Você está na página 1de 125

0

UNIVERSIDADE DE TAUBAT
Eliana Mrcia Moraes

PLANEJAMENTO DE BACKUP DE DADOS

Taubat SP
2007

UNIVERSIDADE DE TAUBAT
Eliana Mrcia Moraes

PLANEJAMENTO DE BACKUP DE DADOS

Dissertao apresentada para obteno do Ttulo


de Mestre pelo curso de Mestrado em Gesto e
Desenvolvimento Regional do Departamento de
Economia, Contabilidade e Administrao, da
Universidade de Taubat,
rea de Concentrao: Gesto de Recursos
Scio-produtivos
Orientador:
Prof. Dr. Marcio Lourival Xavier dos Santos

Taubat SP
2007

M827p Moraes, Eliana Mrcia


Planejamento de backup de dados / Eliana Mrcia Moraes - 2007.
124f. : il.
Dissertao (mestrado) - Universidade de Taubat, Pr-reitoria de
Pesquisa e Ps-graduao, 2007.
Orientao: Prof. Dr. Marcio Lourival Xavier dos Santos,
Departamento de Informtica.
1. Segurana da informao. 2. Estratgias de backup de dados.
3. Poltica de segurana. 4. Plano de continuidade de negcios. I. Ttulo.

ELIANA MRCIA MORAES


PLANEJAMENTO DE BACKUP DE DADOS

Dissertao apresentada para obteno do


ttulo de Mestre pelo curso de Mestrado em
Gesto e Desenvolvimento Regional do
Departamento de Economia, Contabilidade e
Administrao da Universidade de Taubat.
rea de Concentrao: Gesto de Recursos
Scio-produtivos

Data: 25 / 07 / 2007
Resultado: ___________________________
BANCA EXAMINADORA
Professor Dr. Marcio Lourival Xavier dos Santos

Universidade de Taubat

Assinatura: ________________________

Professor Dra. Isabel Cristina dos Santos

Universidade de Taubat

Assinatura: ________________________

Professor Dr. Luiz Alberto Vieira Dias


Assinatura: ________________________

Instituto Tecnolgico de Aeronutica

Aos profissionais da rea de Segurana da Informao. E a todos os que


acreditam e investem em pesquisas no Brasil.

AGRADECIMENTOS

A Deus pela minha famlia e por tudo o que me anima nesta caminhada.
Universidade de Taubat UNITAU, principalmente Pr Reitoria de Pesquisa
e Ps Graduao pela oportunidade e pela bolsa de estudos, a mim concedida.
Especialmente ao meu orientador, Professor Dr. Marcio Lourival Xavier dos
Santos, pela confiana em mim, dedicao, contribuio e incentivo para meu
desenvolvimento no Mestrado.
Ao Professor Dr. Jos Alberto Fernandes Ferreira pelo apoio e ensinamentos.
Professora Dra. Isabel Cristina dos Santos e ao Professor Dr. Luiz Alberto
Vieira Dias pelas observaes e correes construtivas.
Ao Professor Dr. Edson Aparecida de Arajo Querido de Oliveira pela excelente
qualidade deste curso de mestrado.
Professora Dra. Maria Jlia Xavier Ribeiro e Professora Dra. Hilda Maria
Salom Pereira pela ateno e pelas recomendaes.
Ao professor Dr. Jos Glnio Medeiros de Barros pelo apoio e compreenso.
Aos Professores Dr. Marco Antonio Chamon, Dr. Marcio da Silveira Luz, Dr.
Jos Lus Gomes da Silva, Dr. Francisco Cristvo Loureno de Melo e Dr.
Antnio Pascoal DelArco Jnior pelas indicaes nas bancas de seminrios.
Ao Professor lvaro Augusto Neto, do ITA, Instituto Stefanini e IBTA, por indicar
grande parte da amostra de respondentes desta dissertao.
A todos os professores e funcionrios da UNITAU por tudo o que me foi
proporcionado, sobretudo secretria Alda Aparecida dos Santos.
Aos colegas de trabalho e de estudo pelas palavras de conforto, crticas e
sugestes.
Aos respondentes do questionrio pela disponibilidade e por compartilharem seus
conhecimentos.
A todos que colaboraram direta ou indiretamente para a concluso desta
dissertao.

"H os que se queixam do vento. Os que esperam que ele mude. E os que
procuram ajustar as velas." -- William George Ward

RESUMO

Esta dissertao prope etapas a serem seguidas para o planejamento eficaz de


backup de dados, do ponto de vista de gesto de Segurana da Informao. Para
atingir o objetivo proposto, foram pesquisadas as variveis envolvidas para o
planejamento de backup de dados, atravs de documentos de fontes seguras
encontradas na Internet, em livros, em artigos e em outras referncias, sobre as
estratgias de backup de dados, reunindo as de maior relevncia e incidncia. No
decorrer da pesquisa foi aplicado um questionrio a alguns profissionais da rea de
Segurana da Informao para saber o que estes recomendam e se utilizam as
respectivas estratgias de backup de dados. Para a anlise dos dados coletados
foram usados mtodos qualitativos e quantitativos. Com avaliao das respostas ao
questionrio constatou-se que nem todas as estratgias indicadas pela literatura so
aplicadas pelos profissionais de Segurana da Informao.

As opinies dos

respondentes divergem em alguns pontos, o que pode ser explicado pela falta de
guias e cursos especficos para o planejamento de backup de dados. No decorrer
da dissertao, foi mostrada a importncia da Segurana da Informao e
finalmente, foram propostas as fases a serem respeitadas em um planejamento de
backup de dados.
Palavras-Chave: Segurana da Informao. Estratgias de Backup de Dados.
Poltica de Segurana. Plano de Continuidade de Negcios.

ABSTRACT
This work presents some results from a research carried out with the main objective
of proposing Data Backup Strategies. The results have been collected based upon
both the known practices found in the literature, publicized articles and comments in
the "world wide web" and on the actual practices which have been in use by a
technical staff in Information Security. To this objective, documents describing the
"best" and the "most used practices" in Data Backup Management were collected in
the Internet and also from technical references published on the subject. In order to
access the most common practices, a written survey was devised and sent to a
selected professional staff working in Information Security, which had been asked to
answer a questionnaire regarding their recommended Data Backup planning
strategies. From the answers given to the questionnaire; it can be detected that not
all the prescribed practices are being used by the respondents. In fact, it is noticeable
that their opinions diverge. This dissertation demonstrates the importance of keeping
the integrity of the Information and the best practices to ensure its protection,
availability and recovery. Finally, a Data Backup Strategy is presented.
Keywords: Information Security. Data Backup Strategies. Security Policy. Business
Continuity Plan.

SUMRIO
RESUMO................................................................................................ 7
ABSTRACT............................................................................................ 8
LISTA DE FIGURAS ............................................................................ 11
LISTA DE TABELAS ........................................................................... 12
1 INTRODUO .................................................................................. 13
1.1 O PROBLEMA DE PESQUISA...........................................................................16
1.1.1 Objetivo Geral ..................................................................................................16
1.1.2 Objetivos Especficos .......................................................................................16
1.2 DELIMITAO DO ESTUDO .............................................................................17
1.3 RELEVNCIA DO ESTUDO...............................................................................17
1.4 ORGANIZAO DO TRABALHO ......................................................................19

2 REVISO DA LITERATURA............................................................. 20
2.1 SEGURANA DA INFORMAO .....................................................................20
2.1.1 Classificao da Informao ............................................................................22
2.1.2 Anlise de Riscos, Vulnerabilidades, Ameaas e Falhas. ................................24
2.1.3 Impactos e Prevenes ....................................................................................28
2.2 POLTICA DE SEGURANA DA INFORMAO ..............................................29
2.2.1 Poltica de Segurana da Informao e backup de dados ...............................31
2.3 PLANO DE CONTINUIDADE DE NEGCIOS ...................................................31
2.3.1 Plano de Continuidade de Negcios e backup de dados .................................34
2.4 ESTRATGIAS DE BACKUP DE DADOS.........................................................34
2.4.1 Termos utilizados para o Planejamento de backup de dados ..........................35
2.4.2 Tipos de Backup...............................................................................................37
2.4.3 Gerenciamento do ciclo de vida das informaes ............................................39
2.4.4 Recomendaes para Backup e Recuperao de Dados ................................41

3 METODOLOGIA ............................................................................... 47
3.1 TIPO DE PESQUISA ..........................................................................................47
3.2 UNIVERSO E AMOSTRA ...................................................................................48
3.3 COLETA DE DADOS..........................................................................................49
3.4 TRATAMENTO DOS DADOS.............................................................................51

4 RESULTADOS E DISCUSSO ........................................................ 52

10

4.1 PESQUISAS SOBRE BACKUP DE DADOS......................................................52


4.2 CONSOLIDAO DAS RESPOSTAS AO QUESTIONRIO ............................55
4.3 PROPOSTA: ETAPAS PARA O PLANEJAMENTO DE BACKUP DE DADOS 94

5 CONCLUSO ..................................................................................102
REFERNCIAS...................................................................................106
ANEXO A - TERMO DE CONSENTIMENTO LIVRE E ESCLARECIDO
............................................................................................................109
ANEXO B - QUESTIONRIO .............................................................112

11

LISTA DE FIGURAS
Figura 1 - Tempo de trabalho na rea de Segurana da Informao........................56
Figura 2 - Cursos na rea de Segurana da Informao ..........................................56
Figura 3 - Principais razes para se ter um plano de backup....................................57
Figura 4 - Partes de um plano de backup de dados..................................................60
Figura 5 - Consideraes para Poltica de Segurana da Informao ......................73
Figura 6 - Consideraes para o Plano de Continuidade de Negcios .....................74
Figura 7- Manual especfico para elaborao de plano backup de dados ................75
Figura 8 - Normas e/ou recomendaes para backup de dados...............................76
Figura 9 - Certificao em gesto ou planejamento de backup.................................78
Figura 10 - Tratamentos dos dados antes de serem armazenados ..........................79
Figura 11 - Necessrio para classificar os dados a serem backapeados ...............81
Figura 12 - Estratgias para minimizar o tempo do backup ......................................82
Figura 13 - Estratgias para o backup disponvel, e rpida recuperao..................83
Figura 14 - Necessrio para escolher tecnologias de hardware e software ..............85
Figura 15 - Necessrio para escolher mdias para backup de dados........................86
Figura 16 - Backup remoto ........................................................................................88
Figura 17 - Consideraes para contrato de backup remoto ....................................90
Figura 18 - Estratgias para documentao de backup e recuperao ....................91
Figura 19 - Grupos que devem testar e avaliar o plano de backup ...........................93
Figura 20 - Periodicidade para testar e avaliar os planos de backup ........................94

12

LISTA DE TABELAS
Tabela 1 - Equipes para o plano de backup ..............................................................62
Tabela 2 - Equipes para a definio de responsabilidades .......................................63
Tabela 3 - Equipes para os procedimentos de armazenamento ...............................64
Tabela 4 - Equipes para os procedimentos de documentao .................................65
Tabela 5 - Equipes para a classificao de informaes ..........................................65
Tabela 6 - Equipes para a definio de locais de armazenamento ...........................66
Tabela 7 - Equipes para os procedimentos de transporte e guarda de mdias .........66
Tabela 8 - Equipes para os procedimentos de escolha de hardware........................67
Tabela 9 - Equipes para os procedimentos de escolha de software .........................68
Tabela 10 - Equipes para os procedimentos de escolha de mdias ..........................68
Tabela 11 - Equipes para a determinao do perodo de reteno das informaes68
Tabela 12 - Equipes para o agendamento do backup...............................................69
Tabela 13 - Equipes para os procedimentos de transmisso dos dados ..................69
Tabela 14 - Equipes para os procedimentos de reteno das mdias.......................70
Tabela 15 - Equipes para a definio da periodicidade da reviso do plano ............71
Tabela 16 - Equipes para a nomeao de arquivos ..................................................71

13

1 INTRODUO

Nas diversas atividades da sociedade, sejam pertencentes aos setores


de produo, de servios, ou de governo, as informaes armazenadas nos
computadores

tm

um

valor

incalculvel.

Dependendo

do

objetivo

organizacional, a falta dessas informaes pode significar dificuldades


administrativas e at a paralisao de atividades essenciais. Em caso de perda
de dados, quase sempre imprescindvel poder recuper-los e isto se torna
possvel se existir uma fonte segura de backup.
Backup um termo em ingls que quase sempre traduzido como cpia
de segurana, porm o backup nem sempre seguro. So necessrias
estratgias para manter a integridade, confiabilidade e disponibilidade do
backup.
Um dos exemplos de que o backup de dados nem sempre pode ser
recupervel foi a perda de informaes, relatadas depois do atentado s torres
gmeas nos Estados Unidos da Amrica, em onze de setembro de dois mil e
um, quando algumas organizaes, mesmo tendo backup, no conseguiram
recuperar seus dados devido localizao dos mesmos. Essas organizaes
tinham seus dados principais em uma torre e o backup dos dados na torre
gmea ao lado, e o desastre atingiu as duas torres. Esse foi um problema de
mau planejamento e gerenciamento do backup.
O atentado de onze de setembro aumentou as preocupaes com a
segurana do backup, entre elas: a localidade do backup remoto a certa
distncia dos dados originais, para que um desastre no local onde esto os
dados principais no atinja o backup remoto, a segurana do transporte e do

14

armazenamento

dos

dados,

de

outros

fatores

que precisam

ser

considerados.
Alm de manter o backup para ser recuperado em casos de perda de
dados, as organizaes obedecem a regulamentos governamentais, que
obrigam a guarda de informaes. Por exemplo, independente do porte ou
negcios, as organizaes que possuem funcionrios contratados precisam
manter os dados empregatcios por longo tempo determinado por lei. E a
necessidade de manter a massa de dados por tanto tempo transforma o
backup em operao crtica.
Este trabalho surgiu a partir de preocupaes em guardar de maneira
segura os dados de uma Universidade. Depois de informatizar alguns servios
e processos e com a utilizao de bancos de dados para sistemas
administrativos, internet, ensino distncia e outros, a Instituio passou a ser
mais dependente dos dados eletrnicos, e com o volume desses dados
aumentando h a dificuldade de guard-los de modo seguro.
Para garantir o presente e assegurar o futuro dos dados dessa
Universidade, procurou-se resolver o problema da guarda dos dados
eletrnicos, porm ao tratar desse assunto verificou-se o nvel de complexidade
do tema backup, desde a parte de planejamento at a prtica em si. Como esta
foi a primeira pesquisa na Universidade sobre backup optou-se por analisar
sobre o planejamento do backup, ou seja, quais as estratgias para backup de
dados.
Foi realizado um estudo onde foram levantadas as principais variveis
para o planejamento de backup de dados. Para isso foi feita uma reviso na
literatura sobre Segurana da Informao com enfoque em backup de dados.

15

Devido ao fato de encontrar pouca literatura nacional sobre backup, at onde


foi possvel examinar no conjunto de documentos citados na bibliografia,
procurou-se saber o que estava sendo utilizado como estratgias de backup de
dados no Brasil. Para isto foi selecionado um grupo de profissionais,
responsveis

pela

Segurana

da

Informao

nas

organizaes

onde

trabalham, para responderem a um questionrio.


Com o desenvolvimento desta pesquisa verificou-se que as estratgias
de backup de dados estudadas podem beneficiar outras organizaes, e por
isso, optou-se por no se fazer um estudo de caso, porm cada organizao
possui necessidades distintas e apresentar abordagens diversas para tratar
as questes relacionadas a backup de dados. Entretanto, um conjunto genrico
de estratgias, com requisitos bsicos, pode ser definido para guiar o
planejamento de backup de dados para diferentes naturezas de negcios.
Este trabalho se desenvolve sob o ponto de vista de gesto de
Segurana da Informao, pois apresenta um conjunto de estratgias a ser
destinado principalmente, aos supervisores responsveis pela rea de
Segurana da Informao, com o objetivo de se planejar o backup, alm de
mostrar aos administradores, responsveis pelo oramento das organizaes,
as necessidades de se investir em backup de dados.
O backup de dados precisa de estratgias para ser seguro e
recupervel. Assim, busca-se neste estudo, propor etapas para o planejamento
de backup de dados, de acordo com a literatura pesquisada e respostas a um
questionrio aplicado a profissionais da rea de Segurana da Informao,
para a preservao da segurana e continuidade dos negcios.

16

1.1 O PROBLEMA DE PESQUISA

O Problema da presente pesquisa :


Identificar, atravs da literatura e profissionais da rea de Segurana da
Informao, as principais variveis e estratgias para o planejamento de
backup de dados, do ponto de vista de gesto de Segurana da Informao.

1.1.1 Objetivo Geral

O objetivo geral propor etapas para o planejamento eficaz de backup


de dados.

1.1.2 Objetivos Especficos

Pesquisar estratgias de backup de dados atravs da literatura e das


respostas dadas a um questionrio por profissionais responsveis pela
rea de Segurana da Informao.

Reunir as estratgias de relevncia e de maior incidncia para backup


de dados.

Demonstrar a importncia da participao da rea administrativa no


planejamento de backup de dados.

Propor estratgias de backup de dados do ponto de vista de gesto de


Segurana da Informao.

17

1.2 DELIMITAO DO ESTUDO

Sero abordadas as estratgias de maior relevncia e incidncia para


backup de dados.
O levantamento das estratgias ser feito atravs de pesquisa na
literatura constituda de artigos especializados em Segurana da Informao,
backup e recuperao de dados, e atravs de questionrio.
O questionrio sobre estratgias de backup de dados foi aplicado a
profissionais responsveis pela Segurana da Informao que trabalham h um
ano ou mais em organizaes que possuem dados crticos e que precisam ser
mantidos por um perodo mnimo de dois anos. As respostas foram fornecidas
por profissionais de organizaes do Estado de So Paulo: Capital, Vale do
Paraba e Campinas.
Em relao aos portes, tamanhos ou qualquer informao sobre as
empresas s quais pertencem funcionalmente os respondentes, ficou acordado
com todos que seria mantida a confidencialidade, evitando-se, portanto, uma
identificao, mesmo que indireta.
As etapas propostas para o planejamento seguro de backup de dados
visam gesto de Segurana da Informao.

1.3 RELEVNCIA DO ESTUDO

A Segurana da Informao necessria para a gesto administrativa,


independente do tipo de negcios, seja da informao, comrcio, educao,
produo e negcios em geral. Dependendo da criticidade da informao
surgem as justificativas de quanto investir em backup de dados.

