• Nenhum resultado encontrado

PoliticaSeguranca

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "PoliticaSeguranca"

Copied!
22
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 22 páginas )

Texto

(1)

POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO MARCUS VINICIUS MAIA DE FREITAS

JOSÉ LAURO

Pós-Graduação da Universidade Estácio de Sá – Campus Praça XI

Resumo:

A segurança é um dos assuntos mais importantes dentre as preocupações de qualquer empresa. Confidencialidade, integridade e disponibilidade da informação estão diretamente ligados à segurança. Convém que a direção estabeleça uma política clara e demonstre apoio e comprometimento com a segurança da informação através da emissão e manutenção de uma política de segurança da informação para toda a organização.

Palavras-chaves: Segurança, Confidencialidade, Integridade, Disponibilidade, Política de Segurança, Direção, Organização.

1. Histórico e Normas:

Desde o início da civilização humana há uma preocupação com as informações e com os conhecimentos atrelados à elas. Inicialmente, esta atenção especial pode ser observada no processo de escrita de alguns povos, como é o caso da antiga civilização egípcia, na qual somente as castas “superiores” da sociedade tinham acesso aos manuscritos da época, e menos pessoas ainda ao processo de escrita dos mesmos. Assim a escrita, por meio de hieróglifos do Egito antigo, representa uma das várias formas utilizadas pelos antigos de protegerem e, ao mesmo tempo, perpetuarem o seu conhecimento.

Contudo, somente na sociedade moderna, com o advento do surgimento dos primeiros computadores, houve uma maior atenção para a questão da

(2)

segurança das informações. De início, esta preocupação era ainda muito rudimentar, porém com o passar do tempo este processo mudou.

A questão da segurança no âmbito dos computadores ganhou força com o surgimento das máquinas de tempo compartilhado (time-sharing), as quais permitiam que mais de uma pessoa, ou usuário, fizesse uso do computador ao mesmo tempo.

O time-sharing permitiu que vários usuários pudessem acessar as mesmas informações, contudo este acesso não gerenciado poderia gerar efeitos indesejáveis. Logo, nasce a necessidade da implementação de ferramentas que minimizem problemas de compartilhamento de recursos e informações de forma insegura.

Dentro da área de segurança da informação lidamos com um conteúdo altamente técnico e conceitual, havendo assim a necessidade do conhecimento de diversas áreas e assuntos para uma compreensão e sucesso profissional aceitável.

1.1. O que visa a segurança de informações?

A segurança de informações visa garantir a integridade, confidencialidade, autenticidade e disponibilidade das informações processadas pela organização.

1.2. O que é integridade de informações?

Consiste na fidedignidade de informações. Sinaliza a conformidade de dados armazenados com relação às inserções, alterações e processamentos autorizados efetuados. Sinaliza, ainda, a conformidade dos dados transmitidos pelo emissor com os recebidos pelo destinatário.

A manutenção da integridade pressupõe a garantia de não violação dos dados com intuito de alteração, gravação ou exclusão, sela ela acidental ou proposital.

(3)

1.3. O que é confidencialidade das informações?

Consiste na garantia de que somente pessoas autorizadas tenham acesso às informações armazenadas ou transmitidas por meio de redes de comunicação. Manter a confidencialidade pressupõe assegurar que as pessoas não tomem conhecimento de informações, de forma acidental ou proposital, sem que possuam autorização para tal procedimento.

1.4. O que é autenticidade das informações?

Consiste na garantia da veracidade da fonte das informações. Por meio da autenticação é possível confirmar a identidade da pessoa ou entidade que presta as informações.

1.5. O que é disponibilidade de informações?

Consiste na garantia de que as informações estejam acessíveis às pessoas e aos processos autorizados, a qualquer momento requerido, durante o período acordado entre os gestores da informação e a área de informática. Manter a disponibilidade de informações pressupõe garantir a prestação contínua do serviço, sem interrupções no fornecimento de informações pra quem é de direito.

2. Política de Segurança de Informações – PSI

A informação é um ativo muito importante para qualquer organização, podendo ser considerada, atualmente, o recurso patrimonial mais crítico. Informações adulteradas, não disponíveis, sob conhecimento de pessoas de má-fé ou de concorrentes podem comprometer significativamente, não apenas a imagem da organização perante terceiros, como também o andamento dos próprios processos organizacionais. É possível inviabilizar a continuidade de

(4)

uma organização se não for dada a devida atenção à segurança de suas informações.

Política de segurança de informações é um conjunto de princípios que norteiam a gestão de segurança de informações e que deve ser observado pelo corpo técnico e gerencial e pelos usuários internos e externos.

