D Curso 274869 Aula 02 Prof Andre Castro 8332 Completo

Aula 02 (Prof.
André
Castro)
CNU (Bloco 2 - Tecnologia, Dados e
Informação) Conhecimentos Específicos
- Eixo Temático 3 - Gerência e Suporte
da Tecnologia da Informação: Redes -
Autor:
2024 (Pós-Edital)
André Castro
01 de Fevereiro de 2024
André Castro
Aula 02 (Prof. André Castro)
Índice
1) Plano de Continuidade de Negócio e Contingência
..............................................................................................................................................................................................3
2) Plano de Continuidade de Negócio e Contingência - Questões Comentadas - Cebraspe

..............................................................................................................................................................................................
25
3) Plano de Continuidade de Negócio e Contingência - Questões Comentadas - FCC

..............................................................................................................................................................................................
30
4) Plano de Continuidade de Negócio e Contingência - Lista de Questões - Cebraspe

..............................................................................................................................................................................................
35
5) Plano de Continuidade de Negócio e Contingência - Lista de Questões - FCC

..............................................................................................................................................................................................
38
2
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Esse conteúdo tende a ser cobrado de maneira bem tranquila nas provas. São conceitos simples
que trabalharemos e sempre focado nos exercícios e como as bancas têm cobrado tais assuntos.
A essência desse tópico está em manter a disponibilidade e não perder a informação. Falaremos
sobre alguns pontos a respeito destes dois princípios básicos.
Lembrando o conceito de disponibilidade:
DISPONIBILIDADE - O recurso desejado deve estar disponível no momento de sua requisição ou

necessidade a pessoas autorizadas.
Ou seja, se você acessa um site qualquer na Internet e ele está fora do ar, temos um problema de
disponibilidade. Entretanto, o outro conceito atrelado diz respeito a não perder a informação.
Se você teve em seu curso a disciplina de equipamentos de rede de armazenamento ou técnicas

de backup e RAID, você já viu detalhadamente diversos aspectos operacionais que dizem respeito
a manter a informação disponível e não perder tal informação, que, sem dúvida, é o ativo mais
preciso de uma organização.
Por esse motivo, as grandes companhias investem muito dinheiro e recurso para manter os seus
ambientes disponíveis e com implementações que garantam a persistência da informação.
Então para já trabalharmos o nosso primeiro conceito, o Plano de Continuidade de Negócios

(PCN) vai buscar definir uma série de diretrizes, ações, técnicas e recursos para garantir as
questões que já mencionamos.
PCN - Desenvolvimento preventivo de um conjunto de estratégias e planos de ação de maneira

a garantir que os serviços essenciais sejam devidamente identificados e preservados após a
ocorrência de um desastre, até o retorno à situação normal de funcionamento da empresa
dentro do contexto do negócio do qual faz parte.
3
André Castro
Um primeiro ponto a se destacar é que a maneira mais básica de você combater a perda de
informação é duplicá-la. Ou seja, uma informação armazenada em um disco rígido pode ser
copiado para outro para prevenir falhas no disco e perder a informação.
Entretanto, colocar os dois discos em um mesmo servidor pode não ser suficiente, uma vez que
um problema grave nesse servidor pode danificar os dois discos. Então, nessa perspectiva, coloca-
se a informação em discos diferentes e em servidores diferentes.
Novamente, podemos ter um novo problema. E se o Datacenter em questão pega fogo e destrói
todos os servidores?
Nesse sentido, é o caso de pensar em duplicar o Datacenter... Agora, ao duplicá-lo, é necessário

mantê-lo ativo e compartilhando os recursos?
Todas essas questões devem ser consideradas quando se busca construir um PCN. Bem como um
plano de recuperação de desastres justamente para definir a forma como agir em determinadas
circunstâncias.
Um ponto que devemos ressaltar é que a utilização de ambientes temporários para essa finalidade
não é uma OBRIGAÇÃO. Portanto, eles podem ou não ser utilizados a depender da criticidade.
Lembrando que tudo envolve custos a serem considerados nas estratégias das organizações.
Partindo das nossas considerações feitas até agora, um outro ponto que surge para nossa atenção
diz respeito à distância entre estes SITES ou DATACENTERS.
Como a ideia é justamente suportar grandes catástrofes, a recomendação é que fiquem em

distâncias consideráveis para suportar eventuais catástrofes que venham a dizimar uma cidade
inteira.
Pessoal, um ponto que merece o nosso destaque é referente à necessidade de se validar e verificar
se os planos estão devidamente escritos e são executáveis.
A título de exemplo, no ambiente COLDSITE, é importante que de vem em quando se faça a

atividade de subir o ambiente e verificar se tudo está funcionando e, se os tempos previstos, ações,
pessoas e todo o resto envolvido está dentro das conformidades.
Alguns autores tratam esse processo no âmbito de auditoria do PCN, outros consideram como
simples ação de monitoramento e operação do PCN. Imagine todo o investimento feito para, no
caso da necessidade, descobrir que as baterias de um no-break por exemplo, estavam
descarregadas.
Então é muito importante verificar e testar o plano de maneira periódica.
4
André Castro
No que tange ao plano, precisamos saber também a sua composição em termos dos subplanos:
Plano de Contingência (emergênciA) – PC
Deve ser utilizado em último caso, quando todas as prevenções tiverem falhado. Define as
necessidades e ações mais imediatas.
Plano de Administração de Crises – PAC
Define funções e responsabilidades das equipes envolvidas com o acionamento das ações de
contingência, antes durante e após a ocorrência.
Plano de Recuperação de Desastres – PRD
Determina o planejamento para que, uma vez controlada a contingência e passada a crise, a
empresa retome seus níveis originais de operação.
Plano de Continuidade Operacional - PCO
Seu objetivo é reestabelecer o funcionamento dos principais ativos que suportam as operações
de uma empresa, reduzindo o tempo de queda e os impactos provocados por um eventual
incidente. Um exemplo simples é a queda de conexão à internet.
Além disso, o PCN deve considerar os aspectos abaixo em seus respectivos PLANOS DE AÇÕES:
• como o PCN é ativado;

• as pessoas responsáveis por ativar o plano de continuidade de negócios;
• o procedimento que esta pessoa deve adotar ao tomar esta decisão;
• as pessoas que devem ser consultadas antes desta decisão ser tomada;
• as pessoas que devem ser informadas quando a decisão for tomada;
• quem vai para onde e quando;
• quais serviços estão disponíveis, aonde e quando, incluindo como a organização mobilizará
seus recursos externos e de terceiros;
• como e quando esta informação será comunicada e
• se relevante, procedimentos detalhados para soluções manuais, recuperação dos sistemas etc.
5
André Castro
CESPE / CEBRASPE / Prefeitura de Aracaju - SE
Em relação a segurança e continuidade de negócio, para impedir que as atividades de uma

organização sejam interrompidas, é necessária a implementação de um plano de continuidade do
negócio. Esse plano
A) deve ser independente do planejamento.
B) deve procurar garantir a proteção de funcionários, materiais, transporte e instalações.
C) deve considerar apenas os recursos ambientais da empresa, por ser um documento geral e de
alto nível.
D) deve ser restrito e do conhecimento de poucas pessoas na organização, por ser estratégico e
altamente crítico.
E) deve ser dissonante da política de segurança da informação.
Comentários:
Importante ter esse aspecto no radar, conforme mencionamos anteriormente, a respeito da

importância das pessoas e demais recursos, no que tange a sua proteção.
Todos os outros itens, criam um modelo de desconexão com outras estratégias e estruturas de
planejamento e governança da instituição, o que não é adequado aos procedimentos da gestão
de continuidade de negócios.
Gabarito: B
FCC – DPE-RS /Analista – Segurança da Informação/2017
O Plano de Continuidade dos Negócios é um roteiro de operações contínuas para quando as

operações normais dos negócios são interrompidas por condições adversas. O Plano de
Continuidade dos Negócios
A) deve incluir, dentre outras coisas, a definição dos cenários de impacto e a análise de ameaças
e riscos.
6
André Castro
B) deve ser de responsabilidade do departamento de TI, que é considerado o único com

