ROSEMARY FRANCISCO

A IMPORTNCIA DE UM PLANO DE CONTINUIDADE DO NEGCIO NA ORGANIZAO

Trabalho de Concluso de Curso submetida ao Instituto Superior Tupy como parte dos requisitos para a obteno do grau de Bacharel em Sistemas de Informao com nfase em redes, sob a orientao do professor Marcos Aurlio Pchek Laureano.

Joinville 2004

A IMPORTNCIA DE UM PLANO DE CONTINUIDADE DO NEGCIO NA ORGANIZAO Rosemary Francisco

Este trabalho de concluso de curso foi julgado adequado para obteno do Ttulo de Bacharel em Sistemas de Informao com nfase em redes, e aprovada em sua forma final pelo Departamento de.......................................... do Instituto Superior Tupy. Joinville, ______ de ________________ de _______.

________________________________________________ Marcos Aurlio Pchek Laureano, Mestre em Informtica Aplicada

_______________________________________________ Marco Andr, Mestre em Cincia da Computao

Banca Examinadora:

________________________________________________ Mehran Misaghi, Mestre em Cincia da Computao

_______________________________________________ Adriana Klemann Rohweder, Mestranda em Administrao

Dedico este trabalho ao meu esposo Marcos e minha famlia com muito amor e carinho.

AGRADECIMENTOS

Em especial, ao meu esposo Marcos que me deu todo o apoio necessrio para o desenvolvimento deste trabalho. A minha famlia e amigos, pela compreenso durante as minhas ausncias. Gostaria de agradecer ao professor Marcos Aurlio Pchek Laureano pelo

compartilhamento de experincias e pelas suas orientaes. Aos meus colegas de trabalho, em especial ao Marcelo Motta Bastos que me ajudou com material e reviso do trabalho e a querida Rosane Strey, que me ensinou dicas valiosas para a elaborao do trabalho no editor do texto. Quero agradecer tambm a todos os entrevistados na pesquisa de campo realizada neste trabalho. E a todos os professores do IST que colaboraram para a minha formao durante estes quatro anos de estudo.

RESUMO

A continuidade um fator muito importante que tem contribudo em grande escala para que a organizao torne-se competitiva, caracterstica considerada a chave para o reconhecimento pblico e, por conseguinte, sucesso de uma organizao. Porm adquirir e manter esta caracterstica exigir um grande esforo de todas as pessoas envolvidas, independente de seu nvel hierrquico, tanto dentro quanto fora da organizao. Este esforo estar sempre direcionado para a preparao, planejamento e execuo das estratgias da organizao a fim de garantir a fidelidade dos clientes j conquistados e tambm proporcionar novas oportunidades de mercado. Garantir a continuidade ento, deve ser encarado como um dos itens necessrios para a sobrevivncia de uma organizao dentro deste mercado global. Desta forma, o presente trabalho tem como objetivo realizar o estudo e a anlise da importncia de um PCN Plano de Continuidade do Negcio para as organizaes, assim como, sua viabilidade de implantao. Palavras-chave: Plano de Continuidade do Negcio, Plano de Contingncia, Plano de Recuperao de Desastres, Preveno de Ameaas

ABSTRACT

Continuity is an extremely important factor which has contributed on a great scale to an organization becoming competitive, a feature held to be key for public recognition and, consequently, the success of an organization. However, to acquire and maintain this feature will require a big effort by all the people involved, regardless of their hierarchical level, both inside and outside the organization. This effort will be directed towards preparing, planning and executing the strategies of the organization in order to ensure the loyalty of the customers already conquered and also provide new market opportunities. So, ensuring continuity must be seen as one of the items required for the survival of an organization in the global market. Thus, the present paper aims to study and analyze the importance of a BCP Business Continuity Plan for organizations, as well as how feasible it is to implement. Key words: Business Continuity Plan, Contingency Plan, Disaster Recovery Plan, Prevention of Threats

SUMRIO 1 INTRODUO ................................................................................................................... 13 1.1 1.2 1.3 2 TEMA, QUESTES E OBJETIVOS DO TRABALHO .............................................. 14 IMPORTNCIA DO TRABALHO.............................................................................. 16 ORGANIZAO DO TRABALHO ............................................................................ 16

SEGURANA DA INFORMAO.................................................................................. 18 2.1 2.2 CONCEITOS DE SEGURANA DA INFORMAO .............................................. 18 AMEAAS.................................................................................................................... 21 Ameaas Internas................................................................................................... 22 Ameaas Externas ................................................................................................. 23 ENGENHARIA SOCIAL.............................................................................................. 25 DEFESAS...................................................................................................................... 26 Poltica de Segurana ............................................................................................ 26 Firewall.................................................................................................................. 26 Sistema de deteco de intruses - SDI................................................................. 28 Criptografia............................................................................................................ 28

2.2.1 2.2.2 2.3 2.4

2.4.1 2.4.2 2.4.3 2.4.4 2.5 3

CONCLUSO............................................................................................................... 30

ANLISE DE RISCOS ....................................................................................................... 31 3.1 3.2 3.3 CONCEITOS................................................................................................................. 31 GERENCIANDO RISCOS ........................................................................................... 32 MTODOS PARA GERNCIA DE RISCOS.............................................................. 37 Gerncia de risco no PMBOK - Project Management Body of Knowledge ......... 37 Gerncia de risco definida na MSF - Microsoft Solutions Framework................. 39

3.3.1 3.3.2

3.4 4

CONCLUSO............................................................................................................... 41

PLANO DE CONTINUIDADE DO NEGCIO - PCN ................................................... 42 4.1 4.2 CONCEITOS................................................................................................................. 42 ELABORAO DO PLANO DE CONTINUIDADE DO NEGCIO ....................... 44 Incio e Administrao do Projeto ......................................................................... 46 Avaliao e Controle dos Riscos ........................................................................... 47 Anlise de Impacto nos Negcios (Business Impact Analysis - BIA)................... 48 Desenvolvendo Estratgias de Continuidade de Negcios.................................... 51 Respostas e Operaes de Emergncia.................................................................. 53 Desenvolvendo e Implementando PCN................................................................. 56 Implementando a Conscincia e os Programas de Treinamento ........................... 57 Mantendo e Exercitando o PCN ............................................................................ 59 Relaes Pblicas e Gerenciamento de Crises ...................................................... 63 Parceria com Entidades Pblicas........................................................................... 63 Parceria com Entidades Particulares...................................................................... 64

4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7 4.2.8 4.2.9 4.2.10 4.2.11 4.3 5

CONCLUSO............................................................................................................... 65

PROJETO ............................................................................................................................ 66 5.1 5.2 5.3 ESTUDO SOBRE A IMPORTNCIA DO PCN ......................................................... 66 PESQUISA DE CAMPO COM EMPRESAS DA REGIO........................................ 68 DESENVOLVIMENTO DO MODELO PARA ELABORAO DE UM PCN ........ 72 Etapa 1 Identificao .......................................................................................... 73 Etapa 2 Anlise................................................................................................... 74 Etapa 3 Implementao ...................................................................................... 74 Etapa 4 Manuteno ........................................................................................... 75

5.3.1 5.3.2 5.3.3 5.3.4

5.4 6

CONCLUSO............................................................................................................... 76

CONSIDERAES FINAIS.............................................................................................. 77 6.1 6.2 CONTRIBUIES DO TRABALHO.......................................................................... 78 TRABALHOS FUTUROS ............................................................................................ 78

REFERNCIAS .......................................................................................................................... 80 ANEXO......................................................................................................................................... 82

10

LISTA DE FIGURAS

Figura 2.1 Grfico Incidentes de Segurana............................................................................... 21 Figura 2.2 - Funcionamento do Firewall ....................................................................................... 27 Figura 2.3 - Criptografia de chave simtrica ................................................................................. 29 Figura 2.4 - Criptografia de chaves assimtricas........................................................................... 30 Figura 3.1 - Processo da Anlise de Riscos................................................................................... 34 Figura 3.2 - Processos Gerncia de Riscos PMBOK..................................................................... 39 Figura 3.3 - Framework de Risco da MSF .................................................................................... 40 Figura 4.1 - Diagrama Padro DRI................................................................................................ 46 Figura 4.2 - Metodologia de Avaliao de Riscos......................................................................... 48 Figura 4.3 Estrutura Geral do Plano de Contingncia ................................................................ 53 Figura 4.4 - Fluxograma da Estratgia do Plano de Resposta Emergencial.................................. 55

11

LISTA DE TABELAS

Tabela 3.1 - Exemplo de Probabilidades de Ameaa .................................................................... 35 Tabela 4.1 - Categorias de Impacto ............................................................................................... 50

12

LISTA DE GRFICOS

Grfico 5.1 - Ramo de Atividade das empresas entrevistadas ...................................................... 69 Grfico 5.2 - Tipos de Certificao das empresas entrevistadas ................................................... 70 Grfico 5.3 - Quantidade de Equipamentos das empresas entrevistadas ...................................... 71 Grfico 5.4 - Existncia de processo de gesto da continuidade................................................... 72

13

INTRODUO

A informao sempre teve grande importncia para a realizao dos grandes feitos da humanidade. Alm disso, foi por intermdio dela que a evoluo tecnolgica tornou-se possvel e est cada vez mais inovadora e abrangente atualmente. A partir do momento que o processo de globalizao tornou-se constante, e em razo disso, a ocorrncia de grandes mudanas na economia mundial, o grau de importncia da informao cresceu rapidamente, possibilitando muitas vantagens e benefcios quele que a possusse. Porm, isso fez com que o nvel de competio entre as organizaes aumentasse consideravelmente, e a busca pela informao se tornasse fator primordial de sobrevivncia. Em funo destes eventos e levando em considerao que obter uma certa informao poderia repercutir em grandes vantagens e competitividade organizao, a preocupao com a segurana da informao tem crescido constantemente. Tornou-se imprescindvel possibilitar a organizao gerar, manipular e armazenar suas informaes de forma segura. Por meio desta necessidade, surgiu ento o processo de Segurana da Informao, meio pelo qual se torna possvel a proteo das informaes mantendo-as ntegras, confidenciais e disponveis quando necessrio. Assim, a funo do processo de Segurana da Informao proteger todos os dados e informaes da organizao de possveis perdas e manipulao incorreta. Porm, para que isso seja possvel, necessrio que a organizao invista em tecnologia e tenha conhecimento de quais so as informaes estratgicas imprescindveis para o funcionamento de seus principais processos. Tambm importante que organizao conhea o mercado e avalie quais os possveis

14

riscos que a perda destas informaes e conseqentemente o conhecimento adquirido, ameaam a continuidade de seu negcio. Analisando este cenrio, possvel perceber que as organizaes esto cada vez mais dependentes da tecnologia. A tecnologia se tornou uma parte fundamental tanto para a gerao, quanto para a devida proteo das informaes. Esta dependncia tecnolgica pode trazer

grandes problemas, pois se a organizao no possuir um bom planejamento para contornar uma interrupo em um processo crtico, causado pela falta ou funcionamento inadequado de algum equipamento de suporte ao processo, as perdas podem tornar-se irreversveis. E neste contexto que surge a importncia da utilizao de um PCN Plano de Continuidade do Negcio. O objetivo do PCN a garantia da continuidade dos seus processos, minimizando assim o impacto que uma interrupo poderia trazer ao negcio da organizao. Este trabalho tem por objetivo demonstrar a importncia de um PCN dentro da organizao, assim como as atividades necessrias para a sua elaborao.

1.1

TEMA, QUESTES E OBJETIVOS DO TRABALHO

O Plano de Continuidade de Negcio foi escolhido como tema para o desenvolvimento deste trabalho, pois uma prtica ainda muito recente no Brasil. Apesar de sua grande

importncia, ainda existem organizaes que desconhecem o seu significado. E mesmo aquelas que j esto mais interadas ao tema, ainda no esto totalmente preparadas para dar continuidade ao seu negcio caso ocorra algum problema ou desastre no seu ambiente produtivo. Com base neste cenrio, foram levantadas algumas hipteses que estaro sendo abordadas no trabalho:

15

As empresas esto cada vez mais dependentes dos sistemas e toda a tecnologia que os envolvem;

Ao ocorrer um desastre, existe um grande potencial de perdas; No Brasil a preocupao com este planejamento muito pequeno, devido algumas das ameaas serem ocasionais;

Poucas empresas tm alocado verbas adequadas para estabelecer a redundncia dos elementos de TI (dados, sistemas, redes, etc.) necessrios continuidade dos seus processos de negcios;

Um plano de continuidade deve garantir a recuperao dos dados crticos; Um plano de continuidade exige investimento, tanto de recursos fsicos quanto humanos;

A empresa se torna mais competitiva quando possui um plano de continuidade do seu negcio.

