Organizações que operam com informações sensíveis estão sujeitas a eventos que podem afetar seus sistemas e processos. A forma como essas ocorrências são tratadas depende da existência de práticas organizacionais voltadas à resposta a eventos inesperados, envolvendo coordenação entre áreas técnicas, administrativas e decisórias. Considerando a situação apresentada, assinale a alternativa que expressa a principal consequência da ausência de um plano de gestão de incidentes.

Alternativa D - Ampliação do impacto e do tempo de recuperação do incidente

Análise da Questão

A questão aborda a importância da Gestão de Incidentes de Segurança da Informação, especificamente focando nas consequências negativas de não se possuir um plano estruturado para lidar com falhas ou ataques.

O que é um Plano de Gestão de Incidentes?

Um plano de resposta a incidentes é um documento que define procedimentos, papéis e responsabilidades para tratar violações de segurança. Ele serve como um guia para a equipe agir sob pressão.

Sem esse plano, a organização enfrenta os seguintes problemas principais:

• Desorganização: Não há ninguém designado para liderar a resposta, gerando confusão.
• Tempo de Inatividade: Demora-se muito mais para identificar a causa raiz e restaurar os serviços.
• Dano Exacerbado: Pequenos incidentes podem se transformar em grandes crises devido à lentidão na contenção.

Por que a Alternativa D é a correta?

A ausência de um plano significa que, diante de um problema, a equipe terá que improvisar. O improviso em situações de crise leva a duas consequências diretas:

1. Ampliação do Impacto: O ataque ou falha continua operando por mais tempo, permitindo que mais dados sejam roubados ou sistemas corrompidos.
2. Aumento do Tempo de Recuperação: A falta de procedimentos padronizados (checklists, fluxogramas) faz com que a volta à normalidade demore significativamente mais.

Portanto, a alternativa d descreve exatamente o cenário de risco esperado na falta de governança de segurança.

Por que as outras estão erradas?

• a. Aumento da eficiência dos controles preventivos: A ausência de um plano de resposta não melhora a prevenção. Pelo contrário, indica falhas gerais de maturidade em segurança.
• b. Eliminação da necessidade de auditorias internas: Auditorias são obrigatórias para verificar conformidade e segurança, independentemente de existir um plano de incidentes. A falta do plano geralmente exige mais auditorias para correção.
• c. Garantia de conformidade legal imediata: Legislações como a LGPD exigem medidas de resposta a incidentes. A ausência delas gera descumprimento legal e possíveis multas.
• e. Redução automática do número de ataques externos: Ter um plano de resposta não impede que o ataque ocorra (isso é função da prevenção/controles proativos). A ausência do plano não tem poder mágico de reduzir ataques.