competências necessárias para conter possíveis desastres.
C) também é conhecido como Plano de Recuperação de Desastres, uma vez que inclui ações para
retornar a organização a seus níveis originais de operação.
D) deve possuir ações genéricas para conter qualquer tipo de desastre, evitando assim que tenha
que ser revisado periodicamente.
E) deve ser executado integralmente em resposta a incidentes que causem interrupção total ou
parcial das operações normais de negócios.
Comentários:
Pessoal, o PCN é construído após diversas ações, conforme vimos em nossa teoria. E nesse
contexto, em umas das fases, inclui-se a definição dos cenários de impacto e a análise de ameaças
e riscos.
Em relação aos demais itens, vamos aos erros e considerações:
B) Considerar o departamento de TI como o único com essas competências é uma falha. Vimos a
necessidade de se envolver a alta direção, a organização como um todo em termos da
conscientização, entre outros.
C) O Plano de Recuperação de Desastres é um subplano, sendo parte do PCN.
D) O PCN deve ser revisado periodicamente. A questão traz o contrário.
E) Ele pode ser executado parcialmente, conforme vimos em nossa teoria.
Gabarito: A
O referido assunto é tratado em diversos concursos com diversas variações de chamadas às

normas, mas, na prática, sempre alcançam os pontos em comum da norma.
Diversos aspectos são cobrados em prova de maneira tangencial, ou seja, não se cobra
exatamente a norma, mas sim aspectos gerais que também são previstos na norma.
Estabelecendo, portanto, a nossa linha de base, temos:
7
André Castro
• ABNT NBR ISO/IEC 22301

o Segurança e resiliência — Sistema de gestão de continuidade de negócios —
Requisitos
• ISO 15999 - Substituída pela ABNT NBR ISO/IEC 22313
o Segurança e resiliência — Sistemas de gestão de continuidade de negócios —
Orientações para o uso da ABNT NBR ISO 22301
Nesse sentido, é importante entender o ciclo básico previsto no referido código de boas práticas.
Mais uma vez, segue-se o padrão do PDCA (PLAN, DO, CHECK, ACT). A figura abaixo nos dá uma
visão integrada do processo:
Então o Sistema de Gestão de Continuidade de Negócio contempla 4 etapas básicas que se

encontram no interior do círculo:
1. Entendimento dos Requisitos de Continuidade de Negócio da Organização

2. Determinação das Estratégias de GCN
3. Desenvolvimento e Implementação de GCN: Resposta e Recuperação
4. Exercício, Teste, Manutenção e Análise Crítica de GCN
No centro do Ciclo temos exatamente a Gestão do Programa de GCN.
Além disso, no plano mais externo do processo, temos fase “INCLUINDO A GCN NA CULTURA
DA ORGANIZAÇÃO”.
A gestão de continuidade de negócio deve prever estratégias em eixos específicos no que tange
a recursos de uma organização. Tais recursos são:
8
André Castro
• Pessoas;
• Instalações;
• Tecnologia;
• Informação;
• Suprimentos;
• Partes Interessadas.
É importante entender que a Gestão de Continuidade de negócio está associada, primariamente,

ao princípio da Disponibilidade. Agora, de forma subsidiária, zela também pelo aspecto da
integridade, uma vez que caso os serviços e recursos, entre eles os dados organizacionais, não
retornem na sua estrutura original, gerará problema para fins da gestão do negócio.
A própria ISO 27002 traz o seguinte trecho:
“não permitir a interrupção das atividades do negócio e proteger os processos críticos contra
efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se
for o caso”
Nesse mesmo bojo, já antecipamos ainda a definição do que vem a ser um Plano de Continuidade
de Negócios - PCN, derivado das ações de gestão:
Desenvolvimento preventivo de um conjunto de estratégias e planos de ação de maneira a

garantir que os serviços essenciais sejam devidamente identificados e preservados após a
ocorrência de um desastre, até o retorno à situação normal de funcionamento da empresa
dentro do contexto do negócio do qual faz parte.
Tal plano é uma consequência natural do avanço na maturidade organizacional em gestão de

riscos, com controles derivados deste procedimento.
FCC – Prefeitura de Teresina - PI /Analista Tecnológico – Analista de Negócios/2016
A Gestão de Continuidade de Negócios deve prever estratégias a serem aplicadas a diversos tipos
de recursos de uma organização. Dentre tais recursos incluem-se
A) pessoas e recursos financeiros.
9
André Castro
B) tecnologia, mas não informação.
C) informação e meio ambiente.
D) suprimentos, mas não pessoas.
E) instalações e informações.
Comentários:
Vimos a relação em nossa teoria. Temos, portanto, o item “e” com instalações e informações.
Gabarito: E
CESPE - 2019 - SEFAZ-RS - Auditor Fiscal da Receita Estadual - Bloco I
Acerca do plano de continuidade de negócios (PCN), assinale a opção correta.
A) Para operacionalizar o PCN de uma empresa que já foi elaborado, é altamente recomendável
o desenvolvimento de um sistema de gestão de continuidade de negócios (SGCN).
B) PCN e plano de contingência são sinônimos, uma vez que contemplam os mesmos itens.
C) Os prazos decorrentes de ações realizadas por agentes externos à organização não necessitam
ser considerados para elaboração do PCN dessa organização.
D) Na perspectiva do PCN, o funcionamento de uma empresa deve-se, fundamentalmente, às

variáveis recursos e pessoas.
E) O PCN estabelece controles de segurança da informação como resultado de uma ampla análise
de riscos.
Comentários:
Vamos aos itens:
A) Não há uma dependência direta, e necessidade de estrutura de gestão para se ter o plano e
sua consequente operacionalização. INCORRETO
B) São instrumentos diferentes. O Plano de contingência está contido no plano de continuidade

de negócio. INCORRETO
C) Todos os prazos devem ser observados e respeitados. INCORRETO
10
André Castro
D) Não há essa restrição. Essas duas variáveis são importantes, mas não são as únicas, conforme
nós vimos. INCORRETO
E) Exatamente pessoal. É um processo natural derivado da Gestão de Riscos. CORRETO
Gabarito: E
A gestão do programa está no cerne do processo de GCN. Uma gestão do programa eficiente
estabelece a abordagem da organização à continuidade de negócios.
A participação da alta direção é fundamental para garantir que o processo de GCN seja
corretamente introduzido, suportado e estabelecido como parte da cultura da organização.
Neste ponto, destaca-se a documentação de todo o processo. Convém que os indivíduos

responsáveis por manter a continuidade de negócios devam criar e manter a documentação de
continuidade de negócios.
Isso pode incluir os seguintes documentos:
a) Política de GCN;
• Declaração do Escopo de GCN;
• Termos de Referência de GCN;
b) Análise de impacto dos negócios;
c) Avaliação de riscos e ameaças;
d) Estratégias de GCN;
e) Programa de conscientização;
f) Programa de treinamento;
g) Planos de gerenciamento de incidentes;
h) Planos de continuidade de negócio;
i) Planos de recuperação de negócios;
j) Agenda de testes e relatórios;
k) Contratos e acordos de níveis de serviço;
11
André Castro
É na fase de Gestão que também acontece a GOVERNANÇA em sentido de DESIGNAÇÃO DAS

RESPONSABILIDADES.
ANÁLISE DE IMPACTO NO NEGÓCIO
Convém que a organização defina e documente o impacto de uma interrupção nas atividades
que suportam seus produtos e serviços fundamentais. Esse processo é comumente conhecido
como análise de impacto de negócios.
IDENTIFICAÇÃO DE ATIVIDADES CRÍTICAS
A organização deve categorizar suas atividades de acordo com suas prioridades de recuperação.
Aquelas atividades cuja perda, de acordo com os resultados da Análise de IMPACTO, teriam o
maior impacto no menor tempo e que necessitem ser recuperadas mais rapidamente devem ser
chamadas de “ATIVIDADES CRÍTICAS”. Cada atividade crítica suporta um ou mais produtos ou
serviços.
DETERMINANDO REQUISITOS DE CONTINUIDADE
Convém que a organização estime os recursos que cada atividade necessitará durante sua
recuperação.
AVALIANDO AMEAÇAS A ATIVIDADES CRÍTICAS

