SEGURANÇA DA INFORMAÇÃO

Resposta a
Incidentes
Como entender e desenvolver planos de
resposta eficientes

EMERSON NASCIMENTO E
PAULO TRINDADE

E-BOOK 3 DE 3

Da Série: O Que Devo Saber Para Ter Uma Carreira de Sucesso?

N3twork
Índice
Definições ................................................. 5

Tipos de Equipes ...................................... 7

Gestão de Incidentes .............................. 10

Continuidade do Negócio ........................ 19

Análise de Impacto ao Negócio ............... 21

Estratégias de Recuperação ................... 23

Tolerância a Falhas ..................................25

Considerações Finais ............................. 26

2
 APRESENTAÇÃO
Sobre o e-Book

Este é o terceiro material publicado da série: “O Que Devo Saber

Para Ter Uma Carreira de Sucesso?” sendo um conteúdo sobre a
área de Segurança da Informação destinado a iniciantes, pessoas
que desejem ingressar na área ou profissionais experientes que
desejam completar ou mesmo revisar seus conhecimentos, lhes
norteando com o único material disponível no mercado brasileiro
que trata do dia a dia prático e direto ao ponto, com base nos
melhores materiais disponíveis e mais de 40 anos somados de
experiência de mercado de seus autores na jornada de Tecnologia.
Esperamos que este material transforme sua carreira lhe trazendo
muitos resultados positivos, pois “o futuro é o resultados das ações
que realizamos hoje e agora.”

Go Hard!!! 💪

“ O conselho da sabedoria é:
procure obtê-la; use tudo que
você possui para adquiri-la
“
Salomão

3
 INTRODUÇÃO
E aí? Como Ponho Isso Para funcionar?

Falar sobre Resposta à Incidentes é algo que precisa ser bem direcionado, pois
não é um assunto simples e, se muito detalhada, podemos facilmente passar
por uma réplica de muitos outros bons materiais internacionais, mas que não
estão adaptados a uma realidade principalmente a do mercado brasileiro,
onde vimos poucas empresas com um plano de Resposta a Incidentes
realmente eficaz. Não recriaremos a roda, mas apresentaremos uma visão
destes materiais segundo nossas experiências de forma a atender a
necessidade prática de um mercado que está se expandindo com força total no
mundo e principalmente no Brasil. Não acredita que o mercado de Segurança
da Informação está crescendo? Segundo o relatório Cybersecurity workforce
Study de 2019 da International Information System Security Certification
Consortium (ISC)², a América Latina possui uma lacuna de 600.000
profissionais de Segurança da Informação ocupando o segundo lugar no
mundo com a maior lacuna!
Bom, dito isso, neste material vamos apresentar respostas para as perguntas:

O que é um incidente?
Qual é o fluxo de tratamento de um incidente?
Quais modelos de equipe de tratamento de incidentes de mercado?
Preciso ter um Plano de Continuidade do Negócio?
O que é Análise de Impacto para o Negócio (BIA)?

Você pode aplicar integralmente o NIST SP 800-61r2, mas a nossa proposta é

discutir um modelo que lhe traga resultado pensando em custo e eficiência.
Lembre-se sempre que a missão de Segurança da Informação é
Habilitar o Negócio!
4
 CAPÍTULO UM
Definições

Asset ou Ativo: são os bens de propriedade da empresa o de um

indivíduo, possuem valor monetário e que podem ser tangíveis
(imóveis) ou intangíveis como uma marca, reputação entre outros;

Evento: pode ser definido como qualquer mudança de estado que

tem importância para a gestão de um ativo ou serviço;

Incidente: definido pela ITIL como uma interrupção não

planejada de um serviço ou redução da qualidade deste. Um
incidente é qualquer evento que causa interrupção no serviço;

NIST: National Institute of Standards and Technology - é uma

agência governamental não regulatória da administração de
tecnologia do Departamento de Comércio dos Estados Unidos. O
mercado de tecnologia consome muitos dos materiais criados por
esta instituição

5
 Definições – Cap. 1

CSIRT: Computer Security Incident Response Team. grupo

técnico responsável por resolver incidentes relacionados à
segurança em sistemas computacionais.

