Processo de Avaliação e Análise de Riscos para Elaboração de Planos de Continuidade de
Negócios
Marcelo de Alencar Veloso
Belo Horizonte 2009
Marcelo de Alencar Veloso
Processo de Avaliação e Análise de Riscos para Elaboração de Planos de Continuidade de
Negócios
Trabalho de Diplomação apresentado ao Programa de Graduação em Sistemas de Informação da Pontifícia Universidade Católica de Minas Gerais, como requisito parcial para obtenção do título de Bacharel em Sistemas de Informação.
Orientador: Marcelo Werneck Barbosa
Belo Horizonte 2009
Processo de Avaliação e Análise de Riscos para Elaboração de Planos de Continuidade de Negócios
Trabalho de Diplomação apresentado ao Programa de Graduação em Sistemas de Informação da Pontifícia Universidade Católica de Minas Gerais, como requisito parcial para obtenção do título de Bacharel em Sistemas de Informação.
_________________________________________________
Marcelo Werneck Barbosa (Orientador)
_________________________________________________
_________________________________________________
Belo Horizonte 2009
Ao meu filho Nikolai Alexander
“A garantia de nos tornarmos invencíveis está em nossas próprias mãos.”
Sun Tzu
RESUMO
Sendo esta a “Era da Informação”, é natural que ela esteja presente em todos os aspectos relativos às atividades de uma empresa. A dependência hoje das informações e seu valor para o desenvolvimento dos processos de negócios, torna-a o bem mais valioso dentro de uma organização. Sendo assim, é fundamental que esta informação esteja sempre disponível aos seus legítimos usuários, quando estes necessitem, com a garantia do sigilo e sem alterações não autorizadas. Para garantir essas premissas, as empresas devem desenvolver estratégias que assegurem a utilização de suas informações, evitando a paralisação de suas atividades por interrupções de qualquer natureza, salvo as que tenham sido planejadas. Um Plano de Continuidade de Negócios tem exatamente este objetivo, o de garantir a continuidade de processos e informações vitais à sobrevivência da empresa, no menor espaço de tempo possível e com o mínimo de impacto. Para garantir o sucesso de um Plano de Continuidade de Negócios, é fundamental que ele seja desenvolvido dentro de uma boa metodologia, que possa ser adaptada às particularidades específicas de cada organização. Desta forma, o presente trabalho tem como objetivo consolidar os conceitos similares presentes em várias metodologias amplamente utilizadas, e propor um processo para a elaboração da Avaliação e Análise de Riscos, que foi considerada a etapa mais importante das necessárias para a implantação de um Plano de Continuidade de Negócios.
Palavras-chave: Plano de Continuidade de Negócios. Plano de Contingência. Plano de Recuperação de Desastres. Avaliação e Análise de Riscos.
Being this the "Age of Information", it is natural that it is present in all of the relative aspects of the activities of a company. The dependence today of the information and its value for the development of the processes of businesses turns it the most valuable asset inside of an organization. So, it is fundamental that this information be always available to their legitimate users, when these need, with the warranty of the secrecy and without unauthorized alterations. To guarantee those premises, the companies should develop strategies to assure the use of their information, avoiding the discontinuity of their activities caused by interruptions of any nature, except for the ones that have been planned. A Business Continuity Plan has exactly this purpose – guarantee the continuity of processes and vital information to the company survival in the shortest time and with minimum impact. To guarantee the success of a Business Continuity Plan it is fundamental that it is developed according to a good methodology that can be adapted to the specific particularities of each organization.
This way, the present work, by consolidating similar concepts in several methodologies used, proposes a process for the elaboration of the Risk Analysis and Evaluation – considered the most important phase of the implantation of a Business Continuity Plan.
Word-key: Business Continuity Plan. Contingency Plan. Disaster Recovery Plan. Risk Analysis and Evaluation.
LISTA DE FIGURAS
Figura 1: Diagrama da Equação do Risco de Segurança da Informação ... 24
Figura 2: Desenvolvimento do Plano de Continuidade de Negócios ... 27
Figura 3: Modelo PDCA para Planos de Continuidade de Negócios ... 29
Figura 4: Diagrama do Processo de Avaliação e Análise de Riscos. ... 32
Figura 5: A Linha do Tempo de Incidentes ... 57
LISTA DE QUADROS
Quadro 1: Exemplos de ameaças humanas: Ameaça, motivação e ações da ameaça ... 39Quadro 2: Pares de Vulnerabilidades/Ameaças ... 41
Quadro 3: Critérios de segurança ... 46
Quadro 4: Definições de probabilidade ... 48
Quadro 5: Definições de Magnitude de Impacto ... 50
Quadro 6: Matriz de nível de risco. ... 52
Quadro 7: Escala de risco e ações necessárias ... 53
Quadro 8: O uso das partes constituintes do PCN durante cada fase de um incidente ... 59
Quadro 9: Níveis de treinamento de Administração de Continuidade de Negócios .. 63
BIA – Business Impact Analysis BS – British Standard
CD – Compact Disc
CRM – Customer Relationship Management DDoS – Distributed Denial of Service
DRI – Disaster Recovery Institute
ENISA – European Network and information Security Agency ERP – Enterprise Resource Planning
FTP – File Transfer Protocol
GCN – Gestão de Continuidade de Negócios
GCSTI – Gestão de Continuidade de Serviços de Tecnologia da Informação GR – Gestão de Riscos
IEC – International Electrotechnical Commission ISO – International Organization for Standardization NBR – Denominação de norma da ABNT
NIST – National Institute of Science and Technology PCN – Plano de Continuidade de Negócios
PDCA – Plan, Do, Check, Act
RAID – Redundant Array of Independent Disks RH – Recursos Humanos
RPO – Recovery Point Objective RTO – Recovery Time Objective SLA – Service Level Agreement TI – Tecnologia da Informação
SUMÁRIO
1 INTRODUÇÃO ... 13
1.1 Objetivo ... 14
1.1.1 Geral ... 14
1.1.2 Específicos ... 15
1.2 Definição do Problema... 15
1.3 Contribuições ... 16
1.4 Metodologia ... 16
1.5 Organização do Trabalho ... 17
2 REFERENCIAL TEÓRICO ... 18
2.1 Segurança da Informação ... 18
2.1.1 Princípios básicos ... 19
2.1.2 Ativos ... 19
2.1.3 Ameaças ... 20
2.1.4 Vulnerabilidades ... 21
2.1.5 Impactos ... 23
2.2 Riscos ... 23
3 PROCESSO TÍPICO DE ELABORAÇÃO DE PLANOS DE CONTINUIDADE DE NEGÓCIOS ... 25
3.1 Inicialização do Projeto de PCN ... 29
3.1.1 Identificando a Organização ... 30
3.1.2 Definindo responsabilidades do PCN ... 30
3.2 Avaliação e Análise de Riscos – Processo Proposto ... 31
3.2.1 Passo 1: Caracterização de Ativos... 33
3.2.1.1 Informações relacionadas aos ativos ... 33
3.2.1.2 Técnicas de Coleta de Informação ... 35
3.2.2 Passo 2: Identificação de Ameaças ... 37
3.2.2.1 Identificação de ameaça ... 37
3.2.2.2 Motivação e Ações de Ameaças ... 38
3.2.3 Passo 3: Identificação de Vulnerabilidades ... 41