SóProvas

Questões de Plano de Continuidade de Negócios

ID
7297
Banca
ESAF
Órgão
CGU
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

Servidores com funções críticas exigem o uso de sistemas computacionais que garantam operação contínua no caso da ocorrência de falhas de hardware ou software. O objetivo da tolerância a falhas é alcançar a "dependabilidade". Com relação às medidas de "dependabilidade" é correto afirmar que

Alternativas
Comentários
  • Letra C.
    Por eliminação:
    A) Confiabilidade... -pensei que fosse confidencialidade... que seja, esta errado por estar misturando os conceitos com Integridade e autenticiiade.
    B) Exclui por conter a palavra "probabilidade".
    C) CORRETO
    D) Exclui por conter a palavra "probabilidade".
    E) Exclui por conter a palavra "probabilidade".
  • Que questão estranha! A ESAF só quer confundir a pessoa e não saber se o candidato entende do assunto!
    AFF

  • Definitions within Systems Engineering[edit]

    Availability, Inherent (Ai) [1] The probability that an item will operate satisfactorily at a given point in time when used under stated conditions in an ideal support environment. It excludes logistics time, waiting or administrative downtime, and preventive maintenance downtime. It includes corrective maintenance downtime. Inherent availability is generally derived from analysis of an engineering design and is calculated as the mean time to failure (MTTF) divided by the mean time to failure plus the mean time to repair (MTTR). It is based on quantities under control of the designer.

    Availability, Achieved (Aa) [2] The probability that an item will operate satisfactorily at a given point in time when used under stated conditions in an ideal support environment (i.e., that personnel, tools, spares, etc. are instantaneously available). It excludes logistics time and waiting or administrative downtime. It includes active preventive and corrective maintenance downtime.

    Availability, Operational (Ao) [3] The probability that an item will operate satisfactorily at a given point in time when used in an actual or realistic operating and support environment. It includes logistics time, ready time, and waiting or administrative downtime, and both preventive and corrective maintenance downtime. This value is equal to the mean time between failure (MTBF) divided by the mean time between failure plus the mean downtime (MDT). This measure extends the definition of availability to elements controlled by the logisticians and mission planners such as quantity and proximity of spares, tools and manpower to the hardware item.

    e availability  é  DISPONIBILIDADE...rs

  • Na verdade a questão foi literalmente copiada deste trabalho, quadro da página 11:

     

    http://www.inf.ufrgs.br/~taisy/disciplinas/textos/Dependabilidade.pdf

     

    VTNC essas bancas, isso que dá viver num país sério onde não se é exigido bibliografia para estudos de concursos... Esses FDPs ficam catando coisas da internet a esmo e fazendo questões assim... Só levando o Google pra fazer essas provas...

  • "mantenabilidade? que diabos é isso?

ID
79279
Banca
FCC
Órgão
TRT - 18ª Região (GO)
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Considere quatro categorias: Área de ênfase; Abordagem; Grau de envolvimento de usuários e Variedade dos grupos de suporte. Cada categoria em um projeto de continuidade dos negócios será representada, respectivamente, por Empresa;

Alternativas
Comentários
  • Alguém me explica o que essa questão está querendo dizer.

  • Pelo que entendi, o que se quer é o relacionamento entre as categorias e as características de um projeto de continuidade de negócios:

    - Área de enfase é empresa (está na questão);

    - A Abordagem no PCN deve ser proativa, vc se prepara antes, por isso tem-se o plano, prevendo que algo pode acontecer;

    - Grau de envolvimento de usuários no PCN deve ser extensivo, todos devem se envolver; e

    - Variedade dos grupos de suporte deve ser diversa.

ID
104845
Banca
FCC
Órgão
TCM-PA
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Um Plano de Continuidade de Negócios (PCN) é um conjunto de três outros planos:

Alternativas
Comentários
  • Questão direta do conceito de PCN. O Plano de Continuidade de Negócios (PCN) é composto de três outros Planos: O Plano de Gerenciamento de Crises (PGC), que trata das atividades que envolvem respostas aos incidentes; O Plano de Contingência Operacional (PCO), que trata dos procedimentos que devem ser executados; e o Plano de Recuperação de Desastres (PRD), que trata da reposição dos recursos necessários para se restabelecer a normalidade.
  • O amigo informou acima como "Plano de Contingência Operacional", mas o correto é "Plano de Continuidade Operacional".

    O Plano de Continuidade de Negócios é constituído pelos seguintes planos: Plano de Administração de Crises (PAC), Plano de Recuperação de Desastres (PRD) e Plano de Continuidade Operacional (PCO).

  • Alguém pode informar a fonte para aprofundar os estudos?

  • Bibliografia para aprofundar estudos.


    Livro:

     GESTÃO DE SEGURANÇA DA INFORMAÇÃO-UMA VISÃO EXECUTIVA-SÊMOLA-2 EDIÇÃO 2014

    - PÁGINA 98-TÓPICO  6.3 CONTINUIDADE DE NEGÓCIOS

  • Segundo o estudo Plano de Continuidade de Negócio: Planejamento, um PCN é um conjunto de três outros planos: o Plano de Gerenciamento de Crises (PGC), o Plano de Continuidade Operacional (PCO) e o Plano de Recuperação de Desastres (PRD). Cada um destes planos é focado em uma determinada variável de risco, numa situação de ameaça ao negócio da empresa (ou ambiente): O PGC, nas atividades que envolvem as respostas aos eventos; O PCO, voltado para as atividades que garantam a realização dos processos e o PRD, voltado para a substituição ou reposição de componentes que venham a ser danificados.

    http://www.lyfreitas.com.br/ant/artigos_mba/artpcn.pdf

  • Outra fonte para estudos. As vezes refaço as questões, e busco novas bibliografias para auxiliar os colegas. Segue outra boa blibografia.

    Segundo William Alevate(2014,p.123),"Plano de continuidade de negócio(PCN): É um plano que possui uma visao e abordagem geral, abrangendo os Planos de Recuperação de Desastres, de Continuidade Operacional e Programa de Administração de Crises. Ele tem por objetivo principal a recuperação, continuidade e retomada do negócio, independente de ocasionais fatores externos que interfiram na sua operação."

     

    -LIVRO: GESTÃO DA CONTINUIDADE DE NEGÓCIOS-WILLIAM ALEVATE-2014-EDITORA CAMPUS.

     

     

ID
120697
Banca
FCC
Órgão
SERGAS
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em um plano de recuperação de desastres, as diretrizes devem prever os impactos da paralisação e o tempo necessário para a recuperação das atividades de TI. Dentre as prinicipais estratégias para recuperação, aquela em que a organização possui outro local próprio no qual possa executar o suporte aos serviços de TI é conhecida por

Alternativas
Comentários
  • na verdade a resposta certa é Realocação de operação
  • Uma dica para ajudar nessa questão seria lembrar do termo hot swap = trocar sem desligar/parar o equipamento. Uma troca a quente como se diz. Neste tipo de site a empresa tem uma estrutura preparada para botar os principais serviços no ar. Acho que não tem todos os serviços do site original, pois o tipo de site que tem uma estrutura idêntica a original seri site backup.

    Bons estudos.
  • Acredito que esta questão esteja incorreta. Pois, tanto o Cold, Warm, ou Hot podem estar em outra localidade.

    O Cold com os recursos mínimos para que os principais serviços entrem em operação.
    O Warm é o intermediário.
    O Hot com a infraestrutura igual a de produção, apenas esperando o último backup dos dados para entrar em operação.

    O Hot por ter uma infraestrutura igual a de produção, é que pode oferecer uma resposta mais rápida, e por isso mais indicada para processos críticos.

    Como o colega disse, o correto seria Realocação de recursos, e pode ser feita com o serviço terceirizado, acordo de reciprocidade, ou auto-suficiencia para casos onde o sigilo de informação é importante.

    Como pode ser visto aqui: https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Linux/4/html/Introduction_To_System_Administration/s2-disaster-recovery-sites.html
  • Hot site é um ambiente de processamento de dados secundário, distanciado do Datacenter primário, que espelha todos os equipamentos de TI, que interligados de forma redundante e contingêncial com o site primário, opera de forma a manter todos os dados originais da instituição replicados no site oposto, passíveis de serem prontamente utilizados em caso de desastre.

    Claramente a resposta é a letra E.
ID
144685
Banca
CESPE / CEBRASPE
Órgão
SECONT-ES
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Um órgão público responsável pelo controle externo do
Poder Executivo de uma unidade da Federação desenvolveu um
conjunto de processos de auditoria de conformidade na gestão da
segurança da informação. As organizações para as quais o órgão
presta serviço implementaram sistemas de gestão da segurança da
informação, por força de normas, em aderência aos modelos
desenvolvidos pela ABNT e ISO/IEC, especialmente os
prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez
que várias organizações a serem auditadas já passaram cerca de
dois anos implementando seus sistemas de gestão, um
questionário de avaliação preliminar foi aplicado pelo órgão de
controle externo nas organizações clientes. Diferentes controles
do sistema de segurança da informação foram avaliados pelos
respondentes, tanto os de natureza física e lógica quanto os
organizacionais. A partir do recebimento dos resultados do
questionário preliminar, os auditores efetuaram uma visita à
organização e produziram diversos julgamentos acerca da
possível adequação dos controles implementados aos modelos
das normas mencionadas.

Tendo como referência as informações contidas na situação
hipotética apresentada acima, julgue os itens a seguir, a respeito
do julgamento realizado pelos auditores.

Para que o plano de continuidade de negócios apresentado por uma das organizações avaliadas seja considerado conforme a Norma NBR ISO/IEC 15.999, ele deve ter referências implícitas ou explícitas a um dos seguintes documentos: plano de gerenciamento de incidentes; plano de recuperação de negócios; declaração de política de gestão de continuidade dos negócios (GCN); e relatório de análise de impactos sobre negócios BIA (business impact analysis).

Alternativas
Comentários
  • Alguém poderia comentar essa questão ?
  • Acredito que a questão esteja mal classificada, uma vez que se pergunta sobre a norma 15999 - continuidade de negócio.
  • Segundo a norma NBR ISO/IEC 15.999, o planos de continuidade de negócio e plano de gestão de incidentes devem coletivamente conter linhas de
    comunicação identificadas, atividades chave, papéis e responsabilidades para pessoas e times, método de acionamento, detalhes de comunicação com pessoal e partes interessadas, dentre outras coisas.
    Portanto, o plano de continuidade de negócios faz referência ao plano de gestão de incidentes.

  • O texto faz referência a ISO/IEC 15.999:

    "Com relação à documentação de GCN, é importante desenvolver diretrizes de recuperação de procedimentos identificados como críticos, para que as unidades de negócio possam operar entre o período de desastre e até a recuperação de processos críticos e eventualmente o retorno a normalidade. A identificação dos processos críticos é realizada através do questionário denominado Análise de Impacto nos Negócios (AIN ou BIA) e os procedimentos são elaborados através da documentação de:

    • Planos de Recuperação de Desastres (PRD); 

    • Plano de Continuidade Operacional (PCO); ou 

    • Planos de Gerenciamento de Incidentes."

    Questão correta, portanto.

    Espero ter ajudado!

  • CERTO.

    Segundo a ISO 15999-1,"5.5 Documentação de GCN

    Convém que os indivíduos  responsáveis por manter a continuidade de negócios devam criar e manter a documentação de continuidade de negócios. Isso pode incluir os seguintes documentos:

    a) política de GCN;

    [...]

    b)análise de impacto nos negócios (BIA);

    c)avaliação de riscos e ameaças;

    d)estratégias de GCN;

    e)programa de conscientização;

    f)programa de treinamento;

    g)planos de gerenciamento de incidentes;

    h)planos de continuidade de negócios;

    i)planos de recuperação de negócios;

    j)agenda de testes e relatórios;

    k)contratos e acordos de níveis de serviço."

  • Se a norma fala claramente a documentação, o que seriam "referências implícitas"?

ID
147451
Banca
FCC
Órgão
SEFAZ-SP
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

As ações a serem tomadas imediatamente após a ocorrência de um incidente que coloque em risco as operações do negócio devem estar descritas no plano de continuidade de negócios como procedimentos

Alternativas
Comentários

  • LETRA E. 

    Segundo a ISO 27002,"14.1.4 Estrutura do plano de continuidade do negócio

    Diretrizes para implementação

    Convém que uma estrutura de planejamento para continuidade de negócios contemple os requisitos de segurança da informação identificados e considere os seguintes itens:

    b) procedimentos de emergência que descrevam as ações a serem tomadas após a ocorrência de um

    incidente que coloque em risco as operações do negócio;


    "
ID
148048
Banca
FCC
Órgão
TRT - 16ª REGIÃO (MA)
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Um Plano de Continuidade de Negócios deve conter procedimentos

Alternativas
Comentários

  • Prezados,

    Segundo a ISO 15999 , um plano de continuidade de negócios é uma documentação de procedimentos e informações desenvolvida, consolidada e mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível previamente definido.

    O proposito do plano de continuidade de negócios é permitir que uma organização recupere ou mantenha suas atividades em caso de uma interrupção das operações normais de negócios.

    Um plano de continuidade pode conter um plano de ação, contendo procedimentos de emergência, operacionais alternativos e temporários, de restauração, recuperação e retomada, os recursos necessários , os responsáveis, entre outros.


    A alternativa correta é : A.


  • Complemento conforme a norma ISO 27002.


    Segundo a ISO 27002,"14.1.4 Estrutura do plano de continuidade do negócio

    Convém que uma estrutura de planejamento para continuidade de negócios contemple os requisitos de segurança da informação identificados e considere os seguintes itens:


    b) procedimentos de emergência que descrevam(...);

    c) procedimentos de recuperação que descrevam(...);

    d) procedimentos operacionais temporários(...);

    e) procedimentos de recuperação que descrevam(...);"




ID
236023
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Quando uma aplicação computacional falha, assinale a alternativa que indica o procedimento automático que deve ocorrer imediatamente.

Alternativas
Comentários
  • A aplicação deve entrar no ar o mais rápido possível.
  • Se for assim, o procedimento que deve ocorrer imediatamente é o reinício automático da aplicação.
    O modo seguro, além de ser um recurso disponível apenas para um pequeno número de aplicações, restringe algumas das funcionalidades, prejudicando os usuários.
    A entrada em operação no modo seguro deveria ser a segunda opção, após uma segunda falha em um curto período de tempo. Quem concorda?

  • Eu gostaria de saber que fonte a FGV utiliza para elaborar essas questões. O enunciado é muito vago e não contextualiza nada. Óbvio que a ação tomada depende da falha ocorrida e de quem observou a falha. Por exemplo, toda vez que o windows apresenta uma falha, é necessário entrar em modo seguro? Evidentemente que não.

    Desenvolvedores podem tomar determinadas ações como: entender e corrigir o problema; Usuários podem alertar os desenvolvedores; Responsáveis pela segurança podem identificar se a integridade e disponbilidade das informações foram afetadas....


  • Prezados,

    Algumas aplicações de software oferecem um modo de operação seguro. A exemplo, no PHP versões superiores a 5.4, o modo de segurança oferece medidas de segurança mais rigorosas. Dentre as alternativas possíveis, a alternativa B parece a única que poderia ser acionada de forma automática, como pede o enunciado. A alternativa E não fez muito sentido pois um software de antivírus em uma situação normal já estaria rodando.


    A  alternativa correta é : B.


  • Parece ridículo, tudo leva a crer que a banca remete ao WINDOWS, mas a questão é sobre continuidade dos negócios.Devemos descartar o que não serve, ou não faz sentido para a ocasião.
    (d) prematuro porque o problema pode não ser da aplicação.
    (c) ridículo, apenas aponta que o erro foi humano.
    (a) isso pode demorar muito tempo, a empresa tem que sobreviver ainda que sem sistema.
    (e) Não estava ? E como sabem que foi ataque e não falha técnica.

    (b) -- infelizmente só sobrou você,  modo "operação seguro", pode  remeter a plano de emergência, e são escalas sucessivas de  crise.continuidade de negócios , e ter planejado : planos B,C,D.;... Alfa, Beta....,  as vezes a atitude a ser tomada é não fazer!

  • Gabarito B

    Parece até que a banca esta falando do modo seguro do Windows... hehehe...

    Vamos na fé !

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
236026
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Dentre as alternativas a seguir, assinale a única que lista os passos, na ordem correta, para o desenvolvimento de um plano de continuidade do negócio.

Alternativas
Comentários
  • Eu não sabia de cor a sequência de passos, mas acertei com a técnica de comparar os itens repetidos e mais frequentes para cada passo.

    No primeiro passo, não há dúvida que é o Início do Projeto; ele aparece em todas as opções.
    No segundo passo, o mais frequente é desenvolvimento da estratégia. Aqui já se eliminam as opções B) e C).
    No terceiro passo, das opções que restaram, o mais frequente é análise de impacto nos negócios. Aqui restaram apenas opções A) e E).
    No quarto passo, A) e E) trazem a mesma informação, que também é a mais frequente das 5 opções.
    No quinto passo, basta saber que implementação vem antes dos testes (exceto no TDD - Test Driven Development/Design).
    Restou a letra A).

    Esta técnica serve para maior parte das questões do gênero.
  • Na realidade o Gabarito deveria ser B, vejamos:


    Este consiste no ciclo de vida para GCN que traz a norma 15999-1.
    Na primeira etapa, Entendento a Organização, as seguintes etapas devem serem consideradas:
               1) AIN - análise de impacto do negócio;
               2) Análise/Avaliação de risco

    Portanto, a atividade AIN que faz parte do processo de Entender a Organização precede ao processo Determinar a estratégia.

    GABARITO B
  • Tenho de concordar com Thiago Caparelli, a letra B é a correta. Será que o gabarito dessa questão não está trocado por engano. Vou repassar aos administradores do site para verificarem. A sequencia da letra B está nítida na ISO 15999-1.
  • Concordo com os colegas, segundo a norma a sequencia correta é letra B.

  • Mas não faz sentido, desenvolver uma estratégia sem analise de impacto! 
    a não ser que desenvolver estratégia seja...vamos sobreviver, kkkk
    são 5 anos, será que dá pare usar essa informação para a prova? Mesmo indo contra a norma? rss

  • de acordo com a norma o gabarito é a alternativa B!! Nao entendo a FGV...

  • Não há nada mais lógico do que a sequência:

    - Início do projeto, (tem de iniciar)

    - análise de impacto nos negócios (BIA - é preciso saber quais as ameaças, os riscos, as vulnerabilidades e o impacto),

    - desenvolvimento da estratégia (tempo máximo de interrupção, custos, consequências de não agir...), 

    - desenvolvimento do plano (papeis e responsabilidades, PCN, PRD...), 

    - implementação (como executar o plano desenvolvido), 

    - teste e manutenção (falam por si só).

    E isso segue o Ciclo de Vida da Norma!

    Diferente disso é loucura!

ID
236056
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Das alternativas a seguir, assinale aquela que corresponde à frequência ideal de testes de um plano de continuidade do negócio.

Alternativas
Comentários
  • Na minha opinião a resposta está errada, pois conforme consta na ISO 15991, os testes devem ser realizados todo ano, sendo indiferente o fato de ter havido mudança na organização. O bom senso também me leva a crer que essa questão está muito mal formulada. Quer dizer que se a organização permanecer sempre a mesma, por dezenas de anos, não deve haver teste nenhum do plano?
  • Concordo com o comentário anterior. Segundo a norma 15999 (Gestão da Continuidade do Negócio), os testes devem ser periódicos ou realizados sempre que houver algum mudança relevante na organização.
  • A norma não estabelece uma frequência para que sejam realizados os testes.

    A alternativa C está correta.
  • Durante o desenvolvimento inicial do plano de continuidade de negócio, testes devem ser um processo interativo até que o plano seja julgado e considerado plenamente pronto para uso.
     
    Uma vez que o plano está adequado, mais testes devem ocorrer assim que ocorram mudanças significativas nas operações de negócio ou na infra-estrutura de ativos e serviços de suporte (IT, voz, etc.) e/ou no próprio plano.
     
    Os recursos necessários para tais testes dependerão da extensão de mudança. De todos modos, re-testes periódicos devem acontecer para assegurar que o plano permanece em linha com os requisitos de negócios e da corporação.

  • Complemento

    Segundo a ISO 27002, 

    "14.1.5 Testes, manutenção e reavaliação dos planos de continuidade do negócio

    Controle

    Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade."