Critical Path: Sendo reconhecido também como operações

críticas (ou funções de missão crítica). São aquelas atividades e
funções que a organização precisa realizar para permanecer
operacional;

Business Impact Analysis (BIA): A Análise de Impacto no

Negócio é o esforço necessário para determinar o valor de cada
ativo pertencente à organização, o risco potencial de perda dos
mesmos, as ameaças que podem afetar a organização e a
probabilidade de ameaças comuns se manifestarem;

Business Continuity (BC): Ações, processos e ferramentas

para garantir que uma organização possa continuar as operações
críticas (critical path) durante um estado de contingência;

BCDR: Business Continuity and Disaster recovery são práticas

intimamente relacionadas que apoiam a capacidade de uma
organização de permanecer operacional após um evento adverso.

6
 CAPÍTULO DOIS
Tipos de Equipes

Um incidente pode vir de qualquer pessoa da companhia. A

equipe de resposta a incidentes deve estar disponível para
qualquer pessoa que descobrir ou suspeitar da ocorrência de um
incidente envolvendo a organização.

Um ou mais membros da equipe, dependendo da magnitude do

incidente e da disponibilidade de pessoal, cuidarão do incidente.
Os membros da equipe analisam os dados do incidente,
determinam o impacto do incidente e agem de forma adequada
para limitar os danos e restaurar os serviços normais.

O sucesso da equipe de resposta a incidentes depende da

participação e cooperação de indivíduos em toda a organização.
Vejam algumas modalidades:

7
 Tipos de Equipes – Cap. 2

Central de Resposta a Incidentes. Equipe única de resposta a

incidentes que atua nos incidentes de toda a organização.
Equipes de resposta a incidentes distribuídas. Várias
equipes de resposta a incidentes, cada uma responsável por um
segmento lógico ou físico específico da organização. Respondem a
mesma gestão única.
Equipe de Coordenação. Uma equipe de resposta a incidentes
fornece orientações a outras equipes sem ter autoridade sobre
essas equipes. Este modelo pode ser considerado um CSIRT para
CSIRTs.
Estes modelos podem seguir estas três composições:
Funcionários. A organização realiza todo o seu trabalho de
resposta a incidentes, com suportes técnicos e administrativo de
terceiros de forma limitada.
Parcialmente terceirizado. Partes do trabalho são
terceirizadas. Abaixo temos algumas divisões comuns:
• Equipes terceirizadas executam o monitoramento 24/7 de
todos os ativos do escopo do contrato. Tais equipes identificam
e analisam atividades suspeitas e acionam a equipe de
resposta a incidente da organização.
• A equipe da organização realiza o trabalho básico de resposta a
incidentes e aciona equipes de terceiros especializados para
auxiliar no tratamento de incidentes.
Totalmente terceirizado. O trabalho de resposta a incidentes é
completamente terceirizado, desde sua detecção até a geração de
lições aprendidas. Veremos mais sobre este fluxo mais adiante
deste material.
8
 Tipos de Equipes – Cap. 2
0101010101010101010101010101 0101010101010101010101010101 0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101 0101010101010101010101010101
É mais provável que esse modelo seja usado quando a organização
0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101
precisa de uma equipe de resposta a incidentes em tempo integral,
0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101
mas não tem suficientes funcionários qualificados e disponíveis.
0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101 0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101 0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101 0101010101010101010101010101
Neste modelo a organização deixa claro em contrato quais são
0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101
seus KRI, KPI e SLA (estes termos serão abordados adiante).
0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101
Neste modelo é muito recomendado que se tenha um
0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101
representante local que acompanhe o dia a dia da organização e
0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101
atue entre um hub entre as necessidades a organização e a
0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101
realidade da equipe terceirizada, esta podendo estar remota para
0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101
otimizar custos.
0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101 0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101 0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101 0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101 0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101 0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101 0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101 0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101 0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101 0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101 0101010101010101010101010101
0101010101010101010101010101 0101010101010101010101010101 0101010101010101010101010101

Exemplo de um Security Operations Center

9
 CAPÍTULO TRÊS
Gestão de Incidentes
O gerenciamento de incidentes eficaz atenua as interrupções na
continuidade dos negócios. No caso de um incidente em nível de
desastre, auxilia na recuperação por meio do planejamento
adequado, implementação de procedimentos eficazes e testes de
prontidão contínuos.
Pode parecer óbvio, mas para lidar com um incidente é
fundamental que sua ocorrência seja devidamente identificada.
Nem todas as atividades detectadas nesta fase serão determinadas
como incidentes reais; todos os mecanismos de detecção têm o
potencial de relatar resultados falsos positivos. No entanto, esta
etapa do processo envolve encontrar o possível incidente e
notificar as entidades adequadas. Veja alguns métodos e
mecanismos para detectar possíveis incidentes, incluindo soluções
automatizadas e ação humana:
• Sistemas de detecção de intrusão (IDSs);
• Sistemas de prevenção de intrusão (IPSs);
• Soluções Antimalware;
• Análise de log;
• Firewalls;
• Análises de vulnerabilidades;
• Soluções para Análises Comportamentais de Entidade e Usuário
(UEBA).
• Controle de segurança de acesso à nuvem (CASB).
• Prevenção contra vazamento de dados (DLP) 10
 Gestão de Incidentes – Cap. 3 - Detecção

