A respeito de prevenção e tratamento de incidentes, julgue os itens que se seguem.


Convém que as organizações adotem uma estrutura simples, que permita uma rápida reestruturação e a confirmação da natureza e da extensão do incidente, além de possibilitar o controle da situação e do incidente e a comunicação com as partes interessadas

Na fase “planejar” de um SGSI, define-se o contexto, procede-se à avaliação de riscos, desenvolve-se o plano de tratamento do risco e definem-se os critérios de aceitação do risco.

O plano de recuperação de negócios visa, entre outros objetivos, prevenir maiores perdas ou indisponibilidade de atividades críticas e dos recursos que as suportam.

A técnica de spoofing é normalmente utilizada na fase de invasão a redes de computadores.

Define-se a análise de impacto nos negócios — do inglês business impact analysis (BIA) — como o processo de análise das funções de negócio e dos possíveis efeitos causados nessas funções por uma interrupção.

O elemento A da parte 2 da figura ilustra a possibilidade de que, em um sistema de gestão de continuidade de negócios (SGCN), a entrada corresponda às necessidades da continuidade de negócios e às expectativas das partes interessadas.

Em organizações pequenas, a responsabilidade pelas fases A e B pode ser atribuída um único indivíduo.

A melhoria contínua do SGSI, assim como a análise crítica de sua implementação, faz parte da etapa DO (fazer) do PDCA aplicado ao processo.

Ativo, em segurança da informação, refere-se aos itens financeiros que precisam ser protegidos, pois representam valor para a organização e devem ser preservados.

A ação de se evitar um risco, de modo a eliminar a ocorrência de suas consequências e, naturalmente, a realização da atividade que o ocasionaria, não faz parte do tratamento do risco, pois o tratamento refere-se ao risco que se toma, não ao que se evita.