Você está na página 1de 15

Segurana e Auditoria de Sistemas

Plano de Contingncias e Continuidade dos Servios de Informtica


Muitas organizaes no seriam capazes de sobreviver no mercado sem seus computadores, tamanha a dependncia, hoje em dia, dos sistemas computacionais. No que isso seja reprovvel, mas no deixa de ser um grande risco que merece toda a ateno da alta gerncia. A perda dos equipamentos e, conseqentemente, das informaes neles armazenadas, pode significar a perda de fatias de mercado para a concorrncia ou at a dissoluo da organizao. Em grande parte das empresas, os computadores no so apenas ferramentas para armazenamento de dados financeiros, mas so tambm imprescindveis nas transaes comerciais dirias e processos industriais. At as atividades mais corriqueiras ou puramente administrativas dependem dos computadores. Devido s vulnerabilidades do ambiente computacional mais do que necessrio traar um plano de recuperao aps desastres, pois estes podem acontecer inesperadamente com qualquer organizao. As instituies bancrias e financeiras, em especial, so as mais rgidas no estabelecimento de planos de contingncia, j que a disponibilidade dos servios de informtica e a confiabilidade de seus dados influem diretamente na credibilidade da instituio e sua permanncia no mercado financeiro. Infelizmente, nem todo mundo pensa assim. Recentemente, o bug do milnio fez com que muitas instituies preparassem, pela primeira vez, seus planos de contingncias, aps anos e anos de funcionamento. As empresas europias e americanas, depois de vrios incidentes ocorridos em Londres (atentados a bomba em vrios prdios da cidade) e a famosa exploso no World Trade Center em Nova Iorque em 1993, passaram a dar mais ateno a planos de contingncia, no s relacionados ao ambiente computacional, como tambm envolvendo toda a empresa. No caso do World Trade Center, por exemplo, 43% das empresas afetadas pela bomba decretaram falncia. Talvez, se essas empresas tivessem um plano de continuidade de negcios adequado, essa porcentagem de falidos teria sido bem menor. Segundo a Safetynet PLC, 80% das empresas sem planos de continuidade de negcios no conseguem reabrir seus negcios aps um desastre, 5% decretam falncia em 5 anos e apenas 8% sobrevivem. As instituies brasileiras, com raras excees, ainda no acordaram para esse problema, optando pelo pensamento de que os desastres s acontecem na casa do vizinho. Infelizmente, isso no verdade. Vale lembrar que, quando o desastre acontece, j tarde demais para pensar em planos de contingncia. Um plano de recuperao de desastres ou plano de continuidade de servios na rea de informtica deve fazer parte de uma estratgia ou poltica de continuidade de negcios mais abrangente na empresa, que busca assegurar a manuteno de seus negcios e objetivos, mesmo durante ou aps a ocorrncia de desastres. O plano de continuidade de servios de informtica uma parte desse plano global, constituindo-se em um conjunto de procedimentos definido formalmente para permitir que os servios de processamento de dados continuem a operar, dependendo da extenso do problema, com um certo grau de degradao, caso ocorra algum evento que no possibilite seu funcionamento normal. Por exemplo, um incndio ou uma greve dos funcionrios pode afetar a disponibilidade dos sistemas por um perodo de tempo indeterminado, impossibilitando vrias atividades dos departamentos da organizao dependentes do uso de computadores. Sem um plano efetivo para restaurar a operao do processamento de dados, vrias transaes deixaro de ser efetivadas por um longo tempo, comprometendo os objetivos da corporao.

Prof Andr Arantes www.andrearantes.eti.br professor@andrearantes.eti.br

Segurana e Auditoria de Sistemas

Por que o Plano de Continuidade de Servios Necessrio?


Como j foi dito anteriormente, a maior parte das atividades internas de uma organizao informatizada, incluindo folha de pagamento, contas a receber, contas a pagar, processo industrial, linha de montagem. claro que algumas organizaes so mais dependentes da informtica do que outras. Uma empresa area com sistema de reservas on-line ou um banco com registro de transaes financeiras on-line teriam uma enorme dificuldade de operar normalmente sem seus sistemas computacionais. Embora no se discuta a importncia dos computadores no desenvolvimento dos negcios da empresa, a alta gerncia muitas vezes no compreende a real necessidade do estabelecimento de um plano de continuidade de servios envolvendo o departamento de informtica. Os servios de processamento de dados so vistos quase como uma atividade externa, como o fornecimento de linhas telefnicas, gua ou energia. No entanto, as empresas fornecedoras desses servios mantm seus prprios planos de contingncias de forma a atender continuamente seus clientes. Quando a empresa de fornecimento de energia perde um transformador por sobrecarga, por exemplo, outro transformador assume seu papel. Essa mudana quase transparente ao cliente, que apenas v as luzes piscarem por alguns instantes. Da mesma forma, os servios de processamento de dados devem estar preparados para qualquer imprevisto. A nica diferena que todas as medidas de contingncias devero ser tomadas internamente pela organizao. importante enfatizar que o plano de continuidade de servios no um problema especfico do departamento de informtica. um problema de toda a organizao, j que a sobrevivncia da instituio um assunto sob a responsabilidade da alta gerncia. Portanto, as decises quanto ao plano devem ser tratadas como decises de negcios e no como decises tcnicas do departamento de informtica. Tambm os custos de sua implantao no devem ser encarados como custos de informtica, mas custos de manuteno da organizao no mercado. A perda da capacidade de proteo, processamento e recuperao das informaes manipuladas nos computadores da instituio pode acarretar problemas na realizao de seus negcios e cumprimento de metas previamente estabelecidas com seus clientes, por exemplo. Quando se fala em plano de contingncias, se pensa logo em recuperao de desastres ou outras situaes emergenciais drsticas. Porm so esquecidas outras falhas, como indisponibilidade de linhas de comunicao ou perda de arquivos, que podem ser igualmente vitais para a instituio. Cada organizao tem um perfil diferente e s ela capaz de definir o que crtico para o seu funcionamento normal e o que irrelevante. Portanto, cabe organizao listar todos os seus recursos e atividades, analisar sua importncia para a continuidade dos negcios, mensurar riscos e impactos e, com todos esses dados, planejar as medidas preventivas a serem tomadas, analisando as alternativas de recuperao e seus custos. Sem esse planejamento mais criterioso, a instituio estar exposta a muito mais riscos e poder sofrer impactos ainda maiores. 0 plano de continuidade de servios de informtica deve ser planejado com o objetivo de manter a integridade de dados da organizao, manter operacionais os servios de processamento de dados e prover, se necessrio, servios temporrios ou com certas restries at que os servios normais sejam restaurados. Quanto mais tempo os sistemas computacionais no estiverem disponveis, maiores sero os impactos nos negcios da organizao. Uma das metas do plano de continuidade de servios , ento, minimizar o tempo de parada dos sistemas para reduzir os impactos nos negcios e proteger as informaes institucionais. Para que d certo, essencial que o plano contenha procedimentos bem detalhados e deixe o mnimo possvel de decises para serem tomadas na hora do problema. Deve determinar as aes especficas a serem tomadas para restaurar os servios normais, independentemente do tipo de desastre ocorrido. Como toda medida preventiva, o planejamento da continuidade de servios muitas vezes colocado em segundo plano pela alta gerncia por ser caro e por no apresentar resultados mais visveis e lucrativos. O
Prof Andr Arantes www.andrearantes.eti.br professor@andrearantes.eti.br

