Plano de Contingência

Segurança da Informação
Fontes de ameaças da
segurança da informação
 Fraudes eletrônicas
 Espionagem
 Sabotagem
 Vandalismo
 Fogo
 Inundação
 Funcionários
 Softwares
Objetivos da segurança da
informação
 Confidencialidade ou privacidade
 Integridade dos dados
 Disponibilidade
 Consistência
 Isolamento ou uso legítimo
 Auditoria
 Confiabilidade
Plano de Contingência e Continuidade
de Serviços de Informática

 Definição

 Conjunto de procedimentos definido formalmente

para permitir que os serviços de processamento
de dados continuem a operar, dependendo da
extensão do problema, com um certo grau de
degradação, caso ocorra algum evento que não
possibilite seu funcionamento normal.
Plano de Contingência e Continuidade
de Serviços de Informática

 Objetivo

 O Objetivo do Plano de Continuidade de Serviços

não é dar lucro e sim evitar maiores prejuízos.
Plano de Contingência e Continuidade
de Serviços de Informática

 Uma das metas é minimizar o tempo de

parada.

 Deve fazer parte de uma estratégia ou

política de continuidade de negócios mais
abrangente na empresa
Fases do Planejamento de
Contingência
 Análise das Diversas Alternativas de Recuperação

 Prevenção de acidentes
 Backup
 Armazenamento de dados
 Recuperação de dados
 Procedimentos manuais
 Seguros
 Acordos Comerciais
 Soluções Internas
 Relatório das Alternativas para a Recuperação dos Serviços
Computacionais
Desenvolvimento do Plano de
Contingências

 Designação de grupo de recuperação de

contingências

 Resposta imediata a um desastre

 Identificar e compreender o problema
 Conter os danos, limitando ou parando o
problema
Desenvolvimento do Plano de
Contingências
 Determinar os danos causados
 Restaurar os sistemas
 Eliminar as causas
 Comunicar o problema e as soluções aos
interessados, contatar seguradoras, etc.
 Escolha da instalação reserva
 Identificação de aplicativos críticos
 Inventário de arquivos e programas críticos
 Identificação de requerimentos de sistema
Desenvolvimento do Plano de
Contingências
 Identificação de requerimentos de rede de
telecomunicações
 Identificação de documentação e suprimentos
necessários
 Procedimentos de recuperação na instalação reserva
 Contatos com fornecedores

 Cuidados Adicionais
 Retirada do pessoal
 Documentos em papel
 Documentos em meios magnéticos
Exemplos de plano de Contingência:
- Contingência em relação aos recursos tecnológicos - Contrato de
manutenção com reposição de equipamento em caso de
indisponibilidade, dentro de um prazo mínimo, que não interfira no
funcionamento operacional da empresa (continuidade operacional);
Servidores redundantes nas áreas críticas.
- Centro de Processamento de Dados – Utilização temporária de
servidores das outras áreas, com carga dos backups, redirecio-
namento dos equipamentos de rêde (switchs, roteadores, etc ).
- Backbones – Políticas definidas em caso de indisponibilidade dos
backbones corporativos, departamentais ou gerais.
- Equipamentos de Rede, Roteadores e Linhas – Acionamento dos
recursos reserva.
- Contingência em relação a aplicativos críticos – Uso de hot-site
contratado ou parceria de contingência.
- Definição da Matriz de Responsabilidades – Atribuição de tarefas,
responsabilidades e autoridades
Exigências legais

 Código Civil Brasileiro - Lei 10.404/2002

 Código de Defesa do Consumidor - Lei
8078/1990
 Resolução 3.380 do Conselho Monetário
Nacional
Normatizações nacionais e
internacionais
 NBR ISO IEC 27001: Prevê que o Plano de Contingência seja documentação testada e
integrante do Chamado SGSI ( Sistema de Gestão de Segurança da Informação), que é o
resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos,
modelos e outras medidas administrativas que, conjuntamente, definem como são
reduzidos os riscos para segurança da informação. (A.14) Também prevê a implantação
no modelo PDCA (Plan-Do-Check-Act ou Planejar-Executar-Verificar-Agir) onde não basta
possuir documentação, é preciso demonstrar que tudo foi absolutamente testado.

 ISO/IEC 27002: Prevê a "Gestão da Continuidade do Negócio" onde demonstra

imperativo que empresas detenham um Plano de Contingência testado e atualizado.

 Sarbanes-Oxley: É uma lei dos USA, motivada por escândalos financeiros coorporativos.
A lei, apelidada de Sarbox ou ainda de SOX, visa garantir a criação de mecanismos de
auditoria e segurança confiáveis nas empresas, de modo a mitigar riscos aos negócios,
evitar a ocorrência de fraudes ou assegurar que haja meios de identificá-las quando
ocorrem. Prevê a necessidade de um plano de gerenciamento de Riscos.
  Condições e procedimentos para ativação do Plano (como se avaliar a
situação provocada por um incidente);

Itens de um Procedimentos a serem seguidos imediatamente após a ocorrência de um


desastre (por exemplo, contato eficaz com as autoridades públicas
apropriadas: polícia, bombeiro, governo local);

Plano de  Instalação reserva, com especificação dos bens de informática nela

disponíveis, como hardware, software e equipamentos de telecomunicações;