18

Os investimentos de uma organizao com Segurana da Informao,


normalmente representam um seguro contra perdas. Antes que casos isolados
ocorram, como, por exemplo, a invaso de um sistema por um vrus ou at um
incndio em um centro de processamento de dados, o investimento em
segurana pode eliminar ou diminuir os prejuzos devido perda de
informaes.
Para que no haja conflitos quanto aos requisitos de oramento para
backup de dados, preciso o entendimento de que no s o pessoal da rea
de Tecnologia de Informao que deve ser responsvel pela Segurana da
Informao, mas a organizao como um todo.
Para investir em backup de dados, entretanto, necessrio saber quais
estratgias utilizar, de acordo com a criticidade da informao. Com base nesta
afirmao, este trabalho prope estratgias de backup de dados, mostrando
que, tanto a rea administrativa, quanto rea de Tecnologia da Informao
devem participar deste planejamento.
A importncia deste estudo tambm consiste no potencial de discusso
e gerao de trabalhos acadmicos relacionados a backup de dados, do ponto
de vista de gesto da Segurana da Informao. At onde foi possvel
investigar, os trabalhos acadmicos voltados para backup de dados so
especficos sobre algoritmos ou programas de software para backup de dados.

19

1.4 ORGANIZAO DO TRABALHO

Este trabalho distribui-se em cinco captulos onde o primeiro esta


introduo.
No Captulo 2, Reviso da Literatura, so apresentados os conceitos
bsicos e consideraes tericas sobre a importncia da Segurana da
Informao, Poltica de Segurana da Informao e Plano de Continuidade de
Negcios, como base para o assunto principal da presente pesquisa:
Estratgias de backup de dados.
No Captulo 3, reservado Metodologia, definido o tipo de pesquisa,
so mostrados os critrios de composio da amostra, as formas de coleta de
dados e os procedimentos da anlise e do tratamento dos dados.
No Captulo 4, que aborda Resultados e Discusso e Proposta, e no
Captulo 5, Concluso, so apresentadas e comentadas as anlises dos dados
coletados, e o que esperado deste estudo: as estratgias de backup de
dados.
Ao final, encontram-se as Referncias Bibliogrficas e Anexos.

20

2 REVISO DA LITERATURA
A reviso da literatura est dividida em quatro sees. A primeira define
e mostra a importncia da Segurana da Informao, a segunda e a terceira
partes, respectivamente, explicam sobre Poltica de Segurana da Informao
e Plano de Continuidade de Negcios. As trs primeiras partes introduzem e
fornecem informaes para a compreenso do contexto, formulando as origens
das preocupaes com backup de dados. Finalmente na quarta seo so
apresentadas as estratgias de backup de dados, principal assunto desta
pesquisa.

2.1 SEGURANA DA INFORMAO

A Segurana da Informao pode ser usada como um diferencial na


estratgia, especialmente em uma economia globalizada em que mais
negcios so conduzidos eletronicamente. (EGAN, 2005, p.11).
Para auxiliar na implementao de Segurana da Informao, foi
publicada pela Associao Brasileira de Normas Tcnicas (ABNT) a NBR
ISO/IEC 17799, com padres de metodologia de segurana. A NBR ISO/IEC
17799 equivalente norma ISO 17799, que teve como origem a BS 7799,
criada pelo British Standards Institute (BSI), que um conjunto de padres
britnicos, criado em 1995 e foi o primeiro documento a ser reconhecido
internacionalmente como guia de prticas de Segurana da Informao.
A norma NBR ISO/IEC 17799 (ABNT, 2005), especifica que a Segurana
da Informao caracterizada pela preservao de:

21

a) Confidencialidade: garantia de que a informao acessvel somente


aos usurios autorizados;
b) Integridade: garantia de que as informaes no sejam alteradas
indevidamente;
c) Disponibilidade: garantia de que os usurios autorizados tenham acesso
informao sempre que preciso.
d) Outras propriedades, tais como autenticidade, responsabilidade, no
repdio e confiabilidade, podem tambm estar envolvidas.
A informao um ativo importante, normalmente o bem mais valioso
para a maioria das organizaes, e por isso deve ser protegido. De acordo com
Erlich (2004), a Segurana da Informao deve servir de seguro contra as
ameaas.
O episdio ocorrido em onze de setembro de 2001 no World Trade
Center, em Nova Iorque um dos exemplos que mostra o quanto importante
para as organizaes preservarem a Segurana da Informao.
Segundo Farias Junior (2002), o Deutsche Bank, com dois escritrios
funcionando no World Trade Center, tinha um site de backup remoto instalado
em local afastado da sede, com cpias de todos os arquivos importantes
atualizados. Assim, depois do atentado terrorista, no dia seguinte, j operava
os seus sistemas quase normalmente.
Segundo Swanson et al (2002), boa prtica armazenar os dados
remotamente em instalaes de armazenamento de dados que sejam
projetadas especialmente para arquivar mdias e proteger os dados de
ameaas.

22

Ao contratar um site de backup remoto, ou aperfeioar as formas de


acesso s fontes de informao utilizando controles automatizados como,
sistemas de reconhecimento de retina, voz, digitais, pessoal qualificado, etc.
ampliam-se os custos com a Segurana da Informao. No entanto, diante de
situao de alto risco, como catstrofes naturais ou provocadas que se pode
avaliar a importncia de um investimento maior. Existem duas formas de
desastres que, por suas conseqncias, podem ilustrar essa considerao:
quando em um desastre os dados so perdidos sem o devido backup, ou
quando apesar das perdas os dados so recuperados.
De acordo com a norma NBR ISO/IEC 17799 (ABNT, 2005), a
Segurana da Informao obtida a partir da implementao de uma srie de
controles que podem ser polticas, prticas, procedimentos, estruturas
organizacionais e funes de software. Esses controles precisam ser
estabelecidos para garantir que os objetivos de segurana da organizao
sejam atendidos.
A Segurana da Informao fundamental, e para que ela seja
estabelecida nas organizaes, preciso a elaborao de uma poltica de
segurana e de um Plano de Continuidade de Negcios. Para isto preciso
antes classificar a informao e determinar os riscos de perdas atravs do
conhecimento das particularidades de cada negcio.

2.1.1 Classificao da Informao


O objetivo principal da Segurana da Informao deve ser resguardar a
informao importante para a organizao e no apenas o software, hardware
ou mdias que a mantm.

23

Para a norma NBR ISO/IEC 17799 (ABNT, 2005), o objetivo da


classificao da informao indicar as necessidades e prioridades da
informao e garantir que seja dado o nvel adequado de proteo
informao.
Prado (2002) alerta que no adianta investir na proteo de um servidor
de rede que no armazena nenhuma informao crtica aos negcios, e que os
esforos devem ser concentrados no que realmente significativo para a
organizao.
Conforme Bigelow (2006), os administradores devem fazer a triagem dos
dados, alocando recursos de backup principalmente para as aplicaes as
mais importantes.
De acordo com a norma NBR ISO/IEC 17799 (ABNT, 2005), a
informao possui vrios nveis de sensibilidade e criticidade. Alguns dados
podem necessitar um nvel adicional de proteo ou tratamento especial.
importante que um sistema de classificao da informao seja utilizado para
definir um conjunto apropriado de nveis de proteo e determinar a
necessidade de medidas especiais de tratamento.
Para a classificao da informao, a norma NBR ISO/IEC 17799
(ABNT, 2005) recomenda considerar o valor para os negcios, requisitos
legais, sensibilidade e criticidade para a organizao. E ao implementar a
classificao

convm

levar

em

considerao

as

necessidades

de

compartilhamento ou restrio de informaes e os respectivos impactos nos


negcios, incluindo convenes para classificao inicial e reclassificao ao
longo do tempo, de acordo com algumas polticas de controle e de acesso
predeterminadas.

24

Os processos de reclassificao ao longo do tempo so designados por


processos de backup hierrquico que retratam a condio de que a informao
freqentemente deixa de ser sensvel ou crtica aps certo perodo de tempo.
A norma NBR ISO/IEC 17799 (ABNT, 2005) adverte que esquemas de
classificao de informao excessivamente complexos podem ser inviveis
economicamente ou impraticveis.
Este assunto ser complementado quando definidas as estratgias de
backup de dados e o conceito de Gerenciamento do Ciclo de Vida da
Informao for explicado.
A informao deve ser classificada de acordo com a sua importncia e
criticidade atravs de anlise de riscos, para se determinar a necessidade e um
possvel prejuzo com a falta da informao para os negcios da organizao.

2.1.2 Anlise de Riscos, Vulnerabilidades, Ameaas e Falhas.


A norma NBR ISO/IEC 17799 (ABNT, 2005) define que a avaliao de
riscos uma considerao sistemtica do impacto aos negcios resultantes de
uma falha de segurana. Deve-se levar em conta as conseqncias da perda
de confidencialidade, integridade ou disponibilidade da informao ou de outros
ativos e da probabilidade de tal falha ser explorada por ameaas e
vulnerabilidades mais freqentes.
De acordo com Egan (2005), vulnerabilidades so brechas ou fraquezas
dos sistemas, que exploradas, podem comprometer os mesmos.
Estar vulnervel encontrar-se exposto a possveis ataques de uma
ameaa.

Por

vulnerabilidade.

exemplo,

estar

com

o antivrus desatualizado uma

25

O Centro de Estudos, Resposta e Tratamento de Incidentes de


Segurana no Brasil (CERT, 2003) conceitua ameaa segurana como a
quebra de uma ou mais das trs propriedades fundamentais confidencialidade,
integridade e disponibilidade da informao.
Segundo Erlich (2004), as ameaas da rea de Segurana da
Informao podem se originar de alguns tipos de situaes, tais como:
a) Catstrofes: incndio, alagamento, vazamento, exploso, desabamento,
relmpago.
b) Problemas ambientais: variaes trmicas, umidade, poeira, radiao,
rudo, vapores, gases, fumaa, magnetismo, trepidao, falta de energia
eltrica.
c) Comportamento

anti-social:

paralisao,

greve,

piquete,

invaso,

alcoolismo, drogas, sabotagem, omisso, inveja, rixa entre funcionrios,


ao criminosa, furtos, fraudes, terrorismo, seqestro, espionagem
industrial.
d) Problemas Eletrnicos: pane de equipamentos ou de redes, falhas nos
sistemas operacionais, paradas de sistema.
e) Procedimentos inadequados: supresso de servios, erros de usurios,
erros de backup, utilizao inadequada de sistemas ou arquivos, dados
incompletos
treinamento

ou

inconsistentes,

insuficiente,

ausncia

violao
e

de

demisso

confidencialidade,
de

funcionrios,

sobrecarga de trabalho.
Ambientes vulnerveis diante de ameaas podem sofrer perdas quando
as ameaas se concretizam, ou ento tm a oportunidade de reavaliar seu
plano de segurana em conseqncia da insegurana iminente.

26

Conforme Zhu et al (2005), as faltas ou paradas de sistemas podem ser


classificadas em duas categorias: planejadas e as no planejadas.
a) As paradas planejadas podem ocorrer na execuo do backup,
atualizaes, manuteno, e outros eventos programados, que podem
deixar o usurio off-line, ou sem acesso ao sistema.
b) As paradas no planejadas ocorrem devido aos eventos imprevisveis,
tais como queda de energia, falha de hardware ou software, erros
humanos, rupturas da segurana, ou desastres naturais.
Em conseqncia das paradas planejadas ou no planejadas, pode
ocorrer uma falta de disponibilidade ou downtime do sistema. Para que isso
no ocorra, deve-se concentrar esforos para minimizar as faltas de
disponibilidade como, por exemplo, projetar sistemas fceis de usar, que sejam
bem documentados e que reduzam fatores de riscos, afirma Zhu et al (2005).
O backup uma das estratgias principais para a proteo dos dados,
mas, segundo Cook (2006a), de acordo com algumas estimativas, mais que
metade dos sistemas de backup e recuperao falha, e as razes das falhas
so as mesmas.
Cook (2006a) escreveu uma lista de problemas comuns de falhas, entre
eles so destacados alguns, decrescendo em ordem de freqncia:
a) Falhas de mdias so as falhas mais comuns, tratando-se de backup e
recuperao de dados. Portanto, importante tratar as mdias com
cuidados, seguindo as instrues do fabricante, por exemplo, no caso de
fitas, importante saber como deve ser feita a manipulao, o
armazenamento, a reciclagem e a limpeza de drives. Em caso de

27

backup de dados em disco, um dos cuidados a serem tomados a


instalao de fontes redundantes nos equipamentos.
b) Erros humanos so, provavelmente, os erros que mais se multiplicam e
causam falhas de backup de dados. Por exemplo, se as mdias esto
guardadas de maneira imprpria, resultando em falhas, um erro
humano e no falha de mdias.
A melhor preveno contra erros humanos em backup o treinamento,
que deve envolver as melhores prticas e a certeza do entendimento
das pessoas sobre o que elas devem ou no fazer em relao ao
backup. importante tornar os sistemas de backup automticos, sem
muita interveno humana.
c) Falhas de software, geralmente geradas devido a muitas opes
contidas nos sistemas para backup, que podem conter erros de
configurao, levando ao backup incompleto ou totalmente falho. As
configuraes no so estticas, devido s mudanas em relao
quantidade e a lista de arquivos principais, s atualizaes de verses, e
s outras modificaes.
d) Falhas de hardware, geralmente geradas devido a drives e bibliotecas
de fitas, espelhamento de discos e outros tipos de hardware de backup,
que podem tambm falhar. As causas podem ser relacionadas a backup
ou no, por exemplo: verses de fitas no compatveis com os drives,
erros de alinhamento e de leitura de drives.
e) Falhas de rede, apesar do backup em rede diminuir o nmero de
dispositivos de backup e melhorar a eficincia, uma falha na conexo
pode impedir a concluso do backup de maneira segura.

28

2.1.3 Impactos e Prevenes


Os Impactos podem ser tanto financeiros como morais. Cada risco traz
impacto diferente para cada negcio.
De acordo com Zhu et al (2005), embora sejam desejveis sistemas
disponveis, necessrio calcular o custo da disponibilidade e o custo da
indisponibilidade. crucial compreender o impacto aos negcios devido a
perdas no planejadas.
As conseqncias da falta de disponibilidade variam de acordo com os
diferentes tipos de negcios. Para servios financeiros, pode haver uma perda
de valores monetrios e comprometimento nas transaes de negcios para
cada minuto de indisponibilidade que, para outro negcio, poderia significar
meramente uma inconvenincia aos usurios. Entre as possibilidades de
perdas irrecuperveis, pode-se citar a imagem da organizao e a confiana do
cliente.
Para se calcular o impacto que um determinado risco pode causar ao
negcio, pode-se usar o Business Impact Analysys. De acordo com Prado
(2002), esta tcnica consiste na estimativa de prejuzos financeiros decorrentes
da paralisao de um servio. Com o Business Impact Analysys, torna-se
possvel responder questes do tipo: quanto uma empresa deixaria de
arrecadar caso um sistema estivesse indisponvel durante duas horas?.
Como preveno, uma das melhores estratgias ter o backup sempre
disponvel de acordo com a poltica de Segurana da Informao e com o
Plano de Continuidade de Negcios.

29

2.2 POLTICA DE SEGURANA DA INFORMAO

Conforme Gonalves (2002), a poltica de Segurana da Informao


um conjunto de diretrizes, regras e prticas que impem como uma
organizao gerencia, protege e distribui suas informaes e recursos.
O objetivo da poltica de Segurana da Informao, segundo a norma
NBR ISO/IEC 17799 (ABNT, 2005), o de prover uma orientao e base para
a Segurana da Informao. Convm estabelecer uma poltica clara, com apoio
e comprometimento de toda a organizao.
De acordo com a norma NBR ISO/IEC 17799 (ABNT, 2005), no mnimo,
convm que as seguintes orientaes sejam includas na poltica de Segurana
da Informao:
a) Definio de Segurana da Informao, resumo das metas, seu escopo
e

sua

importncia,

como

um

mecanismo

que

capacita

compartilhamento da informao;
b) Declarao do comprometimento da alta administrao, apoiando as
metas e princpios da Segurana da Informao;
c) Estrutura para estabelecer os objetivos de controles, incluindo a
estrutura de anlise, avaliao e gerenciamento de riscos;
d) Explicao

das

polticas,

princpios,

padres

requisitos

de

conformidade de importncia especfica para a organizao, por


exemplo:
o Conformidade com a legislao e clusulas contratuais;
o Requisitos de conscientizao e treinamento de segurana;
o Gesto da continuidade dos negcios;

30

o Conseqncias das violaes na poltica de Segurana da


Informao;
e) Definio das responsabilidades gerais e especficas na gesto da
Segurana da Informao, incluindo o registro dos incidentes de
segurana;
f) Referncias s documentaes que possam apoiar a poltica.
Segundo a norma NBR ISO/IEC 17799 (ABNT, 2005), o documento da
poltica

de

Segurana

da

Informao

deve

ser

aprovado

pela alta

administrao, publicado e comunicado, atravs de toda a organizao para os


usurios na forma que seja relevante, acessvel e compreensvel para o leitor
em foco.
Conforme Gonalves (2002), a criao de uma poltica de Segurana da
Informao precisa de esforos entre o pessoal tcnico e o pessoal
responsvel pelas decises da organizao.

Para que a poltica seja bem

sucedida aps a implantao, importante o comprometimento dos usurios,


sistemticas de auditorias internas peridicas e punies para os casos
omissos ou de no cumprimento das diretrizes. Convm que rotinas de
treinamento sejam adotadas, buscando a conscientizao e participao dos
usurios visando utilizao dos recursos computacionais para o desempenho
funcional.
A adoo de uma norma, como a NBR ISO/IEC 17799, a base para
um conjunto de polticas de Segurana da Informao bem conduzido, e o
desenvolvimento, estabelecimento e todas as aes sobre as polticas devem
ser adequados para cada organizao e os negcios aos quais se aplicam.

31

2.2.1 Poltica de Segurana da Informao e backup de dados


Segundo Swanson et al (2002), as polticas de backup devem
especificar a freqncia do backup, por exemplo, dirio ou semanal,
incremental ou completo, baseada na criticidade dos dados e na freqncia em
que informao nova introduzida. Elas devem designar o local de dados
armazenados, procedimentos de nomeao de arquivos, freqncia de trocas
das mdias, e mtodo para transportar os dados.
Segundo Gonalves (2002), importante fazer uma avaliao dos riscos
envolvidos para decidir o que realmente precisa ser protegido e a quantidade
de recursos que devem ser utilizados para a economia dos mesmos. A poltica
de Segurana da Informao e outros controles tm a finalidade de procurar
garantir que a segurana seja mantida e que os dados armazenados nos
computadores sejam confiveis e disponveis.
De acordo com a norma NBR ISO/IEC 17799 (ABNT, 2005),
importante que as cpias de segurana, ou seja, o backup, das informaes e
das aplicaes de software seja efetuado e testado regularmente conforme a
poltica de gerao de cpias definida.
As normas e recomendaes de segurana para backup de dados
pertencentes ao conjunto de poltica de Segurana da Informao devem ser
baseadas em estratgias que visem preservar as informaes importantes para
os negcios da organizao.