Segurana e Auditoria de Sistemas 3 objetivo do plano de continuidade de servios no dar lucro e sim evitar maiores prejuzos. Seus resultados s so notados quando algo de errado acontece. Muitas vezes a gerncia no tem conscincia dos riscos a que a organizao est sujeita e menospreza os impactos que uma contingncia pode lhe causar.

Fases do Planejamento de Contingncias


Antes de iniciar o planejamento de contingncias em si, importante definir alguns aspectos administrativos e operacionais, tais como objetivos, oramento, prazos, recursos humanos, materiais e equipamentos necessrios, responsabilidades da equipe e escolha do coordenador ou gerente do planejamento de contingncias, como se fosse um projeto da organizao. A partir desse ponto, inicia-se efetivamente o planejamento de contingncias, o qual pode ser subdividido nas seguintes fases: Atividades preliminares o fase que envolve a conscientizao da alta gerncia, identificao preliminar de recursos crticos, anlise de custos, definio de prazos e aprovao do projeto inicial. Anlise de impacto o fase que identifica os impactos sobre a organizao da interrupo de cada sistema computacional e sua real importncia para a continuidade das atividades da organizao. Anlise das diversas alternativas de recuperao o fase que estuda detalhadamente as alternativas para recuperao dos servios computacionais, balanceando custos e benefcios. o Ao final apresentado um relatrio com o resultado da anlise e recomendaes. o A alta gerncia deve se basear nesse relatrio para definir a estratgia da organizao em termos de recuperao e preveno de acidentes, falhas ou qualquer outro evento que comprometa o funcionamento normal dos sistemas. Desenvolvimento do plano de contingncias o fase que define em detalhes o plano de contingncias e os recursos necessrios para sua consecuo. Treinamento o para garantir a eficincia do plano de continuidade de negcios da organizao, todos os funcionrios devem se conscientizar dos riscos envolvidos, da poltica corporativa, do prprio plano de contingncias, e, acima de tudo, de seu papel e responsabilidades. Teste do plano de contingncias o para provar sua exegibilidade, o plano de contingncias deve ser testado. o Aps o teste pode-se avaliar se o plano adequado ou se necessita de adaptaes ou correes. Avaliao dos resultados e atualizao do plano o fase de avaliao dos resultados do teste do plano e implementao das mudanas necessrias.

Prof Andr Arantes www.andrearantes.eti.br professor@andrearantes.eti.br

Segurana e Auditoria de Sistemas

Atividades Preliminares Comprometimento da Alta Gerncia


importante estar bem claro para o leitor que o plano de continuidade de negcios responsabilidade da alta gerncia. Os auditores internos e a equipe de segurana de informaes podem auxiliar em seu desenvolvimento, mas cabe alta gerncia garantir sua eficincia para que no haja perdas financeiras, destruio de documentos legais ou fiscais, interrupo dos negcios e conflitos com os acionistas ou com o pblico, em funo da perda de informaes ou interrupo dos servios de informtica providos pela organizao. A alta gerncia deve designar uma equipe de segurana, a qual ser responsvel pela criao, manuteno, divulgao e coordenao do plano de contingncias. Para que seja exeqvel, o plano de contingncias certamente envolve recursos financeiros, acordos com outras organizaes, cooperao dos funcionrios e consultorias tcnicas externas a empresas especializadas em segurana ou seguros. necessrio ainda definir um oramento anual para cobrir os custos de treinamento, teste e manuteno do plano. Portanto, no h como implantar um plano de contingncias sem um comprometimento da alta gerncia da organizao. A apresentao de casos reais, experincias vividas por outras organizaes e os impactos em suas atividades pode sensibilizar a alta gerncia quanto gravidade do problema.

Estudo Preliminar
Durante o estudo preliminar so identificadas todas as funes crticas de negcios, os sistemas e recursos crticos, sua localizao, responsveis e usurios. So definidas, em linhas gerais, quais funes, sistemas e recursos faro parte da anlise de impacto e as pessoas que sero entrevistadas nessa anlise. A partir da, j se pode esboar um plano inicial, contendo relao de funes, sistemas e recursos crticos, estimativa de custos, prazos e recursos humanos necessrios para a realizao da anlise de impacto. Esse estudo deve ser submetido aprovao da alta gerncia.

