Plano de Contingncia

Grupo:
Carlos Phillip Cssio Bueno Edison Duarte Genilda Gomes Israel Castro Leandro Sena Rafael Henrique Robson Moura Rogrio Souza Wallysson Mateus Charlan

Tpicos:
3 Planos ok 4 R (Resposta, Reassuno, Recuperao e Restaurao). ok Aplicao Estratgias de Contingncia ok Fases do Plano de Contingncia ok Vantagens ok Desvantagens Casos Reais ok
3

Introduo
Toda empresa com potencial de gerar uma ocorrncia anormal, cujas conseqncias possam provocar srios danos a pessoas, ao meio ambiente e a bens patrimoniais, inclusive de terceiros, devem ter, como atitude preventiva, um Plano de Contingncia (ou Emergncia).

Conceito
o conjunto de procedimentos para permitir que os servios continuem a operar, ou que tenham condies de serem restabelecidos em menor tempo possvel.

Causas Comuns
Os incidentes mais comuns que causam a contingncia na rea de sistemas so: Incndios Greves Catstrofes Ambientais Falta de energia Ataques de Hackers Vrus de computador Atentados terroristas

Os procedimentos mais simples de contingncia so:

Manter backup regular das bases de dados, Manter um 'site de contingncia' sempre atualizado; Possuir ferramentas seguras para acesso aos dados remotamente ; Ter cpias completas e atualizadas de servidores vitais; Manter senhas em local seguro;

3 Planos

Plano de Continuidade Operacional Tem o propsito de definir os procedimentos para contingenciamento dos ativos que suportam cada processo de negcio. Plano de Recuperao de Desastres Tem o propsito de definir um plano de recuperao e restaurao das funcionalidades dos ativos afetados que suportam os processo de negcio. Plano de Administrao de Crise Este documento tem o propsito de definir passoa-passo o funcionamento das equipes envolvidas com o acionamento da contingncia antes, durante e depois da ocorrncia do incidente.

Riscos Envolvidos
So vrios os riscos envolvidos na criao e anlise de um Plano de Contingncia.

A gesto de segurana da informao se divide em trs camadas: fsica, lgica e humana.

Figura 6: Classificao das ferramentas de segurana em camadas

10

Estratgias de Contingncia
Para a definio de um Plano de Contingncia, deve se escolher as possveis estratgias de contingncia para cada rea ou departamento da organizao, preciso analisar qual estratgia mais adequada para a empresa. Esta deciso pressupe a orientao obtida por uma anlise de riscos e impactos que gere subsdios para apoiar a escolha mais acertada.

Nvel de tolerncia. Nvel de risco.

11

Hot-Site
Pronta para entrar em operao assim que uma situao de risco ocorrer. Tempo de tolerncia falhas mnimo.

Ex: Um servidor de banco de dados, so milissegundos de tolerncia para garantir a disponibilidade do servio mantido pelo equipamento. Espelhamento de Servidores.

12

Warm-Site
Processos com tolerncia maior do tempo de
indisponibilidade, at o retorno operacional da atividade.

Ex: Urna Eletrnica, ao longo do tempo em que utilizamos a votao eletrnica, algumas urnas tiveram que ser substitudas, por outras igualmente eletrnicas e em alguns casos por voto de papel.
13

Cold-Site
Um ambiente com os recursos mnimos de infra-estrutura e telecomunicaes, desprovido de recursos de processamento de dados. Aplicvel situao com tolerncia de indisponibilidade ainda maior.
A IBM e a SUN Microsystems tm Datacenters montados em containers, que podem ser transportados sobre caminhes para o local do desastre. Basta existir um link de comunicao e gerao de energia para alimentar os equipamentos.
14

Realocao de Operao
Desvia a atividade atingida pelo evento que provocou

a quebra de segurana, para outro ambiente fsico, equipamento ou link, pertencentes mesma empresa. Precisa da existncia de folgas de recursos que podem ser alocados em situaes de crise.

15

Bureau de Servios
Transfere a atividade para um ambiente terceirizado, fora dos
domnios da empresa. Requer um tempo de tolerncia maior em funo do tempo de reativao da atividade, torna-se restrita a poucas situaes. Necessita de procedimentos, critrios e mecanismos de controle que garantam condies de segurana adequadas relevncia da atividade contingenciada.

16

Acordo de Reciprocidade
Demanda de investimentos de contingncia
so inviveis ou incompatveis com a importncia da mesma. Definem em Conjunto as situaes de contingncia e definem os procedimentos de compartilhamento de recursos. O risco alto quando a reciprocidade ocorre entre empresas pseudoconcorrentes que se unem exclusivamente com o propsito de reduzir investimentos.

17

Auto-suficincia
Aparentemente uma estratgia impensada, a auto-suficincia
muitas vezes a nica estratgia possvel para determinada atividade. Isso ocorre quando nenhuma outra estratgia aplicvel, quando os impactos possveis no so significativos ou quando estas so inviveis, seja financeiramente, tecnicamente ou estrategicamente.