2.3 PLANO DE CONTINUIDADE DE NEGCIOS

Segundo Erlich (2004), o Plano de Continuidade de Negcios visa


manter o funcionamento das atividades crticas das organizaes durante

32

desastres, procurando restabelecer a normalidade de todas as operaes no


menor espao de tempo possvel.
Conforme Smola (2003), o Plano de Continuidade de Negcios deve
ser desenvolvido com o claro objetivo de reparar incidentes de segurana que
no puderam ser evitados.
A norma NBR ISO/IEC 17799 (ABNT, 2005) recomenda que os Planos
de Continuidade de Negcios sejam desenvolvidos e implementados para
garantir que os processos do negcio possam ser recuperados o mais rpido
possvel. E que estes planos sejam mantidos e testados de forma a se
tornarem parte integrante de todos os outros processos gerenciais.
Existem

vrias

denominaes

ou

componentes

do

Plano

de

Continuidade de Negcios, entre eles se encontram: Plano de Contingncia,


Plano de Administrao de Crises e Plano de Recuperao de Desastres.
Conforme Zhu et al (2005), a conformidade com leis e regulamentos
uma das razes principais para fazer um plano de Recuperao de Desastres.
Nas ltimas dcadas, as exigncias legais para a proteo dos dados e a
recuperao envolvem a maioria de setores de negcios.
De acordo com Daft (2005), para desenvolver os planos de contingncia,
que definem respostas da empresa s emergncias, contratempos ou
condies inesperadas, os gerentes devem identificar os fatores incontrolveis.
O Plano de Administrao de Crises deve especificar as medidas a serem
tomadas, e por quem, se ocorrer uma crise, ele deve incluir alm de outros
planos, procedimentos para backup e recuperao dos sistemas de
computadores e proteo da propriedade da informao.

33

Os Planos de Recuperao de Desastres, conforme Zhu et al (2005),


descrevem como a organizao tratar dos desastres potenciais, e consiste em
precaues, de modo que, os efeitos de um desastre sejam minimizados, e a
organizao mantenha ou recomece rapidamente as atividades essenciais aos
negcios.
Conforme avalia Massiglia (2001), a informao, alm de ser confivel,
rpida, gerencivel e escalvel, deve ser prova de desastres: Os dados
eletrnicos e as aplicaes tm que estar disponveis, mesmo com incndio,
inundao, ou qualquer tipo de falha.
De acordo com Swanson et al (2002), embora os grandes desastres,
com efeitos de longo prazo, possam ser raros, eles devem ser explicados no
plano de contingncia.

Assim, o plano deve incluir uma estratgia para

recuperar e executar operaes de sistema em uma instalao alternativa por


um perodo prolongado.
Conforme Zhu et al (2005), o planejamento para a recuperao de
desastre varia de uma organizao a outra, dependendo de variveis, tais
como, o tipo de negcio, os processos envolvidos, e o nvel da segurana
necessrio. Ao fazer um Plano de Continuidade de Negcios, necessita-se
considerar o custo de executar uma soluo, o projeto da soluo, e outras
consideraes e fatores crticos de sucesso.
Gherman (2005), afirma que indispensvel determinar objetivos para a
Tecnologia da Informao, no s para atender aos requisitos prprios dos
negcios, mas tambm aos da segurana das informaes processadas,
armazenadas e transmitidas, e perseguir esses objetivos.

34

2.3.1 Plano de Continuidade de Negcios e backup de dados


Um Plano de Continuidade de Negcios uma combinao de backup,
recuperao, disponibilidade alta, bem como um Plano de Recuperao de
Desastres (ZHU et al 2005, p.22).
H benefcios adicionais com a implementao de solues de
recuperao de desastres, pois necessrio repensar o processo operacional,
o dispositivo de armazenamento e onde os dados esto armazenados, aponta
Zhu et al (2005). Empregar processos mais dinmicos, incluindo dispositivos
de armazenamento mais confiveis, tambm melhorar a eficincia e reduzirse-o as falhas de armazenamento.
possvel simplificar a gerncia de armazenamento usando uma
estratgia global, aplicao holstica, propondo exigncias comuns de backup e
recuperao. Todas as aplicaes e sistemas devem entrar em conformidade
com as mesmas exigncias e regras de recuperao de desastre baseados em
diferentes tipos de dados, prope Zhu et al (2005).
As melhores prticas de backup que permitiro a recuperao eficiente
dos dados para a continuidade dos negcios devem ser baseadas em
estratgias de acordo com as particularidades de cada organizao.

2.4 ESTRATGIAS DE BACKUP DE DADOS

Para a poltica de Segurana da Informao e para o Plano de


Continuidade de Negcios so necessrias estratgias de backup, que sero
apresentadas nesta seo. Inicialmente, coloca-se a seguinte questo:
Quanto complexa ou detalhada a estratgia de backup deve ser?

35

Bigelow (2006) diz que no h uma resposta nica a esta pergunta. O


plano certo depende do que cada organizao necessita. Um ambiente
pequeno pode somente necessitar de backup de dados em fita convencional,
uma vez por semana. Outras organizaes podem requerer armazenamento
baseado em disco para suportar dados crticos. As grandes empresas podem
exigir uma plataforma contnua da proteo dos dados.
O backup precisa de um plano claro, que esteja de acordo com os
objetivos especficos de cada negcio. Para isso necessrio desenvolver e
manter uma estratgia de backup contnua que proteja os dados relevantes,
usando a plataforma de backup apropriada. Esta estratgia deve evoluir de
acordo com o desenvolvimento da organizao para que os dados fiquem
seguros, recomenda Bigelow (2006).
Para a estratgia de backup de dados, deve-se compreender porque o
motivo do backup, o que necessrio para o plano de backup, saber onde o
backup deve estar, como recupera-lo e ento combinar as ferramentas para
servir estas necessidades.
Antes de continuar a explicao sobre estratgias de backup de dados,
necessrio definir e esclarecer alguns termos da rea de Segurana da
Informao e de backup de dados.

2.4.1 Termos utilizados para o planejamento de backup de dados


Para melhor compreenso dos termos utilizados na literatura tcnica
sobre backup de dados, foram relacionados abaixo o jargo comum da rea e
seu significado especial ou especfico. So eles:
Janela de backup - o perodo de tempo em que o backup executado.

36

Recovery Point Objective (RPO) a quantidade de dados perdida, em


unidade de tempo, aceitvel para ser refeita aps um desastre. Por exemplo,
uma organizao que poderia perder dados durante cinco minutos, tem um
Recovery Point Objective de cinco minutos, explica Zhu et al (2005).
Recovery Time Objective (RTO) quanto tempo a organizao pode
esperar pela recuperao de seus sistemas depois de um desastre. Por
exemplo, uma organizao que poderia permitir ficar sem os sistemas por oito
horas tem um Recovery Time Objective de oito horas, exemplifica Zhu et al
(2005).
Disponibilidade - Zhu et al (2005) define disponibilidade como o perodo
em

que

usurios

processos

esto

funcionando

normalmente.

disponibilidade requer que o sistema fornea redundncia para eliminar pontos


crticos de falha ou Single Point Of Failure (SPOF).
Alta disponibilidade - O conceito da alta disponibilidade, conforme Zhu et
al (2005), ter os sistemas e seus dados disponveis vinte e quatro horas por
dia, sete dias por semana, e trezentos e sessenta e cinco dias por ano.
Sabe-se que obter uma disponibilidade prxima a cem por cento no
uma realidade para todas as organizaes devido ao custo. O objetivo
projetar e construir sistemas altamente disponveis minimizando as faltas ou
perdas, planejadas ou no, que podem ser causadas por pontos crticos de
falha.

Para se ter a alta disponibilidade necessria a redundncia de

recursos para tornar o backup de dados de fcil e rpida recuperao.


Disponibilidade continua - A alta disponibilidade um componente da
disponibilidade contnua. A alta disponibilidade focaliza em reduzir a falta de
disponibilidade em paradas de sistemas no planejadas. As operaes

37

contnuas focalizam ajustar as aplicaes para nunca parar. A soma da alta


disponibilidade e de operaes contnuas leva disponibilidade contnua, ver
Zhu et al (2005).

2.4.2 Tipos de Backup de dados


H dois tipos de backup de dados: backup on-line e backup off-line.
Ambos podem ser tambm dos tipos: completo ou incremental. Conforme Zhu
et al (2005):
a) O backup off-line feito quando o sistema no est em operao. Os
usurios no podem conectar a uma aplicao ou base de dados e
nesse perodo no haver nenhuma atividade no sistema, exceto o
processo de backup.
b) O backup on-line permite a execuo do backup, mesmo com o sistema
em operao. Neste perodo os usurios podem utilizar a aplicao e/ou
a base de dados e executar aes normais, tais como a atualizao e a
recuperao dos dados com o sistema funcionando normalmente.
c) O backup completo o backup de todas as bases de dados e tambm
de todos os arquivos envolvidos na aplicao.
d) O backup incremental o backup dos dados que foram modificados.
Esse backup somente conter os dados modificados desde o ltimo
backup completo ou desde o ltimo backup incremental.
O backup tambm pode ser local ou remoto. O backup local feito no
mesmo lugar em que se encontram os dados originais, e o backup remoto a
cpia segura dos dados em local distante dos dados principais.

38

Segundo Garfinkel (2004), o backup como um seguro que protege em


casos de desastres e erros. Por exemplo, um backup feito diariamente pode
recuperar um arquivo acidentalmente perdido ou um Hard Disk (HD) formatado.
O backup semanal vital para recuperar arquivos importantes que no so
utilizados sempre, como arquivos de configurao e inicializao de sistemas.
O backup trimestral e anual pode ser realmente til em disputas de patente, em
outros tipos de litgio e na manuteno de histricos em geral, tais como
componentes anuais de histricos escolares.
Os sistemas de backup tradicionais copiam simplesmente dados para
mdia de armazenamento sem a preocupao sobre que dados so copiados
ou sobre a importncia dos dados para a organizao.

As estratgias

envolvem um pouco mais do que apenas trabalhos de backup programados e


manter a substituio de mdias. O backup exige planejamento melhor e bem
detalhado.
Existem muitos tipos de backup, mas antes de se considerar que tipo de
estratgia adotar, preciso avaliar as exigncias do usurio, bem como as
instalaes do ambiente, recomenda Zhu et al (2005).
Antes de se fazer o backup, necessrio fazer a classificao da
informao, com atributos, como permisses de acesso, data, tempo de
reteno, local de armazenamento, etc. Assim recursos de armazenamento
podem ser utilizados de maneira efetiva, ou seja, os recursos mais caros de
backup e armazenamento so destinados s informaes mais valiosas. Para o
gerenciamento de informaes e armazenamento existem tambm as
estratgias de Gerenciamento do Ciclo de Vida das Informaes, sendo este
ltimo conceito definido no pargrafo seguinte.

39

2.4.3 Gerenciamento do ciclo de vida das informaes


As estratgias de Gerenciamento do Ciclo de Vida das Informaes ou
Information Lifecycle Management (ILM) so projetadas para melhorar a
gerncia de criao, o arquivamento e/ou a remoo da informao.
Conforme Geronaitis (2005), com o aumento do volume de dados, as
organizaes enfrentam alguns desafios como: o oramento disponvel para
gerenciar os dados no cresce ao mesmo ritmo que o aumento do volume de
dados, e h exigncias cada vez mais rigorosas de reteno de dados por
regulamentaes do governo, bem como consideraes de recuperao para
continuidade de negcios.
Segundo Geronaitis (2005), os analistas, que desenvolvem estratgias
de Gerenciamento do Ciclo de Vida das Informaes, devem considerar dois
fatores:
a) O Gerenciamento do Ciclo de Vida das Informaes redefine a gerncia
de armazenamento de dados. A gerncia de armazenamento antes do
conceito de Gerenciamento do Ciclo de Vida das Informaes focalizou
em utilizar a infra-estrutura de armazenamento to eficientemente
quanto possvel. Historicamente, por exemplo, os dados foram movidos
entre meios de armazenamento ou suprimidos de acordo com a data
dos arquivos, porque se pensava que os dados mais antigos tinham
menos valor.
Com Gerenciamento do Ciclo de Vida das Informaes, os dados so
movidos em intervalos predeterminados, de acordo com seu atual valor
para o negcio.

Assim evita-se dedicar recursos mais caros de

armazenamento a dados que tm pouco valor real para os negcios. As

40

organizaes devem avaliar o valor de negcio dos dados e a relevncia


das exigncias regulatrias.

Os processos e as polticas definidas

devem ser estabelecidos para assegurar que os dados sejam


direcionados

dinamicamente

posio

mais

apropriada

de

armazenamento.
b) O Gerenciamento do Ciclo de Vida das Informaes transcende a
gerncia de armazenamento, de dados e de informao.

gerenciamento de armazenamento sozinho no suficiente para


suportar objetivos de Gerenciamento do Ciclo de Vida das Informaes
da organizao. Por exemplo, quando usurios de desktops atualizam o
sistema operacional, as propriedades associadas aos seus arquivos
normalmente so alteradas. Tais modificaes podem comprometer a
conformidade com regulamentos, que exigem a data exata de arquivos.
Assim, atravs de Gerenciamento do Ciclo de Vida das Informaes, as
precaues apropriadas sero tomadas para assegurar a integridade de
tais atributos dos dados, com o uso de ferramentas automatizadas.
Como parte de toda a estratgia de Gerenciamento do Ciclo de Vida
das Informaes, importante para as organizaes assegurar a
identidade e os controles de acesso dos recursos computacionais, de
modo que perguntas como: A quem foi dado o acesso a esta
informao? e Quem modificou estes dados e quando? possam ser
respondidas.
Porque o Gerenciamento do Ciclo de Vida das Informaes acopla uma
escala to larga de funes de gerncia de Tecnologia da Informao, ela
apresenta claramente algumas dificuldades tecnolgicas. Uma boa estratgia

41

implementar o Gerenciamento do Ciclo de Vida das Informaes em estgios


incrementais, a fim obter primeiramente os benefcios mais importantes para a
organizao como, por exemplo, a conformidade com regulamentos, redues
no custo de armazenamento, ou reduzir a exposio de informaes a riscos,
aconselha Geronaitis (2005).

2.4.4 Recomendaes para Backup e Recuperao de Dados


A otimizao do backup, visando melhorias na recuperao dos dados,
no trata s de aperfeioar o desempenho de armazenamento e ajustes na
configurao de software, mas Dorion (2006) considera tambm outros
aspectos, entre eles:
a) Analisar os negcios da organizao para fazer o backup apenas dos
dados necessrios.
b) Categorizar os dados baseando-se na prioridade de recuperao.
c) Utilizar backup completo e incremental e entender como o backup est
sendo feito para no fazer backup de arquivos repetidos.
d) Assegurar-se de que a largura de banda da rede e o subsistema do
disco sejam capazes de suportar uma quantidade grande de dados, tais
como a recuperao do backup completo.
e) Agendar o backup e as tarefas administrativas para no atrapalhar a
disponibilidade do sistema.
f) Monitorar de maneira pr-ativa os processos de backup o melhor
modo de assegurar e manter o backup e a recuperao.
Segundo Bigelow (2006), a maior fraqueza em relao ao backup que
a estratgia freqentemente confundida com as ferramentas. Os analistas

42

so rpidos para notar as ferramentas centrais para o backup como software e


hardware, mas a disponibilidade no garante uma prtica de backup confivel.
Por exemplo, uma biblioteca virtual de fitas no garante que os dados cruciais
esto sendo armazenados adequadamente, nem que so recuperveis.
Alm de dar maior importncia escolha de hardware e software, muitos
analistas se preocupam muito com o desempenho e rapidez do backup, no
dando ateno a grande considerao que requer a recuperao do backup.
De acordo com Cook (2006b), no necessrio o backup de todo o
sistema, isto pode aumentar a janela de backup e diminuir o desempenho. O
backup bem sucedido necessita de estratgias, como cuidado no planejamento
e deciso de quais tipos dos dados fazer o backup e com qual freqncia,
eliminando duplicatas e outros tipos de dados desnecessrios, possibilitando a
restaurao de dados de maneira mais rpida.
Tambm preciso atender a algumas excees para usurios ou
departamentos que tm necessidade de certos tipos de dados, que
aparentemente seriam desnecessrios para outros setores da organizao.
Para diminuir a quantidade de backup, Cook (2006b) lembra que as
aplicaes normalmente precisam ser armazenadas com menos freqncia
que os dados. Colocar aplicaes em volumes separados de arquivos de
dados e de arquivos de registros pode-se reduzir o tempo de backup e
recuperao dos dados.
De acordo com Bigelow (2006), as estratgias de backup podem:
a) Ajudar a ajustar um Recovery Time Objective apropriado, permitindo que
uma empresa identifique e d prioridade a aplicaes de misso crtica e

43

determine como as aplicaes precisam ser recuperadas em caso de


emergncia.
b) Ajudar a deixar o Recovery Point Objective apropriado determinando
uma freqncia e programao de backup para cada tipo de dados.
c) Selecionar tecnologias de backup mais apropriadas e determinar o nvel
de investimento necessrio para essas tecnologias.
d) Atribuir um perodo de reteno apropriado para cada tipo de dado de
acordo com exigncias regulatrias e de continuidade de negcios.
De acordo com Bigelow (2006), mesmo o plano de backup de dados
sendo bem detalhado, ineficiente sem consideraes de Recovery Point
Objective e de Recovery Time Objective.
Conforme Zhu et al (2005), para reduzir o tempo de recuperao,
Recovery Time Objective, h diversos pontos a considerar, entre eles:
a) Arquivos de configurao de sistema e backup.
b) Estimativa de tempo necessrio para executar os procedimentos de
recuperao, incluindo o tempo de identificar o problema e a soluo e o
tempo de restaurar os dados dos meios de armazenamento.
c) Prioridade aos procedimentos de recuperao. Por exemplo, se o cache
e o outro mtodo de armazenamento forem utilizados, os usurios
podem acessar os dados no cache, enquanto o restante dos dados
restaurado.
d) Documentos

de

procedimentos

de

recuperao

para

situaes

diferentes.
e) Desenvolvimento de uma estratgia equilibrada entre o custo do backup
e a velocidade da recuperao.