Anlise de Impacto
0 objetivo da anlise de impacto identificar funes, sistemas e recursos e classific-los de acordo com sua importncia para a organizao. Com essas informaes na mo, a gerncia pode decidir como e onde investir em medidas de segurana de forma a proteger seus bens e manter suas atividades normais. Durante a anlise de impacto recomendvel que sejam entrevistados gerentes de diversas reas de negcio, usurios de sistemas e pessoal de suporte do departamento de informtica para que se possa avaliar a importncia de cada atividade, sistema e recurso e ainda identificar suas vulnerabilidades e possveis ameaas. O impacto, na verdade, o dano potencial que uma ameaa pode causar, ao ser concretizada. Cada sistema ou recurso afetado por ameaas diferentes e em diferentes nveis de exposio. conveniente determinar at que ponto a organizao pode ficar sem determinado sistema ou recurso e por quanto tempo. Em termos administrativos, geralmente os impactos so classificados como: Diretos o aqueles que envolvem perdas financeiras (reposio ou reparao de equipamentos, por exemplo), diminuio da receita, aumento de custos ou penalidades financeiras pelo descumprimento de contratos, por exemplo. Indiretos o aqueles que no envolvem diretamente perdas financeiras, mas podem origin-las.
Prof Andr Arantes www.andrearantes.eti.br professor@andrearantes.eti.br

Segurana e Auditoria de Sistemas 5 o descumprimento da lei, a perda de reputao e credibilidade no mercado, os conflitos com acionistas, polticos, sindicatos, etc. Para obter mais informaes sobre anlise de impactos, ameaas, vulnerabilidades e riscos, consulte o tpico sobre poltica de segurana.

Identificao dos Recursos, Funes e Sistemas Crticos


Os recursos, funes e sistemas devem ser classificados segundo sua importncia: altamente importantes ou essenciais; de importncia mdia; e de baixa importncia (a organizao capaz de operar satisfatoriamente mesmo se esses sistemas ou recursos no estiverem disponveis por vrios meses). A anlise de impacto pode se tornar uma atividade difcil de ser realizada, j que a importncia das funes de negcio, sistemas e recursos pode mudar ao longo do ano ou at mesmo dentro de espaos de tempo mais curtos. Falhas em um sistema de folha de pagamento, por exemplo, so irrelevantes no incio do ms, mas so preocupantes na poca legalmente estabelecida para o pagamento de funcionrios. importante ter em mente que nem todas as funes, sistemas ou recursos faro parte do plano de contingncias, pois isso seria invivel. Deve-se decidir quais dessas funes, sistemas e recursos so necessrios para manter o funcionamento da organizao a um nvel aceitvel de servio. Mesmo que, aps a ocorrncia de uma contingncia, o plano de recuperao seja perfeito, a organizao no estar em pleno funcionamento, como se nada tivesse acontecido. O plano de contingncias pode incluir fases diferentes de recuperao para que, ao longo de um determinado tempo, as funes de negcio e os sistemas, segundo sua importncia, gradativamente voltem normalidade.

Definio do Tempo Limite Para Recuperao


O prximo passo em uma anlise de impacto definir o limite tolervel de tempo de indisponibilidade de cada atividade, sistema ou recurso, isto , por quanto tempo a organizao poderia ficar sem essa atividade, recurso ou sistema. Normalmente cada um desses itens classificado por intervalos de tempo, tais como tempo de recuperao necessrio em x minutos, x horas, x dias, e assim por diante. Existem ainda categorias que agrupam sistemas e atividades cuja importncia varia de acordo com a data e outras que agrupam sistemas e atividades no crticas. Se for possvel, a equipe deve identificar, durante a anlise, as reas cujo risco pode ser reduzido pela aplicao de controles adicionais.

Relatrio da Anlise de Impacto


O relatrio da anlise de impacto deve identificar os recursos, sistemas e funes crticos para a organizao e classific-los em ordem de importncia. Em seguida, deve descrever, para cada um, que tipo de perda ou dano poder ser ocasionado, qual o tempo mximo tolervel para a obteno de servios emergenciais e para a recuperao do servio normal e, por fim, as condies mnimas de pessoal, instalaes e servios necessrias para a recuperao do sistema, funo ou recurso a um nvel aceitvel. Esse relatrio deve servir de base para a alta gerncia estabelecer a estratgia de implantao do plano de contingncias da organizao.

Prof Andr Arantes www.andrearantes.eti.br professor@andrearantes.eti.br

Segurana e Auditoria de Sistemas

Anlise das Diversas Alternativas de Recuperao


Aps o comprometimento da gerncia e a identificao das fragilidades dos sistemas, recursos e funes de negcio, o prximo passo analisar as diversas alternativas de recuperao. A seguir, sero descritas, a ttulo de exemplo, algumas alternativas de recuperao de sistemas informatizados.

Preveno de Acidentes
A equipe deve identificar quais as ameaas que podem ser imediatamente reduzidas pela implementao de controles simples e eficazes de preveno e deteco de acidentes. Esses controles podem reduzir o risco de ocorrncia de um desastre ou auxiliar em sua deteco mais rpida. Abaixo esto relacionados os aspectos principais na preveno de acidentes: Equipamentos de deteco e extino de fogo. Manuteno preventiva de equipamentos. Polticas de backup, armazenamento e recuperao de sistemas computacionais e dados. Controles de acesso ao prdio e sistemas de alarme para deteco de intrusos. Proteo aos documentos no magnticos (papis, microfichas, microfilmes). Poltica de pessoal adequada (tanto na contratao como na demisso de funcionrios). Campanha de conscientizao dos funcionrios quanto segurana de recursos materiais e informaes.

