Você está na página 1de 34
GESTÃO DA SEGURANÇA DA INFORMAÇÃO CONCEITOS BÁSICOS ________________________________________________ 2 Dados, Informação e Conhecimento ___________________________________________ 2 Dado __________________________________________________________________________ 2 Informação______________________________________________________________________ 3 Conhecimento ___________________________________________________________________ 4 Quadro comparativo ______________________________________________________________ 5 Exemplos de Dado, Informação e Conhecimento ________________________________________ 6 Etapas de transformação ___________________________________________________________ 6 Tipos de Conhecimento ____________________________________________________________ 7 Tipologia da Informação ____________________________________________________ 7 Fonte Formal ____________________________________________________________________ 7 Fonte Informal ___________________________________________________________________ 7 Informações estruturadas ___________________________________________________________ 7 Informações não Estruturadas _______________________________________________________ 7 Informação de Atividade ___________________________________________________________ 8 Informações de Convívio __________________________________________________________ 8 Informação Estratégica ____________________________________________________________ 8 Conceito de Sistemas de Informação __________________________________________ 8 O VALOR DA INFORMAÇÃO PARA AS ORGANIZAÇÕES _________________ 13 LEIS DA INFORMAÇÃO __________________________________________________ 13 Plano de Contingência ________________________________________________ 15 Conceitos de Redundância e Contingência_____________________________________ 15 Falhas de Sistema _______________________________________________________________ 15 Redundância ___________________________________________________________________ 15 Contingência ___________________________________________________________________ 16 Plano de Contingência, Plano de Continuidade ou Plano de Desastre ______________ 18 Metodologia do Plano de Contingência _______________________________________________ 24 Definição de Equipes de Contingência _______________________________________________ 26 CONCEITOS BÁSICOS Dados, Informação e Conhecimento Existem três níveis básicos de saber que podem ser definidos segundo o grau de elaboração utilizado para se apreender, estruturar e dar sentido ao que é produzido através de observações e experimentações. São eles:  Dados: São o registro daqueles aspectos do fenômeno sendo estudado que um determinado investigador pôde captar. Correspondem a uma anotação bastante direta das observações, ou seja, com relativamente pouca elaboração ou tratamento. Uma vez coletados, são compreendidos como um reflexo razoavelmente confiável dos acontecimentos concretos.  Informação: É o resultado de uma organização, transformação e/ou análise de dados, ou seja, do seu tratamento de modo a produzir deduções e inferências lógicas confiáveis. Constitui uma leitura daquilo que o conjunto dos dados parece indicar.  Conhecimento: Argumentos e explicações que interpretam um conjunto de informações. Trata-se de conceitos e raciocínios lógicos essencialmente abstratos que interligam e dão significado a fatos concretos. Envolve hipóteses, teses, teorias e leis. O processo de construção de conhecimento científico envolve os dados, os quais representam a "matéria-prima" bruta, a partir dos quais as operações lógicas criam informações e, finalmente, estas últimas são interpretadas para gerar conhecimento. É o que está resumido no diagrama abaixo. Trata-se de caminho que forma a ponte entre o empírico e o teórico, com o fenômeno gerando dados, os dados gerando informações, e as informações gerando ou confirmando um conhecimento abstrato. Dado Dado é qualquer elemento identificado em sua forma bruta que, por si só, não conduz a uma compreensão de determinado fato ou situação. (Oliveira, 2005) Elemento que representa eventos ocorridos na empresa ou circunstâncias físicas, antes que tenham sido organizados ou arranjados de maneira que as pessoas possam entender e usar. (ROSINI e PALMISANO, 2003). São quantificáveis e os únicos passíveis de uma real definição: Símbolos Marcas Números Os dados emergem da percepção inicial do observador sobre a natureza do objeto: são identificados por características visuais ou simbólicas, mensuráveis. Definimos dado como uma seqüência de símbolos quantificados ou quantificáveis. Portanto, um texto é um dado. De fato, as letras são símbolos quantificados, já que o alfabeto por si só constitui uma base numérica. Também são dados imagens, sons e animação, pois todos podem ser quantificados a ponto de alguém que entra em contato com eles ter eventualmente dificuldade de distinguir a sua reprodução, a partir da representação quantificada, com o original. É muito importante notar-se que qualquer texto constitui um dado ou uma seqüência de dados, mesmo que ele seja ininteligível para o leitor. Isso ficará mais claro no próximo item. Como são símbolos quantificáveis, dados podem obviamente ser armazenados em um computador e processados por ele. Em nossa definição, um dado é necessariamente uma entidade matemática e, desta forma, puramente sintática. Isto significa que os dados podem ser totalmente descritos através de representações formais, estruturais. Dentro de um computador, trechos de um texto podem ser ligados virtualmente a outros trechos, por meio de contigüidade física ou por "ponteiros", isto é, endereços da unidade de armazenamento sendo utilizada. Ponteiros podem fazer a ligação de um ponto de um texto a uma representação quantificada de uma figura, de um som, etc. Informação Informação é o dado trabalhado que permite ao executivo tomar decisões. (Oliveira, 2005). Dado configurado de forma adequada ao entendimento e à utilização pelo ser humano (ROSINI e PALMISANO, 2003). Aquilo que leva à compreensão. São dados organizados de modo significativo, sendo subsídio útil à tomada de decisão. As informações são o resultado dos dados devidamente tratados, comparados, classificados, relacionáveis entre outros dados servindo para tomada de decisões e para melhor noção do objeto estudado. Informação é uma abstração informal (isto é, não pode ser formalizada através de uma teoria lógica ou matemática), que representa algo significativo para alguém através de textos, imagens, sons ou animação. Note que isto não é uma definição - isto é uma caracterização, porque "algo", "significativo" e "alguém" não estão bem definidos; assumimos aqui um entendimento intuitivo desses termos. Por exemplo, a frase "Paris é uma cidade fascinante" é um exemplo de informação - desde que seja lida ou ouvida por alguém, desde que "Paris" signifique a capital da França e "fascinante" tenha a qualidade usual e intuitiva associada com aquela palavra. Não é possível processar informação diretamente em um computador. Para isso é necessário reduzi-la a dados. No nosso caso, "fascinante" teria que ser quantificado, usando-se por exemplo uma escala de zero a quatro. Mas então, a nosso ver, isto não seria mais informação. A representação da informação pode eventualmente ser feita por meio de dados. Nesse caso, pode ser armazenada em um computador. Mas, atenção, o que é armazenado na máquina não é a informação, mas a sua representação em forma de dados. Essa representação pode ser transformada pela máquina - como na formatação de um texto - mas não o seu significado, já que este depende de quem está entrando em contato com a informação. Por outro lado, dados, desde que inteligíveis, são sempre incorporados por alguém como informação, porque os seres humanos (adultos) buscam constantemente por significação e entendimento. Quando se lê a frase "a temperatura média de Paris em dezembro é de 5oC", é feita uma associação imediata com o frio, com o período do ano, com a cidade particular, etc. Note que "significação" não pode ser definida formalmente. Vamos considerá-la aqui como uma associação mental com um conceito, tal como temperatura, Paris, etc. O mesmo acontece quando vemos um objeto com um certo formato e dizemos que ele é "circular", associando - através do nosso pensamento - nossa representação mental do objeto percebido com o conceito "círculo". Uma distinção fundamental entre dado e informação é que o primeiro é puramente sintático e o segundo