Desta forma, constitu-se objetivo especfico deste trabalho demonstrar que a melhor forma de possibilitar a continuidade do negcio da organizao aps uma contingncia atravs de um bom planejamento. Com um planejamento bem elaborado, preparado e testado a organizao obter sucesso na execuo dos procedimentos de recuperao e continuidade necessrios para mant-la sempre ativa.

16

1.2

IMPORTNCIA DO TRABALHO

Por meio deste trabalho ser possvel demonstrar a importncia de um plano de continuidade de negcios (PCN Plano de Continuidade do Negcio) que tem por objetivo garantir a operao da organizao com o mnimo impacto aos clientes em situaes de contingncia. Uma vez implantado o plano, importante que as organizaes tambm exijam de seus parceiros e principais fornecedores o plano de continuidade para que uma possvel ameaa no afete seu negcio por estarem relacionados.

1.3

ORGANIZAO DO TRABALHO

O presente trabalho est dividido em seis captulos. O primeiro captulo define brevemente os objetivos do trabalho e as razes de sua elaborao. O segundo captulo apresenta uma breve introduo ao tema Segurana da Informao e seus princpios bsicos. No terceiro captulo so abordadas a anlise de riscos e duas metodologias que podem ser utilizadas para sua devida aplicao. O detalhamento sobre o Plano de Continuidade do Negcio, o que , para que serve e quais os padres existentes para sua elaborao, sero tratados no quarto captulo. No quinto captulo apresentam-se a importncia do estudo sobre PCN, o resultado de uma pesquisa de campo realizada com empresas da regio e um modelo guia para auxiliar na elaborao do plano dentro das organizaes.

17

Por fim no sexto captulo so apresentadas as consideraes finais do trabalho, suas contribuies e sugesto de trabalhos futuros.

18

SEGURANA DA INFORMAO

2.1

CONCEITOS DE SEGURANA DA INFORMAO

Existem diversas definies para informao, a que melhor se adapta nossa rea a definio da Norma NBR ISO/IEC 17799:2001:

"Informao um ativo que, como qualquer outro ativo importante para os negcios, tem um valor para a organizao e conseqentemente necessita ser adequadamente protegido.

Baseando-se nesta definio, possvel afirmar que a informao a chave para o desenvolvimento e sucesso de uma organizao e sua falta ou manipulao indevida pode acarretar em srios problemas. Assim muito importante que a informao esteja segura e sempre disponvel dentro do seu ambiente para que possa realmente auxiliar no processo de desenvolvimento da organizao. Segundo a definio obtida pelo Dicionrio Aurlio (1999, p. 1829) segurana :

Segurana. S. f. 2. Estado, qualidade ou condio de seguro. 3. Condio daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convico. Seguro. [Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado, garantido. 8. Em quem se pode confiar. 9. Certo, indubitvel, incontestvel. 10. Eficaz, eficiente.

Desta forma, a Segurana da Informao protege a informao de uma gama extensiva de ameaas para assegurar a continuidade dos negcios, minimizar os danos empresariais e maximizar o retorno em investimentos e oportunidades.

19

Para garantir a Segurana da Informao, necessrio que os seguintes princpios bsicos sejam respeitados (ISO/IEC 17799:2001):

Confidencialidade: significa proteger informaes contra sua revelao para algum no autorizado - interna ou externamente. Consiste em proteger a informao contra leitura e/ou cpia por algum que no tenha sido explicitamente autorizado pelo proprietrio daquela informao. A informao deve ser protegida qualquer que seja a mdia que a contenha, como por exemplo, mdia impressa ou mdia digital. Deve-se cuidar no apenas da proteo da informao como um todo, mas tambm de partes da informao que podem ser utilizadas para interferir sobre o todo. No caso da rede, isto significa que os dados, enquanto em trnsito, no sero vistos, alterados, ou extrados da rede por pessoas no autorizadas ou capturados por dispositivos ilcitos.

Autenticidade: O controle de autenticidade est associado com identificao correta de um usurio ou dispositivo. O servio de autenticao em um sistema deve assegurar ao receptor que a mensagem realmente procedente da origem informada em seu contedo. Normalmente, isso implementado a partir de um mecanismo de senhas ou de assinatura digital, sendo possvel tambm utilizar cartes. A verificao de autenticidade necessria aps todo processo de identificao, seja de um usurio para um sistema, de um sistema para o usurio, de um sistema para outro sistema ou de um usurio para outro usurio. Ela a medida de proteo de um servio/informao contra a personificao por intrusos.

20

Integridade: A integridade consiste em proteger a informao contra modificao sem a permisso explcita do proprietrio daquela informao. A modificao inclui aes como: escrita, alterao de contedo, alterao de status, remoo e criao de informaes. Deve-se considerar a proteo da informao nas suas mais variadas formas, como por exemplo, armazenada em discos ou fitas de backup. Integridade significa garantir que o dado est l, no foi corrompido, portanto encontra-se ntegro. Isto significa que aos dados originais nada foi acrescentado, retirado ou modificado. A integridade assegurada evitando-se alterao no detectada de mensagens (ex. trfego bancrio) e o forjamento no detectado de mensagem (aliado violao de autenticidade).

Disponibilidade: consiste na proteo dos servios prestados pelo sistema de forma que eles no sejam degradados ou se tornem indisponveis sem autorizao, assegurando ao usurio o acesso aos dados sempre que deles precisar. Isto pode ser chamado tambm de continuidade dos servios.

Atravs da correta aplicao desses princpios, a segurana da informao pode trazer benefcios como: aumentar a produtividade dos usurios atravs de um ambiente mais organizado, maior controle sobre os recursos de informtica e, finalmente garantir a funcionalidade das aplicaes crticas da empresa.

21

2.2

AMEAAS

Os sistemas de informao e redes das organizaes esto expostos a ameaas de vrias origens como fraudes, espionagem, sabotagem, vandalismo, incndio e inundao. Outras origens como vrus, hacking e ataques de paralisao de servios esto se tornando cada vez mais comuns e sofisticados (NAKAMURA, 2002). A dependncia dos sistemas de informao significa que as organizaes esto cada vez mais vulnerveis s ameaas de segurana. A interconexo entre redes pblicas e privadas e o compartilhamento de recursos aumenta a dificuldade do processo de controle ao acesso. Desta forma, imprescindvel que as organizaes estejam atentas aos tipos de ameaas que podem ocorrer dentro do seu ambiente cooperativo para poder prevenir possveis ataques. A figura 2.1 ilustra bem essa afirmao referente o nvel de incidentes de segurana que ocorreram entre os anos de 1999 e 2004.

Figura 2.1 Grfico Incidentes de Segurana (Fonte: NBSO)

22

2.2.1

Ameaas Internas

De acordo com NAKAMURA (2002, p. 41), a concretizao de uma ameaa interna resulta em um maior prejuzo para a organizao do que a concretizao de uma ameaa externa. Esta afirmao pode ser comprovada, pois uma ameaa interna em sua grande maioria resulta em roubo e/ou perda de propriedade intelectual. A nona pesquisa nacional de segurana da informao realizada pelo Mdulo Security Solutions demonstra que incidentes como: Vrus (66%), funcionrios insatisfeitos (53%), divulgao de senhas (51%), acessos indevidos (49%) e vazamento de informaes (47%) so as cinco principais ameaas internas segurana das informaes nas empresas. Assim, as organizaes devem estar atentas para poder evitar que estes tipos de ataques ocorram. Para isso so necessrias algumas medidas de proteo, das quais podemos destacar as mais importantes (NAKAMURA, 2002 p. 100): A segurana mais importante do que os servios. Caso no haja conciliao, a segurana deve prevalecer, a no ser que os executivos assumam formalmente os eventuais riscos existentes. A poltica de segurana deve evoluir constantemente, de acordo com os riscos e as mudanas na estrutura da organizao. Aquilo que no for expressamente permitido ser proibido. O ideal restringir tudo, e os servios s podero ser liberados caso a caso, de acordo com a sua anlise e a dos riscos relacionados.

23

Devem ser realizados testes, a fim de garantir que todos os objetivos sejam alcanados.

Nenhuma senha deve ser fornecida em claro, ou seja, sem a utilizao de algum mtodo de proteo.

As informaes utilizadas na computao mvel, principalmente em notebooks, deve ser cifradas.

No tpico 2.4 sero abordados outras formas de defesa para as ameaas ao ambiente corporativo.

2.2.2

Ameaas Externas

As ameaas externas, como o prprio nome j menciona, so quelas relativas a incidentes ou ataques realizados de fora para dentro da organizao. De acordo com a nona pesquisa nacional de segurana da informao realizada pelo Mdulo Security Solutions, 60% das organizaes indicam a Internet, e por conseqncia o seu crescimento, como a principal ameaa externa aos seus sistemas e informaes. Estas invases podem ser executadas por meio da explorao de vulnerabilidades dos sistemas que podem ter como base a engenharia social ou invases tcnicas. A engenharia social ser melhor discutida no tpico 2.3. Geralmente estes tipos de invases exploram deficincias na concepo, implementao, configurao ou no gerenciamento dos servios e sistemas, e continuaro existindo na medida em que o mercado centrado nas caractersticas dos produtos, e no segurana (NAKAMURA, 2002 p. 51).

24

De acordo com NAKAMURA (2002, p. 40), o termo genrico para identificar quem realiza o ataque em um sistema computacional hacker. Essa generalizao, porm, tem

diversas ramificaes, j que os ataques aos sistemas apresentam objetivos diferentes, e o seu sucesso depende do grau de segurana dos alvos, ou seja, os sistemas bem protegidos so mais difceis de serem atacados, exigindo desta forma, mais habilidade do invasor. Uma classificao dos diversos tipos de invasores podem ser a seguinte: Script Kiddies - Iniciantes. Cyberpunks Mais experientes que os script kiddies. Dedicam-se s invases de sistemas por puro divertimento e desafio. Insiders Empregados insatisfeitos. Coders so aqueles que resolveram compartilhar seus conhecimentos escrevendo livros ou proferindo palestras e seminrios sobre suas proezas. White Hat utilizam seus conhecimentos para descobrir vulnerabilidades nos sites e aplicar as correes necessrias. Black Hat utiliza seus conhecimentos para invadir sistemas e roubar informaes secretas das organizaes. Gray Hat geralmente trabalham na rea de segurana, pois possuem conhecimento sobre atividades de hacking.

A lista de ameaas mais comuns utilizadas pelos invasores so (NAKAMURA, 2002): Ataques do tipo DoS Denial of Service: ataques crescentes de negao de servios, tais como "Ping of Death", "SYN Flood" e "Land Atack" no visam roubar informao, mas incapacitar um dispositivo ou toda a rede para que os usurios no tenham mais acesso aos recursos. At mesmo se a rede no est

25

sendo atacada, ela pode ser usada como um aliado inconsciente em ataques DoS em outras redes. Usando os "Trojan Horse" ou outros anexos, invasores "plantam" ferramentas em centenas e em at milhares de computadores para serem usados em ataques futuros. Vrus: programas destrutivos que se anexam aos e-mails, aplicaes e arquivos. Tambm podem ser usados como "entregadores" de ferramentas de invasores, colocando em dvida a segurana da organizao, mesmo havendo um firewall instalado. Captura de dados privados que transitam pela Internet: conforme os dados privados se movem pela Web, os invasores, que usam programas chamados "farejadores de pacotes" ou "sniffers", podem captur-los e convert-los em um formato legvel.

2.3

ENGENHARIA SOCIAL

A engenharia social a tcnica que explora as fraquezas humanas e sociais, em vez de explorar a tecnologia. Ela tem como objetivo enganar e ludibriar pessoas, assumindo-se uma falsa identidade, a fim de que elas revelem senhas ou outras informaes que possam comprometer a segurana da organizao. Essa tcnica explora o fato de os usurios estarem sempre dispostos a ajudar e colaborar com os servios da organizao (NAKAMURA, 2002). Um ataque de engenharia social clssico consiste em se fazer passar por um alto funcionrio que tem problemas urgentes de acesso ao sistema. O hacker, assim, como um ator, que, no papel que est representando, ataca o elo mais fraco da segurana de uma organizao, o

26

ser humano. Esse ataque difcil de ser identificado, pois o que est em jogo a confiana, a psicologia e a manipulao das pessoas (NAKAMURA, 2002).