As diretrizes estabelecidas nesta política determinam as linhas mestras que devem ser seguidas pela organização para que sejam assegurados seus recursos computacionais e suas informações.

É recomendável que na estrutura da organização exista uma área responsável pela segurança de informações, a qual deve iniciar o processo de elaboração da política de segurança de informações, bem como coordenar sua implantação, aprová-la e revisá-la, além de designar funções de segurança.

Vale salientar, entretanto, que pessoas de áreas críticas da organização devem participar do processo de elaboração da PSI, como a alta administração e os diversos gerentes e proprietários dos sistemas informatizados. Além disso, é recomendável que a PSI seja aprovada pelo mais alto dirigente da organização.

A política de segurança de informações deve extrapolar o escopo abrangido pelas áreas de sistemas de informação e recursos computacionais. Ela não deve ficar restrita à área de informática. Ao contrário, ela deve estar integrada à visão, à missão, ao negócio e às metas institucionais, bem como ao plano estratégico de informática e às políticas da organização concernentes à segurança em geral.

O conteúdo da PSI varia, de organização para organização, em função de seu estágio de maturidade, grau de informatização, área de atuação, cultura organizacional, necessidades requeridas, requisitos de segurança, entre outros aspectos. No entanto, é comum a presença de alguns tópicos na PSI, tais como:

o Declaração do comprometimento da alta administração com a PSI, apoiando suas metas e princípios;

(5)

o Definição de responsabilidades gerais na gestão de segurança de informações;

o Orientações sobre análise e gerência de riscos;

o Princípios de conformidade dos sistemas computacionais com a PSI;

o Padrões de controle de acesso a recursos e sistemas computacionais;

o Classificação de informações (de uso irrestrito, interno, confidenciais e secretas);

o Procedimentos de prevenção e detecção de vírus;

o Princípios legais que devem ser observados quanto à tecnologia da informação (direitos de propriedade de produção intelectual, diretos sobre software, normas legais correlatas aos sistemas desenvolvidos, cláusulas contratuais);

o Princípios de supervisão constante das tentativas de violação da segurança de informações;

o Conseqüências de violações de normas estabelecidas na política de segurança;

o Princípios de gestão da continuidade do negócio; o Plano de treinamento em segurança de informações.

A política de segurança de informações deve conter princípios, diretrizes e regras genéricos e amplos, para aplicação em toda a organização. Além disso, ela deve ser clara o suficiente para ser bem compreendida pelo leitor em foco, aplicável e de fácil aceitação. A complexidade e extensão exageradas da PSI pode levar ao fracasso de sua implementação. Cabe destacar que a PSI pode ser composta por várias políticas inter-relacionadas, como a política de senhas, de backup, de contratação e instalação de equipamentos e softwares.

(6)

Ademais, quando a organização achar conveniente e necessário que sua PSI seja mais abrangente e detalhada, sugere-se a criação de outros documentos que especifiquem práticas e procedimentos e que descrevam com mais detalhes as regras de uso da tecnologia da informação. Esses documentos costumam dispor sobre regras mais específicas, que detalham as responsabilidades dos usuários, gerentes e auditores e, normalmente, são atualizados com maior freqüência. A PSI é o primeiro de muitos documentos com informações cada vez mais detalhadas sobre procedimentos, práticas e padrões a serem aplicados em determinadas circunstâncias, sistemas ou recursos.

2.1. Implantação da PSI

O processo de implantação da política de segurança de informações deve ser formal. No decorrer desse processo, a PSI deve permanecer passível a ajustes para melhor adaptar-se às reais necessidades. O tempo desde o início até a completa implantação tende a ser longo. Em resumo, as principais etapas que conduzem à implantação bem sucedida da PSI são: elaboração, aprovação, implementação, divulgação e manutenção. Muita atenção deve ser dada às duas últimas etapas, haja vista ser comum sua não observância. Normalmente, após a consecução das três primeiras etapas, as gerências de segurança acreditam terem cumprido o dever e esquecem da importância da divulgação e atualização da PSI.

De forma mais detalhada, pode-se citar como as principais fases que compõem o processo de implantação da PSI:

o Identificação dos recursos críticos; o Classificação das informações;

o Definição, em linhas gerais, dos objetivos de segurança a serem atingidos;

o Analise das necessidades de segurança (identificação das possíveis ameaças, análise de riscos e impactos);

o Elaboração de proposta de política; o Discussões abertas com os envolvidos;

(7)

o Apresentação de documento formal à gerencia superior; o Aprovação; o Publicação; o Divulgação; o Treinamento; o Implementação;

o Avaliação e identificação das mudanças necessárias;

o Revisão.

