FACULDADE METROPOLITANADE MANAUS

FAMETRO

SEGURANÇA E AUDITORIA DE SISTEMAS

MANAUS
2020
FACULDADE METROPOLITANADE MANAUS
FAMETRO

Cristóvão da Silva Guimarães

Fábio Leitão Trajano
Keylianne Oliveira do Nascimento
Sames de Lima

Projeto para obtenção da nota de Segurança e

auditoria de sistemas, ministrada pelo Profº
Marcelo Cruz do curso de Sistemas de Informação
5º período.

MANAUS
2020
 Plano de contingência

Conceitos de Contingência e Plano de contingência

Na gestão de segurança da informação e de acordo com o porte da
organização o plano de contingência é uma pequena parcela do plano de
continuidade de negócios definido pela governança corporativa da empresa. Tendo
objetivo de garantir a disponibilidade de seus serviços, informações e processos de
negócio. Dando capacidade a organização de restabelecer suas funções críticas.

Etapas do planejamento do Plano de contingência

O plano de contingência é um projeto da organização, e antes da realização
do planejamento de contingência são definidos aspectos administrativos e
operacionais seguindo as seguintes fases: Atividades preliminares, análise de
impacto, análise das alternativas de recuperação, desenvolvimento do plano de
contingência, treinamento, teste do plano de contingência e avaliação dos resultados
e atualização do plano.

Classificação dos Plano de contingência

Se baseia em três vértices: Vértice pessoas, vértice organização, vértice
tecnologia.

Plano de gerenciamento da crise (PGC)

Além de base para o PCN, define as responsabilidades de cada membro das
equipes envolvidas com o acionamento da contingência antes, durante e depois da
ocorrência do incidente. Definindo os procedimentos a serem executados pela
mesma equipe no período de retorno à normalidade.

Plano de continuidade operacional

Define os procedimentos para contingenciamento dos ativos que suportam
cada processo de negócio, objetivando reduzir o tempo de indisponibilidade e,
consequentemente, os impactos potenciais do negócio.

Plano de recuperação de desastre (PRD)

Defini um plano de recuperação e restauração das funcionalidades dos ativos
afetados que suportam os processos de negócio, a fim de restabelecer o ambiente e
as condições originais de operação, no menor tempo possível.
 Sendo conveniente desenvolver e implementar os procedimentos de resposta
a situações de desastre, incluindo a criação e a especificação de normas para o
gerenciamento de um centro operacional de emergência (COE), utilizado como
central de comando durante uma crise.

Estratégias de contingência
Em relação a estratégia que a organização vai definir para o Plano de
contingência, leva-se em consideração a criticidade do negócio, apetite ao risco da
organização e propriedades definidas em seu Plano de continuidade dos negócios.
Classificando as estratégias de contingência ao nível de criticidade do
negócio como: Hot-site, Warm-site e Cold-site.
As modalidades escolhidas da estratégia de contingência são classificadas
como: Realocação de operação, Bureau de serviços, Acordo de reciprocidade e
Autossuficiência.

Aspectos da segurança da informação na produção de softwares

Influência das normas de segurança da informação na produção de software

Considerando a evolução histórica das questões de segurança e produção de
software e tomarmos a família de normas da ISO 27000 percebemos a evolução do
sistema de gerenciamento da segurança da informação.
A ISO/IEC 27001 é o ponto de partida para a operação de um sistema de
gerenciamento da segurança da informação auxiliando o planejamento de requisitos
adequado para a construção e sustentação de sistemas informatizados, alertando
para uma série de controles de segurança no anexo A como: Gestão de ativos,
controle de acesso, criptografia, segurança nas operações, segurança nas
comunicações, aquisição, desenvolvimento e manutenção de sistemas, gestão de
incidentes de segurança da informação.
Em 1991foi publicada a norma ISO/IEC 9126 e a evolução de suas normas se
deu em 2005 com a família ISO/IEC 25000:2005 e revisada em 2014. Considerando
o modelo SQuaRE os aspectos internos e externos estão sendo revisados pelas
ISSO/IEC 25023 E 25022. Observando que a produção de software remonta um
passado antigo e que as formas de se produzir foram evoluindo muito em função
das novas necessidades de negócio e aspectos tecnológicos. Levando-se em conta
o aspecto humano e o modelo mental evolutivo da sociedade.
Barry Boehm fez uma revisão da evolução da engenharia de software nos
séculos XX e XXI, estabelecendo uma visão de tese, antítese e síntese baseada em
Hegel para explicar o fenômeno na evolução da engenharia de software.
 Em 1950 a tese predominante era que deveríamos encarar a engenharia de
software como engenharia de hardware, haja visto que o hardware ocupava o papel
principal na ciência da computação.
Em 1960 obteve-se a percepção de que o software não é igual ao hardware e
deveria ser visto como uma entidade maleável, levando as empresas a adotarem a
técnica “codifica e conserta”. No entanto nem todas as empresas e produtores
sucumbiram a esse modelo. E devido as conferências em 1968 e 1969 a engenharia
de software começou a delinear.
Surgindo então na década de 70 a programação estruturada, Pascal e muitos
estudos, levando as empresas no final dos anos 70 a gastar mais com o software.
Nos anos 80 surgiram os métodos orientados a objetos, modelos de maturidade,
qualidade, ferramentas CAD e linguagens 4GL.
Nos anos 90 a discursão era como resolver o bug do milênio e no decorrer da
década o desenvolvimento concorrente ou interativo ganhou força aumentando a
produção de software.
O início do novo milênio foi marcado pela agilidade e valor agregado, com a
popularização da internet e a globalização, surgindo empresas como o Google e a
NASDAQ que foi a primeira a atingir padrões ISO 9001. Métodos ágeis como ASD,
Crystal, DSD, XP e SCRUM ganhavam a atenção de desenvolvedores em 2001,
devido a criticidade e dependabilidade surge o SPUR fazendo um paralelo entre as
normas e modelos referentes a segurança da informação. Entendendo-se que os
aspectos de segurança da informação, apesar de remontar a um passado distante
no que se refere à criptografia, mecanismos de defesa militar, privacidade não estão
diretamente associados com as práticas de engenharia de software.