(realizando uma avaliação de riscos)
Em um contexto de GCN, convém que o nível de risco seja entendido especificamente no que diz
respeito às atividades críticas da organização e aos riscos de uma interrupção destas. As atividades
críticas têm como base recursos como pessoas, instalações, tecnologia, informações, suprimentos
e partes interessadas.
Convém que a organização entenda as ameaças a esses recursos, as vulnerabilidades de cada

recurso e o impacto que haveria se uma ameaça se tornasse um incidente e causasse uma
interrupção no negócio.
DETERMINANDO ESCOLHAS
Como resultado da Análise de Impacto e da Avaliação de Riscos, convém que a organização

identifique medidas que reduzam o período de interrupção e que:
a) Reduzam a chance de interrupção;
12
André Castro
b) Diminuam o período de interrupção; e

c) Limitem o impacto de uma interrupção dos produtos e serviços fundamentais da
organização.
Estas medidas são conhecidas como mitigação de perdas e tratamento de riscos.
APROVAÇÃO
Convém que a alta direção aprove a lista que documenta os principais produtos e serviços, a
análise de impacto nos negócios e avaliação de riscos, de forma a garantir que o trabalho foi
realizado de forma apropriada e reflete verdadeiramente a realidade da organização.
CESPE – TJ-DFT /Analista Judiciário – Suporte em TI/2015
Cabe à GCN identificar, quantificar e priorizar os riscos aos produtos e aos serviços fundamentais
para uma organização; a análise de risco reconhece as prioridades que farão a organização cumprir
constantemente suas obrigações, mesmo diante de um incidente ou de uma situação de crise.
Comentários:
Questão bem interessante e suave em sua interpretação. A descrição inicial do item traz aspectos
detalhados dos procedimentos que fazem parte da GESTÃO DE RISCOS (ISO 27005) e não da
GCN.
Sem dúvida, parte da GESTÃO DE RISCOS está inserida na GCN, principalmente na fase de
ENTENDIMENTO DE REQUISITOS DE CONTINUIDADE NEGÓCIO, quando falamos de
AVALIAÇÃO DE AMEAÇAS A ATIVIDADES CRÍTICAS.
Mas realmente o detalhamento de quantificar e priorizar os riscos extrapolam esse escopo.
Gabarito: E
Este elemento do ciclo de vida da GCN segue logicamente o elemento “ENTENDENDO A

ORGANIZAÇÃO”. Como resultado da análise anterior, uma organização estará numa posição
apropriada para efetuar a escolha das estratégias de continuidade apropriadas ao alcance de seus
objetivos.
13
André Castro
OPÇÕES DE ESTRATÉGIA
Convém que a organização considere opções estratégicas para suas atividades críticas e para os
recursos que cada atividade consumirá durante sua restauração.
As estratégicas em questão dependem de fatores como:
A) O período máximo de interrupção tolerável da atividade crítica;

B) Os custos de implementação de uma ou mais estratégias;
C) As consequências de não se agir;
Além disso, as referidas estratégias podem considerar contextos diferenciados em termos de

recursos, como:
A) Pessoas;
B) Instalações;
C) Tecnologia;
D) Informação;
E) Suprimentos;
F) Partes Interessadas;
Novamente, deve-se ter a etapa de aprovação das opções de estratégicas adotadas que
comporão o GCN.
ESTRUTURA DE RESPOSTA A INCIDENTES
Convém que a organização defina uma estratégia de resposta a incidentes que permita uma
resposta efetiva e uma recuperação pós-incidente.
14
André Castro
Em termos de resposta rápida, é importante que qualquer incidente possua uma estrutura pré-
definida e simples, permitindo à organização:
a) Confirmar a natureza e extensão do incidente;

b) Tomar controle da situação;
c) Controlar o incidente; e
d) Comunica-se com as partes interessadas.
A imagem a seguir resume as ações e fases a serem consideradas.
Para ajudar no entendimento da imagem, temos nas setas na parte superior, a seguinte ordem:
1. Mitigação de Risco e monitoramento; Teste e Exercício do Plano de Continuidade;

2. Detecção;
3. Resposta;
4. Recuperação;
A criação do Plano de Continuidade de Negócio, conforme mencionamos anteriormente nessa

aula, acontece nesta etapa.
15
André Castro
CESPE / CEBRASPE - 2019 - TJ-AM - Analista Judiciário - Analista de Sistemas
A preparação de um plano de continuidade de negócios pode afetar o propósito da gestão de

riscos de segurança da informação, ao passo que o monitoramento da gestão de riscos pode
resultar em modificação de ferramentas utilizadas, a depender, por exemplo, de como abordar a
continuidade de negócios e sua resiliência diante dos incidentes.
Comentários:
Exatamente pessoal. Importante ter em mente a dinâmica dos planos e instrumentos de

planejamento.
Gabarito: C
PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
O propósito de um plano de continuidade de negócios (PCN) é permitir que uma organização

recupere ou mantenha suas atividades em caso de uma interrupção das operações normais de
negócios.
Os PCN’s são ativados para dar suporte às atividades críticas necessárias para cumprir os objetivos
da organização. Eles podem ser executados integral ou parcialmente e em qualquer etapa da
resposta a um incidente.
PROGRAMA DE TESTES
Convém que um programa de testes esteja consistente com o escopo do PCN, levando em conta
a legislação e as regulamentações em vigor.
Convém que um programa de testes seja criado de forma que, ao longo do tempo, possa ser
garantido objetivamente que o PCN funcionará como previsto quando necessário.
TESTANDO OS PREPARATIVOS DE GCN
Convém que os testes sejam realistas, planejados cuidadosamente e acordados com as partes
interessadas, de modo que haja um risco mínimo de interrupção dos processos de negócio.
Convém que os teste sejam planejados de forma a minimizar a chance de que ocorra um incidente
como resultado direto do teste.
16
André Castro
FCC – TRT – 14ª Região (RO e AC) /Analista Judiciário – TI/2016
Ao participar da elaboração do Plano de Continuidade de Negócios − PCN, um Analista afirmou

corretamente que o PCN
A) é de responsabilidade direta da equipe de TI, pois trata do estabelecimento de procedimentos

que garantirão a recuperação apenas dos ativos de informática.
B) não pode apresentar falhas em seus procedimentos, então estes devem ser testados uma única
vez antes da entrada em vigência do plano.
C) pode ser testado na totalidade, parcialmente ou, ainda, por meio de simulações, quando
ocorrem representações de situação emergencial.
D) é o único requisito de segurança capaz de assegurar que os aspectos de confidencialidade e

disponibilidade da informação sejam preservados durante todo o tempo.
E) terá sua eficácia garantida se forem cumpridas apenas estas regras: treinamento e
conscientização das pessoas envolvidas e processo de manutenção contínua.
Comentários:
Vamos aos itens:
A) Lembrando que a responsabilidade é direta, porém não exclusiva. Mas o erro se encontra na
afirmação de que a recuperação se dará apenas dos ativos de informática. Vimos a relação
completa na questão anterior. ERRADO
B) Os testes devem ser realizados periodicamente, e não apenas uma vez. ERRADO
C) Exatamente pessoal. CORRETO
D) Não é verdade. Há diversos requisitos, principalmente aqueles elencados na ISO 27001 e

27002. ERRADO
E) Não há essa restrição. A norma traz diversas ações a serem consideradas para garantir a eficácia
do GCN. ERRADO
Gabarito: C
17
André Castro
Esta fase é fundamentada em basicamente duas etapas: CONSCIENTIZAÇÃO E TREINAMENTO.
CONSCIENTIZAÇÃO
Convém que a organização tenha um processo para identificar e implementar os requisitos de

conscientização de GCN e para avaliar a eficiência desta implementação.
O programa de CONSCIENTIZAÇÃO deve incluir:
a) Um processo de consulta junto a toda a equipe sobre a implementação do programa de