  • Vamos analisar em partes.
    1. Colocando em um único período o enunciado e a alternativa "certa":


    "A frequência ideal de testes de um plano de continuidade de continuidade de negócio é sempre que houver mudanças relevantes na organização."
    Lendo esse texto isoladamente a palavra SEMPRE foi forte, pois pode sugerir que o ideal é somente quando houver mudanças. Mas o bom senso exposto por Maurício Santos nos leva a raciocinar que não é somente quando as mudanças ocorrerem que devemos realizar testes. Lembrem-se que também existem mudanças que não são explícitas e que às vezes só a descobrimos quando testamos algo.
    2. Conforme nosso colega Tanebaum expôs, a norma não define frequência específica para testes no GCN. Logo, as outras alternativas não poderiam ser possíveis.
    3. Conclusão:
    A questão foi imprecisa? Sim. Limitou um universo. ( paciência!:/ )Mas as outras alternativas são mais limitadoras ainda, pois definem uma frequência exata e a norma não.
    Então marquemos a menos "errada". Isso é ser concurseiro.

  • Eu entendo a norma da seguinte forma: períódico mas ( com uma periodicidade  anual), entretanto se você tem fatos relevantes, essa vai se antecipar aos 12 meses, assim como se houver indícios de falhas também.
    Portanto a norma preferiu dar discricionaridade às organizações, porque  se você não tem fatos relevantes que coloquem em risco o SGSI em 12 meses, não há indícios de falhas durante esse tempo, então talvez fosse caso de verificar se os controles não estariam frouxos, a empresa está vegetando e convenhamos 1 ano sem fatos relevantes é preocupante para a empresa, talvez tenha morrido e não os avisaram,rs.

    Sem ler a norma, ainda diria que seguindo o raciocínio  de auditoria, assinalaria  que sempre que fatos relevantes ocorram seria apropriado verificar os controles.

  • Em 22/02/22 às 22:37, você respondeu a opção D.!

    Em 02/03/18 às 10:23, você respondeu a opção D.!

    Continuo achando que é D

ID
239707
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação, julgue os próximos itens.

A gestão da continuidade de negócios é um processo que deve ser realizado no caso de perdas no funcionamento rotineiro de um ambiente computacional. Por envolver excessivos recursos humanos, financeiros e de informação, uma empresa somente deve defini-lo caso tenham sido identificadas ameaças potenciais que possam ocasionar riscos imediatos ao negócio.

Alternativas
Comentários
  • "Por envolver excessivos recursos humanos, financeiros e de informação, uma empresa somente deve defini-lo caso tenham sido identificadas ameaças potenciais que possam ocasionar riscos imediatos ao negócio."

    Este somente que torna a assertiva incorreta?
  • Definição de Gestão de Continuidade de Negócios:
    - Processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio caso estas ameaças se concretizem.

    Ou seja, a assertiva está errada pois a identificação das ameaças potenciais faz parte da Gestão de Continuidade de Negócios. Ela não é uma etapa que antecede a definição da GCN.
  • O erro da questão está na primeira afirmação:

    "A gestão da continuidade de negócios é um processo que deve ser realizado no caso de perdas no funcionamento rotineiro de um ambiente computacional."
     
    Vai além do ambiente computacional, abrange todo o AMBIENTE OPERACIONAL.

    A Gestão da Continuidade dos Negócios (GCN) é algo relativamente novo, resultado da fusão dos Planos de Contingência e dos Planos de Recuperação de Desastres, que objetiva garantir a recuperação de um ambiente de produção, independentemente de eventos que suspendam suas operações e de danos nos componentes (processos, pessoas, softwares, hardware, infra-estrutura etc.) por ele utilizados.
  • Concordo com as outras respostas, mas para mim o erro também está em dizer que a GCN "deve ser realizado no caso de perdas no funcionamento rotineiro...". Quando há desastre (perda no funcionamento rotineiro de um ambiente operacional) aciona o plano que já foi desenvolvido antes em uma das etapas anteriores do GCN.
    T+
  • Concordo com o que Wagner disse, e acho que esse é o único erro.
    A questão estaria certa se estivesse falando do Plano de Continuidade. Mas ele fala no plano de Gestão de Continuidade que deve estar sempre em funcionamento, para que toda organização seja conscientizada.
    Sobre a última parte, acredito que esteja certa. Pois é para isso que existe a Análise de Risco e a Análise de Impacto, para que o Plano de Continuidade do Negócio possa focar apenas nos riscos que possam ser ameaças a organização, e isto ainda poderá variar de acordo com o Apetite a Risco da empresa.
  • Prezados,

    O comando da questão erra ao falar que a continuidade de negócios envolve excessivos recursos humanos, e que a empresa só deve defini-lo caso tenham sido identificadas ameaças potenciais que possam ocasionar riscos imediatos ao negócios.

    A norma fala que convém que a organização determine seus requisitos para a segurança da informação e a continuidade da gestão de segurança da informação em situações adversas, por exemplo, durante uma crise ou desastre.

    Portanto a questão está errada.
ID
245347
Banca
CESPE / CEBRASPE
Órgão
TRT - 21ª Região (RN)
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de ataques a redes de computadores, prevenção e
tratamento de incidentes, julgue os itens subsecutivos.

Responsabilidades e procedimentos de gestão devem ser estabelecidos para assegurar respostas rápidas, efetivas e ordenadas a incidente de segurança da informação.

Alternativas
Comentários

  • Exatamente o descrito na norma ISO 27001:

    A.13.2 Gestão de incidentes de segurança da informação e melhorias

    A.13.2.1 Responsabilidades e procedimentos

    Controle: "Responsabilidades e procedimentos de gestão devem ser estabelecidos para assegurar respostas rápidas, efetivas e ordenadas a incidentes de segurança da informação."

ID
249550
Banca
CESPE / CEBRASPE
Órgão
DETRAN-ES
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à segurança em redes de computadores, julgue os
itens a seguir.

Os processos de definição, implantação e gestão de políticas de segurança da informação devem ser aprovados pelo pessoal de nível operacional e devem se subordinar às normas e procedimentos de segurança vigentes na organização.

Alternativas
Comentários
  • Quem aprova é a alta gerência.
  • nível gerencial e não operacional.

  • Gabarito Errado

    Devem ser aprovados pela alta gerência.

     

    Vamos na fé !

     

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
252193
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da prevenção e do tratamento de incidentes, julgue
os itens seguintes.

Os achados da fase de resposta inicial devem ser apresentados aos gestores e tomadores de decisão com todos os detalhes técnicos, para fundamentar a escolha da estratégia de resposta.

Alternativas
Comentários
  • Estas são pegadinhas recorrentes nas questões de segurança:

    - Dizer que a TI defini o plano de segurança. ERRADO
    - Dizer que os gestores recebem relatórios técnicos detalhados. ERRADO
    - Dizer que o plano de segurança só é divulgado para algumas pessoas da organização. ERRADO
    - Dizer que o plano deve incluir detalhes técnicos e de implementação. ERRADO

    Mesmo sem saber as ISO27* dá pra matar um monte de questão tendo estas informações aí.
    Abraços e boa sorte.
ID
271126
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação a plano de continuidade de negócio, julgue os itens
seguintes.

As análises/avaliações de risco do plano de continuidade do negócio devem envolver os responsáveis pelos processos e recursos do negócio. É importante que essas análises/avaliações não se limitem aos recursos de processamento da informação, mas incluam os resultados específicos da segurança da informação.

Alternativas
Comentários
  • De acordo com a própria norma ISO 27002:

    "14.1.2  Continuidade de negócios e análise/avaliação de riscos
    (..)
    Diretrizes para implementação
    (..)
    Convém que as análises/avaliações de riscos da continuidade do negócio sejam realizadas com total envolvimento dos responsáveis pelos processos e recursos do negócio. Convém que a análise/avaliação considere todos os processos do negócio e não esteja limitada aos recursos de processamento das informações, mas inclua os resultados específicos da segurança da informação."
  • Realmente, está na página 104 da Norma, como o companheiro Rafael aqui acima postou.

    Para baixar a norma (sem garantia de atualizações), acesse:

    http://www.mediafire.com/download/aat15rajyf5olc0/NBR_ISO_27002+para+impress%C3%A3o.pdf

    Bons estudos e sucesso, galera!

  • Copiaram colaram do livro abaixo

    https://uploaddeimagens.com.br/imagens/Pfn3n4E

ID
271129
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação a plano de continuidade de negócio, julgue os itens
seguintes.

Os planos de continuidade de negócio devem ser testados e atualizados regularmente, de forma a assegurar que os membros da equipe de recuperação, bem como outros envolvidos, tenham ciência desses planos e de suas responsabilidades para a continuidade do negócio quando um plano for realmente acionado.

Alternativas
Comentários
  • O Plano de Continuidade de Negócios (PCN), o qual é a tradução de Business Continuity Plan (BCP), é o desenvolvimento preventivo de um conjunto de estratégias e planos de ação de maneira a garantir que os serviços essenciais sejam devidamente identificados e preservados após a ocorrência de um desastre*, e até o retorno à situação normal de funcionamento da empresa dentro do contexto do negócio do qual ela faz parte.

    Convém que um PCN contenha seguintes elementos:

    - Planos de ação/Listas de tarefas Convém que o plano de ação inclua uma lista estruturada de ações e tarefas em ordem de prioridade, destacando-se:

    a) como o PCN é ativado;

    b) as pessoas responsáveis por ativar o plano de continuidade de negócios;

    c) o procedimento que esta pessoa deve adotar ao tomar esta decisão;

    d) as pessoas que devem ser consultadas antes desta decisão ser tomada;

    e) as pessoas que devem ser informadas quando a decisão for tomada;

    f) quem vai para onde e quando;

    g) quais serviços estão disponíveis, aonde e quando, incluindo como a organização mobilizará seus recursos externos e de terceiros;

    h) como e quando esta informação será comunicada; e

    i) se relevante, procedimentos detalhados para soluções manuais, recuperação dos sistemas etc.

    Referencias: ABNT NBR 15999 Parte 1 - Consulta Nacional ABNT/CEET-00:001.63 PROJETO 00:001.63-002/01 JUNHO:2007 - EHV. NÃO TEM VALOR NORMATIVO 36/4

    Portanto, questão correta.

  • CERTO. O cespe uniu dois trechos da norma formando um.

    Segundo a ISO/IEC 27002,"

    14.1.5 Testes, manutenção e reavaliação dos planos de continuidade do negócio

    Controle

    Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade.

    Diretrizes para implementação

    Convém que os testes do plano de continuidade do negócio assegurem que todos os membros da equipe de recuperação e outras pessoas relevantes estejam conscientes dos planos e de suas responsabilidades para a continuidade do negócio e a segurança da informação, e conheçam as suas atividades quando um plano for acionado."


ID
319741
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Entre os testes necessários à manutenção do plano de continuidade do negócio inclui-se o teste de

Alternativas
Comentários

  • 14.1.5 Testes, manutenção e reavaliação dos planos de continuidade do negócio

     

    Convém que várias técnicas sejam utilizadas, de modo a assegurar a confiança de que o(s) plano(s) irá(ão) operar consistentemente em casos reais. Convém que sejam considerados:

    a) testes de mesa simulando diferentes cenários (verbalizando os procedimentos de recuperação para diferentes formas de interrupção);
    b) simulações (particularmente útil para o treinamento do pessoal nas suas atividades gerenciais após o incidente);
    c) testes de recuperação técnica (garantindo que os sistemas de informação possam ser efetivamente recuperados);
    d) testes de recuperação em um local alternativo (executando os processos de negócios em paralelo com a recuperação das operações distantes do local principal);
    e) testes dos recursos, serviços e instalações de fornecedores (assegurando que os serviços e produtos fornecidos por terceiros atendem aos requisitos contratados);
    f) ensaio geral (testando se a organização, o pessoal, os equipamentos, os recursos e os processos podem enfrentar interrupções).
     

    Fonte: ABNT NBR ISO/IEC 27002:2005

ID
327118
Banca
FUNCAB
Órgão
IDAF-ES
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação à política de segurança, o planejamento que foca como a empresa pode restaurar as operações após a ocorrência de um desastre, e não apenas uma interrupção temporária dos serviços, é conhecido como:

Alternativas
Comentários

  • Segue uma definição da norma de Gestão de continuidade de negócios - Parte 1: Código de prática

     

    plano de continuidade de negócios (PCN)
    documentação de procedimentos e informações desenvolvida, consolidada e mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável previamente definido
     

    Fonte: ABNT NBR 15999-1:2007

ID
369919
Banca
CESPE / CEBRASPE
Órgão
TCE-RN
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da prevenção e do tratamento de incidentes, julgue o item subsequente.


A análise pós-incidente realizada utilizando as cópias dos sistemas de arquivos dos sistemas comprometidos não requer que os metadados tenham sido preservados no processo de cópia.

Alternativas
Comentários

  • ERRADO

    (...) não requer que os metadados tenham sido preservados no processo de cópia.

    Os metadados são marcos ou pontos de referência que permitem circunscrever a informação sob todas as formas, pode se dizer resumos de informações sobre a forma ou conteúdo de uma fonte.

    * O prefixo “Meta” vem do grego e significa “além de”.

    Assim Metadados são informações que acrescem aos dados e que têm como objetivo informar-nos sobre eles para tornar mais fácil a sua organização.

  • Errado, os metadados são essenciais para recuperação ,localização ... de dados

  • Gab. ERRADO

    Acredito que o final da questão "não requer que os metadados tenham sido preservados no processo de cópia." compromete a questão levando ao erro.

ID
459346
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações.

No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento:

Alternativas
Comentários
  • Existem 6 elementos do ciclo de vida da GCN
    1- Gestão de Continuidade;
    2- Entendeo a organização;
    3- Determinando a estratégia de continuidade de negócios;
    4- Desenvolvendo e implementando uma resposta de GCN;
    5- Testando, mantendo e analisando criticamente os preparaticos de GCN; e 
    6- Incluindo a GCN na cultura da organização.

    Desenvolvendo e implementando uma resposta de GCN: é criada uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalham os passos a serem tomados durante e após um incidente, para manter ou restaurar as operações.

    Gestão da continuidade do negócio segundo a NBR ISO/IEC 15999:2007

  • Existem 6 elementos do ciclo de vida da GCN


    1- Gestão de Continuidade;
    2- Entendeo a organização;
    3- Determinando a estratégia de continuidade de negócios;
    4- Desenvolvendo e implementando uma resposta de GCN;
    5- Testando, mantendo e analisando criticamente os preparaticos de GCN; e 
    6- Incluindo a GCN na cultura da organização.

    Desenvolvendo e implementando uma resposta de GCN: é criada uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalham os passos a serem tomados durante e após um incidente, para manter ou restaurar as operações.

    Fonte: Gestão da continuidade do negócio segundo a NBR ISO/IEC 15999:2007

ID
459661
Banca
CESPE / CEBRASPE
Órgão
HEMOBRÁS
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança da informação, julgue os próximos itens.

Os planos de continuidade de negócios devem ser mantidos atualizados e garantir que as informações sejam classificadas de acordo com seu grau de sigilo preconizado pela política de classificação das informações.

Alternativas
Comentários
  • Errado.

    Acredito que o erro da questão está em dizer: "garantir que as informações sejam classificadas de acordo com seu grau de sigilo preconizado pela política de classificação das informações."

    O Plano de Continuidade de Negócios - PCN (do inglês Business Continuity Plan - BCP), estabelecido pela norma ABNT NBR 15999 Parte 1, é o desenvolvimento preventivo de um conjunto de estratégias e planos de ação de maneira a garantir que os serviços essenciais sejam devidamente identificados e preservados após a ocorrência de um desastre, e até o retorno à situação normal de funcionamento da empresa dentro do contexto do negócio do qual ela faz parte.

    [...] têm como objetivo principal a   formalização de ações   a ser em tomadas para que, em  momentos de crise , a recuperação, a conti  nuidade e a retomada possam ser efetivas, evitando que os processos críticos de negócio  da organização sejam afetados, o que pode acarretar em perdas financeiras.

    Fonte:http://pt.wikipedia.org/wiki/Plano_de_continuidade_de_neg%C3%B3cios
ID
480160
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

O Plano de Continuidade do Negócio

Alternativas
Comentários
  • ISO 27002
    14.1.2
    Convém que os aspectos da continuidade do negócios relativos à segurança da informação sejam baseados na  identificação  de  eventos  (ou  sucessão  de  eventos)  que  possam  causar  interrupções  aos  processos  de negócios  das  organizações,  por  exemplo  falha  de  equipamento,  erros  humanos,  roubo,  incêndio,  desastres naturais  e  atos  terroristas.  Em  seguida,  convém  que  seja  feita  uma  análise/avaliação  de  riscos  para  a determinação da probabilidade e impacto de tais interrupções, tanto em termos de escala de dano quanto em relação ao período de recuperação.

    Convém  que  as  análises/avaliações  de  riscos  da  continuidade  do  negócio  sejam  realizadas  com  total envolvimento  dos  responsáveis  pelos  processos  e  recursos  do  negócio.  Convém  que  a  análise/avaliação considere  todos  os  processos  do  negócio  e  não  esteja  limitada  aos  recursos  de  processamento  das informações,  mas  inclua  os  resultados  específicos  da  segurança  da  informação.  É  importante  a  junção  de aspectos de riscos diferentes, para obter um quadro completo dos requisitos de continuidade de negócios da organização.  Convém  que  a  análise/avaliação  identifique,  quantifique  e  priorize  os  critérios  baseados  nos riscos  e  os  objetivos  pertinentes  à  organização,  incluindo  recursos  críticos,  impactos  de  interrupção, possibilidade de ausência de tempo e prioridades de recuperação. 

  • Complemento. O porquê do erro.

    a)ERRADO, pois segundo a ISO 27002,"

    14.1.5 Testes, manutenção e reavaliação dos planos de continuidade do negócio

    Controle

    Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade."

    e)ERRADO. Segundo a ISO 27002, "14.1.4 Estrutura do plano de continuidade do negócio

    Diretrizes para implementação

    Convém que cada plano tenha um gestor específico. Convém que procedimentos de emergência, de recuperação, manual de planejamento e planos de reativação sejam de responsabilidade dos gestores dos recursos de negócios ou dos processos envolvidos."

  • c) CORRETO. Segundo a ISO 27002,14.1.2 Continuidade de negócios e análise/avaliação de riscos," Em função dos resultados da análise/avaliação de riscos, convém que um plano estratégico seja desenvolvido para se determinar a abordagem mais abrangente a ser adotada para a continuidade dos negócios. Uma vez criada a estratégia, convém que ela seja validada pela direção e que um plano seja elaborado e validado para implementar tal estratégia."

  • Alguém pode me explicar o porquê da alternativa "D" esta errada?"

  • HTTP Concurseiro, eu não confio em vc não. Só confio no HTTPS Concurseiro. Hehehe.

ID
622162
Banca
CESPE / CEBRASPE
Órgão
CBM-DF
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em referência à gestão de riscos e ao plano de continuidade de
negócios, julgue os itens seguintes.

A disseminação para as partes interessadas, o treinamento da equipe responsável e testes da real capacidade de continuidade são ações recomendáveis em um processo de implantação de um plano de continuidade de negócios em uma organização.

Alternativas
Comentários

  • Segundo a ISO 27002,"

    14.1.3 Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação


    Convém que o processo de planejamento da continuidade de negócios considere os seguintes itens:

    a) identificação e concordância de todas as responsabilidades e procedimentos da continuidade do negócio;

    f) educação adequada de pessoas nos procedimentos e processos definidos, incluindo o gerenciamento de crise;

    g) teste e atualização dos planos."

  • CERTO 

    Segundo o guia de segurança da informação do TCU,"

    3.7 Como garantir que o Plano funcionará como esperado?

    É possível citar três formas de garantir a eficácia do Plano de Continuidade do Negócio: 

    -treinamento e conscientização das pessoas envolvidas;

    -testes periódicos do Plano, integrais e parciais; 

    -processo de manutenção contínua.

    "

    http://portal2.tcu.gov.br/portal/pls/portal/docs/2511466.PDF

ID
622165
Banca
CESPE / CEBRASPE
Órgão
CBM-DF
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em referência à gestão de riscos e ao plano de continuidade de
negócios, julgue os itens seguintes.

A presença de ativo com vulnerabilidade explorável e de fonte de ameaça que possa explorar tal vulnerabilidade são condições para a existência de risco em um sistema de informação.

Alternativas
Comentários
  • Risco = Vulnerabilidade + Ameaça

  • Quando existe uma vulnerabilidade e uma ameaça simultaneamente, ocorre o que se chama, em segurança da informação, um RISCO. Risco é o produto vulnerabilidade X ameaça. Assim, se há uma vulnerabilidade (ex: falta de proteção contra terremotos), mas não há ameaça (ex: sabe-se que na área não ocorrem terremotos), o risco é minimizado. O objetivo das contramedidas preventivas é minimizar o risco. Isso se consegue ou diminuindo as vulnerabilidades (instalar antivírus, atualizar as versões, treinar os funcionários) ou - mais raramente - diminuindo as ameaças (seguir regras de segurança, cultivar boas relações...).

