Gestão de Riscos: Sobre os conceitos de segurança da informação, analise as afirmativas a seguir: I. Uma ameaça tem o poder de comprometer ativos vulneráveis. II. Risco é a combinação das consequências de um incidente de segurança com a sua probabilidade de ocorrência. III. Vulnerabilidades técnicas são mais críticas do que vulnerabilidades criadas por comportamento humano. Está correto somente o que se afirma em:

Vamos analisar cada afirmativa conforme conceitos clássicos de Segurança da Informação / Gestão de Riscos (ex.: ISO/IEC 27005):

I. Uma ameaça tem o poder de comprometer ativos vulneráveis.

• Ameaça é uma causa potencial de um incidente indesejado, capaz de explorar uma vulnerabilidade e, assim, afetar ativos (informações, sistemas, pessoas, infraestrutura).
• A ideia central está correta: uma ameaça pode comprometer ativos quando há vulnerabilidade explorável. ✅ Verdadeira.

II. Risco é a combinação das consequências de um incidente de segurança com a sua probabilidade de ocorrência.

• Essa é a definição padrão: risco = probabilidade (ou chance) × impacto (consequência), ou, de forma conceitual, uma combinação de ambos. ✅ Verdadeira.

III. Vulnerabilidades técnicas são mais críticas do que vulnerabilidades criadas por comportamento humano.

• Não existe regra geral de que vulnerabilidades técnicas sejam “mais críticas” do que as humanas.
• Muitas vezes, comportamento humano (phishing, senhas fracas, engenharia social, erro operacional) é justamente o vetor mais explorado e pode ser tão ou mais crítico que falhas técnicas. ❌ Falsa.

Logo, estão corretas apenas I e II.

Alternativa correta: (D).