contém necessariamente semântica (implícita na palavra "significado" usada em sua caracterização). É interessante notar que é impossível introduzir semântica em um computador, porque a máquina mesma é puramente sintática (assim como a totalidade da matemática). Se examinássemos, por exemplo, o campo da assim chamada "semântica formal" das "linguagens" de programação, notaríamos que, de fato, trata-se apenas de sintaxe expressa através de uma teoria axiomática ou de associações matemáticas de seus elementos com operações realizadas por um computador (eventualmente abstrato). De fato, "linguagem de programação" é um abuso de linguagem, porque o que normalmente se chama de linguagem contém semântica. (Há alguns anos, em uma conferência pública, ouvimos Noam Chomsky - o pesquisador que estabeleceu em 1959 o campo das "linguagens formais" e que buscou intensivamente por "estruturas profundas" sintáticas na nossa linguagem e no cérebro -, dizer que uma linguagem de programação não é de forma alguma uma linguagem.) Outros abusos usados no campo da computação, ligados à semântica, são "memória" e "inteligência artificial". Estamos em desacordo com o seu uso porque nos dão, por exemplo, a falsa impressão de que a nossa memória é equivalente em suas funções aos dispositivos de armazenamento computacional, ou vice-versa. John Searle, o autor da famosa alegoria do Quarto Chinês, demonstrando que os computadores não possuem qualquer entendimento, argumentou que os computadores não podem pensar porque lhes falta a nossa semântica Inspirados pela alegoria de Searle, vamos esclarecer um pouco mais os nossos conceitos. Suponhamos que temos uma tabela de nomes de cidades, meses (representados de 1 a 12) e temperaturas médias, de tal forma que os títulos das colunas e os nomes das cidades estão em chinês. Para alguém que não sabe nada de chinês nem de seus ideogramas, a tabela constitui-se de puros dados. Se a mesma tabela estivesse em português, seria informação, para brasileiros ou portugueses capazes de lê-la. Conhecimento Conhecimento é o conjunto de ferramentas conceituais e categorias usadas pelos seres humanos para criar, colecionar, armazenar e compartilhar a informação (LAUDON e LAUDON,1999). Definições e compreensões que a pessoa já tem sobre o mundo. Referencial teórico. Modelo da realidade a partir de informações construídas com base em dados observados. Conhecimento é uma abstração interior, pessoal, de alguma coisa que foi experimentada por alguém. No nosso exemplo, alguém tem algum conhecimento de Paris somente se a visitou. Nesse sentido, o conhecimento não pode ser descrito inteiramente - de outro modo seria apenas dado (se descrito formalmente e não tivesse significado) ou informação (se descrito informalmente e tivesse significado). Também não depende apenas de uma interpretação pessoal, como a informação, pois requer uma vivência do objeto do conhecimento. Assim, quando falamos sobre conhecimento, estamos no âmbito puramente subjetivo do homem ou do animal. Parte da diferença entre ambos reside no fato de um ser humano poder estar consciente de seu próprio conhecimento, sendo capaz de descrevê-lo parcial e conceitualmente em termos de informação, por exemplo, através da frase "eu visitei Paris, logo eu a conheço" (estamos supondo que o leitor ou o ouvinte compreendam essa frase). Em nossa caracterização, os dados que representam uma informação podem ser armazenados em um computador, mas a informação não pode ser processada quanto a seu significado, pois depende de quem a recebe. O conhecimento, contudo, não pode nem ser inserido em um computador por meio de uma representação, pois senão foi reduzido a uma informação. Assim, neste sentido, é absolutamente equivocado falar-se de uma "base de conhecimento" em um computador. No máximo, podemos ter uma "base de informação", mas se é possível processá-la no computador e transformá-la em seu conteúdo, e não apenas na forma, o que nós temos de fato é uma tradicional "base de dados". Associamos informação à semântica. Conhecimento está associado com pragmática, isto é, relaciona-se com alguma coisa existente no "mundo real" do qual temos uma experiência direta. (De novo, assumimos aqui um entendimento intuitivo do termo "mundo real".) Quadro comparativo Dados, Informação e Conhecimento Dados Informação Conhecimento Simples observações Dados dotados de Informação valiosa da sobre o estado do relevância e propósito mente humana mundo Inclui reflexão, síntese, contexto  Facilmente  Requer unidade de  De difícil estruturação estruturado análise  De difícil captura em  Facilmente obtido por  Exige consenso em máquinas máquinas relação ao significado  Freqüentemente tácito  Freqüentemente  Exige  De difícil transferência quantificado necessariamente a  Facilmente mediação humana transferível FONTE: Davenport, Prusak - 1998 - p.18 Um dado é puramente objetivo - não depende do seu usuário. A informação é objetiva- subjetiva no sentido que é descrita de uma forma objetiva (textos, figuras, etc.), mas seu significado é subjetivo, dependente do usuário. O conhecimento é puramente subjetivo - cada um tem a experiência de algo de uma forma diferente. A competência é subjetiva- objetiva, no sentido de ser uma característica puramente pessoal, mas cujos resultados podem ser verificados por qualquer um. Exemplos de Dado, Informação e Conhecimento Dado: 100 e 5 %, fora de contexto, são dados assim como os termos depósito e taxa de juros. Informação: se conta de poupança no banco for contextualizado, depósito e taxa de juros começam a ter sentido. Conhecimento: Se eu deposito R$ 100,00 em minha conta poupança e o banco paga 5% de juros, ao final do ano terei R$ 105,00 na conta. Etapas de transformação Transformar Dados em Informação Contextualizar: Conhecer a Finalidade; Categorizar: Conhecer os componentes essenciais; Calcular: Analisar Matemática ou Estatisticamente; Corrigir: Eliminar erros dos dados; Condensar: Resumi-los de forma concisa; Transformar Informação em Conhecimento Comparações: Confrontar as informações; Conseqüências: Levantar implicações dessas informações com decisões e tomadas de ações; Conexões: Verificar relações do novo conhecimento com aqueles já existentes; Conversação: Levantar opinião de outras pessoas; Tipos de Conhecimento Explícito: Transformados em documentos, roteiros e treinamentos; Tácito: É aquele difícil de registrar, documentar ou ensinar as pessoas; O conhecimento existe:  No indivíduo;  Em um grupo de indivíduos;  Na organização; Tipologia da Informação Fonte Formal  Imprensa;  Base de dados;  Informações científicas;  Informações técnicas;  Documentos da empresa; Fonte Informal  Seminários;  Congressos;  Visitas a clientes;  Agências de publicidade;  Informações de mercado sobre produtos, clientes, fornecedores, etc. Informações estruturadas  Seguem um padrão previamente definido.  Exemplo: Um formulário com os campos preenchidos. Informações não Estruturadas  Não seguem um padrão definido.  Exemplo: Um artigo de revista. Informação de Atividade  Permite a organização garantir seu funcionamento.  Costuma ser estruturado e normalmente direcionado ao nível operacional.  Exemplo: Pedidos de compra, nota fiscal de saída, custo de implementação de um projeto. Informações de Convívio  Possibilita aos indivíduos se relacionarem, podem influenciar seus comportamentos.  Geralmente não estruturada e presente em todos os níveis da organização.  Exemplo: Jornal interno, reunião de serviço, ação publicitária. Informação Estratégica  Capaz de melhorar o processo decisório.  Reduz o grau de incerteza.  Subsidia a definição dos objetivos organizacionais.  