    Alternativa: Certa

  • CERTO.

    Segundo a ISO 27005,"3. Termos e Definições

    3.2

    riscos de segurança da informação:a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização"

    **Portanto, o próprio conceito de risco permite concluirmos que a questão está correta.

  • CERTO.

    Outra fonte. 

    Segundo Sêmola(2014,p.48),"Riscos: Probabilidade de ameças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando, possivelmente, impactos nos negócios."


    Bibliografia:

    GESTÃO DE SEGURANÇA DA INFORMAÇÃO-UMA VISÃO EXECUTIVA-2 EDIÇÃO 2014- MARCOS SÊMOLA.

ID
628978
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre a Gestão da Continuidade do Negócio, é correto afirmar:

Alternativas
Comentários




  • e) Apesar de ser necessário atualizar os planos de continuidade do negócio regularmente, não é aconselhável que eles sejam testados com frequência para não impactar em aumento de custos para a área de TI.
    Errado.
    Mantendo e analisando criticas providências de GCN
    A organização deve, com intervalos definidos, analisar criticamente as suas providências de GCN para garantir a sua adequação, suficiência e eficácia.
    A organização deve garantir que a sua capacidade e adequação para a continuidade  de negócio seja analisadas criticamente nos intervalos planejados e quando mudanças significativas ocorrerem para garantir a sua adequação de continuidade, suficiência e eficácia.
     
  • b) O processo de planejamento da continuidade de negócios deve considerar a implementação dos procedimentos que permitam a recuperação e restauração das operações do negócio e da disponibilidade da informação nos prazos necessários, sem dispensar atenção à avaliação de dependências externas ao negócio e aos contratos existentes.

    Primeiro a empresa deve parar tudo e se recuperar do incidente. Após esse momento volta-se a respeitar seus contratos com terceiros.
  • Sobre o erro no ítem B.

    Segundo a norma: 14.1.3 -> Diretrizes para implementação -> ítem C

    Implementação dos procedimentos que permitam a recuperação e restauração das operações do
    negócio e da disponibilidade da informação nos prazos necessários; atenção especial precisa ser dada
    à avaliação de dependências externas ao negócio e de contratos existentes;

    O termo 'sem dispensar' não trata com a mesma seriedade a ação a ser tomada.
  • Segundo a norma 27002:

    Convém que o gestor garanta que as cópias dos planos de continuidade do negócio estejam atualizadas e protegidas no mesmo nível de segurança como aplicado no ambiente principal.

    Convém que cópias do plano de continuidade do negócio sejam guardadas em um ambiente remoto, a uma distância suficiente para escapar de qualquer dano de um desastre no local principal. 

  • Sobre as alternativas C e E.

    LETRA C) Segundo a ISO 27002,

    14.1.4 Estrutura do plano de continuidade do negócio, "Convém que uma estrutura de planejamento para continuidade de negócios contemple os requisitos de segurança da informação identificados e considere os seguintes itens:

    a) condições para ativação dos planos, os quais descrevem os processos a serem seguidos (como se avaliar a situação, quem deve ser acionado etc.) antes de cada plano ser ativado;"

    LETRA E) Segundo a ISO 27002,"

    14.1.5 Testes, manutenção e reavaliação dos planos de continuidade do negócio

    Controle

    Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade."

  • Onde está o erro da letra B?

  • O erro da letra B) é que o examinador da FCC utilizou o termo "dispensar" no sentido de "dar" ou "oferecer". Ou seja, "semdar atenção à avaliação de dependências externas ao negócio e aos contratos existentes".

    Se o "dispensar" tivesse sido empregado no sentido de "não necessitar de" o ítem B) estaria perfeito.

    Na minha opinião péssimo português para derrubar os candidatos, mas fazer o que? já vi coisas piores.

  • Marcelo, discordo de você, a interpretação de "sem dispensar atenção" quer dizer exatamente "sem DEIXAR de dar atenção" e não "sem dar atenção", ou você não percebeu que ficou o "sem" na hora de usar a frase com substituição, se foi isso ignore meu comentário.


    O Davi explicou o problema da B.

  • Michele, se o "sem dispensar atenção" estivesse sido empregado no sentido de "sem DEIXAR de dar atenção", o item B) estaria correto, fato.

    Como eu disse, o pega é que o "dispensar" admite mais de um entendimento, e levando em consideração duas possibilidades de resposta, obviamente opta-se pela que não utiliza o verbo "dispensar".

  • Oi Marcelo, entendi, é que a forma que pensamos num primeiro acaba sendo a mais usual. Se fosse o CESPE, pensando nessa outra forma, eu leria algumas vezes pra ver se não tinha pegadinha. Valeu

  • Li todos os comentários e, ainda assim, não vejo erro na questão B. "Sem dispensar atenção" quer dizer "dar atenção". Não tem nada de duplo entendimento no termo "dispensar". 

  • cara ou coroa na letra b e c

  • Letra C

    Letra da norma 27002:2005

    Convém que uma estrutura de planejamento para continuidade de negócios contemple os requisitos de segurança da informação identificados e considere os seguintes itens:
    a) condições para ativação dos planos, os quais descrevem os processos a serem seguidos (como se avaliar a situação, quem deve ser acionado etc.) antes de cada plano ser ativado;
    b) procedimentos de emergência que descrevam as ações a serem tomadas após a ocorrência de um incidente que coloque em risco as operações do negócio;
    c) procedimentos de recuperação que descrevam as ações necessárias para a transferência das atividades essenciais do negócio ou os serviços de infra-estrutura para localidades alternativas temporárias e para a reativação dos processos do negócio no prazo necessário;
    d) procedimentos operacionais temporários para seguir durante a conclusão de recuperação e restauração;
    e) procedimentos de recuperação que descrevam as ações a serem adotadas quando do restabelecimento das operações;
    f) uma programação de manutenção que especifique quando e como o plano deverá ser testado e a forma de se proceder à manutenção deste plano;
    g) atividades de treinamento, conscientização e educação com o propósito de criar o entendimento do processo de continuidade de negócios e de assegurar que os processos continuem a ser efetivo;
    h) designação das responsabilidades individuais, descrevendo quem é responsável pela execução de que item do plano. Convém que suplentes sejam definidos quando necessário;
    i) os ativos e recursos críticos precisam estar aptos a desempenhar os procedimentos de emergência, recuperação e reativação.

ID
638251
Banca
FUMARC
Órgão
PRODEMGE
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Um Plano de Continuidade de Negócio visa garantir a continuidade dos serviços essenciais de uma organização, minimizando perdas decorrentes de um evento de segurança de grande impacto. O Plano de Continuidade de Negócio é constituído pelos seguintes planos, EXCETO:


Alternativas
Comentários

  • Plano de Continuidade de Negócios (PCN)

    O Plano de Continuidade de Negócios (PCN), o qual é a tradução de Business Continuity Plan (BCP), é o desenvolvimento preventivo de um conjunto de estratégias e planos de ação de maneira a garantir que os serviços essenciais sejam devidamente identificados e preservados após a ocorrência de um desastre*, e até o retorno à situação normal de funcionamento da empresa dentro do contexto do negócio do qual ela faz parte. Além disso, sob o ponto de vista do PCN, o funcionamento de uma empresa deve-se a duas variáveis: os componentes e os processos. Os componentes são todas as variáveis utilizadas para realização dos processos: energia, telecomunicações, informática, infra-estrutura, pessoas. Todas elas podem ser substituídas ou restauradas, de acordo com suas características.
    Resposta correta D

  • O Plano de Continuidade de Negócios é constituído pelos seguintes planos: Plano de Administração de Crises (PAC), Plano de Recuperação de Desastres (PRD) e Plano de Continuidade Operacional (PCO). Todos estes planos têm como objetivo principal a formalização de ações a serem tomadas para que, em momentos de crise, a recuperação, a continuidade e a retomada possam ser efetivas, evitando que os processos críticos de negócio da organização sejam afetados, o que pode acarretar em perdas financeiras

  • Segundo o estudo Plano de Continuidade de Negócio: Planejamento, um PCN é um conjunto de três outros planos: o Plano de Gerenciamento de Crises (PGC), o Plano de Continuidade Operacional (PCO) e o Plano de Recuperação de Desastres (PRD). Cada um destes planos é focado em uma determinada variável de risco, numa situação de ameaça ao negócio da empresa (ou ambiente): O PGC, nas atividades que envolvem as respostas aos eventos; O PCO, voltado para as atividades que garantam a realização dos processos e o PRD, voltado para a substituição ou reposição de componentes que venham a ser danificados.

    http://www.lyfreitas.com.br/ant/artigos_mba/artpcn.pdf

     

  • d-

    O Plano de Continuidade de Negócios é constituído pelos planos:

    α- Plano de Contingência,

    β- Plano de Administração de Crises (PAC),

    γ- Plano de Recuperação de Desastres (PRD) e

    δ- Plano de Continuidade Operacional (PCO).

    https://pt.wikipedia.org/wiki/Plano_de_continuidade_de_neg%C3%B3cios

ID
647629
Banca
FCC
Órgão
TCE-AP
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação ao Plano de Continuidade de Negócio é INCORRETO afirmar:

Alternativas
Comentários
  • Conforme ISO 27005:
    • A alta direção deve estabelecer e demonstrar comprometimento com a política de GCN.
    • A política deve ser aprovada pela alta direção;
    • A alta direção deve:
      - Apontar ou nomear uma pessoa com autoridade e experiência suficientes para ser responsável pela implementação e política de GCN;
      - Apontar uma ou mais pessoas, que sejam responsáveis pela implementação e manutenção do SGCN independentemente de outras responsabilidades.
    • A alta direção deve definir o escopo do programa de GCN por meio da identificação dos produtos e serviços fundamentais que suportam os objetivos, obrigações e deveres estatutários da organização.
    • A participação da alta direção é fundamental para garantir que o processo de GCN seja parte da cultura da organização.
    • Convém que a alta direção aprove a lista que documenta os principais produtos e serviços, a BIA e a avaliação de riscos;
    • Convém que a alta direção aprove as estratégias que foram documentadas.
    • Convém que a alta direção da organização, à intervalos que considerar apropriados, analise criticamente a capacidade de GCN da organização.
  • Só uma pequena retificação ao comentário do colega acima:

    Segundo a NBR 15999.

    A 27005 é sobre a Gestão de Riscos.

  • Complemento para justificar o erro da "C".

    Segundo a ISO 15999-1,   5 GESTÃO DO PROGRAMA DE GCN,  "A participação da alta direção é fundamental para garantir que o processo de GCN seja corretamente introduzido, suportado e estabelecido como parte da cultura da organização."

  • Regra Geral: quando se fala em Gestão de Riscos ou Plano de Continuidade de Negócios não deve excluir ninguém.

  • Segundo o guia de segurança da informação do TCU,

    "3.6 Qual o papel da alta administração
    na elaboração do PCN?
    É imprescindível o comprometimento da alta administração com o Plano de Continuidade do Negócio. Na verdade, este Plano é de responsabilidade direta da alta administração, é um problema corporativo, pois trata de estabelecimento de procedimentos que garantirão a sobrevivência da instituição como um todo e não apenas da área de informática. Ainda, muitas das definições a serem especificadas são definições relativas ao negócio da instituição e não à tecnologia da informação."

  • Vamos ajudar a galera que estuda gente. Comentem o gabarito...

    Gabarito letra c)

ID
658660
Banca
CESPE / CEBRASPE
Órgão
ANEEL
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca do ITIL V3, julgue os próximos itens.

No plano de continuidade de negócios, estão definidas as etapas necessárias para recuperar os processos de negócio logo após um desastre, bem como identificados os fatores que o invocarão, as pessoas que serão envolvidas e a comunicação. O plano de continuidade de negócios é composto, em uma parte significativa, pelos planos de continuidade de serviço de TI.

Alternativas
Comentários

  • Qconcursos.com mudou o gabarito, estava constando com Errada.

ID
658720
Banca
CESPE / CEBRASPE
Órgão
ANEEL
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, a respeito das características e das ações
relativas a uma organização que possui gestão de riscos e gestão de
continuidade de negócios aderentes às normas ISO/IEC 27005 e
NBR 15999.

A gestão de continuidade de negócios é complementar à gestão de riscos e tem como foco o desenvolvimento de uma resposta a uma interrupção causada por um incidente de difícil previsão, materializada na forma de um plano de continuidade de negócios.

Alternativas
Comentários

  • ✅Gabarito(Certo)

    A GCN é complementar a uma estrutura de gestão de riscos que busca entender os riscos às operações

    e negócios e suas consequências.

    Fonte:NORMA BRASILEIRA ABNT NBR 15999-1

  • O Plano de Continuidade de Negócios (PCN), o qual é a tradução de Business Continuity Plan (BCP), é o desenvolvimento preventivo de um conjunto de estratégias e planos de ação de maneira a garantir que os serviços essenciais sejam devidamente identificados e preservados após a ocorrência de um desastre*, e até o retorno à situação normal de funcionamento da empresa dentro do contexto do negócio do qual ela faz parte.

ID
658723
Banca
CESPE / CEBRASPE
Órgão
ANEEL
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, a respeito das características e das ações
relativas a uma organização que possui gestão de riscos e gestão de
continuidade de negócios aderentes às normas ISO/IEC 27005 e
NBR 15999.

Os processos de preparação e manutenção de resposta devem ser definidos segundo uma política de gestão de continuidade de negócios.

Alternativas
Comentários

  • 4 A política de gestão da continuidade de negócios
    4.1 Visão geral
    4.1.1 A política de GCN define os seguintes processos:
    as atividades de preparação para se estabelecer uma capacidade de continuidade de negócios; e
    o gerenciamento contínuo e manutenção desta capacidade de continuidade de negócios.
     

    Fonte: ABNT NBR 15999-1:2007

ID
708877
Banca
FCC
Órgão
MPE-PE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Convém que o processo de planejamento da continuidade de negócios considere:

I. Identificação e concordância de todas as responsabilidades e procedimentos da continuidade do negócio.

II. Identificação da perda aceitável de informações e serviços.

III. Implementação dos procedimentos que permitam a recuperação e restauração das operações do negócio e da disponibilidade da informação nos prazos necessários.

IV. Educação adequada de pessoas nos procedimentos e processos definidos, incluindo o gerenciamento de crise.

Está correto o que consta APENAS em

Alternativas
Comentários
  • PESSOAL NAO ENTENDI O QUE ESTA QUESTÃO TEM A VER COM SEGURANÇA DA INFORMAÇÃO .

    ALGUEM AI SABE RESPONDER ?

    DESDE JÁ, OBRIGADO.
  • alyssom bruno A questão é referênte a norma ISO 27002 "Código de práticas para gestão da segurança da informação"
    Esta norma estabelece diretrizes e medidas a serem tomadas na gestão da segurança de informação.
    Por isso ela está em SegInfo.

    Espero ter ajudado
  • Caros colegas,

    Na minha opinião esta questão trata de continuidade de negócios. Apesar de o assunto estar intimamente ligado à segurança de Informação e seus riscos (NBR ISO/IEC 27001 - 27002 - 27005), a NBR ISO/IEC 15999 - Gestão de Continuidade de Negócio trata-o de forma específica sugerindo um processo para estebelecer um plano de recuperação de desatres e interrupçõs que afetem a disponibilidade dos serviços essenciais ao negócio.

    Bons estudos!
  • A questão aborda o que está descrito na Norma ISO 27002, seção 14 (Gestão da Continuidade do Negócio), controle 14.1.3 (Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação):
    "Convém que o processo de planejamento da continuidade de negócios considere os seguintes itens:
    a) identificação e concordância de todas as responsabilidades e procedimentos da continuidade do negócio;
    b) identificação da perda aceitável de informações e serviços;
    c) implementação dos procedimentos que permitam a recuperação e restauração das operações do negócio e da disponibilidade da informação nos prazos necessários;
    ...
    f) educação adequada de pessoas nos procedimentos e processos definidos, incluindo o gerenciamento de crise;
    ..."
    Questão típica da FCC...o jeito é decorar TODA a norma e torcer para lembrar na hora da prova :(
  • Não concordo com o item I "todas as responsabilidades" mas FCC constuma colocar.
  • III. Implementação dos procedimentos que permitam a recuperação e restauração das operações do negócio e da disponibilidade da informação nos prazos necessários. (Na fase de planejamento, segundo o PDCA, são estabelecidas as políticas, objetivos, metas, processos e procedimentos). A implementação fica para a fase Do(fazer)do modelo. Por isso, acho que a banca forçou ao considerar essa alternativa correta.
ID
717319
Banca
FCC
Órgão
TCE-SP
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Na Continuidade dos Serviços de TI, um sistema de energia de emergência é um exemplo de medida tomada para assegurar a entrega dos serviços mesmo durante a ocorrência de uma catástrofe. Considere as afirmações abaixo sobre a possibilidade de outro processo iniciar esse tipo de medida.

I. Sob condições normais, o Gerenciamento da Disponibilidade pode tomar certas medidas para garantir a entrega dos serviços.

II. O Gerenciamento da Capacidade é estrategicamente responsável pela capacidade certa no tempo certo e não é responsável pela provisão de um sistema de energia de emergência.

III. O Gerenciamento de Mudanças é responsável pela instalação de um sistema de energia de emergência como uma mudança, mas não é responsável por iniciar esse tipo de medida.

IV. O Gerenciamento de Incidentes é responsável por resolver incidentes tão rápido quanto possível; portanto, pode tomar certas medidas para garantir a entrega dos serviços.

É correto o que consta APENAS em

Alternativas
ID
726988
Banca
INSTITUTO CIDADES
Órgão
TCM-GO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A gestão da continuidade do negócio está associada, a não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos.

Analise:

I. Registros importantes devem ser protegidos contra perda, destruição e falsificação, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio;

II. Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade;

III. Deve ser desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação.

IV. Devem ser identificados os eventos que podem causar interrupções aos processos de negócio, junto à probabilidade e impacto de tais interrupções e as conseqüências para a segurança de informação;

Quanto aos controles relacionados à gestão da continuidade do negócio, marque a opção correta:

Alternativas
Comentários
  • I -   (Conformidade), Controle A.15.1.3 - Proteção de Registros Organizacionais.
    II - (Gestão da Continuidade do Negócio), Controle A.14.1.2 - Continuidade de Negócios e Análise/Avaliação de Riscos.
    III - (Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação), Controle A.12.3.1 - Política para o Uso de Controles Criptográficos.
    IV - (Gestão da Continuidade do Negócio), Controle A.14.1.5 - Testes, Manutenção e Reavaliação dos Planos de Continuidade de Negócio.
    Gabarito "E".
  • Simonne,
    Quase toda sua explicação está correta, porém você trocou os controles dos itens II e IV.
    "II. Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade;" está associado ao controle 14.1.5
    "IV. Devem ser identificados os eventos que podem causar interrupções aos processos de negócio, junto à probabilidade e impacto de tais interrupções e as conseqüências para a segurança de informação;" está associado ao controle 14.1.2

  • Novos controles para Continuidade de negócio conforme a versão 2013 das normas ISO 27001 E 27002.

    A.17 Aspectos da segurança da informação na gestão da continuidade do negócio

    A.17.1.1 Planejando a continuidade da segurança da informação

    A.17.1.2 Implementando a continuidade da segurança da informação

    A.17.1.3 Verificação, análise crítica e avaliação da continuidade da segurança da informação

    A.17.2.1 Disponibilidade dos recursos de processamento da informação

ID
747208
Banca
ESAF
Órgão
CGU
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo a ISO/IEC 17.799 de 2005, a Gestão de Continuidade de Negócios tem por objetivo não permitir a interrupção das atividades do negócio e proteger os

Alternativas
Comentários
  • Norma 27002 Seção 14, objetivo do item 14.1

  • Corrigindo,  ISO 27001

    Controle A 14.1 que objetiva alcançar a conformidade com o seguinte texto abaixo:

    “Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos,  e assegurar a sua retomada em tempo hábil, se for o caso.

  • Marcos Júnior,
     
    Lembrando que os objetivos de controle e controles listados na tabela A.1 do Anexo A da 27001 são derivados diretamente e estão alinhados com aqueles listados na 27002 – seções 5 a 15.
     
    Então, os dois estão corretos:
     
    27002
     
    14 Gestão da continuidade do negócio 
     
    14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação 
     
    Objetivo: Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso.
     
    27001 - Anexo A
     
    A.14 Gestão da continuidade do negócio 
     
    A.14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação 
     
    Objetivo: Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso.

  • O erro da letra (a) está em afirmar que gestão da continuidade do negócio realiza manutenção

  • ISO 27002:2013

    17.1.2 Implementando a continuidade da segurança da informação

    Informações Adicionais

    Dentro do contexto da continuidade do negócio ou da recuperação de desastre, procedimentos e processos específicos podem ser necessários, que sejam definidos. Convém que informações que sejam tratadas nestes processos e procedimentos ou em sistemas de informação dedicados para apoia-los, sejam protegidas.

