Plano de Continuidade

de Negócios
Objetivo

Contingenciar situações e incidentes

de segurança que não puderam ser
evitados.

Deve ser eficaz como um pára-quedas reserva o

é em um momento de falha do principal,
garantindo, apesar do susto, a vida do pára-
quedista em queda.
Segundo o DRI - Disaster Recovery Institute, de
cada cinco empresas que possuem interrupção
nas suas operações por uma semana, duas
fecham as portas em menos de três anos.

A empresa deve possuir diversos planos

integrados e focados em diferentes perímetros,
sejam físicos, tecnológicos ou humanos e,
ainda, preocupada com múltiplas ameaças
potenciais.
Análise de Impactos no Negócio

BIA - Business Impact Analysis

Esta etapa é fundamental para fornecer

informações para o perfeito dimensionamento
das demais fases de construção do plano de
continuidade.

Deve-se levantar o grau de relevância entre os

processos ou atividade que fazem parte do
escopo da contingência em função da
continuidade do negócio.
 BIA

PN3
PN1

PN2
1 NÃO CONSIDERÁVEL
2 RELEVANTE X
3 IMPORTANTE X
4 CRÍTICO X
5 VITAL X
 Ataque Sabotagem
Incêndio Greve
DoS Tolerância

PN1 X X 48 horas

PN2 X 5 horas

PN3 X X X 24 horas

PN4 X X 15 minutos
Estratégias de Contingência

Hot-site

Recebe esse nome por ser uma estratégia

“quente” ou pronta para entrar em
operação assim que uma situação de risco
ocorrer.
No caso de um servidor de banco de dados
estaríamos falando de milissegundos de
tolerância para garantir a disponibilidade do
serviço.
Warm-site

Essa estratégia se aplica a objetos com

maior tolerância à paralisação, podendo
sujeitar-se a indisponibilidade por mais
tempo.

Um exemplo seria um serviço de e-mail

Realocação de Operação

Essa estratégia objetiva desviar a atividade

atingida pelo evento que provocou a quebra de
segurança, para outro ambiente físico,
equipamento ou link, pertencentes a mesma
empresa.

Um exemplo seria redirecionar o tráfego de

dados de um roteador ou servidor com
problemas para outro que possua folga de
processamento e suporte o acúmulo de
tarefas.
Bureau de Serviços

Esta estratégia considera a possibilidade

de transferir a operacionalização da
atividade atingida para um ambiente
terceirizado, portanto, fora dos limites da
empresa.

Requer atenção na adoção de

procedimentos, critérios e mecanismos de
controle que garantam condições de
segurança adequadas à relevância e
criticidade da atividade contingenciada.
Acordo de Reciprocidade

Essa estratégia propõe a aproximação e um

acordo formal com empresas que mantêm
características físicas, tecnológicas ou humanas
semelhantes a sua, e que estejam igualmente
dispostas a possuir uma alternativa de
continuidade operacional.

Um exemplo seria o processo de impressão de

jornais.
Cold-site

Esta estratégia propõe uma alternativa de

contingência a partir de um ambiente com os
recursos mínimos de infra-estrutura e
telecomunicações, desprovido de recursos de
processamento de dados.

Aplicável a situações com tolerância à

indisponibilidade.
Auto-suficiência

Aparentemente uma estratégia impensada, a

auto-suficiência é, muitas vezes, a melhor ou
a única estratégia possível para determinada
atividade.

Isso ocorre quando nenhuma outra estratégia

é aplicável, quando os impactos possíveis não
são significativos ou quando estas são
inviáveis, seja financeiramente, tecnicamente
ou estrategicamente.
Planos de Contingência

São desenvolvidos para cada ameaça

considerada em cada um dos processo e
negócio pertencente ao escopo, definindo
em detalhes os procedimentos a serem
executados em estado de contingência.