Backup
A poltica de backup um dos itens mais importantes em um plano de contingncias na rea de informtica, pois, se no houver dados para serem recuperados, no faz sentido manter um plano para recuperao. Ter backups completos e atualizados pode fazer uma grande diferena entre um probleminha toa e um desastre. Mesmo com todos os cuidados, difcil prever tudo o que pode acontecer de errado com os sistemas e dados. Se existirem backups adequados, entretanto, o sistema atual pode ser comparado com o backup e a organizao poder restaur-lo ao seu estado de operao normal. Mesmo em caso de perda total dos equipamentos, os backups, contendo os sistemas e informaes vitais da empresa, podero ser processados em outra localidade, em outros equipamentos. Os backups contm um tipo de patrimnio que os seguros so incapazes de cobrir - as informaes institucionais. Em linhas gerais, a poltica de backup contm os procedimentos e a infra-estrutura necessrios proteo de todo o acervo informacional da instituio, com o objetivo de possibilitar a continuidade de suas atividades. A definio de que dados e sistemas devem ser copiados, e com que periodicidade, deve ser feita criteriosamente e com a participao dos envolvidos, isto , gerncia, proprietrio do sistema, departamento de informtica e usurios mais crticos. O grau de importncia do sistema e de seus dados determina sua poltica de backup. Geralmente as estratgias de backup so uma combinao de mtodos, desde o backup completo do sistema (full backup), passando por um ou mais nveis de backup incrementais, at o backup de arquivos pessoais feito pelos usurios. recomendvel fazer uma anlise de custo-benefcio antes de adotar um ou outro mtodo de cpia. A periodicidade de backup de cada um desses mtodos depender da importncia dos sistemas e dos dados manipulados. Uma atividade meio esquecida relacionada aos backups o teste. Na maioria das empresas o backup nunca testado, comprometendo, assim, a recuperao de dados durante uma contingncia. No se esquea de testar os arquivos de backup, pois s assim voc ter certeza de que eles sero realmente teis e cumpriro com
Prof Andr Arantes www.andrearantes.eti.br professor@andrearantes.eti.br

Segurana e Auditoria de Sistemas 7 seu objetivo de recuperar os sistemas e os dados da organizao. recomendvel que cada sistema crtico tenha pelo menos duas cpias: uma mantida em local prximo ao computador, para uma recuperao imediata, e outra em local distante, para permitir a recuperao em uma localidade de backup (off-site backup) em caso de destruio do prdio ou da sala onde se encontra o computador. Vale lembrar que, a cada alterao, novas cpias devero ser feitas. A adoo desse tipo de atitude depende diretamente da relevncia do sistema para a continuidade dos negcios da organizao. Os backups no protegem a instituio apenas contra falhas de hardware e software, mas tambm contra alteraes propositais feitas por invasores. Se houver uma suspeita de que o sistema foi invadido, recomendvel restaur-lo a partir do ltimo backup, a fim de proteg-lo contra alteraes feitas pelo invasor, j que nem sempre possvel identificar tudo que foi alterado ou apagado. Se no houver um backup adequado do sistema operacional e demais utilitrios, ser impossvel prever o comportamento do sistema dali por diante.

Armazenamento de Dados
conveniente que todos os backups efetuados estejam devidamente registrados, para que no haja qualquer dvida quanto ao seu contedo e data de atualizao. Alm disso, o prprio local de armazenamento deve ser suficientemente seguro. Existem cofres especialmente construdos para armazenar meios magnticos, sendo capazes de proteg-los contra altas temperaturas e contato com gua, alm da utilidade bvia de qualquer cofre. Como j foi dito anteriormente, algumas cpias devem ser mantidas em uma localidade remota como uma medida preventiva adicional. No caso de incndios ou inundao, pode ser mais fcil e rpido recuperar o sistema a partir de sua cpia remota do que tentar entrar no prdio para acessar a cpia local.

Recuperao de Dados
A recuperao de dados define os procedimentos necessrios ao retorno da operao normal dos sistemas. Para se garantir a efetiva restaurao dos sistemas e que todos os componentes necessrios para restaur-los esto sendo copiados corretamente, todos os procedimentos de recuperao precisam ser testados periodicamente. Se o processo de recuperao no funcionar, os backups no tero qualquer utilidade.

Procedimentos Manuais
Embora muitos aplicativos no possam retornar aos procedimentos manuais de processamento, alguns podem, pelo menos por um limitado perodo de tempo. Normalmente a volta a procedimentos manuais somente exeqvel no caso de sistemas de pequeno porte, ou como medida temporria. Na avaliao de alternativas para restaurao dos servios computacionais, aconselhvel considerar quais aplicativos poderiam ser processados manualmente.

Seguros
Como qualquer recurso com valor econmico, os recursos computacionais tambm podem ser segurados contra perda financeira e danos materiais, cobrindo computadores, equipamentos de comunicao, dispositivos eltricos e mecnicos. recomendvel verificar tambm a possibilidade de contratar seguro para cobrir prejuzos causados por funcionrios e despesas adicionais de trabalho emergencial e de restaurao, na ocorrncia de desastres.

Acordos Comerciais
Apesar de pouco utilizados no Brasil, os acordos comerciais tambm so alternativas para a restaurao dos servios de informtica. Os fornecedores de equipamentos, por exemplo, podem oferecer suas
Prof Andr Arantes www.andrearantes.eti.br professor@andrearantes.eti.br

