SóProvas

Concordo com o amigo Kaio sobre o item IV. 

E se jogarem uma bomba nas "instalacões da organização"?? Todas as copias de backup serão perdidas.

As cópias devem ser armazenadas em locais diferentes.

Pode-se desrespeitar cláusulas contratuais segundo a alternativa IV? Qual a referência dessa afirmação?

Eu acho que a IV está correta porque não dá apenas para confiar numa empresa contratada, pelo menos um backup semanal deve ser realizado num acesso exclusivo da empresa, acredito que a escolha de ser um local na própria instalação é para rápida recuperação, do mesmo modo que vendo por este lado a III também poderia estar correta, dependendo do tipo de negócio que se tem não há como ficar esperando horas ou dias para recuperar um backup, mas, isso é uma questão de ponto de vista e de interpretação quando se fala de questão de concurso, visando a garantia da empresa eu considerei a IV mas num primeiro momento ela me pareceu estranha também.

O problema foi essa parte "independentemente das cláusulas contratuais estabelecidas", achei estranho, mas entendi logo em seguida, significa o bakcup deve ser feito independentemente das cláusulas contratuais estabelecidas entre a empresa e outra de backup, e não dentro da própria empresa em relação aos serviços de backup e seus operadores, como eu pensei. Questão ficou meio ambígua nesse sentido.

E se a cláusula for uma multa de R$ 1.000.000.000.000, 00 caso a empresa tenha efetuado outra operação que não aquela prevista em contrato. ?? como ficamos....

Prezados, vamos analisar item por item

I. A política de segurança deve fornecer as diretrizes necessárias para orientar o desenvolvimento de procedimentos de backup e restore.

Item correto. Uma política de segurança deve fornecer as diretrizes para os procedimentos de backup e restore, tanto direcionando a periodicidade do backup, quanto a periodicidade de teste de recuperação do backup.

II. Para a implementação do backup, deve-se levar em consideração a importância da informação, o nível de classificação utilizado, sua periodicidade de atualização e também sua volatilidade.

Item correto. Dados mais críticos devem ter uma relevância maior que dados não críticos no procedimento de backup.

III. Os backups devem ser mantidos no mesmo local físico de armazenamento dos dados originais para possibilitar sua rápida restauração.

Item errado. Os backups devem ser mantidos preferencialmente em locais diferentes do local físico onde são armazenados os dados.

IV. Além dos backups realizados por empresas terceiras, como, por exemplo, provedores de sites de contingência, deve-se produzir uma cópia adicional de segurança dos backups, considerados mais críticos para ser armazenada nas instalações da organização independentemente das cláusulas contratuais estabelecidas, que visam proteger a organização.

Em minha humilde opinião esse item está errado pelo simples fato de não ter encontrado base que fundamenta a obrigação da empresa DEVER produzir uma cópia adicional de segurança dos backups, porém a banca considerou esse item correto.

A  alternativa correta é ; C.

Na minha opinião uma questão maliciosa pra derrubar e não pra provar conhecimento.

As cópias de segurança estão incluídas nos controles de segurança da informação ensinados pela norma ABNT NBR ISO/IEC 27002, assim como os requisitos de conformidade, pois as normas desta família tem um enorme pé na Governança de TI. Então, como separar essas coisas se elas se complementam?

Para responder essa questão é preciso entender bem esse trecho "independentemente das cláusulas contratuais estabelecidas, que visam proteger a organização". Ou seja, ele está falando das cláusulas contratuais que visão proteger a organização contratante em relação a empresa terceirizada responsável por prestar tais serviços.

Por óbvio, tais cláusulas dizem respeito as responsabilidades que a empresa terceirizada terá para com a organização que contratou os serviços, primordialmente de não deixar que as informações vazem e prover a recuperação dos dados em casos de incidentes. Seria eticamente impossível que houvesse uma cláusula que vedasse a permissão da organização contratante em realizar backup de seus próprios dados, críticos ou não, e armazenar em sua infraestrutura organizacional, mesmo que por sua segurança, afinal o serviço contratado foi tão somente de backup, e isso extrapolaria.

Por essa análise a letra C) seria pessimamente o gabarito da questão.

Sem dúvidas, o trecho "independentemente das cláusulas contratuais estabelecidas" deixa incorreta a afirmativa IV.

Ou seja, se tiver alguma cláusula no contrato proibindo a empresa de fazer o referido backup (não faz muito sentido, mas é uma das várias possibilidades criadas pelo termo "independentemente"), a questão está dizendo que é correto quebrar a cláusula contratual e fazer o backup. E isso vale para qualquer assunto refente ao não cumprimento das cláusulas, conforme diz o gabarito da questão, implicitamente.

Isso não está certo, o termo "independentemente" é muito restritivo e, na minha opinião, invalida a IV.

De acordo com a norma ABNT NBR ISO/IEC 27002:2013, seção 12 - Segurança nas operações, Objetivo de controle 12.3 - Cópia de segurança, Controle 12.3.1 - Cópia de segurança das informações, Diretrizes para implementação. Pag 53, informa:

C) convém que as cópias de segurança sejam armazenadas em uma localidade REMOTA, a uma distância suficiente para escapar dos danos de um desastre ocorrido no local principal.

Por isso acho o item IV errado.