Escolar Documentos
Profissional Documentos
Cultura Documentos
AUDITORIA DE
INFORMAÇÃO
Introdução
Saber conduzir um negócio é sempre um desafio, principalmente porque,
por mais planejamento que uma organização tenha, ela nunca conse-
guirá garantir sua segurança integral. Isso ocorre porque há variáveis
externas à empresa que representam ameaças, como pessoas maliciosas
que tentarão obter dados sigilosos de forma ilícita, hackers que tentarão
atacar os bancos de dados para prejudicar a imagem da corporação,
demonstrando o quão frágil ela é, ou mesmo a ocorrência de desastres
naturais, impossibilitando que a organização funcione adequadamente.
Para minimizar esses cenários negativos, a empresa precisa ter sempre
um plano B para os assuntos mais críticos.
Se não houver planejamento para o cenário de crise, o resultado
será certamente um caos, pois, sem papéis definidos, o cenário que se
desenhará no desastre será semelhante ao de uma orquestra em que cada
um toca seu instrumento no tom que achar mais adequado à situação.
O resultado geral não será outro a não ser uma dissonância certamente
desagradável aos ouvidos. É por isso que um plano de contingência é
necessário.
Neste capítulo, você vai estudar o plano de contingência, vendo
quais são suas características e as nuances envolvidas em sua elaboração,
quando se trata de incidentes de segurança.
2 Plano de contingência
Um exemplo bastante conhecido de crise para a qual não existiu planejamento ocorreu
em 2008 com o vírus Conficker. A praga digital se espalhou rapidamente via internet,
infectando milhões de computadores no mundo, que respondiam a comandos en-
viados por um servidor remoto. Na ocasião, empresas importantes (algumas inclusive
listadas na revista Fortune) simplesmente não tinham um plano de respostas a incidentes
para a deflagração do vírus. As pessoas responsáveis pelas chamadas telefônicas
dessas empresas, e que deveriam verificar o problema, não tinham um protocolo
para seguir e, portanto, não sabiam o que fazer. A única coisa que sabiam era que os
computadores dessas empresas estavam se comunicando com a internet de forma
nada habitual (MCCARTHY, 2014).
Com uma unidade de comando, ganha-se em coesão, pois todo o processo de to-
mada de decisão é unificado. Todavia, há organizações que preferem a decisão na
forma coletiva. Independentemente do tipo de decisão, o fator mais importante a ser
lembrado é que o mecanismo de tomada de decisão seja capaz de gerar um caminho
a ser tomado durante a crise.
o tempo todo de pé. Esse princípio pode ser adaptado a qualquer empresa,
independentemente do seu tamanho e área de atuação, e utilizado para tornar
os encontros mais produtivos e o planejamento, mais eficaz. Evitar reuniões
em salas confortáveis, com café e água à disposição, pode ajudar. Pode parecer
meio estranho, mas quando se está em uma cadeira confortável com serviço
de copa à disposição, o risco de se desviar do assunto a ser tratado é grande.
O responsável pela elaboração do plano de contingência precisa ser focado e
mostrar aos executivos que suas reuniões, de fato, não são tempo jogado fora.
Use stand-up meetings com muito cuidado, porque os propósitos dessa reunião são
para conversas e alinhamentos rápidos. Se você precisar decidir algo mais denso,
desconsidere esta opção!
Detecção e análise
de incidentes
Declaração do incidente
e mobilização
Pós-incidente
1. Término
2. Estatísticas
3. Lições aprendidas
Manutenção do plano
1. Atualizações trimestrais
2. Teste anual
3. Treinamento periódico
de crise, assim como uma análise técnica se faz necessária para determinar
a gravidade de uma crise.
Toda essa documentação deve ser examinada pelos especialistas da orga-
nização, que são da área de negócios, pois eles é que são capazes de avaliar
os impactos e suas consequências quando uma ameaça se concretizar. A TI
só implementa, na forma da tecnologia, o desejado pela área de negócios na
hora de dar a continuidade a um serviço quando a ameaça se concretizar.
E, quando a ameaça se concretiza, é fundamental saber quem faz o que e
quando durante a crise. Ao fim da crise, será hora de avaliar o aprendizado,
o que saiu bem e o que não foi exemplar e, a partir dessas entradas, melhorar
o plano com as lições aprendidas.
Mas o que devemos elencar em um plano de contingência? O objetivo do
plano é reduzir ao máximo as consequências negativas para a empresa. Neste
sentido, o risco deve ser quantificado de forma a listar as prioridades a serem
tratadas como preparo à continuidade do negócio. McCarthy (2014) sugere
uma fórmula simples:
Todo esse registro de documentação precisa ser bem gerenciado para futuras consultas,
demonstrações para auditorias e até mesmo defesa contra ações civis para demonstrar
que o assunto foi conduzido de forma séria. Considere uma solução de ECM (enterprise
content management) para isto.
10 Plano de contingência
Uma ressalva importante sobre o último item (ignorar o risco): ele não necessariamente
representa algo negativo. Uma empresa, ao identificar determinado risco, pode nada
fazer a seu respeito, porque pode ter avaliado que, se ele se materializar, não gerará
impacto, ou o impacto será mínimo. Pode ocorrer ainda que o custo para minimizar
o risco seja muito maior do que o prejuízo gerado pela ocorrência do desastre.
Plano de contingência 13
Leitura recomendada
PEIXOTO, M. C. P. Engenharia social e segurança da informação. Rio de Janeiro: Brasport,
2006.