Gabarito: B – I e III, apenas.

1. Tema central da questão

A questão aborda Análise de Vulnerabilidade e Gestão de Riscos em Segurança da Informação. Esse tema é fundamental porque trata dos processos de identificar fraquezas em sistemas e de administrar riscos para proteger ativos de informação contra ameaças, o que está diretamente ligado a normas como a ISO/IEC 27001 e boas práticas do NIST.

2. Resumo teórico

Análise de Vulnerabilidade: Processo que visa identificar, quantificar e priorizar fraquezas (vulnerabilidades) que podem ser exploradas em um sistema.
Gestão de Riscos: Processo cíclico que envolve identificação, avaliação, tratamento e monitoramento de riscos. Não se limita à identificação e avaliação.
Vulnerabilidade: Uma fragilidade do sistema que pode ser explorada por ameaças, resultando em possíveis danos ou perdas.

3. Justificativa da alternativa correta

I. Correta. A assertiva descreve com precisão o conceito de análise de vulnerabilidades (identificar, quantificar e priorizar fraquezas).
III. Correta. Apesar de confundir levemente termos, a assertiva reconhece que vulnerabilidade é a falha de segurança explorada por ameaças, podendo causar danos.

4. Análise das alternativas incorretas

II. Incorreta. A gestão de riscos não se resume à identificação e avaliação dos riscos; inclui também o tratamento (resposta) e o monitoramento contínuo. Ignorar essas etapas é um erro comum em concursos!

5. Estratégias de interpretação

Atenção a palavras como "apenas" e "envolve apenas"; elas costumam limitar demais o conceito. Em Segurança da Informação, processos são quase sempre cíclicos e abrangentes. Questões que restringem demais costumam estar incorretas.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Nada a ver. A III tá errada. A III define "Ameaça", ou seja, agente ou evento que pode explorar essa vulnerabilidade (ex.: um hacker, malware, incêndio).