A respeito de gestão de continuidade de negócio (GCN), julgu...

Alternativa correta: E - Errado.

O tema abordado na questão é um pilar fundamental da gestão de continuidade de negócios (GCN), que está diretamente relacionado com a capacidade de uma organização responder a incidentes e interrupções para que possa continuar suas operações a um nível aceitável pré-definido. O Plano de Continuidade de Negócios (PCN) é um documento que define como a organização se recuperará e restaurará suas funções parcial ou completamente após um evento disruptivo.

Uma compreensão errônea comum é pensar que o GCN se concentra apenas em grandes desastres, como desastres naturais ou ataques cibernéticos. No entanto, a GCN é muito mais abrangente e inclui a preparação para uma grande variedade de incidentes, o que certamente envolve a perda de ativos de informação e a mitigação dos impactos causados por essa perda.

Por isso, é esperado que o processo de GCN contemple estratégias para a recuperação de ativos de informação perdidos e a redução do impacto dessa perda sobre a organização. Isso pode envolver backups de dados, sistemas redundantes, acordos com fornecedores de serviços em nuvem, entre outras medidas. Além disso, é importante que o GCN inclua ações para minimizar a probabilidade de ocorrência dessas perdas e planos de resposta para quando elas ocorrerem.

Portanto, a afirmativa de que o processo de GCN não deve prever a recuperação da perda de ativos da informação e a redução de seu impacto sobre a organização é incorreta, pois estas são partes essenciais da gestão de continuidade de negócios. A resposta correta é Errado, pois o GCN deve, sim, prever tanto a recuperação de ativos quanto a redução do impacto da perda sobre as operações da organização.

ERRADO. 

Segundo a ISO 27002,"14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação

Convém que o processo de gestão da continuidade do negócio seja implementado para minimizar um impacto sobre a organização e recuperar perdas de ativos da informação (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e ações intencionais) a um nível aceitável através da combinação de ações de prevenção e recuperação."