontrada nos glossários da série ISO 27000. O termo chave aqui é "causa potencial" e "pode resultar em danos".
- Alternativa E (Incorreta): Descreve um Incidente já consumado. A ameaça é o que poderia causar o incidente, antes dele acontecer.
Conclusão
Portanto, a alternativa que melhor define "Ameaça" conforme a norma citada é a letra D, pois identifica a origem potencial do dano antes que este se concretize em um incidente real.