O sucesso da PSI está diretamente relacionado com o envolvimento e a atuação da alta administração. Quanto maior for o comprometimento da gerência superior com os processos de elaboração e implantação da PSI, maior a probabilidade de ela ser efetiva e eficaz. Esse comprometimento deve ser expresso formalmente, por escrito.

A divulgação ampla a todos os usuários internos e externos à organização é um passo indispensável para que o processo de implantação da PSI tenha sucesso. A PSI deve ser de conhecimento de todos que interagem com a organização e que, direta ou indiretamente, serão afetados por ela. É necessário que fique bastante claro para todos, as conseqüências advindas do uso inadequado dos sistemas computacionais e de informações, as medidas preventivas e corretivas que estão a seu cargo para o bom, regular e efetivo controle dos ativos computacionais. A PSI fornece orientação básica aos agentes envolvidos de como agi corretamente para atender às regras nela estabelecidas. É importante, ainda, que a PSI esteja permanentemente acessível a todos.

2.2. Violação da PSI

A própria Política de Segurança de Informações deve prever os

procedimentos a serem adotados para cada caso de violação, de acordo com sua severidade, amplitude e tipo de infrator que a perpetra. A punição pode ser desde uma simples advertência verbal ou escrita até uma ação judicial.

(8)

A Lei n.º 9.983, de 14 de julho de 2000, que altera o Código Penal Brasileiro, já prevê penas para os casos de violação de integridade e quebra de sigilo de sistemas informatizados ou banco de dados da Administração Pública. O novo art. 313-A trata da inserção de dados falsos em sistemas de informação, enquanto o art. 313-B discorre sobre a modificação ou alteração não autorizada desses mesmos sistemas. O § 1º do art. 153 do Código Penal foi alterado e, atualmente, define penas quando da divulgação de informações sigilosas ou reservadas contidas ou não nos bancos de dados da Administração Pública. O fornecimento ou empréstimo desenha que possibilite o acesso de pessoas não autorizadas a sistemas de informações é tratado no inciso I do § 1º do art. 325 do Código Penal.

Neste tópico, fica ainda mais evidente a importância da conscientização dos funcionários quanto à PSI. Uma vez que a Política seja de conhecimento de todos da organização, não será admissível que as pessoas aleguem ignorância quanto às regras nela estabelecidas a fim de livrar-se da culpa sobre violações cometidas.

Quando detectada uma violação, é preciso averiguar suas causas, conseqüências e circunstâncias em que ocorreu. Pode ter sido derivada de um simples acidente, erro ou mesmo desconhecimento da PSI, como também de negligência, ação deliberada e fraudulenta. Essa averiguação possibilita que vulnerabilidades até então desconhecidas pelo pessoal da gerência de segurança passem a ser consideradas, exigindo, se for o caso, alterações na PSI.

2.3. Consultoria especializada

Consultoria especializada em segurança é normalmente necessária em diversas organizações. Em condições ideais, convém que um consultor de segurança da informação interno e com boa experiência forneça isso. Nem todas as organizações desejam empregar um consultor especialista. Nestes casos, é recomendável que seja identificado um colaborador específico para coordenar o conhecimento e as experiências internos para garantir consistência e fornecer auxílio nas tomadas de decisão sobre segurança.

(9)

Convém que essas organizações também tenham acesso a consultores externos para prover consultoria especializada além da sua própria experiência.

Convém que consultores em segurança da informação ou contatos equivalentes sejam incumbidos de fornecer apoio em todos os aspectos da segurança da informação, utilizando suas próprias experiências ou consultoria externa. A qualidade de suas avaliações das ameaças à segurança e a consultoria nos controles determinarão a eficiência da segurança da informação da organização. Para efetividade e impactos máximos convém que eles tenham permissão de acesso direto à administração em toda a organização.

Convém que o consultor em segurança da informação ou contato equivalente seja consultado o mais cedo possível após suspeitas de incidente ou violação de segurança para fornecer orientações especializadas ou recursos para o processo investigativo. Embora a maioria das investigações de segurança internas normalmente seja executada sob controle da administração, o consultor de segurança da informação pode ser chamado para recomendar, liderar ou conduzir a investigação.

2.4. Controle de Acesso

2.4.1. Tipos de Acesso

O tipo de acesso dado a prestadores de serviços é de especial importância. Por exemplo, os riscos no acesso através de uma conexão de rede são diferentes dos riscos resultantes do acesso físico. Convém que os seguintes tipos de acesso sejam considerados:

• Acesso físico: Por exemplo, a escritórios, sala de computadores, gabinetes de cabeamento;

• Acesso lógico: Por exemplo, aos bancos de dados da organização, sistemas de informação;

(10)

2.4.2. Razões para o acesso

Acessos a prestadores de serviços podem ser concedidos por diversas razões. Por exemplo, existem prestadores de serviços que fornecem serviços para uma organização e não estão localizados no mesmo ambiente, mas necessitam de acessos físicos e lógicos, tais como:

• Equipes de suporte de hardware e software, que necessitam ter acesso em nível de sistema ou acesso à funcionalidades de baixo nível nas aplicações;

• Parceiros comerciais que podem trocar informações, acessar sistemas de informação ou compartilhar bases de dados.