Dividido em três módulos

Plano de Administração de Crise

Esse documento tem o propósito de definir

passo-a-passo o funcionamento das equipes
envolvidas com o acionamento da
contingência antes, durante e depois da
ocorrência do incidente.

Um exemplo seria o comportamento da

empresa na comunicação do fato à
imprensa.
Plano de Continuidade Operacional

Esse documento tem o propósito de definir os

procedimentos para contingenciamento dos
ativos que suportam cada processo de negócio,
objetivando reduzir o tempo de
indisponibilidade e, conseqüentemente, os
impactos potenciais ao negócio.

Um exemplo seria orientar as ações diante da

queda de uma conexão à Internet
Plano de Recuperação de Desastres

Esse documento tem o propósito de definir

um plano de recuperação e restauração
das funcionalidades dos ativos afetados
que suportam cada processo de negócio, a
fim de restabelecer o ambiente e as
condições originais de operação.

É fator crítico de sucesso estabelecer

adequadamente os gatilhos de
acionamento para cada plano de
contingência.
Teste de Invasão

Tem um papel importante e complementar

dentro do mapeamento dos riscos da
empresa.

Seu objetivo, diferente da análise de

riscos, não é mapear todas as ameaças,
vulnerabilidades e impactos, mas avaliar o
grau de segurança oferecido pelos
controles de segurança de determinado
perímetro.
É premissa para garantir a qualidade da
atividade definir claramente o perímetro que se
quer testar, a ação de que tipo de ameaça se
quer avaliar a proteção e, ainda, o tempo de
validade do teste.

A qualidade de um teste de invasão é medida

pelo grau de similaridade reproduzida pela
simulação em relação às práticas reais de
tentativa de invasão e não à obtenção de
resultados positivos ou negativos.
Tipos de Testes de Invasão

Interno
Define o ambiente interno da própria empresa-
alvo como o ponto de presença do analista
para execução do teste.

Eficiente devido aos altos índices de

tentativas de ataque e invasão realizados por
funcionários e recursos terceirizados.
Externo

Define um ambiente externo à própria

empresa-alvo como o ponto de presença do
analista para execução do teste.

Eficiência comprovada para situações que

visem simular acessos externos ao ambiente
corporativo, como em acessos remotos,
responsáveis por fatia representativa dos
ataque e invasões
Cego

Define a ausência de acesso a informações

privilegiadas sobre a estrutura física,
tecnológica e humana, a fim de subsidiar o
analista na execução do teste.

Não tem demonstrado grande eficiência

devido aos baixos índices de tentativas de
ataques e invasões sem qualquer informação
do alvo.
Não cego

Define a presença de acesso a informações

privilegiadas sobre a estrutura física,
tecnológica e humana, a fim de subsidiar o
analista na execução do teste.
Demonstra eficiência pela similaridade com
situações reais de ataque.
Política de Segurança
da Informação
Estabelece padrões, responsabilidades e
critérios ar ao manuseio, armazenamento,
transporte e descarte das informações dentro
do nível de segurança estabelecido sob
medida pela e para a empresa.

É subdividida em três blocos:

Diretrizes
Normas
Procedimentos e Instruções
Os elementos

Vigilância

Significa que todos os membros da organização

devem entender a importância da segurança
para a mesma, fazendo com que atuem como
guardiões da rede, evitando-se, assim, abusos
sistêmicos e acidentais.
Atitude

Significa a postura e a conduta quanto à

segurança. Sem a atitude necessária, a
segurança proposta não terá nenhum valor.

