View
215
Download
0
Category
Preview:
Citation preview
1
VAZ TORRES-ADVOGADOS ASSOCIADOS
1. Apresentação
Este documento tem por finalidade precípua apresentar ao
Departamento Jurídico regional do Banco Bradesco S/A, localizado na cidade de
recife, Estado de Pernambuco, em função de sua solicitação, o Plano de
Continuidade de Negócios- PCN, aplicado à segurança da informação, do
Escritório de Advocacia – Vaz Torres-Advogados Associados, atualmente
funcionando como prestador de serviços terceirizados, nas áreas trabalhista e
civil (consumidor e comum), no âmbito da capital e municípios do Estado de
Alagoas.
A informação sempre se constituiu em mola mestra para a
realização e a concretização dos grandes feitos que impulsionaram o
desenvolvimento das sociedades do mundo moderno.
Além disso, foi por intermédio dela que a evolução tecnológica
tornou-se possível e está cada vez mais inovadora e abrangente atualmente.
Com o advento do processo de globalização que praticamente
se instalou no âmbito da economia mundial, tornou-se constante e corriqueira a
ocorrência de grandes mudanças na economia mundial, fazendo com que o grau
de importância da informação crescesse de forma vertiginosa, possibilitando
muitas vantagens e benefícios àquele que a possuíssem.
Como reflexo dessa nova realidade gerada, o nível de
competição entre as organizações aumentou consideravelmente, e a busca e
consequente posse da informação se tornou fator primordial de sobrevivência.
Em função dessa nova realidade oriunda desse novo quadro
da economia mundial, a posse de uma certa informação passou a ser elemento
primordial capaz de conferir grandes vantagens e competitividade à organização,
desenvolvendo, por outro lado, forte preocupação com a segurança dessa mesma
informação que lhe conferiu o privilégio.
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
2
VAZ TORRES-ADVOGADOS ASSOCIADOS
Dessa forma, tornou-se imprescindível à organização
promover todos os meios ao seu alcance no sentido de proteger suas
informações, exigindo-se a instalação de rotinas técnicas de alta confiabilidade
visando a manipulação e o armazenamento das mesmas através de formas
excessivamente seguras.
Foi exatamente a observação dessa necessidade que fez com
que surgisse o chamado Processo de Segurança da Informação, como forma de
tornar possível a proteção das informações mantendo-as íntegras, confidenciais e
disponíveis sempre que delas se necessitasse.
Assim, a função primordial do processo de Segurança da
Informação reside em oferecer a proteção e blindagem a todos os dados e
informações da organização, mantendo-os afastados de possíveis perdas e
manipulação incorreta.
Tal missão, no entanto, exige, para sua realização, que a
organização invista em tecnologia e tenha conhecimento de quais são as
informações estratégicas imprescindíveis para o funcionamento de seus principais
processos. Também é importante que a organização conheça o mercado e avalie
quais os possíveis riscos que a perda destas informações, e consequentemente,
o conhecimento adquirido, ameaçam a continuidade de seu negócio.
Analisando este cenário, não há como deixar de inferir que as
organizações estão cada vez mais dependentes da tecnologia, a qual passou a se
constituir em parte fundamental tanto para a geração, quanto para a devida
proteção das informações.
Esta dependência tecnológica, se não bem administrada,
pode atrair grandes problemas, vez que, se a organização não possuir um
adequado planejamento com o fim de tentar contornar uma interrupção em um
processo crítico, causado pela falta ou funcionamento inadequado de algum
equipamento de suporte ao processo, por exemplo, as perdas podem tornar-se
irreversíveis e trazer consigo consequências negativas de grande porte.
É exatamente nesse panorama que surge a importância da
utilização de um PCN – Plano de Continuidade do Negócio, o qual tem por
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
3
VAZ TORRES-ADVOGADOS ASSOCIADOS
objetivo promover a garantia da continuidade dos seus processos diante de uma
situação de adversidade, minimizando assim o impacto que uma interrupção
poderia trazer ao negócio da organização.