As informações podem ser colocadas em risco pelo acesso de prestadores de serviços com uma administração inadequada da segurança. Existindo a necessidade de negócios de conexão com prestadores de serviços, convém que uma avaliação de risco seja feita para se identificar quaisquer necessidades de implementação de controles de segurança.

Convém que sejam levados em conta o tipo de acesso requerido, o valor da informação, os controles empregados por prestadores de serviços e as implicações desde acesso à segurança da informação da organização.

2.4.3. Classificação e controle dos ativos de informação

Convém que todos os principais ativos de informação sejam inventariados e tenham um proprietário responsável. O inventário dos ativos ajuda a assegurar que a proteção está sendo mantida de forma adequada. Convém que os proprietários dos principais ativos sejam identificados e a eles seja atribuída a responsabilidade pela manutenção apropriada dos controles. A responsabilidade pela implementação dos controles pode ser delegada.

(11)

Convém que a responsabilidade pela prestação de contas fique com o proprietário nomeado do ativo.

O inventário dos ativos ajuda a assegurar que as proteções estão sendo feitas de forma efetiva e também pode ser requerido para outras finalidades de negócio, como saúde e segurança, seguro ou financeira (gerenciamento patrimonial).

O processo de compilação de um inventário de ativos é um aspecto importante no gerenciamento de risco. Uma organização precisa ser capaz de identificar seus ativos e seus respectivos valores e importância. Baseada nesta informação, uma organização pode então fornecer níveis de proteção proporcionais ao valor e importância desses ativos. Convém que um inventário dos principais ativos associados com cada sistema de informação seja estruturado e mantido. Convém que cada ativo e seu respectivo proprietário sejam claramente identificados e a classificação de segurança seja acordada e documentada, juntamente com a sua localização atual (importante quando se tenta recuperar perdas ou danos). Exemplos de ativos associados com sistemas de informação são:

• Ativos de informação: Base de dados e arquivos, documentação de sistema, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade, procedimentos de recuperação, informações armazenadas;

• Ativos de software: Aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;

• Ativos físicos: Equipamentos computacionais (processadores, monitores, laptops, modems), equipamentos de comunicação (roteadores, PABX, fax, secretárias eletrônicas), mídia magnética (fitas e discos), outros equipamentos técnicos (no-breaks, ar-condicionado), mobília, acomodações;

• Serviços: Computação e serviços de comunicação, utilidades gerais, por exemplo, aquecimento, iluminação, eletricidade, refrigeração.

(12)

2.5. Segurança física e do ambiente

2.5.1. Áreas de segurança

Convém que os recursos e instalações de processamento de informações críticas ou sensíveis do negócio sejam mantidos em áreas seguras, protegidas por um perímetro de segurança definido, com barreiras de segurança apropriadas e controle de acesso. Convém que estas áreas sejam fisicamente protegidas de acesso não autorizado, dano ou interferência.

Convém que a proteção fornecida seja proporcional aos riscos identificados. Políticas de mesa limpa e tela limpa são recomendadas para reduzir o risco de acesso não autorizado ou danos a papéis, mídias, recursos e instalações de processamento de informações.

2.5.2. Perímetro da segurança física

A proteção física pode ser alcançada através da criação de diversas barreiras físicas em torno da propriedade física do negócio e de suas instalações de processamento da informação. Cada barreira estabelece um perímetro de segurança, contribuindo para o aumento da proteção total fornecida. Convém que as organizações usem os perímetros de segurança para proteger as áreas que contêm os recursos e instalações de processamento de dados. Um perímetro de segurança é qualquer coisa que estabeleça uma barreira, por exemplo, uma parede, uma porta com controle de entrada baseado em cartão ou mesmo um balcão de controle de acesso com registro manual. A localização e a resistência de cada barreira dependem dos resultados da avaliação de risco.

Recomenda-se que as seguintes diretrizes e controles sejam considerados e implementados nos locais apropriados.

• Convém que o perímetro de segurança esteja claramente definido;

(13)

• Convém que o perímetro de um prédio ou local que contenha recursos de processamento de dados seja fisicamente consistente (isto é, não podem existir brechas onde uma invasão pode ocorrer facilmente). Convém que as paredes externas do local possuam construção solida e todas as portas externas sejam protegidas de forma apropriada contra acessos não autorizados, como, por exemplo, mecanismos de controle, travas, alarmes, grades etc.