44

Segundo Bigelow (2006), no h estratgia de backup nica. Cada


organizao deve formular uma estratgia de acordo com suas necessidades
de backup, conformidade ou recuperao de desastre. O problema
complicado principalmente pela variedade de tipos de dados que devem ser
tratados diferentemente, envolvendo geralmente uma mistura dos produtos
para suportar a diversidade de tipos de backup.
De acordo com o CERT (2003), logo que gerado, o backup deve ser
testado, e revisado periodicamente. Deste modo ser possvel descobrir
problemas em dispositivos e locais de armazenamento, podendo assim evitar
dificuldades na recuperao.
Conforme Collet (2005), muitas companhias no tm um responsvel
que seja o mesmo por todo o processo de transporte e guarda dos dados, e
nem meios claros de autenticao de pessoal e garantia de transporte, de um
local para outro. Assim o backup pode expor os dados sensveis quando
transportado para o local de armazenamento devido falta de segurana fsica
e lgica.
O processo de backup muito mais complexo do que simplesmente
examinar e entregar as mdias para serem armazenadas. A anlise dos riscos
comea no trajeto das mdias do ponto de origem ao local de armazenamento e
atribui responsabilidades para cada etapa, utilizando recursos seguros. H
vrias maneiras de se transportar com segurana. De acordo com Collet
(2005), para uma viagem tranqila e mitigao dos riscos importante
considerar, pelo menos, estas quatro estratgias:
a) Transportar as mdias com os dados sensveis atravs de escoltas
seguras: Para resguardar os dados sensveis necessria uma

45

estratgia de alto nvel de segurana para classificar os dados em


categorias, por exemplo: altamente sensveis para informaes como
estados de sade de pacientes; confidenciais para informaes como
planos de negcios e dados dos clientes; e gerais para informaes
como correspondncias.
b) Utilizar servio de transporte e entrega especializado e criptografar os
dados do backup: A criptografia pode ser aplicada de vrias maneiras.
Uma das solues criptografar os dados sensveis automaticamente,
quando so criados. A maioria dos sistemas de banco de dados vem
com esquemas internos de criptografia, mas se no vierem possvel
utilizar programas externos para fazer a criptografia.
c) Esquecer o servio de transporte e utilizar uma conexo segura de
Internet. Para a maioria de organizaes que trabalham com grandes
volumes de informaes, a quantidade de dados em fitas demais para
uma conexo de Internet, e o custo para criar redes dedicadas ainda
muito elevado, porm limitando tais transmisses informao
altamente sensvel pode-se reduzir os custos.
d) Saber exatamente quem faz a manipulao dos dados sensveis quando
chegam s instalaes de armazenamento. A companhia deve fiscalizar
o pessoal que guarda os dados, e pedir garantia de segurana para a
empresa que faz o transporte e armazenamento. Deve-se estabelecer
um conjunto de polticas de segurana que sejam respeitadas por todos
que manipulam os dados e ter garantia de que as empresas
terceirizadas tm o controle do pessoal que manipula os dados.

46

No local onde guardado o backup, alguns cuidados devem ser


considerados, segundo o CERT (2003):
a) O local deve ser restrito, para evitar que pessoas no autorizadas
tenham acesso ao backup;
b) O local deve ser protegido contra agentes naturais prejudiciais aos
dados ou recursos computacionais, como poeira, calor, umidade,
incndio; etc.
As recomendaes a serem adotadas dependem das estratgias da
organizao. Para que sejam adotadas as melhores decises importante que
o planejamento de backup de dados seja elaborado de acordo com os
negcios e necessidades das organizaes.

47

3 METODOLOGIA
Neste captulo, apresentado o tipo de pesquisa, a sua conceituao,
os critrios para a seleo dos respondentes pesquisados e os procedimentos
seguidos para a coleta e o tratamento de dados.

3.1 TIPO DE PESQUISA

Esta pesquisa exploratria e descritiva, telematizada, documental e


bibliogrfica, alm de ser de campo.
De acordo com Vergara (2000), a pesquisa do tipo exploratria
realizada em rea na qual h pouco conhecimento acumulado e sistematizado.
Por sua natureza de sondagem, no comporta hipteses que, todavia, podero
surgir durante ou ao final da pesquisa.
Segundo Lakatos e Marconi (1999), a pesquisa do tipo descritiva aborda
quatro aspectos: descrio, registro, anlise e interpretao de fenmenos
atuais, objetivando o seu funcionamento no presente.
Exploratria e descritiva quanto aos fins, devido ao fato de estar
explorando um assunto com pouca literatura na rea Acadmica e Empresarial,
e porque busca descrever as caractersticas do assunto tratado.
Em relao aos meios a pesquisa , em sua maior parte, telematizada,
uma vez que a maioria das referncias obtida na Internet. bibliogrfica,
pois se avalia o que foi publicado de relevante sobre o tema da pesquisa, e
documental porque analisa documentos, principalmente normas, referentes
Segurana da Informao. Tambm de campo, pois foi realizado um
levantamento, atravs de questionrios, sobre estratgias de backup de dados.

48

3.2 UNIVERSO E AMOSTRA

O universo composto por responsveis pela Segurana da Informao


de organizaes do Estado So Paulo: Capital, Vale do Paraba e Campinas,
que estavam dispostos a colaborar com este trabalho. Atravs de explicaes
dadas por telefone, e-mail ou pessoalmente foi mostrada a importncia da
pesquisa e que os respondentes seriam tambm beneficiados ao receberem o
resultado da consolidao das respostas ao questionrio.
Observa-se que o presente trabalho conta com a amostra acessvel,
onde a escolha dos profissionais foi feita de forma individualizada, levando a
que se obtenha uma viso mais qualitativa do que quantitativa da realidade. No
futuro poder-se- adotar uma amostra estatstica e tentar obter mais
informaes quantitativas. Foram realizadas a localizao e abordagem de
profissionais responsveis pela rea de Segurana da Informao, que
trabalham h um ano ou mais nesta rea e que tratam estrategicamente de
informaes crticas.
Sobre as organizaes onde trabalham os questionados, no foi
revelado nenhum aspecto sobre ramo ou porte, por se tratar de um assunto da
rea de Segurana da Informao.
Foram entregues quarenta e cinco questionrios, destes retornaram 31,
mas apenas 26 estavam vlidos para serem utilizados nesta pesquisa, pois
alguns no responderam totalmente parte A do questionrio, que se refere
identificao do questionado.
Se, entretanto o termo amostra conduz expectativa de avaliao
estatstica, adverte-se que no esse o caso aqui descrito. Talvez se possa,

49

para maior clareza, denominar de Consulta a Especialistas Acessveis a


tcnica de questionamento empregada.
Mesmo sabendo da Importncia da pesquisa e concordando em
responder o questionrio alguns dos profissionais no entregaram as respostas
a tempo de serem utilizadas nesta pesquisa. Para aumentar o nmero de
respondentes, o questionrio foi aplicado em dois cursos de especializao em
Segurana da Informao em So Paulo e em So Jos dos Campos,
resultando em uma amostra com a maioria dos respondentes com cursos nesta
rea.

3.3 COLETA DE DADOS

A pesquisa bibliogrfica composta de materiais relevantes, j


publicados sobre Segurana da Informao, focalizando estratgias de backup
de dados, encontrados, na sua maioria, em sites na Internet.

Dentre os

principais sites pesquisados destacam-se:

National Institute of Standards and Technology (NIST),

Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana


no Brasil (CERT),

International Business Machines (IBM),

Empresas de Software para backup e Segurana da Informao:


Symantec e Veritas.

Site internacional com publicaes de profissionais de Tecnologia da


Informao reconhecidos: Techtarget.

Site brasileiro com cursos e produtos na rea de Segurana da


Informao: Mdulo Security Magazine.

50

Sistema da Biblioteca Digital Brasileira de Teses de Dissertaes


(BDTD) do Instituto Brasileiro de Informao em Cincia e Tecnologia
(IBICT), ou diretamente nos sites de Bibliotecas como da UNITAU.
Quanto pesquisa documental, so estudadas as normas pertinentes,

como a NBR ISO/IEC 17799 da Associao Brasileira de Normas Tcnicas


(ABNT).
Na pesquisa de campo, solicitam-se respostas ao questionrio
elaborado, que foi aprovado pelo Comit de tica da UNITAU e se encontra
anexo a este trabalho. Neste questionrio foram colocadas perguntas
resultadas dos textos e discusses sobre o tema e tambm outras que
emergiram nas entrevistas iniciais com os possveis respondentes. Dessa
forma o questionrio um documento que agrega questes originadas da
reviso de literatura e outras julgadas importantes advindas de alguns dos
questionados.
O questionrio aplicado composto de vinte e cinco questes, sendo
cinco sobre a definio do perfil dos respondentes e vinte que procuram
reproduzir as escolhas estratgicas dos profissionais de Segurana da
Informao sobre o planejamento de backup de dados, dividindo estas vinte
perguntas em oito reas sobre Segurana da Informao e backup de dados:
A - Plano de backup de dados, questes de 1 a 4;
B - Polticas, Recomendaes e Certificaes, questes de 5 a 9;
C - Tratamento e Classificao dos Dados, questes de 10 e 11;
D - Facilidades de backup, Disponibilidade e Recuperao, questes 12
e 13;
E - Tecnologias para backup de dados questes 14 e 15;

51

F - Backup em Site Remoto questes 16 e 17;


G - Documentao, questo 18
H - Testes e Avaliaes do plano de backup de dados, questes 19 e 20.
Para cada questo so apresentadas alternativas fechadas e a opo:
outros, onde o respondente pode completar as opes, na contribuio de
apresentar estratgias organizadas em um nico documento.
A princpio foram enviados os questionrios para profissionais nas
organizaes onde trabalham, atravs de e-mail. Devido ao retorno ter sido
pequeno, optou-se por abordar os profissionais em cursos de ps-graduao,
especializao em Segurana da Informao.

3.4 TRATAMENTO DOS DADOS

Os dados colhidos nesta pesquisa so mostrados quantitativamente


atravs de grficos e qualitativamente atravs de textos com anlise das
respostas conforme a incidncia e atravs das respostas abertas pertinentes
aos temas da pesquisa. Para a gerao dos grficos foi usado o software Excel
da Microsoft.

52

4 RESULTADOS E DISCUSSO
O resultado principal obtido ao longo da presente pesquisa o
desenvolvimento da proposta aqui apresentada, estruturada em etapas para o
planejamento de backup de dados. A proposta baseada em normas, padres
e recomendaes da literatura e profissionais da rea de Segurana da
Informao, visando integridade, confiabilidade e disponibilidade da
informao e est de acordo com polticas de Segurana da Informao e com
Plano de Continuidade de Negcios.
Para chegar ao resultado principal da forma como apresentado,
teoricamente coerente com a literatura revista e estudada, foi feita a
consolidao das respostas, destacando e discutindo os pontos mais
importantes do questionrio.
Antes, so mostrados dados de algumas pesquisas sobre backup de
dados, para melhor compreenso do problema desta dissertao. Observa-se
que a conjuno aqui encontrada ocorre tambm em outros ambientes, como a
seguir.

4.1 PESQUISAS SOBRE BACKUP DE DADOS

Uma pesquisa conduzida pela empresa de solues de segurana Verio


em 2006 nos Estados Unidos, segundo a IT WEB (2006) revelou o seguinte:

Apesar de muitos usurios de pequenos negcios e home office


afirmarem que a proteo de dados e servios de backup seriam
prioridade em suas listas de investimento dos prximos 18 meses,
atualmente 45% dos respondentes no tm nenhum plano de

53

recuperao de dados para as informaes armazenadas em seus


computadores.

70% dos pequenos negcios informaram que no considerariam um


nico incidente de perda de dados expressivo e caro, e 53% dos
respondentes

contaram

que

tinham

perdido

informaes

armazenadas em um computador, e 64% deles disseram que os


prejuzos foram originados por eventos comuns, como quebra de disco.
Um estudo da Dynamic Markets Limited, feito na Europa, encomendado
pela empresa de segurana Symantec, revela que gerentes de Tecnologia da
Informao so displicentes em relao ao processo de backup, principalmente
de mensagens de e-mail. Seguem algumas notas da pesquisa, apontadas por
Kirk (2006):

Quase metade dos gerentes de Tecnologia da Informao de 1,7 mil


companhias europias no recebe diretrizes para salvar mensagens
eletrnicas, mesmo com a crescente conscientizao da necessidade do
cuidado para gerenci-las.

Enquanto a maior parte dos departamentos de Tecnologia da


Informao faz uma cpia de backup toda noite, apenas 4% das
companhias fazem as cpias durante o dia, arriscando perder os dados,
e no poder recuper-los prontamente.

42% revelaram que faz backup de informaes guardadas em


dispositivos mveis e notebooks.

71% dos gestores de Tecnologia da Informao no arquivam e-mails


de empregados que deixam suas organizaes, mensagens que
poderiam ser precisas em casos judiciais.

54

45% dos responsveis pela Tecnologia da Informao deixam a


responsabilidade pelo backup de e-mail para os funcionrios.

Os empregados freqentemente no tm informaes corretas sobre


como so gerenciadas suas mensagens eletrnicas.

Uma grande parte dos empregados, 78%, respondeu que eles, e no o


departamento de Tecnologia da Informao, controlam os e-mails que
podiam ou no ser salvos.
As pesquisas revelam que mesmo conscientes da necessidade do

backup e recuperao dos dados, os gerentes de Tecnologia da Informao e


outros usurios de sistemas de computadores no gerenciam os dados de
maneira correta, muitas vezes no tendo planos e nem polticas para backup
de dados.
O backup um processo importante, tanto para pequenos e grandes
negcios e organizaes, e simplesmente tido como cpia de segurana.
Entretanto, no ambiente de Tecnologia da Informao a proteo dos dados,
atravs do backup, pode ser utilizada para prover continuidade de negcios,
replicao de dados, recuperao de desastres e reduo nos custos de infraestrutura.
A maneira para assegurar os dados, seja local ou remotamente, pode
ser um desafio desanimador, se no forem conhecidas e estabelecidas normas
e estratgias para este fim. Portanto, a anlise do questionrio buscar por
estratgias recomendadas por profissionais da rea de Segurana da
Informao, para complementar as j indicadas pela literatura.

55

4.2 CONSOLIDAO DAS RESPOSTAS AO QUESTIONRIO

O principal objetivo do backup prover a recuperao segura e rpida


dos dados quando necessrio e de acordo com o custo benefcio. Para ajudar
a alcanar este objetivo, ou seja, conseguir estratgias para este fim, alm do
estudo e reviso da literatura tcnica e normativa, as respostas ao questionrio
e ou recomendaes dos profissionais de Tecnologia da Informao
selecionados foram analisadas.
A maioria dos respondentes disse que o questionrio estava bem
completo, no tendo muito a acrescentar. Tambm consideraram que a
seqncia das perguntas permitiu um bom entendimento dos objetivos da
pesquisa.
A seguir a consolidao das respostas realizada por partes de acordo
com o questionrio, tambm so fornecidos grficos para ilustrar a pesquisa.
Nas primeiras cinco perguntas do questionrio foi identificado o perfil dos
respondentes.

Para participar da pesquisa todos tm um ou mais anos de

trabalho na rea de Segurana da Informao e precisam tratar os dados


crticos das organizaes, onde trabalham.
A maioria dos respondentes, vinte e um (21), j trabalha na rea de
Segurana da Informao h mais de dois anos conforme a Figura 1.

56

4
1

( ) 1 ano
( ) 2 anos
( ) mais de 2 anos

21

Figura 1 - Tempo de trabalho na rea de Segurana da Informao

A quantidade de respondentes com curso na rea de Segurana da


Informao de vinte e um (21), e ilustrada na Figura 2.

5
( ) sim
( ) no
21

Figura 2 - Cursos na rea de Segurana da Informao

Esta pesquisa contou, na sua maioria, com respondentes com cursos na


rea de Segurana da Informao, e que j trabalham h mais de dois anos
nesta rea, ou seja, profissionais que podem recomendar estratgias para a
maior segurana dos dados.

57

Aps a identificao do usurio, so verificadas as partes do


questionrio que tratam de estratgias de backup de dados.
Os grficos apontados para a ilustrao da pesquisa so baseados nas
perguntas e respectivas alternativas do questionrio. As recomendaes
apresentadas nos grficos sem parnteses ( ) so as indicadas pelos
respondentes.
A Plano de Backup de dados
A primeira pergunta teve o propsito de saber os motivos pelos quais se
deve planejar o backup de dados.

( ) Proteo dos Dados

26
17

( ) Confiabilidade e crdito de clientes


( ) padres de segurana

16
12

( ) leis e regulamentos nacionais


( ) leis e regulamentos internacionais

9
3

Disponibilizao da informao
Continuidade dos negcios

Integridade das Informaes

( ) Concorrncia

Recuperao dos dados

Preveno contra desastres

1
0 2 4 6 8 10 12 14 16 18 20 22 24 26

Figura 3 - Principais razes para se ter um plano de backup

Segundo a Figura 3, todos os vinte e seis (26) questionados apontam


que o principal motivo para o backup a proteo dos dados.
A confiabilidade dos clientes, indicada pela maioria dos respondentes,
dezessete (17), mostra conscientizao de que paradas nos sistemas podem

58

ocasionar a perda do cliente. Este fator depende do tipo de negcios e


sistemas da organizao. Para algumas organizaes as paradas nos sistemas
podem ser invisveis para os clientes,
A conformidade com padres de segurana, apontada por dezesseis
(16) dos respondentes, alm de auxiliar na proteo dos dados, ocasiona a
confiabilidade dos clientes.
A conformidade com leis e regulamentos nacionais e internacionais foi
menos indicada, do que a conformidade com padres de segurana. Este fato
mostra que a preocupao dos respondentes mais voltada para padres de
Segurana da Informao, e que o atendimento a leis e regulamentos pode ser
mais ligado ao pessoal da rea administrativa.
O item concorrncia foi indicado apenas por dois (2) dos respondentes,
porm se existe a preocupao com o cliente, a concorrncia tambm pode ser
colocada como um motivo importante para o planejamento de backup.
Alm dos motivos para planejamento de backup apontados pelo
questionrio, outros foram acrescentados por alguns dos respondentes como:
Planejar o backup para ter a informao sempre disponvel e integral evitando
paralisaes nos sistemas. Tambm para prevenir contra desastres e para
recuperar a informao, caso necessrio, dando continuidade aos negcios.
Conclui-se com a Figura 3, que os profissionais de Tecnologia da
Informao esto conscientes das necessidades de se ter um plano de backup
para a proteo dos dados e para a continuidade dos negcios, no s para
caso de desastres, mas para atender a padres de segurana e manter a
confiabilidade e crdito dos clientes.