Exemplo: Curva ABC de clientes, preços praticados pela concorrência, etc. Conceito de Sistemas de Informação Sistema: Um sistema é um conjunto de elementos que interagem para se atingir metas ou objetivos. Basicamente, um sistema possui os seguintes elementos: - Entrada: envolve captação e reunião de elementos que entram no sistema para serem processados. - Processamento: envolve processos de transformação que converte insumo (entrada) em produto. - Saída: envolve a transferência de elementos produzidos por um processo de transformação até o seu destino final. Exemplos de Sistemas: - Um sistema de produção recebe matérias-primas como entrada e produz produtos acabados como saída. - Um sistema de informação também é um sistema que recebe recursos ( dados ) como entrada e os processa em produtos (informação) como saída. O conceito de sistema se torna ainda útil pela inclusão de mais um componente: feedback ou realimentação. A incorporação deste componente a um sistema faz com que este se torne auto-monitorado ou auto-regulado. Feedback ou Realimentação é uma saída usada para fazer ajustes ou modificações nas atividades de entrada ou processamento. Assim, os erros ou problemas podem fazer com que os dados de entrada sejam corrigidos ou que um processo seja modificado. Subsistema ou ambiente de sistema: Um sistema sempre funciona em um ambiente que contém outros sistemas. Se um sistema for um componente de um sistema maior, ele é um subsistema. A fronteira de um sistema separa-o de um ambiente e de outros sistemas. Vários sistemas podem ser conectados entre si por meio um limite compartilhado ou interface. A forma pela qual os elementos do sistema estão interligados é chamada configuração. As relações entre os elementos de um sistema são definidas através de conhecimento. Em muitos casos, saber o objetivo do sistema é o primeiro passo para se definir a forma como os elementos do sistema são configurados. Classificação dos Sistemas: Os sistemas podem ser classificados como simples ou complexos, abertos ou fechados, estáveis ou dinâmicos, adaptáveis ou não adaptáveis, permanentes ou temporários.  Simples ou Complexos: Um sistema simples é aquele que possui poucos elementos ou componentes e a relação entre componentes ou elementos não é complicada e direta. Já um sistema complexo possui muitos elementos que são altamente relacionados e inter-conectados. Na realidade a maioria dos sistemas se situa em um estágio contínuo entre simples e complexo.  Aberto ou Fechado: Um sistema aberto interage com seu ambiente. Em outras palavras, há um fluxo de entradas e saídas por todos os limites do sistema. Um sistema fechado não possui qualquer interação com o ambiente. Por isso é que existem poucos sistemas deste tipo.  Estável ou Dinâmico: Um sistema estável é aquele que mudanças no ambiente resultam em pouca ou nenhuma mudança no sistema. Um sistema dinâmico é o que sofre mudanças rápidas e constantes devido a mudança de seu ambiente.  Adaptáveis ou Não Adaptáveis: Os conceitos sobre adaptáveis e não adaptáveis estão relacionados a estabilidade e dinâmica. Um sistema adaptável é aquele que responde ao ambiente mutável. Em outras palavras, é aquele que monitora o ambiente e recebe modificações em resposta a mudança do ambiente. O sistema não adaptável é aquele que não muda com o ambiente mutável.  Permanente ou Temporário: O sistema permanente é o que existe ou existirá por um longo período de tempo, geralmente 10 anos ou mais. O sistema temporário é aquele que existirá por um curto espaço de tempo. Modelando um Sistema: O mundo real é complexo e dinâmico. Por isso que usamos modelos no lugar de sistemas reais. Um modelo é uma abstração da realidade ou uma simulação do que é realidade. Há inúmeros tipos diferentes de modelos e os principais veremos a seguir:  Modelo Narrativo: Um modelo narrativo, como o próprio nome já diz, se baseia em palavras. As descrições das realidades, tanto verbais como escritas, são consideradas modelos narrativos. Em uma empresa, relatórios, documentos e conversas referentes a um sistema, são todos narrativas importantes.  Modelo Físico: Um modelo físico é uma representação tangível da realidade. Muitos modelos físicos são construídos por computador.  Modelo Esquemático: Um modelo esquemático é a representação gráfica da realidade. Gráficos, mapas, figuras, ilustrações e fotografia são tipos de modelos esquemáticos. Os modelos esquemáticos são usados em grande parte no desenvolvimento de programas e sistemas de computador. Fluxogramas de programas mostram como os programas podem ser desenvolvidos. Diagramas de fluxo de dados mostram como os dados fluem dentro através de uma organização.  Modelo Matemático: Um modelo matemático é a representação aritmética da realidade. Estes modelos são utilizados em todas as áreas de negócios. Sistema de Informação: Um sistema de informação é um tipo especializado de sistema, podendo ser definido como um conjunto de componentes inter-relacionados trabalhando juntos para coletar, recuperar, processar, armazenar e distribuir a informação com a finalidade de facilitar o planejamento, o controle, a coordenação, a análise e o processo decisório em empresas e organizações. O conceito de Sistemas de Informação (SI) deriva do conceito de sistema como atividade humana, o qual pode envolver, ou não, a utilização de computadores. O SI funciona, portanto, como suporte às ações e decisões humanas e depende do contexto em que estão inseridos. Os sistemas de informações contêm informações sobre pessoas, lugares e coisas de interesse, no ambiente, ao redor, e dentro da própria organização. Seguindo a definição da teoria dos sistemas, um sistema de informação também é composto de elementos que coletam ( entrada ) , manipulam e armazenam ( processo ), disseminam (saída) os dados e informações e fornecem o mecanismo de feedback ( realimentação ). Sistemas de Informação Manuais e Computadorizados: Muitos dos sistemas de informação começaram com sistemas manuais e depois se tornaram computadorizados. Esta migração ocorreu porque um sistema manual não é prático e sujeito a falhas. E, desta maneira, acaba sendo ineficiente. Recursos e Tecnologias dos Sistemas de Informação: O sistema de informação baseado em computador (SIBC) é composto por hardware, software, banco de dados, telecomunicações, pessoas e procedimentos que estão configurados para coletar, armazenar e processar dados em informação. A seguir vamos discutir cada um destes componentes.  Recursos de Hardware: consiste no equipamento do computador usado para executar as atividades de entrada, processamento e saída. Os dispostivos de entrada incluem o teclado, os dispositivos de escaneamento automático, e outros dispositivos de leitura de dados. Os dispositivos de processamento incluem Unidade Central de Processamento (CPU), memória e dispositivos de armazenagem. Há muitos dispositivos de saída, incluindo as impressoras e monitores.  Recursos de Software: consistem nos programas e instruções dadas ao computador e ao usuário. Estes programas e instruções permitem o computador processar diversos aplicativos com rapidez, qualidade e baixo custo.  Recursos de Armazenamento: é uma coleção organizada de fatos e informações. O banco de dados é uma das partes mais valiosas de um sistema de informação baseado em computador.  Recursos Humanos: é o elemento mais importante em um sistema de informação baseado em computador. Os profissionais que trabalham com sistemas de informações incluem todas as pessoas que gerenciam, executam, programam e mantêm o sistema do computador. Os usuários são os administradores, tomadores de decisão, colaboradores e outros usuários que utilizam o computador em seu benefício.  Procedimentos: incluem as estratégicas, políticas, métodos e regras usadas pelo homem para operar o SIBC. Papéis Fundamentais dos Sistemas de Informação nas Empresas: Os sistemas de informação desempenham 3 papéis vitais em qualquer tipo de organização:  Suporte de seus processos e operações  Suporte nas tomadas de decisões de seus funcionários e gerentes  Suporte em suas estratégias em busca de vantagem competitiva Tipos de Sistemas de Informação: Em termos conceituais, os sistemas de informação podem ser classificados de maneiras diferentes. Algumas delas veremos a seguir.  Sistema de Apoio a Operações: Existem 3 tipos principais de sistemas de apoio a decisões: o Sistema de Processamento de Transações: o objetivo deste tipo de sistema é reduzir custos através de automatização de rotina. Um dos primeiros sistemas empresariais a ser computadorizado foi o sistema de folha de pagamento. Como estes sistemas tratavam e processavam transações, foram chamados de sistemas de processamento de transações. o Sistema de Controle de Processos: monitoram e controlam processos físicos. o Sistemas Colaborativos: aumentam as comunicações e produtividade das equipes e grupos de trabalho.  