GCN; ==14b95d==
b) Discussão de GCN nos informativos, apresentações, programas ou reportes diários da

organização;
c) Inclusão da GCN nas páginas pertinentes da web ou da intranet;
d) Aprendizado por meio de incidentes internos ou externos;
e) GCN como um tópico nas reuniões de equipe;
f) Testes de planos de continuidade em locais alternativos, por exemplo, um local de
recuperação; e
g) Visitas a esses locais alternativos;
TREINAMENTO
Convém que a organização possua um processo para identificar e implementar os requisitos de

treinamento de GCN e para avaliar a eficiência desta implementação.
Convém que habilidade e competências de resposta na organização sejam desenvolvidas por meio
de treinamentos práticos, incluindo participação ativa em testes.
Um assunto que aparece em prova é relativo às estratégias de redundância ou contingência de

DATACENTERS.
Esse contexto básico deve ser pensado respeitando restrições e considerações orçamentárias de
projeto, pois é fundamental que os custos associados nos controles de Continuidade de Negócio
estejam aderentes ao valor da informação e operação da organização.
Quanto maior o nível de resiliência, ou seja, de garantia da disponibilidade e resistência a

interrupções, maior será o investimento a ser realizado e custo de operação a ser mantido.
18
André Castro
Nessa perspectiva, temos três tipo básicos de redundância de sites, a saber:
1. MIRROR SITE – Replicação completa e em tempo real entre os dois ambientes. Redundância
plena. Os dois DATACENTERS ficam funcionando ativamente e compartilhando recursos.
No caso da falha de um, não há qualquer prejuízo dos dados e, inclusive, da disponibilidade
dos serviços que estão sendo providos pelos DATACENTERS.
2. HOTSITE – Muitas referência nem consideram o termo MIRROR SITE e considera o HOTSITE
como aquela categoria. Entretanto, aqueles que os diferenciam, trazem somente o aspecto
de que o HOTSITE não possui uma sincronização dos dados em tempo real. Os dois
ambientes estão funcionais, porém, há um atraso de sincronização de minutos ou horas,
com rotinas periódicas de sincronização.
3. COLDSITE - Neste caso, tem-se um outro ambiente com a infraestrutura necessária e
suficiente para o reestabelecimento do serviço sem prejuízo das informações. Este novo
ambiente não está ativo e compartilhando recursos com o ambiente original como o
HOTSITE. Ou seja, em caso de falha do primeiro, tem-se um pequeno intervalo de
indisponibilidade, que seria o tempo necessário para “ligar” o novo DATACENTER que já
estava preparado.
4. GREYSITE – É um procedimento intermediário. Geralmente quando aparece em prova, traz
uma perspectiva relativa aos outros dois para equilibrar os investimentos.
Importante sempre lembrarmos que há uma questão geográfica envolvida, e quando falamos
dessas estruturas de redundância e contingência, deve-se buscar regiões distantes o suficiente
para resistirem a catástrofes naturais em grande escala ou ainda a atentados, como foi o caso
ocorrido no World Trade Center nos Estados Unidos.
19
André Castro
Na ocasião, a redundância criada existia nos dois prédios. E quando, infelizmente, houve o
atentado naquela magnitude, muitas empresas perderam tudo, pois a redundância existita entre
os edifícios.
CESPE / CEBRASPE - 2020 - TJ-PA - Analista Judiciário - Análise de Sistemas (Suporte)
Determinado tribunal atende atualmente 325 estruturas judiciárias, entre as quais, 112 comarcas,
promovendo acesso aos sistemas judiciários e salvaguarda dos processos digitais. Em razão da
importância regional do tribunal, foi implantada uma gestão de risco institucional, com o objetivo
de identificação, mensuração e tratamento do risco, com intuito de atender a população de forma
ininterrupta. Alinhado com o processo de risco, foi disparado o processo de continuidade de
negócio, tendo ficado a cargo do gestor da área de tecnologia da informação e comunicações
(TIC) o plano de recuperação de negócio. O datacenter do tribunal conta com sala cofre, nobreaks,
geradores, equipamentos de refrigeração e sistema de supressão de incêndio de alta
disponibilidade. Estima-se em torno 15 dias a recuperação do ambiente a partir do zero, o que
significa reconfigurar todos os servidores e posteriormente recuperar os becapes. A restauração
dos serviços críticos para um ambiente secundário, no qual já estejam configurados os servidores,
mas necessitam de sincronização dos dados, leva em torno de dois dias. O tempo total de
recuperação de negócio dos serviços críticos de TIC do tribunal não pode exceder três dias. Outro
ponto de interesse é o cenário de restrição econômica do país, refletido no tribunal.
Considerando o cenário hipotético apresentado no texto 4A04-III, para o planejamento de

recuperação de negócio e com o objetivo de atender o tempo de recuperação dos serviços
críticos, a replicação do datacenter em outro sítio
A) é recomendada com o método de hot-site.
B) é recomendada com o método de mobile-site.
C) é recomendada com o método de cold-site.
D) é recomendada com o método de mirror-site.
E) não é recomendada, haja vista a proteção existente no sítio principal.
Comentários:
20
André Castro
Pessoal, na linha do que falamos, o HOTSITE viria como uma alternativa menos onerosa quando
comparado com o MIRROR SITE. Então teria a garantia da sensibilidade dos dados e serviços, mas
com um custo menor.
Gabarito: A
Seguindo a nossa jornada pessoal, vamos falar rapidamente sobre mais alguns conceitos
relativos a métricas que são utilizadas no contexto da Gestão de Continuidade de Negócios.
De forma bem objetiva, vamos conhecê-las:
1. BIA – Business Impact Analysis (Análise de Impacto de Negócio) – Diz respeito a análise
feita na instituição para ter uma noção dos impactos de negócio frente a eventuais
interrupções e tempo de indisponibilidade. Com base nessas informações, é possível
derivar e definir as demais variáveis para representar a realidade da organização.
2. RTO - Recovery Time Objective (Objetivo de Recuperação de Tempo) – Diz respeito ao

tempo que será definido como objetivo para recuperação dos serviços essenciais ou
críticos. É um objetivo, logo, é um tempo futuro que se espera alcançar.
3. RTA - Recovery Time Actual (Tempo de Recuperação Atual) – Diz respeito ao tempo
corrente em uma eventual interrupção. De forma simples, “diz-se que se passaram 2 horas
de ação, após a interrupção. Esse é o tempo atual.”
4. RPO – Recovery Point Objective (Objetivo de Ponto de Restauração) – Foca em período

passado, ou seja, o tempo que haverá perda para fins de recuperação dos dados a partir
da restauração do backup. Importante ter em mente que, em que pese haja o backup, há
uma perda real de informação entre o último backup e o momento da interrupção.
Justamente esse tempo é definido no RPO. Ou seja, quanto tempo eu posso perder de
informação? Se é uma instituição que tem atualização intensa de suas bases de dados,
pouco tempo pode gerar muita informação, e a perda pode ser muito grande. Esse é o
estudo que se chega derivado do BIA.
5. MAO – Maximum Acceptable Outage ou MTPD. Maximum Tolerable Period of

