Escolar Documentos
Profissional Documentos
Cultura Documentos
André
Castro)
CNU (Bloco 2 - Tecnologia, Dados e
Informação) Conhecimentos Específicos
- Eixo Temático 3 - Gerência e Suporte
da Tecnologia da Informação: Redes -
Autor:
2024 (Pós-Edital)
André Castro
01 de Fevereiro de 2024
André Castro
Aula 02 (Prof. André Castro)
Índice
1) Plano de Continuidade de Negócio e Contingência
..............................................................................................................................................................................................3
2
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
Esse conteúdo tende a ser cobrado de maneira bem tranquila nas provas. São conceitos simples
que trabalharemos e sempre focado nos exercícios e como as bancas têm cobrado tais assuntos.
A essência desse tópico está em manter a disponibilidade e não perder a informação. Falaremos
sobre alguns pontos a respeito destes dois princípios básicos.
Ou seja, se você acessa um site qualquer na Internet e ele está fora do ar, temos um problema de
disponibilidade. Entretanto, o outro conceito atrelado diz respeito a não perder a informação.
Por esse motivo, as grandes companhias investem muito dinheiro e recurso para manter os seus
ambientes disponíveis e com implementações que garantam a persistência da informação.
3
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
Um primeiro ponto a se destacar é que a maneira mais básica de você combater a perda de
informação é duplicá-la. Ou seja, uma informação armazenada em um disco rígido pode ser
copiado para outro para prevenir falhas no disco e perder a informação.
Entretanto, colocar os dois discos em um mesmo servidor pode não ser suficiente, uma vez que
um problema grave nesse servidor pode danificar os dois discos. Então, nessa perspectiva, coloca-
se a informação em discos diferentes e em servidores diferentes.
Novamente, podemos ter um novo problema. E se o Datacenter em questão pega fogo e destrói
todos os servidores?
Todas essas questões devem ser consideradas quando se busca construir um PCN. Bem como um
plano de recuperação de desastres justamente para definir a forma como agir em determinadas
circunstâncias.
Um ponto que devemos ressaltar é que a utilização de ambientes temporários para essa finalidade
não é uma OBRIGAÇÃO. Portanto, eles podem ou não ser utilizados a depender da criticidade.
Lembrando que tudo envolve custos a serem considerados nas estratégias das organizações.
Partindo das nossas considerações feitas até agora, um outro ponto que surge para nossa atenção
diz respeito à distância entre estes SITES ou DATACENTERS.
Pessoal, um ponto que merece o nosso destaque é referente à necessidade de se validar e verificar
se os planos estão devidamente escritos e são executáveis.
Alguns autores tratam esse processo no âmbito de auditoria do PCN, outros consideram como
simples ação de monitoramento e operação do PCN. Imagine todo o investimento feito para, no
caso da necessidade, descobrir que as baterias de um no-break por exemplo, estavam
descarregadas.
4
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
No que tange ao plano, precisamos saber também a sua composição em termos dos subplanos:
Deve ser utilizado em último caso, quando todas as prevenções tiverem falhado. Define as
necessidades e ações mais imediatas.
Define funções e responsabilidades das equipes envolvidas com o acionamento das ações de
contingência, antes durante e após a ocorrência.
Determina o planejamento para que, uma vez controlada a contingência e passada a crise, a
empresa retome seus níveis originais de operação.
Seu objetivo é reestabelecer o funcionamento dos principais ativos que suportam as operações
de uma empresa, reduzindo o tempo de queda e os impactos provocados por um eventual
incidente. Um exemplo simples é a queda de conexão à internet.
Além disso, o PCN deve considerar os aspectos abaixo em seus respectivos PLANOS DE AÇÕES:
5
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
C) deve considerar apenas os recursos ambientais da empresa, por ser um documento geral e de
alto nível.
D) deve ser restrito e do conhecimento de poucas pessoas na organização, por ser estratégico e
altamente crítico.
Comentários:
Todos os outros itens, criam um modelo de desconexão com outras estratégias e estruturas de
planejamento e governança da instituição, o que não é adequado aos procedimentos da gestão
de continuidade de negócios.