• Convém uma área de recepção ou outro meio de controle de acesso físico ao local ou prédio seja usado. Convém que o acesso aos locais ou prédios seja restrito apenas ao pessoal autorizado.

• Convém que barreiras físicas sejam, se necessário, estendidas da laje do piso até a laje superior, para prevenir acessos não autorizados ou contaminação ambiental, como as causadas por fogo e inundações;

• Convém que todas as portas de incêndio no perímetro de segurança possuam sensores de alarme e mola para fechamento automático.

2.5.3. Controles de entrada física

Convém que as áreas de segurança sejam protegidas por controles de entrada apropriados para assegurar que apenas pessoas autorizadas tenham acesso liberado.

Recomenda-se que os seguintes controles sejam considerados.

• Convém que visitantes de áreas de segurança sejam chegados quanto à permissão para ter acesso e tenham registradas data e hora de sua entrada e saída. Convém que essas pessoas obtenham acesso apenas às áreas especificas, com propósitos autorizados e que esses acessos sigam instruções baseadas nos

(14)

requisitos de segurança e procedimentos de emergência próprios da área considerada;

• Convém que o acesso às informações sensíveis, instalações e recursos de processamento de informações seja controlado e restrito apenas ao pessoal autorizado. Convém que os controles de autenticação, como, por exemplo, cartões com PIN (número de identificação individual), sejam usados para autorizar e validar qualquer acesso.

2.5.4. Fornecimento de energia

Convém que os equipamentos sejam protegidos contra falhas de energia e outras anomalias na alimentação elétrica. Convém que um fornecimento de energia apropriado ocorra em conformidade com as especificações do fabricante do equipamento.

Algumas opções para alcançar a continuidade do fornecimento elétrico incluem:

• Alimentação múltipla para evitar um único ponto de falha no fornecimento elétrico;

• No-break (Uninterruptable Power Supply - UPS);

• Gerador de reserva.

É recomendado o uso de no-break em equipamentos que suportem atividades críticas para permitir o encerramento ordenado ou a continuidade do processamento. Convém que os planos de contingência contenham ações a serem tomadas em casos de falha no no-break. Convém que esse tipo de equipamento seja periodicamente verificado, de forma a garantir que ele esteja com a capacidade adequada, e testado de acordo com as recomendações do fabricante. Convém que um gerador de reserva seja considerado se o processamento requer continuidade, em caso de uma falha elétrica prolongada. Se instalados, convém que os geradores sejam testados regularmente de acordo com as instruções do fabricante. Convém que um fornecimento

(15)

adequado de óleo esteja disponível para assegurar que o gerador possa ser utilizado por um período prolongado.

Adicionalmente, convém que se tenham interruptores elétricos de emergência localizados próximo às saídas de emergência das salas de equipamentos para facilitar o desligamento em caso de emergência. Convém que iluminação de emergência esteja disponível em casos de falha da fonte elétrica primária. Convém que proteção contra relâmpagos seja usada em todos os prédios e que filtros de proteção contra raios sejam instalados para todas as linhas de comunicação externas.

2.5.5. Proteção contra software malicioso

É necessário que se adotem precauções para prevenir e detectar a introdução de software malicioso.

Os ambientes de processamento da informação e os softwares são vulneráveis à introdução de software malicioso, tais como vírus de computador, cavalos de Tróia e outros. Convém que os usuários estejam conscientes sobre os perigos do uso de software sem licença ou malicioso, e os gestores devem, onde cabível, implantar controles especiais para detectar ou prevenir contra sua introdução. Em particular, é essencial que sejam tomadas precauções para detecção e prevenção de vírus em computadores pessoais.

Convém que sejam implantados controles para a detecção e prevenção de software malicioso, assim como procedimentos para a devida conscientização dos usuários. Convém que a proteção contra software malicioso seja baseada na conscientização da segurança, no controle de acesso adequado e nos mecanismos de gerenciamento de mudanças.

