Considerando a ABNT NBR ISO/IEC 27005 e a NBR ISO 22301, jul...

Gabarito: C (Certo)

A questão trata da definição e seleção da estratégia de continuidade de negócios (ECN), que são conceitos centrais tanto na ABNT NBR ISO/IEC 27005 quanto na NBR ISO 22301. Ambas as normas são fundamentais para a gestão de segurança da informação e a continuidade dos negócios.

A ISO 27005 foca na gestão de riscos relacionados à segurança da informação e estabelece diretrizes para a avaliação e tratamento de riscos. Já a ISO 22301 aborda a gestão da continuidade dos negócios e a preparação para eventos disruptivos.

Vamos entender por que a alternativa correta é a letra C:

Análise de Impacto nos Negócios (BIA) e Avaliação de Riscos são processos críticos que fundamentam a criação de estratégias eficazes de continuidade de negócios. A BIA identifica e avalia os efeitos de interrupções nas operações essenciais do negócio, enquanto a avaliação de riscos identifica, analisa e avalia riscos que podem afetar a organização.

Justificativa da Alternativa Correta (C):

A alternativa está correta porque, de acordo com as normas ISO, a definição e a seleção da estratégia de continuidade de negócios devem realmente basear-se nos resultados da BIA e no processo de avaliação de riscos. A ISO 22301 destaca que a estratégia de continuidade dos negócios precisa considerar os resultados da análise de impacto nos negócios para garantir que as atividades críticas sejam mantidas durante e após uma interrupção. A ISO 27005 corrobora a necessidade de entender e mitigar riscos para proteger a segurança da informação.

Justificativa das Alternativas Incorretas:

Não há alternativas adicionais a serem analisadas nesta questão, uma vez que o enunciado fornece apenas a opção de julgar o item como "Certo" ou "Errado". No entanto, se houvesse alternativas, elas estariam incorretas caso não considerassem a importância da BIA e da avaliação de riscos na definição de estratégias de continuidade de negócios, conforme estabelecido pelas normas ISO.

Em resumo, a questão exige conhecimento das melhores práticas para a gestão de continuidade de negócios e segurança da informação, conforme especificado pelas normas ISO 27005 e ISO 22301. Dominar esses conceitos é essencial para garantir a resiliência e a proteção das operações críticas da organização.

O item é "Certo". A definição e a seleção da estratégia de continuidade de negócios, de acordo com a NBR ISO 22301 e a ABNT NBR ISO/IEC 27005, devem, de fato, basear-se nos resultados da análise de impacto nos negócios (BIA) e no processo de avaliação de riscos.

A Análise de Impacto nos Negócios (BIA) é um componente crucial na gestão de continuidade de negócios, conforme estabelecido pela NBR ISO 22301. A BIA ajuda a identificar as funções e processos críticos da organização, assim como os recursos necessários para manter essas funções e processos. Ela também ajuda a determinar os impactos potenciais de uma interrupção nos negócios e estabelece os requisitos de tempo de recuperação (RTO) e ponto de recuperação (RPO).

A ABNT NBR ISO/IEC 27005, por sua vez, trata da gestão de riscos de segurança da informação. Ela orienta sobre como identificar, avaliar e tratar riscos de segurança da informação, o que é essencial para a continuidade dos negócios.

A seleção de uma estratégia de continuidade de negócios deve ser informada por esses dois processos. A avaliação de riscos identifica ameaças e vulnerabilidades que podem afetar a organização, enquanto a BIA determina a criticidade de diferentes processos e funções de negócios. Combinando essas informações, a organização pode desenvolver uma estratégia de continuidade de negócios que aborde os riscos mais significativos e proteja os aspectos mais críticos de suas operações.

Portanto, a afirmação de que a definição e a seleção da estratégia de continuidade de negócios devem basear-se nos resultados da análise de impacto nos negócios e no processo de avaliação de riscos é correta.