ID
753127
Banca
FCC
Órgão
MPE-AP
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O plano de continuidade do negócio deve

Alternativas
Comentários
  • Gabarito "B"

    Os planos de continuidade do negócio podem apresentar falhas quando testados, geralmente devido a pressupostos incorretos, omissões ou mudanças de equipamentos, de pessoal, de prioridades. Por isto eles devem ser testados regularmente, de forma a garantir sua permanente atualização e efetividade. Tais testes também devem assegurar que todos os envolvidos na recuperação e os alocados em outras funções críticas possuam conhecimento do Plano.

  • LETRA B.

    Segundo a ISO 27002,"

    14.1.5 Testes, manutenção e reavaliação dos planos de continuidade do negócio

    Controle

    Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade."

ID
770806
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O plano de recuperação de negócios visa, entre outros objetivos, prevenir maiores perdas ou indisponibilidade de atividades críticas e dos recursos que as suportam.

Alternativas
Comentários
  • Não entendi o erro da questão. Alguém sabe explicar?
  • Acredito que o erro esteja em afirmar que o plano tem o objetivo de "Previnir" perdas ou indisponibilidade.
    Após o dano, o Plano visa garantir a preservação dos serviços essenciais até o retorno à normalidade... Não tem a intenção de previnir os danos.
  • Não tenho cohecimento muito profundo sobre o assunto, mas no link http://www.grupotreinar.com.br/blog/2013/4/3/plano-de-continuidade-de-neg%C3%B3cios,-voc%C3%AA-precisa-de-um!.aspx  trata da existência de 3 planos que compõem a documentação GCN. 

     Basicamente, um PCN é um conjunto de três outros planos, sendo que cada um  destes  planos  é  focado  em  uma determinada variável de risco, numa situação de ameaça ao negócio da empresa (ou ambiente):
    * O Plano de Gerenciamento de Crises  (PGC) - Para atividades que envolvem as respostas aos eventos]
    * O Plano  de  Continuidade  Operacional  (PCO) - Voltado para as atividades que garantam a realização dos processos
    * O Plano  de Recuperação  de  Desastres  (PRD) - Focado na substituição ou reposição de componentes que venham a ser danificados

    Com outras palavras encontrei esses mesmos planos na norma ABNT 15999, p. 19, Seção 5.5.  
    •Plano de Gerenciamento de Incidentes = Plano de Gerenciamento de Crises
    •Plano de Continuidade de Negócios = Plano  de  Continuidade  Operacional
    •Planos de Recuperação de negócios = Plano  de Recuperação  de  Desastres

    A definição no comando da questão trata do Plano de Continuidade Operacional ou Plano de Continuidade do Negócio e não plano de recuperação de negócios.
  • De acordo com a Norma 15999-1, o propósito do PCN é:

    " Permitir que uma organização recupere ou mantenha suas atividades em caso de uma interrupção das operações normais de negócios "

    Não previni ou evita desastres.

  • Estilo Questão Cespe(erro em uma palavra que as vezes passa despercebido pelo concurseiro).

    O plano de recuperação de negócios visa, entre outros objetivos, prevenir maiores perdas ou indisponibilidade de atividades críticas e dos recursos que as suportam.

    O PCN(Plano de continuidade de Negócio) age após a ocorrência de problemas e não de forma a prevenir.

  • Estou com o colega Wagner, pois o PCN tem objetivos preventivos sim, não sendo esse o ponto que torna a questão errada. Ver: 

    "O Plano de Continuidade de Negócios - PCN (do inglês Business Continuity Plan - BCP), estabelecido pela norma ABNT NBR 15999 Parte 1, é o desenvolvimento preventivo de um conjunto de estratégias e planos de ação de maneira a garantir que os serviços essenciais sejam devidamente identificados e preservados após a ocorrência de um desastre, e até o retorno à situação normal de funcionamento da empresa dentro do contexto do negócio do qual ela faz parte."
    O ponto é como o colega identificou: o Plano de Recuperação de Desastres (que a questão chamou de Plano de Recuperação de Negócios) trata a recuperação e/ou substituição de componentes/recursos necessários a normalidade dos negócios, e não trata das da indisponibilidade das atividades críticas. O plano responsável por tratar dos procedimentos a serem adotados é o Plano de Continuidade Operacional (PCO).
    Acredito ser esse o motivo da questão estar ERRADA.
    Bons estudos!

  • Prezados ,

    Segundo a ISO 15999 , o plano de continuidade de negócios ( PCN ) é a documentação de procedimentos e informações desenvolvida, consolidada e mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável previamente definido.

    Planos de recuperação, continuidade, Disaster recovery , são implementados e postos em prática caso ocorra algum incidente  ou emergência grave no intuito de recuperar o negócio e garantir sua continuidade, sobrevivência . Para prevenir maiores perdas, mitigar o dano, usamos os controles e não planos de recuperação.


    A alternativa correta é : ERRADO.

  • Conseiderando a questão abaixo mesmo concurso), acredito que o erro dessa questão está no termo  "plano de recuperação de negócios "

    Ano:     2012

    Banca: CESPE

    Órgão: Banco da Amazônia

    Prova: Técnico Científico - Segurança da Informação

    A organização deve manter e melhorar a eficiência e a eficácia do SGCN por meio de ações corretivas e preventivas, quando assim determinar a análise crítica da direção.
    CORRETO

     

  • Luciano Fracasso,  recuperar e manter suas atividades sao formas de previnir maiores perdas

     

    essa é uma tipica questao mata rato.. nenhum comentario explicou o erro

  • Plano de recuperação de desastres -> determinar o planejamento para que, uma vez controlada a contingência e passada a crise, retorne seus níveis originais de operação

    Não desiste!

  • Simplesmente nenhum comentário que fizeram faz sentido.
ID
770809
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com base na NBR ISO/IEC 15999, julgue os itens de 97 a 104.


As apólices de seguro são estratégias eficazes e suficientes para o tratamento de risco, pois garantem recompensa financeira para as perdas mais significativas da organização.

Alternativas
Comentários

  • ERRADO. Senhores, acredito que o erro está no trecho "suficientes". APESAR DA QUESTÃO CITAR A NORMA 15999, RESPONDEI O MEU PONTO DE VISTA CONFORME A ISO 27005. 

    Segundo a ISO 27005,"9.5 Transferência do risco

    A transferência do risco envolve a decisão de se compartilhar certos riscos com entidades externas. transferência do risco pode também criar novos riscos ou modificar riscos existentes e já identificados. Portanto, um novo tratamento do risco pode vir a ser necessário."

    **A transferência do risco para seguradoras, que utilizam as apólices de seguro, pode criar novos riscos(Será necessário um novo tratamento como redução ou evitar riscos, por exemplo), portanto, pode não ser suficiente para tratar os riscos.


  • Complemento. 

    Segundo a ISO 15999,P.23,

    "6.6.4 Transferência

    As apólices de seguro podem ser parte  de uma estratégia de tratamento de risco e fornecem ALGUMA recompensa finenceira por determinadas perdas. Porém, nem todas as perdas são totalmente seguráveis(por exemplo, incidentes não cobertos, danos à marca ou reputação, perda de valor para as partes interessadas, redução da participação no mercado e consequências humanas)."

  • Gabarito Errado

    O erro está na palavra "suficientes".

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • A ISO 15999-1 indica que um seguro não é capaz de cobrir sozinho todas as espécies de impactos na organização, como por exemplo, perdas de posição de mercado, ativos descobertos, impacto na imagem da organização, etc. Portanto, não é suficiente.

ID
770815
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A organização deve manter e melhorar a eficiência e a eficácia do SGCN por meio de ações corretivas e preventivas, quando assim determinar a análise crítica da direção.

Alternativas
Comentários

  • CERTO. Parafraseado do material do estratégia concursos,professor Victor Dalton.

    Segundo a ISO 22301,"6 – Avaliação de Desempenho

    A direção irá analisar criticamente o SGCN, para garantir sua contínua aptidão, adequação e eficácia.

    _________________

    7 – Melhoria
    Na melhoria, define-se procedimentos a serem tomados pela organização no caso de não conformidade, por meio de ações corretivas,
    e melhoria contínua, para que o SGCN permaneça atendendo às necessidades da organização.

    "

ID
770818
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Define-se a análise de impacto nos negócios — do inglês business impact analysis (BIA) — como o processo de análise das funções de negócio e dos possíveis efeitos causados nessas funções por uma interrupção.

Alternativas
Comentários
  • BIA - Business Impact Analysis ( Análise de Impacto no Negócio) vai informar quais recursos e serviços críticos a empresa utiliza e mostrar quais departamentos ou clientes são impactados com a interrupção de um serviço.

    Fonte: T.I. MUDAR E INOVAR - resolvendo conflitos com ITIL V.3, Marcelo Gaspar, Thierry Gomez, Zailto Miranda, 2011.

  • CERTO.

    Segundo a ISO 15999-1, 2 Termos e Definições ,"2.3 análise de impacto nos negócios (BIA- business impact analysis): processo de analisar as funções de negócios e os efeitos que uma interrupção possa causar nelas."

  • Gabarito Certo

    Business Impact Analysis

    A definição de BIA é a identificação e análise de processos de negócios / atividades (incluindo os recursos necessários), com o objetivo de compreender o impacto do tempo de inatividade, o que leva a atribuição de objetivos de recuperação e priorização.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • BIA -> definir e documentar o impacto de uma interrupção nas atividade de negócio

    Fonte: minhas anotações

  • Para complementação de conhecimento:

    O texto faz referência a ISO/IEC 15.999:

    "Com relação à documentação de GCN, é importante desenvolver diretrizes de recuperação de procedimentos identificados como críticos, para que as unidades de negócio possam operar entre o período de desastre e até a recuperação de processos críticos e eventualmente o retorno a normalidade. A identificação dos processos críticos é realizada através do questionário denominado Análise de Impacto nos Negócios (AIN ou BIA) e os procedimentos são elaborados através da documentação de:

    • Planos de Recuperação de Desastres (PRD); 

    • Plano de Continuidade Operacional (PCO); ou 

    • Planos de Gerenciamento de Incidentes."

ID
770821
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A política de gestão da continuidade de negócios (GCN), proposta pela direção administrativa da empresa, deve ser aprovada pela alta direção e, em seguida, comunicada somente aos empregados da área de TI, já que o sigilo é imprescindível para o seu sucesso.

Alternativas
Comentários
  • 3. Planejamento do SGCN - Estabelecendo e gerenciando o SGCN:
    - Política de GCN: A alta direção deve estabelecer e demostrar comprometimento com a política de GCN.

    Logo, é a alta direção que estabelece a política, não a direção administrativa.

    A política deve ser:
    - Aprovada pela alta direção
    - comunicada a todos os que trabalham para ou em nome da organização
    - analisada criticamente em intervalos planejados e quando alterações significativas ocorrerem.

    Outro erro, portanto, é que a comunicação é para TODOS, não somente para o pessoal de TI.

  • ERRADO.

    Segundo a ISO 15999-1,"10 Incluindo a GCN na cultura da organização

    Para obter sucesso, a continuidade de negócios precisa se tornar parte da gestão da organização, independentemente de seu tamanho ou setor. Em cada estágio do processo de GCN, existem oportunidades de se introduzir e melhorar a cultura de  GCN da organização."

    ** Não é só a área de TI que é importante para garantir a continuidade de négocios em uma empresa. A GCN pode envolver desde a área de limpeza até a área de processamento de dados, portanto deve abranger todas as áreas de uma empresa e partes externas relevantes.

  • Quanto mais gente souber lidar com incidentes internos, melhor para a organização

ID
770824
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O plano de continuidade de negócios deve ser testado, de forma que se garanta sua correta execução a partir de instruções suficientemente detalhadas. Adotado esse plano, não convém que a organização providencie auditoria externa, já que essa auditoria poderá comprometer os dados sigilosos da organização.

Alternativas
Comentários
  • Alguém explica esta questão?
  • 9.5.4
    A análise crítica pode ser realizada por meio de auditorias internas ou externas, ou auto-avaliações. A freqüência e a periodicidade destas análises críticas podem ser influenciadas por leis e regulamentações, dependendo do tamanho, natureza e situação legal da organização. Também podem ser influenciadas por necessidades das partes interessadas.

    Fonte: norma ISO/IEC 15999

  • "Adotado esse plano, não convém que a organização providencie auditoria externa, já que essa auditoria poderá comprometer os dados sigilosos da organização." <---ERRADO

    Segundo a ISO 15999,"9 Testando,mantendo e analisando criticamente os preparativos de GCN

    9.6 Auditoria

    Convém que a organização providencie uma auditoria independente para avaliar sua competência de GCN e sua capacidade de identificar falhas reais e potenciais. Convém que a organização estabeleça, implemente e mantenha procedimentos para lidar com a auditoria independente. Convém que auditorias independentes sejam conduzidas por pessoas competentes, sejam elas internas ou externas. "

ID
770827
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A alta direção deve participar da análise crítica da capacidade de gestão da continuidade do negócio da organização, de forma a garantir sua aplicabilidade, adequação e funcionalidade.

Alternativas
Comentários
  • Comentário alá Prof. Gabriel Pacheco:

    CLARO :)

    Tem questão que não tem nem o que comentar. hehehehe

  • CERTO

    Segundo a ISO 15999-1,p. 42, 9.5 Análise Crítica dos preparativos de GCN

    9.5.1 Convém que a alta direção da organização, nos intervalos  que considerar apropriados, analise criticamente a capacidade de GCN da organização, de forma a  garantir sua aplicabilidade, adequação e funcionalidade. Convém que a analise crítica seja documentada.

  • kkkk, refiz essa questão agora e pensei, ptuz não sei de onde tiraram essa questão. quando fui ver os comentários percebi que eu já tinha comentado ela. Tirei minha dúvida com meu próprio comentário. 

    Vamos comentar as questões galera. =]

  • Alta direção é parte imprescindível do pcn

ID
776491
Banca
CESGRANRIO
Órgão
Chesf
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A gestão de continuidade de negócio envolve prioritariamente os seguintes processos:

Alternativas
Comentários
  • a) tratamento de incidentes; solução de problemas; acordo de nível de operação.
    ERRADA: Tais processos são mais relacionados a ITIL do que às normas de GCN.
    b) plano de redundância; análise de risco; planejamento de capacidade.
    ERRADA: As normas de GCN não tratam de planos de redundância.
    c)     investigação e diagnóstico; resolução de problemas; recuperação.
    ERRADA: As normas não falam em invetigação e diagnóstico, lembrando que esta questão é da CESGRANRIO e não do CESPE.
    d) gestão de configuração; planejamento de capacidade; gestão de mudança
    ERRADA: Idem letra a)
    e)     análise de impacto no negócio; avaliação de risco; plano de contingência
    Gabarito da questão.
ID
777691
Banca
CESPE / CEBRASPE
Órgão
TRE-RJ
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da prevenção e do tratamento de incidentes, julgue os itens a seguir.

Entre os procedimentos necessários para tratamento de incidentes incluem-se os seguintes: considerar as diferentes categorias de incidentes, direcionar para os planos de continuidade e contingência, orientar a coleta de informações que possibilitem construir uma trilha de auditoria e determinar os passos a serem seguidos para a recuperação do sistema após o incidente.

Alternativas
Comentários
  • Segundo a Norma 15999-1
    8.2 Estrutura de resposta a incidentes
    8.2.1 Convém que a organização defina uma estratégia de resposta a incidentes que permita uma resposta efetiva e uma recuperação pós-incidente.
    8.2.2 Em qualquer incidente, convém que exista uma estrutura simples e rapidamente forma da que permita à organização:
    a) confirmar a natureza e extensão do incidente,
    b) tomar controle da situação,
    c) controlar o incidente, e
    d) comunicar-se com as partes interessadas.
    Convém que a mesma estrutura emita uma resposta de continuidade de negócios adequada. Esta estrutura pode ser chamada de equipe de gerenciamento de incidentes ou equipe de gerenciamento de crise.
    8.2.3  Convém que as equipes possuam planos, processos e procedimentos de gerenciamento de incidentes e que estes sejam suportados por ferramentas de continuidade de negócios, de forma a permitir a continuidade e a recuperação de atividades críticas.
    8.2.4  Convém que a equipe possua planos para a ativação, operação, coordenação e comunicação da resposta ao incidente.

  • 13.2 Gestão da incidentes de segurança da informação e melhorias

    13.2.1 Responsabilidades e procedimentos

    Convém que as seguintes diretrizes para procedimentos de gestão de incidentes de segurança da informação sejam consideradas:

    a) procedimentos sejam estabelecidos para manusear diferentes tipos de incidentes de segurança da
    informação;

    b) além dos planos de contingência;

    c) convém que trilhas de auditoria e evidências similares sejam coletadas (ver 13.2.3) e protegidas;

    d) convém que as ações para recuperação de violações de segurança e correção de falhas do sistema sejam cuidadosa e formalmente controladas;


    Fonte: ISO/NBR 27002:2005

  • Gabarito Certo

    13) Gestão de Incidentes e Segurança da Informação;

    Objetivo: Assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil.

    Controles:

    13.1) Notificação de fragilidades e eventos de segurança da informação;

    13.1.1) Notificação de eventos de segurança da informação;

    13.1.2) Notificando fragilidades de segurança da informação;

    13.2) Gestão de incidentes de segurança da informação e melhorias;

    13.2.1) Responsabilidades e procedimentos;

    13.2.2) Aprendendo com os incidentes de segurança da informação;

    13.2.3) Coleta de evidências;

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
781639
Banca
CESPE / CEBRASPE
Órgão
TJ-AL
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere ao plano de continuidade de negócios, assinale a opção correta.

Alternativas
Comentários
  • alguém poderia me dizer o porque da letra A está errada?

    Visto que ela de certa forma se assemelha a letra E

  • De acordo com a Norma 15999-1 ( Base da GCN ) , o Plano de Continuidade de Negócios (PCN) consiste em : 
     
    "O propósito desse plano é permitir que uma organização recupere ou mantenha suas atividades em caso de uma interrupção das operações
    normais de negócios."

    o PCN permite, não evita . Esse é o erro da letra A.  
  • Eu acredito que o erro da 'a' está em   proteger os processos críticos contra o acesso de pessoas estranhas ao ambiente. 
    Isso seria um procedimento do Sistema de Gestão da Segurança da Informação, norma 27001 / 27002 (Segurança Física e do ambiente:     áreas seguras)

  • Quanto a alternativa A, o porquê do erro.

    Segundo a ISO 27002, "14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação

    Objetivo: Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso." <<<O.b.s: NÃO ESTÁ DESCREVENDO SÓ O PCN, MAS A GESTÃO DE CONTINUIDADE COMO UM TODO!

    **Portanto o erro da alternativa A consiste na afirmação incorreta "na proteção dos processos críticos contra o acesso de pessoas estranhas ao ambiente", quando na verdade a proteção é contra efeitos de falhas ou desastres significativos. 

  • Como já comentei a letra A, não vou mais comentá-la. Coloquei em ordem decrescente porque fui fazendo nessa ordem. =]

    LETRA E-(CORRETA)- Segundo a ISO 27002,14.1.4 Estrutura do plano de continuidade do negócio,"Convém que uma estrutura de planejamento para continuidade de negócios contemple os requisitos de segurança da informação identificados e considere os seguintes itens: i) os ativos e recursos críticos precisam estar aptos a desempenhar os procedimentos de emergência, recuperação e reativação."

    ------------------------------

    LETRA D-(ERRADA)-Segundo a ISO 27002,14.1.5 Testes, manutenção e reavaliação dos planos de continuidade do negócio,

    "Controle

    Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade."

    LETRA C-(ERRADA)-Segundo a ISO 27002,14.1.4 Estrutura do plano de continuidade do negócio,"Convém que cada plano tenha um gestor específico."

    LETRA B-(ERRADA)-Segundo a ISO 27002,14.1.1 Incluindo segurança da informação no processo de gestão da continuidade de negócio,"Convém que este processo agregue os seguintes elementos-chave da gestão da continuidade do negócio: 

    d) consideração de contratação de seguro compatível que possa ser parte integrante do processo de continuidade do negócio, bem como a parte de gestão de risco operacional;"

    Bibliografia: 

    NORMA ABNT NBR ISO/IEC 27002, Seção 14

ID
801304
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, relativos à gestão de continuidade de
negócio (GCN).

A política de GCN define os processos relativos às atividades de preparação para estabelecer a capacidade de continuidade de negócios e o gerenciamento contínuo dessa capacidade.

