Um risco de segurança pode ser considerado uma função da ame...

Alternativa correta: E - impacto e probabilidade de ocorrência.

Vamos detalhar por que a alternativa E é a correta e por que as outras são incorretas, abordando o tema da questão.

Primeiramente, é fundamental entender que a análise de risco em segurança da informação envolve dois componentes principais: o impacto e a probabilidade de ocorrência de uma ameaça.

Quando falamos em risco, estamos considerando a severidade do impacto caso uma ameaça se materialize e a chance de essa ameaça ocorrer. Vamos justificar a alternativa correta e discutir por que as outras não se aplicam adequadamente.

Justificativa da Alternativa Correta (E):

A correta é a alternativa E porque um risco de segurança é tipicamente definido como uma função que combina tanto a probabilidade de ocorrência de uma ameaça quanto o impacto que essa ameaça teria se ocorresse. Este é um conceito fundamental em gestão de riscos e segurança da informação.

Análise das Alternativas Incorretas:

Alternativa A - impacto, apenas:

Essa alternativa está incorreta porque considera somente o impacto, desconsiderando a probabilidade de ocorrência da ameaça. Para uma análise de risco completa, é essencial avaliar tanto o impacto quanto a probabilidade.

Alternativa B - probabilidade de ocorrência, apenas:

Similar à alternativa A, essa está incorreta porque considera apenas a probabilidade de ocorrência, sem levar em conta o impacto. Novamente, uma análise de risco adequada precisa abordar ambos os aspectos.

Alternativa C - ocorrência ou não da ameaça:

Essa alternativa é simplista demais e não captura a complexidade da análise de risco. Não basta apenas considerar se uma ameaça ocorrerá ou não; é necessário ponderar a probabilidade disso acontecer e o impacto que terá.

Alternativa D - ocorrência ou não da ameaça, num intervalo de tempo pré-especificado:

Embora considere um elemento temporal, essa alternativa também falha em capturar a totalidade da análise de risco porque não incorpora explicitamente tanto o impacto quanto a probabilidade de ocorrência, que são essenciais.

Conclusão:

Em suma, a alternativa E é a mais completa e correta porque incorpora os dois elementos fundamentais da análise de risco: impacto e probabilidade de ocorrência. Sem considerar ambos, qualquer análise de risco estará incompleta.

Risco - em relação à ameaça - é a conjugação de impacto e a probabilidade de sua ocorrência.

Amigos não encontrei essa resposta "E" da questão, visto que segundo a norma ISO 27005 encontrei algo diferente vejam. 

Segundo a ISO 27005, "3.2

riscos de segurança da informação:a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos,desta maneira prejudicando a organização.

NOTA É medido em função da combinação da probabilidade de um evento e de sua conseqüência.