Durante a elaboração do plano de segurança da informação de uma organização pública, a equipe de TI realizou uma análise de riscos para identificar ameaças potenciais aos ativos de informação e definir as medidas de proteção adequadas. Nesse contexto, a gerência de riscos exige o conhecimento de ameaças, vulnerabilidades e impactos. Com base nas práticas recomendadas pelas normas de segurança da informação, assinale a alternativa que apresenta corretamente um aspecto essencial da gerência de riscos em TI.
- A A análise de riscos inclui identificar ativos, vulnerabilidades, ameaças e avaliar os impactos e probabilidades.
- B A gerência de riscos dispensa a identificação de ativos de informação, focando apenas em ameaças externas.
- C Ameaças só devem ser consideradas se já tiverem causado incidentes anteriormente na organização.
- D Ameaças são eventos totalmente imprevisíveis e, portanto, não podem ser tratados pela gerência de riscos.
- E O gerenciamento de riscos em segurança da informação é restrito apenas ao setor de TI e não deve envolver outras áreas.