A respeito de gestão de continuidade de negócio (GCN), julgu...

Olá, aluno! Vamos conversar sobre a questão referente à gestão de continuidade de negócio (GCN) e esclarecer por que a alternativa correta é ERRADO (E).

O enunciado da questão afirma que "vulnerabilidades são falhas desconhecidas e que não possuem risco identificado; por essa razão, o plano de continuidade do negócio não proporciona tratamento para vulnerabilidades". Para compreender por que essa afirmação está incorreta, vamos detalhar alguns conceitos fundamentais.

Vulnerabilidades são fraquezas ou falhas em um sistema que podem ser exploradas por ameaças. Essas vulnerabilidades podem ser conhecidas ou desconhecidas e representam pontos de risco que podem comprometer a continuidade dos negócios.

O Plano de Continuidade de Negócios (PCN) é um conjunto de procedimentos e estratégias desenvolvidas para garantir que as operações críticas de uma organização possam continuar ou ser rapidamente restabelecidas após uma interrupção. O PCN aborda vários tipos de riscos, incluindo falhas tecnológicas, desastres naturais e, claro, vulnerabilidades.

Portanto, o enunciado está incorreto porque:

• Vulnerabilidades não são apenas falhas desconhecidas. Elas podem ser conhecidas e identificadas como potenciais pontos de falha.
• O PCN tem como um dos seus objetivos principais tratar vulnerabilidades. Isso inclui a identificação, mitigação e monitoramento contínuo dessas vulnerabilidades para minimizar os riscos à continuidade dos negócios.

Agora, vamos revisar por que a alternativa correta é ERRADO (E):

• Vulnerabilidades não se limitam a falhas desconhecidas. Muitas vezes, as vulnerabilidades são identificadas e documentadas.
• O PCN abrange um amplo espectro de riscos, incluindo a gestão e mitigação de vulnerabilidades, sejam elas conhecidas ou não.

Espero que essa explicação tenha esclarecido por que a alternativa correta é ERRADO (E). Se tiver mais dúvidas ou precisar de mais detalhes sobre o conceito de gestão de continuidade de negócios, estou à disposição para ajudar!

ERRADO.

Segundo a ISO 27002, Termos e definições,

"2.17 Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças."

Segundo a ISO 27002,

14.1.3 Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação,

"Diretrizes para implementação

Convém que o plano de continuidade do negócio trate as vulnerabilidades da organização, que pode conter informações sensíveis e que necessitem de proteção adequada."

Assertiva ERRADA. 

Não tem como você tratar de vulnerabilidades pois elas são desconhecidas, mas tem como você incluir elas no plano de negócio pois sabe-se que elas existem. 

"Não tem como você tratar de vulnerabilidades pois elas são desconhecidas, (...)": Cuidado, vulnerabilidades podem muito bem ser conhecidas. Lembrando que vulnerabilidade é inerente ao ativo. Por exemplo, você sabe que seu sistema não possui anti-vírus e pode ser invadido por vírus, hackers, etc (ameaças exploram vulnerabilidades e podem causar incidentes). Dessa forma, a ideia é você fazer uma análise/avaliação de riscos e selecionar controles para combater essas ameaças.

Se eu vejo uma questão que REBAIXA a Gestão de Continuidade de Negócios já fico louco para marcar ERRADO.

Quase todos as boas práticas de TI cita sobre a Gestão de Continuidade