Sistema de Apoio Gerencial: existem 3 tipos principais de sistema de apoio gerencial: o Sistema de informação gerencial: foram criados a partir da década de 1960 e são caracterizados pelo uso do sistema de informação para produzir relatórios gerenciais. o Sistema de apoio à decisão: nas décadas de 1970 e 1980, grandes aperfeiçoamentos da tecnologia resultaram em sistemas de informação que custavam menos e eram muito mais poderosos. Pessoas de todas as áreas da empresa passaram a usar microcomputadores para fazer uma variedade de tarefas e não dependiam mais de um setor específico para realizar as suas atividades. Neste período foi constatado que um sistema de informação baseado em computador poderia dar apoio adicional a tomada de decisão. o Sistema de Informação Executiva: fornecem informações críticas em quadros de fácil visualização para uma multiplicidade de gerentes/administradores. O VALOR DA INFORMAÇÃO PARA AS ORGANIZAÇÕES Alguns estudiosos analisam a informação como um bem empresarial, portanto, na linguagem contábil essa passa a ser um ativo e como tal deve ser preservado e ter seu valor mensurado (neste aspecto, referência especial à 2º e 4º leis). Considerando que na Administração a máxima é o clássico “P2OC3” = “Prever/Planejar/Organizar/Coordenar/Controlar/Comandar”, torna-se imperativo o uso de informações para fazê-lo. LEIS DA INFORMAÇÃO 1ª Lei - A informação é compartilhável. 2ª Lei - O valor da informação aumenta com o uso. 3ª Lei - A informação é perecível. 4ª Lei - O valor da informação aumenta com a precisão. 5ª Lei - O valor da informação aumenta quando há combinação de informações. 6ª Lei - Mais informação não é necessariamente melhor. 7ª Lei – A Informação se Multiplica. 1ª Lei - A informação é compartilhável.  Compartilhável infinitamente, ao contrário de ativos comuns.  Utilizável simultaneamente por inúmeras pessoas, sem desgastar-se.  Utilizável para público interno ou externo às corporações.  Compartilhamento da informação é diferente de reinserção da informação. 2ª Lei - O valor da informação aumenta com o uso.  O valor da informação justifica-se na medida em que ela se torna FATOR DE APOIO À DECISÃO e tal decisão resulte em PRODUTIVIDADE (mensurável objetivamente). Outrossim, a informação tem mais valor à medida que os envolvidos na tomada de decisão possam agir sinergicamente.  O valor empresarial de uma informação é diferente do valor financeiro de uma informação. Imagine o quanto vale a informação da fórmula da Coca-cola??? Então, a informação é um ativo (patrimônio) e como tal deve ser preservado.  O uso da informação a valoriza, desde que, o seja pelas pessoas certas, pois, se uma informação se torna de domínio público, ocorrerá de que o seu uso aumentou de forma imensurável, contudo o seu valor pode até deixar de existir, pois, foi banalizada. Compreende?!?!  Assim, a informação carece dos Princípios da Segurança: Autenticidade, Legitimidade, Privacidade, Confiabilidade, Inviolabilidade (Ver ANDREWS TANEMBAUM).  A informação só terá seu valor acrescido (aumentado) se estiver disponível, compartilhada e no tempo certo, pois, pode estar defasada (desatualizada).  Sempre lembrar de que a informação é um ativo intangível e isso a torna difícil de valorar. 3ª Lei - A informação é perecível.  Sugere-se que a informação perde parte de seu valor com o tempo.  Imagine se uma Grande Rede de Varejo descobre o “Plano de Marketing” de seu maior concorrente antes ou durante a implementação do mesmo. Ocorrerá de que com o passar do tempo suas ações já serão previsíveis e até mesmo antecipadas pelo concorrente. Mesmo sem a tal descoberta antecipada do Plano de Marketing, com o tempo até mesmo pela observação direta, o concorrente “terá” tais informações. 4ª Lei - O valor da informação aumenta com a precisão.  Inicialmente, o termo precisão, não deve ser sinônimo de necessidade. Mas, sim, de FIDEDIGNIDADE da informação.  Quanto mais precisa, mais útil é a informação.  Quanto mais útil, mais valiosa se torna.  Informações com baixa precisão, ou melhor dizer: INEXATAS, podem resultar em grandes prejuízos na medida em que levam à Tomada de decisão equivocada.  Em “Sistemas de Missão Crítica”, a informação deve ter altíssima precisão (100%). Como exemplo, imagine um controle de vôo, contas bancárias, ou mesmo um sistema de monitoramento de uma UTI. 5ª Lei - O valor da informação aumenta quando há combinação de informações.  Combinação de informações é diferente de integração de informações.  Muitos interpretam (equivocadamente a nosso ver), que tal lei é fruto dos sistemas integrados de gestão. 6ª Lei - Mais informação não é necessariamente melhor.  ENTROPIA (excesso de informação que extrapola a capacidade de leitura das mesmas pelo receptor...).  Considere a relação Quantidade versus Qualidade das informações.  Necessidade de “filtros” quanto a destinação relevante de uma informação, para salvaguardar que se ultrapasse a capacidade humana de processamento de informações. 7ª Lei – A Informação se Multiplica.  A Informação é um recurso não finito, o que alguns autores chamam de “autogeneração” decorrente da síntese, análise ou combinação de uma informação de origem com outras.  A título de ilustração, considere a relação entre dois diferentes bancos de dados, um que controla itens vendidos (controle de estoque) e outro que controla a parte de pagamentos (controle financeiro) cujo “relacionamento” entre ambos pode resultar numa informação como “Item mais vendido e meio de pagamento mais utilizado para compra do mesmo”. Esse relacionamento entre informações, faz com que a 7º lei esteja intimamente ligada a 5º lei.  Considere ainda, que um novo uso para uma informação já conhecida, aumenta o “ciclo de vida da informação”, alguns denominam tal característica como reciclagem da informação.  No campo da Administração de Sistemas de Informação, a ênfase das “Leis da Informação”, está em subsidiar a tomada de decisão e não no simples aspecto comunicacional ou de sua transmissão que embora importante, já seria campo da “Teoria da Informação e Codificação” (fonte, canal, ruído, destino, etc.) de Claude Shannon. Plano de Contingência Conceitos de Redundância e Contingência O projeto bem sucedido de uma rede de computadores pode ser representado pela capacidade desta em oferecer os serviços essenciais requeridos por seus usuários e por preservar os seus principais componentes na eventual ocorrência de falhas. A fim de prevenir eventuais falhas e oferecer alternativas que evitem que estas acarretem maiores prejuízos, se faz necessário que os projetos contemplem planos de redundância e contingência constituídos por uma série de ações e procedimentos que visam soluções e dispositivos de recuperação relacionados com essas falhas. Falhas de Sistema No ambiente dos sistemas computacionais podemos destacar vários aspectos críticos que podem ser considerados pontos de falhas potenciais para o sistema: cabeamento, servidores, subsistemas de disco, softwares aplicativos e de apoio, entre outros. Nesse contexto, as falhas são consideradas como eventos danosos, provocados por deficiências no sistema ou em um dos elementos internos dos quais o sistema dependa. As falhas podem ser derivadas de erros no projeto do software, degradação do hardware, erros humanos ou dados corrompidos. Entretanto, só existem duas variáveis para a paralisação temporária de uma rede em função de condições de falha que, normalmente, não se podem definir ou prever: Indisponibilidade – Corresponde ao período de inatividade ou "downtime" da rede/sistema (programado ou não). As características do projeto devem ser suficientes para garantir que a informação seja replicada automaticamente do ambiente de produção para o ambiente de contingência, de forma que o tempo de indisponibilidade do sistema seja reduzido, melhorando o nível de serviço e atendendo às exigências dos usuários; Instabilidade - é imprescindível conhecer quais são os parâmetros considerados como normais dentro do ambiente. A correta definição de métricas de qualidade, bem como a implantação de mecanismos de coleta e controle de variáveis do sistema são imprescindíveis para a configuração de ações de correção imediatas e de análises de tendências. Redundância O termo redundância descreve a capacidade de um sistema em superar a falha de um de seus componentes através do uso de recursos redundantes, ou seja, um sistema redundante possui um segundo dispositivo que está imediatamente disponível para uso quando da falha do dispositivo primário do sistema. Um sistema computacional redundante caracteriza-se, pois, por possuir componentes como sistemas de ventilação e ar condicionado, sistemas operacionais, unidades de disco rígido, servidores de rede, links de comunicação e outros, instalados para atuarem como backups das fontes primárias no caso delas falharem. Essa redundância está presente, por exemplo, nos sistemas embarcados de aviação, quando impõe que aviões comerciais possuam dois computadores de bordo, dois sistemas para controle dos trens de