Alternativa correta: C

1. Tema central da questão

Esta questão trata da priorização da recuperação de sistemas críticos após um incidente, no contexto de Governança de TI. Entender quais documentos e práticas orientam essa decisão é fundamental para a atuação eficiente em situações de desastre, conforme exige o Disaster Recovery Plan (DRP).

2. Resumo teórico

Quando ocorre um incidente grave, a organização precisa restaurar seus serviços em uma ordem que minimize o impacto ao negócio. O principal instrumento para essa priorização é a Análise de Impacto no Negócio (BIA – Business Impact Analysis). A BIA identifica os processos mais críticos, estima perdas financeiras e operacionais e sugere a ordem de recuperação dos sistemas.

A BIA é recomendada por normas como a ABNT NBR ISO/IEC 27031 e o COBIT, que reforçam a importância de alinhar recuperação a objetivos do negócio.

3. Justificativa da alternativa correta

C – Análise de Impacto no Negócio (BIA)

A BIA é o estudo que permite avaliar quais sistemas e processos são mais críticos e o impacto de sua indisponibilidade. Esse instrumento fundamenta a definição da ordem de recuperação no DRP, orientando a equipe de TI a agir de forma eficiente e alinhada aos interesses da organização. Por isso, é a resposta correta.

4. Análise das alternativas incorretas

A – Programa de Gestão de Riscos: Este programa trata de identificar, avaliar e mitigar riscos, mas não define ordem de recuperação em desastres.

B – Política de Segurança da Informação: Fornece diretrizes gerais de segurança, mas não entra no detalhe da priorização pós-incidente.

D – RPO (Recovery Point Objective): Define o limite de perda de dados aceitável, não a ordem de recuperação de sistemas.

E – Plano de Ação: Descreve etapas a serem seguidas após incidentes, mas não estabelece critérios de prioridade baseados em impacto ao negócio.

5. Estratégias para interpretação

Fique atento a palavras-chave como "priorizar" e "impacto ao negócio". Sempre identifique se o documento citado realmente trata da prioridade de sistemas ou apenas de procedimentos gerais.

Pegadinhas comuns: confundir programas de risco ou políticas de segurança com instrumentos específicos de priorização, como a BIA.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Gabarito C

A BIA (Business Impact Analysis) é a ferramenta que identifica quais processos de negócio são mais críticos, quantifica o impacto de sua interrupção (financeiro, operacional, legal, etc.) e estabelece o tempo máximo aceitável de inatividade (RTO - Recovery Time Objective). É a BIA que fornece os critérios para priorizar a recuperação de sistemas, garantindo que os ativos mais importantes para a continuidade do negócio sejam restaurados primeiro.

Introdução à Priorização em Recuperação de Desastres

Quando um desastre ocorre, é impossível recuperar todos os sistemas de tecnologia simultaneamente. Os recursos (pessoas, servidores, largura de banda) são limitados. Portanto, a organização precisa de um roteiro pré-definido que diga: "Salve o faturamento primeiro, depois o e-mail, e por último o portal de notícias interno". Essa hierarquia não é baseada em "palpites" da TI, mas sim em uma análise financeira e operacional rigorosa que determina quais processos trazem mais prejuízo se ficarem parados. O documento que contém essa inteligência é a Análise de Impacto no Negócio.

Resolução

A questão busca a fonte da informação que define a ordem de prioridade na recuperação. A resposta correta é a Letra C.

Letra A, está errada. O Programa de Gestão de Riscos foca na identificação e mitigação de ameaças antes que elas aconteçam (fase preventiva). Embora essencial para evitar o desastre, ele não é o documento tático que dita a fila de recuperação durante a crise.

Letra B, está errada. A Política de Segurança da Informação (PSI) é um documento de alto nível que estabelece regras, intenções e diretrizes de comportamento e conformidade. Ela é genérica demais para conter detalhes operacionais específicos como a ordem cronológica de restauração de servidores.

Letra C, está correta. A Análise de Impacto no Negócio (BIA) é o estudo que quantifica o prejuízo (financeiro, legal ou de reputação) causado pela paralisação de cada processo da empresa. É a BIA que classifica os sistemas em "Críticos", "Vitais", "Sensíveis" e "Não Críticos". É com base nessa classificação que o Plano de Recuperação de Desastres (DRP) sabe o que deve ser ligado primeiro. A alternativa menciona corretamente que a BIA avalia os impactos e subsidia o DRP.

Letra D, está errada. O RPO (Objetivo de Ponto de Recuperação) é uma métrica técnica que define a quantidade aceitável de perda de dados (o quão antigo pode ser o backup). Embora um sistema crítico geralmente tenha um RPO baixo, o RPO em si é apenas um número alvo de backup, não o documento estratégico que orienta a priorização global da fila de recuperação.

Letra E, está errada. O Plano de Ação é um roteiro operacional ("o que fazer"). No entanto, o plano de ação é o resultado das decisões tomadas na BIA. Ele executa a priorização, mas a inteligência e os critérios que definiram essa priorização vieram da análise de impacto, não do plano operacional em si.

Termos Centrais

BIA (Business Impact Analysis): É o processo de analisar as atividades de negócios e o efeito que uma interrupção nos negócios pode ter sobre elas. O objetivo principal é determinar a criticidade dos processos para definir os parâmetros RTO (tempo para voltar) e RPO (dados a perder).

DRP (Disaster Recovery Plan): Documento que detalha os procedimentos técnicos para recuperar a infraestrutura de TI (hardware, software, dados) após um evento catastrófico.

Resposta: Letra C - Gemini