Estratégia

Diz respeito a ser criativo quanto às

definições da política e do plano de defesa
contra intrusões, além de possuir a
habilidade de ser adaptativo a mudanças no
ambiente, tão comuns no meio corporativo.
Tecnologia

A solução tecnológica deve ser adaptativa e

flexível, a fim de suprir as necessidades
estratégicas da organização.
 Atitude
Vigilância

Política de Segurança
de Sucesso

Estratégia Tecnologia
Segundo a norma ISO/IEC 17799, a política de
segurança deve seguir pelo menos as
seguintes orientações:

- Definição de segurança da informação, resumo

das metas, do escopo e da importância da
segurança para a organização, enfatizando seu
papel estratégico como mecanismo para
possibilitar o compartilhamento da informação e o
andamento dos negócios.
- Declaração do comprometimento do corpo
executivo, apoiando as metas e os princípios da
segurança da informação.
- Breve explanação das políticas, princípios,
padrões e requisitos de conformidade de segurança
no contexto específico da organização, por
exemplo:
- Conformidade com a legislação e eventuais
cláusulas contratuais;
- Requisitos na educação e treinamento em
segurança;
- Prevenção e detecção de vírus e
programas maliciosos;
- Gerenciamento da continuidade dos negócios;
- Conseqüências das violações na política
de segurança ;

- Definição de responsabilidades gerais e

específicas na gestão da segurança de
informações, incluindo o registro dos
incidentes de segurança;

- Referências que possam apoiar a política,

por exemplo, políticas, normas e
procedimentos de segurança mais
detalhados de sistemas ou áreas
específicas, ou regras de segurança que os
usuários deve seguir.
A política de segurança não deve conter detalhes
técnicos específicos de mecanismos a serem
utilizados ou procedimentos que devem ser
adotados por indivíduos particulares, mas, sim,
regras gerais e estruturais que se aplicam ao
contexto de toda a organização.

A política de segurança deve ser curta o

suficiente para que seja lida e conhecida por
todos os funcionários da empresa.
Considerações importantes

- Conheça seu inimigo;

- Contabilize os valores;

- Identifique, examine e justifique suas hipóteses;

- Controle seus segredos;

- Avalie os serviços estritamente necessários

para o andamento do negócio da organização;
- Considere os fatores humanos;

- Conheça seus pontos fracos;

- Limite a abrangência do acesso;
- Entenda o ambiente;

- Limite a confiança;

- Nunca se esqueça da segurança física;

- A segurança é complexa;

- A segurança deve ser aplicada de acordo com

os negócios da organização;
- As atividades de segurança formam um
processo constante.
Alguns detalhes que podem ser definidos com
base na análise do ambiente da rede e de seus
riscos, seriam:

A segurança é mais importante que o serviço;

A política de segurança deve evoluir
constantemente;
Aquilo que não for expressamente permitido
será proibido;
Nenhuma conexão direta com a rede interna,
originária externamente, deverá ser permitida
sem que um rígido controle de acesso seja
definido e implementado.
Os serviços devem ser implementados com a
maior simplicidade possível, evitando-se a
complexidade e a possibilidade de configurações
erradas.
Devem ser realizados testes, a fim de garantir
que todos os objetivos sejam alcançados.

O acesso remoto discado, quando necessário,

deve ser protegido.

Nenhuma senha deve ser fornecida “em claro”.

A implementação

Implementar é adquirir, configurar e aplicar

os mecanismos de controle de segurança a
fim de atingir o nível de risco adequado

Pode ser considerada a parte mais difícil da

política de segurança da informação
Os maiores obstáculos para a implementação

“Desculpe, não existem recursos financeiros

suficientes e as prioridades são outras.”

“Por que você continua falando sobre a

implementação da política ?”

“Foram feitos todos os esforços para o

desenvolvimento da política, isso é tudo ?”
“Temos realmente que fazer tudo isso ?”

“O que você quer dizer com existem dependências ?”

“O que você quer dizer com ninguém sabe o que

fazer depois ?”

“Desculpe, isso é muito complexo.”

“A política de segurança vai fazer com que eu

perca meu poder ?”
“Por que eu tenho que me preocupar com
isso ? Esse não é meu trabalho.”

“Não podemos lidar com isso, pois não temos

um processo disciplinar.”