aterrissagem, etc. Se um sistema falhar, deve ser o outro sistema tão eficiente e operacional como o primeiro, pronto para entrar em operação, testado, treinado e suficiente. Outro exemplo bem conhecido de um sistema redundante em redes de computadores é o RAID (Redundant Array of Independent Disks). Figura 1 - Exemplo de rede redundante No exemplo da figura acima, com a falha do roteador primário, imediatamente o secundário entrará em atividade de forma a manter o funcionamento ininterrupto da comunicação da rede local com o ambiente externo (Internet). Outro exemplo de redundância está em múltiplas estações de trabalho usadas para monitorar uma rede. A perda de uma estação não prejudica a visualização ou a operação do sistema. Nesse caso, um servidor de banco de dados (igualmente redundante) garante que nenhuma informação seja perdida, na hipótese de falha do servidor primário. Podemos ter também a redundância física de um subsistema de alimentação de energia, projetado para prover chaveamento automático no caso de falha pelo acréscimo de uma segunda fonte. Nesse subsistema redundante, as fontes possuem a mesma capacidade e, no caso de falha de uma delas, a outra assume instantaneamente toda a carga da rede. Outro aspecto que deve ser considerado é a contingência operacional proporcionada pela redundância de equipamentos. Quanto maior a vulnerabilidade de um sistema dentro de uma rede, maior a redundância necessária para garantir a integridade dessa rede. Em alguns casos, porém, a simples contingência representada pela redundância dos equipamentos e do processo de backup não são suficientes para tornar o "downtime" compatível com a necessidade operacional da empresa. Contingência Define-se contingência como a possibilidade de um fato acontecer ou não. É uma situação de risco existente, mas que envolve um grau de incerteza quanto à sua efetiva ocorrência. As ações de contingenciamento são encadeadas, e por vezes sobrepostas, de acordo com procedimentos previamente acordados no projeto da rede. O seqüenciamento das ações depende dos acontecimentos que precederam o evento (contingência) bem como das condições contextuais que vão sendo construídas no próprio processo, ou seja, o processo de contingenciamento é construído e negociado à medida que a interação se processa. Sucintamente, as condições necessárias para a existência de uma contingência são: possibilidade de um acontecimento futuro resultante de uma condição existente, incerteza sobre as condições operacionais envolvidas e a resolução destas condições dependerem de eventos futuros. Plano de contingência Trata-se do conjunto de procedimentos e medidas de segurança preventivas, previamente planejadas, a serem adotados após a ocorrência de uma falha, que permitem o restabelecimento da rede de comunicação/sistema em caso de situações anormais (falha de hardware, base de dados corrompida, perda de link de comunicação, destruição de prédios, entre outras), com o objetivo de minimizar os impactos da mesma. O projeto do contingenciamento do sistema deve estar baseado em políticas que visem alta disponibilidade de informações e sistemas, através de suporte técnico, sistemas de segurança, esquemas de backup, planos de contingência, redundância de equipamentos e canais de comunicação e gerenciamento pró-ativo. O objetivo é implantar, conectado à estrutura de rede de computadores, um plano de acesso seguro, eficiente e gerenciado, capaz de restabelecer as funções críticas numa situação excepcional. Os planos de contingência são desenvolvidos para cada ameaça considerada em cada um dos processos do negócio pertencentes ao escopo, definindo em detalhes os procedimentos a serem executados em estado de contingência. Na implementação do plano devem ser avaliados os principais riscos que podem fazer o sistema parar. Para isso, deve-se proceder ao levantamento dos impactos dessa parada em cada área de negócio e estimar quanto tempo levaria para restabelecer o processamento para cada risco e para cada área. Plano de Contingência, Plano de Continuidade ou Plano de Desastre Após a ocorrência de um incidente de segurança, os profissionais de TI de sua empresa sabem exatamente como agir para que seu negócio volte a operar em tempo mínimo? Um plano de contingência, devidamente documentado e atualizado, ajuda a atingir esse objetivo. Garantir a continuidade do negócio tornou-se uma preocupação atual e prioritária para os responsáveis dos sistemas de informação das organizações, já que atualmente a maioria das empresas depende de seus recursos computacionais para operar normalmente. Incidentes ou eventualidades que provoquem a parcial ou total paralisação desses recursos podem ocorrer a qualquer momento e, para que o problema seja sanado no menor tempo possível (de forma que a empresa dê continuidade aos seus processos de trabalho já em andamento e, além disso, não perca novas oportunidades de negócio), é preciso adotar medidas emergenciais - ou contingenciais. Objetivos do plano de contingência O principal objetivo de um plano de contingência é dar providência imediata invocando os procedimentos de recuperação dos sistemas corporativos, considerando o tempo de espera previsto para restabelecimento da atividade definido pelos gestores do sistema. Para cada sistema corporativo, hierarquicamente definido segundo o grau de criticidade e processamento, são previstos o tempo de paralisação possível e ações subseqüentes para seu restabelecimento. De forma global, as ocorrências de falhas mais comuns são: Vírus, perda de disco rígido, perda de um servidor da rede ou de uma ligação de rede, alteração/atualização de software, falha de sistema de suporte (ar condicionado e/ou de energia, por exemplo), avarias mecânicas do hardware, etc. Composição do plano de contingência Os planos de contingência estão subdivididos em três módulos distintos e complementares que tratam especificamente de cada momento vivido pela empresa:  Plano de Administração de Crise – Tem o propósito de definir passo-a-passo o funcionamento das equipes envolvidas com o acionamento da contingência antes, durante e depois da ocorrência do incidente. Além disso, tem que definir os procedimentos a serem executados pela mesma equipe no período de retorno à normalidade. O comportamento da empresa na comunicação do fato à imprensa é um exemplo típico de tratamento dado pelo plano;  Plano de Continuidade Operacional – Tem o propósito de definir os procedimentos para contingenciamento dos ativos que suportam cada processo de negócio, objetivando reduzir o tempo de indisponibilidade e, conseqüentemente, os impactos potenciais ao negócio. Orientar as ações diante da queda de uma conexão à Internet, exemplifica os desafios organizados pelo plano;  Plano de Recuperação de Desastres – Tem o propósito de definir um plano de recuperação e restauração das funcionalidades dos ativos afetados que suportam os processos de negócio, a fim de restabelecer o ambiente e as condições originais de operação. Descreve as medidas que uma empresa deve tomar, incluindo a ativação de processos manuais ou o recurso a contratos, para assegurar a continuidade dos processos do negócio no caso de falha no sistema de informações. Um plano de contingência deve se caracterizar pelos seguintes aspectos:  Ser desenvolvido por uma equipe de trabalho que envolva todas as áreas de conhecimento e de negócio da empresa a qual o plano de contingência diz respeito;  Ser avaliado periodicamente;  Estar disponível em local reservado e seguro, mas de fácil acesso ao pessoal autorizado. O plano de contingência provê a avaliação de todas as funções de negócio juntamente com a análise do ambiente de negócios em que a empresa se insere, ganhando-se uma visão objetiva dos riscos que ameaçam a organização. A metodologia para a implantação de um plano de contingência consiste em seis etapas: 1. Avaliação do projeto: escopo e aplicabilidade; 2. Análise de risco; 3. Análise de impacto em negócios; 4. Desenvolvimento dos planos de recuperação de desastres; 5. Treinamento e teste dos planos; 6. Implementação e manutenção. Um exemplo de plano de contingência para uma rede de computadores quanto à prevenção de falhas nos sistemas de suporte, na infra-estrutura e nos processos é exemplificado a seguir: Sistemas de suporte Tipo de falha Medida Identificar os sistemas (elevadores, ar-condicionado, aquecimento central, ventilação, temperatura, etc) e avaliá- los quanto: Falha de sistema  À sua conformidade com os parâmetros de projeto, observando a existência de sistemas proprietários;  A criticidade deste tipo de sistemas para o funcionamento da rede;  Definir regras de utilização destes sistemas, de modo a não pôr em risco o funcionamento da empresa e a segurança dos usuários dos sistemas. Infra-estrutura Tipo de falha Medida  Prever sistema alternativo de fornecimento de energia;  Definir o período de autonomia para o sistema;  Prover os recursos necessários para o funcionamento do sistema alternativo durante o Energia elétrica período de autonomia pretendido;  Identificar as áreas prioritárias para o abastecimento de energia.  