Gabarito: B
A) deve incluir, dentre outras coisas, a definição dos cenários de impacto e a análise de ameaças
e riscos.
6
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
C) também é conhecido como Plano de Recuperação de Desastres, uma vez que inclui ações para
retornar a organização a seus níveis originais de operação.
D) deve possuir ações genéricas para conter qualquer tipo de desastre, evitando assim que tenha
que ser revisado periodicamente.
E) deve ser executado integralmente em resposta a incidentes que causem interrupção total ou
parcial das operações normais de negócios.
Comentários:
Pessoal, o PCN é construído após diversas ações, conforme vimos em nossa teoria. E nesse
contexto, em umas das fases, inclui-se a definição dos cenários de impacto e a análise de ameaças
e riscos.
B) Considerar o departamento de TI como o único com essas competências é uma falha. Vimos a
necessidade de se envolver a alta direção, a organização como um todo em termos da
conscientização, entre outros.
Gabarito: A
Diversos aspectos são cobrados em prova de maneira tangencial, ou seja, não se cobra
exatamente a norma, mas sim aspectos gerais que também são previstos na norma.
7
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
Nesse sentido, é importante entender o ciclo básico previsto no referido código de boas práticas.
Mais uma vez, segue-se o padrão do PDCA (PLAN, DO, CHECK, ACT). A figura abaixo nos dá uma
visão integrada do processo:
Além disso, no plano mais externo do processo, temos fase “INCLUINDO A GCN NA CULTURA
DA ORGANIZAÇÃO”.
A gestão de continuidade de negócio deve prever estratégias em eixos específicos no que tange
a recursos de uma organização. Tais recursos são:
8
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
• Pessoas;
• Instalações;
• Tecnologia;
• Informação;
• Suprimentos;
• Partes Interessadas.
“não permitir a interrupção das atividades do negócio e proteger os processos críticos contra
efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se
for o caso”
Nesse mesmo bojo, já antecipamos ainda a definição do que vem a ser um Plano de Continuidade
de Negócios - PCN, derivado das ações de gestão:
A Gestão de Continuidade de Negócios deve prever estratégias a serem aplicadas a diversos tipos
de recursos de uma organização. Dentre tais recursos incluem-se
9
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
E) instalações e informações.
Comentários:
Vimos a relação em nossa teoria. Temos, portanto, o item “e” com instalações e informações.
Gabarito: E
A) Para operacionalizar o PCN de uma empresa que já foi elaborado, é altamente recomendável
o desenvolvimento de um sistema de gestão de continuidade de negócios (SGCN).
B) PCN e plano de contingência são sinônimos, uma vez que contemplam os mesmos itens.
C) Os prazos decorrentes de ações realizadas por agentes externos à organização não necessitam
ser considerados para elaboração do PCN dessa organização.
E) O PCN estabelece controles de segurança da informação como resultado de uma ampla análise
de riscos.
Comentários:
A) Não há uma dependência direta, e necessidade de estrutura de gestão para se ter o plano e
sua consequente operacionalização. INCORRETO
10
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
D) Não há essa restrição. Essas duas variáveis são importantes, mas não são as únicas, conforme
nós vimos. INCORRETO
Gabarito: E
A gestão do programa está no cerne do processo de GCN. Uma gestão do programa eficiente
estabelece a abordagem da organização à continuidade de negócios.
A participação da alta direção é fundamental para garantir que o processo de GCN seja
corretamente introduzido, suportado e estabelecido como parte da cultura da organização.
a) Política de GCN;
• Declaração do Escopo de GCN;
• Termos de Referência de GCN;
b) Análise de impacto dos negócios;
c) Avaliação de riscos e ameaças;
d) Estratégias de GCN;
e) Programa de conscientização;
f) Programa de treinamento;
g) Planos de gerenciamento de incidentes;
h) Planos de continuidade de negócio;
i) Planos de recuperação de negócios;
j) Agenda de testes e relatórios;
k) Contratos e acordos de níveis de serviço;
11
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
Convém que a organização defina e documente o impacto de uma interrupção nas atividades
que suportam seus produtos e serviços fundamentais. Esse processo é comumente conhecido
como análise de impacto de negócios.