Recomenda-se que os seguintes controles sejam considerados:

• Uma política formal exigindo conformidade com as licenças de uso do software e proibindo o uso de software não autorizado;

• Uma política formal para proteção contra os riscos associados com a importação de arquivos e software,seja de redes externas ou por qualquer outro meio, indicando quais as medidas preventivas que devem ser adotadas;

(16)

• Instalação e atualização regular de software de detecção e remoção de vírus para o exame de computadores e meios magnéticos, tanto de forma preventiva como de forma rotineira;

• Análises críticas regulares de software e dos dados dos sistemas que suportam processos críticos do negócio. Convém que a presença de qualquer arquivo ou atualização não autorizada seja formalmente investigada;

• Verificação, antes do uso, da existência de vírus em qualquer arquivo em meio magnético de origem desconhecida ou não autorizada, e em qualquer arquivo recebido a partir de redes não confiáveis;

• Verificação, antes do uso, da existência de software malicioso em qualquer arquivo recebido através de correio eletrônico ou importado (download). Essa avaliação pode ser feita em diversos locais, como, por exemplo, nos servidores de correio eletrônico, nos computadores pessoais ou quando da sua entrada na rede da organização;

• Procedimentos de gerenciamento e respectivas responsabilidades para tratar da prevenção de vírus no sistema, treinamento nesses procedimentos, relato e recuperação de ataques de vírus;

• Planos de contingência adequados para a recuperação em caso de ataques por vírus, incluindo os procedimentos necessários para salva e recuperação dos dados e software;

• Procedimentos para a verificação de toda informação relacionada a software malicioso e garantia de que os alertas sejam precisos e informativos. Convém que os gestores garantam que fontes qualificadas, como, por exemplo, jornais com reputação idônea, sites confiáveis ou fornecedores de software antivírus, sejam utilizadas para diferenciar boatos de notícias reais de vírus. Convém que os funcionários estejam capacitados a lidar com boatos e cientes dos problemas decorrentes desses.

(17)

Esses controles são especialmente importantes para servidores de arquivo de rede que suportem um grande número de estações de trabalho.

2.5.6. Cópias de Segurança

Convém que cópias de segurança dos dados e de software essenciais ao negócio sejam feitas regularmente. Convém que recursos e instalações alternativos sejam disponibilizados de forma a garantir que todos os dados e sistemas aplicativos essenciais ao negócio possam ser recuperados após um desastre ou problemas em mídias. Convém que sejam testados regularmente os backups de sistemas individuais, de maneira a garantir que satisfaçam os requisitos dos planos de continuidade de negócios. Recomenda-se que os seguintes controles sejam considerados.

• Convém que um nível mínimo de cópias de segurança, juntamente com o controle consistente e atualizado dessas cópias e com a documentação dos procedimentos de recuperação, sejam mantidos em local remoto a uma distância suficiente para livrá-los de qualquer dano que possa ocorrer na instalação principal. Convém que no mínimo três gerações ou ciclos de cópias de segurança das aplicações críticas sejam mantidos;

• Convém que seja dado às cópias de segurança um nível adequado de proteção física e ambiental, compatível com os padrões utilizados no ambiente principal. Convém que os controles adotados para as mídias no ambiente principal sejam estendidos para o ambiente de backup;

• Convém que as mídias utilizadas para cópias sejam periodicamente testadas, quando possível, de modo a garantir sua confiabilidade, quando necessário.

• Convém que os procedimentos de recuperação sejam verificados e testados periodicamente para assegurar que sejam efetivos e que possam ser aplicados integralmente dentro dos prazos alocados para estes procedimentos operacionais de recuperação.

(18)

Convém que sejam especificados o período de retenção para informações essenciais ao negócio e também qualquer requerimento para o arquivamento de cópias de segurança com retenção permanente.

3. Plano de Contingências

Plano de Contingências consiste num conjunto de estratégias e procedimentos que devem ser adotados quando a instituição ou uma área depara-se com problemas que comprometem o andamento normal dos processos e a conseqüente prestação dos serviços. Essas estratégias e procedimentos deverão minimizar o impacto sofrido diante do acontecimento de situações inesperadas, desastres, falhas de segurança, entre outras, até que se retorne à normalidade. O Plano de Contingências é um conjunto de medidas que combinam ações preventivas e de recuperação.

Obviamente, os tipos de riscos a que estão sujeitas as organizações variam no tempo e no espaço. Porém, pode-se citar como exemplos de riscos mais comuns a ocorrência de desastres naturais (enchentes, terremotos, furacões), incêndios, desabamentos, falhas de equipamentos, acidentes, greves, terrorismo, sabotagem, ações intencionais.

O Plano de Contingências pode ser desenvolvido por organizações que contenham ou não sistemas computadorizados. Porém, para efeito desta cartilha, o Plano se aplica às organizações que, em menor ou maior grau, dependem da tecnologia da informação, pois faz-se referência aos riscos a que essa área está sujeita, bem como aos aspectos relevantes para superar problemas decorrentes.