Providenciar meios alternativos de comunicação para receber e transmitir as informações; Comunicações  Considerar a hipótese de antecipar processamentos e/ou reativar processos manuais; Alguns equipamentos necessitam, para o seu correto funcionamento, de determinadas condições de temperatura e umidade. Prevendo uma eventual falha nos mecanismos de controle e reposição dessas condições, deve-se: Controle Ambiental  Criar meios alternativos para fornecer as condições mínimas de funcionamento;  Definir períodos de funcionamento no sentido de minorar a degradação das condições ambientais.  Devem ser colocados em controle manual; Sistemas de  Prever o eventual reforço de meios mecânicos de combate a combate a incêndio. incêndios Uma eventual falha ao nível dos transportes pode impossibilitar o acesso das pessoas ao seu local de trabalho, inviabilizando o funcionamento da organização: Transportes  Viabilizar formas de transporte alternativas, da própria organização ou terceiros, desde que as falhas de abastecimento de combustíveis não sejam a um nível global. Neste caso, um planejamento de contingência será ineficaz caso não existam medidas a outro nível que garantam um abastecimento em função das necessidades e prioridades da sociedade em geral. Processos Um sistema computacional que possua um plano de contingência deve reagir a um efeito danoso e dele se recuperar mesmo antes da causa ter sido identificada e prevenir a ocorrência de falhas indesejáveis e, simultaneamente, definir as medidas e pôr em prática se essas falhas de fato vierem a ocorrer. Equivale a afirmar que reação e recuperação devem ter sucesso não importando se a causa foi ou não determinada. Independentemente da ocorrência de qualquer falha, devem ser feitas cópias redundantes de toda a informação, incluindo dados, aplicações, sistema operativo, SGBD e outros sistemas de gestão em uso. Deve-se assegurar que, caso as cópias sejam utilizadas, existirá, pelo menos, uma cópia fiel de toda a informação no seu estado original. Deve igualmente ter-se o cuidado de efetuar a reinicialização do sistema passo a passo e a monitoração do correto funcionamento de cada novo componente integrado ao sistema. Tipo de falha Medida  Definir procedimentos que viabilizem a verificação Recebimento de da correção e coerência da informação recebida informação errada antes do seu processamento.  Definir procedimentos visando a verificar a Resultados com correção da informação produzida. erros  Definir procedimentos que permitam verificar a Arquivos correção e coerência dos dados e decidir pela corrompidos ou continuação ou interrupção do processamento. perdidos  Hipótese de desenvolver sistemas alternativos que possibilitem a execução das funções principais do sistema; Falha de um  Prever a necessidade de publicação de disposições processo legais que permitam antecipar ou retardar prazos e datas.  Estimar as necessidades e proceder à aquisição de Falha de produtos prevendo não só eventuais falhas no seu fornecimento de abastecimento, bem como um eventual aumento do produtos de consumo consumo na seqüência, por exemplo, da ativação de processos alternativos de troca de informação.  Avaliar a possibilidade de utilizar o recurso de um Falha do sistema centro alternativo (próprio ou de terceiros); central de  Ativar processos manuais. processamento  Listar as tarefas/atividades afetadas por esta falha;  Definir formas alternativas de envio e recebimento Falha da rede local da informação, adequadas para cada situação.  Definir mecanismos de monitoração que permitam identificar de imediato este tipo de ocorrências; Falha dos sistemas  Interromper as comunicações até à reparação da por acessos abusivos falha. Estratégias de Contingência Hot-site – Recebe este nome por ser uma estratégia pronta para entrar em operação assim que uma situação de risco ocorrer. O tempo de operacionalização desta estratégia está diretamente ligado ao tempo de tolerância a falhas; Warm-site – Esta se aplica a objetos com maior tolerância à paralisação, podendo se sujeitar à indisponibilidade por mais tempo, até o retorno operacional da atividade. Por exemplo, o serviço de e-mail dependente de uma conexão e o processo de envio e recebimento de mensagens é mais tolerante podendo ficar indisponível por minutos, sem, no entanto, comprometer o serviço ou gerar impactos significativos; Cold-site – Propõe uma alternativa de contingência a partir de um ambiente com os recursos mínimos de infra-estrutura e telecomunicações, desprovido de recursos de processamento de dados. Portanto, aplicável à situação com tolerância de indisponibilidade ainda maior; Realocação de Operação – Tem como objetivo desviar a atividade atingida pelo evento que provocou a quebra de segurança, para outro ambiente físico, equipamento ou link, pertencentes à mesma empresa. Esta estratégia só é possível com a existência de "folgas" de recursos que podem ser alocados em situações de crise. Muito comum essa estratégia pode ser entendida pelo exemplo que se redireciona o tráfego de dados de um roteador ou servidor com problemas para outro que possua folga de processamento e suporte o acúmulo de tarefas; Bureau de Serviços – Considera a possibilidade de transferir a operacionalização da atividade atingida para um ambiente terceirizado, portanto, fora dos domínios da empresa. Por sua própria natureza, em que requer um tempo de tolerância maior em função do tempo de reativação operacional da atividade, torna-se restrita a poucas situações. O fato de ter suas informações manuseadas por terceiros e em um ambiente fora de seu controle, requer atenção na adoção de procedimentos, critérios e mecanismos de controle que garantam condições de segurança adequadas à relevância e criticidade da atividade contingenciada; Acordo de Reciprocidade – Propõe a aproximação e um acordo formal com empresas que mantêm características físicas, tecnológicas ou humanas semelhantes a sua, e que estejam igualmente dispostas a possuir uma alternativa de continuidade operacional. Estabelecem em conjunto as situações de contingência e definem os procedimentos de compartilhamento de recursos para alocar a atividade atingida no ambiente da outra empresa. Desta forma, ambas obtêm redução significativa dos investimentos; Auto-suficiência – Utilizada quando nenhuma outra estratégia é aplicável, quando os impactos possíveis não são significativos ou quando estas são inviáveis, seja financeiramente, tecnicamente ou estrategicamente. A escolha de qualquer uma das estratégias anteriores depende diretamente do nível de tolerância que a empresa pode suportar. Esta decisão pressupõe a orientação obtida por uma análise de riscos e impactos que gere subsídios para apoiar a escolha mais acertada. Figura 2 - Riscos envolvidos em um plano de contingência Metodologia do Plano de Contingência Com isso, criamos um leque de projetos capazes de disponibilizar os requisitos mínimos de Segurança da Informação:  Definição o Qualquer evento calamitoso, ou sucessão de eventos que coloque em risco processos vitais para a consecução dos objetivos da Empresa.  Sistemas Críticos o São sistemas cuja inoperabilidade implica em perdas irreversíveis de cunho financeiro, jurídico ou de imagem da Empresa e seu retorno à atividade produtiva deve acontecer em até 24 horas após a ocorrência do desastre.  Desastre o É a ocorrência de qualquer tipo de anormalidade que impeça ou impacte a atividade de produção dos sistemas críticos.  Recuperação o É o restabelecimento da atividade produtiva dos sistemas críticos, mesmo que paliativa ou parcialmente, no caso do desastre se efetivar.  Ativação e Desativação do Plano de Contingência: o O Plano de Contingência é ativado e desativado pelos Executivos da Empresa consubstanciados pelas informações prestadas pelo Gerente de TI e pelas Equipes de Contingência.  