A organização deve categorizar suas atividades de acordo com suas prioridades de recuperação.
Aquelas atividades cuja perda, de acordo com os resultados da Análise de IMPACTO, teriam o
maior impacto no menor tempo e que necessitem ser recuperadas mais rapidamente devem ser
chamadas de “ATIVIDADES CRÍTICAS”. Cada atividade crítica suporta um ou mais produtos ou
serviços.
Convém que a organização estime os recursos que cada atividade necessitará durante sua
recuperação.
Em um contexto de GCN, convém que o nível de risco seja entendido especificamente no que diz
respeito às atividades críticas da organização e aos riscos de uma interrupção destas. As atividades
críticas têm como base recursos como pessoas, instalações, tecnologia, informações, suprimentos
e partes interessadas.
DETERMINANDO ESCOLHAS
12
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
APROVAÇÃO
Convém que a alta direção aprove a lista que documenta os principais produtos e serviços, a
análise de impacto nos negócios e avaliação de riscos, de forma a garantir que o trabalho foi
realizado de forma apropriada e reflete verdadeiramente a realidade da organização.
Cabe à GCN identificar, quantificar e priorizar os riscos aos produtos e aos serviços fundamentais
para uma organização; a análise de risco reconhece as prioridades que farão a organização cumprir
constantemente suas obrigações, mesmo diante de um incidente ou de uma situação de crise.
Comentários:
Questão bem interessante e suave em sua interpretação. A descrição inicial do item traz aspectos
detalhados dos procedimentos que fazem parte da GESTÃO DE RISCOS (ISO 27005) e não da
GCN.
Sem dúvida, parte da GESTÃO DE RISCOS está inserida na GCN, principalmente na fase de
ENTENDIMENTO DE REQUISITOS DE CONTINUIDADE NEGÓCIO, quando falamos de
AVALIAÇÃO DE AMEAÇAS A ATIVIDADES CRÍTICAS.
Gabarito: E
13
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
OPÇÕES DE ESTRATÉGIA
Convém que a organização considere opções estratégicas para suas atividades críticas e para os
recursos que cada atividade consumirá durante sua restauração.
A) Pessoas;
B) Instalações;
C) Tecnologia;
D) Informação;
E) Suprimentos;
F) Partes Interessadas;
Novamente, deve-se ter a etapa de aprovação das opções de estratégicas adotadas que
comporão o GCN.
Convém que a organização defina uma estratégia de resposta a incidentes que permita uma
resposta efetiva e uma recuperação pós-incidente.
14
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
Em termos de resposta rápida, é importante que qualquer incidente possua uma estrutura pré-
definida e simples, permitindo à organização:
Para ajudar no entendimento da imagem, temos nas setas na parte superior, a seguinte ordem:
15
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
Comentários:
Gabarito: C
Os PCN’s são ativados para dar suporte às atividades críticas necessárias para cumprir os objetivos
da organização. Eles podem ser executados integral ou parcialmente e em qualquer etapa da
resposta a um incidente.
PROGRAMA DE TESTES
Convém que um programa de testes esteja consistente com o escopo do PCN, levando em conta
a legislação e as regulamentações em vigor.
Convém que um programa de testes seja criado de forma que, ao longo do tempo, possa ser
garantido objetivamente que o PCN funcionará como previsto quando necessário.
Convém que os testes sejam realistas, planejados cuidadosamente e acordados com as partes
interessadas, de modo que haja um risco mínimo de interrupção dos processos de negócio.
Convém que os teste sejam planejados de forma a minimizar a chance de que ocorra um incidente
como resultado direto do teste.
16
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
B) não pode apresentar falhas em seus procedimentos, então estes devem ser testados uma única
vez antes da entrada em vigência do plano.
C) pode ser testado na totalidade, parcialmente ou, ainda, por meio de simulações, quando
ocorrem representações de situação emergencial.
