O cenário atual de segurança cibernética, como exemplificado pelo Brasil sofrendo 15 bilhões de ataques em apenas três meses, ressalta a criticidade da análise e gestão de riscos em redes de computadores. A norma ABNT NBR ISO/IEC 27001:2013 fornece um arcabouço para entender melhor as definições, propriedades e tipos de ataques, bem como as estratégias para mitigá-los. Conhecer esses conceitos é essencial para desenvolver mecanismos eficazes de proteção. Com base na norma ABNT NBR ISO 27001:2013, qual das alternativas melhor define "Ameaça" no contexto da segurança da informação?

Question

O cenário atual de segurança cibernética, como exemplificado pelo Brasil sofrendo 15 bilhões de ataques em apenas três meses, ressalta a criticidade da análise e gestão de riscos em redes de computadores. A norma ABNT NBR ISO/IEC 27001:2013 fornece um arcabouço para entender melhor as definições, propriedades e tipos de ataques, bem como as estratégias para mitigá los. Conhecer esses conceitos é essencial para desenvolver mecanismos eficazes de proteção. Com base na norma ABNT NBR ISO 27001:2013, qual das alternativas melhor define "Ameaça" no contexto da segurança da informação? A) Uma vulnerabilidade no sistema de informação. B) Uma ferramenta usada para proteger dados. C) Uma política de segurança interna da empresa. D) Causa potencial de um incidente indesejado que pode resultar em danos a um sistema ou organização. E) Um incidente que já causou danos à organização.

Sapien IA · Accepted Answer

Alternativa D Causa potencial de um incidente indesejado que pode resultar em danos a um sistema ou organização. Introdução A norma ABNT NBR ISO/IEC 27001 é o padrão internacional para Sistemas de Gestão de Segurança da Informação (SGSI). Para gerenciar riscos adequadamente, é fundamental distinguir conceitos chave como ameaça, vulnerabilidade e incidente. Desenvolvimento No contexto da gestão de riscos de segurança da informação, os termos possuem definições técnicas específicas: Ameaça (Threat): É qualquer coisa com o potencial de causar dano a um ativo ou sistema. Pode ser intencional (como um hacker) ou acidental (como um desastre natural). Vulnerabilidade: É uma fraqueza em um ativo ou processo de controle que pode ser explorada por uma ameaça. Risco: É a combinação da probabilidade de uma ameaça explorar uma vulnerabilidade e do impacto resultante. Incidente: É uma ocorrência real de violação de segurança ou evento não planejado. Análise Vamos examinar cada alternativa com base nas definições da norma ISO 27000 (que fundamenta a 27001): | Alternativa | Conceito Apresentado | Correto? | Justificativa | | : | : | : | : | | A | Vulnerabilidade | ❌ | Uma vulnerabilidade é uma falha ou brecha, não a causa externa da ameaça. | | B | Controle / Ferramenta | ❌ | Ferramentas de proteção são controles de segurança, não ameaças. | | C | Política | ❌ | Políticas são documentos de diretrizes, não eventos ou causas de dano. | | D | Ameaça | ✅ | Define corretamente a causa potencial de um incidente indesejado. | | E | Incidente | ❌ | Um incidente já ocorreu; a ameaça é o risco potencial antes do ocorrido. | A alternativa D é a definição precisa de Ameaça , pois foca no potencial de causar dano antes que o evento se concretize. Conclusão Portanto, a resposta correta é a Alternativa D , pois ela descreve a natureza prospectiva e perigosa de uma ameaça no ciclo de vida da segurança da informação.

Explicação passo a passo

Introdução

Desenvolvimento

Análise

Conclusão

Mais questões de Engenharia

Tem outra questão de Engenharia?

Alternativa	Conceito Apresentado	Correto?	Justificativa
A	Vulnerabilidade	❌	Uma vulnerabilidade é uma falha ou brecha, não a causa externa da ameaça.
B	Controle / Ferramenta	❌	Ferramentas de proteção são controles de segurança, não ameaças.
C	Política	❌	Políticas são documentos de diretrizes, não eventos ou causas de dano.
D	Ameaça	✅	Define corretamente a causa potencial de um incidente indesejado.
E	Incidente	❌	Um incidente já ocorreu; a ameaça é o risco potencial antes do ocorrido.