Pontos Básicos: o Para a elaboração do Plano de Contingência, é necessário que sejam levantados alguns itens básicos, quais sejam:  Quais são os sistemas críticos que garantem a continuidade do negócio da empresa;  Análise de Impacto nos Negócios;  Análise de Riscos para os principais Negócios;  Homologação dos sistemas críticos por parte dos Executivos da Empresa.  De que recursos de hardware, software e infra-estrutura tais sistemas dependem;  Hardware  Configuração  Up-Grade  Espaço em disco para o S.O. e Sistemas críticos  MIPS utilizado  Memória  CPU  Controladora de Discos  Controladora de Mídia Magnética  Mídias Magnética  Fornecedores  Software  Configuração  Versão/Release  Nível de atualizações  Customizações  Fornecedores  Infraestrutura  robôs/cilos/estantes  Rede/Teleprocessamentos  MUX  Porta de Controladora de Linha  Circuito de Comunicação  Multiplexadores  Concentradores  Circuitos  CCU  Roteadores  Switch  Hubs  Bridge  Satélite  Concessionárias  Ambiente  Definição de carga de refrigeração  Temperatura  Umidade  Alimentação de energia eletrica  No-Break  Gerador de energia  Bateria de energia  PABX e telefonia em geral  Prédios inteligentes e elevadores  Levantamento e atualização da documentação dos sistemas muito críticos  Objetivos do sistema  Analistas responsáveis  Usuários Gestores e usuários Finais  Backup diário, semanal, mensal, semestral e anual - Retenção de arquivos  Fases do sistema e sua descrição  Relação de programas utilizados - Batch - Código e descrição  Relação de programas utilizados - On line - Código e descrição  Interfaces  Interna - Arquivos de entrada  Interna - Arquivos de saída  Externa - Arquivos de entrada  Externa - Arquivos de saída  Identificação dos serviços críticos dentro dos sistemas prioritários - programas e tabelas  O que deve ser retido no período de contingência para recuperação dos sistemas não críticos  Serviços que devem ser considerados críticos já que são essenciais para recuperação de sistemas não críticos  Quais são os componentes críticos dos sistemas críticos  Backup  Tamanho em Bytes dos dados necessários para funcionamento dos sistemas críticos  Volume de mídias magnéticas que fazem atualmente o backup externo dos sistemas críticos  Espaço físico, estimado, para guarda do backup externo dos sistemas críticos  Forma de criação dos backup externo (link específico / transporte)  Relação dos backup´s dos sistemas críticos  Hierarquia a ordem cronológica de baixa dos backup  Definição do backup-site  Definição do Modelo de Backup_Site (espelhamento, transmissão remota...)  Cold-Site próprio  Cold-Site de Terceiros  Hot-Site próprio  Hot-Site de terceiros  Hot-Site próprio compartilhado  Forma de atualização dos dados no Site Backup  Decisões Pós-Desastre para a Recuperação  Evitar novos danos, executando os procedimentos de emergência  Identificar hardware e material que pode ser salvo  Auxiliar a equipe de logística na movimentação de recursos salvos  Informar as equipes de telecomunicação e de hardware do andamento dos trabalhos de salvamento  Avaliação do desastre no aspecto de estrutura física  Laudo e estimativa de recuperação da estrutura física  Avaliação do desastre no aspecto de parque computacional  Laudo e estimativa de substituição do parque computacional  Decisão quanto a localidade e formas de processamento pós- desastre dos sistemas crítico  Decisão quanto a localização e forma de processamento pós- desastre dos demais sistemas  Plano de Retorno  Definição de datas e procedimentos para retorno às atividades normais.  Retorno do CPD e estrutura básica  Definição de estrutura de apoio  Definição das datas de retorno  Criação de relatórios históricos Definição de Equipes de Contingência o 01 EQUIPE EXECUTIVA / COORDENAÇÃO  MISSÃO: Garantir que a restauração do processamento ocorra dentro do prazo estipulado no Plano de Contingência conforme criticidade de cada sistema.  Exercer a coordenação geral do Plano.  TAREFAS PRÉ-DESASTRE  Avaliar e aprovar gastos financeiros necessários ao desenvolvimento e manutenção do Plano.  Definir local do Centro de Operações Alternativo com o apoio da Equipe de Hardware.  Definir local do Centro de Comando em caso de desastre.  Estabelecer as políticas e diretrizes do Plano.  Definir recursos necessários ao Plano.  Designar líderes, seus substitutos e demais membros das outras equipes  Distribuir cópias do Plano e normas a todos os envolvidos no Plano.  Revisão e atualização periódica do Plano.  Coordenar as atividades das demais equipes  Organizar e coordenar a execução de testes do Plano.  Definir e montar a estrutura de retorno à normalidade.  Dar apoio a todos os envolvidos  TAREFAS DURANTE O DESASTRE  Avaliar a situação posicionando aos Executivos da Empresa para decisão sobre ativação do Plano.  Coordenar a ativação do Plano.  Ativar local do Centro de Operações Alternativo.  Coordenar as atividades do Plano e das demais equipes.  Estabelecer diretrizes para situações não previstas.  Acionar as pessoas-chave para recuperação do ambiente operacional.  Acionar as providências para recuperação do ambiente operacional.  Emitir relatório situacional aos Executivos da Empresa.  Realizar reuniões periódicas com os coordenadores das demais equipes de forma a manter integrado o grupo de recuperação de desastres e manter atualizado o Plano.  TAREFAS PÓS-DESASTRE  Coordenar as atividades de retorno à normalidade. o 02 EQUIPE DE SALVAMENTO E RESCALDO  MISSÃO:  Combater o sinistro.  Prestar os primeiros socorros.  Salvar o que puder ser salvo.  Avaliar a extensão dos danos às instalações, equipamentos e recursos humanos.  Prover a EQUIPE EXECUTIVA de informações. TAREFAS PRÉ-DESASTRE  Manter documentação, fora da instalação, de plantas, desenhos e especificações da mesma. (hidráulicas, elétricas, ar, etc..).  Manter relação de todos os hardwares existentes na instalação. TAREFAS DURANTE O DESASTRE  Executar os procedimentos de emergência (evacuação dos ambientes, desligamento de equipamentos e quadros, etc.)  Combate do sinistro e prestação dos primeiros socorros às vitimas encaminhando-as ao atendimento especializado  Estabelecer a segurança na instalação que sofreu o desastre.  Emitir RELATÓRIO DE OCORRÊNCIAS completo à EQUIPE EXECUTIVA.  Efetuar a limpeza do ambiente e descartar o entulho.  Identificar hardware e materiais a serem salvos.  Fornecer suporte logístico para a mudança do equipamento salvo para a nova instalação.  Manter informadas as equipes de COMUNICAÇÕES e HARDWARE sobre o andamento dos trabalhos.  Emitir RELATÓRIO DE PROVIDÊNCIAS. TAREFAS PÓS-DESASTRE  Executar os procedimentos necessários à recuperação das instalações físicas. 03 EQUIPE DE LOGÍSTICA (Apoio Administrativo / Instalações Físicas)  MISSÃO:  Assegurar a disponibilidade de recursos necessários, de serviços administrativos e de comunicações para as demais equipes, imediatamente após a ocorrência do desastre e da decisão de ativar o Plano.  Assegurar que as instalações onde será recuperado, em definitivo, o Centro de Processamento (incluindo as áreas administrativas) estejam prontas para receber pessoas e equipamentos quando necessário. TAREFAS PRÉ-DESASTRE  Manter atualizados os meios de comunicação dos envolvidos no Plano (números de telefone, fax, bips etc.).  Manter lista de facilidades (fornecedores, contatos de emergência, usuários, etc.).  Manter atualizada a relação de todos os hardwares existentes na instalação.  Manter atualizada a relação de todos os softwares disponíveis na instalação, identificando sua utilização.  Manter lista de suprimentos necessários em caso de desastre.  Garantir que qualquer suprimento que demore mais de 24 horas para ser obtido tenha um estoque guardado fora da instalação.  Manter procedimentos para prover recursos necessários (Transportes, alojamento, compras, etc.).  Interagir com as Seguradoras ou com a Área responsável pelo seguro dos equipamentos e da instalação.  Colaborar com a Equipe Executiva nas providencias para reconstrução do Centro de Processamento. TAREFAS DURANTE O DESASTRE  Coordenar com a Equipe de Salvamento a mudança de equipamentos resgatados para uma instalação provisória para guarda.  Supervisionar os serviços de eletricidade, telefonia, cabeamento lógico, instalação física de hardware e mobiliários da Instalação Alternativa, efetuando os ajustes necessários ao início do processamento dos sistemas críticos  Fornecer meios de transporte às pessoas, equipamentos e materiais.  Fornecer alojamento, alimentação e suprimentos básicos aos empregados e contratados.  Providenciar recursos humanos temporários, quando necessário.  