Julgue o item que se segue, referente às vulnerabilidade de ...

Vamos analisar a questão proposta e entender por que a alternativa correta é E (Errado).

A questão afirma que "denominam-se de vulnerabilidades as circunstâncias, ações ou eventos que colocam em risco a segurança de um sistema". Embora esta frase pareça correta à primeira vista, ela contém uma imprecisão conceitual que é importante destacar para quem estuda Segurança da Informação. Vamos detalhar isso.

Primeiramente, vulnerabilidade é um termo técnico específico que se refere a fraquezas ou falhas em sistemas, processos ou controles que podem ser exploradas por ameaças para causar danos ou perda de informações. Portanto, vulnerabilidade é uma característica intrínseca do sistema que o torna suscetível a ataques.

Vamos esclarecer com um exemplo: um software que possui uma falha de programação que permite a execução de comandos não autorizados é considerado vulnerável. Essa falha específica é a vulnerabilidade.

Agora, quando a questão menciona "circunstâncias, ações ou eventos que colocam em risco a segurança", ela está, na verdade, descrevendo o conceito de ameaça, não de vulnerabilidade. Ameaça é qualquer evento ou ação que possa explorar uma vulnerabilidade, resultando em um incidente indesejado.

Resumo:
Vulnerabilidade: Falha ou fraqueza no sistema.
Ameaça: Qualquer coisa que possa explorar essa falha.

Assim, a frase correta deveria ser: "Denominam-se de ameaças as circunstâncias, ações ou eventos que colocam em risco a segurança de um sistema".

Por isso, a alternativa correta é E (Errado).

Espero que essa explicação tenha esclarecido a diferença entre vulnerabilidade e ameaça, conceitos fundamentais para a Segurança da Informação. Se tiver qualquer outra dúvida, estou à disposição para ajudar!

Uma vulnerabilidade de segurança é qualquer fator que possa contribuir para gerar invasões, roubos de dados ou acessos não autorizados a recursos. Elas podem incluir softwares mal configurados, aparelhos com sistemas desatualizados e arquivos internos expostos publicamente.

DRACARYS.

Gabarito: Errado

A questão traz a definição de Ameaça.

Bons estudos!

JUSTIFICATIVA CEBRASPE: ERRADO.

O item define o que constitui uma ameaça. Vulnerabilidades incluem falha, defeito ou fraqueza no projeto, implementação ou operação e gerenciamento de um sistema que poderiam ser explorados para violar a política de segurança do sistema. Ameaça define-se como um potencial para violação de segurança, que existe quando há circunstância, capacidade, ação ou evento que poderiam infringir a segurança e causar dano. Isto é, uma ameaça é um perigo possível que poderia explorar uma vulnerabilidade

FONTE: https://arquivos.qconcursos.com/prova/arquivo_gabarito/83437/cespe-cebraspe-2021-pg-df-analista-juridico-analista-de-sistema-desenvolvimento-de-sistema-gabarito.pdf?_ga=2.268934641.1676441036.1634834989-804191472.1621542668&_gac=1.148266309.1636415885.Cj0KCQiAsqOMBhDFARIsAFBTN3fprraZgGJbpWTl4j2E5X2D_hkvsouR-BFLacSnDATQFiS2gsajuTQaAq_tEALw_wcB

Vulnerabilidade: é a fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças;

Ameaça: é a causa potencial de um incidente indesejado.

Risco: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade;

FONTE: ISO 27001 / 27002

JUSTIFICATIVA: ERRADO. O item define o que constitui uma ameaça. Vulnerabilidades incluem falha, defeito ou fraqueza no projeto, implementação ou operação e gerenciamento de um sistema que poderiam ser explorados para violar a política de segurança do sistema. Ameaça define-se como um potencial para violação de segurança, que existe quando há circunstância, capacidade, ação ou evento que poderiam infringir a segurança e causar dano. Isto é, uma ameaça é um perigo possível que poderia explorar uma vulnerabilidade.