E) terá sua eficácia garantida se forem cumpridas apenas estas regras: treinamento e
conscientização das pessoas envolvidas e processo de manutenção contínua.
Comentários:
A) Lembrando que a responsabilidade é direta, porém não exclusiva. Mas o erro se encontra na
afirmação de que a recuperação se dará apenas dos ativos de informática. Vimos a relação
completa na questão anterior. ERRADO
B) Os testes devem ser realizados periodicamente, e não apenas uma vez. ERRADO
E) Não há essa restrição. A norma traz diversas ações a serem consideradas para garantir a eficácia
do GCN. ERRADO
Gabarito: C
17
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
CONSCIENTIZAÇÃO
TREINAMENTO
Convém que habilidade e competências de resposta na organização sejam desenvolvidas por meio
de treinamentos práticos, incluindo participação ativa em testes.
Esse contexto básico deve ser pensado respeitando restrições e considerações orçamentárias de
projeto, pois é fundamental que os custos associados nos controles de Continuidade de Negócio
estejam aderentes ao valor da informação e operação da organização.
18
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
1. MIRROR SITE – Replicação completa e em tempo real entre os dois ambientes. Redundância
plena. Os dois DATACENTERS ficam funcionando ativamente e compartilhando recursos.
No caso da falha de um, não há qualquer prejuízo dos dados e, inclusive, da disponibilidade
dos serviços que estão sendo providos pelos DATACENTERS.
2. HOTSITE – Muitas referência nem consideram o termo MIRROR SITE e considera o HOTSITE
como aquela categoria. Entretanto, aqueles que os diferenciam, trazem somente o aspecto
de que o HOTSITE não possui uma sincronização dos dados em tempo real. Os dois
ambientes estão funcionais, porém, há um atraso de sincronização de minutos ou horas,
com rotinas periódicas de sincronização.
3. COLDSITE - Neste caso, tem-se um outro ambiente com a infraestrutura necessária e
suficiente para o reestabelecimento do serviço sem prejuízo das informações. Este novo
ambiente não está ativo e compartilhando recursos com o ambiente original como o
HOTSITE. Ou seja, em caso de falha do primeiro, tem-se um pequeno intervalo de
indisponibilidade, que seria o tempo necessário para “ligar” o novo DATACENTER que já
estava preparado.
4. GREYSITE – É um procedimento intermediário. Geralmente quando aparece em prova, traz
uma perspectiva relativa aos outros dois para equilibrar os investimentos.
Importante sempre lembrarmos que há uma questão geográfica envolvida, e quando falamos
dessas estruturas de redundância e contingência, deve-se buscar regiões distantes o suficiente
para resistirem a catástrofes naturais em grande escala ou ainda a atentados, como foi o caso
ocorrido no World Trade Center nos Estados Unidos.
19
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
Na ocasião, a redundância criada existia nos dois prédios. E quando, infelizmente, houve o
atentado naquela magnitude, muitas empresas perderam tudo, pois a redundância existita entre
os edifícios.
Determinado tribunal atende atualmente 325 estruturas judiciárias, entre as quais, 112 comarcas,
promovendo acesso aos sistemas judiciários e salvaguarda dos processos digitais. Em razão da
importância regional do tribunal, foi implantada uma gestão de risco institucional, com o objetivo
de identificação, mensuração e tratamento do risco, com intuito de atender a população de forma
ininterrupta. Alinhado com o processo de risco, foi disparado o processo de continuidade de
negócio, tendo ficado a cargo do gestor da área de tecnologia da informação e comunicações
(TIC) o plano de recuperação de negócio. O datacenter do tribunal conta com sala cofre, nobreaks,
geradores, equipamentos de refrigeração e sistema de supressão de incêndio de alta
disponibilidade. Estima-se em torno 15 dias a recuperação do ambiente a partir do zero, o que
significa reconfigurar todos os servidores e posteriormente recuperar os becapes. A restauração
dos serviços críticos para um ambiente secundário, no qual já estejam configurados os servidores,
mas necessitam de sincronização dos dados, leva em torno de dois dias. O tempo total de
recuperação de negócio dos serviços críticos de TIC do tribunal não pode exceder três dias. Outro
ponto de interesse é o cenário de restrição econômica do país, refletido no tribunal.
