Ed
há 3 meses
Analisando a situação: o auditor identificou uma vulnerabilidade em um sistema desatualizado, conhecido por falhas de segurança, e classificou o risco como elevado, mesmo sem incidentes anteriores. Vamos analisar as alternativas: A) "A ausência de incidentes anteriores elimina a possibilidade de risco atual." — Incorreto, pois a ausência de incidentes não elimina o risco. B) "O uso contínuo do software sem falhas evidencia que o risco é apenas teórico." — Incorreto, o risco pode ser real mesmo sem falhas detectadas até o momento. C) "A vulnerabilidade é baixa, pois o sistema é de uso interno e restrito." — Incorreto, o uso interno não elimina a vulnerabilidade. D) "A probabilidade de ocorrência é irrelevante, pois o impacto não foi demonstrado." — Incorreto, tanto probabilidade quanto impacto são importantes na avaliação de risco. E) "A vulnerabilidade identificada, combinada com ameaças conhecidas, justifica a classificação." — Correto, pois o risco é avaliado considerando vulnerabilidades e ameaças, independentemente de incidentes anteriores. Portanto, a alternativa correta é a E.
Cadastre-se ou realize login