Contingência A escala de prioridade dos aplicativos, de acordo com seu grau de


interferência nos resultados operacionais e financeiros da organização. Quanto
mais o aplicativo influenciar na capacidade de funcionamento da organização,
na sua situação econômica e na sua imagem, mais crítico ele será;
 Arquivos, programas, procedimentos necessários para que os aplicativos
críticos entrem em operação no menor tempo possível, mesmo que
parcialmente;
 Sistema operacional, utilitários e recursos de telecomunicações necessários
para assegurar o processamento dos aplicativos críticos, em grau pré-
estabelecido;
  Documentação dos aplicativos críticos, sistema operacional e utilitários,
bem como suprimentos de informática, ambos disponíveis na instalação
reserva e capazes de garantir a boa execução dos processos definidos;
 Dependência de recursos e serviços externos ao negócio;

Itens de um  Procedimentos necessários para restaurar os serviços computacionais

na instalação reserva;
Pessoas responsáveis por executar e comandar cada uma das
Plano de

atividades previstas no Plano (é interessante definir suplentes, quando se
julgar necessário);
Contingência  Referências para contato dos responsáveis, sejam eles funcionários ou
terceiros;
(continuação)  Organizações responsáveis por oferecer serviços, equipamentos,
suprimentos ou quaisquer outros bens necessários para a restauração;
 Contratos e acordos que façam parte do plano para recuperação dos
serviços, como aqueles efetuados com outros
Treinamento
 Teste
 Teste Integral
 Teste Parcial
 Teste Simulado

 Avaliação dos Resultados e Atualização do

Plano
Backup
 São cópias de segurança efetuadas para a
continuidade dos serviços e negócios caso ocorram
acidentes.
 O acidentes podem ser de causas naturais (queima
de hardware) ou gerados por ataques de crackers
ou vírus.
 As cópias de segurança deverão permitir a
restauração rápida e confiável dos dados para se
restabelecer os serviços.
Dispositivos para Backup

Discos Magnéticos - Winchester

Fitas Magnéticas

CD ou DVD

Fitas Magnéticas - Custo baixo e

grande capacidade de Memória Flash – Pen Drives
armazenamento
Tipos de Backup
 São cinco tipos:

 Backup completo;
 Backup incremental;
 Backup diferencial;
 Backup de cópia;
 Backup diário;

 Os três primeiros métodos de backup são os mais

usados.
Backup completo
 Todos os arquivos no disco são armazenados em fita e o bit
de arquivo de todos os arquivos são desligados.
Backup incremental
 Faz backup de todos os arquivos que foram criados ou modificados
desde o último backup completo. É importante lembrar de duas
particularidades do backup incremental. Uma, é que ele não
funciona junto com o backup completo e a outra, é que qualquer
arquivo criado ou modificado tem seu bit de arquivo religado para
que seja salvo na fita durante o próximo backup incremental.
Backup diferencial
 Faz backup de todos os arquivos que foram criados ou modificados desde
o último backup completo. Isso parece ser igual ao backup incremental,
mas a diferença é que mesmo que o arquivo seja salvo em fita, o bit de
arquivo não é desligado. Isso significa que cada vez que um backup
diferencial for feito, todos os arquivos modificados ou criados desde o
último backup completo serão armazenados novamente.
Backup de cópia
 Faz backup de arquivos selecionados pelo usuário em fita.
Esse backup também não desliga o bit de arquivo.
Backup diário
 Faz backup somente de arquivos que são modificados no dia
do backup. Esse backup também não desliga o bit de arquivo
como desativado.
RAID
 RAID - Redundant Array of Inexpensive Disks

 RAID 0
 Reparte os dados por vários discos, sem paridade, para
que não haja redundância;

 RAID 1
 O espelhamento de disco e a duplexação de disco gravam
dados em duas partições idênticas de discos rígidos
separados, criando, assim, um backup automático;
Outras técnicas de redundância
 RAID 5
 Reparte os dados e paridade por vários discos (pelo menos
três para RAID 5).
Conclusão
Plano de Contingência
responder às seguintes questões
 Por quê?
 Para quê?
 O quê?
 Quando?
 Quem?
 Como?
 Onde?
 Quanto?
Formato Geral
do Plano de Contingência
• Introdução
• Objetivo
• Diagnóstico/Justificativa
• Desenvolvimento:
Critérios e Condições de acionamento
Ações
Atribuições e Responsabilidades
Área de Atuação e Público Alvo
 O planejamento para continuidade do
negócio deve considerar:
a) as condições para ativação dos planos (como se avaliar a situação,
quem deve ser acionado, etc.);
b) os procedimentos de emergência que descrevam as ações a serem
tomadas após a ocorrência de um incidente que coloque em risco as
operações do negócio e/ou vidas humanas.
c) a transferência das atividades essenciais do negócio ou os serviços
de infra-estrutura para localidades alternativas temporárias e para a
reativação dos processos do negócio no prazo necessário;
d) as ações a serem adotadas quando do restabelecimento das
operações;
e) como o plano deverá ser testado e a forma de se proceder à
manutenção deste plano;
f) desenvolvimento de atividades educativas e de conscientização
g) designação das responsabilidades individuais, descrevendo quem é
responsável pela execução de que item do plano.
Exercício
 Por que o Plano de Continuidade de
Serviços é necessário?

 É problema específico do Departamento de

Informática ou de toda a Empresa?

 As decisões devem ser tratadas como

decisões técnicas do Departamento TI ou
como decisões de negócios?
Exercício (continuação)
 Que itens podem ser incluídos em um Plano
de Continuidade de Serviços é necessário?

 Descreva duas tecnologias que podem ser

adotadas para garantir a continuidade de um
negócio.