Questões de Plano de Continuidade de Negócios (Segurança da Informação)

A Resolução 396/2021 do Conselho Nacional de Justiça institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ).
A respeito dos objetivos da ENSEC-PJ, avalie as afirmativas a seguir.

I. Baratear a execução das atividades do Judiciário no ambiente digital para reduzir o tempo de atendimento e recuperação de falhas.
II. Aumentar a resiliência às ameaças cibernéticas por meio da gestão ativa de permissões de usuários de sistemas informatizados.
III. Permitir a manutenção e a continuidade dos serviços, ou o seu restabelecimento em menor tempo possível.
IV. Estabelecer governança de segurança cibernética e fortalecer a gestão e coordenação integrada de ações de segurança cibernética nos órgãos do Poder Judiciário.

Está correto o que se afirma em

Acerca de gestão da informação, julgue o item subsequente.

No plano de continuidade de negócio, são estabelecidos os procedimentos que as áreas de negócio da empresa devem adotar enquanto uma solução de TI está em desenvolvimento.

Considere, hipoteticamente, que determinado órgão público federal, responsável por gerenciar dados críticos sobre saúde, sofra um ataque ransomware, no qual criminosos criptografam os sistemas da entidade e exigem pagamento para liberar o acesso. Tal ataque poderia fazer com que o sistema ficasse indisponível por vários dias, provocando interrupção de serviços essenciais, como marcação de consultas, emissão de receita e comunicação entre hospitais, por exemplo. Com o objetivo de minimizar os impactos decorrentes de tais falhas, ou indisponibilidades significativas sobre as atividades do órgão ou da entidade nessa área, além de recuperar perdas de ativos de informação em nível aceitável, por intermédio de ações de resposta a incidentes e recuperação de desastres, o órgão público necessita da implementação do processo de gestão de:

Julgue o item a seguir, acerca de infraestrutura como código (IaC) com Terraform e planejamento e implementação de estratégias de continuidade e recuperação.

Uma estratégia abrangente de recuperação de desastres deve incluir a métrica objetivo do ponto de recuperação (RPO), que é o período máximo aceitável em que sistemas e aplicativos podem ficar inativos sem que isso cause danos significativos aos negócios.

Considere a notícia a seguir:

Em maio de 20717, o Serviço Nacional de Saúde (NHS) do Reino Unido foi severamente afetado pelo ransomware WannalCry. O ataque criptografou dados e exigiu resgates para liberar os sistemas, causando a interrupção de serviços em mais de um terço dos hospitais do NHS. Milhares de consultas e cirurgias foram canceladas, resultando em custos financeiros significativos.

Como integrante da equipe de analistas da área de saúde de uma Prefeitura Municipal, ao analisar o caso acima descrito, considerando a aplicação da 150 223401 e visando a segurança dos dados do órgão, conclui-se que o impacto do ataque poderia ter sido minimizado ou até evitado se o órgão tivesse