Comentários:
20
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
Pessoal, na linha do que falamos, o HOTSITE viria como uma alternativa menos onerosa quando
comparado com o MIRROR SITE. Então teria a garantia da sensibilidade dos dados e serviços, mas
com um custo menor.
Gabarito: A
Seguindo a nossa jornada pessoal, vamos falar rapidamente sobre mais alguns conceitos
relativos a métricas que são utilizadas no contexto da Gestão de Continuidade de Negócios.
1. BIA – Business Impact Analysis (Análise de Impacto de Negócio) – Diz respeito a análise
feita na instituição para ter uma noção dos impactos de negócio frente a eventuais
interrupções e tempo de indisponibilidade. Com base nessas informações, é possível
derivar e definir as demais variáveis para representar a realidade da organização.
3. RTA - Recovery Time Actual (Tempo de Recuperação Atual) – Diz respeito ao tempo
corrente em uma eventual interrupção. De forma simples, “diz-se que se passaram 2 horas
de ação, após a interrupção. Esse é o tempo atual.”
21
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
sistemas e ambientes de trabalho dos colaboradores. Nesse sentido, define-se o WRT que
é para a recuperação plena da organização.
7. MTTR - Mean Time To Repair (Tempo Médio de Reparo) – Trata-se de uma métrica de
referência que estima quanto tempo, em média, se gasta para recuperar um ativo ou um
serviço. Utiliza-se base histórica de registros e reparos para tal indicador. Essa métrica
compõe o plano de continuidade de negócios e precisa estar contido dentro do RTO
esperado.
8. MTBF - Mean Time Between Failure (Tempo Médio entre Falhas) – Da mesma forma, uma
métrica de referência, agora no sentido de tentar prever quando poderá haver uma nova
falha. Vê-se nos equipamentos que, de tanto em tanto tempo, ele dá um problema. Então
pode-se ter uma percepção de que o SGDB, por exemplo, a cada 8 meses, dá algum
problema inesperado. Isso ajuda a prever determinados comportamentos ou já tentar
antecipar ações reativas.
Agora de uma forma visual, vamos tentar encaixar alguns conceitos na imagem a seguir:
Vejam que o eixo central retrata a condição da empresa e seus serviços. Então havia um
comportamento normal, com um backup realizado rotineiramente. Logo em seguida, teve-se o
desastre que gerou a interrupção.
O tempo entre o último backup e o desastre, é o RPO, que representa justamente o tempo de
perda de dados e informações, por não ter havido um novo backup.
Em seguida, tem-se ainda um outro conceito de ICT, que basicamente retrata o tempo de
reação das equipes para iniciar a operacionalização dos planos estabelecidos, no caso, o plano
de continuidade de negócios.
A partir do início, busca-se recuperar os serviços essenciais, representado pelo termo “limited”
no eixo principal. Esse tempo de recuperação é jsutamente o RTO. A partir da recuperação dos
serviços básicos e essenciais, busca-se o funcionamento completo, que seria o WRT, com
22
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
posterior recuperação completa dos ambientes e realização de um novo backup, agora com o
sistema recuperado.
Comentários:
Vejam que a questão retrata justamente o estudo e análise por parte do auditor para interagir com
as áreas de tentar coletar os impactos. Esse é o BIA.
Gabarito: B
Ano: 2021 Banca: FGV Órgão: Banestes Prova: FGV - 2021 - Banestes - Analista em Tecnologia da
Informação - Segurança da Informação
Um plano consistente de continuidade de negócios deve possuir índices RTO e RPO bem
dimensionados.
