A matriz de risco exibe uma escala de impactos medidos para a ocorrência de incidentes de segurança. Mas o risco não é composto só de impactos, como também está associado a um fator não determinístico, conhecido como:

Alternativa D - Probabilidade

Fundamentação Teórica

Na gestão de riscos e segurança da informação, o conceito de risco é definido pela combinação de dois elementos principais: a probabilidade de um evento ocorrer e o seu impacto (ou consequência) caso ocorra.

A fórmula básica utilizada para entender essa relação é:

O texto da questão menciona que a matriz já cobre os "impactos". Portanto, o componente faltante, descrito como "não determinístico", refere-se à chance ou incerteza de o incidente acontecer.

Análise das Alternativas

• A) Matriz: É a ferramenta visual (gráfico) usada para classificar os riscos, não um componente do cálculo do risco em si.
• B) Partes interessadas: São os stakeholders afetados pelo risco, mas não são o fator quantitativo de composição do risco.
• C) Carregamento: Termo geralmente associado a carga de trabalho ou elétrica, não se aplica à definição teórica de risco aqui.
• D) Probabilidade: Correta. Representa a incerteza sobre a ocorrência do evento. Se fosse determinístico (certeza absoluta), seria apenas uma consequência, não um risco calculado.
• E) Verdade: Conceito filosófico, sem aplicação técnica neste contexto.

Portanto, o risco é sempre uma função da probabilidade de ocorrência multiplicada pela severidade do impacto.

Alternativa D.