59

Aps encontrar os motivos para o planejamento de backup de dados,


procurou-se identificar o que necessrio e mais relevante para o plano e
quais profissionais: Alta Administrao, Superviso de Tecnologia da
Informao, Corpo tcnico de Tecnologia da Informao, Corpo tcnico
Administrativo e/ou outros que devem ser responsveis por estas etapas de
planejamento.
Atravs da Figura 4, sero discutidas as questes 3 e 4 da parte 2 do
questionrio, que tratam sobre as partes de um plano de backup de dados. A
questo 4, que, alm disso, trata das equipes responsveis pelo plano, tambm
ser ilustrada atravs de tabelas, conforme as respostas ao questionrio.
A Figura 4 mostra as partes de um plano de backup de dados
estipuladas no questionrio e as acrescentadas pelos respondentes, referentes
pergunta 3 da parte 2 do questionrio, e o total de pontos para cada parte.
Cada respondente pde dar o valor de 0 a 3 para cada opo. Ou seja, se
todos os respondentes dessem o valor 3 para uma opo esta teria o total de
78 pontos (26x3).

60

74

( ) Responsabilidades

72

( ) Armazenamento
( ) Documentao

68

( ) Classificao da informao

66

( ) Local de armazenamento

66

( ) Transportes e guarda de mdias

66

( ) Escolha de hardware

66

( ) Escolha das mdias

65

( ) Escolha de software

64

( ) Reteno das informaes

62

( ) Transmisso dos dados

62
60

( ) Agendamento do backup

57

( ) Reviso do plano
( ) Perodo de reteno das mdias

55
38

( ) Nomeao de arquivos
Testes de recuperao e backup
Criticidade e disponibilidade dos recursos

5
1

Figura 4 - Partes de um plano de backup de dados

possvel verificar todas as partes de um plano de backup de dados


indicadas pelo questionrio, e as equipes apontadas para as respectivas partes

61

na Tabela 1. Conforme o questionrio, so apontados os seguintes ndices e


equipes:
1- Alta administrao
2- Superviso de Tecnologia da Informao
3- Corpo tcnico de Tecnologia da Informao
4- Corpo tcnico Administrativo
Foi colocada, na questo 4, a opo Outros, onde se pode colocar mais
equipes. Alguns dos questionados indicaram que as seguintes equipes tambm
devem participar:

Equipe dedicada ao backup

Comit interno de Segurana da Informao

Jurdico e

Usurios em geral
As equipes apontadas pelos respondentes so representadas nas

tabelas por O de Outros.


Na Tabela 1 os nmeros indicados depois da primeira linha representam
a quantidade de respondentes que indicaram a mesma equipe para cada parte
de plano de backup de dados. A somatria dos nmeros igual a 26, que o
nmero de respondentes. Para melhor entendimento da Tabela 1, ela foi
dividida em outras tabelas, onde fica mais evidente a indicao dos
respondentes.

62

Tabela 1 - Equipes para o plano de backup


Partes do Plano/Equipes

1 2 3 4 O 1,2 2,3 3,4 1,2,3 2,3,4 1,2,3,4, 2,3,4,O 1,2,4 2,3,O 1,4 1,2,4,O 2,4 1,4,O 1,3 1,3,4 Total

Responsabilidades

4 11 1

Armazenamento

10 5 1

Documentao

6 8 2

Classificao da informao
Local de armazenamento

26

26

4 7 1 1

1 9 2

1
2

6 3 1

11

Escolha das mdias

5 4 1 1

11

Escolha de software

7 3

11

Reteno das informaes

4 6

Transmisso dos dados

1 8 5

1
1

4 12 1

Perodo de reteno das mdias 4 6 1 1

Nomeao de arquivos

5 11 2

26

26

26

3 8 1 2

Escolha de hardware

Reviso do plano

26

Transportes e guarda de mdias 1 6 3

Agendamento do backup

26
1
2

26
26

2
1

26
26

1
1

26

1
1

26
1

26
1

26

63

Observa-se que o ndice O de outros varia de tabela a tabela,


dependendo da natureza de ocupao. Os textos que descrevem as tabelas
identificam a ocorrncia e o significado deste ndice.
De acordo com a classificao dada pelos respondentes, conforme a
Figura 4, a parte mais importante para a realizao de um plano de backup de
dados a definio de responsabilidades. Isto mostra que no basta ter o
plano sem indicar claramente os responsveis por ele. Os responsveis, alm
de planejar o backup, devem verificar se o plano est sendo executado,
mantido e revisado.
A

Tabela

demonstra

as

equipes

que

devem

definir

as

responsabilidades para as partes de um plano de backup de dados, conforme a


questo 4 da parte 2 do questionrio.
Tabela 2 - Equipes para a definio de responsabilidades
Partes do Plano/Equipes 2 1,2 1 1,2,3 3 2,3 1,2,4 2,3,O Total
( ) Responsabilidades

11 5 4

1 1

26

Segundo grande parte dos questionados onze (11), a Superviso de


Tecnologia da Informao da organizao deve ser responsvel pela definio
de responsabilidades. Cinco (5) dos respondentes concordam que a Alta
Administrao junto com a Superviso de Tecnologia da Informao devem
fazer esta parte, outros quatro (4) preferem que apenas a Alta administrao da
organizao se encarregue de planejar a definio de responsabilidades. Na
ltima coluna da Tabela 2, o O de outros se refere ao Comit interno de
Segurana da Informao.

64

As opinies diferem, mas a maior parte concorda que o pessoal da rea


de Tecnologia da Informao que deve definir as responsabilidades com a
ajuda da Alta Administrao.
A segunda parte mais importante, segundo a Figura 4, de acordo com os
respondentes, sobre os procedimentos de armazenamento dos dados. Esses
procedimentos so alguns dos quais determinaro a eficcia na recuperao
dos dados. nesta parte que se pode verificar se os dados sero
armazenados local e/ou remotamente, os tipos de recursos necessrios para o
armazenamento, etc.
Tabela 3 - Equipes para os procedimentos de armazenamento
Partes do Plano/Equipes
2
2,3
3
3,4
4
( ) Armazenamento

10

1,2,3 Total

26

Segundo a Tabela 3, os procedimentos de armazenamento, segundo


dez (10) dos participantes da pesquisa, devem ser planejados pela Superviso
de Tecnologia da Informao. Sete (7) dos questionados preferem que a
Superviso de Tecnologia da Informao trabalhe com o Corpo Tcnico de
Tecnologia da Informao para este planejamento. Outros cinco (5) indicam
que o corpo tcnico de Tecnologia da Informao pode fazer esta parte
sozinho.
As opinies diferem, mas a maioria concorda que so os profissionais de
Tecnologia da Informao os responsveis por esta parte, de acordo com a
Tabela 3.
O terceiro item mais indicado para o planejamento de backup de dados
foi sobre os procedimentos de documentao, conforme a Figura 4. Esses

65

procedimentos podem indicar como a documentao deve ser criada,


guardada, utilizada e revisada.
Tabela 4 - Equipes para os procedimentos de documentao
Partes do Plano/Equipes
3
2,3
2
4
1,2 3,4 1,2,3 Total
( ) Documentao

26

Os procedimentos de documentao devem ser planejados pela


Superviso ou pelo corpo tcnico de Tecnologia da Informao, ou pelos dois
em conjunto, segundo grande parte dos participantes da pesquisa. Poucos
respondentes pensam que o pessoal da rea administrativa deve definir os
procedimentos de documentao, segundo a Tabela 4.
Os procedimentos de classificao da informao tambm foram
apontados como importantes para o plano de backup de dados. Esta parte ser
tratada mais frente nas questes 10 e 11 da parte 2 do questionrio, pois a
classificao dos dados que determinar a escolha do backup e prioridade na
recuperao.
Tabela 5 - Equipes para a classificao de informaes
Partes do
Plano/Equipes

2 1 2,3 1,2,4 3 4 1,2 3,4 1,2,3,4, 2,3,O 1,4 1,2,4,O 2,4 Total

( ) Classificao
da informao

7 4 3

1 1 1

26

Pela Tabela 5 possvel verificar que a classificao das informaes


deve ser feita por vrias equipes da organizao, principalmente pela
superviso de Tecnologia da Informao indicada por sete (7) dos
questionados e pela Alta Administrao, segundo quatro (4) dos respondentes.
Na Tabela 5, dcima coluna, o O de outros se refere ao comit interno de

66

Segurana da Informao, e na dcima segunda coluna, o O se refere aos


usurios em geral.
Definies

importantes

tais

como

definio

de

local

de

armazenamento, e transporte das mdias, foram destacadas como to


importantes quanto classificao dos dados, conforme a Figura 4.
Tabela 6 - Equipes para a definio de locais de armazenamento
Partes do Plano/Equipes
2 1,2 2,3 3 1,2,3 2,3,4 1,4 1 Total
( ) Local de armazenamento 9 5

3 2

2 1

26

Segundo grande parte, nove (9) dos respondentes, os procedimentos


para a definio do local de armazenamento devem ficar por conta dos
supervisores de Tecnologia da Informao, segundo alguns, cinco (5), deve
haver a ajuda da Alta Administrao. Outros trs (3) preferem que o corpo
tcnico e a superviso de Tecnologia da Informao faam essas definies.
Outros concordam que o pessoal da rea tcnica administrativa deve participar
destas definies, de acordo com a Tabela 6.
Tabela 7 - Equipes para os procedimentos de transporte e guarda de mdias
Partes do Plano/Equipes
2,3 2 3 2,3,4 1,4 1 O 1,2 3,4 1,2,3,4, 2,3,O Total
( ) Transportes e guarda de
mdias

7 6 3

2 1 1

26

Segundo sete (7) dos respondentes a definio dos procedimentos para


transportes e guardas de mdias devem ficar por conta dos profissionais de
Tecnologia da Informao, tanto superviso quanto tcnica. Outros seis (6)
preferem que s a superviso defina esses procedimentos, j outros trs (3)
preferem s a atuao do pessoal tcnico de Tecnologia da Informao nesta
parte. Segundo a Tabela 7 alguns poucos respondentes concordam que a rea

67

administrativa deve participar da definio dos procedimentos de transporte e


guarda de mdias.
Na Tabela 7, na stima coluna o O de outros se refere equipe de
backup, e na ltima coluna se refere ao comit interno de Segurana da
Informao.
Conforme a Figura 4, os procedimentos de escolha de hardware foram
mais considerados que os de escolha de mdia, e software. Os trs so
complementares, e dependem entre si para o eficaz backup e recuperao dos
dados.
Tabela 8 - Equipes para os procedimentos de escolha de hardware
Partes do Plano/Equipes 2,3 2 3 1,2 4 1,2,3 2,3,4 1,3,4 Total
( ) Escolha de hardware

11

26

De acordo com a Tabela 8, segundo onze (11) dos respondentes, os


procedimentos de escolhas de hardware devem ser definidos pela superviso
de Tecnologia da Informao, juntamente com seu corpo tcnico. Seis (6)
concordam que a Superviso de Tecnologia da Informao pode dar conta
desta etapa sem os tcnicos e outros trs (3) preferem que apenas os tcnicos
sejam responsveis pelos procedimentos de escolha de hardware.
Esta parte vai depender dos profissionais de Tecnologia da Informao,
se os supervisores tiverem conhecimentos tcnicos suficientes, no precisaro
de auxlio. Ainda, segundo poucos respondentes, o pessoal da rea
administrativa pode colaborar com a definio dos procedimentos de escolha
de hardware, de acordo com a Tabela 8.

68

Tabela 9 - Equipes para os procedimentos de escolha de software


Partes do Plano/Equipes 2,3
2
3
1,2 2,3,4 1,4 1,3,4 Total
( ) Escolha de software

11

26

Os procedimentos de escolha de software devem ser definidos pela


superviso e corpo tcnico de Tecnologia da Informao segundo a maioria
dos respondentes. Alguns ainda dizem que importante a participao das
equipes da rea administrativa da organizao, segundo a Tabela 9.
Tabela 10 - Equipes para os procedimentos de escolha de mdias
Partes do Plano/Equipes

2,3

1,2

( ) Escolha das mdias

11

3,4 2,3,4 Total

26

Assim como os procedimentos de escolha de software e hardware, os de


escolha de mdias, conforme a Tabela 10, tambm devem ser de
responsabilidade dos profissionais da rea de Tecnologia da Informao.
Alguns respondentes tambm dizem ser importante a ajuda de outras equipes.
Na Tabela 10, na sexta coluna, o O de outros se refere equipe de backup.
Os procedimentos para se determinar o perodo de reteno das
informaes vo depender da classificao das mesmas, e o perodo de
reteno vai influenciar na escolha de hardware, software e mdias para
backup. Este item deve estar incluso no plano de backup, segundo a Figura 4.
Tabela 11 - Equipes para a determinao do perodo de reteno das
informaes
Partes do Plano/Equipes 2 1 2,3 4 1,2 1,2,4 2,4 1,4,O 2,3,4 2,3,O 1,4 Total

( ) Reteno das
informaes

6 4 3 2 2

26

69

Os procedimentos de definio do perodo de reteno das informaes


devem ter a participao de vrias equipes da organizao, principalmente da
superviso de Tecnologia da Informao e da alta administrao, segundo a
Tabela 11. Na Tabela 11, na oitava coluna, o O de outros se refere equipe
jurdica e aos usurios em geral, na dcima coluna se refere ao comit interno
de Segurana da Informao.
Os procedimentos de como agendar o backup e de transmisso dos
dados para backup remoto tambm so fatores preocupantes para serem
includo no planejamento de backup de dados, segundo a Figura 4.
Tabela 12 - Equipes para o agendamento do backup
Partes do Plano/Equipes
3
2,3
2
4
( ) Agendamento do backup

12

3,4 2,3,4 Total

26

Os procedimentos de agendamento do backup devem ficar por conta


dos tcnicos de Tecnologia da Informao segundo grande parte dos
respondentes da pesquisa. Sete (7) concordam que a Superviso deve
participar da definio desses procedimentos junto com os tcnicos de
Tecnologia da Informao. J quatro (4) dos respondentes preferem que s a
Superviso de Tecnologia da Informao defina estes procedimentos. Outros
poucos respondentes consideram importante a participao dos tcnicos da
rea administrativa para a definio desses procedimentos, segundo a Tabela
12.
Tabela 13 - Equipes para os procedimentos de transmisso dos dados
Partes do Plano/Equipes
2,3
2
3
1 1,2,3 2,3,4 1,4 Total
( ) Transmisso dos dados

26

70

Os procedimentos de transmisso dos dados devem ser definidos pela


superviso juntamente com os tcnicos de Tecnologia da Informao, segundo
a Tabela 13, onde mostrado que nove (9) concordam que seja a superviso
mais os tcnicos de Tecnologia da Informao. Oito (8) preferem que s a
superviso defina os procedimentos e outros cinco (5) dizem que os tcnicos
de Tecnologia da Informao podem definir estes procedimentos sozinhos.
Alguns dos pesquisados tambm acham importante que o pessoal da rea
administrativa esteja presente na definio dos procedimentos de transmisso
dos dados.
Os procedimentos para definir o perodo de reteno das mdias e de
reviso do plano tiveram menos pontuao que os j abordados acima, porm
no so menos importantes, e merecem tanta ateno quanto os outros itens.
Tabela 14 - Equipes para os procedimentos de reteno das mdias
Partes do
Plano/Equipes

2 1 1,2 2,3 3 4 3,4 1,2,3 2,3,4,O 2,3,O 1,4 2,4 1,4,O Total

( ) Reteno das
6 4 4

mdias

3 1 1 1

26

De acordo com a Tabela 14, a equipe que deve definir o perodo de


reteno das mdias a superviso de Tecnologia da Informao, apontada
por seis (6) dos respondentes, a alta administrao apontada por quatro (4) dos
respondentes, e outros quatro (4) preferem que a superviso de Tecnologia da
Informao trabalhe junto com a alta administrao para definir esses
procedimentos.
Outros trs (3) apontam ser necessrio apenas o pessoal da rea de
Tecnologia da Informao. Segundo a Tabela 14, alguns acham importante a
participao de outras equipes. Na Tabela 14, na nona coluna, o O de outros

71

se refere aos usurios em geral, na dcima coluna se refere ao comit interno


de Segurana da Informao, e na ltima coluna equipe jurdica.
Tabela 15 - Equipes para a definio da periodicidade da reviso do plano
Partes do
Plano/Equipes

2 1 1,2 4 2,3 1,2,3,4, 1,2,4 3 1,2,3 2,3,4 1,2,4,O Total

( ) Reviso do plano

8 3 3 2 2

26

A periodicidade da reviso do plano deve ser definida, segundo oito (8)


dos respondentes pela superviso de Tecnologia da Informao, outros trs (3)
respondentes preferem que apenas a alta administrao da organizao decida
o perodo de reviso do plano.

J outros trs (3) respondentes acham

importante que a superviso de Tecnologia da Informao trabalhe junto com a


alta administrao para definirem o perodo de reviso do plano. Ainda,
segundo a Tabela 15, importante que os profissionais tcnicos e de outras
reas tambm participem da deciso. Na Tabela 15, na ltima coluna, o O de
outros se refere equipe jurdica.
A nomeao de arquivos foi o item menos apontado como importante
para o plano de backup de dados pelos respondentes, segundo a Figura 4,
porm na recuperao de arquivos este item pode se tornar essencial para o
melhor desempenho do processo, segundo a literatura j estudada. preciso
maior conscientizao sobre este fato.
Tabela 16 - Equipes para a nomeao de arquivos
Partes do Plano/Equipes
3
2
2,3
4
3,4 2,3,4 1,2,4 1,3 Total
( ) Nomeao de arquivos

11

26

Os procedimentos para a nomeao de arquivos, segundo onze (11) dos


respondentes, devem ser de responsabilidade do corpo tcnico de Tecnologia

72

da Informao. Cinco (5) dos respondentes concordam que esta parte deve
ficar com a superviso de Tecnologia da Informao. E outros trs (3) acham
importante que tanto a Superviso quanto o corpo tcnico de Tecnologia da
Informao participem dessas definies. Conforme a Tabela 16 alguns dos
respondentes tambm consideram importante a participao do pessoal da
rea administrativa na definio dos procedimentos de nomeao de arquivos.
Outros itens a serem includos no planejamento de backup de dados,
lembrados pelos respondentes foram os procedimentos para testes de
recuperao do backup, e criticidade, ou seja, o maior grau de dependncia do
funcionamento e disponibilidade dos recursos.
Os testes de recuperao de dados so essenciais para que esta seja
cada vez mais rpida e eficaz, assim ser possvel identificar os erros antes
que eles ocorram e melhorar a rapidez e facilidade da recuperao.
Quanto criticidade e disponibilidade de recursos: existem muitos
requisitos para um bom planejamento e execuo do processo de backup de
dados, porm este vai ser efetivo de acordo com os recursos disponveis, ou
seja, o investimento que a organizao fornecer para este planejamento.
Houve muita divergncia nas respostas, mas de acordo com a maioria
das respostas, a concluso de que a Superviso e o Corpo tcnico de
Tecnologia da Informao devem ser os responsveis pelo plano de backup de
dados e a Alta administrao da Organizao tambm deve participar do
planejamento, e a incluso de outras equipes depender das particularidades
de cada negcio.