2.4

DEFESAS

2.4.1

Poltica de Segurana

A poltica de segurana a base para todas as questes relacionadas segurana de qualquer organizao. O seu desenvolvimento o primeiro e o principal passo da estratgia de segurana das organizaes; e por meio dessa poltica que so definidos todos os aspectos envolvidos na proteo dos recursos existentes. Com uma poltica de segurana bem definida possvel evitar muitos problemas, pois ela trata de aspectos humanos, culturais e tecnolgicos de uma organizao, levando tambm em considerao os processos de negcios. Desta forma muito importante ao desenvolv-la que os responsveis tenham o conhecimento dos diversos aspectos de segurana, alm da familiarizao com as questes culturais, sociais e pessoais que envolvem o bom funcionamento da organizao.

2.4.2

Firewall

A mais antiga definio para firewall foi dada por Bill Cheswick e Steve Bellovin, em Firewalls Internet Security: Reppling the Wily Hacker. Segundo eles, firewall um ponto entre

27

duas ou mais redes, no qual circula todo o trfego, alm de registrar, por meio de logs, todo o trfego da rede, facilitando assim sua auditoria. Com base nessa definio, pode-se dizer que firewall um ponto entre duas ou mais redes, que pode ser um componente ou um conjunto de componentes, por onde passa todo o trfego, permitindo que o controle, a autenticao e os registros de todo o trfego sejam realizados (NAKAMURA, 2002). Assim, esse ponto nico constitui um mecanismo utilizado para proteger, geralmente, uma rede confivel de uma rede pblica no-confivel.

Figura 2.2 - Funcionamento do Firewall (Fonte: INFOWESTER)

Destacam-se dois grandes grupos de firewalls: Firewalls baseado em filtragem de pacotes: Utiliza endereos IP e portas de acesso para, atravs de um conjunto de regras estabelecidas pelo administrador, bloquear ou permitir o trfego entre duas redes, geralmente a Internet.

28

Firewalls baseados em aplicaes: Os firewalls baseados em aplicaes trabalham como se fosse um intermediador nas comunicaes entre duas redes. Verifica as requisies provenientes de usurios remotos e bloqueia ou no a sua utilizao. O cliente e o servidor no conversam diretamente, o servidor proxy intermedia a conexo e analisa de acordo com as regras definidas, a autorizao para a conexo, permitindo ou bloqueando.

2.4.3

Sistema de deteco de intruses - SDI

O SDI capaz de detectar e alertar os administradores quanto a possveis ataques ou comportamentos anormais na organizao. Informaes importantes sobre tentativas de ataques, que no se pode obter normalmente, podem ser conseguidas por meio desses sistemas. Elas podem oferecer subsdios suficientes para que a organizao melhore sua proteo contra quaisquer tipos de ataque, principalmente os considerados internos.

2.4.4

Criptografia

A criptografia uma cincia que tem importncia fundamental para a segurana, ao servir de base para diversas tecnologias e protocolos, tais como a Public Key Infrastructure (PKI) e o IP Security (IPSec). Suas propriedades confidencialidade, integridade, autenticao e no-repdio garantem o armazenamento, as comunicaes e as transaes seguras, essenciais no mundo atual (NAKAMURA, 2002 p.165).

29

Quando se fala sobre criptografia, fala-se tambm sobre chaves, pois so elas quem fecham e abrem a criptografia dos dados. Existem dois mtodos para se trabalhar com chaves criptogrficas, eles so: Criptografia de chaves simtricas: responsvel pela confidencialidade das informaes, por meio da utilizao de chave secreta para a codificao e decodificao dos dados. Os algoritmos de chave simtrica tm como

caracterstica a rapidez de sua execuo, porm eles no permitem a assinatura e a certificao digitais (NAKAMURA, 2002 p. 166). A figura 2.2 ilustra o

funcionamento de criptografia com utilizao de chaves simtricas.

Figura 2.3 - Criptografia de chave simtrica (Fonte: SANTOS)

Criptografia de chaves assimtricas: A criptografia de chave pblica ou criptografia assimtrica possibilita, alm da confidencialidade, integridade e norepdio, a autenticidade por meio da assinatura digital e da certificao digital. As comunicaes so realizadas por meio de dois pares de chaves diferentes, uma chave privada e uma chave pblica para cada entidade. Uma mensagem, por exemplo, pode ser cifrada utilizando-se uma chave pblica, e decifrada utilizandose a chave privada correspondente, ou vice-versa. Esse tipo de algoritmo, porm, cerca de 60 a 70 vezes mais lento do que os algoritmos simtricos

30

(NAKAMURA, 2002 p. 166).

A figura 2.3 ilustra o funcionamento de

criptografia com utilizao de chaves assimtricas.

Figura 2.4 - Criptografia de chaves assimtricas (Fonte: SANTOS)

2.5

CONCLUSO

A informao tem sido um dos fatores principais para o bom desenvolvimento do negcio das organizaes no mercado atual, pois por meio da sua correta manipulao gerado o conhecimento necessrio para o planejamento e execuo das estratgias de sucesso. Assim muito importante que as informaes estejam protegidas de acordo com os princpios bsicos da segurana: Confidencialidade, Autenticidade, Integridade e

Disponibilidade. Este captulo teve por objetivo demonstrar a importncia da segurana da informao, as possveis ameaas que as organizaes e suas informaes esto sujeitas e os tipos de defesas que podem ser aplicados para minimizao e / ou eliminao da ocorrncia destas ameaas.

31

ANLISE DE RISCOS

3.1

CONCEITOS

Risco um evento ou condio incerta que, se acontecer, tem um efeito positivo ou negativo para a segurana da informao da empresa (PMBOK 2000, p.127). Segundo a definio obtida pelo Dicionrio Aurlio risco (1999, p. 1772):

Risco: s. m., perigo, inconveniente, probabilidade de perigo; em risco de: em perigo de.

De acordo com estas definies, possvel afirmar ento que o risco uma incerteza. Esta incerteza, na maioria das vezes, tem resultado negativo e, portanto necessrio que as empresas conheam os riscos que podem dificultar ou impossibilitar o bom desempenho de seu negcio. Assim, para avaliar e conhecer os riscos que podem ocorrer necessrio que a empresa saiba qual o valor da informao, ou seja, qual seria a conseqncia no caso da falta ou perda desta informao para o negcio da empresa. Uma vez quantificado o valor de uma informao, devem ser levantados os meios em que esta se encontra, tanto armazenada quanto em trnsito, e delimitado o escopo de atuao. Este escopo deve estar focado no que realmente significativo para a empresa, pois desta forma ser possvel gerenciar os riscos de uma melhor maneira. Com o escopo de atuao definido, possvel aplicar a Anlise e o Gerenciamento de Riscos. De acordo com a norma ISO/IEC 17799:2001, as definies para Anlise ou Avaliao de Riscos e Gerenciamento de Riscos so:

32

Avaliao de Riscos: avaliao das ameaas, impactos e vulnerabilidades da informao e das instalaes de processamento da informao e da probabilidade de sua ocorrncia.

Gerenciamento de Riscos: processo de identificao, controle e minimizao ou eliminao dos riscos de segurana que podem afetar os sistemas de informao, a um custo aceitvel.

Com base na definio da norma, possvel concluir que a Anlise de Riscos tem por objetivo identificar os riscos de segurana presentes na empresa, fornecendo conhecimento para que sejam implementados controles eficazes de segurana. J o Gerenciamento de Riscos, diminui o efeito dos riscos, porm de acordo com Vargas (2001, p. 115) no possvel eliminar a ocorrncia dos riscos. possvel identific-los e planejar para que tenha uma aceitao razovel na medida em que o risco aparece.

3.2

GERENCIANDO RISCOS

A Anlise de Risco se divide em cinco partes de igual importncia, isoladas estas partes representam muito pouco ou quase nada. Alinhados e geridos de forma adequada, estes componentes da anlise de risco podem apontar caminhos seguros na busca ao nvel adequado de segurana de uma empresa. Os cinco pontos so (RAMOS, 2002): Identificao e Classificao dos Processos de Negcio: Identificar junto aos gestores e colaboradores os Processos de Negcio existentes na empresa. Identificao e Classificao dos Ativos: Identificar os ativos que sero considerados na Anlise de Risco: Pessoas, Infra-estrutura, Aplicaes, Tecnologia e informaes.

33

Anlise de Vulnerabilidades: Identificar as vulnerabilidades existentes nos ativos que possam causar indisponibilidade dos servios ou serem utilizadas para roubo das suas informaes.

Anlise de Ameaas e Danos: Identificar os agentes que podem vir a ameaar a empresa.

Anlise de Impacto: Tendo identificado as vulnerabilidades e ameaas, identificado o impacto que estes podem causar na empresa, como roubo de informao, paralisao de servios, perdas financeiras entre outros.

Uma Anlise de Risco bem realizada dar informaes empresa para garantir a confidencialidade, disponibilidade e integridade das suas informaes. Utiliza-se como mtrica as melhores prticas de segurana da informao do mercado, apontadas na norma ISO/IEC 17799/2001. A partir destas informaes faz-se possvel elaborao do perfil de risco, que segue a frmula:

(Ameaa) x (Vulnerabilidade) x (Valor do Ativo) = RISCO.

A Anlise de Riscos deve ser um processo contnuo dentro da empresa. A figura 3.1 ilustra o modelo padro para a realizao deste processo:

34

Identificao

Acompanhamento

PROCESSO

Anlise

Planejamento

Figura 3.1 - Processo da Anlise de Riscos

A primeira etapa de qualquer projeto de segurana definir os riscos que precisam ser tratados. Os riscos de segurana so uma combinao dos ativos, das ameaas que podem afetlos e das vulnerabilidades desses ativos que podem ser exploradas de alguma maneira. A adoo dessa etapa no processo de Anlise de Riscos ajuda a estabelecer um conjunto de riscos de segurana que podem ser adequadamente analisados e priorizados. Os passos que so aplicados nesta etapa so (MICROSOFT): Priorizao dos ativos classificao dos ativos por valor financeiro, custo para criao, custo para proteo, custo para recuperao e seu valor perante a concorrncia. Estabelecer os valores dos ativos - determinar o valor do ativo, levando em conta vrios itens, como o valor fsico e o valor comercial dos dados localizados nesses ativos.

35

Identificar a probabilidade das ameaas sobre os ativos determinao da probabilidade de uma ameaa em potencial ocorrer. A tabela 3.1 demonstra um exemplo de como analisar as probabilidades de ameaas.

Tabela 3.1 - Exemplo de Probabilidades de Ameaa (Fonte: MICROSOFT)

Ameaa Incndio Inundao Vento Terremoto Falta de Energia Falta de hardware Falta da rede Usurios desinformados Cdigo mal-intencionado (vrus) Espies industriais Atacantes internos Atacantes externos

Probabilidade 0,05 0,025 0,025 0,001 0,0002 0,1 0,3 0,2 0,6 0,1 0,6 0,4

Na segunda etapa do processo, com base nas informaes coletadas na primeira etapa, ser feita uma anlise de cada vulnerabilidade por meio de vrios critrios. Essa etapa ajuda a determinar o risco geral ao qual a organizao est exposta, de acordo com cada ameaa. Para isso, geralmente feita uma declarao concisa de risco referente a cada combinao de atacante, explorao, vulnerabilidade e ativo. (MICROSOFT): Declarao dos riscos descrio das conseqncias especficas de cada risco Os passos que so aplicados nesta etapa so

36

Definio dos fatores de criticidade medida do dano que uma determinada explorao pode causar a um ativo utilizando a vulnerabilidade em questo

Determinar o esforo para explorar as vulnerabilidades identificadas - o esforo a quantidade de trabalho, conhecimentos ou experincia de que um atacante necessita para utilizar uma determinada explorao. O nvel de esforo para utilizar a explorao especfica deve ser medido pela simplicidade do ataque.

