Julgue o seguinte item, considerando que o capítulo sobre ge...

Alternativa correta: E - errado

Para compreender esta questão, é importante entender alguns conceitos fundamentais de Gestão de Continuidade de Negócios e a norma NBR 15999-1. Esta norma estabelece diretrizes para garantir que as operações críticas de uma organização possam continuar mesmo após a ocorrência de incidentes disruptivos.

A questão aborda a terceirização de serviços de segurança da informação, comparando dois tipos específicos de serviços: um estudo de Análise de Impacto nos Negócios (BIA - Business Impact Analysis) e a gestão de riscos de segurança da informação.

Análise de Impacto nos Negócios (BIA) é um processo sistemático para determinar e avaliar os potenciais efeitos de uma interrupção em funções e processos críticos de negócios. Este estudo é essencial para identificar prioridades e alocar os recursos de forma eficaz para garantir a continuidade dos serviços críticos.

Gestão de Riscos de Segurança da Informação envolve a identificação, avaliação e tratamento de riscos relacionados à segurança da informação. A terceirização deste serviço pode incluir a implementação de controles, monitoramento contínuo e resposta a incidentes.

A afirmação da questão sugere que a terceirização de um estudo de Análise de Impacto nos Negócios (BIA) apresenta maior risco à continuidade organizacional em comparação com a terceirização da gestão de riscos de segurança da informação. Para avaliar essa afirmação, precisamos considerar o papel de cada serviço.

O estudo de BIA é crítico para a criação de um Plano de Continuidade de Negócios eficaz, pois ele fornece os dados necessários para entender quais são os processos e funções mais cruciais da organização e quais impactos as interrupções podem causar. Sem uma BIA bem conduzida, é difícil desenvolver um plano robusto e eficiente.

Por outro lado, a gestão de riscos de segurança da informação é vital para proteger os ativos de informação da organização contra ameaças. No entanto, sem o entendimento claro dos impactos das interrupções, que é fornecido pela BIA, a gestão de riscos pode não ser completamente eficaz.

Portanto, a terceirização de um estudo de BIA, quando realizada por uma empresa especializada e competente, não deve ser considerada um risco maior à continuidade organizacional quando comparada à terceirização da gestão de riscos de segurança da informação. Ambos os serviços são importantes, mas a BIA é fundamental para a base de um plano de continuidade sólido.

Em resumo: A afirmativa está errada porque uma análise de impacto nos negócios (BIA) bem conduzida é essencial para criar um plano de continuidade de negócios eficaz, e não apresenta maior risco quando terceirizada corretamente.

Alguém pode comentar?!

Quem provoca maior estrago? Um terceiro que fez uma análise mau elaborada ou um terceiro gerenciando inadequadamente os riscos?

Embora um pouco fora do escopo da 15999, a IN-04/2014. estabelece que:

Art. 5.º, §único Não poderão ser objeto de contratação: gestão de processos de Tecnologia da Informação, incluindo gestão de segurança da informação.

Ou seja, processos operacionais podem ser objetos de delegação (terceirização) nos órgãos abrangidos pela norma (IN 04/2014), mas atos de gestão não, justamente pelo risco associado.