73

B Polticas, Recomendaes e Certificaes


Na fase anterior foi apontada a importncia dos procedimentos para a
eficcia do backup e para que esses se concretizem importante estabelecer
polticas de Segurana da Informao. Tambm, no Plano de Continuidade de
Negcios essencial inserir procedimentos de recuperao do backup.
Buscou-se nesta etapa identificar o que deve ser considerado sobre
backup de dados em poltica de Segurana da Informao e Plano de
Continuidade de Negcios.
( ) Responsabilidades de Recuperao

23

( ) Responsabilidades de backup

23
15

( ) Referencias de documentaes
( ) Conseqncias do no atendimento

14

( ) Obrigaes para documentao

14

Logs de eventos e documentao

1
0 2 4 6 8 10 12 14 16 18 20 22 24 26

Figura 5 - Consideraes para Poltica de Segurana da Informao

A poltica de Segurana da Informao deve contar com normas de


backup de dados, que devem emergir do planejamento de backup, estas
normas podem ser de responsabilidades gerais de backup e recuperao de
dados, segundo a grande maioria dos respondentes, vinte e trs (23), de
acordo com a Figura 5.
indispensvel que seja estabelecido o comprometimento de se
documentar o processo de backup e a recuperao dos dados para que haja
referncias na poltica de Segurana da Informao sobre documentaes para
auxiliar no processo de backup. Segundo a Figura 5, so importantes normas

74

para a documentao dos dados. Um dos respondentes lembrou que na


documentao tambm devem estar os logs (registros) de eventos do processo
de backup.
As conseqncias do no atendimento as normas para backup de dados
devem estar explicitas na poltica de Segurana da Informao, este fator foi
apontado por grande parte, quatorze (14) dos respondentes, de acordo com a
Figura 5.
No Plano de Continuidade de Negcios o mais importante que no
haja interrupo para os negcios, e caso haja perda dos dados, essencial
saber como recuper-los. A Figura 6 demonstra o que necessrio considerar
sobre backup e recuperao de dados em Plano de Continuidade de Negcios,
segundo os respondentes.

( ) Procedimentos de Recuperao

23

( ) Contato dos Responsveis

18

( ) Referncias de documentaes

15

Documentao de medidas adotadas

Resultados dos testes de Restore

1
0

8 10 12 14 16 18 20 22 24 26

Figura 6 - Consideraes para o Plano de Continuidade de Negcios

Segundo a Figura 6, vinte e trs (23) dos respondentes concordam que


o fator principal para o Plano de Continuidade de Negcios a definio dos
procedimentos para a recuperao dos dados. Porm os procedimentos nem
sempre so simples, portanto, preciso o treinamento constante do pessoal

75

responsvel pela recuperao dos dados, e o contato desse pessoal deve estar
contido no Plano de Continuidade de Negcios.
A documentao do backup, e os registros de testes de recuperaes
auxiliaro em recuperaes mais rpidas e eficazes por evitar repetir erros,
mesmo assim apenas 15 respondentes apontarem este item. Este resultado
revela que preciso maior conscientizao sobre a necessidade de
documentaes.
Outros fatores importantes foram lembrados, como a documentao das
medidas adotadas e dos resultados dos testes de recuperao. Estes itens
fazem parte dos procedimentos de recuperao, indicados pela grande maioria
dos respondentes como principal fator a ser includo em Plano de Continuidade
de Negcios.
Alm do estabelecimento de polticas de Segurana da Informao e
Plano de Continuidade de Negcios, para o planejamento do backup so
necessrios recursos, como manuais, porm a maioria dos pesquisados (23)
respondeu no utilizar nenhum manual especfico, segundo a Figura 7.

No

23

Determinado pela Empresa

ISO/IEC 17799

N/R

1
0 2 4 6 8 101214161820222426

Figura 7- Manual especfico para elaborao de plano backup de dados

Um dos questionados no respondeu a esta pergunta, pode-se presumir


que tambm no conhece um manual especfico para o planejamento de
backup de dados.

76

Outro respondente utiliza um manual determinado pela organizao


onde trabalha.
Identificou-se que pelas respostas serem diferentes e divergentes, no
seguido um padro para o planejamento de backup, mas a norma NBR
ISO/IEC 17799, segundo um dos respondentes, pode ser utilizada como um
manual no planejamento.
A

norma NBR

ISO/IEC

17799 possui recomendaes

para o

planejamento e polticas de backup e recuperao de dados, porem no um


manual especfico para este fim.
Com a falta de manuais especficos para planejamento de backup de
dados procurou-se saber quais as principais recomendaes utilizadas para o
planejamento de backup de dados.

16

_ NBR ISO/IEC 17799


_ CERT

8
3

_ NIST
Interno da Organizao

ISSP

Livros de SI

UNICAMP

1
0

8 10 12 14 16 18 20 22 24 26

Figura 8 - Normas e/ou recomendaes para backup de dados

De acordo com a Figura 8, a maioria dos profissionais da rea de


Segurana

da

Informao

selecionados

para

esta

pesquisa

utiliza

recomendaes, normas e outros tipos de indicaes para planejarem o

77

backup de dados, e dezesseis (16) dos vinte e seis (26) respondentes utilizam
a norma NBR ISO/IEC 17799, ou seja, apenas 61%.
Esse percentual baixo, visto que a maioria dos respondentes trabalha
h mais de dois (2) anos na rea de Segurana da Informao e tem cursos
nesta rea, portanto, devem conhecer a norma NBR ISO/IEC 17799, mas no
a incluem como recurso para o planejamento do processo de backup de dados.
O CERT indicado por oito (8) dos pesquisadores possui recomendaes
prticas de segurana para administradores de redes, cartilha de segurana
para Internet, e outras recomendaes e artigos para Segurana da Informao
na Internet, e nestes documentos encontram-se algumas indicaes para
backup de dados.
No NIST indicado por trs (3) dos respondentes possvel encontrar
muita documentao tcnica e de governana de Tecnologia da Informao,
onde h recomendaes para backup de dados. Porque a indicao foi feita
por apenas trs (3) dos respondentes constata-se que necessrio que este
site seja mais divulgado para que seja mais utilizado.
A opo Outros, deixada como alternativa, permitiu aos pesquisados a
indicao de outras recomendaes para o planejamento de backup de dados,
ainda no apontadas na pesquisa. Os respondentes acrescentaram que para o
planejamento de backup de dados utilizam tambm normas estabelecidas pela
organizao onde trabalham, indicaes da UNICAMP, outras fornecidas por
meio de cursos de certificao para profissionais de Segurana da Informao
como, o Certified Information Systems Security Professional (CISSP), alm das
apontadas por livros na rea de Segurana da Informao.

78

Tambm

se

procurou

saber

se

existem

certificaes

para

planejamento de backup de dados. Os resultados esto mostrados na Figura 9.

( ) no

24

Computer Associate (Anc Server)

N/R

1
0 2 4 6 8 101214161820222426

Figura 9 - Certificao em gesto ou planejamento de backup

Apenas um pesquisado, segundo a Figura 9, respondeu positivamente


esta pergunta, porm depois de investigar sobre a certificao indicada,
constatou-se que especifica de um software. De acordo com o conhecimento
dos respondentes h falta de certificao para planejamento de backup de
dados.
Este fator preocupante, visto que o processo de backup envolve
muitas variveis diferentes, tornando-o complexo. necessrio haver
treinamentos e certificaes especficos para auxiliar no planejamento de
backup de dados.

C Tratamento e Classificao dos Dados


Aps procurar identificar as etapas e participantes de um plano de
backup de dados, e quais recursos como manuais, normas e certificaes
existem para auxiliar o planejamento de backup de dados, buscou-se identificar
quais tratamentos os dados precisam receber antes de serem backupeados e

79

como estes devem ser feitos. Esta parte visa identificar as estratgias para
tornar os processos de backup e recuperao de dados mais eficazes e
rpidos.

( ) Classificao

23

( ) Permisses de acesso

15

( ) Compactao

14
9

( ) Criptografia
Testes da gravao

Garantia de segurana fsica

Restrio de Acesso

1
0 2 4 6 8 10 12 14 16 18 20 22 24 26

Figura 10 - Tratamentos dos dados antes de serem armazenados

De acordo com a Figura 10, para a grande maioria o principal tratamento


que os dados precisam receber antes do backup a classificao e aps esta,
as permisses de acesso e compactao.
Apesar de a criptografia ser importante, foi um dos itens menos
considerados pelos respondentes segundo a Figura 10. Para o entendimento
desta escolha, alguns respondentes foram contatados posteriormente, atravs
de uma entrevista informal, para explicarem o motivo de no considerarem a
criptografia.
A resposta foi que a criptografia ser necessria apenas depois da
classificao, quando os dados forem qualificados como confidenciais. Alguns
disseram que o atributo de permisses de acesso suficiente para evitar
acesso no autorizado aos dados. Outro respondeu que certas bases de dados
so complexas e difceis de serem acessadas em outro sistema diferente do
qual onde foi produzida, e que a criptografia e a compactao dos dados pode

80

atrapalhar ou impedir a recuperao dos dados na prpria base onde os dados


foram criados. preciso que haja mais estudo sobre criptografia para que esta
seja mais utilizada e de forma adequada.
A compactao dos dados antes do backup tambm pode ser complexa
para algumas bases de dados, no entanto a maioria recomenda a compactao
dos dados, para economizar recursos de armazenamento.
A alternativa outros foi preenchida por alguns dos respondentes e as
estratgias acrescentadas foram: Testes de Gravao, Garantia de segurana
fsica e Restrio de acesso.
Uma estratgia bem lembrada foi a de testar a gravao do backup, ou
seja, verificar se os dados esto gravados corretamente para ento armazenalos.
A garantia de segurana fsica implica na escolha de mdias e locais de
armazenamento. Este item ser mais profundamente abordado na fase
procedimentos de escolhas de tecnologias.
O item Restries de acesso indicado por um dos respondentes est
ligado ao item Permisses de acesso, por exemplo, se h permisso de acesso
ao arquivo para apenas dois usurios, os outros usurios estaro com o
acesso restrito.
A classificao um dos itens mais importantes para o planejamento de
backup de dados, segundo a maioria dos respondentes. Alguns dos itens
necessrios para classificar a informao so demonstrados na Figura 11.

81

( ) Prioridade de Recuperao

19

( ) Perodo de reteno

17

( ) Anlise de riscos

17

( ) Separao de arquivos e programas

15

( ) Locais de armazenamento

9
8

( ) Datas de criao e atualizao


( ) Permisses de acesso

( ) Outros:0
0 2 4 6 8 10 12 14 16 18 20 22 24 26
Figura 11 - Necessrio para classificar os dados a serem backapeados

A maioria dos questionados concorda que para a classificao da


informao preciso determinar a prioridade de recuperao, seguida pela
anlise de riscos e estabelecimento do perodo de reteno, de acordo com a
Figura 11.
Esperava-se que a anlise de riscos fosse apontada por todos os
respondentes, pois atravs dela possvel determinar as prioridades da
informao na recuperao e o perodo de reteno.
A separao de arquivos, indicada por quinze (15) dos respondentes
como importante para a classificao dos arquivos, alm de facilitar o backup,
agiliza a recuperao.
Segundo alguns dos respondentes, de acordo com a Figura 11, na
classificao da informao tambm devem ser considerados o local de
armazenamento dos dados e as datas de criao e atualizao. As datas dos
arquivos podem ser muitos importantes em casos judiciais.
J o item Permisses de acesso, segundo a Figura 11, foi indicado por
apenas cinco (5) dos respondentes como item a ser considerado na

82

classificao dos dados, porm este evita que os dados no sejam acessados
por desautorizados.

D Facilidades de Backup, Disponibilidade e Recuperao


Aps identificar o que necessrio para os dados antes do backup,
nesta parte buscou-se saber o que preciso utilizar como estratgias para
tornar o processo de backup mais eficiente, diminuindo a janela de backup e
melhorando o Recovery Time Objective e Recovery Point Objective.

15

( ) Classificar a informao

14

( ) Backup apenas dos dados necessrios


( ) Execut-lo quando o sistema no est
em operao

13
10

( ) Determinar a freqncia

( ) Documentar os procedimentos
Definir poltica para backup

Escolha de Software e Hardware

1
0 2 4 6 8 10 12 14 16 18 20 22 24 26

Figura 12 - Estratgias para minimizar o tempo do backup

De acordo com a Figura 12, segundo a maioria dos respondentes,


preciso classificar a informao e fazer backup apenas dos dados importantes
e necessrios aos negcios da organizao.
Executar o backup quando o sistema no est em operao tambm
diminui o tempo da janela de backup, segundo metade dos respondentes. Esta
opo vlida apenas para alguns sistemas, pois alguns devem funcionar
interruptivamente. interessante ter servidores s para backup de dados.

83

Determinar

freqncia

do

backup

documentar

todos

os

procedimentos para a realizao do backup so estratgias que devem ser


seguidas para diminuir a janela de backup, segundo alguns dos respondentes.
Alm de documentar necessrio que a documentao tenha acesso fcil para
a recuperao.
Segundo a Figura 12, alguns dos respondentes indicaram mais
estratgias para melhorar o tempo de backup como definir poltica para o
backup de dados e possuir estratgias para a escolha de software e hardware.
Depois de conseguir estratgias para se fazer o backup, procurou-se
saber o que preciso para ter o backup disponvel e rpida recuperao.

( ) Planos para desastres

21
19

( ) Selecionar e utilizar tecnologias


( ) Documentar mtodos

14

( ) Nomear responsveis

13

( ) Ter prioridades de Recuperao

11

( ) Estimar o tempo de Recuperao

11

( ) Documentar responsabilidades

( ) Equipe dedicada
Dados em mais de um meio

5
1
0 2 4 6 8 10 12 14 16 18 20 22 24 26

Figura 13 - Estratgias para o backup disponvel, e rpida recuperao.

Segundo a Figura 13, ter planos para caso de desastres foi um dos itens
mais apontados no questionrio como estratgias para a recuperao dos
dados. Outras estratgias importantes so a seleo e a utilizao de
tecnologias eficazes para o backup e recuperao dos dados. A maioria

84

tambm aponta que a documentao dos mtodos de backup e recuperao


de dados, e a nomeao de responsveis so necessrias para a rpida
recuperao dos dados.
De acordo com grande parte dos respondentes, segundo a Figura 13, os
itens sobre determinar prioridades, estimar o tempo de recuperao e
documentar responsabilidades devem ser considerados para facilitar a
recuperao dos dados.
De acordo com a Figura 13, ter uma equipe dedicada apenas para o
backup e recuperao de dados no to importante. A equipe pode realizar
outras tarefas alm do backup. Foi bem lembrado por um dos respondentes
que para a disponibilidade importante ter o backup em mais de um meio, ou
seja, em disco, fitas, em servidores remotos, etc.

E Tecnologias para Backup de dados


Para a eficcia do processo de backup de dados necessria a
aquisio de recursos tecnolgicos. Buscou-se nesta parte obter informaes
sobre o que considerar para conseguir as tecnologias de hardware, software e
mdias para backup.

85

( ) Rapidez

21

( ) Espao a ser ocupado

19

( ) Criticidade

19
15

( ) Administrao simplificada
( ) Perodo de reteno

13

( ) Facilidade de utilizao

( ) Preo

Confiabilidade

1
0

2 4

6 8 10 12 14 16 18 20 22 24 26

Figura 14 - Necessrio para escolher tecnologias de hardware e software

De acordo com a Figura 14, para se escolher tecnologias de hardware e


software para backup de dados, os responsveis pela Tecnologia da
Informao recomendam considerar, em primeiro lugar, a rapidez com que
essas ferramentas recuperam os dados. A seguir deve ser ponderada a
criticidade e o espao a ser ocupado pelos dados.
A administrao simplificada das tecnologias tambm deve ser avaliada
ao se escolher software e hardware para backup de dados, segundo a maioria
dos respondentes. Segundo a metade dos respondentes, o perodo de
reteno dos dados deve influenciar na escolha de tecnologias de hardware e
software.
A facilidade de utilizao no foi muito considerada pelos respondentes,
pois apenas seis (6) indicaram este item. A utilizao das tecnologias
normalmente fica por conta dos tcnicos de Tecnologia da Informao e estes
no foram consultados.

A maioria dos analistas concordou que a

administrao simplificada influenciar na escolha de software e hardware, ou


seja, os analistas parecem mais preocupados com a administrao e no a

86

utilizao tcnica das tecnologias, porm esta deve influenciar na escolha, pois
quanto mais fcil a utilizao das tecnologias, mais rapidez poder se ter por
parte dos tcnicos.
Em consulta posterior alguns respondentes disseram que o item
facilidade de utilizao j esta implcito em Administrao simplificada.
Segundo a Figura 14, o preo da tecnologia no influencia muito na
escolha da mesma segundo a maioria dos profissionais consultados. Este fato
indica certa mudana nas concepes do pessoal de Tecnologia da
Informao, que est mais preocupada com segurana e sabe que esta custa
cara, e merece investimentos. Porm esta parte ser avaliada pelo pessoal da
rea administrativa, que a que libera os recursos para a compra.
Um dos respondentes, de acordo com a Figura 14, lembrou que a
confiabilidade nas Tecnologias tambm deve influenciar na escolha.
Em relao s mdias de backup, antes de adquiri-las, importante
saber a capacidade de armazenamento dos dados e o perodo de durabilidade,
segundo a grande maioria dos respondentes de acordo com a Figura 15.
( ) Espao a ser ocupado

23
21

( ) Perodo de reteno
14

( ) Rapidez
( ) Criticidade da informao

11

( ) Facilidade de utilizao

( ) Preo

( ) Outros:0
0

10 12 14 16 18 20 22 24 26

Figura 15 - Necessrio para escolher mdias para backup de dados

87

O item rapidez no foi assinalado por todos os que assinalaram este


fator ser importante para a aquisio de hardware e software. Se a mdia no
for rpida, o hardware e software no bastaro para a facilidade da
recuperao. preciso mais ateno para este fato.
O item Facilidade de utilizao foi indicado por nove (9) dos
respondentes, isto revela que alguns dos questionados no atentaram ainda
para este fator que tcnico, mas facilita e agiliza a recuperao.
Como na questo anterior de escolha de hardware e software, o item
Preo tambm foi pouco indicado como determinante na escolha de mdias. De
acordo com a Figura 15, segundo alguns respondentes, em consulta informal,
alegaram que a Segurana da Informao precisa de investimentos, e que
quem negocia os preos o pessoal da rea administrativa.

