Considerando a ABNT NBR ISO/IEC 27005 e a NBR ISO 22301, jul...

Gabarito: E

A questão está relacionada à avaliação de desempenho conforme as normas ABNT NBR ISO/IEC 27005 e NBR ISO 22301. Estas normas tratam, respectivamente, da gestão de riscos de segurança da informação e da continuidade do negócio.

Primeiramente, vamos entender o conceito de cada norma:

• ABNT NBR ISO/IEC 27005: É uma norma que fornece diretrizes para a gestão de riscos de segurança da informação, sendo parte da família ISO/IEC 27000. Ela cobre o processo de avaliação de riscos, identificação de ativos, ameaças, vulnerabilidades e impactos.
• NBR ISO 22301: Concentra-se na continuidade do negócio, fornecendo uma estrutura para planejar, estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um sistema de gestão para proteger contra, reduzir a probabilidade de, e garantir a resposta e recuperação de incidentes disruptivos.

Na questão, é afirmado que na avaliação de desempenho, em desempenho deficitário, não devem ser incluídos não conformidades, quase acidentes e alarmes falsos.

Essa afirmativa está incorreta por várias razões:

1. Não Conformidades: São falhas no cumprimento das normas, políticas ou procedimentos estabelecidos. Identificá-las é essencial para a melhoria contínua e para evitar problemas futuros que possam comprometer a segurança da informação ou a continuidade do negócio.

2. Quase Acidentes: São eventos que poderiam ter resultado em um incidente grave, mas foram evitados por pouco. Analisar quase acidentes é crítico para entender vulnerabilidades no sistema e aplicar medidas para prevenir incidentes reais.

3. Alarmes Falsos: Indicações de problemas que, na verdade, não são reais. Embora possam parecer menos importantes, os alarmes falsos podem indicar falhas no sistema de monitoramento ou em outros processos, sendo essencial para refinar e aprimorar os mecanismos de detecção.

Portanto, incluir esses elementos na avaliação de desempenho é fundamental para uma análise completa e eficaz dos riscos e para a implementação de melhorias contínuas.

Conclusão: A alternativa correta é "Errado" (E), pois a exclusão de não conformidades, quase acidentes e alarmes falsos de uma avaliação de desempenho deficitário compromete a integridade e a eficácia do processo de gestão de riscos e continuidade do negócio.

O item é "Errado". Na avaliação de desempenho, segundo a ABNT NBR ISO/IEC 27005 e a NBR ISO 22301, é importante incluir não conformidades, quase acidentes e alarmes falsos.

A ABNT NBR ISO/IEC 27005 trata da gestão de riscos de segurança da informação e enfatiza a importância de um processo de avaliação de risco contínuo e eficaz. Isso inclui a identificação e análise de não conformidades, incidentes e quase acidentes, pois eles fornecem insights valiosos sobre potenciais vulnerabilidades e falhas no sistema de segurança da informação.

Da mesma forma, a NBR ISO 22301, que se concentra na gestão de continuidade dos negócios, também ressalta a importância de monitorar e avaliar regularmente o desempenho do sistema de gestão de continuidade dos negócios. Isso inclui a análise de não conformidades, incidentes e alarmes falsos para aprimorar a eficácia do plano e garantir que a organização esteja preparada para responder a interrupções reais.

Ambas as normas reconhecem que os "quase acidentes" e "alarmes falsos" são oportunidades de aprendizado importantes. Eles ajudam a identificar áreas de melhoria, permitindo que a organização refine suas práticas e procedimentos para evitar falhas reais no futuro.

Portanto, na avaliação de desempenho relacionada à segurança da informação e à continuidade dos negócios, é essencial incluir e analisar não conformidades, quase acidentes e alarmes falsos.