Alternativa correta: C – Certo

Tema central:

Esta questão aborda ameaças, vulnerabilidades e incidentes de segurança da informação. Entender esses conceitos é fundamental, pois eles estão presentes em praticamente todos os editais e são tópicos essenciais das principais normas, como a ABNT NBR ISO/IEC 27001 e 27002.

Resumo teórico:

Ameaças são eventos ou agentes externos (ou internos) com potencial para causar danos à informação ou aos sistemas.
Vulnerabilidades são fragilidades ou falhas em sistemas, processos ou pessoas.
Quando uma ameaça explora uma vulnerabilidade, pode ocorrer um incidente de segurança — ou seja, um evento que compromete a confidencialidade, integridade ou disponibilidade das informações.

Por exemplo: um vírus (ameaça) pode explorar uma falha não corrigida (vulnerabilidade) e invadir um computador (incidente).

Fontes relevantes:

- ABNT NBR ISO/IEC 27002:2013: “Ameaça: causa potencial de um incidente indesejado, que pode resultar em dano a um sistema ou organização.”
- Manuais como o “Cartilha de Segurança para Internet” do CERT.br também reforçam a distinção e a relação entre ameaça e vulnerabilidade.

Justificativa da alternativa correta:

A afirmação está correta porque define de forma objetiva a relação entre ameaças, vulnerabilidades e incidentes. É justamente a exploração de uma vulnerabilidade por uma ameaça que gera situações de risco e pode resultar em perda de dados, invasão de sistemas ou outros problemas graves de segurança.

Estratégia para interpretação:

Ao ler questões desse tipo, fique atento à correta ligação entre ameaça (fator externo), vulnerabilidade (fragilidade) e incidente (consequência). Palavras como “exploração”, “potencial de causar dano” e “ativos de informação” geralmente indicam que a questão está tratando desses conceitos fundamentais.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Engraçado, mas na minha opinião o cespe desconsiderou as ameaças internas relativos à segurança da informação, visto que em muitas situações de ameaças internas quando se fala em informação se torna um elemento altamente prejudicial a instituição. 

CERTO, mas incompleto.

A principal ameaça pode morar ao lado.

Veja, por exemplo, essa explicação.

http://idgnow.uol.com.br/seguranca/2011/02/24/maior-ameaca-a-seguranca-dos-dados-corporativos-e-interna-aponta-estudo/#&panel2-1

Boa sorte, vencedores.

Discordo de vocês e concordo com o CESPE. Nesse caso acredito que o examinador estivesse utilizando interno e externo com relação à máquina e não à rede. Obviamente é possível receber ameaças relacionadas a uma rede, qualquer que seja, mas a ameaça sempre virá de fora do computador do usuário.

Questão incompleta, viu? Questão perigosa, eu diria. 

Primeira vez que vejo uma questão filosófica de informática. Deve ter sido o Pedro Bial quem elaborou.