Disruption (Tempo Máximo de Tolerância para Período de Disrupção) – Apesar do RTO, há
um limite máximo aceitável para que a organização não sofra danos irreparáveis. Aqui,
basicamente trata-se de uma gestão de riscos, onde o RTO tem que ser menor que o MAO,
para ter uma margem de erro.
6. WRT – Work Recovery Time (Tempo de Recuperação de Trabalho) – Após a recuperação

dos servicços críticos e essenciais, há a necessidade de recuperação dos demais serviços,
21
André Castro
sistemas e ambientes de trabalho dos colaboradores. Nesse sentido, define-se o WRT que
é para a recuperação plena da organização.
7. MTTR - Mean Time To Repair (Tempo Médio de Reparo) – Trata-se de uma métrica de
referência que estima quanto tempo, em média, se gasta para recuperar um ativo ou um
serviço. Utiliza-se base histórica de registros e reparos para tal indicador. Essa métrica
compõe o plano de continuidade de negócios e precisa estar contido dentro do RTO
esperado.
8. MTBF - Mean Time Between Failure (Tempo Médio entre Falhas) – Da mesma forma, uma
métrica de referência, agora no sentido de tentar prever quando poderá haver uma nova
falha. Vê-se nos equipamentos que, de tanto em tanto tempo, ele dá um problema. Então
pode-se ter uma percepção de que o SGDB, por exemplo, a cada 8 meses, dá algum
problema inesperado. Isso ajuda a prever determinados comportamentos ou já tentar
antecipar ações reativas.
Agora de uma forma visual, vamos tentar encaixar alguns conceitos na imagem a seguir:
Vejam que o eixo central retrata a condição da empresa e seus serviços. Então havia um
comportamento normal, com um backup realizado rotineiramente. Logo em seguida, teve-se o
desastre que gerou a interrupção.
O tempo entre o último backup e o desastre, é o RPO, que representa justamente o tempo de
perda de dados e informações, por não ter havido um novo backup.
Em seguida, tem-se ainda um outro conceito de ICT, que basicamente retrata o tempo de
reação das equipes para iniciar a operacionalização dos planos estabelecidos, no caso, o plano
A partir do início, busca-se recuperar os serviços essenciais, representado pelo termo “limited”
no eixo principal. Esse tempo de recuperação é jsutamente o RTO. A partir da recuperação dos
serviços básicos e essenciais, busca-se o funcionamento completo, que seria o WRT, com
22
André Castro
posterior recuperação completa dos ambientes e realização de um novo backup, agora com o
sistema recuperado.
CESPE / CEBRASPE - 2020 - TJ-PA - Analista Judiciário - Análise de Sistemas (Suporte)
Um Auditor Fiscal da área de Tecnologia da Informação foi incumbido de identificar quais

unidades, operações e processos de negócios são essenciais para a sobrevivência da organização
e avaliar os impactos financeiros, operacionais e de serviços de uma interrupção nesses processos.
Deverá, inicialmente, avaliar as áreas funcionais selecionadas para determinar a resistência da
infraestrutura para suportar a disponibilidade de informações. Ao final, deverá construir um
relatório detalhando os possíveis incidentes e seus impactos (dinheiro ou tempo) nas funções de
negócios. Com base nestes impactos potenciais associados à inatividade, a organização irá
priorizar e implementar contramedidas para diminuir os riscos de tais interrupções e detalhar estas
contramedidas no Plano de Continuidade de Negócio. O trabalho que o Auditor executou
constitui o que é chamado de
A) Compliance Analysis - COMA.
B) Business Impact Analysis - BIA.
C) Vulnerability Analysis - VANA.
D) Vulnerability Operacional Analysis - VOA.
E) Business Process Management - BPM.
Comentários:
Vejam que a questão retrata justamente o estudo e análise por parte do auditor para interagir com
as áreas de tentar coletar os impactos. Esse é o BIA.
Gabarito: B
Ano: 2021 Banca: FGV Órgão: Banestes Prova: FGV - 2021 - Banestes - Analista em Tecnologia da
Informação - Segurança da Informação
Um plano consistente de continuidade de negócios deve possuir índices RTO e RPO bem
dimensionados.
Um plano que estabelece uma meta RTO de 24 horas e um RPO de 5 horas significaria que:
A) é aceitável um sistema ficar indisponível por até 24 horas depois de um desastre, seja natural
ou ocasionado por erro humano;
23
André Castro
B) as operações devem retornar à normalidade em até 5 horas após a identificação de um desastre,

sem perder nenhuma transação de negócio;
C) uma perda de até as últimas 24 horas de transações de negócios seria tolerável;
D) é esperado perder mais de 5 horas de transações de negócios diante de um desastre natural;
E) as operações devem retornar à normalidade em até 5 horas quando as falhas são provocadas
por erro humano, e em até 24 horas quando decorrentes de desastres naturais.
Comentários:
Pessoal, questão conceito! RTO significa a aceitação do sistema ficar indisponível por até 24 horas
(sistema básico ou essencial), independente da causa. E as 5 horas representa o tempo aceitável
para perdas de transações e registros frente ao último backup.
Gabarito: A
2021 Banca: FGV Órgão: TCE-AM Prova: FGV - 2021 - TCE-AM - Auditor Técnico de Controle
Externo - Tecnologia da Informação - 2ª dia
Para preparar um plano de continuidade, o diretor de TI solicitou informações sobre os valores já

mapeados da métrica RPO (Recovery Point Objective).
Essa métrica está relacionada ao:
A) prazo para acionar o plano de recuperação de desastre, após um incidente;
B) tempo máximo entre o último backup realizado com sucesso e o momento de uma parada nas
operações;
C) período médio de ocorrência de incidentes;
D) tempo que as operações levam para voltar ao normal, após uma parada;
E) período mínimo entre backups incrementais.
Comentários:
Mais uma questão para reforçarmos o conceito do RPO. O destaque aqui fica por conta de lembrar
de que o backup precisa ter sido realizado com sucesso e o procedimento de restauração também
tem que funcionar, se não, haverá perda ainda maior, pois terá que ser acionado o penúltimo
backup.
Gabarito: B
24
André Castro
1. (CESPE – EBSERH /Analista de Tecnologia da Informação/2018) Como medida necessária para

viabilizar a operação alternativa dos negócios da organização em caso de indisponibilidade dos
recursos originais, o plano de continuidade de negócios estabelece que esses recursos sejam
sistematicamente mantidos em duplicidade.
Comentários:
Pessoal, existem técnicas que não necessariamente dependem de duplicidade, como o RAID 5 e
6 por exemplo que trabalham com recursos de paridade.
Além disso, a criticidade de negócio e importância da informação é fator a ser levado em conta
no momento de decisão sobre as melhores estratégias para se garantir a disponibilidade, não se
aplicando, necessariamente, a todos os recursos.
Desse modo, o problema da questão foi dizer que é uma condição necessária.
Gabarito: E
2. (CESPE – EBSERH /Analista de Tecnologia da Informação/2018) Uma auditoria no plano de

continuidade de negócios de uma organização precisa verificar se o plano é exequível e se o
pessoal está treinado para executá-lo.
Comentários:
Conforme vimos em nossa teoria, certo pessoal?
De fato, é necessário verificar e garantir o seu funcionamento, tanto em termos dos recursos
envolvidos, como das pessoas.
Gabarito: C
3. (CESPE – TRE-BA /Analista Judiciário – Análise de Sistemas/2017) Conforme a ABNT NBR

15999-1 — gestão de continuidade de negócios (GCN) —, a criação e a manutenção da
documentação de continuidade de negócios são atividades realizadas no elemento do ciclo de
vida referente
A) ao entendimento da organização.
B) à determinação da estratégia de continuidade de negócios.
25
André Castro
C) ao desenvolvimento e à implementação de resposta de GCN.
D) à inclusão da GCN na cultura da organização.
E) à gestão do programa de GCN.
Comentários:
Comentamos em nossa teoria que a Gestão do Programa de CGN é que contempla todos os
aspectos de documentação no âmbito da norma.
Gabarito: E
4. (CESPE – TRE-BA /Técnico Judiciário – Programação de Sistemas/2017) As atividades

pertinentes à fase de inclusão e conscientização da gestão de continuidade de negócios (GCN) na
cultura de uma organização incluem o(a)
A) separação das habilidades fundamentais das pessoas, de modo a reduzir a concentração do

risco na organização.
B) nomeação do principal responsável pela análise crítica, correção e atualização do plano em

intervalos regulares na organização.
C) organização e treinamento adequados da equipe responsável pela GCN da organização.
D) estabelecimento do período máximo de interrupção tolerável de cada atividade da

organização.
E) discussão de GCN em informativos, apresentações, programas ou comunicados diários da

organização.
Comentários:
Mais uma vez vamos relembrar o que é contemplado no programa de CONSCIENTIZAÇÃO:
a) Um processo de consulta junto a toda a equipe sobre a implementação do programa de

