Sobre a Gestão da Continuidade do Negócio, é correto afirmar:
e) Apesar de ser necessário atualizar os planos de continuidade do negócio regularmente, não é aconselhável que eles sejam testados com frequência para não impactar em aumento de custos para a área de TI.
Errado.
Mantendo e analisando criticas providências de GCN
A organização deve, com intervalos definidos, analisar criticamente as suas providências de GCN para garantir a sua adequação, suficiência e eficácia.
A organização deve garantir que a sua capacidade e adequação para a continuidade de negócio seja analisadas criticamente nos intervalos planejados e quando mudanças significativas ocorrerem para garantir a sua adequação de continuidade, suficiência e eficácia.
b) O processo de planejamento da continuidade de negócios deve considerar a implementação dos procedimentos que permitam a recuperação e restauração das operações do negócio e da disponibilidade da informação nos prazos necessários, sem dispensar atenção à avaliação de dependências externas ao negócio e aos contratos existentes.
Primeiro a empresa deve parar tudo e se recuperar do incidente. Após esse momento volta-se a respeitar seus contratos com terceiros.
Segundo a norma: 14.1.3 -> Diretrizes para implementação -> ítem C
Implementação dos procedimentos que permitam a recuperação e restauração das operações do
O termo 'sem dispensar' não trata com a mesma seriedade a ação a ser tomada.
Convém que o gestor garanta que as cópias dos planos de continuidade do negócio estejam atualizadas e protegidas no mesmo nível de segurança como aplicado no ambiente principal.
Convém que cópias do plano de continuidade do negócio sejam guardadas em um ambiente remoto, a uma distância suficiente para escapar de qualquer dano de um desastre no local principal.
Sobre as alternativas C e E.
LETRA C) Segundo a ISO 27002,
14.1.4 Estrutura do plano de continuidade do negócio, "Convém que uma estrutura de planejamento para continuidade de negócios contemple os requisitos de segurança da informação identificados e considere os seguintes itens:
a) condições para ativação dos planos, os quais descrevem os processos a serem seguidos (como se avaliar a situação, quem deve ser acionado etc.) antes de cada plano ser ativado;"
LETRA E) Segundo a ISO 27002," 14.1.5 Testes, manutenção e reavaliação dos planos de continuidade do negócio Controle Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade."
Onde está o erro da letra B?
O erro da letra B) é que o examinador da FCC utilizou o termo "dispensar" no sentido de "dar" ou "oferecer". Ou seja, "semdar atenção à avaliação de dependências externas ao negócio e aos contratos existentes".
Se o "dispensar" tivesse sido empregado no sentido de "não necessitar de" o ítem B) estaria perfeito.
Na minha opinião péssimo português para derrubar os candidatos, mas fazer o que? já vi coisas piores.
Marcelo, discordo de você, a interpretação de "sem dispensar atenção" quer dizer exatamente "sem DEIXAR de dar atenção" e não "sem dar atenção", ou você não percebeu que ficou o "sem" na hora de usar a frase com substituição, se foi isso ignore meu comentário.
O Davi explicou o problema da B.
Michele, se o "sem dispensar atenção" estivesse sido empregado no sentido de "sem DEIXAR de dar atenção", o item B) estaria correto, fato.
Como eu disse, o pega é que o "dispensar" admite mais de um entendimento, e levando em consideração duas possibilidades de resposta, obviamente opta-se pela que não utiliza o verbo "dispensar".
Oi Marcelo, entendi, é que a forma que pensamos num primeiro acaba sendo a mais usual. Se fosse o CESPE, pensando nessa outra forma, eu leria algumas vezes pra ver se não tinha pegadinha. Valeu
Li todos os comentários e, ainda assim, não vejo erro na questão B. "Sem dispensar atenção" quer dizer "dar atenção". Não tem nada de duplo entendimento no termo "dispensar".
cara ou coroa na letra b e c
Letra C
Letra da norma 27002:2005
Convém que uma estrutura de planejamento para continuidade de negócios contemple os requisitos de segurança da informação identificados e considere os seguintes itens:
a) condições para ativação dos planos, os quais descrevem os processos a serem seguidos (como se avaliar a situação, quem deve ser acionado etc.) antes de cada plano ser ativado;
b) procedimentos de emergência que descrevam as ações a serem tomadas após a ocorrência de um incidente que coloque em risco as operações do negócio;
c) procedimentos de recuperação que descrevam as ações necessárias para a transferência das atividades essenciais do negócio ou os serviços de infra-estrutura para localidades alternativas temporárias e para a reativação dos processos do negócio no prazo necessário;
d) procedimentos operacionais temporários para seguir durante a conclusão de recuperação e restauração;
e) procedimentos de recuperação que descrevam as ações a serem adotadas quando do restabelecimento das operações;
f) uma programação de manutenção que especifique quando e como o plano deverá ser testado e a forma de se proceder à manutenção deste plano;
g) atividades de treinamento, conscientização e educação com o propósito de criar o entendimento do processo de continuidade de negócios e de assegurar que os processos continuem a ser efetivo;
h) designação das responsabilidades individuais, descrevendo quem é responsável pela execução de que item do plano. Convém que suplentes sejam definidos quando necessário;
i) os ativos e recursos críticos precisam estar aptos a desempenhar os procedimentos de emergência, recuperação e reativação.
A opção A está incorreta, pois as cópias dos Planos de Continuidade do Negócio devem ser protegidas no mesmo nível de segurança do ambiente principal para garantir sua integridade e disponibilidade em caso de um incidente.
A opção B está incorreta, pois destaca a importância de considerar a recuperação e restauração das operações, a disponibilidade da informação e avaliar dependências externas e contratos existentes no processo de planejamento da continuidade de negócios.
A opção C está correta, pois destaca a necessidade de uma estrutura de planejamento que leve em conta os requisitos de segurança da informação, as condições para ativação dos planos e a descrição dos processos a serem seguidos antes da ativação de cada plano.
A opção D está incorreta, pois cópias dos planos de continuidade do negócio geralmente são armazenadas fora do ambiente principal para garantir sua acessibilidade em caso de desastre que afete o ambiente principal.
A opção E está incorreta. Testar os planos de continuidade do negócio é uma prática recomendada para garantir sua eficácia e identificar possíveis melhorias. O custo associado aos testes é justificado pelos benefícios de assegurar que a organização esteja preparada para lidar com situações de emergência.