Segurana e Auditoria de Sistemas 8 instalaes, durante um determinado espao de tempo, para restaurao dos servios computacionais de seus clientes. Se as clusulas contratuais cobrirem todos os tipos de ameaas e estiverem muito bem elaboradas, um acordo comercial pode ser a melhor alternativa em termos de efetividade, mas pode tambm ser bem cara. A equipe designada para o planejamento de contingncias deve avaliar essa possibilidade, os riscos e os impactos nos negcios da organizao, caso os sistemas de informtica parem de funcionar. Sero citados aqui quatro tipos de acordos comerciais: Uso de equipamentos do fornecedor de hardware o os fornecedores de computadores de pequeno porte costumam ter locais com equipamentos para demonstrao, os quais podem ficar disponveis no caso de um desastre ocorrer nas instalaes de um cliente. Normalmente cedem seus recursos computacionais enquanto as instalaes dos clientes esto sendo restauradas. Dependendo do fornecedor e do tipo de contrato que mantm com seus clientes, esse servio no cobrado ou j est embutido no contrato principal. Hot site o algumas empresas so especializadas em servios de restaurao de sistemas de informtica. Oferecem salas equipadas, compatveis com os recursos computacionais do cliente, sempre prontas para operar em substituio instalao original. Esses centros de recuperao provem ainda suporte tcnico e servios de telecomunicao. Esse mtodo, portanto, corresponde a uma instalao equipada e pronta para operar em um curto espao de tempo. Para garantir seu perfeito funcionamento, necessrio testar periodicamente os sistemas aplicativos na instalao reserva. Cold site o instalao que oferece infra-estrutura bsica (local adequado, cabeamento eltrico, dispositivos de resfriamento de gua, ar condicionado, piso falso, etc.). No caso de um desastre, o cliente s precisa deslocar seus equipamentos para o local preparado. Em comparao com o hot site, esta alternativa mais barata, porm pode levar um tempo maior para ser ativada com todos os equipamentos necessrios. Contratao de bureaus de servio o embora a maioria dos bureaus de servio no esteja diretamente ligada ao negcio de recuperao de servios de informtica, esse tipo de empresa normalmente pode suprir essa necessidade, pois possui computadores, servios de telecomunicao ativos e equipe treinada. O provedor de servios o proprietrio do hardware e fornece local e pessoal para operar e manter o sistema. Como as instalaes do provedor normalmente so divididas por diversos clientes, o custo para cada um deles baixo. Tambm provvel que o provedor possa dispor de recursos para arranjos de continuidade de servios mais sofisticados. Dessa forma, a terceirizao pode ser uma boa opo de recuperao, especialmente para organizaes de pequeno porte, com poucos recursos para custear o desenvolvimento e a manuteno de seu prprio plano de contingncias.

Prof Andr Arantes www.andrearantes.eti.br professor@andrearantes.eti.br

Segurana e Auditoria de Sistemas

Acordos de Reciprocidade e Estratgias Cooperativas de Recuperao


Os acordos de reciprocidade so celebrados entre organizaes com equipamentos e sistemas similares, com o objetivo garantir a continuidade dos servios de informtica em situaes emergenciais. Teoricamente essa alternativa pode ser um acordo de benefcio mtuo, desde que haja compatibilidade de equipamentos. Apesar de serem mais baratos do que os acordos comerciais citados no item anterior, importante lembrar que o comprometimento entre as partes bem menor. O acordo deve ser documentado, especificando o tipo e o nvel de servio pretendidos, as circunstncias que levaro a sua ativao e a durao dos servios. Deve-se ter cuidado especial com as alteraes de hardware e software, visando garantir a capacidade de processamento adequada e a compatibilidade dos sistemas entre as partes.

Solues Internas
Ao invs de lidar com provedores de servios ou acordos de reciprocidade, muitas organizaes decidem desenvolver sua estratgia de recuperao utilizando vrios centros de processamento de dados, ou locais preparados, da prpria organizao. Nessa linha, pode-se optar por: Sistemas espelhados - essa alternativa envolve o processamento de dois sistemas idnticos (equipamentos, software e aplicativos replicados) em localidades diferentes, atualizados paralelamente. Um dos sistemas executa o trabalho real, enquanto o outro, operando em paralelo, fica em stand-by, de forma que seja possvel transferir o processamento para o sistema reserva, caso seja necessrio. uma opo comparativamente cara, mas justificada para sistemas crticos, em que mesmo uma pequena parada do sistema pode acarretar um grande impacto para a organizao. Esta alternativa usada normalmente por instituies bancrias, sistemas de reserva de passagens areas e sistemas de defesa nacional. Sua vantagem a facilidade e a rapidez com que os sistemas so substitudos, dispensando a transferncia de equipamentos, fitas backup e pessoal para uma localidade de reserva, com todos os custos e os problemas logsticos que isso envolve. Processamento em vrios locais diferentes com certa degradao - a organizao pode utilizar seus diversos centros de processamento de dados para servirem de backup uns dos outros em uma emergncia. Esta abordagem no exige processamento paralelo. Em situaes normais, cada centro processa seus prprios dados, como de costume. aconselhvel, entretanto, que haja uma certa similaridade entre os centros. A organizao deve determinar o grau de degradao aceitvel em situaes emergenciais. Cold site interno - assim como o cold site contratado de terceiros, a organizao pode manter um local vazio, com todos os dispositivos ambientais necessrios, preparado para receber os equipamentos no caso de uma eventualidade.

Relatrio das Alternativas Para a Recuperao dos Servios Computacionais


O produto dessa anlise de alternativas de recuperao deve ser um relatrio gerencial que descreva as diversas opes, suas estimativas de custos, vantagens e desvantagens em relao s outras opes. Tambm necessrio apresentar os requerimentos de recursos humanos (quantidade de pessoas e qualificaes tcnicas) e os recursos financeiros necessrios para a fase seguinte de desenvolvimento do plano de contingncias.

Prof Andr Arantes www.andrearantes.eti.br professor@andrearantes.eti.br

Segurana e Auditoria de Sistemas

10

Desenvolvimento do Plano de Contingncias


Aps a anlise dos riscos, impactos, vulnerabilidades e alternativas para recuperao, a equipe ter obtido uma viso geral dos sistemas, recursos e funes de negcio crticos da organizao, podendo determinar quais devem ser recuperados, suas prioridades e prazos de recuperao. O prximo passo traduzir a estratgia de contingncias em um documento a ser revisado e atualizado constantemente. Um plano de contingncias efetivo deve cobrir, essencialmente, duas fases: resposta imediata a um desastre e processo de restaurao. A primeira fase envolve decises gerenciais, como ter que decidir entre levar o plano adiante at as ltimas conseqncias, e tomar medidas corretivas para restaurar os sistemas e funes no prprio prdio, por exemplo. A segunda fase define os passos a serem seguidos no local escolhido como instalao reserva. No caso do plano de contingncias de servios de informtica, seu contedo depender dos equipamentos utilizados e da estratgia de recuperao selecionada. Em linhas gerais, muitos dos itens listados a seguir constaro do desenvolvimento de um plano de contingncias na rea de informtica.