GCN;
b) Discussão de GCN nos informativos, apresentações, programas ou reportes diários da
organização;
c) Inclusão da GCN nas páginas pertinentes da web ou da intranet;
d) Aprendizado por meio de incidentes internos ou externos;
e) GCN como um tópico nas reuniões de equipe;
f) Testes de planos de continuidade em locais alternativos, por exemplo, um local de
recuperação; e
26
André Castro
g) Visitas a esses locais alternativos;
Gabarito: E
5. (CESPE – TRT – 8ªRegião (PA e AP) /Analista Judiciário – TI/2016) Um dos objetivos da gestão
de continuidade de negócios é
A) prover recursos financeiros suficientes para evitar que os sistemas operacionais da organização
sejam atingidos por falhas ou desastres.
B) assumir a gestão de riscos dos recursos de TI para garantir e manter a operacionalidade da

organização.
C) proteger os processos críticos da organização contra impactos causados por falhas ou

==14b95d==
desastres.
D) tornar a organização cada vez menos dependente de tecnologia e de sistemas computacionais.
E) responsabilizar a gerência de segurança da informação pela implementação integral do plano

Comentários:
Pessoal, vimos que o cerne da Gestão de Continuidade de Negócios reside em manter o

funcionamento dos processos críticos da organização, zelando pela sua informação e
disponibilidade.
Gabarito: C
6. (CESPE – TJ-DFT /Analista Judiciário – Suporte em TI/2015) Cabe à GCN identificar, quantificar
e priorizar os riscos aos produtos e aos serviços fundamentais para uma organização; a análise de
risco reconhece as prioridades que farão a organização cumprir constantemente suas obrigações,
mesmo diante de um incidente ou de uma situação de crise.
Comentários:
Questão bem interessante e suave em sua interpretação. A descrição inicial do item traz aspectos
detalhados dos procedimentos que fazem parte da GESTÃO DE RISCOS (ISO 27005) e não da
GCN.
Sem dúvida, parte da GESTÃO DE RISCOS está inserida na GCN, principalmente na fase de
ENTENDIMENTO DE REQUISITOS DE CONTINUIDADE NEGÓCIO, quando falamos de
AVALIAÇÃO DE AMEAÇAS A ATIVIDADES CRÍTICAS.
27
André Castro
Mas realmente o detalhamento de quantificar e priorizar os riscos extrapolam esse escopo.
Gabarito: E
7. (CESPE – TJ-DFT /Analista Judiciário – Suporte em TI/2015) Em uma visão de GCN, sistemas,
processos e pessoas envolvidas nas atividades da organização devem ser mapeados. Na visão da
GCN não é necessário fazer levantamento de possíveis ameaças e análise de risco, já que isso é
objetivo de outras áreas da segurança da informação.
Comentários:
Complementando o nosso comentário do item anterior, na mesma linha do que conversamos. O

erro se encontra no final ao dizer que não é necessário fazer levantamento. Já vimos que o
levantamento, em termos de identificação e avaliação, é necessário.
Mas daí pra frente, extrapola o GCN, sendo previsto, de fato, em outras áreas, como a própria
ISO 27005.
Gabarito: E
8. (CESPE – TJ-DFT /Analista Judiciário – Suporte em TI/2015) Ao se estabelecer a visão proposta

pela equipe de resposta a incidentes, é importante que esta seja comunicada a outros indivíduos
da organização para fins de contribuição mútua. Essa circunstância permite identificar, antes da
implementação, problemas organizacionais ou no processo da equipe de resposta a incidentes.
Comentários:
Pessoal, essa questão serve para complementarmos a nossa teoria.
Sem dúvida a comunicação e articulação interna é fundamental, conforme nós vimos. E esse
processo corrobora para a identificação de problemas prévios.
Gabarito: C
9. (CESPE – TJ-DFT /Analista Judiciário – Suporte em TI/2015) O plano de continuidade do

negócio de uma organização deve considerar a existência de ambientes temporários alternativos
como forma de garantir o retorno de serviços considerados críticos e que exijam um menor tempo
de recuperação.
Comentários:
Vimos que a utilização desses ambientes temporários não é OBRIGATÓRIO. Portanto, no lugar do
“DEVE”, deveríamos ter “PODE”.
28
André Castro
Gabarito: E
10. (CESPE – MEC /Analista de Segurança/2015) No processo de terceirização de serviços de

segurança da informação, a contratação de um estudo de análise de impacto nos negócios
apresenta maior risco à continuidade ou sustentação organizacional, quando comparada à
contratação de um serviço terceirizado para a gestão de riscos de segurança da informação.
Comentários:
Questão de interpretação, certo pessoal?
Dizer que o impacto é maior associado a estudos em relação à gestão de fato é uma inverdade.
Gabarito: E
11. (CESPE – MEC /Gerente de Suporte/2015) Para realizar análises críticas da eficácia do sistema
de gestão de segurança da informação a intervalos planejados, a organização deve ter em conta
os incidentes de segurança da informação mais graves do período, e desconsiderar eventuais
sugestões dos atores envolvidos que não estejam relacionadas aos incidentes observados.
Comentários:
Pessoal, já vimos a importância de se ter a comunicação constante, principalmente para coletar

contribuições e identificar falhas nos processos e pessoas.
Então não há o que falar em restringir a contribuição àqueles envolvidos diretamente nos
incidentes. Fora isso, o resto da questão está ok.
Gabarito: E
29
André Castro
1. (FCC – DPE-AM /Analista em gestão – Analista de Sistema/2018) Um Plano de Continuidade de

Negócios pode ser estruturado em quatro outros planos ligados entre si, cada qual criado para
cuidar de um estágio diferente:
I. Define funções e responsabilidades das equipes envolvidas com o acionamento das ações de
II. Deve ser utilizado em último caso, quando todas as prevenções tiverem falhado. Define as
III. Seu objetivo é reestabelecer o funcionamento dos principais ativos que suportam as operações
IV. Determina o planejamento para que, uma vez controlada a contingência e passada a crise, a
O plano
A) II se refere ao Plano de Gerenciamento de Crises.
B) III se refere ao Plano de Recuperação de Desastres.
C) I se refere ao Plano de Continuidade Operacional.
D) III se refere ao Plano de Contingência.
E) IV se refere ao Plano de Recuperação de Desastres.
Comentários:
Vamos aos itens:
I – Plano de Administração de Crises;
II – Plano de Contingência;
III – Plano de Continuidade Operacional;
IV – Plano de recuperação de Desastres;
30
André Castro
Gabarito: E
2. (FCC – DPE-RS /Analista – Segurança da Informação/2017) O Plano de Continuidade dos

Negócios é um roteiro de operações contínuas para quando as operações normais dos negócios
são interrompidas por condições adversas. O Plano de Continuidade dos Negócios
e riscos.

==14b95d==
Comentários:
Pessoal, o PCN é construído após diversas ações, conforme vimos em nossa teoria. E nesse
contexto, em umas das fases, inclui-se a definição dos cenários de impacto e a análise de ameaças
e riscos.
Em relação aos demais itens, vamos aos erros e considerações:
B) Considerar o departamento de TI como o único com essas competências é uma falha. Vimos a
necessidade de se envolver a alta direção, a organização como um todo em termos da
conscientização, entre outros.
C) O Plano de Recuperação de Desastres é um subplano, sendo parte do PCN.
D) O PCN deve ser revisado periodicamente. A questão traz o contrário.
E) Ele pode ser executado parcialmente, conforme vimos em nossa teoria.
Gabarito: A
3. (FCC – TRT – 24ª Região (MS) /Técnico Judiciário - TI/2017) Considere a lista a seguir:
1. Um processo para ativar a resposta da organização a um incidente de interrupção e, dentro de

cada procedimento documentado, seus critérios e procedimentos de ativação.
31
André Castro
2. Um processo para desmobilizar equipes após o incidente ter passado.
3. Regras e padrões para proteção das informações, possibilitando manter a confidencialidade,

integridade e disponibilidade.
4. Papéis e responsabilidades definidos para pessoas e equipes que usarão o plano.
5. Orientações e critérios sobre quem tem a autoridade de invocar os procedimentos e sob quais
circunstâncias.
6. A definição clara de como serão tratadas as informações pessoais, sejam elas de clientes,
usuários ou funcionários e as informações institucionais.
7. Gestão das consequências imediatas de um incidente de interrupção considerando as questões

de bem-estar de pessoas afetadas, as ações para responder a interrupção e prevenção.
8. Detalhes de contato para os membros da equipe e outras pessoas com funções e