Uma das fontes mais ricas e úteis de detecção de incidentes pode

vir da comunidade de usuários.
Os usuários geralmente percebem quando algo de seu uso normal,
seja hardware ou software foi modificado de alguma forma,
mesmo que essa mudança seja sutil. Isso pode também incluir o
envolvimento do Help Desk, sendo o usuário o relator um
problema ao Help Desk e um administrador do Help Desk trata o
problema e descobre algo que pode ser um incidente de segurança.
É fundamental que a organização treine exaustivamente a
comunidade geral de usuários e o pessoal do Help Desk sobre os
métodos de relatar possíveis incidentes às entidades apropriadas.

Lições
Detectar Responder Mitigar Reportar Recuperar Remediar Aprendidas

Ferramentas Administradores Parar Reportar Coletar Analisar causa Documentar

Logs Especialistas Incidente, como evidências, raiz e todas as ações,
Usuários CSIRT Desligar alinhado: recuperar implantar publicar para
Monitoração Ativos, Interno e sistemas novas áreas
Servicedesk Conter Externo contramedidas responsáveis
Evolução

“ Uma das fontes mais ricas e úteis

de detecção de incidentes pode
vir da comunidade de usuários
“
11
 Gestão de Incidentes – Cap. 3 - Resposta

Após o possível incidente ser descoberto e as entidades

apropriadas notificadas, a resposta inicial começa. Esta etapa
envolve:
• Determinar se a atividade relatada é realmente um incidente,
se ainda está em andamento ou se já ocorreu.
• Atuação como uma forma de triagem, onde o incidente (se for
decidido que existe) pode ser categorizado de forma a orientar
as fases subsequentes do processo.
• Profissionais de segurança treinados e com conhecimento em
identificação e gerenciamento de incidentes. Alguém com
experiência em tratamento de incidentes precisa revisar a
situação e, se necessário, declarar formalmente um incidente e
acionar a equipe de resposta a incidentes. Isso não significa
que apenas uma pessoa deva estar envolvida nessa
determinação; o profissional de segurança encarregado dessa
parte do processo deve fazer uso de todos os recursos
necessários para fazer uma determinação precisa.
Fontes que podem ajudar nesta determinação incluem outros
membros da equipe de segurança (como analistas de log ou
forenses), pessoal adicional de outros departamentos (como
administradores, arquitetos de sistemas e redes), dispositivos
(como os equipamentos, ferramentas de detecção como as listadas
anteriormente) e dados (incluindo possivelmente logs de eventos,
feeds de segurança outras instituições e gravações de vídeo
dependendo da natureza do suposto incidente).
Processos
definidos e equipe
qualificada!!!
12
 Gestão de Incidentes – Cap. 3 - Mitigação

O esforço inicial de mitigação depende de muitos fatores,

incluindo a natureza e a extensão do incidente, o apetite de risco
da organização e as necessidades críticas de negócios e quaisquer
políticas ou motivadores regulatórios. Esta fase inclui a ação
imediata tomada ao determinar que um incidente ocorreu/está
ocorrendo, mas não será o esforço final para lidar com o incidente.
As principais variáveis que afetam a forma como um incidente é
tratado inicialmente são as seguintes:
• Tempo
• Risco
• Impacto
O estado final desejado também terá alguma influência sobre
como a atividade é conduzida nesta fase. Em algumas
organizações, eventual ação legal (processo ou litígio) é o estado
final desejado; nesses casos, a organização deseja reunir o máximo
de informações possível sobre a causa do incidente e todos os
responsáveis pelo incidente, o que pode significar deixar o
ambiente em risco enquanto as informações são coletadas.

Em outras organizações, o estado final desejado pode ser a

contenção máxima, então a ação inicial nesta fase pode incluir
incorrer em impacto significativo no ambiente operacional,
perdendo a oportunidade de coletar dados do incidente, mas
minimizando o potencial de perdas adicionais do incidente.

