Indique a alternativa que pode conter um relacionamento mais apropriado entre os conceitos de AMEAÇA, IMPACTO, INCIDENTE e VULNERABILIDADE tratados pela Gestão de Riscos na Tecnologia da Informação.

Alternativa A

Análise Detalhada

Para responder corretamente a esta questão, é fundamental compreender a cadeia de eventos na Gestão de Riscos de Segurança da Informação. Vamos decompor os conceitos apresentados na tabela:

1. Ativo: É qualquer coisa que tenha valor para a organização e que precise ser protegida (ex: servidores, dados, redes).
2. Vulnerabilidade: É uma fraqueza, falha ou lacuna no ativo que pode ser explorada (ex: software desatualizado, senha fraca).
3. Ameaça / Incidente: É o evento ou agente que aproveita a vulnerabilidade para causar dano (ex: hacker, malware, erro humano).
4. Impacto: É a consequência negativa real quando a ameaça explora a vulnerabilidade (ex: perda de dados, interrupção de serviço).

Por que a Alternativa A é a correta?

A sequência apresentada na alternativa A segue a lógica perfeita de um cenário de risco:

• Ativo: Servidor de aplicação (O alvo).
• Vulnerabilidade: Falta de atualizações do sistema operacional. Esta é uma falha técnica clara que enfraquece o ativo.
• Incidente/Ameaça: Exploração de vulnerabilidades conhecidas. O atacante identifica a falha e a utiliza.
• Impacto: Perda de Confidencialidade, Integridade e Disponibilidade. Estas são as três propriedades fundamentais da segurança da informação (Tríade CIA). Se um servidor é comprometido, todas essas propriedades podem ser afetadas.

Por que as outras estão incorretas?

Conclusão

A gestão de riscos conecta a existência de um Ativo com suas Vulnerabilidades, que são exploradas por uma Ameaça, gerando um Impacto. A alternativa A é a única que alinha esses conceitos de forma técnica e coerente.