responsabilidades dentro de cada procedimento.
9. Detalhes indicando como e em que circunstâncias a organização irá se comunicar com os

funcionários, com as principais partes interessadas e contatos de emergência.
No Plano de Continuidade de Negócio deve estar claramente identificável o que consta em 1, 2,
A) 3, 4, 5 e 7.
B) 7, 8 e 9.
C) 3, 6 e 8.
D) 3, 4, 5, 6, 7 e 9.
E) 4, 5, 7, 8 e 9.
Comentários:
Pessoal, apenas o item 3 não faz parte do rol, pois está relacionado às normas ISO 27001 e 27002.
Gabarito: E
4. (FCC – Prefeitura de Teresina - PI /Analista Tecnológico – Analista de Negócios/2016) Um dos

objetivos principais da Gestão de Continuidade de Negócios é
A) promover avaliação de desempenho dos responsáveis pela organização.
32
André Castro
B) identificar as ameaças à organização e seus impactos, bem como prover resiliência a tais
ameaças.
C) realizar um estudo para contenção dos gastos da organização.
D) promover um ambiente harmonioso entre os funcionários da organização.
E) substituir o parque computacional da organização a cada 2 anos.
Comentários:
Pessoal, apenas uma forma mais bonita de se escrever, mas temos o nosso gabarito na letra B, ao
identificar as ameaças e impactos, e construir planos para sustentar o ambiente e informação no
que tange aos serviços essenciais e fundamentais.
Gabarito: B
5. (FCC – Prefeitura de Teresina - PI /Analista Tecnológico – Analista de Negócios/2016) A Gestão

de Continuidade de Negócios deve prever estratégias a serem aplicadas a diversos tipos de
recursos de uma organização. Dentre tais recursos incluem-se
Comentários:
Vimos a relação em nossa teoria:
a) Pessoas;
b) Instalações;
c) Tecnologia;
d) Informação;
e) Suprimentos;
f) Partes Interessadas
Gabarito: E
33
André Castro
6. (FCC – TRT – 14ª Região (RO e AC) /Analista Judiciário – TI/2016) Ao participar da elaboração
do Plano de Continuidade de Negócios − PCN, um Analista afirmou corretamente que o PCN


Comentários:
Vamos aos itens:
a) Lembrando que a responsabilidade é direta, porém não exclusiva. Mas o erro se encontra
na afirmação de que a recuperação se dará apenas dos ativos de informática. Vimos a
relação completa na questão anterior. ERRADO
b) Os testes devem ser realizados periodicamente, e não apenas uma vez. ERRADO
c) Exatamente pessoal. CORRETO
d) Não é verdade. Há diversos requisitos, principalmente aqueles elencados na ISO 27001 e
27002. ERRADO
e) Não há essa restrição. A norma traz diversas ações a serem consideradas para garantir a
eficácia do GCN. ERRADO
Gabarito: C
34
André Castro
1. (CESPE – EBSERH /Analista de Tecnologia da Informação/2018) Como medida necessária para

viabilizar a operação alternativa dos negócios da organização em caso de indisponibilidade dos
recursos originais, o plano de continuidade de negócios estabelece que esses recursos sejam
sistematicamente mantidos em duplicidade.
2. (CESPE – EBSERH /Analista de Tecnologia da Informação/2018) Uma auditoria no plano de
continuidade de negócios de uma organização precisa verificar se o plano é exequível e se o
pessoal está treinado para executá-lo.
3. (CESPE – TRE-BA /Analista Judiciário – Análise de Sistemas/2017) Conforme a ABNT NBR
15999-1 — gestão de continuidade de negócios (GCN) —, a criação e a manutenção da
documentação de continuidade de negócios são atividades realizadas no elemento do ciclo de
vida referente
A) ao entendimento da organização.
B) à determinação da estratégia de continuidade de negócios.
C) ao desenvolvimento e à implementação de resposta de GCN.
D) à inclusão da GCN na cultura da organização.
E) à gestão do programa de GCN.
4. (CESPE – TRE-BA /Técnico Judiciário – Programação de Sistemas/2017) As atividades
pertinentes à fase de inclusão e conscientização da gestão de continuidade de negócios (GCN) na
cultura de uma organização incluem o(a)
A) separação das habilidades fundamentais das pessoas, de modo a reduzir a concentração do
risco na organização.
B) nomeação do principal responsável pela análise crítica, correção e atualização do plano em
intervalos regulares na organização.
C) organização e treinamento adequados da equipe responsável pela GCN da organização.
D) estabelecimento do período máximo de interrupção tolerável de cada atividade da
organização.
E) discussão de GCN em informativos, apresentações, programas ou comunicados diários da
organização.
5. (CESPE – TRT – 8ªRegião (PA e AP) /Analista Judiciário – TI/2016) Um dos objetivos da gestão
de continuidade de negócios é
A) prover recursos financeiros suficientes para evitar que os sistemas operacionais da organização
sejam atingidos por falhas ou desastres.
35
André Castro
B) assumir a gestão de riscos dos recursos de TI para garantir e manter a operacionalidade da

organização.
C) proteger os processos críticos da organização contra impactos causados por falhas ou
desastres.
D) tornar a organização cada vez menos dependente de tecnologia e de sistemas computacionais.
E) responsabilizar a gerência de segurança da informação pela implementação integral do plano
6. (CESPE – TJ-DFT /Analista Judiciário – Suporte em TI/2015) Cabe à GCN identificar, quantificar
e priorizar os riscos aos produtos e aos serviços fundamentais para uma organização; a análise de
risco reconhece as prioridades que farão a organização cumprir constantemente suas obrigações,
mesmo diante de um incidente ou de uma situação de crise.
7. (CESPE – TJ-DFT /Analista Judiciário – Suporte em TI/2015) Em uma visão de GCN, sistemas,
==14b95d==
processos e pessoas envolvidas nas atividades da organização devem ser mapeados. Na visão da
GCN não é necessário fazer levantamento de possíveis ameaças e análise de risco, já que isso é
objetivo de outras áreas da segurança da informação.
8. (CESPE – TJ-DFT /Analista Judiciário – Suporte em TI/2015) Ao se estabelecer a visão proposta
pela equipe de resposta a incidentes, é importante que esta seja comunicada a outros indivíduos
da organização para fins de contribuição mútua. Essa circunstância permite identificar, antes da
implementação, problemas organizacionais ou no processo da equipe de resposta a incidentes.
9. (CESPE – TJ-DFT /Analista Judiciário – Suporte em TI/2015) O plano de continuidade do
negócio de uma organização deve considerar a existência de ambientes temporários alternativos
como forma de garantir o retorno de serviços considerados críticos e que exijam um menor tempo
de recuperação.
10. (CESPE – MEC /Analista de Segurança/2015) No processo de terceirização de serviços de
segurança da informação, a contratação de um estudo de análise de impacto nos negócios
apresenta maior risco à continuidade ou sustentação organizacional, quando comparada à
contratação de um serviço terceirizado para a gestão de riscos de segurança da informação.
11. (CESPE – MEC /Gerente de Suporte/2015) Para realizar análises críticas da eficácia do sistema
de gestão de segurança da informação a intervalos planejados, a organização deve ter em conta
os incidentes de segurança da informação mais graves do período, e desconsiderar eventuais
sugestões dos atores envolvidos que não estejam relacionadas aos incidentes observados.
36
André Castro
GABARITO – QUESTÕES CESPE
1 E 7 E
2 C 8 C
3 E 9 E
4 E 10 E
5 C 11 E
6 E
37
André Castro
1. (FCC – DPE-AM /Analista em gestão – Analista de Sistema/2018) Um Plano de Continuidade de