Leia atentamente
o conteúdo.
Go Hard!!!.
13
 Gestão de Incidentes – Cap. 3 - Resposta

Dependendo da organização e do tipo de incidente, esta fase pode

ocorrer simultaneamente com a fase anterior (resposta).
Normalmente, qualquer ação de mitigação tomada nesta fase deve
ser a decisão do gerente de incidentes (geralmente um profissional
de segurança) e deve ser informada pela política e procedimentos
de resposta a incidentes da organização. O incidente deve ser
tratado por uma equipe de especialistas no assunto com
conhecimento dos vários aspectos de segurança e TI. A
composição da equipe deve incluir representantes de diversos
departamentos, como os seguintes:

• Segurança da Informação
• Administradores/arquitetos de TI
• Conselho Geral
• Recursos humanos (RH)
• Relações públicas
• Gestão

“ Para cada organização, os

fatores tempo, risco e impacto
terão prioridades diferentes.
“
14
 Gestão de Incidentes – Cap. 3 - Comunicação

Após a ação inicial de mitigação/contenção ter ocorrido, o

incidente precisa ser avaliado, analisado e relatado a quaisquer
outras partes interessadas relevantes (incluindo gestão).
Dependendo da natureza do incidente, as partes interessadas
podem incluir o seguinte:

• Clientes
• Fornecedores
• O público
• Órgãos Reguladores
• Usuários/funcionários
• Órgãos Legais (política, tribunais, militares, governos etc)

A alta administração decidirá sobre o como será o curso de ação

apropriado para o restante do processo de gerenciamento de
incidentes. A equipe de gerenciamento de incidentes deve
informar a alta administração sobre as ações tomadas até este
ponto e apresentar opções de cursos de ação possíveis. O gerente
sênior ou CEO decidirá como a organização e, especificamente, a
equipe de gerenciamento de incidentes dever proceder. Toda esta
faze deve ser especialmente apoiada pela área de Segurança da
Informação seja no fornecimento de relatórios ao Gerente Sênior
ou CEO, bem como participando de reuniões para apoio técnico e
tomada de decisão.
15
 Gestão de Incidentes – Cap. 3 - Recuperação

Uma vez que o gerente sênior ou CEO tenha decidido como o

incidente será tratado, a equipe de gerenciamento de incidentes
pode proceder para retornar o ambiente às operações normais,
levando em consideração qualquer atividade especial que deve ser
realizada para conter/evitar os efeitos do incidente.

Esta fase muitas vezes envolve despesas consideráveis, pois os

vários membros da equipe de gerenciamento de incidentes gastam
tempo e recursos para executar as ações necessárias, sendo que
outras equipes da organização podem ter que participar desta
atividade também ou pode ser afetadas pela recuperação da
atividade, de modo que interrompa a produtividade normal
devido as ações técnicas necessárias para restabelecimento do
ambiente, tais como: Alterações de código, aplicações de patch
para corrigir instabilidades ou vulnerabilidades que possibilitaram
o incidente, retorno de backups, remoção de malware, a aplicação
da lei para lidar com atividades criminosas etc.

“ ...Esta fase muitas vezes envolve

despesas consideráveis...
“
16
 Gestão de Incidentes – Cap. 3 - Remediação

Todas as fases anteriores tiveram o objetivo e tornar a área ou

empresa impactada operacionais novamente, no entanto não
foram tratadas, pelo menos diretamente, a causa raiz do incidente.
A fase de Remediação é a responsável por isso.

Após o retorno às operações normais, a causa raiz do incidente

deve ser tratada. Como exemplo pode ser citada uma
vulnerabilidade explorada advinda de um patch não aplicado,
entenda, a causa raiz não foi a falta de patch e sim uma falha ou
inexistência de um processo regular e estruturado para aplicação
de patches ou gestão de vulnerabilidades.

A prática de correção da causa raiz envolve perguntar "por quê?"

até que não haja mais perguntas válidas a serem feitas e a causa
raiz seja determinada. Uma vez que a causa raiz foi determinada, a
gerência novamente precisa ser informada sobre essas
informações para tomar uma decisão sobre como lidar com a
causa raiz.

