Alternativa D - Uma fragilidade de um ativo que pode ser explorada por ameaças.
Análise da Questão
Para responder corretamente, é fundamental compreender os conceitos básicos da tríade de segurança da informação e os termos relacionados à gestão de riscos.
Na segurança da informação, os conceitos principais são definidos da seguinte forma:
- Ativo: Tudo aquilo que tem valor para a organização (dados, hardware, pessoas).
- Ameaça (Threat): Qualquer evento ou ação que possa causar dano a um ativo.
- Vulnerabilidade (Weakness): Uma fraqueza em um ativo ou controle que pode ser aproveitada por uma ameaça.
- Risco: A probabilidade de uma ameaça explorar uma vulnerabilidade causando impacto negativo.
Por que a alternativa D está correta?
A definição técnica de vulnerabilidade descreve exatamente uma falha ou fragilidade. Imagine um cadeado (ativo) com uma trava quebrada. A trava quebrada é a vulnerabilidade. Ela permite que alguém (ameaça) abra o cadeado sem a chave.
Portanto, a frase "Uma fragilidade de um ativo que pode ser explorada por ameaças" é a definição exata do termo no contexto de normas como ISO/IEC 27000.
Por que as outras alternativas estão incorretas?
Vamos analisar o erro conceitual das demais opções:
| Letra | Definição Apresentada | Conceito Real Corresponde a |
|---|
| A | Uma causa potencial de um incidente indesejado. | Geralmente define-se como Ameaça (Threat) ou Fator de Risco. |
| B | Uma mudança não desejável nos objetivos de negócios. | Relaciona-se ao Impacto no Negócio ou Gestão de Mudanças. |
| C | Uma medida que pode modificar o risco. | Define-se como Controle de Segurança ou Medida Mitigadora. |
| E | Um evento indesejado que compromete a segurança da informação. | Define-se como Incidente de Segurança. |
Conclusão
A segurança da informação baseia-se na proteção de ativos contra ameaças que exploram vulnerabilidades. Identificar essa relação é crucial para calcular o risco e aplicar os controles adequados.
Assim, a resposta correta é a Alternativa D.