Atualmente, é inquestionável a dependência das organizações aos computadores, sejam eles de pequeno, médio ou grande porte. Essa característica quase generalizada, por si só, já é capaz de explicar a importância do Plano de Contingências, pois se para fins de manutenção de seus serviços, as organizações dependem de computadores e de informações armazenadas em meio eletrônico, o que fazer na ocorrência de situações inesperadas que comprometam o processamento ou disponibilidade desses computadores ou informações? Ao contrário do que ocorria antigamente, os

(19)

funcionários não mais detêm o conhecimento integral, assim como a habilidade para consecução dos processos organizacionais, pois eles são, muitas vezes, executados de forma transparente. Além disso, as informações não mais se restringem ao papel, ao contrário, elas estão estrategicamente organizadas em arquivos magnéticos.

Por conseguinte, pode-se considerar o Plano de Contingências quesito essencial para as organizações preocupadas com a segurança de suas informações.

O objetivo do Plano de Contingências é manter a integridade e a disponibilidade dos dados da organização, bem como a disponibilidade dos seus serviços quando da ocorrência de situações fortuitas que comprometam o bom andamento dos negócios. Possui como objetivo, ainda, garantir que o funcionamento dos sistemas informatizados seja restabelecido no menor tempo possível a fim de reduzir os impactos causados por fatos imprevistos. É normal que, em determinadas situações de anormalidade, o Plano preveja a possibilidade de fornecimento de serviços temporários ou com restrições, que, pelo menos, supram as necessidades imediatas e mais críticas.

Cabe destacar que o Plano é um entre vários requisitos de segurança necessários para que os aspectos de integridade e disponibilidade sejam preservados durante todo o tempo.

Antes da elaboração do Plano de Contingências propriamente dito, é importante analisar alguns aspectos:

• Riscos a que está exposta a organização, probabilidade de ocorrência e os impactos decorrentes (tanto aqueles relativos à escala do dano como ao tempo de recuperação);

• Conseqüências que poderão advir da interrupção de cada sistema computacional;

• Identificação e priorização de recursos, sistemas, processos críticos;

• Tempo limite para recuperação dos recursos, sistemas, processos;

(20)

• Alternativas para recuperação dos recursos, sistemas, processos, mensurando os custos e benefícios de cada alternativa.

De maneira geral, o Plano de Contingências contém informações sobre:

• Condições e procedimentos para ativação do Plano (como se avaliar a situação provocada por um incidente);

• Procedimentos a serem seguidos imediatamente após a ocorrência de um desastre (como, por exemplo, contato eficaz com as autoridades públicas apropriadas: polícia, bombeiro, governo local);

• A instalação reserva, com especificação dos bens de informática nela disponíveis, como hardware, software e equipamentos de telecomunicações;

• A escala de prioridade dos aplicativos, de acordo com seu grau de interferência nos resultados operacionais e financeiros da organização. Quanto mais o aplicativo influenciar na capacidade de funcionamento da organização, na sua situação econômica e na sua imagem, mais crítico ele será;

• Arquivos, programas, procedimentos necessários para que os aplicativos críticos entrem em operação no menor tempo possível, mesmo que parcialmente;

• Sistema operacional, utilitários e recursos de telecomunicações necessários para assegurar o processamento dos aplicativos críticos, em grau pré-estabelecido;

• Documentação dos aplicativos críticos, sistema operacional e utilitários, bem como suprimentos de informática, ambos disponíveis na instalação reserva e capazes de garantir a boa execução dos processos definidos;

• Dependência de recursos e serviços externos ao negócio;

• Procedimentos necessários para restaurar os serviços computacionais na instalação reserva;

• Pessoas responsáveis por executar e comandar cada uma das atividades previstas no Plano (é interessante definir suplentes, quando se julgar necessário);

(21)

• Referências para contato dos responsáveis, sejam eles funcionários ou terceiros;

• Organizações responsáveis por oferecer serviços, equipamentos, suprimentos ou quaisquer outros bens necessários para a restauração;

• Contratos e acordos que façam parte do plano para recuperação dos serviços, como aqueles efetuados com outros centros de processamento de dados.

É imprescindível o comprometimento da alta administração com o Plano de Contingências. Na verdade, este Plano é de responsabilidade direta da alta gerência, é um problema corporativo, pois trata-se de estabelecimento de procedimentos que garantirão a sobrevivência da organização como um todo e não apenas da área de informática. Ainda, muitas das definições a serem especificadas são definições relativas ao negócio da organização e não à tecnologia da informação.

A alta gerência deve designar uma equipe de segurança específica para elaboração, implementação, divulgação, treinamento, testes, manutenção e coordenação do Plano de Contingências. Este deve possuir, ainda, um responsável específico que esteja a frente das demandas, negociações e tudo mais que se fizer necessário.