Negócios pode ser estruturado em quatro outros planos ligados entre si, cada qual criado para
cuidar de um estágio diferente:
I. Define funções e responsabilidades das equipes envolvidas com o acionamento das ações de
II. Deve ser utilizado em último caso, quando todas as prevenções tiverem falhado. Define as
III. Seu objetivo é reestabelecer o funcionamento dos principais ativos que suportam as operações
IV. Determina o planejamento para que, uma vez controlada a contingência e passada a crise, a
O plano
A) II se refere ao Plano de Gerenciamento de Crises.
B) III se refere ao Plano de Recuperação de Desastres.
C) I se refere ao Plano de Continuidade Operacional.
D) III se refere ao Plano de Contingência.
E) IV se refere ao Plano de Recuperação de Desastres.
2. (FCC – DPE-RS /Analista – Segurança da Informação/2017) O Plano de Continuidade dos
Negócios é um roteiro de operações contínuas para quando as operações normais dos negócios
são interrompidas por condições adversas. O Plano de Continuidade dos Negócios
e riscos.
38
André Castro
3. (FCC – TRT – 24ª Região (MS) /Técnico Judiciário - TI/2017) Considere a lista a seguir:
1. Um processo para ativar a resposta da organização a um incidente de interrupção e, dentro de
cada procedimento documentado, seus critérios e procedimentos de ativação.
2. Um processo para desmobilizar equipes após o incidente ter passado.
3. Regras e padrões para proteção das informações, possibilitando manter a confidencialidade,
integridade e disponibilidade.
4. Papéis e responsabilidades definidos para pessoas e equipes que usarão o plano.
5. Orientações e critérios sobre quem tem a autoridade de invocar os procedimentos e sob quais
circunstâncias.
6. A definição clara de como serão tratadas as informações pessoais, sejam elas de clientes,
usuários ou funcionários e as informações institucionais.
==14b95d==
7. Gestão das consequências imediatas de um incidente de interrupção considerando as questões

de bem-estar de pessoas afetadas, as ações para responder a interrupção e prevenção.
8. Detalhes de contato para os membros da equipe e outras pessoas com funções e
responsabilidades dentro de cada procedimento.
9. Detalhes indicando como e em que circunstâncias a organização irá se comunicar com os
funcionários, com as principais partes interessadas e contatos de emergência.
No Plano de Continuidade de Negócio deve estar claramente identificável o que consta em 1, 2,
A) 3, 4, 5 e 7.
B) 7, 8 e 9.
C) 3, 6 e 8.
D) 3, 4, 5, 6, 7 e 9.
E) 4, 5, 7, 8 e 9.
4. (FCC – Prefeitura de Teresina - PI /Analista Tecnológico – Analista de Negócios/2016) Um dos
objetivos principais da Gestão de Continuidade de Negócios é
A) promover avaliação de desempenho dos responsáveis pela organização.
B) identificar as ameaças à organização e seus impactos, bem como prover resiliência a tais
ameaças.
C) realizar um estudo para contenção dos gastos da organização.
D) promover um ambiente harmonioso entre os funcionários da organização.
E) substituir o parque computacional da organização a cada 2 anos.
5. (FCC – Prefeitura de Teresina - PI /Analista Tecnológico – Analista de Negócios/2016) A Gestão
de Continuidade de Negócios deve prever estratégias a serem aplicadas a diversos tipos de
recursos de uma organização. Dentre tais recursos incluem-se
39
André Castro

6. (FCC – TRT – 14ª Região (RO e AC) /Analista Judiciário – TI/2016) Ao participar da elaboração
do Plano de Continuidade de Negócios − PCN, um Analista afirmou corretamente que o PCN
GABARITO – QUESTÕES FCC
1 E 4 B
2 A 5 E
3 E 6 C
40

D Curso 274869 Aula 02 Prof Andre Castro 8332 Completo

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

D Curso 274869 Aula 02 Prof Andre Castro 8332 Completo

Enviado por

Direitos autorais:

Formatos disponíveis

Aula 02 (Prof.

2) Plano de Continuidade de Negócio e Contingência - Questões Comentadas - Cebraspe

3) Plano de Continuidade de Negócio e Contingência - Questões Comentadas - FCC

4) Plano de Continuidade de Negócio e Contingência - Lista de Questões - Cebraspe

5) Plano de Continuidade de Negócio e Contingência - Lista de Questões - FCC

Lembrando o conceito de disponibilidade:

DISPONIBILIDADE - O recurso desejado deve estar disponível no momento de sua requisição ou

Se você teve em seu curso a disciplina de equipamentos de rede de armazenamento ou técnicas

Então para já trabalharmos o nosso primeiro conceito, o Plano de Continuidade de Negócios

PCN - Desenvolvimento preventivo de um conjunto de estratégias e planos de ação de maneira

Nesse sentido, é o caso de pensar em duplicar o Datacenter... Agora, ao duplicá-lo, é necessário

Como a ideia é justamente suportar grandes catástrofes, a recomendação é que fiquem em

A título de exemplo, no ambiente COLDSITE, é importante que de vem em quando se faça a

Então é muito importante verificar e testar o plano de maneira periódica.

Plano de Contingência (emergênciA) – PC

Plano de Administração de Crises – PAC

Plano de Recuperação de Desastres – PRD

Plano de Continuidade Operacional - PCO

• como o PCN é ativado;

CESPE / CEBRASPE / Prefeitura de Aracaju - SE

Em relação a segurança e continuidade de negócio, para impedir que as atividades de uma

A) deve ser independente do planejamento.

B) deve procurar garantir a proteção de funcionários, materiais, transporte e instalações.

E) deve ser dissonante da política de segurança da informação.

Importante ter esse aspecto no radar, conforme mencionamos anteriormente, a respeito da

FCC – DPE-RS /Analista – Segurança da Informação/2017

O Plano de Continuidade dos Negócios é um roteiro de operações contínuas para quando as

B) deve ser de responsabilidade do departamento de TI, que é considerado o único com

Em relação aos demais itens, vamos aos erros e considerações:

C) O Plano de Recuperação de Desastres é um subplano, sendo parte do PCN.

D) O PCN deve ser revisado periodicamente. A questão traz o contrário.

E) Ele pode ser executado parcialmente, conforme vimos em nossa teoria.

O referido assunto é tratado em diversos concursos com diversas variações de chamadas às

Estabelecendo, portanto, a nossa linha de base, temos:

• ABNT NBR ISO/IEC 22301

Então o Sistema de Gestão de Continuidade de Negócio contempla 4 etapas básicas que se

1. Entendimento dos Requisitos de Continuidade de Negócio da Organização

No centro do Ciclo temos exatamente a Gestão do Programa de GCN.

É importante entender que a Gestão de Continuidade de negócio está associada, primariamente,

A própria ISO 27002 traz o seguinte trecho:

Desenvolvimento preventivo de um conjunto de estratégias e planos de ação de maneira a

Tal plano é uma consequência natural do avanço na maturidade organizacional em gestão de

FCC – Prefeitura de Teresina - PI /Analista Tecnológico – Analista de Negócios/2016

A) pessoas e recursos financeiros.

B) tecnologia, mas não informação.

C) informação e meio ambiente.

D) suprimentos, mas não pessoas.

CESPE - 2019 - SEFAZ-RS - Auditor Fiscal da Receita Estadual - Bloco I

Acerca do plano de continuidade de negócios (PCN), assinale a opção correta.

D) Na perspectiva do PCN, o funcionamento de uma empresa deve-se, fundamentalmente, às

Vamos aos itens:

B) São instrumentos diferentes. O Plano de contingência está contido no plano de continuidade

C) Todos os prazos devem ser observados e respeitados. INCORRETO

E) Exatamente pessoal. É um processo natural derivado da Gestão de Riscos. CORRETO

Neste ponto, destaca-se a documentação de todo o processo. Convém que os indivíduos

Isso pode incluir os seguintes documentos:

É na fase de Gestão que também acontece a GOVERNANÇA em sentido de DESIGNAÇÃO DAS

ANÁLISE DE IMPACTO NO NEGÓCIO

IDENTIFICAÇÃO DE ATIVIDADES CRÍTICAS

DETERMINANDO REQUISITOS DE CONTINUIDADE

AVALIANDO AMEAÇAS A ATIVIDADES CRÍTICAS

Convém que a organização entenda as ameaças a esses recursos, as vulnerabilidades de cada

Como resultado da Análise de Impacto e da Avaliação de Riscos, convém que a organização

a) Reduzam a chance de interrupção;