Determinar fatores de vulnerabilidade - o fator de vulnerabilidade a medida da susceptibilidade a uma determinada forma de ataque

Na etapa de planejamento, desenvolvido um plano para administrao e monitoramento dos riscos. Atravs deste plano, ser possvel atribuir responsabilidades, definir planos de

conteno para reduzir a ocorrncia do risco e definir planos de contingncia para reduo do efeito de um risco. Por fim, na etapa de acompanhamento, ser feito o monitoramento da ocorrncia dos riscos com base no plano definido na etapa de planejamento, a fim de garantir que os passos previstos sejam realizados. Alm disso, como nesta etapa feito um monitoramento da

ocorrncia de possveis riscos, novas informaes de ameaas no previstas no plano estabelecido sero levantadas para que o processo de Anlise de Riscos tenha sua continuidade e garanta a segurana da informao empresa.

37

3.3

MTODOS PARA GERNCIA DE RISCOS

Existem diversas abordagens que auxiliam na aplicao da Gerncia de Risco dentro da empresa. Embora tenham caractersticas prprias, cada abordagem tem alguns princpios e atividades em comum. Nessa seo sero analisadas as diferentes perspectivas das atividades que compem o processo de gerncia de risco. As normas e modelos sero apresentados segundo a viso do PMBOK - Project Management Body of Knowledge - e segundo o MSF - Microsoft Solutions Framework.

3.3.1

Gerncia de risco no PMBOK - Project Management Body of Knowledge

O PMI - Instituto de Gerncia de Projetos (Project Management Institute) tem definido como prtica essencial da gerncia de projetos a execuo do processo de gerncia de riscos (PMI MG, 2000). O Gerenciamento dos Riscos um processo sistemtico de identificar, analisar e

responder aos riscos do projeto. Isso inclui maximizar a probabilidade e conseqncia de eventos positivos e minimizar a probabilidade e conseqncia de eventos adversos aos objetivos do projeto. A figura 3.2 fornece uma viso geral dos principais processos aplicados no gerenciamento de riscos:

38

Gerncia de Riscos do Projeto

11.1 Planejamento da Gerncia de Risco 1.Entradas .1 Project Charter .2 Polticas Organizacionais de gerncia do risco .3 Funes e responsabilidades definidas .4 Tolerncias a risco das partes envolvidas .5 Padres de plano de gerncia a riscos da organizao .6 EAP - estrutura analtica de projeto 2.Ferramentas e Tcnicas .1 Reunies de planejamento 3.Sadas .1 Plano de gerncia de risco

11.2 Identificao dos Riscos 1.Entradas .1 Plano da gerncia do risco .2 Outros planos de projeto .3 Categorias de risco .4 Informaes histricas 2.Ferramentas e Tcnicas .1 Revises de documentao .2 Tcnicas de reunir informaes .3 Checklist .4 Anlise de premissas .5 Tcnicas de diagramao 3.Sadas .1 Riscos .2 Gatilhos .3 Entradas para outros processos

11.3 Anlise Qualitativa de Riscos 1.Entradas .1 Plano da gerncia do risco .2 Riscos identificados .3 Situao do projeto .4 Tipo do projeto .5 Preciso de dados .6 Escalas de probabilidade e impacto .7 Restries 2.Ferramentas e Tcnicas .1 Probabilidade de risco e impacto .2 Matriz de graduao da probabilidade/impacto de risco .3 Testando as premissas do projeto .4 Classificao da preciso dos dados 3.Sadas .1 Classificao do risco global para o projeto .2 Lista de riscos prioritrios .3 Lista de riscos para anlise e gerenciamento adicionais .4 Tendncias em resultados de anlise qualitativa de riscos

11.4 Anlise Quantitativa de Riscos 1.Entradas .1 Plano de gerncia de risco .2 Riscos identificados .3 Lista de riscos prioritrios .4 Lista de riscos para anlise e gerenciamento adicionais .5 Informaes histricas .6 Avaliao especializada .7 Outros planos de projeto 2.Ferramentas e Tcnicas .1 Entrevistas .2 Anlise de sensibilidade

11.5 Planejamento de Resposta a Riscos 1.Entradas .1 Plano de gerncia de risco .2 Lista de riscos prioritrios .3 Classificao do risco global para o projeto .4 Lista priorizada dos riscos quantificados .5 Anlise probabilstica do projeto .6 Probabilidade de alcanar os objetivos de custo e de tempo .7 Lista de respostas potenciais .8 Tolerncia a risco .9 Responsveis pelos riscos .10 Causas comuns de riscos .11 Tendncias nos resultados de anlise qualitativa e quantitativa de risco 2.Ferramentas e Tcnicas .1 Evitar o risco .2 Transferncia .3 Mitigao .4 Aceitao 3.Sadas

11.6 Controle e Monitorao de Riscos 1.Entradas .1 Plano de gerncia de risco .2 Planos de respostas aos riscos .3 Comunicao do projeto .4 Anlise e identificao dos riscos adicionais .5 Mudanas de escopo 2.Ferramentas e Tcnicas .1 Auditoria do projeto de respostas aos riscos .2 Revises peridicas dos riscos do projeto .3 Anlise de valor agregado .4 Medida de desempenho tcnico .5 Planejamento adicional de resposta ao risco 3.Sadas .1 Planos de workaround .2 Aes corretivas .3 Solicitaes de mudana no projeto .4 Atualizao no plano de respostas aos riscos .5 Banco de dados de risco

.3 Anlise de rvore de deciso .4 Simulao 3.Sadas .1 Lista priorizada dos riscos quantificados .2 Anlise probabilstica do projeto .3 Probabilidade de alcanar os objetivos de custo e de tempo .4 Tendncias em resultados de anlise quantitativa de risco

39

Figura 3.2 - Processos Gerncia de Riscos PMBOK (Fonte: PMI MG)

Planejar a Gerncia de Risco determinar qual a abordagem e planejar as atividades de gerncia de risco.

Identificar Riscos - determinar quais riscos podem afetar o projeto e documentar as suas caractersticas.

Analisar Riscos Qualitativamente - executar uma anlise qualitativa dos riscos e das condies para priorizar seus efeitos nos objetivos do projeto.

Analisar Riscos Quantitativamente - medir a probabilidade de ocorrncia e as conseqncias dos riscos e estimar as suas implicaes nos objetivos do projeto.

Planejar as Respostas aos Riscos - desenvolver procedimentos e tcnicas para avaliar oportunidades e reduzir as ameaas aos objetivos do projeto.

Controlar e Monitorar Riscos - monitorar riscos residuais, identificar novos riscos, executar planos de reduo de riscos e avaliar seus efeitos atravs do ciclo de vida de projeto.

3.3.2

Gerncia de risco definida na MSF - Microsoft Solutions Framework

O MSF - Microsoft Solutions Framework foi criado em 1994 para apoiar a execuo dos servios de consultoria da Microsoft. O MSF para a gerncia de risco possui as seguintes atividades (Figura 3.3) (MICROSOFT/MSF, 2000): Passo 1 - Identificar riscos - apresentar os riscos equipe para que possam ser tratados antes de impactarem no projeto.

40

Passo 2 - Analisar riscos - converter dados de risco em informaes para utilizao da equipe de projeto para a tomada de decises. A anlise assegura que a equipe est trabalhando nos riscos corretos. Nessa fase, deve ser gerada a lista dos 10 mais riscos (Top 10).

Passo 3 - Planejar riscos - construir planos que suportaro a tomada de deciso e as aes. Planejar envolve o desenvolvimento de aes para enderear riscos individualmente, priorizar aes para os riscos e criar um plano integrado de gerncia de risco.

Passo 4 - Acompanhar riscos - monitorar a situao dos riscos e as aes para reduzi-los.

Passo 5 - Controlar riscos - transferir a gerncia de risco para as atividades do dia-a-dia.

Figura 3.3 - Framework de Risco da MSF (Fonte: MICROSOFT)

41

3.4

CONCLUSO

O risco sempre esteve presente na vida da humanidade. Desde o homem pr-histrico, que optou por viver em cavernas para garantir a sua vida e reduzir o risco de servir como alimento para animais maiores; at os dias atuais, onde a informao a grande arma que possibilita o sucesso ou o fracasso de uma organizao. O fato que, o risco sempre existe, porm sua ocorrncia depender da ao de outros agentes, internos ou externos organizao. Assim, importante que as organizaes estejam atentas aos riscos que rondam o seu negcio, a fim de garantir sua segurana, por meio de respostas no momento da ocorrncia de uma ameaa. Desta forma, para que as organizaes possam estar preparadas para enfrentar estas ameaas, necessria a implementao de um processo para a gesto dos riscos ao seu negcio. Este processo ir identificar, analisar e controlar todos os riscos possveis, reduzindo sua ocorrncia e possibilitando organizao maior flexibilidade e competitividade na execuo dos seus processos crticos. Este captulo teve por objetivo, demonstrar estes conceitos sobre a anlise e gerenciamento de riscos, alm de fazer um estudo sobre duas metodologias que auxiliam as organizaes no desenvolvimento do processo de gerncia de riscos.

42

PLANO DE CONTINUIDADE DO NEGCIO - PCN

4.1

CONCEITOS

As interrupes nos processos de negcios, curtas ou prolongadas, sempre afetam os negcios, causando impactos que muitas vezes so irreversveis. Segundo o DRI Disaster Recovery Institute - de cada cinco empresas que possuem interrupo nas suas operaes por uma semana, duas fecham as portas em menos de trs anos. Este dado justificado no mercado mundial um dos maiores desafios dos executivos garantir a continuidade de seus negcios independente do tipo de evento que possa ocorrer. Desta forma, para garantir a continuidade dos negcios, as organizaes podem e devem adotar o planejamento da continuidade de negcios. Segundo Ferreira (2004, p.86), planejamento da continuidade de negcios :

O processo de obteno e anlise de informaes que gera, como produto final, uma estratgia integrada e seu plano correspondente, para reagir a uma interrupo no programada nas atividades de negcio.

J para Saldanha (2000, p. 18), o conceito chave que define o plano de continuidade de negcios :

"Plano de Continuidade composto por um conjunto de procedimentos previamente definidos e testados de forma a garantir a continuidade dos processos e servios vitais de uma organizao, ainda que sob o impacto de um desastre, sbito e inesperado, previamente identificado.

Analisando as afirmaes de Ferreira e Saldanha, possvel definir que um plano de continuidade est integrado diretamente com os processos de negcio da organizao, sendo seu

43

objetivo principal, fornecer, em um perodo de tempo aceitvel, todos os recursos necessrios para operar os processos crticos de negcio no caso da ocorrncia de uma falha ou interrupo. Para entender melhor como um plano de continuidade funciona, necessrio identificar o que so os processos de negcios. Os processos de negcio podem ser definidos como a diviso da organizao em vrios departamentos (contabilidade, servios ao cliente, vendas e etc.), onde cada processo possui um conjunto de atividades que realizado periodicamente e que produz algo de valor para a organizao ou para o cliente. Assim, o objetivo do PCN assegurar a continuidade destas atividades exercidas por cada processo dentro da organizao. Os principais objetivos que devem ser atingidos pelo PCN so: Garantir a segurana dos empregados e visitantes; Minimizar danos imediatos e perdas numa situao de emergncia; Assegurar a restaurao das atividades, instalaes e equipamentos o mais rpido possvel; Assegurar a rpida ativao dos processos de negcio crticos; Fornecer conscientizao e treinamento para as pessoas-chave encarregadas desta atividade.

O PCN imprescindvel para empresas que no podem sofrer interrupo em seus processos de negcios, porque isso representaria risco de perdas financeiras, degradao da imagem no mercado e insatisfao do seu maior patrimnio: seus clientes.

44

4.2

ELABORAO DO PLANO DE CONTINUIDADE DO NEGCIO

De acordo com a norma ISO/IEC 17799:2001, o processo para a elaborao do plano de continuidade do negcio deve ser composto das seguintes etapas: Entendimento dos riscos a que a organizao est exposta, no que diz respeito sua probabilidade e impacto, incluindo a identificao e priorizao dos processos crticos do negcio; Entendimento do impacto que as interrupes tero sobre o negcio; Considerao de contratao de seguro compatvel que possa ser parte integrante do processo de continuidade; Definio e documentao de estratgia de continuidade consistente com os objetivos e prioridades estabelecidos para o negcio; Detalhamento e documentao de planos de continuidade alinhados com a estratgia estabelecida; Testes e atualizaes regulares dos planos e procedimentos implantados; Garantia de que a gesto da continuidade do negcio esteja incorporada aos processos e estrutura da organizao.