Um plano que estabelece uma meta RTO de 24 horas e um RPO de 5 horas significaria que:
A) é aceitável um sistema ficar indisponível por até 24 horas depois de um desastre, seja natural
ou ocasionado por erro humano;
23
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
E) as operações devem retornar à normalidade em até 5 horas quando as falhas são provocadas
por erro humano, e em até 24 horas quando decorrentes de desastres naturais.
Comentários:
Pessoal, questão conceito! RTO significa a aceitação do sistema ficar indisponível por até 24 horas
(sistema básico ou essencial), independente da causa. E as 5 horas representa o tempo aceitável
para perdas de transações e registros frente ao último backup.
Gabarito: A
2021 Banca: FGV Órgão: TCE-AM Prova: FGV - 2021 - TCE-AM - Auditor Técnico de Controle
Externo - Tecnologia da Informação - 2ª dia
B) tempo máximo entre o último backup realizado com sucesso e o momento de uma parada nas
operações;
D) tempo que as operações levam para voltar ao normal, após uma parada;
Comentários:
Mais uma questão para reforçarmos o conceito do RPO. O destaque aqui fica por conta de lembrar
de que o backup precisa ter sido realizado com sucesso e o procedimento de restauração também
tem que funcionar, se não, haverá perda ainda maior, pois terá que ser acionado o penúltimo
backup.
Gabarito: B
24
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
Comentários:
Pessoal, existem técnicas que não necessariamente dependem de duplicidade, como o RAID 5 e
6 por exemplo que trabalham com recursos de paridade.
Além disso, a criticidade de negócio e importância da informação é fator a ser levado em conta
no momento de decisão sobre as melhores estratégias para se garantir a disponibilidade, não se
aplicando, necessariamente, a todos os recursos.
Desse modo, o problema da questão foi dizer que é uma condição necessária.
Gabarito: E
Comentários:
De fato, é necessário verificar e garantir o seu funcionamento, tanto em termos dos recursos
envolvidos, como das pessoas.
Gabarito: C
A) ao entendimento da organização.
25
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
Comentários:
Comentamos em nossa teoria que a Gestão do Programa de CGN é que contempla todos os
aspectos de documentação no âmbito da norma.
Gabarito: E
Comentários:
26
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
Gabarito: E
5. (CESPE – TRT – 8ªRegião (PA e AP) /Analista Judiciário – TI/2016) Um dos objetivos da gestão
de continuidade de negócios é
A) prover recursos financeiros suficientes para evitar que os sistemas operacionais da organização
sejam atingidos por falhas ou desastres.
desastres.
Comentários:
Gabarito: C
6. (CESPE – TJ-DFT /Analista Judiciário – Suporte em TI/2015) Cabe à GCN identificar, quantificar
e priorizar os riscos aos produtos e aos serviços fundamentais para uma organização; a análise de
risco reconhece as prioridades que farão a organização cumprir constantemente suas obrigações,
mesmo diante de um incidente ou de uma situação de crise.
Comentários:
Questão bem interessante e suave em sua interpretação. A descrição inicial do item traz aspectos
detalhados dos procedimentos que fazem parte da GESTÃO DE RISCOS (ISO 27005) e não da
GCN.
Sem dúvida, parte da GESTÃO DE RISCOS está inserida na GCN, principalmente na fase de
ENTENDIMENTO DE REQUISITOS DE CONTINUIDADE NEGÓCIO, quando falamos de
AVALIAÇÃO DE AMEAÇAS A ATIVIDADES CRÍTICAS.
27
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
Gabarito: E
7. (CESPE – TJ-DFT /Analista Judiciário – Suporte em TI/2015) Em uma visão de GCN, sistemas,
processos e pessoas envolvidas nas atividades da organização devem ser mapeados. Na visão da
GCN não é necessário fazer levantamento de possíveis ameaças e análise de risco, já que isso é
objetivo de outras áreas da segurança da informação.
Comentários:
Mas daí pra frente, extrapola o GCN, sendo previsto, de fato, em outras áreas, como a própria
ISO 27005.
Gabarito: E
Comentários:
Sem dúvida a comunicação e articulação interna é fundamental, conforme nós vimos. E esse
processo corrobora para a identificação de problemas prévios.