Designao de Grupo de Recuperao de Contingncias


necessrio designar um grupo para colocar em prtica o plano, no caso de uma situao emergencial. Esse grupo pode ser subdividido em equipes, de acordo com sua rea de atuao. Por exemplo, pode-se designar uma equipe gerencial, responsvel pela coordenao dos trabalhos para que a restaurao ocorra dentro do prazo previsto; uma equipe de resposta imediata a incidentes, para tomar as medidas emergenciais e limitar os danos; e uma equipe de salvamento, responsvel por salvar o mximo possvel do patrimnio da instituio e avaliar a extenso dos danos porventura decorrentes do desastre. Outras equipes so igualmente necessrias, como as equipes de logstica, de instalaes fsicas da instalao reserva, de hardware, software, telecomunicaes, operao e desenvolvimento. No plano recomendvel que sejam estabelecidas as responsabilidades e o treinamento necessrio para os componentes das equipes mencionadas.

Resposta Imediata a um Desastre


Quando um desastre acontece, melhor que todos saibam o que fazer. Para isso, com antecedncia, deve ser feito um planejamento com todos os passos a serem seguidos, a fim de causar o mnimo de confuso e hesitao na hora do incidente. Esta fase do plano, ento, deve definir as condies que constituem um desastre, os indivduos designados para iniciar os procedimentos de contingncias e o que se deve fazer imediatamente aps a ocorrncia do desastre. Dentre outras informaes, importante listar os nmeros de telefone onde podem ser encontrados os componentes da equipe de resposta a desastres e um local preestabelecido para reunio. Aps um incidente srio, a equipe de resposta imediata dever decidir que linha de ao seguir e como limitar os danos. Isso depender basicamente do prazo de tempo estimado para a durao do desastre, da importncia dos sistemas afetados, da gravidade do dano ocorrido e do nvel de prejuzo provvel para a organizao, se uma ao imediata no for adotada. Os primeiros passos em resposta ao desastre que normalmente so explicitados em um plano de contingncias so: Identificar e compreender o problema - se voc desconhece o problema, dificilmente conseguir cont-lo. Nessa fase, no preciso conhec-lo detalhadamente. Basta ter uma noo de que tipo de problema para poder optar pelas medidas mais adequadas. Conter os danos, limitando ou parando o problema -a partir do momento em que voc identificou o problema, tome medidas para que ele no continue causando danos. Determinar os danos causados - uma vez contidos os danos, chegou a hora de identificar tudo que foi
Prof Andr Arantes www.andrearantes.eti.br professor@andrearantes.eti.br

Segurana e Auditoria de Sistemas 11 danificado. Restaurar os sistemas - tendo conhecimento do que foi danificado, o prximo passo restaurar os sistemas e dados ao seu estado de operao normal. Eliminar as causas - para que o problema no ocorra novamente, as vulnerabilidades de segurana devem ser identificadas e sanadas. Comunicar o problema e as solues aos interessados, contactar seguradoras, etc. - conveniente dar uma explicao aos clientes e funcionrios do que aconteceu e o que foi feito para evitar problemas futuros. Se os sistemas e equipamentos estavam cobertos por seguro, devem ser preenchidos e encaminhados formulrios seguradora. Enfim, essa fase trata da comunicao do evento ocorrido.

Escolha da Instalao Reserva


Logo no incio do desenvolvimento do plano de contingncias, necessrio selecionar o site a ser utilizado como backup (instalao reserva ou off-site backup). Algumas alternativas, como os acordos comerciais, so dispendiosas e necessitam de um maior envolvimento da alta gerncia. Outras alternativas mais baratas, como o cold site, requerem um planejamento inicial para identificar e contratar os dispositivos ambientais mais adequados. Deve ser feita uma lista detalhada de hardware, software e equipamentos de telecomunicaes que compem as instalaes original e reserva. Uma verso atualizada do registro de bens de informtica deve ser guardada na localidade remota.

Identificao de Aplicativos Crticos


Na anlise de riscos foram identificados os aplicativos crticos. Na fase atual recomendvel estabelecer uma lista de prioridades para que, no caso de um desastre, com recursos computacionais comprometidos, alguns aplicativos sejam salvos enquanto outros sejam deixados de lado de acordo com as prioridades preestabelecidas. Essa tarefa no muito fcil, j que os proprietrios de cada sistema sempre acharo seus sistemas mais importantes do que os do vizinho. Esta parte do plano documenta formalmente os aplicativos crticos que foram designados para o processamento de emergncia, assim como os arquivos e programas necessrios. Deve ser apresentada uma lista de formulrios ou outros suprimentos necessrios, arquivos de backup e documentao de programas.

Inventrio de Arquivos e Programas Crticos


Tendo sido definidos os aplicativos crticos, importante identificar todos seus dados, arquivos e programas, para garantir que todos sejam includos nos procedimentos de backup e recuperao no centro de processamento reserva, por exemplo.

Identificao de Requerimentos de Sistema


O sistema operacional e utilitrios necessrios para processar os aplicativos crticos devem ser identificados e includos nos procedimentos de backup e recuperao. Deve-se ter ateno especial quanto compatibilidade de software entre a instalao original e a reserva.

Identificao de Requerimentos de Rede de Telecomunicaes


Os sites de backup devem estar equipados com todos os recursos de telecomunicaes necessrios para restaurar os sistemas computacionais crticos. Qualquer equipamento especial deve ser identificado e documentado. Dependendo da estratgia de recuperao, talvez sejam necessrias adaptaes nas linhas de telecomunicaes do site reserva.
Prof Andr Arantes www.andrearantes.eti.br professor@andrearantes.eti.br

Segurana e Auditoria de Sistemas

12

Identificao de Documentao e Suprimentos Necessrios


Toda a documentao a respeito dos aplicativos crticos, sistema operacional e utilitrios deve ser identificada. recomendvel que uma cpia seja guardada no site de backup. Se a documentao estiver desatualizada, deve-se adequ-la para que no comprometa a consecuo do plano. Os suprimentos necessrios para os aplicativos crticos tambm devem ser verificados para que possa ser estocada quantidade suficiente no site de backup.

