plano contigencia-ti-reagir-desastres

Download Plano contigencia-ti-reagir-desastres

Post on 19-Jul-2015

68 views

Category:

Internet

0 download

Embed Size (px)

TRANSCRIPT

  • 1

    Texto apresentado na Ps-Graduao em Segurana da Informao da FacSENAC/DF Abril de 2011

    PLANO DE CONTINGNCIA DE TI: PREPARANDO SUA EMPRESA PARA REAGIR A DESASTRES E MANTER A CONTINUIDADE DO NEGCIO

    Daniel Andrade, Eric Vinicius2, Gabriel Mafra2, Lcio Flvio, Marcos Henrique e Ulisses Sepulvedo, Edilberto Silva2

    2 Ps-Graduao em Segurana da Informao, FACSENAC-DF, Braslia-DF

    daniel.tecnologia.ti@gmail.com; ericovis@gmail.com; gabriel_d.m@hotmail.com; lucioflavio@live.com; marcoshhenrique@gmail.com; sepulvedo@hotmail.com;

    edilms@yahoo.com

    Resumo. No h uma empresa que no precise de um sistema de informao seja para auxiliar na gerncia dos negcios, para tratamento dos dados, a fim de gerar informao e/ou para auxiliar na tomada de deciso. Com a dependncia cada vez maior destes sistemas, as empresas se veem obrigadas a garantir a sua disponibilidade, tanto para prestao de um servio crtico quanto para manter os negcios sempre disponveis no importa o porte da empresa um plano de contingncia fundamental para garantir disponibilidade a estes sistemas. A combinao do Plano de Administrao de Crise, do Plano de Continuidade Operacional e do Plano de Recuperao de Desastre perfazem o plano de contingncia o qual trata os riscos de um sistema de informao ficar indisponvel, preservando assim a qualidade dos negcios ou do servio prestado.

    Abstract: There not a company that does not need an information system for to help run the business for data processing in order to generate information and / or to assist in decision making. With the increasing reliance of these systems, companies find themselves obliged to ensure their availability, for to provide a critical service or to keep your business always available no matter the size of the company a contingency plan is essential to ensure the availability these systems. The combination of the of Plans Crisis Management Plan, Business Continuity Plan and the Disaster Recovery Plan make up of the Contingency Plan which seeks to address the risk of an information system becomes unavailable thus preserving the quality of business or service.

    Palavras-chave: Sistema de Informao, Disponibilidade, Plano de Contingncia.

  • 2

    Texto apresentado na Ps-Graduao em Segurana da Informao da FacSENAC/DF Abril de 2011

    1 INTRODUO

    A informao tornou-se um dos ativos mais importantes para a sobrevivncia e sucesso de uma organizao. Independente do porte da empresa, o sistema de informao utilizado a chave principal para seu funcionamento. Ele contribui com a qualidade (do atendimento, da entrega, do produto, da prestao do servio), proporciona a viso para negcios futuros, d presteza busca da informao desejada e indispensvel para a continuidade do negcio.

    Sem um sistema de informao adequado, a empresa demoraria dias para realizar seus processos. Imagine uma empresa que possui um site para venda de seus produtos na internet. Se este ficar fora do ar por dez minutos, certamente ela perder um grande volume de vendas. Num outro caso, uma empresa provedora de internet, com hospedagem e outros servios, sua indisponibilidade por algumas horas causaria um grande transtorno para outras empresas e seus clientes.

    Toda essa importncia dada s informaes, aos sistemas e ativos da empresa leva reflexo do quanto se est preparada para a ocorrncia de um incidente.

    Tendo em vista tais fatores e muitos outros que poderiam ser mencionados, faz-se importante adotar um plano de contingenciamento, no s em razo dos equipamentos e os processos em tecnologia da informao ser falhos como tambm pelo fato de estarem sujeitos a inmeros riscos dentro ou fora da organizao. O intuito deste artigo apresentar o desenvolvimento de um plano de contingncia a fim de garantir a continuidade do negcio, abordando seus conceitos, fases e melhores prticas que compem o plano de contingncia (GUINDANI, 2008).

    Com plano de contingncia, que tem por objetivo descrever os passos a seguir para restabelecer os servios caso haja uma paralisao nos sistemas de informao ou nos servios prestados, bem elaborado, testado e principalmente incorporado cultura da organizao possvel mitigar ao mximo o impacto da concretizao de um risco. importante assim conscientizar os profissionais, principalmente de TI, a importncia de estarem preparados para desastres de modo a criarem medidas para que os impactos sejam os mnimos possveis.

    A estruturao deste documento permitir saber, em primeiro lugar, a importncia do Gerenciamento de Continuidade do Negcio e sua ligao com a Segurana da

  • 3

    Texto apresentado na Ps-Graduao em Segurana da Informao da FacSENAC/DF Abril de 2011

    Informao. Em seguida ser apresentado o conceito, as fases e melhores prticas para um Plano de Contingncia incluindo os planos de Recuperao de Desastres, Plano de Administrao de Crises e Plano de Continuidade Operacional.