O processo de planejamento deve focar os objetivos requeridos do negcio, como, por exemplo, a recuperao de determinados servios especficos para os clientes, em um perodo de tempo aceitvel. Convm que os servios e recursos que possibilitaro isto ocorrer sejam

previstos contemplando pessoal, recursos em geral, alm dos de tecnologia de informao, assim como itens de reposio dos recursos e instalaes de processamento da informao.

45

importante que o plano de continuidade do negcio especifique claramente as condies de sua ativao, assim como as responsabilidades individuais para a execuo de cada uma das atividades do plano. Quando novos requisitos so identificados, importante que os

procedimentos de emergncia relacionados sejam ajustados de forma apropriada. A figura 4.1 ilustra o diagrama indicativo do padro de planejamento e desenvolvimento de um Plano de Continuidade de Negcios de acordo com o DRI Internacional.

46

Figura 4.1 - Diagrama Padro DRI (Fonte: MARINHO, p. 37)

4.2.1

Incio e Administrao do Projeto

Nesta etapa ser definido o escopo / necessidade para o desenvolvimento de um Plano de Continuidade de Negcios, incluindo questes sobre aquisio de patrocnio (apoio), organizao e gerenciamento do projeto para atender os limites de prazos e oramento (MARINHO, 2003). O profissional responsvel por esta etapa dever atingir os seguintes objetivos: Auxiliar o patrocinador do projeto na definio dos objetivos, polticas (conceitos) e anlise de fatores de sucesso (mtricas) com definies ou indicaes de: Escopo, Objetivos, Atendimento s leis e normas, Requisitos, Histrico, Casos. Coordenar, organizar e gerenciar o projeto do Plano de Continuidade de Negcios, atravs da convocao de um comit administrativo e de uma foratarefa operacional, esclarecendo as diferenas entre: o Recuperao de desastres e Continuidade de Negcios; o Resposta a crises e gerenciamento de crises; o Reduzir e impedir os riscos de ocorrncia dos eventos. Supervisionar o projeto de PCN por meio de ferramentas de controle efetivas e do gerenciamento de mudanas. Apresentar (divulgando e comprometendo) o projeto aos gestores e aos funcionrios da organizao. Desenvolver o plano do projeto e orar seus custos.

47

Definir a estrutura do projeto e recomendar a delegao de responsabilidades. Gerenciar todo o processo.

4.2.2

Avaliao e Controle dos Riscos

As atividades relacionadas avaliao e controle de riscos definem os possveis e provveis cenrios que fazem parte do ambiente corporativo e que podem afetar a organizao tanto com interrupes quanto com desastres. Nesta etapa sero determinados quais os possveis danos relacionados a cada evento e quais as medidas necessrias para prevenir e reduzir os efeitos de uma potencial perda. possvel incluir nesta etapa, uma anlise de ROI Return of

Investment para facilitar a justificativa dos custos no controle de reduo de riscos (MARINHO, 2003). O profissional responsvel por esta etapa dever atingir os seguintes objetivos: Conceber a funo da reduo de riscos, atravs da organizao. Identificar potenciais riscos para a organizao, identificando: Probabilidades e Conseqncias. Identificar a exigncia de suporte tcnico externo. Identificar vulnerabilidades, ameaas e exposies. Identificar alternativas de reduo ou minimizao de riscos. Identificar a consistncia das fontes de informao. Atuar com a gerncia corporativa para definio dos nveis aceitveis de risco. Documentar e apresentar dossis.

48

A figura 4.2 ilustra uma metodologia padro utilizada para a avaliao e controle de riscos.

Figura 4.2 - Metodologia de Avaliao de Riscos (Fonte: FERREIRA, p. 89)

4.2.3

Anlise de Impacto nos Negcios (Business Impact Analysis - BIA)

Nesta etapa sero identificados e avaliados os impactos resultantes da interrupo e dos cenrios de desastres que podem afetar a organizao, bem como as tcnicas para quantificar e

49

qualificar esses impactos. Alm disso, definida a criticidade dos processos de negcios, suas prioridades de recuperao e interdependncias, para que os objetivos de recuperao sejam atendidos nos prazos estabelecidos (MARINHO, 2003). As principais atividades realizadas nesta etapa, de acordo com a norma ISO/IEC 17799/2001 so: Identificao dos eventos que podem causar interrupes nos processos de negcios. Avaliao de risco para determinao do impacto destas interrupes. Plano Estratgico para se determinar a abordagem mais abrangente a ser adotada para a continuidade do negcio

Para realizar estas atividades, o profissional responsvel por esta etapa dever atingir os seguintes objetivos: Identificar os processos de negcios da organizao. Identificar os representantes ou responsveis de cada um destes processos, que possam fornecer informaes confiveis sobre a sua funo. Definir e identificar critrios de criticidade. Auxiliar a gerncia na definio de critrios para a anlise. Coordenar a anlise. Identificar as interdependncias. Definir objetivos e janelas de recuperao, incluindo os tempos de recuperao, as perdas previstas e as prioridades. Identificar requisitos de informaes necessrios para a anlise.

50

Identificar os recursos necessrios para a anlise. Definir os formatos dos relatrios. Avaliar custos de interrupo de processos e componentes. Preparar e apresentar a BIA.

Durante a anlise de impacto, deve ser dada ateno adequada para as vantagens e desvantagens das avaliaes quantitativas e qualitativas. A avaliao quantitativa fornece a medida especfica da magnitude dos impactos, que poder ser utilizada para realizar anlise de custo-benefcio para implementao de controles de segurana. Sua desvantagem que,

dependendo de como esta medida for expressa, o resultado da anlise poder no ser preciso. A avaliao qualitativa, por sua vez, prioriza os riscos e identifica reas para melhorias imediatas. Sua desvantagem no fornecer medidas especficas da magnitude dos impactos. A tabela 4.1 demonstra as categorias de impacto que podem ser utilizadas para medio quantitativa dos impactos.

Tabela 4.1 - Categorias de Impacto (Fonte: FERREIRA, p. 100)

Nvel Alto

Definio Perda significante dos principais ativos e recursos Perda da reputao, imagem e credibilidade Impossibilidade de continuar com as atividades de negcio Perda dos principais ativos e recursos Perda da reputao, imagem e credibilidade Perda de alguns dos principais ativos e recursos Perda da reputao, imagem e credibilidade

Mdio

Baixo

51

4.2.4

Desenvolvendo Estratgias de Continuidade de Negcios

Nesta etapa so definidas as estratgias operacionais para a recuperao dos processos e dos componentes de negcios dentro dos prazos de recuperao desejados enquanto processos corporativos crticos so mantidos em atividade. Para a definio destas estratgias, os

procedimentos sero divididos em dois planos distintos (MARINHO, 2003): Plano de Recuperao de Desastres responsvel pelas atividades direcionadas recuperao ou substituio de componentes Plano de Contingncia responsvel pelas atividades de manuteno dos processos de negcios.

O profissional responsvel por esta etapa dever atingir os seguintes objetivos: Identificar as possveis alternativas para continuidade de negcios disponveis, suas vantagens e desvantagens, com as respectivas caractersticas de custo, incluindo a mitigao (reduo de riscos) como estratgias de recuperao. Identificar estratgias de recuperao compatveis com as reas funcionais de negcios, pois cada ambiente e topologia possuem caractersticas e exigncias de negcio prprias. Consolidar as estratgias; reduzindo o risco de incompatibilidade ou de gargalo estratgico. Identificar necessidades de armazenagem remota e instalaes alternativas. Desenvolver a unanimidade das unidades de negcio.

52

Obter comprometimento da gerncia com as estratgias apresentadas.

4.2.4.1 Plano de Recuperao de Desastres

As estratgias de recuperao fornecem meios para restaurar, rapidamente, as operaes de tecnologia da informao em caso de interrupes no programadas. Alm disso, devem contemplar os impactos de uma paralisao e o tempo mximo aceitvel de parada (MARINHO, 2003). As principais estratgias de recuperao utilizadas so: Backup cpia de segurana dos dados e informaes da organizao. Localidades Alternativas ambientes externos preparados para ativao de contingncias no ambiente interno da organizao. Reposio de equipamentos atravs de contrato com fornecedores e inventrio de equipamentos. Regras e responsabilidades cada equipe deve ser treinada e estar preparada para responder s situaes de emergncia / ativao do plano.

4.2.4.2 Plano de Contingncia

O Plano de Contingncia deve documentar as capacidades e requisitos tcnicos que suportaro as operaes de contingncia. Para isso, imprescindvel definir regras bem

53

detalhadas, assim como responsabilidades, equipes e procedimentos relacionados com a recuperao do ambiente informatizado aps a ocorrncia de um desastre (MARINHO, 2003). A figura 4.3 demonstra a estrutura geral do plano de contingncia.

Figura 4.3 Estrutura Geral do Plano de Contingncia (Fonte: FERREIRA, p. 113)

4.2.5

Respostas e Operaes de Emergncia

Nesta etapa so desenvolvidos e implementados procedimentos de resposta e estabilizao de situaes por meio de um incidente ou evento, incluindo a criao e a especificao de normas

54

para o gerenciamento de um centro operacional de emergncia (COE) utilizado como central de comando durante uma crise. O profissional responsvel por esta etapa dever atingir os seguintes objetivos: Identificar os tipos potenciais de emergncias e as respostas necessrias (por exemplo: incndio, inundao, greves etc.). Verificar a existncia de procedimentos de resposta apropriados s emergncias. Recomendar o desenvolvimento de procedimentos de emergncia quando no existam. Integrar os procedimentos de resposta emergncia com os procedimentos de recuperao de desastres e de Continuidade de Negcios. Identificar os requisitos de comando e controle para gerenciamento de emergncias. Sugerir a elaborao de procedimentos de comando e controle para definir o papel das autoridades e os processos de comunicao para o gerenciamento das emergncias. Assegurar que os procedimentos de resposta a emergncias estejam integrados com os procedimentos de rgos pblicos.

O Plano de Resposta Emergencial deve ter incio no momento T-2 at o momento T+1, ou seja, o tempo disponvel para a realizao dos procedimentos ser em funo da antecedncia do alarme de desastre at a durao do desastre propriamente dito. A figura 4.4 ilustra o fluxograma da estratgia de um plano de resposta emergencial.

55

Figura 4.4 - Fluxograma da Estratgia do Plano de Resposta Emergencial (Fonte: SALDANHA, p. 104)

56

4.2.6

Desenvolvendo e Implementando PCN

Nesta etapa sero integrados todos os componentes at ento elaborados e planejados, em um Plano de Continuidade de Negcios, a fim de permitir o atendimento s janelas de recuperao dos componentes e dos processos da organizao (MARINHO, 2003). De acordo com a norma ISO/IEC 17799:2001, o PCN deve ser desenvolvido para a manuteno ou recuperao das operaes do negcio, na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos. Para isso, recomenda-se que o processo de planejamento da continuidade do negcio considere os seguintes itens: Identificao e concordncia de todas as responsabilidades e procedimentos de emergncia. Implementao dos procedimentos de emergncia que permitam a recuperao e restaurao nos prazos necessrios. (Ateno especial deve ser dada avaliao de dependncias externas ao negcio e de contratos existentes.). Documentao dos processos e procedimentos acordados. Treinamento adequado do pessoal nos procedimentos e processos de emergncia definidos, incluindo o gerenciamento de crise. Teste e atualizao dos planos

O processo de planejamento deve focar os objetivos requeridos do negcio, como por exemplo, a recuperao de determinados servios especficos para os clientes, em um perodo de tempo aceitvel. importante que o plano especifique claramente as condies de sua ativao, assim como as responsabilidades individuais para a execuo de cada uma das atividades.

57

Quando novos requisitos so identificados, imprescindvel que os procedimentos de emergncia relacionados sejam ajustados de forma apropriada, permitindo desta forma, sua execuo com sucesso. O profissional responsvel por esta etapa dever atingir os seguintes objetivos: Identificar os componentes de planejamento dos processos: o Planejar a metodologia. o Organizar o plano. o Dirigir os esforos. o Definir o pessoal envolvido. Controlar o processo de planejamento e produzir o plano. Implementar o plano. Testar o plano. Definir a manuteno do plano.

4.2.7

Implementando a Conscincia e os Programas de Treinamento

Nesta etapa ser desenvolvido um programa para incrementar a cultura corporativa, incentivando as habilidades necessrias para elaborar, implementar, atualizar e executar um Plano de Continuidade de Negcios (MARINHO, 2003). O profissional responsvel por esta etapa dever atingir os seguintes objetivos: Estabelecer os objetivos e os componentes do programa de treinamento. Identificar requisitos para o treinamento funcional. Desenvolver metodologia de treinamento.