Prover meios alternativos para comunicações pessoais. (bips, telefone celular etc.)  Emitir relatório de OCORRÊNCIA DE SINISTRO ao setor competente para início do processo de indenização.  Manter Equipe Executiva informada. TAREFAS PÓS-DESASTRE  Prestar todo apoio administrativo e técnico necessário à restauração do CPD e no retorno do processamento à normalidade. 04 EQUIPE DE HARDWARE / SOFTWARE  MISSÃO:  Identificar o hardware mínimo necessário para processamento dos sistemas muito críticos e críticos.  Garantir a disponibilidade do software básico e de apoio necessários à operacionalidade. TAREFAS PRÉ-DESASTRE  Fornecer à Equipe de Logística os dados necessários para manter atualizada a relação de hardwares / softwares.  Pesquisar um Centro de Processamento de Dados alternativo com características necessárias à contingência.  Definir configuração similar na impossibilidade de se obter uma igual à existente na ocasião do desastre.  Contatar principais fornecedores envolvendo-os no Plano no que se refere ao fornecimento de materiais e prestação de serviços emergenciais.  Criar e manter atualizado um sistema operacional para o equipamento alternativo, se for o caso.  Identificar o software a ser disponibilizado no site-backup.  Manter esquema de copias de contingência para todos os softwares que farão parte do Plano de Desastre.  Assegurar que todos os softwares rodem no ambiente alternativo.  Manter conjunto de manuais essenciais atualizados e guardados a salvo. TAREFAS DURANTE O DESASTRE  Ativar o site-backup junto com a Equipe de Salvamento tornando-o operacional.  Ativar o sistema operacional e os softwares de contingência na instalação alternativa.  Manter Equipe Executiva informada. TAREFAS PÓS-DESASTRE  Requisitar manutenção / substituição de equipamentos danificados.  Providenciar a reinstalação dos equipamentos na instalação danificada ou em novo local.  Trabalhar junto com a Equipe de Salvamento e Logística na movimentação e na instalação dos equipamentos salvos e dos novos.  Coordenar com a Equipe de Desenvolvimento as mudanças não planejadas necessárias para acomodar o novo hardware / software.  Dar suporte e resolver situações imprevistas relacionadas aos hardwares / softwares. 05 EQUIPE DE COMUNICAÇÕES  MISSÃO:  Garantir que os equipamentos de comunicações e as linhas telefônicas estejam prontos. TAREFAS PRÉ-DESASTRE  Manter atualizada a relação de todas as linhas de comunicação, softwares de comunicação, hardware necessário e periféricos da instalação.  Manter documentação da configuração atual, incluindo caminhos, velocidades, protocolos (topologia da rede).  Saber a importância das aplicações criticas na Rede de TP.  Manter relação de principais fornecedores de linhas, links de satélites, telefones celulares, etc.  Viabilizar rotas alternativas para as linha de comunicação do CPD e testa-las. (Pré-requisito: definição do site-backup)  Traçar planos junto à Cia de Telecomunicação para estar apto a estabelecer a comunicação de dados. (Pré-requisito: definição do site-backup)  Requisitar linhas de comunicações e equipamentos necessários.  Providenciar a instalação de linhas de comunicação para o local onde se processara a contingência.  Manter o conjunto de manuais necessários a salvo mas acessível em caso de desastre. TAREFAS DURANTE O DESASTRE  Ativar a configuração alternativa de telecomunicação.  Auxiliar a Equipe de Logística em mudanças nos procedimentos relacionados a teleprocessamento.  Ativar serviços de teleprocessamento.  Manter a Equipe Executiva informada. TAREFAS PÓS-DESASTRE  Restaurar os serviços de telefonia.  Restabelecer a comunicação de dados. 06 EQUIPE DE PLANEJAMENTO / PRODUÇÃO  MISSÃO:  Assegurar que o processamento dos sistemas críticos possam ser retomados tão logo os dados, os equipamentos e as comunicações necessárias estejam disponíveis. TAREFAS PRÉ-DESASTRE  Desenvolver as rotinas destinadas aos serviços críticos.  Garantir que os backups armazenados fora da instalação estejam seguros e possam ser facilmente recuperados pelas pessoas autorizadas.  Definir e manter os procedimentos de recuperação das aplicações e dos dados críticos.  Prover todo o material de backup, inclusive documentação, conforme definido no procedimento de recuperação cada aplicação.  Analisar e definir alternativas para o processamento das funções criticas.  Manter atualizadas e em lugar seguro copias da documentação dos sistemas aplicativos.  Prever e desenvolver rotinas para atender a todas as condições de retorno à normalidade. TAREFAS DURANTE O DESASTRE  Preparar o ambiente de produção.  Processar os sistemas críticos de acordo com os procedimentos e rotinas previamente estabelecidos.  Efetuar comunicação com o usuários informando-os sobre a situação de suas aplicações.  Manter Equipe Executiva informada. TAREFAS PÓS-DESASTRE  Executar os procedimentos de recuperação das aplicações criticas, recuperando-as de forma coordenada.  Operar as rotinas necessárias para restaurar os arquivos para o retorno à normalidade.  Efetuar comunicação com o usuários informando-os sobre a situação de suas aplicações. 07 EQUIPE DE DESENVOLVIMENTO  MISSÃO:  Apoiar as demais equipes para que todas as aplicações consideradas criticas sejam recuperadas dentro do prazo estabelecido, sem perda de dados / informações e de acordo com suas especificações. TAREFAS PRÉ-DESASTRE  Identificar aplicações e sistemas críticos para os negócios.  Informar aos demais envolvidos no Plano quanto às atualizações sofridas pelos sistemas quanto à sua criticidade.  Manter um canal de comunicação permanentemente aberto com os gestores, de forma a estar sempre informado de quais são os dados e as aplicações criticas. TAREFAS DURANTE O DESASTRE  Manter os usuários informados sobre a situação de suas aplicações. TAREFAS PÓS-DESASTRE  Dar apoio ao grupo do CPD nas rotinas de retorno à normalidade. 08 EQUIPE DE SEGURANÇA  MISSÃO:  Participar da criação do Plano, determinando políticas de segurança e garantindo que um nível mínimo de segurança seja observado durante o processo, visando manter os níveis de serviços pactuados com os usuários. TAREFAS PRÉ-DESASTRE  Definir diretrizes / critérios para segurança física e para acesso lógico  Definir critérios para transporte de material classificado como de alto risco (fitas backup do sistema e dos dados  Participar dos testes do Plano de Desastre.  Manter um canal de comunicação com o site-backup, mantendo o nível de compatibilidade entre os dois ambientes. TAREFAS DURANTE O DESASTRE  Participar da avaliação da situação do desastre.  Acompanhar a execução dos procedimentos de segurança para situações de desastre.  Manter a Equipe Executiva informada. TAREFAS PÓS-DESASTRE  Acompanhar a volta à normalidade  Garantir que não sejam deixados no site-backup, após o retorno à normalidade, nenhum resíduo de informações / dados manipulados durante a contingência Conclusão A aplicação dos conceitos de contingência e redundância oferece maior segurança e confiabilidade para os sistemas computacionais através das soluções para a proteção das informações e aplicativos, equipamentos, espaço físico e demais funções críticas. A redundância é um fator que pode contribuir para a disponibilidade de um sistema computacional. Entretanto, apenas a redundância é insuficiente, visto que um sistema pode apresentar diferentes vulnerabilidades. Um sistema de alta disponibilidade, por exemplo, requer que cada sistema backup ofereça funcionalidades equivalentes, porém com implementação diferenciada. Esta variação afasta tentativas de comprometer tanto o sistema primário quanto o sistema de backup a partir de uma única estratégia de atendimento. Já um plano de contingência requer procedimentos inteligíveis e objetivos, simulações de possíveis ocorrências futuras e soluções simples, imaginando situações possíveis, mesmo que pouco prováveis. Induz a elaboração de procedimentos operacionais diretos que permitam, em uma ocorrência indesejada, tomarem-se ações que reparem ou minimizem os efeitos da falha. As idéias são tratadas e as hipóteses classificadas segundo a chance, o custo e a segurança envolvida. Embora redundância e planos de contingência sobrecarreguem o funcionamento e o gerenciamento de uma rede, ambos são necessários para evitar problemas futuros. A decisão sobre o grau de redundância ou contingência que se deve adotar pode ser balizada por vários fatores, entre eles: ambiente de funcionamento da rede, protocolos e sistemas utilizados e importância da rede para o negócio da empresa.