Durante a elaboração do plano de segurança da informação de uma organização pública, a equipe de TI realizou uma análise de riscos para identificar ameaças potenciais aos ativos de informação e definir as medidas de proteção adequadas. Nesse contexto, a gerência de riscos exige o conhecimento de ameaças, vulnerabilidades e impactos. Com base nas práticas recomendadas pelas normas de segurança da informação, assinale a alternativa que apresenta corretamente um aspecto essencial da gerência de riscos em TI.