Procedimentos de Recuperao na Instalao Reserva


Esta parte do plano lista os procedimentos para notificar as pessoas a serem contatadas na localidade de reserva na ocorrncia de uma emergncia, o pessoal necessrio para iniciar a operao da instalao reserva e os procedimentos emergenciais. O principal objetivo desta parte documentar todos os procedimentos necessrios para restaurar de alguma forma os servios computacionais na instalao reserva. Mesmo que os procedimentos sejam corriqueiros para os operadores, o nervosismo em uma emergncia pode confundir at mesmo os mais experientes. Por isso, tudo deve ser documentado. Devem ainda constar do plano os arranjos de transporte de equipamentos e pessoas para essa outra localidade, acomodaes disponveis e eventuais arranjos de segurana. aconselhvel subdividir esses procedimentos de acordo com o tempo decorrido aps a ocorrncia do desastre (por exemplo, atividades dentro de 6, 12 ou 24 horas a partir do evento).

Contatos com Fornecedores


Deve constar do plano uma lista de firmas a serem contatadas para fornecer servios, equipamentos, software, suprimentos ou outros materiais necessrios para a recuperao. recomendvel que constem ainda detalhes de quaisquer contratos e acordos que faam parte do apoio recuperao do servio e outros centros de processamento de dados como alternativa a instalao reserva, caso esta no possa ser utilizada.

Cuidados Adicionais
O plano de contingncias no deve se voltar exclusivamente para aspectos de informtica. Existem outros recursos to importantes quanto equipamentos e programas. Para retornar normalidade aps um desastre, necessrio ter cuidados adicionais com: Retirada do pessoal - o plano de contingncias deve prever a retirada dos funcionrios de todas as reas sob ameaa. Os servios de manuteno do prdio e os rgos de utilidade pblica, tais como a polcia e os bombeiros, precisam ser consultados quanto ao estabelecimento de sadas de emergncia e reas de evacuao adequadas. Documentos em papel - apesar de estarmos tratando de informaes armazenadas em computadores, muitas informaes essenciais para as atividades da organizao podem estar armazenadas em papel, tais como contratos, correspondncias, cheques para pagamento de funcionrios e fornecedores, aplices de seguro e outros documentos legais. O prprio plano de contingncias deve estar em papel e guardado em local seguro. Para garantir a segurana dessas informaes, podem ser feitas cpias desse material crtico e armazen-las em um local remoto ou em reservatrios seguros, prova de fogo e gua, por exemplo. Documentos em meios magnticos - os meios magnticos (discos, fitas ou memria de computador) que armazenam informaes confidenciais da instituio devem ser protegidos, na medida do possvel, contra acesso de qualquer pessoa durante o perodo de recuperao do desastre. Mesmo que seus dispositivos estejam danificados, em algumas circunstncias possvel recuperar os dados neles contidos. recomendvel, portanto, adotar medidas seguras de remoo desses dispositivos para reparo ou destruio adequada. O plano de contingncias, por conter informaes confidenciais, tais como as fragilidades da instituio, nem sempre distribudo na ntegra, indiscriminadamente. recomendvel que seja entregue, a cada
Prof Andr Arantes www.andrearantes.eti.br professor@andrearantes.eti.br

Segurana e Auditoria de Sistemas 13 funcionrio, uma cpia resumida e comentada do plano de contingncias com orientaes sobre como agir em casos de contingncias. Os funcionrios devem saber a quem seguir e contatar, no caso de uma situao emergencial, e as simulaes de desastres devem contar com a participao de todos.

Treinamento
essencial que a equipe responsvel pela implantao do plano de contingncias se preocupe tambm com o treinamento dos funcionrios. Cada funcionrio, especialmente aqueles designados para equipes com responsabilidades especficas em caso de contingncias, deve estar conscientizado de suas responsabilidades em uma emergncia, sabendo exatamente que atividades desempenhar. Normalmente o treinamento engloba teoria e prtica de procedimentos de emergncia e recuperao, inclusive simulaes. De uma forma geral, educar a comunidade de usurios, fazendo com que eles se sintam participantes ativos de seu programa de segurana, a melhor estratgia para garantir o sucesso da poltica de segurana, quer seja em relao a planos de contingncias, poltica de senhas ou qualquer outra atividade de segurana de informaes. A conscientizao surte mais efeito se o treinamento for direcionado a pessoas da mesma rea, que utilizam o mesmo sistema computacional ou que desempenham as mesmas funes, pois bem provvel que se deparem com os mesmos problemas durante uma emergncia. Alm da distribuio de folhetos informativos, devem ser feitas palestras educativas sobre acidentes e planos de recuperao. A equipe de bombeiros pode auxiliar nessa tarefa, fazendo demonstraes e simulaes de situaes de combate a incndio e de evacuao de prdios. As normas tcnicas da ABNT determinam que esse tipo de treinamento seja feito periodicamente, para relembrar os funcionrios mais antigos e educar os recm-contratados. Pode-se aproveitar a oportunidade para treinar os novos funcionrios tambm em outros aspectos de segurana, como poltica de senhas, guarda de documentos confidenciais, proteo contra vrus de computador, preveno de acidentes de trabalho, etc.

Teste
Assim como a organizao deve testar seu sistema de alarme contra incndios, tambm deve testar o plano de contingncias. Os testes podem ser feitos em um conjunto predefinido de procedimentos de uma parte do plano ou utilizando o elemento surpresa de simulao de acidentes. O teste do plano representa uma garantia para a organizao, contanto que seja feito com seriedade. um componente importante para qualquer implementao, embora demande muitos recursos. Na verdade, a nica maneira de garantir a efetividade do plano de contingncias.