58

Desenvolver o programa de conscientizao. Solicitar ou adquirir treinamento de apoio. Identificar oportunidades de treinamento externo. Identificar veculos de conscientizao corporativa.

4.2.7.1 Treinamento

O treinamento das equipes comea com a distribuio do plano para cada um dos seus componentes. A respectiva parte do plano deve ser encaminhada para cada membro,

acompanhada da viso geral do plano e da viso geral da sua equipe. Telefones de emergncia, dos demais membros da equipe e de fornecedores tambm devem fazer parte do conjunto de instrues bsicas. Durante a contingncia, os membros de cada equipe no estaro necessariamente desempenhando exatamente os mesmos papis que desempenham no seu dia-a-dia. Desta forma, necessrio que os membros sejam pessoas aptas e preparadas para desempenhar satisfatoriamente as funes e executar a contento as atividades que lhes couberem. O objetivo do treinamento, por sua vez, familiarizar os participantes com o plano e suas atribuies.

4.2.7.2 Conscientizao

Alm do treinamento, interessante tambm que seja adotado um programa de conscientizao para a importncia das medidas preventivas e para a importncia dos

59

procedimentos de garantia de continuidade. Esse programa deve utilizar todas as mdias de comunicao existentes na organizao e possuir como meta manter o nvel de conscientizao permanentemente elevado. Algumas aes que podem ser utilizadas para manter a conscientizao em alta so: Distribuir artigos sobre Desastres Operacionais Distribuir artigos sobre Plano de Continuidade Produzir e divulgar um vdeo apresentando o Plano, sua razo de existir e seu escopo Incluir o nome dos responsveis na lista de usurios do DRJ - Disaster Recovery Journal - na www Promover palestras Mandar periodicamente matrias para jornais internos Incluir os fornecedores entre o pblico a ser conscientizado Cobrar dos fornecedores a implementao de um plano de continuidade ou um SLA - Service Level Agreements Criar uma pgina na Intranet para divulgao de notas sobre a preveno, segurana e continuidade operacional Promover encontro com responsveis pelo PCN de outras organizaes

4.2.8

Mantendo e Exercitando o PCN

Nesta etapa ser elaborado um pr-plano para coordenar os exerccios do PCN, avaliando os resultados obtidos. Alm disso, sero desenvolvidos processos para a manuteno das

60

variveis dos planos de acordo com os objetivos estratgicos da empresa. Desta forma, ser possvel apresentar uma comparao entre o resultado obtido e um ambiente corporativo convencional, relatando as diferenas de forma concisa e clara. importante que o PCN seja mantido por meio de anlises crticas regulares e atualizaes, de forma a assegurar a sua contnua efetividade. Convm que seus procedimentos sejam includos no programa de gerenciamento de mudanas da organizao, de forma a garantir que as questes relativas continuidade de negcios esto devidamente tratadas. Alguns exemplos que podem demandar atualizaes no plano incluem a aquisio de um novo equipamento, atualizaes dos sistemas operacionais ou ainda alteraes: De pessoal De endereos ou nmero telefnicos De estratgia de negcio Na localizao, instalaes e recursos Na legislao Em prestadores de servio, fornecedores e clientes-chave De processos (incluses e excluses) No risco (operacional e financeiro)

O profissional responsvel por esta etapa dever atingir os seguintes objetivos: Preparar o planejamento dos exerccios. Coordenar os exerccios. Avaliar os exerccios do plano. Implementar o exerccio das atividades dos planos.

61

Documentar os resultados. Avaliar os resultados. Atualizar e adequar os planos. Reportar os resultados e a avaliao dos exerccios aos gestores. Assimilar as diretivas estratgicas do negcio.

4.2.8.1 Testes

O PCN pode apresentar falhas quando testado, geralmente devido a pressupostos incorretos, omisses ou mudanas de equipamentos, pessoal e novas tecnologias. Por isto, ele deve ser testado regularmente, de forma a garantir sua permanente atualizao e eficcia. importante que tais testes tambm assegurem que todos os membros da equipe de recuperao e outras pessoas de relevncia esto conscientes sobre o plano. A norma ISO/IEC 17799:2001 indica os seguintes tipos de testes para a validao do plano: Testes de mesa, simulando diferentes cenrios, citando os procedimentos de recuperao para diferentes formas de interrupo; Simulaes (particularmente til para o treinamento do pessoal nas suas atividades); Testes de recuperao tcnica, para assegurar que os sistemas de informao possam ser efetivamente recuperados; Testes de recuperao em um local alternativo, executando os processos de negcio em paralelo com a recuperao das operaes;

62

Testes dos recursos, servios e instalaes de fornecedores garantindo que os servios e produtos fornecidos atendam aos requisitos contratados;

Ensaio geral, testando se a organizao, o pessoal, os equipamentos, os recursos e os processos podem enfrentar interrupes.

4.2.8.2 Manuteno

Para ser eficaz, o PCN deve estar devidamente atualizado, refletindo as reais e atuais configuraes de sistemas, procedimentos, estruturas organizacionais e suas polticas. Assim essencial que o plano seja revisado e atualizado regularmente, como parte do processo cotidiano da organizao. Os seguintes itens devem ser considerados na reviso do PCN: Exigncias operacionais; Exigncias de segurana; Procedimentos tcnicos; Hardware, software e outros equipamentos tambm essenciais (tipos, especificaes e quantidade); Nomes e formas de contato com os membros das equipes; Nomes e formas de contato com os fornecedores e prestadores de servios; Exigncias e recursos necessrios nas localidades alternativas.

63

4.2.9

Relaes Pblicas e Gerenciamento de Crises

Esta etapa responsvel pelo desenvolvimento, coordenao, avaliao e exerccio no manuseio de mdias e documentos durante situaes de crise, bem como os possveis meios de comunicao que minimizem os impactos traumticos entrem a organizao, seus funcionrios e suas famlias, clientes-chave, fornecedores, investidores e gestores corporativo. Atravs dos procedimentos desta etapa, ser possvel assegurar o fornecimento de informaes para todos os investidores, por meio de uma fonte nica e constantemente atualizada (MARINHO, 2003). O profissional responsvel por esta etapa dever atingir os seguintes objetivos: Estabelecer programas de relaes pblicas para o gerenciamento proativo de crises. Estabelecer a necessria coordenao de crises com agncias externas. Estabelecer a comunicao essencial de crise com grupos de investidores relevantes. Estabelecer e testar as atividades do plano para o manuseio de mdias da organizao e suas unidades de negcio.

4.2.10 Parceria com Entidades Pblicas

Nesta etapa sero estabelecidos os procedimentos necessrios e as polticas de coordenao de resposta, atividades de Continuidade e Restaurao de Negcios, com o auxlio de autoridades pblicas para o atendimento de normas e leis. O profissional responsvel por esta etapa dever atingir os seguintes objetivos:

64

Coordenar preparativos de emergncia, resposta, recuperao, retomada e procedimentos de restaurao com o apoio de rgos pblicos.

Estabelecer procedimentos de acordos e contratos durante situaes de crise, emergncia ou desastre.

Manter a atualizao do conhecimento de leis e normas pblicas, relacionadas a procedimentos de emergncia.

4.2.11 Parceria com Entidades Particulares

Nesta etapa sero estabelecidos diretrizes de procedimentos e coordenao de resposta, atividades de Continuidade e Restaurao de Negcios, com o auxlio de organizaes que compartilham interesses comuns e de terceiros contratados para a execuo de tarefas e servios devido especializao de sua estrutura e objetivo de negcio para limitao de responsabilidades e funes. O profissional responsvel por esta etapa dever atingir os seguintes objetivos: Coordenar preparativos de emergncia, resposta, recuperao, retomada e procedimentos de restaurao com o apoio de procedimentos planejados para atividades realizadas por parceiros e terceiros. Estabelecer procedimentos de acordo e contratos para cenrios de crise, emergncia ou desastre. Manter atualizado o conhecimento de modificaes estatutrias,

organizacionais, leis e normas envolvendo o relacionamento entre parceiros e terceiros, que sejam relacionadas a procedimentos de emergncia.

65

4.3

CONCLUSO

Oferecer produtos e servios com qualidade tornou-se uma premissa para ser competitivo no mercado global atualmente. Porm a qualidade apenas um dos fatores que possibilita a competitividade para a organizao. Atualmente os clientes exigem garantias de que o produto ou servios que adquiriu ou tem adquirido possui suporte, ou ento, uma continuidade no futuro. E para garantir que a organizao esteja preparada para esta exigncia, imprescindvel possuir no mnimo a preocupao com o rumo que o negcio ir tomar, passo importante para a gesto da continuidade de seus negcios.

"Hoje, devido grande dependncia tecnolgica das empresas, o PCN um seguro contra eventuais paradas, cujo tempo de recuperao sinnimo de perda financeira. Fernando Marinho

O objetivo deste captulo foi demonstrar o que e como funciona o PCN, alm de explicar detalhadamente os passos necessrios para a elaborao do plano de acordo com o DRI Disaster Recovery Institute.

66

PROJETO

5.1

ESTUDO SOBRE A IMPORTNCIA DO PCN

Principalmente no Brasil, onde a cultura de preveno no tem um papel muito importante na sociedade, as organizaes no esto totalmente preparadas para dar continuidade ao seu negcio caso ocorra algum problema ou desastre no seu ambiente produtivo. Para evitar as perdas e os prejuzos que um desastre pode causar estabilidade da organizao, necessrio desenvolver um bom planejamento para a continuidade do seu negcio. Para desenvolver este planejamento necessrio investimento, mudana na cultura da organizao, alm do alinhamento dos processos de acordo com a estratgia do negcio. E geralmente so estes os fatores que contribuem para que a organizao deixe o PCN para um segundo plano. Um PCN pode consumir recursos financeiros significativos da organizao, uma vez que pessoal e equipamentos de reserva para comunicao e processamento de informaes em locais alternativos sero necessrios. Porm, sua inexistncia pode acarretar em uma perda mais significativa que seu investimento. Um exemplo disso pode ser identificado nos seguintes incidentes ocorridos: Blecaute em Wall Street em 13 de agosto de 1990, quando 28 empresas deslocaram seus processamentos de dados para locais de recuperao previamente planejados (UNIDADE VI).

67

Enchente na regio central de Chicago em 13 de abril de 1992, quando 33 empresas fizeram o mesmo. A Bolsa de Mercadorias de Chicago, uma das mais importantes do mundo, ficou paralisada completamente no primeiro dia da enchente, afetando mercados financeiros no resto do mundo devido ao volume de negcios no fechados (UNIDADE VI).

O ataque terrorista ao World Trade Center em 11 de setembro de 2001, que teve impacto significativo nos mercados dos Estados Unidos e mundial. A Bolsa de Valores de Nova Iorque, o American Stock Exchange e a NASDAQ no abriram em 11 de Setembro e permaneceram fechadas at 17 de Setembro. As instalaes e centros de processamento de dados remotos da Bolsa de Valores de Nova Iorque (NYSE) mais as empresas participantes, consumidores e mercados foram incapazes de se comunicarem devido aos danos ocorridos instalao de chaveamento telefnico prxima ao World Trade Center. Quando os mercados de aes reabriram em 17 de Setembro de 2001, aps o maior perodo em que estiveram fechadas desde a Grande Depresso em 1993, o ndice do mercado de aes Dow Jones Industrial Average (DJIA) caiu 684 pontos, ou 7,1%, para 8920 pontos, sua maior queda em um nico dia. No fim da semana, o DJIA tinha cado 1369,7 pontos (14,3%), sua maior queda em uma semana na histria. O mercado de aes americano perdeu 1,2 trilho de dlares em valor em uma semana (WIKIPEDIA).

Mas no apenas fora do Brasil que incidentes acontecem, no ano passado (2003), a capital Florianpolis ficou trs dias no escuro por causa de um blecaute que comeou na tarde da quarta-

68

feira dia 29 de outubro de 2003, quando explodiu um continer de gs usado na manuteno da ponte que liga a cidade ao continente, provocando fogo e afetando as linhas de transmisso. A falta de energia eltrica e de gua, o trnsito congestionado em vrios pontos e mais a perda de alimentos pela ausncia de refrigerao foram apenas alguns dos transtornos que atingiu a populao da ilha. Possuir um PCN pode ser um fator de diferenciao num ambiente altamente competitivo como o de hoje. Ele parte de organizaes conscientes da qualidade de seus compromissos com seus acionistas, funcionrios, clientes e fornecedores.