    As melhores prticas, ou boas prticas, mais difundidas sero avaliadas e apresentadas, neste trabalho, de modo a auxiliar na elaborao de um plano de contingncia de TI que atenda a qualquer empresa independente do ramo de atividade e da configurao do ambiente, ser abordado tpicos que so essenciais a qualquer empresa que utilize um sistema de informao em sua estrutura.

    2 PLANO DE CONTINGNCIA

    Segundo AMARO (2004), o plano de contingncia deve ser parte da poltica de segurana de uma organizao complementando assim o planejamento estratgico desta. Nele so especificados procedimentos pr-estabelecidos a serem observados nas tarefas de recuperao do ambiente de sistemas e negcios, de modo a diminuir o impacto causado por incidentes que no podero ser evitados pelas medidas de segurana em vigor.

    Para SILVA et al. (2009), mais de um plano necessrio para complementar o plano de contingncia, para cada processo do negcio um escopo de procedimentos detalhado para atender o estado de contingncia. Os planos de continuidade operacional (PCO), de administrao de crises (PAC) e de recuperao de desastres (PRD) cumprem esse propsito.

    Os autores afirmam ainda que o sucesso na execuo desses planos depende do estabelecimento adequado de rotinas de acionamento para cada um dos planos de continuidade, ou seja, so necessrios parmetros de tolerncia para sinalizar o incio da operacionalizao da contingncia de modo a evitar acionamentos prematuros ou tardios.

    SILVA et al. (2009), apresentam o plano de administrao de crises como um documento que define as responsabilidades dos membros das equipes envolvidas com o acionamento da contingncia antes, durante e depois da ocorrncia do incidente, alm de definir os procedimentos a serem executados pela mesma equipe no perodo de retorno normalidade. Afirmam que o plano de continuidade operacional definiu os procedimentos para contingenciamento dos ativos que suportam cada processo de negcio com objetivo de diminuir o tempo de

  • 4

    Texto apresentado na Ps-Graduao em Segurana da Informao da FacSENAC/DF Abril de 2011

    indisponibilidade e os impactos ao negcio. Para os autores, o plano de recuperao de desastres tem o propsito de definir um plano de recuperao e restaurao das funcionalidades dos ativos afetados que suportam os processos de negcio, buscando restabelecer o ambiente e as condies originais de operao, no menor tempo possvel.

    A metodologia proposta neste trabalho com o objetivo de orientar as empresas em como elaborar um plano de contingncia dentro de seu ambiente, abordando os trs planos que integram o plano de contingncia que so: Plano de Administrao de Crise, Plano de Continuidade Operacional e Plano de Recuperao de Desastre.

    Na apresentao do mapeamento (figura 1), que o mapeamento de processos e atividades necessrias para elaborao e implantao de Plano de Contingncia, abordado de maneira bem singular a necessidade de se ter, previamente, uma poltica de segurana publicada e um ciclo de tratamento de risco na qual envolve a identificao dos ativos, as vulnerabilidades destes ativos, quais os riscos identificados e quais os riscos que sero de fato tratados.

    2.1 Plano de Administrao de Crise

    Para GUINDANI (2008), a administrao de crises trata-se de algo contnuo, abrangente e integrado que as organizaes executam procurando ao mesmo tempo entender o que se passa e se proteger evitando um impacto ainda maior na empresa.

    O principal objetivo do Plano de Administrao de Crises (PAC) definir os procedimentos a serem executados at o retorno normal das atividades da organizao. Esse plano define os passo a passo o funcionamento das equipes antes, durante e depois da ocorrncia do incidente.

    De acordo com GEHRKE (2008), as empresas devem elaborar um manual para Administrao de Crises. O autor fala tambm que cada empresa necessita criar um comit gestor de crise, que se rena pelo menos uma vez por semestre e a cada novo evento significativo, para analisar os planos e os cenrios adversos que podem influenciar a empresa.

    Entre as atribuies desse comit destacam-se, entre outras: a) Saber quais as partes da estrutura da empresa so essenciais e no podem

    parar;

  • 5

    Texto apresentado na Ps-Graduao em Segurana da Informao da FacSENAC/DF Abril de 2011

    b) Conhecer bem as instalaes e servios da empresa, nas diversas unidades; c) Estabelecer a funo principal de cada envolvido; d) Reunir-se para discutir e treinar, pelo menos semestralmente, uma eventual

    situao de risco da sua empresa ou uma notcia de outra empresa que possa servir de aprendizado;

    e) Ter autoridade e autonomia para falar e agir em nome da empresa; f) Ter sempre um plano B para cada procedimento de crise desse manual;

    2.2 Plano de Continuidade Operacional

    O Plano de Continuidade Operacional tem como finalidade prover a organizao de procedimentos, controles e regras que pos