Metodologias
Teste integral - situao bem prxima da realidade. Envolve a transferncia das pessoas e do processamento dos sistemas crticos para um sistema de reserva. Geralmente os acordos comerciais ou de cooperao de continuidade de servios consideram um determinado nmero de testes por ano. O objetivo desse teste garantir que as atividades de negcio possam ser executadas, os sistemas possam ser recuperados no ambiente de reserva e os backups de arquivos e dados do sistema estejam corretos. Essa metodologia de teste provavelmente a mais eficaz e, certamente, a mais cara, no s em termos financeiros diretos, como tambm indiretos, por causar transtornos nas atividades normais dos funcionrios. Teste parcial - restrio do teste a apenas algumas partes do plano ou a determinadas atividades ou aplicativos. Assim como o teste integral, tambm deve ser executado periodicamente. Seus custos so mais baixos, mas sua abrangncia menor. Teste simulado - envolve representaes da situao emergencial. Os funcionrios praticam as atividades que devem desempenhar no caso de um desastre. Normalmente inclui desocupao do prdio. O
Prof Andr Arantes www.andrearantes.eti.br professor@andrearantes.eti.br

Segurana e Auditoria de Sistemas treinamento de evacuao do edifcio, em alguns pases, obrigatrio por lei.

14

Avaliao dos Resultados


Durante o teste aconselhvel cronometrar vrios eventos importantes para que o plano possa ser avaliado e alterado adequadamente, se for o caso. Normalmente so medidos os tempos de evacuao do prdio, de retorno s atividades normais, de recuperao e reconexo do sistema em teste e o tempo de carga de processamento na instalao reserva. Todos os problemas ocorridos durante o teste tambm devem ser registrados e classificados, de acordo com sua gravidade.

Atualizao do Plano
Um plano de contingncias ter pouca ou nenhuma utilidade se for colocado em uma gaveta e nunca for testado ou atualizado. A maioria dos sistemas e funes de negcio muda com freqncia, assim como seus procedimentos. At mudanas administrativas e de ambiente computacional acontecem, como a fuso de empresas e a migrao de sistemas de grande porte (centralizado) para ambiente cliente-servidor. Se o plano no estiver preparado para refletir as mudanas feitas nos negcios e sistemas informatizados, seu uso ser bastante limitado. Apesar de no estar diretamente relacionado com a elaborao do plano de contingncias, o auditor pode auxiliar em seu desenvolvimento e reviso. Em seu trabalho, o auditor deve analisar os planos de contingncias existentes como parte da auditoria de segurana de informaes. As fragilidades e as deficincias detectadas devem ser reportadas no relatrio de auditoria. A partir desse relatrio, podem ser implementadas melhorias nos prximos planos de contingncias da organizao.

Lista de Verificaes
Os aspectos de segurana apresentados a seguir podem ser utilizados como uma lista de verificaes, tanto pela gerncia responsvel pelo plano de contingncias e continuidade dos servios de informtica, quanto pela equipe de auditoria. Para essa gerncia, a lista pode servir como um conjunto de tarefas a serem realizadas na implementao do plano de contingncias. Para a equipe de auditoria, essas mesmas verificaes podem ser traduzidas em procedimentos de auditoria a serem adotados. A lista proposta abaixo no tem a pretenso de cobrir todos os pontos a serem verificados. Seu objetivo dar uma noo ao leitor dos conceitos bsicos e tipos de itens que podem compor essa lista. Cabe ao gerente do plano de contingncias e continuidade dos servios de informtica e ao auditor utiliz-la como um ponto de partida na elaborao de suas prprias listas de verificaes.

lista de Verificaes
Controles sobre o plano de continuidade de servios: Designar equipe para estudo e elaborao do plano de continuidade de servios da organizao. Identificar os recursos crticos e suas prioridades. Analisar os custos envolvidos na implantao de um plano de continuidade de servios e definir prazos. Realizar anlise de impacto, identificando os impactos da interrupo de cada sistema computacional e sua real importncia para a continuidade das atividades da organizao. Avaliar as diversas alternativas de recuperao dos servios computacionais, balanceando custos e benefcios.
Prof Andr Arantes www.andrearantes.eti.br professor@andrearantes.eti.br

Segurana e Auditoria de Sistemas 15 Elaborar plano de contingncias, definindo os recursos necessrios para sua consecuo. Promover treinamento de todos os funcionrios, a fim de conscientiz-los dos riscos envolvidos, da poltica corporativa, do prprio plano de contingncias, e, acima de tudo, de seu papel e responsabilidades. Promover treinamento com simulaes de situaes emergenciais e de evacuao do prdio. Testar o plano de contingncias e identificar pontos a serem adaptados ou corrigidos. Avaliar os resultados dos testes e atualizar o plano para que este seja compatvel com as condies atuais do ambiente de informtica (hardware, software e pessoal). Estabelecer procedimentos rotineiros de backup de arquivos e sistemas. Estabelecer e testar procedimentos de recuperao de arquivos e sistemas. Manter em localidade remota, cpias dos arquivos de backup. Planejar com antecedncia as medidas corretivas a serem tomadas em caso de emergncias. Aps a ocorrncia de um desastre, documentar todas as aes tomadas, tomar medidas para limitar os danos, investigar as causas, restaurar a operao normal dos sistemas, sanar as vulnerabilidades identificadas e comunicar aos interessados o ocorrido. Revisar e incorporar as listas de verificaes propostas nos outros tpicos sobre segurana de informaes deste captulo e nos tpicos do captulo seguinte, de acordo com a rea ou plataforma a ser auditada.

Bibliografia: Dias, Claudia - Segurana e Auditoria da Tecnologia da Informao - Axcel Books 2003 Oliveira, Wilson Jose - Segurana da Informao - Tcnicas e Solues - Visual Books 2001

Prof Andr Arantes www.andrearantes.eti.br professor@andrearantes.eti.br