5.2

PESQUISA DE CAMPO COM EMPRESAS DA REGIO

Para identificar como est a preocupao das organizaes em relao ao PCN, foi desenvolvida uma pesquisa de campo com algumas empresas da regio. Para verificar a pesquisa na ntegra, verifique o Anexo 1 deste trabalho. As organizaes entrevistadas foram: Marisol Transjoi Operaes de Transportes Palhares Advogados Associados Companhia Fabril Lepper Embraco Tuper Escapamentos SICAP Tigre Tupy

69

Portobello SOCIESC CIESC Centro das Indstrias do Estado de SC

O grfico 5.1 ilustra o ramo de atividade das empresas entrevistadas.

Ramo de Atividade das Empresas

9%

9%

Indstria e Comrcio Prestao de Servios Representao empresarial Educao

18%

64%

Grfico 5.1 - Ramo de Atividade das empresas entrevistadas

Das empresas entrevistadas 82% possui alguma certificao. O grfico 5.2 ilustra quais os tipos de certificao que as empresas entrevistadas possuem.

70

Certificao das Empresas

27% 9%

9% 27% QS9000 ISO14000 ISO9000 ISO9001

9%

ISO9002 Outras 73%

Grfico 5.2 - Tipos de Certificao das empresas entrevistadas

Grande parte das empresas entrevistadas so indstrias de grande porte, que possuem reconhecimento nacional. Assim para suprir a demanda do mercado, a quantidade de

equipamentos que suportam os seus processos est entre 500 at mais de 1000. Isto demonstra que quanto maior a empresa, maior o seu parque tecnolgico e conseqentemente maior ser a sua preocupao com a segurana da informao e funcionamento dos processos. O grfico 5.3 ilustra a quantidade de equipamentos que as empresas possuem.

71

Quantidade de Equipamentos da Empresa

9% 46% 27% At 50 de 51 a 500 de 501 a 1000 mais de 1000 18%

Grfico 5.3 - Quantidade de Equipamentos das empresas entrevistadas

Mesmo possuindo um grande parque tecnolgico, apenas 46% das empresas possuem um oramento especfico para recursos com segurana. O percentual disponvel para este oramento de menos de 1% at 5% do oramento global da empresa. Alm disso, apenas 46% destas empresas possuem algum processo que trata da gesto da continuidade. E 36% desconhecem esta informao. Levando em considerao que uma das premissas para a implantao do PCN dentro da organizao a sua divulgao, quase possvel avaliar que estas empresas no possuem um processo especfico sobre o tema. Pela importncia que estas empresas tem no mercado nacional, preocupante pensar no impacto que uma interrupo traria para a economia. O grfico 5.4 ilustra o percentual das empresas em relao a existncia de processos especficos para a gesto da continuidade.

72

Existe algum processo que trata da gesto da continuidade dos negcios da empresa?

36%

46%

Sim No No tem esta informao

18%

Grfico 5.4 - Existncia de processo de gesto da continuidade

Porm todas elas j possuem engatilhado algum tipo de procedimento ou planejamento que podem numa etapa posterior estar relacionado ao PCN. Isso demonstra que a preocupao com o tema vem crescendo a cada dia.

5.3

DESENVOLVIMENTO DO MODELO PARA ELABORAO DE UM PCN

A melhor forma de possibilitar a continuidade do negcio de uma organizao aps uma contingncia atravs de um bom planejamento. Com um planejamento bem elaborado,

73

preparado e periodicamente testado, a organizao obter sucesso na execuo dos procedimentos de recuperao e continuidade necessrios para manter a empresa em atividade. Para auxiliar as organizaes na elaborao deste planejamento, foi desenvolvido um modelo guia para a o desenvolvimento, implantao e manuteno de um PCN. Os formulrios auxiliares do modelo guia podero ser verificados no Anexo 2 deste trabalho.

5.3.1

Etapa 1 Identificao

Nesta etapa sero desenvolvidas as seguintes atividades: Identificao do negcio Identificao dos processos que mantm o negcio (processos crticos) Identificar a infra-estrutura que suporta os processos Identificar as ameaas que afetariam o desenvolvimento dos processos

Esta a etapa mais importante de todo o processo, pois nesta etapa que sero definidos quais os processos estaro sendo mantidos pelo PCN. O PCN no precisa necessariamente atender todos os processos de uma organizao, ele estando preparado para prever ou dar suporte aos processos crticos j traz grandes resultados e minimiza a ocorrncia de impactos negativos na operao da organizao.

74

5.3.2

Etapa 2 Anlise

Nesta etapa sero desenvolvidas as seguintes atividades: Analisar as vulnerabilidades da infra-estrutura que mantm os processos Definir as probabilidades de impacto Planejar aes imediatas, de contingncia e de restaurao Atribuir validade e responsveis pelas aes

O sucesso de um PCN deve-se ao fato de um grande investimento de tempo e quantidade de informaes levantadas na etapa de identificao e por conseguinte analisadas nesta etapa, a etapa de anlise. nesta etapa que o PCN ser definitivamente elaborado, ou seja, atravs das informaes levantadas na primeira etapa, sero analisadas as ameaas que estas informaes podem ter e quais aes para evitar, manter e recuperar no caso de uma ou mais destas ameaas se concretizarem.

5.3.3

Etapa 3 Implementao

Nesta etapa sero desenvolvidas as seguintes atividades: Implantao das aes Treinamento com os responsveis Divulgao dentro e fora da organizao (funcionrios, clientes e fornecedores)

75

Esta etapa a responsvel tanto pelo funcionamento correto do PCN elaborado, quanto pela conscientizao e capacitao dos responsveis pelas atividades do plano. muito

importante que todos tenham conhecimento e saibam como agir no caso de uma emergncia, por isso que a divulgao se torna um dos fatores chave para o sucesso do seu funcionamento.

5.3.4

Etapa 4 Manuteno

Nesta etapa sero desenvolvidas as seguintes atividades: Criao de atividades para atualizao do PCN integrado com atividades do dia-a-dia Testar o PCN atravs de simulaes e registrar o resultado Reunio semestral para avaliar os processos crticos (mudana de estratgia ou negcio da organizao)

O PCN no ter nenhuma utilidade se no estiver sempre atualizado e constantemente testado. Muitas vezes tanto durante o planejamento, quanto no momento de implantao,

algumas caractersticas do ambiente ou at da capacitao de pessoas no so totalmente identificadas, podendo ser um ponto crtico que poder caracterizar o mau funcionamento do plano no momento da sua execuo. A existncia do PCN a garantia que a organizao no fique inativa em nenhuma situao, porm ele somente desempenhar a sua funo corretamente se estiver de acordo com as caractersticas atuais das organizaes.

76

5.4

CONCLUSO

Este captulo teve como objetivo identificar a importncia do PCN para as organizaes atualmente. Como a dependncia tecnolgica vem crescendo gradualmente nos ltimos anos, a existncia de um PCN torna-se quase imprescindvel para as organizaes que no podem sofrer uma interrupo nas suas atividades. Alm disso, no decorrer deste captulo, foi possvel averiguar por meio da pesquisa de campo como est a preocupao das organizaes em relao ao PCN. A preocupao vem crescendo, porm o investimento e a mudana de cultura so fatores que fazem com que as organizaes deixem sua elaborao para um segundo momento. Por fim, foi feito o desenvolvimento de um modelo guia capaz de auxiliar as organizaes na elaborao do plano de continuidade do seu negcio.

77

CONSIDERAES FINAIS

Uma das motivaes para o desenvolvimento deste trabalho foi o fato de que as organizaes esto cada vez mais dependentes dos sistemas e de toda a tecnologia que as envolve. quase impossvel que uma organizao no possua algum tipo de dependncia tecnolgica, mesmo se tratando de uma micro ou pequena empresa. A tecnologia fundamental para que a organizao possa entrar no mercado e se manter de forma competitiva, pois por meio dela ser oferecido mais qualidade em menos tempo. Porm preciso avaliar at que ponto bom estar totalmente atualizado. medida que a organizao expande seus negcios e comea a utilizar a rede mundial Internet - por exemplo, aumenta a probabilidade de ameaas ao seu negcio. Desta forma, preciso que as organizaes estabeleam procedimentos de segurana para toda a sua infra-estrutura. Estes procedimentos vo desde medidas de segurana para os recursos de TI que geralmente suportam os processos da organizao, at a segurana fsica de seus funcionrios, clientes e fornecedores. Com isso surge a necessidade da existncia de um PCN dentro das organizaes. Por meio dele, as organizaes tero a garantia da preveno, manuteno e recuperao do seu ambiente produtivo, independente dos eventos que ocorram e por conseqncia suspendam suas operaes, ou dos danos causados nos seus recursos. Por meio deste trabalho, foi possvel analisar qual o impacto que um desastre ou a falta de um PCN poderia causar no processo produtivo das organizaes. Os exemplos citados no tpico 5.1 do captulo 5 comprovam este fato. Em todos os exemplos, houve muitas perdas tanto de informaes quanto de equipamentos e at, no caso do World Trade Center de vidas humanas.

78

Neste caso ento, o PCN auxiliaria na recuperao e contingncia dos processos, possibilitando a continuidade da organizao e rpido retorno ao seu desempenho padro. Assim, este trabalho confirmou que muito importante a existncia de um PCN dentro da organizao para que a mesma continue sempre ativa.

6.1

CONTRIBUIES DO TRABALHO

Este trabalho trouxe contribuies importantes, tais como: Identificao do cenrio atual do PCN no Brasil Estudo da importncia de um PCN dentro das organizaes Desenvolvimento de uma pesquisa de campo com empresas da regio para averiguar como est o nvel de conhecimento e aplicao do PCN Definio de um modelo guia para o desenvolvimento de um PCN dentro da organizao

6.2

TRABALHOS FUTUROS

Por meio deste trabalho foi possvel identificar a necessidade da existncia de uma ferramenta com base nos padres estabelecidos pelo DRI, que possibilite automatizar a elaborao e manuteno do PCN, pois todo este processo ainda manual e muito complexo para controlar.

79

Assim fica como sugesto de trabalhos futuros a implementao desta ferramenta, com base no modelo proposto neste trabalho.

80

REFERNCIAS

1 2

BRASIL. Norma ISO/IEC 17799:2001. Estabelece critrios para a segurana da informao dentro das organizaes. BSI, British Standards Institute. BS 7799 Information Security. Artigo de acesso exclusivo por meio eletrnico. Disponvel em: http://www.bsi-global.com/Global/bs7799.xalter. Acesso em: 21/08/2004. CHESWICK, Bill. Firewalls in Internet Security: Reppling the Wily Hacker. Ed. Addison Wesley DRI International. Disaster Recovery Institute. Apresenta informaes sobre continuidade de negcios. Disponvel em: http://www.drii.org. Acesso em: 01/10/2004. FERREIRA, Aurlio Buarque de Holanda. Novo Dicionrio Aurlio Sculo XXI: o dicionrio da lngua portuguesa. 3. ed. Rio de Janeiro: Nova Fronteira, 1999. FERREIRA, Fernando N. F. Segurana da informao em ambientes informatizados. 1. ed. Rio de Janeiro: Cincia Moderna, 2003. INFOWESTER. Firewall: conceitos e tipos. http://www.infowester.com/firewall.php. Acesso em: 30/12/2004. Disponvel em:

3 4 5 6 7 8 9

MARINHO, Fernando. Como proteger e manter seus negcios. 1. ed. Rio de Janeiro: Campus, 2003. MICROSOFT. Aplicando a Disciplina de Gerenciamento de Riscos de Segurana. Artigo de acesso exclusivo por meio eletrnico. Disponvel em: http://www.microsoft.com/brasil/security/guidance/prodtech/win2000/secmod135.mspx. Acesso em: 30/08/2004.

10 MICROSOFT. Compreendendo a Disciplina de Gerenciamento de Riscos. Artigo de acesso exclusivo por meio eletrnico. Disponvel em: http://www.microsoft.com/brasil/security/guidance/prodtech/win2000/secmod134.mspx. Acesso em: 30/08/2004 11 NAKAMURA, Emilio Tissato e GEUS, Paulo Lcio de. Segurana de redes em ambientes cooperativos. So Paulo: Berkeley Brasil, 2002. 12 NBSO NIC BR Security Office. Estatsticas dos Incidentes Reportados ao NBSO. Disponvel em: http://www.nbso.nic.br/stats/incidentes/. Acesso em: 30/12/2004.