Alternativas
Comentários
  • "Convém que o processo de gestão da continuidade do negócio seja implementado para minimizar um impacto sobre a organização e recuperar perdas de ativos da informação (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e ações intencionais) a um nível aceitável através da combinação de ações de prevenção e recuperação. Convém que este processo identifique os processos críticos e integre a gestão da segurança da informação com as exigências da gestão da continuidade do negócio com outros requisitos de continuidade relativo a tais aspectos como operações, funcionários, materiais, transporte e instalações. "

    Fonte: ISO 27002, item 14
  • Cópia da Norma 15999-1/2007, pg 9:
    4. A política de gestão da continuidade de negócios
    4.1 Visão Geral
    4.1.1 A política de GCN define os seguintes processos: 
    - as atividades de preparação para estabelecer a capacidade de continuidade de negócios;
    - e o gerenciamento contínuo dessa capacidade.
ID
801307
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, relativos à gestão de continuidade de
negócio (GCN).

Admite-se que o tempo planejado para a recuperação da normalidade de funcionamento do negócio seja maior que o tempo máximo de interrupção desse funcionamento.

Alternativas
Comentários
  • Se o tempo para recuperar a normalidade do funcionamento for maior que o tempo máximo de interrupção, o serviço ficará indisponível.

    R.: ERRADA
  • isso se vc não levar em conta o plano de contigência... 

  • ERRADO. Senhores acredito que esta questão esteja se referindo aos itens 2.23 e 2.32 da norma ISO/IEC 15999-1. Olhem só. Caso eu esteja errado me corrijam. Estamos aqui para aprender.

    Segundo a ISO 15999-1,"2 Termos e Definições

    2.23 período máximo de interrupção tolerável: duração a partir da qual a viabilidade de uma organização será ameaçada de forma inevitável, caso a entrega de produtos e serviços não possa ser reiniciada.

    2.32 tempo objetivado de recuperação(RTO-recovery time objective) tempo alvo para:

    -retomada da entrega de produtos ou serviços após um incidente;ou

    -recuperação do desempenho de uma atividade após um incidente;ou

    -recuperação de um sistema ou aplicação de TI após um incidente.

    NOTA         O tempo objetivado de recuperação deve ser menor que o período máximo de interrupção tolerável."



  • Na minha opinião o tempo de interrupção é diferente de tempo de interrupção tolerável.

ID
801310
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, relativos à gestão de continuidade de
negócio (GCN).

Na documentação relativa à GCN, devem estar incluídos, entre outros, documentos relativos à política de GCN, à análise de impacto nos negócios e à avaliação de riscos e ameaças.

Alternativas
Comentários
  • A organização deve ter documentação cobrindo os seguintes aspectos do SGCN:
    1. O escopo e o objetivo do SGCN e procedimentos
    2. A política da GCN
    3. A provisão de recursos
    4. A competencia do pessoal de GCN e registro de treinamento associado
    5. A análise de impacto dos negócios
    6. A análise de risco
    7. A estratégia de continuidade de negócio
    8. A estrutura de resposta a incidente
    9. Os planos de continuidade de negócio e os planos de gestão de incidente
    10. Teste de Gestão de continuidade de negócio
    11. Manutenção e análise critica dos acordos de GCN
    12. Auditoria interna
    13. Análise crítica do SGCN
    14. Ações preventivas e corretivas
    15. Melhorias continuas 
  • A questão deveria ser considerada ERRADA. A avaliação de riscos e AMEAÇAS não faz parte do gestão de continuidade de negócio.

  • CERTO.

    Segundo a ISO 15999-1,"5.5 Documentação de GCN

    Convém que os indivíduos responsáveis por manter a continuidade de negócios devam criar e manter a documentação de continuidade de negócios. Isso pode incluir os seguintes documentos:

    a) Política de GCN:

    -declaração do escopo de GCN

    -termos de referência de GCN;

    b)análise de impacto nos negócios(BIA);

    c)avaliação de riscos e ameaças;

    d)estratégias de GCN;

    e)programa de conscientização;

    f)programa de treinamento;

    g)planos de gerenciamento de incidentes;

    h)planos de continuidade de negócios;

    i)planos de recuperação de negócios;

    j)agenda de testes e relatórios;

    k)contratos e acordos de nível de serviço.

    "

ID
801313
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, relativos à gestão de continuidade de
negócio (GCN).

A GCN não tem relação com o gerenciamento de riscos.

Alternativas
Comentários
  • Item 5 da norma 15999-1:
    Documentação de GCN
    •política de GCN;
    •análise de impacto nos negócios (BIA);
    •avaliação de riscos e ameaças;
    •estratégias de GCN;
    •programa de conscientização;
    •programa de treinamento;
  • Questão ERRADA.

    Tanto tem relação com o gerenciamento de riscos que ela é uma norma complementar ao gerênciamento de riscos. Não existe continuidade de negócio em uma empresa que não faça um gerencimento, mesmo que mínimo, dos riscos associados ao negócio da sua empresa.

    Na 15999-1 em seu item 3. que trata da Visão Geral da GCN diz:

    "A GCN é complementar a uma estrutura de gestão de riscos que busca entender os riscos às operações e negócios e suas consequências."

  • Dá para matar também com a ISO 27002 para quem nunca leu/estudou a ISO 15999-1.

    Segundo o ISO 27002,14.1.2 Continuidade de negócios e análise/avaliação de riscos,"

    Em função dos resultados da análise/avaliação de riscos, convém que um plano estratégico seja desenvolvido para se determinar a abordagem mais abrangente a ser adotada para a continuidade dos negócios.

    **A análise/avaliação de riscos faz parte da gestão de riscos, e a continuidade dos negócios é o objetivo da GCN."

  • Se ela não tiver pode ter a certeza de que a empresa entrará num caos em caso de algum sinistro

ID
815386
Banca
AOCP
Órgão
TCE-PA
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Dentre as diversas normas existentes, destaca-se a NBR 15999-1 que faz orientações para que, em caso de algum incidente, seja

Alternativas
Comentários

  • Gabarito C

    ISO 15999-1

    Esta Norma foi desenvolvida por especialistas da comunidade de continuidade de negócios, tendo como base

    suas experiências acadêmicas, técnicas e práticas da gestão da continuidade de negócios (GCN). Foi elaborada

    para fornecer um sistema baseado nas boas práticas de gestão da continuidade de negócios. Seu propósito

    é servir como um único ponto de referência para a maior parte das situações em que a gestão da continuidade

    de negócios é praticada e ser usada por organizações de grande, médio e pequeno portes, nos setores industriais,

    comerciais, públicos e de caráter voluntário.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

  • 15999:1 e 15999:2 - Gestão de Continuidade de Negócios (Código de Prática e Requisitos)

ID
815413
Banca
AOCP
Órgão
TCE-PA
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Uma das preocupações frequentes das organizações é com relação aos riscos de indisponibilidade dos negócios, fato este evidenciado após o 11 de Setembro de 2001. Por meio da NBR 15999-1, é possível conhecer o objetivo, o negócio, as partes interessadas e as regulamentações envolvidas da organização. A ferramenta que dá subsídios para isso é a

Alternativas
Comentários

  • BIA Business Impact Analisys -  Análise de Impacto do Negócio é uma ferramenta utilizada para identificar os processos mais críticos no contexto empresarial, sejam eles de uma determinada área, setor, unidade, ou mesmo da organização como um todo.

  • Acredito que a chave para responder a questão é esta parte do enunciado: "Por meio da NBR 15999-1,", pois nesta norma contem o BIA Business Impact Analisys.

ID
828007
Banca
CESPE / CEBRASPE
Órgão
TJ-RO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Em conformidade com as normas NBR 15999 e ABNT NBR 15999-2, um plano de continuidade de negócios deve conter

Alternativas
Comentários
  • Alguém sabe me dizer pq não consigo resolver esta questão...?
  • Não é o melhor link, mas foi o que encontrei.  :-)))
    http://pt.wikipedia.org/wiki/Plano_de_continuidade_de_neg%C3%B3cios

    Convém que um PCN contenha seguintes elementos:

    - Planos de ação/Listas de tarefas Convém que o plano de ação inclua uma lista estruturada de ações e tarefas em ordem de prioridade, destacando-se:

    a) como o PCN é ativado;

    b) as pessoas responsáveis por ativar o plano de continuidade de negócios;

    c) o procedimento que esta pessoa deve adotar ao tomar esta decisão;

    d) as pessoas que devem ser consultadas antes desta decisão ser tomada;

    e) as pessoas que devem ser informadas quando a decisão for tomada;

    f) quem vai para onde e quando;

    g) quais serviços estão disponíveis, aonde e quando, incluindo como a organização mobilizará seus recursos externos e de terceiros;

    h) como e quando esta informação será comunicada; e

    i) se relevante, procedimentos detalhados para soluções manuais, recuperação dos sistemas etc.

    Os planos devem referenciar as pessoas, instalações, tecnologia, informação, suprimentos e partes interessadas identificados na fase de estratégias. Devem ser incluídas premissas claras e detalhamentos sobre quaisquer recursos necessários para implementar os planos. Caso a falta de um serviço ou recurso torne os objetivos desse plano inalcançáveis, um procedimento claro deve ser definido para que o problema seja escalado a um nível mais alto.

    Diante dessa informação, concluo que:
    Item A - está errado porque essa análise e avaliação é feita antes, justamente para se criar o PCN.
    Item D - está errado porque trata das pessoas responsáveis pela operação do programa de continuidade, quando o correto seria dizer responsáveis pela ativação do PCN.
  • Entendo que os riscos serão analisados e controlados na ISO 27005 (Gestão de Riscos de Tecnologia da Informação). Na Gestão da Continuidade os riscos são apenas AVALIADOS, então já descartei de cara as letras A e B. Fiquei na dúvida nas três últimas, por isso, destaco um trecho no material do prof. Sócrates Filho que me ajudou a resolver a questão:
    O propósito de um plano de continuidade de negócios (PCN) é permitir que uma organização recupere ou mantenha suas atividades em caso de uma interrupção das operações normais de negócios. Os PCN são ativados para dar suporte às atividades críticas necessárias para cumprir os objetivos da organização, e podem ser executados integral ou parcialmente e em qualquer etapa da resposta a um incidente. O conteúdo do PCN envolve: 1) Planos de ação, que contenham uma lista de ações e tarefas em ordem de prioridade, de forma a descrever: a) como o PCN é ativado; b) as pessoas responsáveis por ativar o plano; c) o procedimento que esta pessoa deve adotar; d) as pessoas que devem ser consultadas antes e informadas quando a decisão for tomada; e) quais serviços estão disponíveis, aonde e quando; f) como e quando esta informação será comunicada; e g) se relevante, procedimentos detalhados para soluções manuais, recuperação dos sistemas etc. 2) Recursos necessários para a continuidade e recuperação dos negócios (pessoas, instalações, tecnologias, informações, suprimentos e partes interessadas) em diferentes pontos no tempo. 3) Responsáveis para gerenciar as fases da continuidade e da recuperação dos negócios que ocorrem após uma interrupção de serviços. 4) Formulários para registro de incidentes ou de informações vitais e anexos contendo detalhes de contato atualizados das agências pertinentes internas e externas, organizações e fornecedores que possam ser necessários para o suporte da organização.
     

  • 8.7 Conteúdo do PCN
    8.7.2 Planos de ação/Listas de tarefas
    Convém que o plano de ação inclua uma lista estruturada de ações e tarefas em ordem de prioridade, destacando-se:
    a) como o PCN é ativado;
    b) as pessoas responsáveis por ativar o plano de continuidade de negócios;
    c) o procedimento que esta pessoa deve adotar ao tomar esta decisão;
    d) as pessoas que devem ser consultadas antes desta decisão ser tomada;
    e) as pessoas que devem ser informadas quando a decisão for tomada;
    f) quem vai para onde e quando;
    g) quais serviços estão disponíveis, aonde e quando, incluindo como a organização mobilizará seus recursos externos e de terceiros;
    h) como e quando esta informação será comunicada; e
    i) se relevante, procedimentos detalhados para soluções manuais, recuperação dos sistemas etc.


    8.7.3 Recursos necessários
    Convém que os recursos necessários para a continuidade e recuperação dos negócios sejam identificados em diferentes pontos no tempo. Estes podem incluir:
    a) pessoas, o que pode incluir:
    ⎯ segurança,
    ⎯ logística de transporte,
    ⎯ necessidades de bem-estar e
    ⎯ gastos de emergência;
    b) instalações;
    c) tecnologia, incluindo comunicações;
    d) informações, o que pode incluir:
    ⎯ detalhes financeiros (por exemplo, folha de pagamento),
    ⎯ registros de contas de clientes,
    ⎯ detalhes de fornecedores e partes interessadas,
    ⎯ documentos legais (por exemplo, contratos, apólices de seguro, escrituras etc.), e
    ⎯ outros documentos de serviços (por exemplo, acordos de nível de serviços);
    e) suprimentos; e
    f) gestão das partes interessadas e da comunicação com estas.

     

    8.7.4 Responsáveis
    Convém que a organização identifique e designe um responsável para gerenciar as fases da continuidade e da recuperação dos negócios que ocorrem após uma interrupção de serviços.

     

    8.7.5 Formulários e anexos
    Quando apropriado, convém que o PCN possua detalhes de contato atualizados das agências pertinentes internas e externas, organizações e fornecedores que possam ser necessários para o suporte da organização.
    Convém que o plano de continuidade de negócios inclua um registro de incidentes ou formulários para o registro
    de informações vitais, principalmente como conseqüência de decisões tomadas durante sua execução.

     

    Fonte: ISO NBR 15999-1:2007, pág. 37

  • Plano de continuidade de negócio -> serviços essenciais sejam devidamente identificados preservados após a ocorrência de um desastre

    Não desiste!

ID
828010
Banca
CESPE / CEBRASPE
Órgão
TJ-RO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de continuidade do negócio (GCN).

Alternativas
Comentários

  • Amigos vou tentar destrinchar cada alternativa da norma. Vou colocá-las fora da ordem de acordo com que eu for encontrando. 

    LETRA D. (ERRADO)- Segundo a ISO 15999-1, "3.3 GCN-relação com a Gestão de Riscos

    A GCN é complementar a uma estrutura de gestão de riscos que busca entender os riscos  às operações e negócios e suas consequências."

    **Portanto, uma não substitui a outra, visto que são abordagens diferentes e ambas se complementam.

    ---------------------||-----------------------

    LETRA E. (ERRADO)-Segundo a ISO 15999-1, Tópico 3.7, "O ciclo de vida de GCN é composto por seis elementos, e são eles: Gestão do programa de GCN, Entendendo a organização, Determinando a estratégia da continuidade de negócios, Desenvolvendo e implementando uma resposta de GCN,     Testando,mantendo e analisando criticamente os preparativos de GCN e Incluindo a GCN na cultura da organização."

    **Portanto, a primeira fase da GCN é 'Gestão do programa de GCN' 

    ---------------------||----------------------

    LETRA B. (ERRADO)- Segundo a ISO 15999-1, Seção 3.7 "O desenvolvimento e a implementação de uma resposta de GCN resultam na criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente, para manter ou restaurar as operações."

    **Portanto, o elemento desenvolvimento e a implementação de uma resposta de GCN cria, e NÃO testa como afirma a questão. Os testes são realizados no elemento Testando,mantendo e analisando criticamente os preparativos de GCN do ciclo de vida GCN.

    -----------------||---------------------

    LETRA A.(ERRADO)- Segundo a ISO 15999-1,6. Entendendo a Organização, Seção 6.2.2,"Para cada atividade que suporta a entrega de produtos e serviços fundamentais para a organização,dentro do escopo do programa de GCN,convém que a organização: b) estabeleça o período máximo de interrupção tolerável  de cada atividade [...]."

    **Portanto, esse valor é determinado no elemento Entendendo a Organização, e NÃO no elemento Determinando a estratégia de continuidade como anteriormente mencionado na questão.


  • Gestão de continuidade de negócios (GCN) | planejamento e governança – processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio caso estas ameaças se concretizem.

  • Gabarito C

    A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e(ou) atividades críticas e recursos de suporte de uma organização.  

    Sim, análise de impacto ajuda a entender as atividades críticas da organização e o respectivo impacto causado ao negócio em caso de sua interrupção.

    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

ID
828136
Banca
CESPE / CEBRASPE
Órgão
TJ-RO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de continuidade do negócio (GCN).

Alternativas
Comentários
  • Na norma abnt nbr 15999-2,no capitulo 4 (impl. e operacao do SGCN), na parte de Analise de Impacto(BIA), diz:
    Deve existir um metodo definido,documentado e adequado para determinar o impacto de qq interrupção das atividades que suportam os principais produtos e ervicos da organização.
    • a) A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e(ou) atividades críticas e recursos de suporte de uma organização.  Sim, análise de impacto ajuda a entender as atividades críticas da organização e o respectivo impacto causado ao negócio em caso de sua interrupção
    •  b) GCN é uma abordagem alternativa à gestão de riscos de segurança da informação. Não, GCN faz uso de uma sistemática de gestão de riscos para analisar/avaliar e tratar os riscos pertinentes às atividades críticas da organização.
    •  c) GCN é a fase inicial da implantação da gestão de continuidade em uma organização Não, GCN é o processo de identificar ameaças à continuidade de negócio organização e o impacto caso essas ameaças se concretizem. A fase inicial é entender a organização para implementar um sistema de gestão da continuidade de negócios alinhado à cultura, complexidade e objetivos da organização.
    •  d) A definição da estratégia de continuidade determina o valor dos períodos máximos toleráveis de interrupção das atividades críticas da organização. Não, os períodos máximos toleráveis são definidos na fase entendendo a organização.
    •  e) A implementação da resposta de GCN compreende a realização dos testes dos planos de resposta a incidentes, de continuidade e de comunicação. Não, os testes são realizados na fase: Testando, mantendo e analisando criticamente os preparativos de GCN.

  • Ciclo de vida:

    1-      Entendendo a organização;

    2-      Determinando a estratégia de continuidade de negócios;

    3-      Desenvolvendo e implementando uma resposta de GCN;

    4-      Testando, mantendo e analisando criticamente a GCN.

  • LETRA B

    3.3 GCN – relação com a gestão de riscos
    A GCN é complementar a uma estrutura de gestão de riscos que busca entender os riscos às operações e negócios e suas conseqüências.

ID
837478
Banca
CESPE / CEBRASPE
Órgão
ANAC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da gestão de segurança da informação, julgue os itens subsequentes.

A gestão de riscos difere do planejamento de continuidade de negócios; enquanto aquela visa minimizar os prejuízos decorrentes de um incidente de segurança da informação, este objetiva, especificamente, minimizar a ocorrência de incidentes.

Alternativas
Comentários

  • Ao contrário, na gestão de riscos são identificados os fatores que podem trazer problemas e são feitos planos de resposta à esses riscos, de uma maneira proativa, o que minimiza a ocorrência de incidentes.

    Como nem todos os incidentes podem ser evitados, os prejuízos deem ser minimizados através do planejamento da continuidade.

ID
873007
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de plano de continuidade de negócios, planejamento do sistema de gestão de riscos, processo de gestão de risco e etapa de identificação de controles, julgue os seguintes itens.


A etapa de identificação de controles envolve a determinação dos responsáveis pelos ativos e o envio dos comandos de controle de incidentes para que sejam tomadas as medidas pertinentes.

Alternativas
Comentários

  • alguem comenta,please

     

ID
873016
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de plano de continuidade de negócios, planejamento do sistema de gestão de riscos, processo de gestão de risco e etapa de identificação de controles, julgue os seguintes itens.


O plano de continuidade de negócios descreve como a instituição enfrentará situações não previstas pelo controle do risco.

Alternativas
Comentários

  • 3.3 Qual é o objetivo do PCN?

    O objetivo do Plano de Continuidade do Negócio é manter a integridade e a disponibilidade dos dados da instituição, bem como a disponibilidade dos serviços quando da ocorrência de situações fortuitas que comprometam o bom andamento dos negócios. Possui como objetivo, ainda, garantir que o funcionamento dos sistemas informatizados seja restabelecido no menor tempo possível a fim de reduzir os impactos causados por fatos imprevistos.


    Bibliografia:

    GUIA DE SEGURANÇA DA INFORMAÇÃO DO TCU


ID
873019
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com fundamento nas definições da gestão de riscos segundo as normas NBR ISO/IEC 15.999-1:2007 (versão corrigida 2008) e 27.005:2005, julgue os itens subsequentes.


No âmbito da gestão de riscos, a estimativa de riscos atribui valores à probabilidade e às consequências de um risco

Alternativas
Comentários

  • CERTO.

    Segundo a ISO 27005,"3 Termos e definições

    3.5

    estimativa de riscos: processo utilizado para atribuir valores à probabilidade e conseqüências de um risco."