Provavelmente, a alta gerência será demandada a firmar acordos de cooperação com outras organizações, assinar contratos orientados para a recuperação dos serviços, entre outros atos. Há que ser considerada, ainda, a questão dos custos. Faz parte das decisões da alta gerência o orçamento a ser disponibilizado para garantir a exeqüibilidade do Plano de Contingências, ou seja, para possibilitar, além da sua implementação, sua manutenção, treinamento e testes.

É possível citar três formas de garantir a eficácia do Plano de Contingências: treinamento e conscientização das pessoas envolvidas; testes periódicos do Plano, integrais e parciais; processo de manutenção contínua.

É essencial o desenvolvimento de atividades educativas e de conscientização que visem ao perfeito entendimento do processo de continuidade de serviços e que garantam, por conseguinte, a efetividade do

(22)

Plano de Contingências. Cada funcionário envolvido com o processo de continuidade de serviços, especialmente aqueles componentes de equipes com responsabilidades específicas em caso de contingências, deve ter em mente as atividades que deve desempenhar em situações emergenciais. O treinamento deve ser teórico e prático, inclusive com simulações. Além do treinamento, a conscientização pode ser feita de outras formas, como distribuição de folhetos e promoção de palestras informativas e educativas sobre possíveis acidentes e respectivos planos de recuperação. Por fim, vale salientar que um programa de educação continuada que faça com que as pessoas envolvidas sintam-se como participantes ativos do programa de segurança é a melhor maneira de alcançar o sucesso esperado.

Os planos de continuidade do negócio podem apresentar falhas quando testados, geralmente devido a pressupostos incorretos, omissões ou mudanças de equipamentos, de pessoal, de prioridades. Por isto eles devem ser testados regularmente, de forma a garantir sua permanente atualização e efetividade. Tais testes também devem assegurar que todos os envolvidos na recuperação e os alocados em outras funções críticas possuam conhecimento do Plano.

Deve existir uma programação que especifique quando e como o Plano de Contingências deverá ser testado. Ele pode ser testado na sua totalidade, caracterizando uma situação bem próxima da realidade; pode ser testado parcialmente, quando restringem-se os testes a apenas um conjunto de procedimentos, atividades ou aplicativos componentes do Plano; ou, ainda, pode ser testado por meio de simulações, quando ocorre representações de situação emergencial. A partir da avaliação dos resultados dos testes, é possível reavaliar o Plano, alterá-lo e adequá-lo, se for o caso.

4. Referencias Bibliográficas

1. ABNT. NBR ISO/IEC 17799 - Tecnologia da informação: código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2001.

2. DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel Books, 2000. 218p.

Referências

Descarregar agora ( PDF - 22 páginas - 179.18 KB )

Documentos relacionados

ESTUDO DA CINÉTICA DA RECRISTALIZAÇÃO APLICANDO REDES NEURAIS 1

Para o ferro puro foi utilizado uma camada de entrada com 4 neurônios (um para cada classe de dados de entrada – temperatura, tempo, diâmetro inicial de grão e

O Projeto Educativo do Externato Infante D. Henrique...

[r]

XXXVI CAMPEONATO DE FUTEBOL SUIÇO DO SINDICATO DOS METALÚRGICOS DE LONDRINA E REGIÃO - 1ª FASE REVEST'LON PINT./METROPOLE VEÍCULOS EQUIPE:

GUILHERME TORRES AFFONSO LUCAS ALMEIDA GONÇALVES MATEUS PEREIRA DOS SANTOS RICARDO LAURINDO PEREIRA ALEXANDRE DE SOUZA FERREIRA RICARDO SILVA PEREIRA DA CRUZ FELIPE GARCIA DOS

Indica os recursos expressivos presentes nas seguintes frases, retiradas da obra “A noite de natal” de Sophia de Mello Breyner Andresen. Atenção! Algumas frases podem ter mais que um.

Indica os recursos expressivos presentes nas seguintes frases, retiradas da obra “A noite de natal” de Sophia de Mello Breyner

DIÓGENES LAÉRCIO E O ALVORECER DA FILOSOFIA ψ

Isso se expõe tanto em relação a Tales e a seu discípulo Anaximandro, quanto no que se refere a Pitágoras e a seu mestre Ferecides – ao qual Diógenes Laércio

Planeamento de Áreas Protegidas

•  Rever dados existentes e decidir que dados são suficientemente consistentes para servir como indicadores the biodiversidade em toda a região de planeamento. •  Se

Áreas protegidas no Pantanal em 2018

Para que haja aumento de unidades a serem conservadas, sugere-se que melhore a articulação dos setores do governo e para que não seja apenas um gasto, traçar estratégias no momento

Aventuras. em Áreas Naturais Protegidas

Caiaque Rafting Trekking Alto Alto Médio / Baixo Por meio de um operador turístico Por conta.. própria Requer permissão