As análises/avaliações de risco do plano de continuidade do negócio devem envolver os responsáveis pelos processos e recursos do negócio. É importante que essas análises/avaliações não se limitem aos recursos de processamento da informação, mas incluam os resultados específicos da segurança da informação.

A política de gestão da continuidade de negócios (GCN), proposta pela direção administrativa da empresa, deve ser aprovada pela alta direção e, em seguida, comunicada somente aos empregados da área de TI, já que o sigilo é imprescindível para o seu sucesso.

A respeito de dados, informação, conhecimento e inteligência, julgue o próximo item.

Em organizações públicas e privadas, o plano de continuidade de negócio deve garantir a segurança e a integridade dos dados armazenados.

A alta direção deve participar da análise crítica da capacidade de gestão da continuidade do negócio da organização, de forma a garantir sua aplicabilidade, adequação e funcionalidade.

Os planos de continuidade de negócio devem ser testados e atualizados regularmente, de forma a assegurar que os membros da equipe de recuperação, bem como outros envolvidos, tenham ciência desses planos e de suas responsabilidades para a continuidade do negócio quando um plano for realmente acionado.

No que concerne à gestão da continuidade de negócios, a norma brasileira NBR 15999 estabelece o que deve ser atendido. Nesse aspecto, todos os estágios da gestão da continuidade são: Compreender o Negócio; Estratégia de Continuidade; Plano de Continuidade; Construir e Disseminar a Cultura; e Exercitar, Manter e Auditar.

A gestão da continuidade de negócios é um processo que deve ser realizado no caso de perdas no funcionamento rotineiro de um ambiente computacional. Por envolver excessivos recursos humanos, financeiros e de informação, uma empresa somente deve defini-lo caso tenham sido identificadas ameaças potenciais que possam ocasionar riscos imediatos ao negócio.

O plano de recuperação de negócios visa, entre outros objetivos, prevenir maiores perdas ou indisponibilidade de atividades críticas e dos recursos que as suportam.

O tribunal de justiça de determinado estado da Federação iniciou processo licitatório para a aquisição de geradores de energia elétrica, para evitar danos causados por eventuais falhas no fornecimento por parte da companhia elétrica responsável.

Com referência a essa situação hipotética, julgue os itens que se seguem.

Atividades como testes e revisões dos geradores integram o plano de continuidade do negócio, embora não estejam vinculados ao ciclo de gestão da continuidade do negócio.

O plano de continuidade de negócios deve ser testado, de forma que se garanta sua correta execução a partir de instruções suficientemente detalhadas. Adotado esse plano, não convém que a organização providencie auditoria externa, já que essa auditoria poderá comprometer os dados sigilosos da organização.

Acerca dos processos típicos de tratamento de incidentes de segurança, julgue o item abaixo.

O aumento do tempo decorrente entre a detecção e o fim da recuperação, nos incidentes de segurança, não aumenta necessariamente o tempo de indisponibilidade do serviço afetado.

Com relação à segurança da informação, julgue o item seguinte.

Um plano de continuidade de negócios deve ser criado em uma organização a fim de garantir que, no caso da interrupção das atividades na organização, soluções de segurança física e lógica sejam respectivamente implementadas.