ID
873022
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com fundamento nas definições da gestão de riscos segundo as normas NBR ISO/IEC 15.999-1:2007 (versão corrigida 2008) e 27.005:2005, julgue os itens subsequentes.


As consequências de riscos na saúde ou na vida dos envolvidos estão excluídas das referidas normas, já que envolvem processos afetos ao Ministério da Saúde e ao Ministério do Trabalho e Emprego acerca da segurança e do bem-estar no ambiente de trabalho.

Alternativas
Comentários

  • ERRADO. 

    Segundo a ISO 27005,"8.2.1.6 Identificação das conseqüências

    Convém que as organizações identifiquem as conseqüências operacionais de cenários de incidentes em função de (mas não limitado a):

      -Investigação e tempo de reparo

     -Tempo (de trabalho) perdido

      -Oportunidade perdida

      -Saúde e Segurança

      -Custo financeiro das competências específicas necessárias para reparar o prejuízo

      -Imagem, reputação e valor de mercado"

    **Portanto as consequências também são identificadas em função da saúde, e saúde envolve vida.

ID
873025
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com fundamento nas definições da gestão de riscos segundo as normas NBR ISO/IEC 15.999-1:2007 (versão corrigida 2008) e 27.005:2005, julgue os itens subsequentes.


Segundo a gestão de riscos, entende-se que vulnerabilidade é o evento ou incidente, ao passo que ameaça é a fragilidade que será explorada para que a vulnerabilidade se torne concreta.

Alternativas
Comentários

  • Vulnerabilidade que é a fragilidade a ser explorada e não a ameaça.

  • ISO 27002

    RISCO: Combinação da probabilidade de um evento e de suas consequências.

    ANÁLISE DE RISCO: Uso sistemático de informações para identificar fontes e estimar o risco. Estima a magnitude dos riscos.

    AVALIAÇÃO DE RISCOS: Comparar o risco estimado com critérios de risco pré-definidos para determinar a importância do risco.

    AMEAÇA: Causa potencial de um incidente indesejado.

    VULNERABILIDADE: Fragilidade de um ativo que pode ser explorarada por uma ou mais ameaças.


  • Outra fonte, porém só as normas ISO de segurança são suficientes para a resolução desta questão.


    Segundo Sêmola(2014,p.46),"VULNERABILIDADES:São fragilidades presentes ou associadas a ativos que manipulam e/ou processam informações que, ao serem exploradas por ameaças, permitem a ocorrência de um incidente e segurança, afetando negativamente um ou mais princípios da segurança da informação: confidencialidade, integridade e disponibilidade."

    GESTÃO DE SEGURANÇA DA INFORMAÇÃO-UMA VISÃO EXECUTIVA-2 EDIÇÃO-2014-MARCOS SÊMOLA.
ID
930787
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando o plano de continuidade de negócios e auditoria, julgue os itens a seguir.

A elaboração do plano de continuidade de negócios abrange as fases de planejamento estratégico de continuidade; de avaliação e análise de riscos; de elaboração de planos de contingência; de testes e validação dos planos propostos; e de definição de procedimentos de recuperação e retomo.

Alternativas
ID
932218
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Para compartilhar seus dados entre localidades diferentes, uma
organização de âmbito federal utiliza uma rede pública como se
fosse privada. Essa solução envolve o risco de o serviço da rede
sofrer interferências indesejáveis ou instabilidade no serviço.
Acerca de conceitos e políticas de segurança da informação que
podem ser adotados na situação acima, julgue os itens seguintes.

Para a gestão da continuidade do negócio, recomenda-se conduzir um projeto com o objetivo de ter sempre disponíveis as respostas e as ações emergenciais necessárias, de acordo com um orçamento e um cronograma realistas.

Alternativas
ID
947341
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca do plano de continuidade do negócio, julgue o item a seguir.

A análise de risco é um dos principais recursos para o estabelecimento de ações para implantação de um plano de continuidade de negócios.

Alternativas
Comentários
  • 14.1.2  Continuidade de negócios e análise/avaliação de riscos 
    Controle
    Convém  identificar  os  eventos  que  podem  causar  interrupções  aos  processos  de  negócio,  junto  a probabilidade e impacto de tais interrupções e as conseqüências para a segurança de informação. 
    fonte: ISO 27002

     

  • CERTO

    Complemento segundo a ISO 27002.

    Segundo a ISO 27002,"14.1.2 Continuidade de negócios e análise/avaliação de riscos

    Em função dos resultados da análise/avaliação de riscos, convém que um plano estratégico seja desenvolvido para se determinar a abordagem mais abrangente a ser adotada para a continuidade dos negócios. Uma vez criada a estratégia, convém que ela seja validada pela direção e que um plano seja elaborado e validado para implementar tal estratégia."


  • Segundo a ISO 22301,"4.1 Entendendo a organização e seu contexto

    A organização deve identificar e documentar o seguinte:

    b)
    relacionamento entre a política de continuidade de negócios e outras políticas e objetivos da organização, incluindo a sua estratégia geral de gestão de riscos;"

ID
984625
Banca
CESPE / CEBRASPE
Órgão
MPOG
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com base na NBR ISO/IEC 17799, julgue os itens que se seguem, relativos à política de segurança da informação.


A gestão da continuidade do negócio é definida pelas áreas de negócio da organização, não integrando a política de segurança da informação.

Alternativas
Comentários

  • errado. A PSI(Política de segurança da informação) também abrange declarações sobre a  GCN(Gestão de Continuidade de Negócios). 

    Segundo a ISO 27002,"5.1.1 Documento da política de segurança da informação

    Convém que o documento da política contenha declarações relativas a:

    d) breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização, incluindo:

    3) gestão da continuidade do negócio;

    "

ID
991912
Banca
CESPE / CEBRASPE
Órgão
ANTT
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação ao plano de continuidade de negócios, julgue os itens de 61 a 65.

Quando novos requisitos são identificados, é necessário que os procedimentos de emergência a eles relacionados sejam ajustados na estrutura do plano de continuidade, a qual não deve conter as condições de ativação pelo fato de estas não estarem vinculadas aos requisitos.

Alternativas
Comentários

  • ERRADO, pois contém condições de ativação

    Segundo a ISO 27002,"14.1.4 Estrutura do plano de continuidade do negócio

    Diretrizes para implementação

    Quando novos requisitos são identificados, é importante que os procedimentos de emergência relacionados sejam ajustados de forma apropriada, por exemplo o plano de abandono ou o procedimento de recuperação.

    Convém que uma estrutura de planejamento para continuidade de negócios contemple os requisitos de segurança da informação identificados e considere os seguintes itens:

    a) condições para ativação dos planos, os quais descrevem os processos a serem seguidos (como se avaliar a situação, quem deve ser acionado etc.) antes de cada plano ser ativado;"


ID
991915
Banca
CESPE / CEBRASPE
Órgão
ANTT
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação ao plano de continuidade de negócios, julgue os itens de 61 a 65.

Devem constar do plano de continuidade os procedimentos de recuperação que descrevem as ações necessárias para a transferência das atividades essenciais do negócio para localidades alternativas temporárias e para a reativação dos processos do negócio no prazo necessário.

Alternativas
Comentários

  • CERTO

    Segundo a ISO 27002,"14.1.4 Estrutura do plano de continuidade do negócio

    Diretrizes para implementação

    Convém que uma estrutura de planejamento para continuidade de negócios contemple os requisitos de segurança da informação identificados e considere os seguintes itens:

    c) procedimentos de recuperação que descrevam as ações necessárias para a transferência das atividades essenciais do negócio ou os serviços de infra-estrutura para localidades alternativas temporárias e para a reativação dos processos do negócio no prazo necessário;



ID
991918
Banca
CESPE / CEBRASPE
Órgão
ANTT
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação ao plano de continuidade de negócios, julgue os itens de 61 a 65.

Como as ações contidas no plano de continuidade podem gerar impacto nos negócios da organização, é importante que, em função dos resultados da avaliação de risco, seja desenvolvido um plano estratégico para se definir a abordagem mais abrangente a ser adotada para dar continuidade ao negócio.

Alternativas
Comentários

  • CERTO

    Segundo a ISO 27002,"14.1.2 Continuidade de negócios e análise/avaliação de riscos

    Em função dos resultados da análise/avaliação de riscos, convém que um plano estratégico seja desenvolvido para se determinar a abordagem mais abrangente a ser adotada para a continuidade dos negócios. Uma vez criada a estratégia, convém que ela seja validada pela direção e que um plano seja elaborado e validado para implementar tal estratégia."

ID
991921
Banca
CESPE / CEBRASPE
Órgão
ANTT
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação ao plano de continuidade de negócios, julgue os itens de 61 a 65.

Um elemento-chave da gestão da continuidade do negócio é que a responsabilidade pela sua coordenação seja atribuída necessariamente ao gestor de TI da organização, que é o responsável direto pelo plano de continuidade.

Alternativas
Comentários

  • ERRADO.

    Segundo a ISO 27002, "14.1.1 Incluindo segurança da informação no processo de gestão da continuidade de negócio

    Diretrizes para implementação

    Convém que este processo agregue os seguintes elementos-chave da gestão da continuidade do negócio:

    j) garantia de que a gestão da continuidade do negócio esteja incorporada aos processos e estrutura da organização. Convém que a responsabilidade pela coordenação do processo de gestão de continuidade de negócios seja atribuída a um nível adequado dentro da organização (ver 6.1.1)."

  • A norma NBR 15999-1 também fala sobre esse tema:


    Convém que a direção da organização:

    - aponte ou nomeie uma pessoa com senioridade e autoridade apropriadas para ser responsável pela política de GCN e sua implementação;

    - aponte ou nomeie um ou mais indivíduos para implementar ou manter o programa de GCN.

ID
991924
Banca
CESPE / CEBRASPE
Órgão
ANTT
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação ao plano de continuidade de negócios, julgue os itens de 61 a 65.

No contexto da gestão da continuidade do negócio, é importante que se incluam controles para a identificação e redução de riscos bem como para a garantia da recuperação tempestiva das operações vitais, o que permite a interrupção das atividades do negócio e protege os processos críticos contra efeitos de falhas ou desastres significativos.

Alternativas
Comentários
  • "o que permite (evita) a interrupção das atividades do negócio"

  • ERRADO.

    Segundo a ISO 27002, "

    14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação

    Objetivo: Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso. [...]

    Convém que a gestão da continuidade do negócio inclua controles para identificar e reduzir riscos, em complementação ao processo de análise/avaliação de riscos global, limite as conseqüências aos danos do incidente e garanta que as informações requeridas para os processos do negócio estejam prontamente disponíveis."

    **Portanto senhores, o que tornou a questão errada foi a ausência da negação (não) no seguinte trecho da questão: "[...] o que NÃO permite a interrupção das atividades do negócio [...]"

  • Gabarito Errado

    Não permitir a interrupção das atividades do negócio. Bem tranquila a questão.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
992071
Banca
FCC
Órgão
TRT - 12ª Região (SC)
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

O PCN - Plano de Continuidade de Negócios deve ser planejado antes da ocorrência de desastres, de forma a diminuir ou mitigar o impacto causado pelos mesmos. Desastres se referem a qualquer situação que afeta os processos estratégicos considerados críticos para o funcionamento de uma organização. Ao criar o PCN, as variáveis ETIPI devem ser devidamente consideradas. ETIPI se refere a

Alternativas
Comentários
ID
1007050
Banca
FCC
Órgão
TRT - 18ª Região (GO)
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Antes de se iniciar a elaboração do Plano de Continuidade de Negócio - PCN é importante analisar alguns aspectos, dentre os quais NÃO se inclui:

Alternativas
Comentários

  • Perguntas como estas deverão ser respondidas nesta fase: 

    • O que proteger (Quais processos?);

    • Do que proteger (Quais desastres?); 

    • Com o que proteger (Que Processos e recursos adotar?); 

    • Grau de exposição (Quanto o(s) processo(s) está(ão) exposto(s) a um 

    desastre?); 

    • Estimativa de Impacto de um Desastre (Qual a conseqüência de um desastre?); 

    • Estratégia de Continuidade (Como manter a capacidade produtiva no caso de 

    um desastre?).


  • Mostro pra vocês de onde a safadinha da FCC retirou esta questão.  

    Segundo o Guia de segurança do TCU,"

    3.4 Como iniciar a elaboração do PCN?

    Antes da elaboração do Plano de Continuidade do Negócio propriamente dito, é importante analisar alguns aspectos:

    riscos a que está exposta a instituição, probabilidade de ocorrência e os impactos decorrentes (tanto aqueles relativos à escala do dano como ao tempo de recuperação);

    consequências que poderão advir da interrupção de cada sistema computacional;

    identificação e priorização de recursos, sistemas, processos críticos;

    tempo limite para recuperação dos recursos, sistemas, processos;

    • alternativas para recuperação dos recursos, sistemas, processos, mensurando os custos e benefícios de cada alternativa.

    "

    CORREÇÃO:

    "A alta administração deve designar uma equipe de segurança específica para elaboração, implementação, divulgação, treinamento, testes, manutenção e coordenação do Plano de Continuidade do Negócio."

     

     

    Bibliografia,página 33:

    http://portal2.tcu.gov.br/portal/pls/portal/docs/2511466.PDF

     

ID
1035616
Banca
CESPE / CEBRASPE
Órgão
PEFOCE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da gestão de risco e das normas NBR ISO/IEC 15.999 e 27.005, julgue os próximos itens.

A avaliação de riscos, por ser base para a tomada de decisões referentes à retenção de risco, é uma atividade-chave.

Alternativas
Comentários

  • certo

    Segundo a ISO 27005,"8.3 Avaliação de riscos

    Diretrizes para implementação:

    Convém que os critérios de avaliação de riscos utilizados na tomada de decisões sejam consistentes com o contexto definido, externo e interno, relativo à gestão de riscos de segurança da informação e levem em conta os objetivos da organização, o ponto de vista das partes interessadas etc. As decisões tomadas durante a atividade de avaliação de riscos são baseadas principalmente no nível de risco aceitável."

    RETENÇÃO DE RISCOS=ACEITAÇÃO DE RISCOS!

ID
1035619
Banca
CESPE / CEBRASPE
Órgão
PEFOCE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da gestão de risco e das normas NBR ISO/IEC 15.999 e 27.005, julgue os próximos itens.

Um exemplo de aceitação de risco consiste na contratação de seguro para cobrir eventuais perdas ou danos.

Alternativas
Comentários

  • ERRADO,pois tal situação consiste na opção de tratamento transferência de riscos.

    Segundo a ISO 27005,"

    9.5 Transferência do risco

    Ação: Convém que um determinado risco seja transferido para outra entidade que possa gerenciá-lo de forma mais eficaz, dependendo da avaliação de riscos.

    Diretrizes para implementação:

    A transferência pode ser feita por um seguro que cubra as conseqüências ou através da subcontratação de um parceiro cujo papel seria o de monitorar o sistema de informação e tomar medidas imediatas que impeçam um ataque antes que ele possa causar um determinado nível de dano ou prejuízo."


  • NO caso em tela, o tratametno dado foi a  transferência do risco.

  • Gabarito Errado

    Isso se trata de aceitação do risco.

     

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
1035622
Banca
CESPE / CEBRASPE
Órgão
PEFOCE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da gestão de risco e das normas NBR ISO/IEC 15.999 e 27.005, julgue os próximos itens.

A realização de uma mudança em um processo, como a troca de aquecedores a óleo combustível por equivalentes alimentados por eletricidade, representa tanto eliminação de risco do vazamento ou derramamento de óleo quanto redução de risco de incêndio.

Alternativas
Comentários

  • Não entendi essa... eletricidade também pode ocorrer incêndios...

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Correto... 

    Embora a eletricidade cause incêndios, a questão te pega qd lÊ rápido: Ela diz que a troca proporciona "REDUÇÃO" do risco, e nao eliminação...

  • isso é questão de informática?
ID
1035625
Banca
CESPE / CEBRASPE
Órgão
PEFOCE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da gestão de risco e das normas NBR ISO/IEC 15.999 e 27.005, julgue os próximos itens.

Quando uma organização opta por se expor, até o máximo de risco, para conseguir atingir seus objetivos, esse risco é denominado risco aceitável.

Alternativas
Comentários

  • Discordo com o gabarito...

    Risco aceitável é a probabilidade de algo muito pouco nocivo ou em relação ao qual os benefícios são maiores do que os riscos potenciais.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
1042531
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação, julgue os itens subsequentes.

Planos de continuidade do negócio devem ser atualizados em intervalos planejados e quando houver alterações significativas. A mudança de endereços das instalações físicas da empresa e dos seus números de telefone são fatores que não afetam o plano de continuidade do negócio

Alternativas
Comentários
  • ERRADO

    1)Planos de continuidade do negócio devem ser atualizados em intervalos planejados e quando houver alterações significativas.  (CORRETO)
    Segundo a ISO 27002,p.118,
    "    14.1.5 Testes, manutenção e reavaliação dos planos de continuidade do negócio

    Controle

    Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetivisade."

    2) A mudança de endereços das instalações físicas da empresa e dos seus números de telefone são fatores que não afetam o plano de continuidade do negócio.(ERRADO)
    Segundo a ISO 27002,p.118,
    "14.1.5 Testes, manutenção e reavaliação dos planos de continuidade do negócio


    Diretrizes para implementação

    Os exemplos de mudanças onde convém que a atualização dos planos de continuidade do negócio seja

    considerada são a aquisição de novos equipamentos, atualização de sistemas e mudanças de:
    b) endereços ou números telefônicos;"

    **Portanto, o erro da questão está na segunda parte quando afirma que ambos os fatores não afetam o plano de continuidade do negócio, quando na verdade afetam sim.


     

  • Assertiva CORRETA. 


    Complementando: você pode perder contatos com a alteração do número de telefone e a mudança de endereço pode significar maiores custos com logística. Tudo isso deve ser levado em conta.

  • Segue outra fonte para estudos. GUIA DE SEGURANÇA DA INFORMAÇÃO DO TCU.

    Segundo este guia,"3.7.3 Que fatos podem provocar a necessidade de atualização do PCN?

    Diversas situações podem demandar atualizações no Plano, tais como as mudanças:

    • no parque ou ambiente computacional (ex: aquisição de novo equipamento, atualização de sistemas operacionais, migração de sistemas de grande porte para ambiente cliente-servidor);
    • administrativas, de pessoas envolvidas e responsabilidades;
    • de endereços ou números telefônicos;
    • de estratégia de negócio;
    • na localização e instalações;
    • na legislação;
    • em prestadores de serviço, fornecedores e clientes chave;
    • de processos (inclusões e exclusões);
    • no risco (operacional e financeiro)."

ID
1045555
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da segurança da informação, julgue os itens subsequentes.

Na elaboração do plano de continuidade do negócio de uma organização, devem ser considerados não apenas os procedimentos de recuperação das atividades, mas também os procedimentos de emergência após a ocorrência de um incidente

Alternativas
Comentários

  • CERTO.

    Segundo a ISO 27002,"14.1.4 Estrutura do plano de continuidade do negócio

    Convém que uma estrutura de planejamento para continuidade de negócios contemple os requisitos de segurança da informação identificados e considere os seguintes itens:

    b) procedimentos de emergência que descrevam as ações a serem tomadas após a ocorrência de um incidente que coloque em risco as operações do negócio;

    c) procedimentos de recuperação que descrevam as ações necessárias para a transferência das atividades essenciais do negócio ou os serviços de infra-estrutura para localidades alternativas temporárias e para a reativação dos processos do negócio no prazo necessário;

    e) procedimentos de recuperação que descrevam as ações a serem adotadas quando do restabelecimento das operações;"

  • PCN -> Antes, durante e depois

ID
1054963
Banca
CESPE / CEBRASPE
Órgão
BACEN
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

No que diz respeito à continuidade dos serviços de TI, julgue os seguintes itens.

Considerem-se dois casos de interrupção dos serviços de TI; no primeiro caso, o negócio pode ser mantido em funcionamento durante algum tempo; no segundo caso, o negócio não pode parar. Nessa situação, deve-se dar ênfase à prevenção para o primeiro caso e à restauração dos serviços para o segundo caso.

Alternativas
Comentários

  • É contrário. Temos que ter boa prevenção para aquilo que não pode parar.

  • Gabarito Errado

    Seria o contrário:

    Prevenção - o negócio não pode parar.

    Restauração dos serviços - o negócio pode ser mantido em funcionamento durante algum tempo.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
1055590
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de gestão de continuidade de negócio (GCN), julgue os itens que se seguem.

Em um processo de GCN, a gestão de riscos relativa à segurança da informação não contempla atos terroristas.

Alternativas
Comentários
  • 14.1.2 Continuidade de negócios e análise/avaliação de riscos

    Diretrizes para implementação
    Convém que os aspectos da continuidade do negócios  relativos à segurança da informação sejam baseados na identificação de eventos (ou sucessão de eventos) que possam causar interrupções aos processos de negócios das organizações, por exemplo falha de equipamento, erros humanos, roubo,incêndio, desastres naturais e atos terroristas.


