A respeito de gestão de segurança da informação, assinale a ...

A alternativa correta é a Alternativa E: "Vulnerabilidade é qualquer fraqueza que pode ser explorada e comprometer a segurança de sistemas ou informações."

Vamos entender melhor por que essa é a resposta correta e analisar as alternativas incorretas.

Alternativa E: Esta alternativa é correta porque define com precisão o conceito de vulnerabilidade. Em segurança da informação, vulnerabilidade refere-se a uma fraqueza ou falha em um sistema que pode ser explorada por ameaças para causar danos. Por exemplo, uma falha em um software que pode ser explorada por um hacker é uma vulnerabilidade.

Alternativa A: Esta alternativa está incorreta. A definição apresentada é, na verdade, a definição de ameaça e não de ataque. Um ataque é uma ação deliberada que visa explorar uma vulnerabilidade para comprometer a segurança de um sistema.

Alternativa B: Esta alternativa também está incorreta. A definição dada descreve o conceito de risco, ou seja, a probabilidade de que uma ameaça se concretize, causando um impacto. Ameaça é qualquer potencial causa de um incidente indesejado.

Alternativa C: Esta alternativa está incorreta. A definição apresentada descreve o conceito de vulnerabilidade, que é a fragilidade de um ativo que pode ser explorada por uma ameaça, e não a definição de ameaça.

Alternativa D: Esta alternativa está incorreta. A definição fornecida é muito ampla e não é precisa. Em segurança da informação, um evento é qualquer ocorrência identificável que tem significância para a segurança da informação.

Ao estudar para concursos, é crucial compreender as definições precisas e as diferenças entre termos como ameaça, vulnerabilidade, risco, evento e ataque. Isso garante que você consiga responder corretamente a questões que exigem esse conhecimento.

Continue estudando e revisando esses conceitos, pois eles são fundamentais para a gestão de segurança da informação!

Vulnerabilidade

É uma deficiência a ser explorada pelo agente da ameaça para concretizá-la. Por exemplo: a facilidade de se abrir um trinco de uma porta ou janela é uma vulnerabilidade a ser explorada por um invasor tentando entrar em uma casa de forma não autorizada.

Para que uma ameça se concretize é necessário que exista uma vulnerabilidade.

Letra E

Fonte:

Trilhas em Segurança da Informação: Caminhos e ideias para a proteção de dados - Caprino

RISCO: É a fonte de ameaça que explora uma vulnerabilidade, levando um impacto para o funcionamento de uma organização, como mal funcionamento, roubo de informações entre outros impactos;

VULNERABILIDADE: Também pode ser chamada de falha ou fraqueza, por exemplo, uma parede rachada, dentro de uma rede podemos encontrar esta “rachadura”, ou falha, em um design mal panejado, implementação mal realizada, ou até em controles internos de um sistema mal realizado, levando a rede a abrir pequenas falhas na política de segurança.

AMEAÇA: É a possibilidade de um agente, interno ou externo, explorar acidentalmente ou propositalmente uma vulnerabilidade específica.

https://www.alertasecurity.com.br/blog/75-o-que-e-risco-vulnerabilidade-e-ameaca

De acordo com a ISO 17799:2005:

Ameaça (threat): Causa potencial de um incidente indesejado, que caso se concretize, pode resultar em dano;

Risco (risk): Combinação da probabilidade da concretização de uma ameaça e suas consequências;

Vulnerabilidade: Fragilidade ou limitação de um ativo que pode ser explorada por uma ou mais ameaças;

Evento de Segurança da informação: Ocorrência identificada de um sistema, serviço ou rede que indica uma possível violação da política de segurança de informação ou falha de controles, ou uma situação previamente desconhecida que possa ser relevante para a segurança da informação.

Pessoal, tem que verificar o conteúdo programático do concurso e tentar achar qual bibliografia ela se baseou para formular a questão.

Se for analisar as questões de forma superficial, a letra E é o que está MAIS CORRETA.

Esse é um tipo de questão em que se deve ter estudo muito bem as Normas de Segurança ou ter uma certa experiência na área de Seg. de TI

TERMINOLOGIA 

Ativo

Informações, sistemas, equipamentos ou recursos, que precisa ser protegido contra ameaças e vulnerabilidades.

Ameaça

Circunstância ou evento potencial que pode comprometer a segurança de um sistema de informação.

Risco

Probabilidade de uma ameaça se concretizar e causar danos (impacto potencial). 

Evento

Ocorrência detectável, incluindo atividades normais e anormais (evento indesejável, incidente de segurança).

Incidente de segurança

Ameaça se materializa e resulta em uma violação da segurança ou em um evento indesejado.

Impacto

Consequências resultantes de um incidente de segurança, como perda financeira, interrupção de operações, violação de privacidade, etc.

Agente

O responsável pela ameaça. Pode ser uma pessoa, um malware, um desastre natural, entre outros.

Vulnerabilidade

Fraqueza ou falha em um sistema de informação que pode ser explorada por um agente para comprometer a segurança.

Ataque

Ação deliberada para explorar vulnerabilidades e comprometer a segurança de um sistema ou organização.