Gabarito: C
Comentários:
Vimos que a utilização desses ambientes temporários não é OBRIGATÓRIO. Portanto, no lugar do
“DEVE”, deveríamos ter “PODE”.
28
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
Gabarito: E
Comentários:
Dizer que o impacto é maior associado a estudos em relação à gestão de fato é uma inverdade.
Gabarito: E
11. (CESPE – MEC /Gerente de Suporte/2015) Para realizar análises críticas da eficácia do sistema
de gestão de segurança da informação a intervalos planejados, a organização deve ter em conta
os incidentes de segurança da informação mais graves do período, e desconsiderar eventuais
sugestões dos atores envolvidos que não estejam relacionadas aos incidentes observados.
Comentários:
Então não há o que falar em restringir a contribuição àqueles envolvidos diretamente nos
incidentes. Fora isso, o resto da questão está ok.
Gabarito: E
29
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
I. Define funções e responsabilidades das equipes envolvidas com o acionamento das ações de
contingência, antes durante e após a ocorrência.
II. Deve ser utilizado em último caso, quando todas as prevenções tiverem falhado. Define as
necessidades e ações mais imediatas.
III. Seu objetivo é reestabelecer o funcionamento dos principais ativos que suportam as operações
de uma empresa, reduzindo o tempo de queda e os impactos provocados por um eventual
incidente. Um exemplo simples é a queda de conexão à internet.
IV. Determina o planejamento para que, uma vez controlada a contingência e passada a crise, a
empresa retome seus níveis originais de operação.
O plano
Comentários:
II – Plano de Contingência;
30
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
Gabarito: E
A) deve incluir, dentre outras coisas, a definição dos cenários de impacto e a análise de ameaças
e riscos.
C) também é conhecido como Plano de Recuperação de Desastres, uma vez que inclui ações para
retornar a organização a seus níveis originais de operação.
==14b95d==
D) deve possuir ações genéricas para conter qualquer tipo de desastre, evitando assim que tenha
que ser revisado periodicamente.
E) deve ser executado integralmente em resposta a incidentes que causem interrupção total ou
parcial das operações normais de negócios.
Comentários:
Pessoal, o PCN é construído após diversas ações, conforme vimos em nossa teoria. E nesse
contexto, em umas das fases, inclui-se a definição dos cenários de impacto e a análise de ameaças
e riscos.
B) Considerar o departamento de TI como o único com essas competências é uma falha. Vimos a
necessidade de se envolver a alta direção, a organização como um todo em termos da
conscientização, entre outros.
Gabarito: A
3. (FCC – TRT – 24ª Região (MS) /Técnico Judiciário - TI/2017) Considere a lista a seguir:
31
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
5. Orientações e critérios sobre quem tem a autoridade de invocar os procedimentos e sob quais
circunstâncias.
6. A definição clara de como serão tratadas as informações pessoais, sejam elas de clientes,
usuários ou funcionários e as informações institucionais.
A) 3, 4, 5 e 7.
B) 7, 8 e 9.
C) 3, 6 e 8.
D) 3, 4, 5, 6, 7 e 9.
E) 4, 5, 7, 8 e 9.
Comentários:
Pessoal, apenas o item 3 não faz parte do rol, pois está relacionado às normas ISO 27001 e 27002.
Gabarito: E
32
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
B) identificar as ameaças à organização e seus impactos, bem como prover resiliência a tais
ameaças.
Comentários:
Pessoal, apenas uma forma mais bonita de se escrever, mas temos o nosso gabarito na letra B, ao
identificar as ameaças e impactos, e construir planos para sustentar o ambiente e informação no
que tange aos serviços essenciais e fundamentais.
Gabarito: B
E) instalações e informações.
Comentários:
a) Pessoas;
b) Instalações;
c) Tecnologia;
d) Informação;
e) Suprimentos;
f) Partes Interessadas
Gabarito: E
33
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
6. (FCC – TRT – 14ª Região (RO e AC) /Analista Judiciário – TI/2016) Ao participar da elaboração
do Plano de Continuidade de Negócios − PCN, um Analista afirmou corretamente que o PCN
B) não pode apresentar falhas em seus procedimentos, então estes devem ser testados uma única
vez antes da entrada em vigência do plano.