ID
1055593
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de gestão de continuidade de negócio (GCN), julgue os itens que se seguem.

Vulnerabilidades são falhas desconhecidas e que não possuem risco identificado; por essa razão, o plano de continuidade do negócio não proporciona tratamento para vulnerabilidades.

Alternativas
Comentários

  • ERRADO.

    Segundo a ISO 27002, Termos e definições,

    "2.17 Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças."

    Segundo a ISO 27002,

    14.1.3 Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação,

    "Diretrizes para implementação

    Convém que o plano de continuidade do negócio trate as vulnerabilidades da organização, que pode conter informações sensíveis e que necessitem de proteção adequada."

  • Assertiva ERRADA. 


    Não tem como você tratar de vulnerabilidades pois elas são desconhecidas, mas tem como você incluir elas no plano de negócio pois sabe-se que elas existem. 

  • "Não tem como você tratar de vulnerabilidades pois elas são desconhecidas, (...)": Cuidado, vulnerabilidades podem muito bem ser conhecidas. Lembrando que vulnerabilidade é inerente ao ativo. Por exemplo, você sabe que seu sistema não possui anti-vírus e pode ser invadido por vírus, hackers, etc (ameaças exploram vulnerabilidades e podem causar incidentes). Dessa forma, a ideia é você fazer uma análise/avaliação de riscos e selecionar controles para combater essas ameaças.


    Analisando a questão:
    "Vulnerabilidades são falhas desconhecidas (...)": Errado! Vulnerabilidades não são falhas, são fragilidades nos ativos, podem ser ou não conhecidos!

    "(...) e que não possuem risco identificado; (...)": Bom, ameaças exploram vulnerabilidades e podem causar incidentes. Incidentes são 1 ou mais eventos de segurança. Risco é a probabilidade e consequência de um evento de segurança. Ou seja, uma vulnerabilidade pode sim indicar um Risco. Correto esse trecho.

    "(...) por essa razão, o plano de continuidade do negócio não proporciona tratamento para vulnerabilidades.": OK. Convém que o plano de continuidade do negócio trate as vulnerabilidades da organização, que pode conter informações sensíveis e que necessitem de proteção adequada."

  • Se eu vejo uma questão que REBAIXA a Gestão de Continuidade de Negócios já fico louco para marcar ERRADO.

    Quase todos as boas práticas de TI cita sobre a Gestão de Continuidade

ID
1055596
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de gestão de continuidade de negócio (GCN), julgue os itens que se seguem.

O processo de GCN não deve prever a recuperação da perda de ativos da informação e a redução de seu impacto sobre a organização.

Alternativas
Comentários

  • ERRADO. 

    Segundo a ISO 27002,"14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação

    Convém que o processo de gestão da continuidade do negócio seja implementado para minimizar um impacto sobre a organização e recuperar perdas de ativos da informação (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e ações intencionais) a um nível aceitável através da combinação de ações de prevenção e recuperação."

ID
1065055
Banca
CESPE / CEBRASPE
Órgão
TCE-ES
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Tendo em vista que as preocupações da gestão de segurança da informação incluem política de segurança da informação, gestão de ativos, segurança em recursos humanos, segurança física e do ambiente, gestão das operações e comunicações, controle de acessos, aquisição, desenvolvimento e manutenção de sistemas de informação, assinale a opção correta.

Alternativas
ID
1098049
Banca
IADES
Órgão
TRE-PA
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

O plano de continuidade de negócio, após identificados os serviços essenciais, permite que a instituição recupere ou mantenha suas atividades em caso de um sinistro ou interrupção das operações normais do negócio. Assinale a alternativa que apresenta o nome de um plano auxiliar que compõe o plano de continuidade de negócio de uma organização.

Alternativas
Comentários

  • O PCN é composto por:

    O Plano de Gerenciamento de Crises  (PGC) - Para atividades que envolvem as respostas aos eventos

    O Plano  de  Continuidade  Operacional  (PCO) - Voltado para as atividades que garantam a realização dos processos

    O Plano  de Recuperação  de  Desastres  (PRD) - Focado na substituição ou reposição de componentes que venham a ser danificados

ID
1115410
Banca
CESPE / CEBRASPE
Órgão
SUFRAMA
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à segurança da informação, julgue os itens subsequentes.

Medidas que combinam ações preventivas e de recuperação, as quais protegem os processos críticos, no caso de alguma falha, devem estar inseridas nas estratégias e procedimentos do plano de continuidade do negócio da organização.

Alternativas
Comentários

  • ITIL 3 -> Service Design -> Gestão de Continuidade -> focada na recuperação de serviços




    Recuperação gradual (ou Cold Standby):  Recuperação de uma crise através do fornecimento de um ambiente similar, mas que ainda não está pronto para recuperar o serviço. Isto é parte do contato de um desastre, que fornecerá o equipamento adequado para um determinado lugar.

    Recuperação intermediária (ou Warm Standby):  Recuperação através de um site com o equipamento adequado e pronto para recuperar o serviço.


    Recuperação imediata (ou Hot Standby): Recuperação através da duplicidade de sistemas funcionando de forma paralela e remota. Este tipo de recuperação pode ser cara, porém onde o nível crítico para o negócio é muito alto, será necessária



  • Segundo NBR/ISO 15999-1:2007, pag. 31

    "O propósito de um plano de continuidade de negócios (PCN) é permitir que uma organização recupere ou mantenha suas atividades em caso de uma interrupção das operações normais de negócios."


ID
1119400
Banca
FGV
Órgão
DPE-RJ
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação a um plano de continuidade de negócios (PCN), pode- se afirmar que :

Alternativas
Comentários

  • a) Brasil: ABNT NBR 15999 Parte 1; internacional: BS 25999-1 (British Standards Institution (BSI))

    b) visa também a prevenção de desastres.

    c) análise das funções/atividades críticas e não-críticas  é o elemento central de uma análise de impacto para o negócio (BIA). 

    d) correto

    e) quanto menor for o Recovery Point Objective (RPO), mais custosa será a operação para mantê-lo nesse valor. 

    Fontes:

    http://en.wikipedia.org/wiki/Recovery_time_objective

    http://en.wikipedia.org/wiki/Business_continuity_planning

    http://en.wikipedia.org/wiki/Recovery_point_objective

    http://pt.wikipedia.org/wiki/Plano_de_continuidade_de_neg%C3%B3cios

  • Complemento

    A) ERRADO, pois existe. Segundo Aragon(2012,p.426),"Em 2006,foi lançada pelo British Institute of Standards,a norma BS 25999-1:2006, que trata da gestão de continuidade de negócio ou Business Continuity Management-BCM. Esta parte da norma é o código de práticas. No Brasil, a norma correspondente é a NBR 15999-1:2007."

    B) ERRADO, pois também visa manter as atividades no caso de uma interrupção e não somente recuperar. Segundo a ISO 15999-1,8.6  Planos de Continuidade de Negócios(PCN),"O propósito  de um plano de continuidade de negócios (PCN) é permitir que uma organização recupere ou mantenha suas atividades em caso de uma interrupção das operações normais do negócio."


    Bibliografia:

    -ABNT ISO/IEC 15999-1:2007

    -IMPLANTANDO A GOVERNANÇA DE TI-ARAGON-2012-3º EDIÇÃO

  • Plano de Continuidade de Negócios visa garantir a manutenção ou recuperação de operações específicas.

ID
1120834
Banca
CESPE / CEBRASPE
Órgão
TRT - 17ª Região (ES)
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, relativos à segurança da informação.

A segurança da informação tem por objetivo proteger as organizações dos vários tipos de ameaças, não se destinando a garantir a continuidade do negócio.

Alternativas
Comentários

  • ERRADO, visto que a segurança da informação também visa a continuidade do negócio e a disponibilidade dos negócios e informações.

    Segundo a ISO 27002,"0.1 O que é segurança da informação?

    Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio."

  • A continuidade do negócio é uma das funções mais importante da segurança da informação, senão a mais importante.

ID
1126186
Banca
FCC
Órgão
TRF - 3ª REGIÃO
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Os responsáveis pela Segurança da Informação do TRF da 3a Região foram encarregados de produzir dois documentos:

1. Documenta procedimentos de gerenciamento, desenhados para manter ou recuperar operações de negócio, incluindo operações de computadores, no caso de eventuais emergências, desastres ou falhas de sistemas. É elaborado para situações em que exista perda de recursos, porém, esses recursos podem ser recuperados de uma forma menos traumática.

2. Documenta uma série de instruções ou procedimentos pré-determinados que descrevam como as funções de negócios da organização serão sustentadas durante e após uma interrupção significante. É elaborado para possibilitar que a organização funcione em um nível aceitável para sua sobrevivência e absorva possíveis impactos financeiros, operacionais e de imagem.

Os documentos 1 e 2 são, respectivamente,

Alternativas
Comentários

  • Acertei meio que no chute. Mas queria saber qual assunto é esse ? 

    Contigência é sinônimo de emergência, podemos chamar plano de emergência = plano de contigência ?

  • Também não sei de onde originou, mas acertei por que minha empresa tem disso pra quase tudo...

  • b) Plano de Contingência e Plano de Continuidade de Negócios. 

    A alternativa 2, está inclusa no processo de gerenciamento de continuidade de serviço no livro de Trasição ITIL V3

  • Prezados,

    Segundo a ISO 15999 , continuidade de negócios é a capacidade estratégica e tática da organização de se planejar e responder a incidentes e interrupções de negócios, para conseguir continuar suas operações num nível aceitável previamente definido.

    Segundo a mesma ISO , o plano de continuidade de negócios é a documentação de procedimentos e informações desenvolvida, consolidada e mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável previamente definido.

    Por sua vez, um plano de contingência, tem o objetivo de descrever as medidas a serem tomadas por uma empresa, incluindo a ativação de processos manuais, para fazer com que seus processos vitais voltem a funcionar o mais rápido possível, evitando assim uma paralisação prolongada.


    A  alternativa correta é : B.


  • Acho que esta questão não tem haver com ITIL mas sim com a ISO 27002

  • isso não é ITIL E SIM NBR 15999 PLANO DE CONTINUIDADE DE NEGÓCIO.

  • Plano de Continuidade de Negócios  = Plano de recuperação de desastres + plano de contigência

    As alternativas ajudaram a matar a questão.

  • LETRA C

    A questão fica fácil se analisarmos o item 2 aliado a Segunda opção de cada letra

    a) Plano de Emergência e Política de Segurança da Informação. 
    b) Plano de Contingência e Plano de Continuidade de Negócios. 
    c) Plano de Administração de Crises e Plano de Auditoria. 
    d) Política de Recuperação de Desastres e Política de Segurança da Informação. 
    e) Plano de Continuidade Operacional e Plano de Negócios.

ID
1138921
Banca
FCC
Órgão
SABESP
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Considere as afirmativas sobre Plano de Continuidade de Negócios - PCN:

I. Um PCN deve conter a escala de prioridade dos aplicativos, de acordo com seu grau de interferência nos resultados ope- racionais e financeiros da organização. Quanto menos o aplicativo influenciar na capacidade de funcionamento da organização, na sua situação econômica e na sua imagem, mais crítico ele será.
II. Podem ser consideradas como formas de garantir a eficácia do PCN: treinamento e conscientização das pessoas envolvidas, testes periódicos integrais e parciais do Plano e processo de manutenção contínua.
III. É comum que, em determinadas situações de anormalidade, o PCN preveja a possibilidade de fornecimento de serviços temporários ou com restrições, que, pelo menos, supram as necessidades imediatas e mais críticas.
IV. A organização que institui um PCN passa a possuir todos os requisitos de segurança necessários e suficientes para que os aspectos CID (Confiabilidade, Integridade e Disponibilidade) da informação sejam preservados durante todo o tempo.

Está correto o que se afirma APENAS em

Alternativas
Comentários

  • LETRA B.

    TODA A QUESTÃO FOI RETIRADA DO GUIA DE BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO DO TCU.

    I) ERRADO. De maneira geral, o Plano de Continuidade do Negócio contém informações sobre: a escala de prioridade dos aplicativos, de acordo com seu grau de interferência nos resultados operacionais e financeiros da instituição. Quanto mais o aplicativo influenciar na capacidade de funcionamento da instituição,  na sua  situação econômica e na sua imagem, mais crítico ele será;

    ------------------------------------

    II) CORRETO.  É possível citar três formas de garantir a eficácia do Plano de Continuidade do Negócio: treinamento e conscientização das pessoas envolvidas; testes periódicos do Plano, integrais e parciais; processo de manutenção contínua.

    ------------------------------

    III) CORRETO.   É normal que, em determinadas situações de anormalidade, o Plano preveja a possibilidade de fornecimento de serviços temporários ou com restrições, que, pelo menos, supram as necessidades imediatas e mais críticas.

    -----------------------------

    IV) ERRADO.  Cabe destacar que o Plano é um entre vários requisitos de segurança necessários para que os aspectos de integridade e disponibilidade sejam preservados durante todo o tempo.

    "

    http://portal2.tcu.gov.br/portal/pls/portal/docs/2511466.PDF


ID
1176061
Banca
CESPE / CEBRASPE
Órgão
TC-DF
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens referentes à gestão de segurança da informação e à gestão de riscos e continuidade de negócio.

No contexto de continuidade de negócio, a análise de impacto de negócio visa melhorar proativamente a resiliência da organização contra possíveis impactos na organização bem como melhorar a capacidade da organização para atingir seus principais objetivos.

Alternativas
Comentários

  • ERRADO

    Amigos tive dificuldade nesta questão, contudo vou apresentar o meu ponto de vista quanto ao erro(conforme a norma ISO 15999). Caso minha conclusão esteja correta, marquem como útil para auxiliar os demais colegas, caso eu esteja errado, me corrijam para que ninguém seja prejudicado.

    Porque está errada? Porque como vocês podem ver no trecho abaixo da norma tal descrição(em parte) se refere ao conceito de GCN como um todo e não apenas a análise de impacto nos negócios. Olhem.

    1) Segundo a ISO 15999-1,"3.1 O que é a GCN?

    A gestão de continuidade de negócios (GCN) é o processo da organização que estabelece uma estrutura estratégica e operacional adequada para: - melhorar proativamente a resiliência da organização contra possíveis interrupções de sua capacidade em atingir seus principais objetivos;"

    2)Outro ponto que percebi é que na norma ISO 15999-1 é usado o termo INTERRUPÇÕES ao invés do termo IMPACTOS descrito na questão acima do cespe. E ainda conforme a norma 15999-1, na seção de termos e definições, os itens (2.17 impacto) e (2.19 interrupção) são conceitos distintos. 

    2.17 Impacto: consequência avaliada de um evento em particular.

    2.19 Interrupção: evento, seja previsto(por exemplo,uma greve ou furacão) ou não(por exemplo,um blecaute ou terremoto),que cause  um desvio negativo imprevisto na entrega e execução de produtos ou serviços da organização, de acordo com seus objetivos.


  • Tanenbaum, os benefícios apresentados pela questão são mesmo vinculados à GCN (gestão de continuidade de negócios ) e não a BIA (Business Analises Impact). Motivo pelo qual a questão está ERRADA.

    Bons estudos.

  • LEIAM MEU PRIMEIRO COMENTÁRIO, DEPOIS VENHAM PARA ESTE!

    Bom, só transcrevendo a diferença entre IMPACTO e INTERRUÇÃO segundo a norma ISO 15999-1.

    Segundo a ISO 15999-1,"

    2.17 Impacto: consequência avaliada de um evento em particular.

    2.19 Interrupção: evento, seja previsto(por exemplo,uma greve ou furacão) ou não(por exemplo,um blecaute ou terremoto),que cause  um desvio negativo imprevisto na entrega e execução de produtos ou serviços da organização, de acordo com seus objetivos."


  • O certo seria:

    No contexto de continuidade de negócio, a análise de impacto de negócio visa melhorar proativamente a resiliência da organização contra possíveis interrupções na organização bem como melhorar a capacidade da organização para atingir seus principais objetivos

  • Prezados,

    A análise de impacto nos negócios ( business impact analysis – BIA ) é o processo de analisar as funções de negócio e os efeitos que uma interrupção possa causar nelas. Ele não é responsável por melhorar proativamente a resiliência da organização contra possíveis impactos, o BIA serve para a organização definir e documentar o impacto de uma interrupção nas atividades que suportam seus produtos e serviços fundamentais.


    A alternativa correta é : ERRADO.


  • Raphael Lacerda,

    Dica para vc nunca mais errar: considere que quando se fala de continuidade de negócios, é que o risco (teoricamente) mapeado aconteceu. Não tem um possível impacto, pois foi concretizado e ele é certo. O que pode ou não acontecer é a interrupção ou um desastre, que depende do cenário que virou fato =)

  • O examinador usou o conceito de GCN para descrever a análise de impacto ao negócio (BIA). O papel da análise de impacto de negócio é identificar o impacto nos processos essenciais (críticos) da organização para que seja possível uma priorização adequada na fase de tratamento dos riscos.

  • "Análise de Impacto no negócio ou BIA (Business Impact Analysis) é o processo em que se identifica e prioriza os incidentes que podem ter potencial de perda financeira, de imagem ou regulatório em uma empresa"

    A definição da questão é do próprio processo de GCN, o BIA é só uma das "fases" para elaboração do PCN.

ID
1191277
Banca
FGV
Órgão
DPE-RJ
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso, é uma característica

Alternativas
Comentários

  • Segundo a ITIL

    Gerenciamento de Continuidade de Serviço: Tem de dar suporte à continuidade do negócio , garantindo que as necessárias instalações de TI - sistemas de computadores, redes etc - possam ser retomadas dentro dos prazos estabelecidos. A continuidade gerencia os riscos(efeitos de falhas, desastres, etc) que poderiam afetar seriamente os serviços de TI.

     

    Fonte: Van Bon Jan - ITIL 2011

  • LETRA B.

    Segundo a ISO 27002:2005,"14 Gestão da continuidade do negócio
    14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação

    Objetivo: Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso."

  • Prezados,

    Gerenciamento de continuidade é o processo responsável pelo gerenciamento de riscos que podem impactar seriamente os serviços de TI. O gerenciamento de continuidade de serviço de TI garante que o provedor de serviço de TI pode sempre prover o mínimo nível de serviço acordado, através da redução do risco a um nível aceitável e planejamento da recuperação dos serviços de TI. O gerenciamento de continuidade de serviço de TI suporta o gerenciamento de continuidade de negócio. 

    Portanto a alternativa correta é a letra B

ID
1208395
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Tendo como referência o plano de continuidade de negócio, mencionado pela norma ABNT NBR ISO/IEC n.º 15999, julgue os seguintes itens.

Nos termos da referida norma, o plano de continuidade de negócio, um documento muito útil para a organização, elaborado antes da ocorrência de desastres, deve ser reproduzido em cópias para armazenamento em locais de fácil acesso.

Alternativas
Comentários

  • Amigos tive dificuldade nesta questão, contudo se o gabaito realmente estiver correto tendo como valor ERRADO; acredito(NÃO É CERTEZA!) que o erro esteja no seguinte trecho: [...]em locais de fácil acesso.

    Segundo a ISO 15999-1,"8.3.1 Introdução

    Convém que todos os planos ,sejam eles de gerenciamento de incidentes,continuidade de negócios ou recuperação de negócios,sejam concisos e acessíveis àqueles que possuam responsabilidades definidas nesses planos."

    ----------||----------

    **Portanto, levando em consideração ao trecho acima da norma 15999-1 e ao que foi exposto na questão do cespe, não faz sentido afirmar que a cópia do plano deve ser reproduzidas para armazenamento em locais de fácil acesso, visto que esses locais podem ser acessados por pessoas desautorizadas, e a norma 15999-1 diz que os planos devem ser acessíveis por pessoas com responsabilidades definidas. E se os planos devem ser tratados com cuidados, as suas cópias também.

    Galera, lembrando que não sou nenhum guru da infomática, e que esta questão me deixou confuso. Portanto, se meu raciocínio estiver incorreto, sinalizem para que os colegas não sejam prejudicados!


  • Pois é Tanembaum, quando ele diz "fácil acesso" ferra com a questão.

  • Acredito que o erro da questão esteja na frase "elaborado antes da ocorrência de desastres". As organizações que não possuem política de segurança da informação já tenham sofrido desastres, talvez sejam tais desastres que tenham as motivado a buscarem uma política.

  • O colega HTTP Concurseiro citou o item 8.3.1 da norma. Além disso, o enunciado da questão diz "deve ser reproduzido em cópias para armazenamento em locais de fácil acesso".