81

13 PMIMG. PMI Captulo de Minas Gerais, 2002. http://www.pmimg.org.br. Acesso em: 02/09/2004.

PMBOOK 2000.

Disponvel em:

14 RAMOS, F.F. Anlise de Risco: O que se diz, o que se faz, e o que realmente . Artigo de acesso exclusivo por meio eletrnico. Disponvel em: http://www.axur.com.br. Acesso em: 30/08/2004. 15 SALDANHA, Fernando. Introduo a planos de continuidade e contingncia operacional. 1. ed. Rio de Janeiro: Papel Virtual, 2000. 16 SANTOS, Luiz Carlos. Como funciona a criptografia? Artigo de acesso exclusivo por meio eletrnico. Disponvel em: http://www.clubedasredes.eti.br/rede0009.htm. Acesso em: 21/08/2004. 17 UNIDADE VI Segurana Fsica e Ambiental em Informtica. Disponvel em: http://www.geocities.com/ferujo/unidade-vi.htm. Acesso em: 30/12/2004. 18 US CERT. Statistics on Federal Incident Reports. Apresenta pesquisas sobre incidentes de segurana da informao. Disponvel em: http://www.us-cert.gov/federal/statistics. Acesso em: 02/09/2004 19 VARGAS, Ricardo. Gerenciamento de Projetos: estabelecendo diferenciais competitivos. Rio de Janeiro: Brasport, 2003. 20 WIKIPEDIA A enciclopdia livre. Ataques de 11 de Setembro. Disponvel em: http://pt.wikipedia.org/wiki/Ataques_de_11_de_Setembro. Acesso em: 30/12/2004.

82

ANEXO

ANEXO 1 Pesquisa de Campo com Empresas da Regio ANEXO 2 Formulrios auxiliares do Modelo Guia para elaborao do PCN

83

ANEXO 1 PESQUISA DE CAMPO COM EMPRESAS DA REGIO

PERFIL DOS ESTREVISTADOS

1. Qual o ramo de atividade da empresa?

Ramo de Atividade das Empresas

9%

9%

Indstria e Comrcio Prestao de Servios Representao empresarial Educao

18%

64%

2. A empresa possui certificao?

Certificao

18% Possui certificao No possui certificao 82%

84

3. Qual certificao a empresa possui?

Certificao das Empresas

27% 9%

9% 27% QS9000 ISO14000 ISO9000 ISO9001

9%

ISO9002 Outras 73%

4. Quantos equipamentos a empresa possui?

Quantidade de Equipamentos da Empresa

9% 46% 27% At 50 de 51 a 500 de 501 a 1000 mais de 1000 18%

85

ESTRATGIA DE NEGCIO DA EMPRESA

5. Existe uma definio bem clara de quais os principais processos de negcio da empresa? (Departamentos e atividades crticas)

Definio dos Processos de Negcio Crticos

18% 9%

Sim No No tem esta informao

73%

6. Estes processos crticos esto de acordo com a estratgia de negcio da empresa?

Os Processos Crticos esto de acordo com a Estratgia de Negcio?

36%

Sim No 64% No tem esta informao

0%

86

7. Existe uma documentao das atividades e responsveis pelos processos crticos?

Existe documentao dos Processos Crticos?

18%

Sim No

18%

64%

No tem esta informao

8. Esta documentao constantemente atualizada?

A documentao sempre atualizada?

18%

Sim No

27%

55%

No tem esta informao

87

9. Os responsveis pelos processos crticos conhecem as atividades e sabem definir os riscos que afetariam sua realizao com sucesso?

Os responsveis pelos processos crticos sabem definir os riscos que afetariam o processo?

36%

Sim No 55% 9% No tem esta informao

10. Alm dos recursos humanos, existem outros recursos que suportam os processos crticos da empresa?

Existem outros recursos que suportam os Processos Crticos?

18% 0%

Sim No No tem esta informao

82%

88

SEGURANA DA INFORMAO

11. A empresa possui alguma medida de segurana implementada?

Existe alguma medida de Segurana implementada?

0% 0% Sim No No tem esta informao

100%

12. Quais so as medidas?

Medidas de Segurana
Antivrus Backup Firewall 36% 9% Poltica de Segurana 100% Capacitao Tcnica Software de controle de acesso 82% 73% 64% 100% Segurana fsica na sala dos servidores Proxy Server Criptografia Outros

91% 64%

100%

89

13. Os recursos que suportam os processos crticos da empresa so mantidos por alguma medida de segurana?
Os recursos dos processos crticos so mantidos por alguma medida de segurana?

0% 0% Sim No No tem esta informao 100%

14. Existe infra-estrutura de segurana da informao para gerenciar as aes corporativas?

Existe infra-estrutura de segurana da informao para gerenciar as aes corporativas?

9% 18% Sim No No tem esta informao 73%

90

15. Existe controle de acesso s informaes crticas da empresa, tanto por funcionrios quanto por terceiros?
Existe controle de acesso s informaes crticas da empresa, tanto por funcionrios quanto por terceiros?

0%

9%

Sim No No tem esta informao 91%

16. Existe identificao dos riscos no acesso de terceiros?

Existe identificao dos riscos no acesso de terceiros?

9% 46%

Sim No No tem esta informao

45%

91

17. Existem requisitos de segurana dos contratos de terceirizao?

17 - Existem requisitos de segurana dos contratos de terceirizao?

18% 46% Sim No No tem esta informao 36%

18. Existe inventrio dos ativos fsicos, tecnolgicos e humanos?

Existe inventrio dos ativos fsicos, tecnolgicos e humanos?

9% 18% Sim No No tem esta informao 73%

92

19. Existe acordo de confidencialidade, termos e condies de trabalho?

Existe acordo de confidencialidade, termos e condies de trabalho?

27%

0%

Sim No No tem esta informao 73%

20. Existem processos para capacitao e treinamento de usurios nos procedimentos de segurana?
Existem processos para capacitao e treinamento de usurios nos procedimentos de segurana?

9%

Sim No 36% 55% No tem esta informao

93

21. A empresa possui um oramento especfico para recursos com segurana?

A empresa possui um oramento especfico para recursos com segurana?

9% 46%

Sim No No tem esta informao

45%

22. Qual o percentual do oramento com segurana?

Qual o percentual do oramento com segurana?

20%

20%

menos de 1% de 1% a 5% de 6% a 10%

60%

94

PLANO DE CONTINUIDADE DO NEGCIO

23. Existe algum processo que trata da gesto da continuidade dos negcios da empresa?
Existe algum processo que trata da gesto da continuidade dos negcios da empresa?

36%

46%

Sim No No tem esta informao

18%

24. No caso da ocorrncia de imprevistos, existe algum plano de contingncia ou de resposta a emergncias para amenizar o impacto deste imprevisto?
Existe algum plano de contingncia ou de resposta a emergncias para amenizar o impacto de um imprevisto?

18%

0%

Sim No No tem esta informao 82%

95

25. Se neste exato momento ocorresse uma interrupo ou um desastre, a empresa estaria apta a recuperar com rapidez e sem problemas para impedir que os seus negcios fossem afetados?
Se neste exato momento ocorresse uma interrupo ou um desastre, a empresa estaria apta a recuperar com rapidez e sem problemas para impedir que os seus negcios fossem afetados?

9%

0%

Sim No No tem esta informao 91%

96

MODELO DE PCN

26. Tem interesse em verificar / validar o modelo de plano de continuidade que est sendo desenvolvido com este trabalho?
Tem interesse em verificar / validar o modelo de plano de continuidade que est sendo desenvolvido com este trabalho?

18% Sim No 18% No tem esta informao 64%

97

ANEXO 2 FORMULRIOS ELABORAO DO PCN 1. IDENTIFICAO DO NEGCIO

AUXILIARES

DO

MODELO

GUIA

PARA

Identificao da Empresa Razo Social Nome Fantasia CNPJ Endereo Inscrio Estadual Inscrio Municipal Data de Fundao Telefone Fax E-mail Site

Identificao dos Scios Nome Perfil Atribuio Participao Societria

Definio do Negcio Segmento de Atuao Histrico Cenrio Atual Tendncias Futuras Viso Anlise Estratgica (Oportunidades, Ameaas,

98

Pontos Fortes e Pontos Fracos) Fatores Crticos de Sucesso Misso Metas

Mercado Identificao do Pblico Alvo Identificao dos Clientes Segmentao Tamanho do Mercado Atual Concorrentes (Empresa, Porte, % do Mercado, Informaes Operacionais) Tendncias Participao Pretendida no Mercado Metas

99

2. IDENTIFICAO DOS PROCESSOS DO NEGCIO

Processo de Negcio (Setor ou Unidade) Nome do Processo de Negcio: Localizao: Nome do Responsvel: Cargo: E-mail: Nome do Substituto: Cargo: E-mail: Funo bsica: Telefones: Data de Admisso: Telefones: Data de Admisso:

Funcionrios envolvidos (Nome / Cargo):

Este processo de negcio : ( ) Prprio Gestor responsvel:

( ) Terceirizado pela empresa

100

3. IDENTIFICAO DA INFRA-ESTRUTURA DOS PROCESSOS DO NEGCIO

Neste formulrio sero relacionados todos os componentes utilizados para a execuo de cada processo de negcio, indicando quais as respectivas quantidades e quais so consideradas como indispensvel (crticas).

Componentes da Infra-Estrutura do Negcio Tipo Nome do Componente Quantidades Utilizadas crtica? (S/N)

Tempo de Inoperncia Suportvel (sem que haja conseqncias para a empresa)

At ( )1 ( )6 ( )90 Em ( ) horas ( ) No pode parar ( ) minutos ( ) No sabe ( )2 ( )12 ( )3 ( )24 ( )4 ( )30 ( )5 ( )48

No formulrio abaixo sero relacionados os processos de negcios que dependem das atividades realizadas por este processo de negcio.
Processos Dependentes Nome do Processo Unidade de Negcio (Setor) Responsvel Telefones

101

No formulrio abaixo sero relacionados os processos de negcios dos quais este depende, sua execuo, indicando em qual setor (unidade de negcio) realizado e seus respectivos contatos.
Processos Dependentes Nome do Processo Unidade de Negcio (Setor) Responsvel Telefones

102

4. IDENTIFICAO DAS AMEAAS AOS PROCESSOS DO NEGCIO

Naturais
Descrio ( ) Incndio ( ) Outra (Qual?) Vulnerabilidade 0123 ( ) Inundao ( ) Outra (Qual?) Descrio Vulnerabilidade 0123

Humanas
Descrio ( ) Vrus de Computador ( ) Manipulao indevida de dados e sistemas ( ) Sabotagem de dados ( ) Seqestro de elementochave de processo ( ) Falha do prestador de servio/parceiro ( ) Acesso indevido s instalaes ( ) Outra (Qual?) ( ) Outra (Qual?) Vulnerabilidade 0123 ( ) Greves Externas ( ) Erro humano (dano nointencional) ( ) Ataque terrorista ( ) Roubo e/ou furto de recursos ( ) Seqestro de dados e informaes ( ) Sabotagem de instalaes Descrio Vulnerabilidade 0123

Tecnolgicas
Descrio ( ) Falha em aplicativo (software) ( ) Falha em sistema operacional Vulnerabilidade 0123 ( ) Falha no sistema de refrigerao ( ) Falha em hardware Descrio Vulnerabilidade 0123

103

( ) Falha em rede interna (LAN) ( ) Falha na entrada de dados ( ) Falha em correio eletrnico ( ) Falha em telecom - voz ( ) Outra (Qual?)

( ) Falha em rede externa (WAN) ( ) Interrupo de energia ( ) Falha em instalao eltrica ( ) Falha em telecom - dados ( ) Outra (Qual?)

Fsicas
Descrio ( ) Queda de aeronave ( ) Falta dgua ( ) Problema estrutural ou de instalao ( ) Outra (Qual?) Vulnerabilidade 0123 ( ) Problema estrutural ou de instalao ( ) Proximidade de depsito de inflamveis ( ) Rompimento de tubulao interna (gua, esgoto, gs ou vapores) ( ) Outra (Qual?) Descrio Vulnerabilidade 0123