“ A prática de correção da causa

raiz envolve perguntar "por
quê?" até que não haja mais
perguntas válidas.
“
17
Gestão de Incidentes – Cap. 3 – Lições aprendidas

É extremamente útil para a organização que os detalhes de cada

ação de gerenciamento de incidentes sejam avaliados e
documentados para uso futuro. Isso é útil de duas maneiras:

• Ele permite que a organização lide melhor com o mesmo tipo

de incidente, caso aconteça novamente;
• Ele permite que a organização melhore o processo geral de
gerenciamento de incidentes para uso em todas as atividades
futuras de gerenciamento de incidentes;
• Reduz custos agilizando a identificação e o tratamento de
incidente semelhantes.
O material contendo as lições aprendidas deve ser catalogado e
classificado de forma que esteja disponível para as áreas
necessárias, ou seja, tais documentos podem conter partes de
informações estratégicas ou sensíveis como diagramas de rede, ou
seja, devem ser classificadas e compartilhadas de forma devida.

“ ...as lições aprendidas devem

ser catalogadas e classificadas
de forma que esteja disponível
“
para as áreas necessárias...
18
 CAPÍTULO QUATRO
Continuidade do Negócio

O conjunto de elementos para garantir que uma organização

continue as operações críticas durante uma contingência são
chamados de Continuidade de Negócios ou Business Continuity
(BC). As operações críticas (chamadas também de Critical Path ou
funções de missão crítica) são atividades que a organização precisa
realizar para permanecer operacional; elas são um subconjunto da
operação geral da organização. A organização deve determinar
vários elementos essenciais primeiro:

• Qual é o Critical Path?

• Quanto tempo a organização pode sobreviver a uma
interrupção dele?
• Quantos dados a organização pode perder e ainda permanecer
viável?

O tempo de inatividade máximo permitido (MAD), também

conhecido como tempo de inatividade máximo tolerável (MTD), é
a medida de quanto tempo uma organização pode sobreviver a
uma interrupção de funções críticas; se o MAD for ultrapassado, a
organização não será mais uma unidade viável.

E aí, está
gostando?
19
 Continuidade do Negócio – Cap. 4

O Tempo de Recuperação (RTO) é o tempo definido para a

recuperação de qualquer interrupção - o RTO deve ser
necessariamente menor que o MAD. A alta administração deve
definir o RTO, com base no conhecimento especializado das
necessidades da organização, e todas as estratégias e planos de
continuidade de negócios e recuperação de desastres (BCDR)
devem apoiar a realização do RTO.

O termo recuperação no contexto do RTO não é um retorno às

operações normais; em vez disso, é uma meta para recuperar a
disponibilidade do caminho crítico. Este é um estado temporário
que a organização perdurará até que seja viável retornar ao status
normal.

O Ponto de Recuperação (RPO) é uma medida de quantos dados a

organização pode perder antes que ela não seja mais viável. A alta
administração também definirá o RPO com base nos objetivos do
negócio e sua missão.

“ Critical Path ou funções de

missão crítica são atividades que
a organização precisa realizar
para permanecer operacional.
“
20
 CAPÍTULO CINCO
Análise de Impacto ao Negócio

A análise de impacto nos negócios ou Business Impact Analysis

(BIA) é o esforço necessário para determinar o valor de cada ativo
da organização, bem como o risco potencial de perda deste ativo,
as ameaças que podem afetar a organização e o potencial de
ameaças comuns a que podem ocorrer.
Este pode ou não envolver a área de Segurança da Informação.
Mas o BIA também será uma ferramenta instrumental para a
função de segurança, pois geralmente a área de Segurança da
Informação é a responsável por elaborar e executar o plano e as
tarefas do Plano de Continuidade do Negócio e Recuperação de
Desastres (BCDR). Junto com a determinação do valor dos ativos,
o BIA também revelará o Critical Path da organização; sem
conhece-lo, é impossível planejar adequadamente os esforços de
BCDR.
Existem muitas formas de conduzir uma BIA e fazer
determinações de valor de ativos. Estas formas incluem:
• Pesquisa
• Auditoria Financeira
• Resposta do Cliente
• On-site
• Guarda Externa de Dados

21
 Análise de Impacto ao Negócio – Cap. 5

Existem três abordagens gerais para fazer um backup:

• Full ou Completo: todos os dados do ambiente são copiados.

Essa é a opção mais cara e demorada, mas é a que fornece a
uma boa segurança e a mais completa do ambiente.

• Differential ou Diferencial: Todos os dados no ambiente que

foram alterados desde que o último backup completo (Full
Backup) foi executado. Ele é mais rápido, no entanto, seu
tempo para realização e a quantidade de dados aumentam até
que um novo backup completo (Full Backup) seja realizado.

