Alternativa D - I e II
A questão aborda os fundamentos teóricos da Segurança da Informação, especificamente sobre Ameaças, Risco e Vulnerabilidades. Para resolver, precisamos analisar cada assertiva à luz dos conceitos padrão da área (como ISO 27000 e NIST).
Análise dos Conceitos
Vamos examinar cada uma das afirmativas apresentadas na imagem:
- Afirmativa I: "Uma ameaça tem o poder de comprometer ativos vulneráveis."
- Correta. No modelo clássico de segurança, a relação é: Ativo + Vulnerabilidade + Ameaça = Risco. Uma ameaça é qualquer potencial evento indesejado que pode explorar uma vulnerabilidade para causar dano a um ativo. Portanto, ela possui o poder de comprometer o ativo se este for vulnerável.
- Afirmativa II: "Risco é a combinação das consequências de um incidente de segurança com a sua probabilidade de ocorrência."
- Correta. O risco é definido pela probabilidade de uma ameaça se materializar e pelo impacto (consequência) que isso causaria. Em termos matemáticos simplificados: Risco = Probabilidade \times Impacto. Se não há chance de ocorrer, o risco é zero; se ocorre sem consequência, o risco é irrelevante.
- Afirmativa III: "Vulnerabilidades técnicas são mais críticas do que vulnerabilidades criadas por comportamento humano."
- Incorreta. Não existe hierarquia fixa entre vulnerabilidades técnicas e humanas. Pelo contrário, o fator humano é frequentemente citado como o elo mais fraco da cadeia de segurança. Ataques de engenharia social exploram a falha humana, que muitas vezes contorna defesas técnicas robustas. Ambas são críticas.
Conclusão
Como apenas as afirmativas I e II estão corretas, a alternativa que agrupa essas duas afirmações é a resposta correta.
Alternativa D