18

Os 4R dos componentes do planejamento de contingncias so:

I. Resposta. II. Reassuno. III. Recuperao. IV. Restaurao.

19

Manejo de Emergncias:
Inclui a reassuno, a recuperao e a restaurao. Requer coordenao, direo e cuidadoso planejamento. Abrange: Poltica de recursos humanos; Poltica de relaes publicas; Poltica de servios para os clientes Poltica de notificao de emergncias

20

Fases do Plano de Contingncias

Atividades preliminares

Comprometimento da alta gerncia

Estudo preliminar Anlise de Impactos Tipos diretos e indiretos

Identificao dos recursos, funes e sistemas crticos

Definio do tempo limite para recuperao Relatrio de anlise de impacto

21

Fases do Plano de Contingncias

Anlise das Diversas Alternativas de Recuperao Preveno de acidentes Backup Armazenamento de dados Recuperao de dados Procedimentos manuais Seguros Acordos comerciais

Acordos de Reciprocidade
Solues internas
22

Fases do Plano de Contingncias

Desenvolvimento do Plano de Contingncias

Aps as anlises, discusses e obteno da viso geral dos sistemas, recursos e funes, o prximo passo colocar todas as estratgias em um documento.
Um plano deve cobrir duas fases:

Resposta Imediata envolve decises gerenciais, como levar o plano adiante e tomar medidas corretivas.
Processo de Restaurao define os passos a serem seguido no local escolhido como instalao reserva.

Designao do Grupo de Recuperao de Contingncias Para colocar em prtica o plano.

23

Fases do Plano de Contingncias

Treinamento Cada funcionrio deve estar consciente de suas responsabilidades em caso de emergncia, sabendo exatamente o que fazer. Teste Assim como a organizao testa seu sistema contra incndios, deve testar seu plano de contingncias.

Atualizao do plano
Um plano ter pouca ou nenhuma utilidade se for colocado em uma gaveta e nunca for testado ou avaliado. Lista de verificaes ( falta dados)

24

Vantagens
Reduo do custo de danos, caso um desastre ocorra. Prmios de seguro normalmente mais baixos. Melhora na comunicao e relacionamento entre departamentos. Aumento na conscientizao entre os funcionrios da importncia da segurana e do valor do patrimnio que est sendo protegido.

25

Desvantagens

?
26

Casos Reais
Brasil corte de energia eltrica (apago) 2001 e 2002

27

28

29

CASO 1: Deutsche Bank

O Banco tinha 2 escritrios funcionando no World Trade Center e j operava os seus sistemas quase que normalmente no dia seguinte ao atentado terrorista de 11 de Setembro 2001. Requisitos da Norma: Cpias de Segurana Gesto da continuidade do negcio Estes requisitos definem regras para evitar a interrupo do negcio e proteger os processos crticos contra efeitos de falhas ou desastres significativos. Resultado: atendido Preservao: disponibilidade
30

CASO 2: Ataque de vrus na Samarco

Em maio de 2000 o vrus I love you invadiu o servidor de correio da Samarco provocando paralisao de 1 semana dos servios. Requisitos da Norma: Controles contra software malicioso (8.3.1) Este requisito estabelece que sejam adotadas medidas de precauo para prevenir e detectar softwares maliciosos. A norma recomenda que seja adotada uma poltica formal, anlise crtica dos softwares, procedimento para gerenciamento, planos de contingncia e monitoramento constante do ambiente computacional. Resultado: ! no atendido Comprometimento: disponibilidade

31

W97M/ Melissa : Maro de 1999

Vrus de macro para documentos Word, espalhou-se rapidamente e forou empresas como Intel e Microsoft, a fechar seus sistemas de e-mail, para conter a praga, que se disseminava via Outlook. Era enviado pela Internet, modificava documentos do Word colocando falas do programa de televiso Os Simpsons. Causou danos estimados em US$ 300 milhes a US$ 600 milhes.

32

O nico sistema verdadeiramente seguro aquele que est desligado, desplugado, trancado num cofre de titanium, lacrado, enterrado em um bunker de concreto, envolto por gs nervoso e vigiado por guardas armados muito bem pagos. Mesmo assim, eu no apostaria minha vida nisso. (Gene Spafford, Diretor de Operaes de Computador, Auditoria e Tecnologia da Segurana Purdue University, Frana)

33

Concluso
Cada vez mais as organizaes so dependentes dos processos da TI. Diante deste cenrio, as empresas tm buscado meios de garantir a disponibilidade dos servios, uma das maneiras de garantir isso so os acordos de nveis de servios, na qual estabelece um percentual de disponibilidade que deve ser cumprido. Desta forma, faz-se necessrio elaborar um contingenciamento da infra-estrutura, dos sistemas e dos servios utilizados nas empresas.

34