• Incremental: todos os dados no ambiente que foram alterados

desde o último backup (Full backup ou Differential Backup)
foram executados. Este é o método de backup mais rápido, no
entanto podem ser necessárias várias leituras de várias
unidades de armazenamento até que se chegue na última
versão do dado ser recuperado.

“ O BIA é o esforço necessário para

determinar o valor de cada ativo da
organização, bem como o risco
potencial de perda deste ativo, as “
ameaças que podem afetar a
organização e o potencial de ameaças
comuns a que podem ocorrer
22
 CAPÍTULO SEIS
Estratégias de Recuperação

Os tipos de locais físicos alternativos, caso o escritório ou filial de

uma corporação tenha sua operação ou possibilidade de visitação
comprometida, incluem o seguinte:

• Hot Site: um site de operações totalmente funcional que

possui todo o hardware, software e conectividade prontos para
operar. É a opção mais cara.

• Warm Site: semelhante a um hot, esta opção normalmente

não tem a versão atual dos dados da organização e pode não
ter certos aspectos funcionais prontos para failover
instantâneo.

• Cold Site: Uma instalação vazia sem hardware, software ou

dados; serviços básicos podem podem estar conectados, mas
não ativos. Essa é a opção mais barata, mas é a que requer o
maior atraso entre a perda de funcionalidade no local
principal e a retomada do Critical Patch.

• Mobile Site: uma instalação móvel frequentemente montada

ou transportada por um veículo; ele pode fornecer
funcionalidade operacional para um número muito limitado
de usuários no Critical Path, mas não é limitado em
posicionamento e localização.
23
 Estratégias de Recuperação – Cap. 6

• Joint Operating Agreement (JOA)/Memorandum of

Understanding (MOU): O Acordo de operação conjunta
(JOA) e o Memorando de Entendimento (MOU) são técnicas
contratuais para a criação de locais operacionais alternativos;
eles criam uma parceria entre organizações sob a qual a
“Organização A” pode usar o site e os ativos da “Organização
B” se a “Organização A” for afetada por uma interrupção
significativa da produção (e vice-versa). Essa técnica
geralmente é mais eficaz para impactos localizados (aqueles
que afetam um prédio como, por exemplo, em um incêndio),
em oposição àqueles que afetam uma área metropolitana
inteira, pois ambas as organizações são frequentemente
afetadas no último caso.

• Vários locais de Processamento (Multiple Sites):

Algumas organizações que buscam minimizar o tempo de
inatividade e aprimorar os recursos de BCDR utilizam vários
locais de processamento para evitar os efeitos de um impacto
em qualquer local. Isso pode ser alcançado como um
JOA/MOU entre órgãos internos da organização; ramos
separados geograficamente podem servir como locais de
produção alternativos entre si no caso de uma contingência.
Para que essa técnica funcione corretamente, os dois sites
devem possuir a replicação de dados necessários para o
Critical Patch de um para o outro de forma constante ou
frequente.

24
 CAPÍTULO SETE
Tolerância a Falhas

Muitas organizações devido a natureza de seus negócios não

podem parar – hospitais, agências militares agencias de
inteligência, varejistas on-line de alto volume têm uma
necessidade maior de garantir que os recursos do BCDR sejam
eficazes. Seguem algumas técnicas abaixo:
Componentes sobressalentes suficientes:
• Uso de sistemas em cluster com replicação de dados;
• Redundância de energia;
o Sistemas de Alimentação Ininterrupta (UPS);
o Geradores de Energia adequados;
• RAID (Redundant Array of Independent Disks) em
configurações para uma redundância de todo um Array
(conjunto de discos) para outro em local físico diferente de
acordo com os riscos mapeados ou o apetite a risco;
• Hardware sobressalente (spare parts) e pré configurado para
rápida substituição de acordo com os riscos mapeados e
apetite a risco;

Estamos
“
chegando ao
fim...

25
 Considerações Finais

A nossa missão é levar o conhecimento para pessoas de

forma que este e outros materiais sejam um divisor de
águas em sua vida, projetando ela para um patamar
melhor ou até mesmo que este material seja usado como
uma referência para sanar dúvidas dos profissionais mais
experientes na área de Segurança da Informação.

Desejamos a você muito sucesso!

Go Hard!!!

Emerson Nascimento
Paulo Trindade

26