Considerando a ABNT NBR ISO/IEC 27005 e a NBR ISO 22301, jul...

Alternativa correta: C - certo

A questão aborda um conceito fundamental relacionado à gestão de riscos na Segurança da Informação, conforme estabelecido pela ABNT NBR ISO/IEC 27005 e a NBR ISO 22301. Ambas as normas tratam de práticas essenciais para mitigar riscos e garantir a continuidade dos negócios.

ABNT NBR ISO/IEC 27005 foca na gestão de riscos de segurança da informação, oferecendo diretrizes para o processo de gerenciamento de riscos. A norma visa ajudar as organizações a identificar, avaliar e tratar riscos relacionados à segurança da informação.

Por outro lado, a NBR ISO 22301 trata da gestão da continuidade do negócio. Esta norma é voltada para a implementação, manutenção e melhoria de um sistema de gestão da continuidade do negócio (SGCN), garantindo que a organização possa continuar operando durante e após incidentes que causem interrupções significativas.

Na questão apresentada, o foco está na necessidade de tratar riscos de modo a reduzir a probabilidade de interrupção dos serviços ou diminuir o tempo de interrupção. Esse tipo de ação é uma medida proativa essencial em qualquer plano de gestão de riscos e continuidade do negócio.

Vamos agora justificar a alternativa correta e as alternativas incorretas:

Alternativa correta (C - certo): A afirmação está correta pois, de acordo com as normas mencionadas, é crucial que a organização tome medidas proativas para tratar riscos. Essas medidas podem incluir controles e procedimentos que minimizem a probabilidade de interrupções ou que, em caso de interrupção, garantam uma recuperação rápida e eficiente. Isso está alinhado com os princípios tanto da ISO/IEC 27005 quanto da ISO 22301.

Alternativa incorreta (E - errado): Se a alternativa fosse "errado", estaria desconsiderando os princípios fundamentais de ambas as normas. A ISO/IEC 27005 e a ISO 22301 enfatizam a importância de adotar medidas proativas para a gestão de riscos e continuidade do negócio. Ignorar essas medidas pode resultar em vulnerabilidades severas e, consequentemente, em interrupções prolongadas, o que não é aceitável para a gestão eficiente da segurança e continuidade das operações.

É fundamental que os alunos compreendam que a gestão de riscos e a continuidade do negócio são pilares essenciais na Segurança da Informação. As normas ISO/IEC 27005 e ISO 22301 fornecem um framework estruturado para identificar, avaliar e mitigar riscos, garantindo que as organizações estejam preparadas para enfrentar incidentes e minimizar seus impactos.

Sim, é verdade. Diante de riscos identificados que necessitam de tratamento, a organização deve tomar medidas proativas que reduzam a probabilidade de interrupção dos serviços ou diminuam o tempo de interrupção.

Essas medidas podem incluir:

• Implementação de controles de segurança: Os controles de segurança podem ajudar a proteger os sistemas e dados da organização contra ataques e incidentes, o que pode reduzir a probabilidade de interrupção dos serviços.
• Desenvolvimento de planos de continuidade de negócios: Os planos de continuidade de negócios ajudam a organização a se recuperar de interrupções, o que pode diminuir o tempo de interrupção dos serviços.
• Testes e treinamento: Os testes e treinamentos ajudam a garantir que os controles de segurança e os planos de continuidade de negócios estejam funcionando corretamente, o que pode reduzir a probabilidade e o impacto das interrupções.

Aqui estão alguns exemplos específicos de medidas proativas que podem ser tomadas:

• Implementar um firewall para proteger a rede da organização contra ataques.
• Implementar uma política de senha forte para proteger os sistemas e dados da organização contra acesso não autorizado.
• Desenvolver um plano de contingência para cada sistema crítico da organização.
• Realizar testes de segurança regulares para identificar e corrigir vulnerabilidades.
• Treinar os funcionários da organização sobre segurança cibernética.

Ao tomar medidas proativas para tratar os riscos identificados, a organização pode ajudar a proteger seus sistemas e dados, reduzir a probabilidade de interrupção dos serviços e minimizar o impacto de qualquer interrupção que ocorra.

Fonte: Bard.

A afirmação está correta e está em conformidade com os princípios estabelecidos tanto pela ABNT NBR ISO/IEC 27005 quanto pela NBR ISO 22301.

A ABNT NBR ISO/IEC 27005 fornece diretrizes para a gestão de riscos de segurança da informação. Esta norma enfatiza a importância de identificar e tratar riscos à segurança da informação para proteger informações e sistemas contra ameaças. Parte do tratamento de riscos pode incluir medidas proativas para reduzir a probabilidade de ocorrência de eventos de segurança que possam interromper os serviços.

Por outro lado, a NBR ISO 22301 se concentra na gestão de continuidade dos negócios. Ela orienta as organizações a planejar, estabelecer, implementar, operar, monitorar, revisar, manter e melhorar continuamente um sistema de gestão documentado para proteger contra, reduzir a probabilidade de ocorrência, preparar-se para, responder a e se recuperar de interrupções disruptivas quando elas ocorrem.

Em ambas as normas, a ênfase está na implementação de estratégias proativas para gerenciar riscos, incluindo aqueles que podem levar a interrupções dos serviços. Isso pode envolver uma variedade de medidas, como sistemas de backup, planos de recuperação de desastres, redundâncias e treinamento de funcionários.

Portanto, o item está "Certo". As normas recomendam que a organização tome medidas proativas para reduzir a probabilidade de interrupção dos serviços ou para diminuir o tempo de interrupção quando estes riscos são identificados.