Abaixo são feitas afirmações sobre vulnerabilidades. Analise-as e responda: I. A gestão de vulnerabilidades visa obter informações sobre vulnerabilidades técnicas e avaliar a exposição da organização sobre uma determinada vulnerabilidade para que as devidas ações sejam efetuadas. II. De acordo com a ISO 27002 (2022), uma vulnerabilidade é uma fragilidade de segurança em um ativo ou controle de segurança que pode ser explorada por uma ameaça. III. De acordo com a ISO 27002 (2022), a organização não possui a necessidade de se ter o inventário completo de todos os ativos de tecnologia da organização. É correto apenas o que se afirmar em:

Vamos analisar cada afirmação.

I. Verdadeira. A gestão de vulnerabilidades tem como objetivo identificar/obter informações sobre vulnerabilidades (especialmente técnicas), avaliar a exposição/impacto para a organização e então priorizar e executar ações (correções, mitigações, aceitação do risco etc.). Isso está alinhado com a prática de vulnerability management.

II. Verdadeira. A ISO/IEC 27002:2022 (em coerência com a terminologia de gestão de riscos e segurança) trata vulnerabilidade como uma fraqueza/fragilidade em ativo ou controle que pode ser explorada por uma ameaça. Portanto, a definição apresentada está correta.

III. Falsa. A ISO/IEC 27002:2022 reforça a importância de inventariar ativos (inventário de informações e outros ativos associados) para possibilitar classificação, proteção, responsabilidade e controles adequados. Assim, dizer que “não há necessidade de inventário completo” contraria o direcionamento do padrão.

Logo, está correto apenas o que se afirma em I e II.

Alternativa correta: (B).