Vamos analisar cada afirmativa: I - Deve ter uma abordagem genérica para todas as organizações, de forma a unificar seu modelo, facilitando sua elaboração pelos especialistas em segurança e ajudando a detectar os impactos negativos no negócio. Essa afirmativa é verdadeira, pois um PCN (Plano de Continuidade de Negócios) deve ser aplicável a diferentes organizações, mas não necessariamente deve ser genérico a ponto de não considerar as particularidades de cada uma. II - Deve ser eficiente e eficaz, bem como ser mantido, atualizado e testado periodicamente. Além disso, deve envolver as áreas usuárias também, pois, quando o sinistro se concretizar, elas devem saber o que fazer. Essa afirmativa é verdadeira, pois um PCN deve ser constantemente atualizado e testado, e a participação das áreas usuárias é fundamental para a eficácia do plano. III - Deve ser eficiente e eficaz, bem como ser mantido atualizado e testado periodicamente, contando com a participação da segurança de TI da empresa, pois somente a área de segurança de TI será acionada quando o sinistro ocorrer. Essa afirmativa é falsa, pois um PCN deve envolver não apenas a segurança de TI, mas todas as áreas relevantes da organização, já que o impacto de um sinistro pode afetar diversas áreas. IV - Deve ser elaborado de forma a permitir seu funcionamento em condições que zerem o risco de sinistro, ou seja, deve garantir que nenhum impacto operacional ou financeiro aconteça. Essa afirmativa é falsa, pois é impossível garantir que não haja risco de sinistro; o objetivo é minimizar os impactos e ter um plano de ação em caso de incidentes. Com base nas análises, as afirmativas corretas são I e II. Portanto, a alternativa que contém todas as afirmativas verdadeiras é: A. I, II e IV.