C) pode ser testado na totalidade, parcialmente ou, ainda, por meio de simulações, quando
ocorrem representações de situação emergencial.
E) terá sua eficácia garantida se forem cumpridas apenas estas regras: treinamento e
conscientização das pessoas envolvidas e processo de manutenção contínua.
Comentários:
a) Lembrando que a responsabilidade é direta, porém não exclusiva. Mas o erro se encontra
na afirmação de que a recuperação se dará apenas dos ativos de informática. Vimos a
relação completa na questão anterior. ERRADO
b) Os testes devem ser realizados periodicamente, e não apenas uma vez. ERRADO
c) Exatamente pessoal. CORRETO
d) Não é verdade. Há diversos requisitos, principalmente aqueles elencados na ISO 27001 e
27002. ERRADO
e) Não há essa restrição. A norma traz diversas ações a serem consideradas para garantir a
eficácia do GCN. ERRADO
Gabarito: C
34
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
35
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
processos e pessoas envolvidas nas atividades da organização devem ser mapeados. Na visão da
GCN não é necessário fazer levantamento de possíveis ameaças e análise de risco, já que isso é
objetivo de outras áreas da segurança da informação.
8. (CESPE – TJ-DFT /Analista Judiciário – Suporte em TI/2015) Ao se estabelecer a visão proposta
pela equipe de resposta a incidentes, é importante que esta seja comunicada a outros indivíduos
da organização para fins de contribuição mútua. Essa circunstância permite identificar, antes da
implementação, problemas organizacionais ou no processo da equipe de resposta a incidentes.
9. (CESPE – TJ-DFT /Analista Judiciário – Suporte em TI/2015) O plano de continuidade do
negócio de uma organização deve considerar a existência de ambientes temporários alternativos
como forma de garantir o retorno de serviços considerados críticos e que exijam um menor tempo
de recuperação.
10. (CESPE – MEC /Analista de Segurança/2015) No processo de terceirização de serviços de
segurança da informação, a contratação de um estudo de análise de impacto nos negócios
apresenta maior risco à continuidade ou sustentação organizacional, quando comparada à
contratação de um serviço terceirizado para a gestão de riscos de segurança da informação.
11. (CESPE – MEC /Gerente de Suporte/2015) Para realizar análises críticas da eficácia do sistema
de gestão de segurança da informação a intervalos planejados, a organização deve ter em conta
os incidentes de segurança da informação mais graves do período, e desconsiderar eventuais
sugestões dos atores envolvidos que não estejam relacionadas aos incidentes observados.
36
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
1 E 7 E
2 C 8 C
3 E 9 E
4 E 10 E
5 C 11 E
6 E
37
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
38
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
3. (FCC – TRT – 24ª Região (MS) /Técnico Judiciário - TI/2017) Considere a lista a seguir:
1. Um processo para ativar a resposta da organização a um incidente de interrupção e, dentro de
cada procedimento documentado, seus critérios e procedimentos de ativação.
2. Um processo para desmobilizar equipes após o incidente ter passado.
3. Regras e padrões para proteção das informações, possibilitando manter a confidencialidade,
integridade e disponibilidade.
4. Papéis e responsabilidades definidos para pessoas e equipes que usarão o plano.
5. Orientações e critérios sobre quem tem a autoridade de invocar os procedimentos e sob quais
circunstâncias.
6. A definição clara de como serão tratadas as informações pessoais, sejam elas de clientes,
usuários ou funcionários e as informações institucionais.
==14b95d==
39
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41
André Castro
Aula 02 (Prof. André Castro)
1 E 4 B
2 A 5 E
3 E 6 C
40
CNU (Bloco 2 - Tecnologia, Dados e Informação) Conhecimentos Específicos - Eixo Temático 3 - Gerência e Suporte da Te
www.estrategiaconcursos.com.br 41