F Backup em Site Remoto


J com os dados backupeados com as tecnologias apropriadas,
preciso mais de uma gerao de backup e que esta seja mantida a uma
distncia, que no permita que um desastre no backup local atinja tambm o
backup remoto. Buscou-se nesta parte saber quando necessrio e como
contratar o site de backup remoto.
De acordo com a Figura 16, os participantes da pesquisa consideraram
mais importante ter o backup remoto para atendimento a padres de
segurana. Quando os dados exigem consultas contnuas, e/ou quando
precisam de um longo perodo de reteno, tambm importante que haja
backup remoto segundo grande parte dos respondentes.

88

12

( ) Atendimento a padres
( ) Consultas continuas

( ) Longo perodo de reteno

8
3

Informao crtica
Ter mais de uma opo de backup

Sempre para caso de tragdia

Grandes Corporaes

Dependendo das Instalaes - Nunca

Falta de estrutura local

Recuperao de desastres

Vrias plataformas e filiais

Contingncia da Informao

1
0 2 4 6 8 10 12 14 16 18 20 22 24 26

Figura 16 - Backup remoto

Segundo a Figura 16, foram indicados pelos respondentes, outros


fatores que requerem o backup remoto. preciso considerar o backup remoto
para a Informao crtica, e para:

Ter mais de uma opo de backup

Vrias plataformas e filiais

Recuperao de desastres

Recuperao em caso de tragdia

Falta de estrutura local

Grandes Corporaes

Contingncia da Informao

E dependendo das Instalaes - Nunca

89

Dentre estes o mais apontado foi: considerar o backup quando a


informao crtica. Cada respondente vive uma realidade diferente em seu
ambiente de trabalho e vai optar pelo backup remoto dependendo da criticidade
da informao. O backup remoto vai ser de acordo com os dados classificados,
quanto mais crtica a informao mais nveis de backup sero necessrios.
Ainda houve respondente que acredita no ser preciso o backup remoto,
por estarem os dados bem protegidos localmente. Desastres como o atentado
s torres gmeas, ou terremotos realmente so difceis de acontecerem, mas
pequenos

incndios

ou

erros

humanos

so

comuns.

necessria

conscientizao de que na rea de Segurana da Informao nunca existe


proteo total.
Reconhecida a necessidade do backup remoto, preciso saber onde
ser esse backup, na contratao de um site de backup remoto, a Figura 17
mostra algumas opinies sobre o que considerar.

90

Figura 17 - Consideraes para contrato de backup remoto

Para a contratao de backup remoto deve-se considerar primeiramente


a estrutura fsica e lgica onde ficaro os dados, a estrutura do ambiente, a
distncia geogrfica, a acessibilidade e rapidez na recuperao dos dados,
segundo a Figura 17.
A conformidade com padres de segurana no site contratado tambm
precisa ser considerada para o backup remoto, segundo grande parte dos
respondentes. Facilidades e velocidades de rede, assim como tecnologias
avanadas, facilitam na recuperao dos dados, portanto, estes itens devem
ser levados em conta para a contratao de um site de backup remoto.

91

A compatibilidade de software no foi to considerada quanto os outros


itens, de acordo com a Figura 17. Segundo alguns dos respondentes, em
consulta posterior, este item est implcito nos outros, pois no possvel
contratar o site de backup remoto se este no comporta os tipos de dados a
serem backupeados.
O preo, apesar de ser importante, tido como preocupao da rea
administrativa segundo alguns respondentes em entrevista informal.

G Documentao
Para a eficaz recuperao dos dados importante a documentao de
como, quando e do que foi feito o backup e principalmente de como deve ser
feita a recuperao.
Buscou-se nesta fase saber o que preciso para criar e manter a
documentao do backup de dados.

( ) Avaliao e reviso da
documentao

17

( ) Poltica para documentao

17

( ) Padres e ferramenta para


documentao

12

( ) Backup da documentao
( ) Outros:

7
0
0 2 4 6 8 10 12 14 16 18 20 22 24 26

Figura 18 - Estratgias para documentao de backup e recuperao

92

Segundo a Figura 18, a maioria dos analistas de Segurana da


Informao revela que preciso uma poltica com normas para a
documentao, e que preciso a avaliao e reviso da documentao.
Menos que a metade indicou a necessidade de ferramentas para
documentao, porm elas podem facilitar no estabelecimento de padres para
a criao e manuteno da documentao.

Esta tambm pode ser

considerada parte tcnica.


De acordo com a Figura 18, o backup da documentao pouco
utilizado, porm esta documentao feita de informaes importantes,
portanto tambm precisa de cpias. Falta conscientizao para este fato.

H Testes e Avaliaes do Plano de backup de dados


Na primeira parte procurou-se saber como deve ser o plano e quais
grupos devem participar da elaborao do mesmo, alm de ter uma viso geral
das mais importantes partes de um plano de backup, como classificao e
documentao para o backup e recuperao de dados. Nesta ltima parte
buscou-se quem revisa este plano e de quanto em quanto tempo.

93

( ) Superviso de
TI

23

( ) Corpo tcnico
de TI

21

( ) Corpo tcnico
Administrativo

( ) Alta
administrao

Equipe de Backup

1
0

10 12 14 16 18 20 22 24 26

Figura 19 - Grupos que devem testar e avaliar o plano de backup

Segundo a Figura 19, a maioria dos respondentes concorda que os


profissionais da rea de Tecnologia da Informao, tanto a superviso quanto
parte tcnica, devem ser os responsveis pela reviso do plano de backup de
dados.
Aps o plano feito, preciso testes para avaliar, que normalmente so
tcnicos. J que a informao foi classificada, separada e recebeu os
tratamentos necessrios antes do backup, os testes so para saber se os
dados esto devidamente armazenados e de fcil e rpida recuperao apenas
pelos autorizados, portanto, constata-se no h necessidade de participao
do pessoal da rea administrativa.

94

( ) trimestralmente

11

( ) anualmente

( ) semestralmente

mensal

semanalmente

1
0

8 10 12 14 16 18 20 22 24 26

Figura 20 - Periodicidade para testar e avaliar os planos de backup

De acordo com a Figura 20, no houve nenhuma alternativa desta


questo marcada por 50% dos respondentes Isto leva a concluso de que a
periodicidade dos testes depender dos dados, na medida em que estes
aumentam de volume, ou criticidade.

4.3 PROPOSTA: ETAPAS PARA O PLANEJAMENTO DE BACKUP DE


DADOS

Fundamentao
Esta proposta foi formulada atravs dos conhecimentos adquiridos pela
reviso da literatura, da consolidao das respostas ao questionrio e de
entrevistas informais com alguns dos profissionais de Tecnologia da
Informao participantes desta pesquisa.
A proposta que haja um planejamento para o backup de dados com
etapas bem definidas e com o envolvimento de todas as equipes da
organizao, desde tcnicos alta administrao.
O backup de dados exige recursos tais como financeiros, de pessoal, de
tempo,

de

equipamentos,

de

software,

dentre

outros.

preciso

95

conscientizao da rea administrativa que libera os recursos sobre a


importncia do backup de dados.

Primeira Etapa: A conscientizao da necessidade do backup de


dados, que pode partir tanto da rea de Tecnologia da Informao quanto da
rea administrativa da organizao.
necessrio justificar o planejamento do backup de dados para ento
conseguir apoio da organizao. As principais justificativas so:

Proteo dos dados para a continuidade dos negcios, preveno contra


desastres e recuperao segura dos dados, para que esses estejam
integrais e disponveis.

Atendimento a padres de segurana e a leis e regulamentos nacionais


e internacionais.

Maior confiabilidade e crdito por parte dos clientes.


Sabendo da importncia do planejamento do backup de dados, o

prximo passo formar equipes para serem responsveis pelo planejamento.

Segunda Etapa: A definio do(s) responsvel (is) pelo planejamento


de backup de dados.
Sugere-se que os responsveis sejam:

Superviso de Tecnologia da Informao

Alta Administrao, que deve liberar os recursos.


Observao: Essas equipes devero contar com o apoio das suas reas
tcnicas.

96

Terceira Etapa: A Disponibilizao de recursos para que essas equipes


possam planejar o backup.

Treinamentos na rea de Segurana da Informao.

Adoo de normas de Segurana da Informao, como a norma NBR


ISO/IEC 17799

Adoo de Recomendaes:
o CERT
o NIST
o Livros de Segurana da Informao
o Materiais de cursos, como do Certified Information Systems
Security Professional
o Materiais internos da organizao, elaborados a partir da
bagagem de experincia de profissionais de Segurana da
Informao
o Anlise e orientaes de especialistas e as opinies de
consultores.

Quarta Etapa: A Determinao das aes a serem planejadas.


O plano de backup de dados deve contar, no mnimo, com os seguintes
procedimentos:

Classificao da informao
Anlise de riscos das informaes, considerando, no mnimo:
o Criticidade da informao para os negcios
o Prioridade de recuperao
o Perodo de reteno

97

o Datas de criao, atualizao e excluso


o Permisses e restries de acesso
o Re-classificao das informaes, lembrando que essas podem
deixar de serem crticas para a organizao.

Todos os procedimentos seguintes devem considerar a classificao das


informaes:

Armazenamento
Utilizar estratgias de Gerenciamento do Ciclo de Vida das Informaes.
Considerando no mnimo:
o Fazer o backup apenas dos dados necessrios
o Separao de arquivos, de programas e aplicaes
o Armazenar dados com nomes padronizados
o Manter os dados armazenados apenas pelo perodo necessrio.

Documentao do backup e recuperao dos dados:


Considerar no mnimo:
o Documentao de todos os processo de backup e Recuperao
de dados
o Utilizao de Padres e ferramenta de software adequada para
documentao
o Avaliao e reviso da documentao de backup e recuperao
o Backup da documentao

98

Escolha de hardware, software e mdias.


Considerar no mnimo:
o Velocidade para o backup e recuperao dos dados.
o Espao a ser ocupado pelos dados
o Administrao e utilizao simplificada
o Perodo de reteno dos dados
o Confiabilidade

Definio do local dos dados a serem armazenados


Considerar no mnimo:
o Garantia de seguranas fsica e lgica
o Estrutura do ambiente, como controle de temperatura, umidade,
preveno contra incndio, controles de energia eltrica, etc.

Considerar o backup remoto, principalmente quando:


o A Informao crtica para os negcios
o A informao precisa de contingncia
o Os dados precisam de um longo perodo de reteno
o O dados precisam ser consultados continuamente
o Para atendimento a padres de segurana

Contratao de site de backup remoto


Considerar no mnimo:
o Segurana fsica e lgica, que deve ser igual ou melhor que a do
backup local

99

o Distncia geogrfica, e a probabilidade de acontecer um desastre


que atinja o backup local e remoto
o Acessibilidade, ou tempo necessrio para se recuperar o backup
o Conformidade da empresa contratada com padres de segurana

Transmisso dos dados para Backup Remoto


Considerar no mnimo:
o Facilidades de velocidade e segurana de conexes de rede e de
Internet
o Criptografia para os dados sigilosos

Transportes de mdias
Considerar no mnimo:
o Confiana e comprometimento de todo o pessoal que manipula as
mdias.
o Criptografia para os dados sigilosos.

Agendamento do backup
Considerar no mnimo:
o Freqncia do backup de acordo com a criticidade, atualizaes e
outros atributos das informaes
o Tecnologias que permitam executar o backup quando o sistema
est em operao

100

Perodo de reteno das mdias e guarda de mdias


Considerar no mnimo:
o Instrues de guarda e tempo de vida til das mdias
o Local de armazenamento das mdias

Testes de recuperao e backup


Considerar no mnimo:
o Resultados dos testes de backup e recuperao
o Documentao de medidas adotadas
o Estimativa do tempo de recuperao, incluindo o tempo para
identificar o problema e a soluo, de acordo com tipo o
armazenamento.

Reviso do plano
Considerar no mnimo:
o Auditoria do plano visando maior segurana e rapidez atravs de
automao dos processos de backup e recuperao dos dados.

Definio de responsabilidades
Considerar no mnimo:
o Uma equipe, ou pelo menos um responsvel para todas as etapas
acima, com treinamento constante para esse(s) responsvel(is).

101

Poltica de Segurana da Informao e Plano de Continuidade de


Negcios
o Todos os procedimentos acima devem estar contidos, ou terem
referncias na Poltica de Segurana e no Plano de Continuidade
de Negcios da organizao.

Todo o planejamento e recursos destinados ao backup devem estar de


acordo com o valor da informao.
Esta proposta contm recomendaes revisadas na literatura e de
profissionais da rea de Tecnologia da Informao, estudadas anteriormente
neste trabalho, porm est colocada de maneira organizada e resumida.

102

5 CONCLUSO
O risco de perda, inacessibilidade ou acesso no autorizado aos dados
mantidos nos computadores devido s ameaas, aumenta a preocupao em
se manter a disponibilidade, confidencialidade e integridade das informaes
para a continuidade dos negcios. Para segurana dos dados, alm de outras
medidas, necessrio que as estratgias para backup de dados sejam
aplicadas, testadas e analisadas continuamente para serem vlidas, mesmo
com mudanas no ambiente de negcios.
Atravs deste trabalho, que evidencia as principais recomendaes para
backup de dados, possvel facilitar o planejamento, segundo as melhores
prticas, tendo em mente que cada organizao ter estratgias de backup de
dados personalizadas de acordo com as caractersticas de cada negcio.
Na Reviso da Literatura, observou-se a importncia de estratgias de
backup de dados para polticas de Segurana da Informao e para o Plano de
Continuidade de Negcios, procurando garantir a preservao da Segurana
da Informao e continuidade dos negcios. Tambm com a anlise e
entendimento da literatura foi possvel a formulao de maior parte do
questionrio destinado aos profissionais da rea de Segurana da Informao.
Com a aplicao do questionrio verificou-se que nem todas as
estratgias indicadas pela literatura so aplicadas e recomendadas pelos
profissionais de Segurana da Informao. Apesar de todos os respondentes
serem responsveis por informaes crticas que precisam de segurana, as
opinies sobre backup de dados divergem bastante. Esse fato pode ser
explicado pela falta de guias e/ou cursos especficos para o planejamento de
backup de dados.

103

No questionrio foi dada a oportunidade para que os respondentes


manifestassem alternativas no encontradas na pesquisa bibliogrfica e at
inditas. Mesmo sendo poucas as recomendaes advindas dos questionados
a base de conhecimento sobre backup de dados aumentou com relao ao
descrito na literatura pesquisada.
Foi dado um enfoque tcnico no levantamento dos procedimentos de
backup de dados para saber e destacar o que mais relevante no seu
planejamento. Atravs da pesquisa de campo foi constatada a importncia dos
conhecimentos tcnicos para o planejamento de alguns procedimentos como o
de segurana no local de guarda do backup.
Foi apontada a importncia da participao da rea administrativa no
planejamento de backup de dados para a liberao de recursos para os
processos de backup de dados, e para a conscientizao sobre a importncia
da Segurana da Informao.
O problema de pesquisa foi ento solucionado, pois a comparao da
literatura com a experincia de profissionais da rea de Segurana da
Informao permitiram a identificao das principais variveis e estratgias
para o planejamento de backup de dados, do ponto de vista de gesto de
Segurana da Informao.
O objetivo inicial do trabalho foi alcanado, isto , pde-se elaborar uma
proposta com etapas para planejamento de backup de dados, atravs da
reunio das principais estratgias sobre backup de dados baseada na literatura
existente e na pesquisa de campo.
Um dos benefcios deste trabalho foi mostrar que o processo de backup
de dados deve ser estratgico, pois engloba toda a organizao, desde a parte

104

tcnica, que deve conhecer o funcionamento das tecnologias, at a parte


administrativa, que deve, alm de liberar os recursos, auxiliar na classificao
das informaes e em outros procedimentos necessrios ao plano de backup
de dados.
Este trabalho foi alm dos objetivos propostos, pois salientou a
divergncia de opinies entre responsveis pela Tecnologia da Informao,
bem como a falta de recursos, principalmente manuais e cursos especficos
sobre backup de dados, para auxiliar no planejamento de backup de dados.
A proposta final um conjunto formado pelas estratgias da literatura,
pelas respostas ao questionrio, e por algumas consultas informais com os
respondentes da pesquisa, apresentada de forma organizada para facilitar seu
entendimento e aplicao.
Como um subproduto deste trabalho, houve interesse de profissionais de
Segurana da Informao em utilizar as estratgias, aqui propostas, como um
guia prtico para o planejamento de backup de dados em suas organizaes.
Alm da aplicao das recomendaes aqui discutidas preciso pensar
estrategicamente no fornecimento dos recursos para backup e recuperao
dos dados, que deve ser de acordo com a disponibilidade exigida e com o valor
das informaes para os negcios da organizao.
Constatou-se que mais investigaes devem ser elaboradas a fim de
levar aos profissionais de Segurana da Informao melhores esclarecimentos
sobre a contribuio destas estratgias para backup de dados.
Este trabalho serve como base para outras pesquisas, por exemplo:
cada recomendao para backup de dados pode ser explicada em artigos

105

separados e especficos, pois merecem muita ateno e podem ser avaliadas


aplicaes das estratgias para diferentes tipos de organizaes e negcios.
Outros assuntos, a serem explorados para o planejamento de backup de
dados, podem ser: como classificar a informao, como definir o quanto investir
de acordo com o custo de disponibilidade e indisponibilidade, como calcular o
retorno do investimento em backup de dados, entre outros.

106

REFERNCIAS
ABNT. Tecnologia da informao Cdigo de prtica para a gesto da
Segurana da Informao (NBR ISO/IEC 17799). Rio de Janeiro: 2005.
Strategies.
BIGELOW,
S.
J.
Backup
2006.
Disponvel
em:
http://searchstorage.techtarget.com/originalContent/0,289142,sid5_gci1179087,
00.html. Acesso em: 01 jun. 2006, 20:23:30.
CERT. Prticas de Segurana para Administradores de Redes Internet,
2003.
Disponvel
em
http://www.cert.br/docs/seg-adm-redes/seg-admredes.html. Acesso em 21 ago. 2005, 23:05:40.
COOK, R. Backup failure: Five reasons backups fail and tips for
prevention. 2006a. Disponvel em:
http://searchstorage.techtarget.com/tip/0,289483,sid5_gci1204974,00.html.
Acesso em 11 jan. 2007, 18:55:25.
_________. Speed up your Backups by pruning your data. 2006b.
Disponvel em:
http://searchstorage.techtarget.com/tip/1,289483,sid5_gci1164361,00.html.
Acesso em 06 set. 2006, 22:26:25.
DAFT, R.L. Administrao. Traduo, 6. ed. So Paulo: Thomson, 2005.
DORION, P. Best practices: Optimizing your Backups. 2006. Disponvel em:
http://searchstorage.techtarget.com/tip/1,289483,sid5_gci1154114,00.html?trac
k=NL-53&ad=540066USCA. Acesso em 05 set. 2006, 16:35:35.
EGAN, M. E. Seis Desafios Significativos para a Segurana da Informao.
2005.
Disponvel
em:
https://wwwsecure.symantec.com/region/br/enterprisesecurity/content/expert/BR_4779.html
.Acesso em: 27 mai. 2007, 17:45:50.
ERLICH, L. Plano de Continuidade de Negcios: uma pesquisa
exploratria na perspectiva estratgica no mbito da Segurana da
Informao. 2004. 100f. Dissertao (Mestrado em Administrao) - Curso de
Ps-graduao em Administrao de Empresas, Pontifcia Universidade
Catlica do Rio de Janeiro, Rio de Janeiro. Disponvel em:
http://bdtd.ibict.br/bdtd/. Acesso em: 21 jun. 2005, 23:20:30.
FARIAS JUNIOR, A. Nova norma garante Segurana da Informao. 2002
Disponvel
em
http://www.serasa.com.br/serasalegal/05-fev-02_m2.htm.
Acesso em 26 ago. 2005, 17:00:00.
GARFINKEL, S. Calling for Backup: Backing up your data might not seem
important until you need to retrieve it. 2004. Disponvel em:
http://www.csoonline.com/read/030104/shop.html. Acesso em 23 ago. 2005,
00:35:40.