    A norma não diz que "DEVE", mas sim que "CONVÉM". Ademais, a norma recomenda apenas que seja acessível, e não que se faça cópias do documento. E para finalizar, o que acontece se vc fizer várias cópias do documento, digitais ou físicas? Vc terá um retrabalho na primeira atualização que existir; ou seja, acho que o mais recomendável é que esteja armazenado em um lugar único, acessível aos que se interessarem.

    Esse é o meu entendimento do item 8.3.1, e que a banca distorceu.

  • Apesar da norma ISO 27002 não tratar especificamente da gestão de continuidade de negócios, ela tem uma seção sobre o tema.

    Seção 14.1.3

    "Convém que o plano de continuidade do negócio trata as vulnerabilidade da organização, que pode conter informações sensíveis e que necessitem de proteção adequada.

    Convém que cópias do plano de continuidade do negócio sejam guardadas em um ambiente remoto, a uma distância suficiente para escapar de qualquer  dano de um desastre no local principal.

    Convém que o gestor garante que as cópias dos planos de continuidade de negócio estejam atualizadas e protegidas no mesmo nível de segurança como aplicado no ambiente principal."

  • Questão zica, pra te matar de dúvida na hora da prova... Concordo com o HTTP Concurceiro e com o Luiz BH

    Galera, essa velha discussão do DEVE/CONVÉM nessas normas ISO... Meu entendimento atual é que DEVE é OK pra ISO 27002:2005, tem várias questões que falam DEVE e a questão está CERTA, enquanto menos questões implicam por causa disso. Qual a regra de vocês?

  • Eu também concordo com a fonte do Luiz BH

  • Errada.

    Como o nosso colega @HTTP Concurseiro disse:  

    Segundo a ISO 15999-1,"8.3.1 Introdução

    "Convém que todos os planos, sejam eles de gerenciamento de incidentes,continuidade de negócios ou recuperação de negócios,sejam concisos e acessíveis àqueles que possuam responsabilidades definidas nesses planos." Ou seja, os planos não devem, necessariamente, possuir fácil acesso, afinal não devem estar disponíveis a TODOS. 

    Ademais, essa questão de "deve" ou "convém" para questões do CESPE relacionadas às normas, não faz qualquer diferença. Isso não define se a questão está certa ou errada.

ID
1208398
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Tendo como referência o plano de continuidade de negócio, mencionado pela norma ABNT NBR ISO/IEC n.º 15999, julgue os seguintes itens.

Elaborado e testado o plano de continuidade de negócio pelos dirigentes da organização com a possibilidade de auxílio da equipe de gerência da segurança da informação, recomenda-se incluir um registro de incidentes ou formulários para o registro de informações vitais, principalmente como consequência de decisões tomadas durante a execução do plano.

Alternativas
Comentários
  • Prezados, creio que este gabarito esteja equivocado, pois em nenhum momento fala-se na norma em dirigentes executando testes com auxilio da equipe de segurança. (conforme afirma a primeira parte.

    Examinando a ISO 15999, o item mais próximo desta questão fala

    9.3 Testando os preparativos de GCN

    9.3.4 Convém que os planos de continuidade de negócio e de gerenciamento de incidentes sejam testatos de forma a garantir que els possam ser executados corretamente e estejam suficientemente detalhados, contendo as instruções necessárias para sua execução. 

    A segunda parrte "Recomenda-se incluir um registro....." tudo bem... está no item 8.7.5 - Formulários e anexos.


  • Dirigentes ... depois dessa vou tomar um café.

  • Errei a questão também... Alguém consegue explicar a primeira parte?

  • Segundo o wikipedia:
    "O plano de continuidade de negócios é responsabilidade dos dirigentes da organização. A equipe de gerência da segurança pode auxiliar nessa tarefa, mas não pode ser responsabilizada por sua inteira implementação"

    Fonte: https://pt.wikipedia.org/wiki/Plano_de_continuidade_de_neg%C3%B3cios

ID
1213993
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de gestão, risco e conformidade, julgue os itens a seguir.

Caso não disponha de recursos para o desenvolvimento de plano de gestão de continuidade do negócio próprio, a organização pode, alternativamente, adquirir um plano padrão, que pode ser personalizado conforme as características da instituição.

Alternativas
Comentários

  • 14.1.4 Estrutura do plano de continuidade do negócio

    Controle

    Convém que uma estrutura básica dos planos de continuidade do negócio seja mantida para assegurar que todos os planos são consistentes, para contemplar os requisitos de segurança da informação e para identificar prioridades para testes e manutenção.

  • Vejamos o que diz a norma ABNT NBR 27.001, anexo A:
    A.14 Gestão da continuidade do negócio
    A.14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação
    A.14.1.1 Incluindo segurança da informação no processo de gestão da continuidade de negócio:
    Controle
    Um processo de gestão deve ser desenvolvido e mantido para assegurar a continuidade do negócio por toda a organização e que contemple os requisitos de segurança da informação necessários para a continuidade do negócio da organização.

    A norma 27002 diz:
    14 Gestão da continuidade do negócio
    14.1 Aspectos da gestão da continuidade do negócio
    ...
    Convém que o processo de gestão da continuidade do negócio seja implementado para minimizar um impacto sobre a organização e recuperar perdas de ativos da informação a um nível aceitável através da combinação de ações de prevenção e recuperação. Convém que este processo IDENTIFIQUE os processos CRÍTICOS e integre a gestão da segurança da informação com as exigências da gestão de continuidade do negócio com outros requisitos de continuidade relativo a tais aspectos como operações, funcionários, materiais, transporte e instalações.

    Embasado nas normas da família 27.000, podemos afirmar resumidamente:
    O Plano de continuidade deve contemplar os requisitos da organização. Estes requisitos são diferentes entre todas as organizações, seja pela localização geográfica, seja pelas pessoas contratadas, seja pela criticidade do negócio ou por qualquer outra especificidade da organização. Desta forma, é inadmissível a utilização de um plano de continuidade padrão.

    Bons estudos.

ID
1214035
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação e continuidade do negócio, julgue os itens seguintes.

As etapas necessárias à adequada construção de uma garantia de continuidade do negócio são identificação da crise, análise de impactos no negócio, planejamento, política de continuidade, definição de estratégias de contingência e elaboração dos planos de contingência para os diversos perímetros.

Alternativas
Comentários

  • ERRADO.

    Segundo a ISO 15999-1,"3.7 Elementos do ciclo de vida da gestão da continuidade de negócios

    O ciclo de vida  de GCN é composto por seis elementos. São eles:

    -Gestão do programa de GCN.

    -Entendendo a organização

    -Determinando a estratégia de continuidade de negócios

    -Desenvolvendo e implementando uma resposta de GCN

    -Testando,mantendo e analisando criticamente os preparativos de GCN

    -Incluindo a GCN na cultura da organização."

  • Identificação da crise "gritou" no enunciado. 

    Questão Falsa.

  • O objetivo principal do plano de continuidade de negócios é a formalização de ações a serem tomadas para que, em momentos de crise, a recuperação, a continuidade e a retomada possam ser efetivas, evitando que os processos críticos de negócio da organização sejam afetados, o que pode acarretar em perdas financeiras.

    Entendo que a "identificação da Crise" acontece quando a crise esta em andamento e não no planejamento, pois não existe bola de cristal.

ID
1214038
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação e continuidade do negócio, julgue os itens seguintes.

O BIA (business impact analysis) fundamenta todo o planejamento geral e os planos específicos da gestão de continuidade, sendo uma ferramenta empregada para realizar a identificação, a quantificação e a qualificação de perda, bem como a suspensão ou a interrupção dos processos de negócio. Além disso, mediante esse instrumento são estabelecidas as datas a partir das quais as estratégias de continuidade terão início.

Alternativas
Comentários

  • Na minha opinião deram muita responsabilidade ao BIA.

    Análise de Impacto no Negócio (BIA): Define e documenta o impacto de uma interrupção nas atividades (período máximo de interrupção tolerável, identificação de atividades interdependentes que precisam ser mantidos continuamente).


  • A análise de impacto no negócio, ou BIA, é uma avaliação direta e objetiva do impacto financeiro que a organização vai sofrer mediante uma falha da operação dos serviços de TI. Para poder alcançar estes resultados é necessário o correto entendimento dos processos de negócios e a real influência que eles sofrem pelos serviços de TI. Além disso, é necessário transformar um impacto intangível, o impacto temporal (tempo de parada), para um impacto tangível (através de valores financeiros), fornecendo uma estimativa muito assertiva.

    Com base nesta análise, os gestores e a alta direção possuirão uma ferramenta que realmente modela para valores financeiros, os valores intangíveis da organização e de sua operação de negócios.


    fonte: http://iso27000.com.br/index.php?option=com_content&view=article&id=79:servbia&catid=35:consult&Itemid=54

  • Acredito que o erro esteja no trecho "Além disso, mediante esse instrumento são estabelecidas as datas a partir das quais as estratégias de continuidade terão início.". Me corrijam se estiver errado.

  • O erro está em "...esse instrumento são estabelecidas as datas a partir das quais as estratégias de continuidade terão início."


    Como conseguimos prever uma data que o incidente vai ocorrer?? Se soubéssemos quando uma interrupção vai ocorrer, não precisaríamos nem do Planejamento de Continuidade....

  • ERRADO. Reescrevendo o erro para melhor entendimento: "O BIA (business impact analysis) fundamenta todo o planejamento geral e os planos específicos da gestão de continuidade, sendo uma ferramenta empregada para realizar a identificação, a quantificação e a qualificação de perda, bem como a suspensão ou a interrupção dos processos de negócio."  

    ________________________

    Enxugando mais ainda..."O BIA (business impact analysissendo uma ferramenta empregada para realizar a suspensão ou a interrupção dos processos de negócio."   what!?(VEJAM O ERRO!)

    ___________________________________

     

    ** A BIA não é usada pra suspender nem interromper os processos de negócios, mas sim para definir e documentar o impacto de uma interrupção nas atividades de negócios.(ISO 15999-1,6.2.1,p.20,PARAFRASEADO POR MIM). Com a BIA, define-se prioridades de contingência e os níveis de tolerância à indisponibilidade de cada processo/atividade.

     

     

ID
1214041
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação e continuidade do negócio, julgue os itens seguintes.

O RPO (recovery point objective) é o ponto no tempo em que o reinício das operações após um desastre é desejável, considerando-se os custos da recuperação em face dos custos da interrupção.

Alternativas
Comentários

  • ERRADO.

    Segundo Veras(2009,p.231),"RPO(Recovery-Point Objective-objetivo de ponto de recuperação): é o processo de olhar para trás que mede o quanto será necessário retroceder no tempo para obter uma boa cópia de reinicialização dos dados,se algo de ruim acontecer a eles. Por exemplo, suponha-se que hoje seja sexta-feira,28 de abril,por volta das 9 da manhã,e que  a última vez  que você fez backup  de seus dados de negócios foi às 9 horas da manhã de ontem. Se algo acontecesse a seus dados agora,como seus sistema parar e os seus dados se perderem,você precisaria retroceder 24 horas no tempo a fim de obter uma cópia reinicializável de seus dados. Portanto,nesse caso,seu RPO seria de 24 horas."

    Bibliografia:

    DATACENTER-COMPONENTE CENTRAL DA INFRAESTRUTURA DE TI-MANOEL VERAS-2009

  • Segundo Veras(2009,p.232),"RTO(Recovery-Time Objective-objetivo de tempo de recuperação): é o processo de olhar para a frente que estima o tempo que levaria para seus negócios se tornarem totalmente operacionais novamente, uma vez  que você tenha uma boa cópia de seus dados. Essa é uma medição para tempo de inatividade."

    Bibliografia:

    DATACENTER-COMPONENTE CENTRAL DA INFRAESTRUTURA DE TI-MANOEL VERAS-2009


  • RTO vs RPO, bom saber a diferença!

  • RPOs (Recovery Point Objective) limitam o período de volta no tempo, e define a quantidade máxima permitida de dados perdidos de uma ocorrência de falha para o último backup válido.

    RTOs (Recovery Time Obective) estão relacionados ao tempo de inatividade e representam a quantidade de tempo que leva para se recuperar de um incidente até que as operações estejam disponíveis para os usuários.

  • Errado.

    A questão estã relacionada ao RTO.

ID
1214044
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação e continuidade do negócio, julgue os itens seguintes.

O RTO (recovery time objective) representa o último ponto, na linha de tempo, anterior ao desastre e posterior ao último becape realizado que foi julgado como aceitável, em termos de custo, e considerando-se a avaliação de todas as circunstâncias do negócio em questão.

Alternativas
Comentários

  • ERRADO.


    Segundo Veras(2009,p.232),"RTO(Recovery-Time Objective-objetivo de tempo de recuperação): é o processo de olhar para a frente que estima o tempo que levaria para seus negócios se tornarem totalmente operacionais novamente, uma vez  que você tenha uma boa cópia de seus dados. Essa é uma medição para tempo de inatividade."

    Bibliografia:

    DATACENTER-COMPONENTE CENTRAL DA INFRAESTRUTURA DE TI-MANOEL VERAS-2009


  • Segundo Veras(2009,p.231),"RPO(Recovery-Point Objective-objetivo de ponto de recuperação): é o processo de olhar para trás que mede o quanto será necessário retroceder no tempo para obter uma boa cópia de reinicialização dos dados,se algo de ruim acontecer a eles. Por exemplo, suponha-se que hoje seja sexta-feira,28 de abril,por volta das 9 da manhã,e que  a última vez  que você fez backup  de seus dados de negócios foi às 9 horas da manhã de ontem. Se algo acontecesse a seus dados agora,como seus sistema parar e os seus dados se perderem,você precisaria retroceder 24 horas no tempo a fim de obter uma cópia reinicializável de seus dados. Portanto,nesse caso,seu RPO seria de 24 horas."

    Bibliografia:

    DATACENTER-COMPONENTE CENTRAL DA INFRAESTRUTURA DE TI-MANOEL VERAS-2009


  • O RTO(Recovery-Time Objective (objetivo do tempo de recuperação) é a duração de tempo necessária depois de um desastre com o objetivo de evitar consequências inaceitáveis com uma quebra na continuidade do negócio.

    The recovery time objective (RTO) is the targeted duration of time and a service level within which a business process must be restored after a disaster (or disruption) in order to avoid unacceptable consequences associated with a break in business continuity.[1]

    It can include the time for trying to fix the problem without a recovery, the recovery itself, testing, and the communication to the users. Decision time for users representative is not included.

    The business continuity timeline usually runs parallel with an incident management timeline and may start at the same, or different, points.

    In accepted business continuity planning methodology, the RTO is established during the Business Impact Analysis (BIA) by the owner of a process (usually in conjunction with the business continuity planner). The RTOs are then presented to senior management for acceptance.

  • Recovery Time Objective (RTO) (Objetivo do tempo de recuperação (RTO, Recovery Time Objective)) Define o limite máximo de tempo tolerável no qual os dados devem ser recuperados. No caso de um desastre, se você precisar ter os sistemas disponíveis imediatamente, mas puder permitir alguma perda de dados, seu RTO será zero. Porém, se você puder permitir uma hora de recuperação de dados, o RTO será de uma hora.

  • RPOs (Recovery Point Objective) limitam o período de volta no tempo, e define a quantidade máxima permitida de dados perdidos de uma ocorrência de falha para o último backup válido.

    RTOs (Recovery Time Obective) estão relacionados ao tempo de inatividade e representam a quantidade de tempo que leva para se recuperar de um incidente até que as operações estejam disponíveis para os usuários.

  • Errado. A definição é a de RPO.

ID
1214047
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação e continuidade do negócio, julgue os itens seguintes.

A aprovação do plano de continuidade do negócio pelo nível executivo da organização (CEO e CSO) é dispensável.

Alternativas
Comentários

  • ERRADO. Não compreendi o significado da sigla CSO, portanto quem descobrir compartilhe ai. Bom marquei errado, pois o CEO pertence a alta direção e, portanto ele é indispensável para a Gestão de continuidade como um todo. Olhem o que achei na norma iSO 15999-1.

    Segundo a ISO 15999-1,5.2 Designando responsabilidades (governança),"As pessoas que  recebem a tarefa de implementar e manter o programa de continuidade de negócios podem ser de várias áreas de uma organização, dependendo do seu tamanho,escala e complexidade. É essencial,porém, que uma pessoa com a devida autoridade(por exemplo, proprietário, diretor do conselho executivo ou representante eleito) tenha a responsabilidade geral sobre o GCN e seja diretamente responsável por garantir a continuidade do sucesso desta capacidade."

    **Portanto, se o diretor do conselho executivo é essencial, logo ele é indispensável. E lembrando que o plano de continuidade de negócio está dentro da GCN(Gestão de continuidade de negócios)


  • CSO = Chief Security Officer

  • o Security Officer (CSO) é o responsável pela segurança das comunicações da empresa e outros sistemas de negócios, especialmente aqueles que agora expostos a intrusão de estranhos na Internet. O CSO também pode ter um papel, juntamente com o CIO, no planejamento e gerenciamento de recuperação de desastres

    http://cxosales.wordpress.com/2012/07/19/the-meaning-of-cxoceocfocioccocso/


  • Segundo o guia do TCU de segurança da informação,

    "3.6 Qual o papel da alta administração na elaboração do PCN?
    É imprescindível o comprometimento da alta administração com o Plano de Continuidade do Negócio. Na verdade, este Plano é de responsabilidade direta da alta administração, é um problema corporativo, pois trata de estabelecimento de procedimentos que garantirão a sobrevivência da instituição como um todo e não apenas da área de informática. Ainda, muitas das definições a serem especificadas são definições relativas ao negócio da instituição e não à tecnologia da informação.

ID
1214050
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação e continuidade do negócio, julgue os itens seguintes.

Os princípios da confidencialidade, integridade e disponibilidade são objetivos da segurança da informação, entre os quais se incluem o da autoria, o de não repúdio, o da auditabilidade e o da legalidade.

Alternativas
Comentários

  • pra mim era só conf, integr, dispo e nao repudio

  • Atributos básicos da segurança da informação, segundo os padrões internacionais (ISO/IEC 17799:2005) são os seguintes:

    Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
    Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).
    Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
    Autenticidade - propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de mutações ao longo de um processo.
    Irretratabilidade ou não repúdio - propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita.
    Não entendi onde entrou o "o da auditabilidade e o da legalidade"

  • Pessoal, vou tentar explicar com minhas palavras conforme uma aula do Professor Carlos Vianna:

    A Norma ISO 27001 também admite além dos princípios da confidencialidade, integridade e disponibilidade o princípio da autenticidade e não repúdio. A auditabilidade é um conjunto de conhecimentos dentro do "COBIT"(conformidade) das leis do governo americano para as empresas serem auditadas. Em outras palavras, as empresas americanas são auditadas segundo as normas do "COBIT". Espero ter ajudado

    Abraço


  • Segundo a norma ISO 27001, segurança da informação é "a preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas"


    Apesar da norma não citar explicitamente os termos auditabilidade e legalidade, ela inclui seções para cada um dos assuntos na norma.


    6. Auditorias internas do SGSI
    A organização deve conduzir auditorias internas do SGSI a intervalos planejados (...)

    A.15.1 Conformidade com requisitos legais


    Ademais, encontrei várias referências incluindo estes termos.


    Fontes: ISO 27001:2013
                http://dsic.planalto.gov.br/documentos/cegsic/monografias_1_turma/paulo_cesar.pdf

  • gab c

    autoria é o mesmo que autenticidade. Tem a ver com ''Autor''. Garantia da identidade do remetente.

    ps. . A auditabilidade é um conjunto de conhecimentos dentro do "COBIT"(conformidade) das leis do governo americano para as empresas serem auditadas. 

  • CERTO

    Acrescentando: a confidencialidade, a integridade, e a disponibilidade são princípios essenciais na segurança da informação.

ID
1214074
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da análise de vulnerabilidades, julgue os itens seguintes.

A falta de auditorias periódicas ou de um plano de continuidade do negócio, dado estes serem fatores internos de controle, não constitui exemplo de vulnerabilidade.

Alternativas
Comentários

  • O plano de continuidade de negócios visa a não interrupção das atividades do negócio, e deve assegurar a sua retomada em tempo hábil, em caso de falhas.


    Auditorias periódicas verificam a efetividade dos controles de segurança da informação.


    A ausência de qualquer um deles contitui uma vulnerabilidade (fraqueza) do SGSI da organização.

  • ERRADO. 

    Segundo a ISO 27005:2011,p.65-66,"

    -A vulnerabilidade "Inexistência de auditorias periódicas (supervisão)" tem como ameaça o" abuso de direitos";

    -A  vulnerabilidade "Inexistência de um plano de continuidade" tem como ameaça a "falha de equipamentos""

    (PARAFRASEADO POR MIM)