A Ameaças são sempre eventos internos, como falhas humanas ou erros de configuração, não incluindo fatores externos como ataques cibernéticos.
B Ameaças se referem unicamente a vulnerabilidades técnicas já conhecidas em sistemas operacionais e redes.
C Uma ameaça pode ser tanto intencional quanto acidental, desde que tenha o potencial de explorar uma vulnerabilidade e comprometer a segurança da informação.
D O gerenciamento de riscos não considera as ameaças na análise de impacto, focando exclusivamente na probabilidade de ocorrência de vulnerabilidades.
E A existência de uma ameaça implica, automaticamente, que o risco associado já está concretizado e gerou impacto.