107

GERONAITIS, J. ILM - Controlling the data mountain. 2005. Disponvel em:


http://itnow.oxfordjournals.org/cgi/reprint/47/5/6. Acesso em 24 jan 2007,
22:30hs
GHERMAN, M. Controles internos: buscando a soluo adequada - Parte I.
2005. Disponvel em:
http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=2&objid=445&pagenum
ber=0&idiom=0. Acesso em: 29 jun. 2005, 22:30:20.
GONALVES, J.C. O Gerenciamento da Informao e sua Segurana
contra ataques de vrus de computador recebidos por meio de correio
eletrnico. 2002. 339f. Dissertao (Mestrado em Administrao de
Empresas) Faculdade de Economia, Contabilidade e Administrao,
Universidade de Taubat, Taubat. Disponvel em:
http://www.unitau.br/prppg/cursos/ppga/mestrado/2002/goncalves_julio_cesar.pdf.
Acesso em: 21 jun. 2005, 23:20:30.
IT WEB. Pequenas empresas tendem a deixar dados vulnerveis, 2006.
Disponvel
em:
http://www.itweb.com.br/index.php?option=com_noticia&id=20411&section=14.
Acesso em 21 jan. 2007, 21:30:00.
KIRK J. Gerentes de tecnologia so displicentes com prtica de backup,
2006.
Disponvel
em:
http://idgnow.uol.com.br/computacao_corporativa/2006/02/16/idgnoticia.200602-16.4799349716/IDGNoticia_view. Acesso em 14 jan. 2007, 20:45:00.
LAKATOS, E. M.; MARCONI, M. A. Tcnicas de Pesquisa. So Paulo: Atlas
S.A., 1999.
MASSIGLIA, P. Veritas in E-Business. Veritas Software Corporation, 2001.
PRADO, L. Quatro Passos no Gerenciamento de Riscos, 2002.
Disponvel em: http://www.securenet.com.br/artigo.php?artigo=114. Acesso em
22 ago. 2005, 20:20:30.
SMOLA, M. Gesto da Segurana da Informao: Uma Viso Executiva
da Segurana da Informao. Rio de Janeiro: Elsevier, 2003.
SWANSON M.; WOHL A.; POPE L.; GRANCE T.; HASH J.; THOMAS R.
Contingency Planning Guide for Information Technology Systems Recommendations of the National Institute of Standards and Technology,
2002. Disponvel em: http://csrc.nist.gov/publications/nistpubs/800-34/sp800-34.pdf.
Acesso em: 31 mar. 2006, 01:55:50.
VERGARA, S.C. Projetos e Relatrios de Pesquisa em Administrao. So
Paulo: Atlas, 2000.

108

ZHU W-D.; ABRHAMS M.; NGAI D.M.M.; POND S.; SCHIAVI H.; SHAZLY
H.A.; STONESIFER E.; STONESIFER V. Content Manager OnDemand
Backup, Recovery, and High Availability, 2005. Disponvel em:
http://www.redbooks.ibm.com/redbooks/pdfs/sg246444.pdf. Acesso em: 18 mai.
2006, 22:37:00.

109

ANEXO

TERMO

DE

CONSENTIMENTO

LIVRE

ESCLARECIDO
Voc est sendo convidado para participar, como voluntrio, em uma pesquisa.
Aps ser esclarecido(a) sobre as informaes a seguir, no caso de aceitar fazer parte
do estudo, assine ao final deste documento, elaborado em duas vias de um s teor.
Uma delas sua e a outra do pesquisador responsvel. Em caso de recusa voc
no ser penalizado (a) de forma alguma.

INFORMAES SOBRE A PESQUISA:

Ttulo do Projeto: Estratgias de Planejamento de Backup de Dados


Pesquisadora Responsvel: Eliana Mrcia Moraes
E-mail: eliana@unitau.br
Telefone para contato (inclusive ligaes a cobrar): (0XX12) 9131-8002
Esta pesquisa tem, como objetivo, colher subsdios para compor o conhecimento da
atualidade de Gesto de Backup de Dados, visando auxiliar os profissionais da rea
de Segurana da Informao no Planejamento de Backup de Dados.
Os respondentes so os responsveis pela Segurana da Informao, com mais de
um ano de trabalho em organizaes que possuem dados crticos, que precisam ser
mantidos por, no mnimo, dois anos.
Garante-se que no h riscos de qualquer natureza para os participantes desta
pesquisa.
Os respondentes so livres para recusarem-se a participar, retirarem seu
consentimento ou interromper a participao a qualquer momento. A participao
voluntria e a recusa em participar no ir acarretar qualquer penalidade.
As respostas sero consideradas confidenciais, com finalidade estritamente
acadmica, e utilizadas apenas para fins de pesquisa. Assim, no sero, sob qualquer
hiptese, repassados a outras pessoas ou instituies, ou utilizadas para outros fins.
Os

resultados

consolidados

da

pesquisa

sero

divulgados

posteriormente,

especialmente aos colaboradores, mas isso ser feito sem apontar as respostas
especficas de qualquer respondente.
Estas respostas obtidas sero analisadas e consolidadas em um relatrio,
identificando o que utilizado e indicado, pelos profissionais da rea de Segurana da

110

Informao, como principais estratgias para gesto e planejamento de Backup de


Dados.

Instrues para preenchimento do questionrio:

O questionrio dividido em duas partes: Definio do perfil de quem est


respondendo o questionrio e Colaborao para o entendimento da atualidade do
assunto Backup de Dados. entre perguntas fechadas e abertas.
O tempo mdio de preenchimento das 25 perguntas de 40 a 60 minutos.
Se por alguma razo (confidencialidade, informao incompleta ou quaisquer outras)
uma questo no puder ser respondida, esta poder ser ignorada. Apenas solicita-se
que no se deixe de responder s demais.
Quaisquer informaes adicionais podem ser enviadas em folhas avulsas anexas ao
questionrio.
Ressalta-se que isso no um teste, onde deveriam ser dadas as respostas exatas,
mas sim um instrumento de coleta de dados.
Para esclarecimento de eventuais dvidas, contate a pesquisadora responsvel.

Nome e Assinatura da pesquisadora: Eliana Mrcia Moraes ____________________

111

CONSENTIMENTO DA PARTICIPAO DA PESSOA COMO SUJEITO

Eu, _____________________________________, RG___________________, abaixo


assinado, concordo em participar do estudo Estratgias de Backup de Dados, como
sujeito. Fui devidamente informado e esclarecido pela pesquisadora Eliana Mrcia
Moraes sobre a pesquisa, os procedimentos nela envolvidos, assim como os possveis
riscos e benefcios decorrentes de minha participao. Foi-me garantido que posso
retirar meu consentimento a qualquer momento, sem que isto leve a qualquer
penalidade.
Local e data ____________________________
Nome: ____________________________________________

Assinatura: ____________________________________

____/____/______

112

ANEXO B - QUESTIONRIO
QUESTIONRIO DE PESQUISA SOBRE ESTRATGIAS DE PLANEJAMENTO DE
BACKUP DE DADOS
PARTE 1: DEFINIO DO PERFIL DE QUEM EST RESPONDENDO O QUESTIONRIO

Nome: _______________________________________________________
1- Voc responsvel pela Segurana da Informao onde trabalha?

( ) Diretamente
( ) Indiretamente (atravs de consultoria terceirizada)
2- H quanto tempo voc trabalha na rea de Segurana da Informao?
( ) 1 ano

( ) 2 anos

( ) mais de 2 anos

3- Voc fez/faz cursos na rea de Segurana da Informao?


( ) sim

( ) no

4- Como voc se mantm atualizado na rea de Segurana da Informao?


( ) cursos
( ) outros:

( ) palestras

( ) revistas

( ) internet

_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________

5- A(s) Empresa(s), onde voc trabalha, possui dados crticos, que precisam
ser mantidos por dois anos ou mais?
( ) sim

( ) no

113

PARTE 2: COLABORAO PARA O ENTENDIMENTO DA ATUALIDADE DO ASSUNTO


BACKUP DE DADOS
Em todas as questes voc pode assinalar vrias respostas e, ainda,
acrescentar outras consideraes que julgar importante.
A PLANO DE BACKUP DE DADOS
1- O que voc considera como principais razes para se ter um Plano de
Backup de Dados?

( ) Conformidade com leis e regulamentos nacionais


( ) Conformidade com leis e regulamentos internacionais
( ) Conformidade com padres de segurana, mesmo que no
obrigatrios
( ) Confiabilidade e crdito de clientes
( ) Concorrncia
( ) Proteo dos Dados
( ) Outros:

_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________

2- Qual(is) grupo(s) deve(m) participar do desenvolvimento do Plano de


Backup de Dados?
( ) Alta Administrao
( ) Superviso de TI
( ) Corpo tcnico de TI
( ) Corpo tcnico Administrativo
( ) Outros:

_______________________________________________
_______________________________________________
_______________________________________________

114

3- Classifique de 0 (nenhuma) a 3 (muita), a importncia de cada um dos


itens e, ao final, acrescente o que falta para um Plano de Backup de
Dados.
( ) Definio de responsabilidades
( ) Procedimentos para a Documentao dos mtodos e recursos
utilizados para o backup de dados
( ) Procedimentos para classificao da informao
( ) Procedimentos para se determinar o perodo de reteno das
informaes
( ) Procedimentos de nomeao de arquivos
( ) Procedimentos de como agendar o backup
( ) Procedimentos de armazenamento
( ) Procedimentos de escolha de software
( ) Procedimentos de escolha de hardware
( ) Procedimentos de escolha das mdias
( ) Procedimentos para transportes e guarda de mdias
( ) Procedimentos para se determinar o perodo de reteno das mdias
( ) Procedimentos para definir o local dos dados a serem
armazenados
( ) Procedimentos para transmisso dos dados para Backup Remoto
( ) Periodicidade da reviso do plano
( ) Outros:

_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________

115

4- Quem faz o que, em um Plano de Backup de Dados? Preencha as lacunas


com nmeros, de acordo com as seguintes definies:
1 - Alta administrao
2 - Superviso de TI
3 - Corpo tcnico de TI
4 - Corpo tcnico Administrativo

( ) Outros:
5 - ______________________
6 - ______________________
7 - ______________________

Obs.: Cada lacuna poder ser preenchida com mais de um, ou com
todos os nmeros.

) Definio de responsabilidades

) Procedimentos para a Documentao dos mtodos e


recursos utilizados para o backup de dados

) Procedimentos para classificao da informao

) Procedimentos para se determinar o perodo de reteno


das informaes

) Procedimentos de nomeao de arquivos

) Procedimentos de como agendar o backup

) Procedimentos de armazenamento

) Procedimentos de escolha de software

) Procedimentos de escolha de hardware

) Procedimentos de escolha das mdias

) Procedimentos para transportes e guarda de mdias

) Procedimentos para se determinar o perodo de reteno


das mdias

) Procedimentos para definir o local dos dados a serem


armazenados

) Procedimentos para transmisso dos dados para Backup


Remoto

) Periodicidade da reviso do plano

) _____________________________________________

) _____________________________________________

) _____________________________________________

116

B POLTICAS, RECOMENDAES E CERTIFICAES

5- Na Poltica de Segurana da Informao o que necessrio considerar


sobre Backup de Dados?
( ) Responsabilidades gerais de backup de dados
( ) Responsabilidades gerais de Recuperao de dados
( ) Obrigaes para documentao de processos e recursos para
Backup de Dados
( ) Referencias de documentaes para apoiar os procedimentos sobre
Backup de Dados.
( ) Conseqncias do no atendimento s normas sobre backup de
dados
( ) Outros:

_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________

6- No Plano de Continuidade de Negcios o que necessrio considerar


sobre Backup de Dados?
( ) Procedimentos de Recuperao de dados
( ) Contato dos Responsveis pela Recuperao e Backup de Dados
( ) Referncias de documentaes dos procedimentos de Recuperao
e Backup de Dados
( ) Outros:

_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________

117

7- Voc usa algum manual especfico para elaborar um Plano Backup de


Dados? Se sim, qual ou quais?
( ) sim,

______________________________________________
______________________________________________

( ) no
8- Quais as normas e/ou recomendaes que contm regras para Backup de
Dados, utilizados no seu ambiente de trabalho, para formulao de um
Plano de Backup de Dados?
( ) NBR ISO/IEC 17799
( ) Prticas de Segurana da Informao recomendadas pelo CERT
(Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurana no Brasil)
( ) Recomendaes e guias para Segurana do NIST (National Institute
of Standards and Technology)
( ) Outros:

_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________

9- Voc conhece alguma certificao em Gesto ou Planejamento de Backup


de Dados? Se sim, qual ou quais?
( ) sim,

______________________________________________
______________________________________________

( ) no

118

C TRATAMENTO E CLASSIFICAO DOS DADOS


10- Quais tratamentos que os dados precisam receber antes de serem
armazenados?

( ) Classificao
( ) Criptografia
( ) Compactao
( ) Permisses de acesso
( ) Outros:

_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________

11- O que voc considera necessrio para classificar os dados a serem


backapeados?

( ) Separao de arquivos, de programas e aplicaes


( ) Anlise de riscos
( ) Prioridade de Recuperao
( ) Perodo de reteno
( ) Permisses de acesso
( ) Datas de criao e atualizao
( ) Locais de armazenamento
( ) Outros:

_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________

119

D FACILIDADES DE BACKUP, DISPONIBILIDADE E RECUPERAO

12- O que voc considera como melhores estratgias para minimizar o tempo
para se fazer o Backup?
( ) Classificar a informao
( ) Fazer o Backup apenas dos dados necessrios
( ) Determinar a freqncia dos backups
( ) Executar o backup quando o sistema no est em operao
( ) Documentar os procedimentos e recursos utilizados para o Backup
de Dados
( ) Outros:

_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________

120

13- O que voc considera como melhores estratgias para se ter o Backup de
Dados sempre disponvel, e de rpida e fcil Recuperao?
( ) Manter uma equipe dedicada ao planejamento de Backup de Dados
( ) Nomear responsveis pelos Backups e Recuperao dos dados
( ) Estimar o tempo de Recuperao, incluindo o tempo de identificar
o problema e a soluo, de acordo com tipo o armazenamento
( ) Estabelecer prioridades nos procedimentos de Recuperao
( ) Selecionar e utilizar tecnologias (hardware, software e meios de
armazenamento) de Backup e Recuperao mais apropriadas
( ) Documentao dos mtodos de Recuperao e Backup de Dados
( ) Documentao com todas as responsabilidades e responsveis
pela Recuperao e Backup de Dados
( ) Ter planos para desastres, ou acontecimentos inesperados
( ) Outros:

_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________

121

E TECNOLOGIAS PARA BACKUP DE DADOS

14- O que voc considera necessrio para escolher tecnologias de hardware


e software para Backup de Dados?
( ) Criticidade da informao classificada
( ) Perodo de reteno dos dados
( ) Espao a ser ocupado pelos dados
( ) Rapidez para o backup e Recuperao dos dados
( ) Administrao e Gerenciamento simplificado do Backup e
Recuperao de dados
( ) Facilidade de utilizao
( ) Preo do produto/equipamento
( ) Outros:

_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________

15- O que voc considera necessrio para escolher mdias para Backup de
Dados?
( ) Criticidade da informao classificada
( ) Perodo de reteno dos dados
( ) Espao a ser ocupado pelos dados
( ) Facilidade de utilizao
( ) Rapidez para o backup e Recuperao dos dados
( ) Preo do produto
( ) Outros:

_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________

122

F BACKUP EM SITE REMOTO

16- Quando imprescindvel, ou obrigatrio o Backup Remoto?


( ) Quando os dados precisam de um longo perodo de reteno
( ) Para dados que precisam ser consultados continuamente
( ) Para atendimento a padres nacionais e internacionais
( ) outros:

_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________

17- O que voc considera necessrio para contratar um site de Backup


Remoto?
( ) Distncia geogrfica, e a probabilidade de acontecer um desastre
que atinja o backup local e remoto.
( ) Acessibilidade, ou tempo necessrio para se recuperar o backup
( ) Facilidades e velocidade de Conexes de rede e Internet
( ) Segurana fsica e lgica dos dados armazenados
( ) Estrutura do ambiente onde os dados so armazenados, como
controle de temperatura, umidade, preveno contra incndio, controles de
energia eltrica
( ) Conformidade da empresa contratada com padres de segurana
( ) Tecnologias avanadas
( ) Garantia de compatibilidade de software e aplicaes
( ) Preos
( ) outros:

_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________

123

G DOCUMENTAO

18- O que voc considera como melhores estratgias para se criar e manter a
documentao de Backup e Recuperao de Dados?
( ) Poltica para documentar todos os processo e recursos de Backup
e Recuperao de dados
( ) Padres e ferramenta de software adequada para documentao
( ) Backup da documentao de Backup e Recuperao de dados
( ) Avaliao e reviso da documentao de Backup e Recuperao
( ) Outros:

_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________

124

H TESTES E AVALIAES DO PLANO DE BACKUP DE DADOS

19- Qual(is) grupo(s) deve(m) ser responsveis por testar e avaliar o Plano de
Backup de Dados?
( ) Alta administrao
( ) Superviso de TI
( ) Corpo tcnico de TI
( ) Corpo tcnico Administrativo
( ) Outros:

_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________

20- Qual a periodicidade, voc considera importante, para testar e avaliar os


Planos de Backup de Dados?
( ) trimestralmente
( ) semestralmente
( ) anualmente
( ) Outra:

_______________________________________________
_______________________________________________