Este trabalho, pois, conforme acima já dito, tem por objetivo
apresentar o Plano de Continuidade de Negócios – PCN, do Escritório Vaz Torres-Advogados Associados, o qual, espera-se, venha a servir de suporte
para o enfrentamento de quaisquer situações de risco derivadas de acidentes que
possam causar dano ao conjunto das informações sob o seu controle, evitando-
se, assim, solução de continuidade nos negócios desenvolvidos entre o escritório
e seu clientes.
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
4
VAZ TORRES-ADVOGADOS ASSOCIADOS
2. Introdução
Durante as últimas décadas assistimos a um extraordinário
desenvolvimento no campo tecnológico global, mais especificamente no
setor da informática, o qual desenvolveu excepcionais técnicas de atuação
representadas por poderosos softwares que passaram a ser utilizados
como valiosos instrumentos de trabalho em todas as áreas de atuação
pessoal e empresarial da grande maioria das pessoas e empresas do
mundo moderno.
Não tardou que de tal quadro resultasse uma forte
dependência das organizações em relação aos sistemas de informação
adotados, dependência esta que vem crescendo de forma assustadora nos
últimos tempos, fazendo com que os sistemas computacionais assumam
papel de extrema relevância no contexto das atividades críticas voltadas
par a sobrevivência da corporações.
Uma simples queda de energia elétrica, greves de pessoal,
danos causados de forma intencional e outras formas adversas, podem
representar efeitos desastrosos no âmbito dos sistemas computacionais,
trazendo como mais forte exemplo os ataques terroristas acontecidos nos
EEUU com o World Trade Center, onde um grande número de
organizações que ali se instalaram e atuavam, ficaram fortemente
comprometidas pelo fato de não trabalharem com um plano de
continuidade de serviços exequível e pronto para uso.
O uso de softwares adequados através dos computadores se
prestam a promover a aceleração de uma série infinda de procedimentos
enfadonhos e repetitivos, se realizados manualmente, oportunizando ao
usuário uma salutar liberação para tarefas mais criativas e gratificantes. No
entanto, os sistemas de computação podem, não raro, apresentar falhas
que culminem com a interrupção do fornecimento do serviço e a
consequente perda de dados.
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
5
VAZ TORRES-ADVOGADOS ASSOCIADOS
Falhas são inevitáveis, no entanto, tem-se que se preparar no
sentido de poder enfrentar o impacto das falhas, ou seja, o colapso do
sistema, a interrupção do fornecimento do serviço e a possível perda de
dados, o que poderá ser feito com o uso adequado de técnicas
previamente estabelecidas visando tais acontecimentos, que poderão ser
traduzidas desde um simples backup dos dados, à redundância de
equipamentos e espelhamento de discos, que consome recursos de
hardware sem contribuir, em contrapartida, para o aumento do
desempenho, ou a terceirização da prestação dos serviços para um
Datacenter.
Conhecer os problemas potencialmente provocados em
função da ocorrência de falhas no sistema, as soluções existentes e que se
prestem à evitar falhas ou recuperação do sistema após a ocorrência do
evento bem como o custo associado a tais soluções, torna-se
imprescindível a todos que pretendem continuar usando a tecnologia da
informática, desenvolvendo sistemas ou prestando serviços
computacionais de qualidade a seus clientes.
Dessa forma, com a pretensão estabelecida de manter uma
disponibilidade total dos sistemas, necessário se faz a elaboração de um
Plano de Ação denominado PCN – Plano de Continuidade de Negócios, o
qual resulta dos Planos de Gerenciamento de Crises (PGC), o Plano de
Continuidade Operacional (PCO), e Plano de Recuperação de Desastres
( PRD).
O Plano de Continuidade de Negócios - PCN, constitui-se,
em realidade, numa metodologia elaborada com o fim de garantir a recuperação
de um ambiente de produção, independentemente de ocorrências que possam
promover a suspensão das operações e dos danos nos componentes - softwares,
hardwares, infra estrutura, etc-, utilizados na prestação dos serviços a clientes.
Tal plano deve ser desenvolvido segundo normas técnicas
estabelecidas, com destaque especial para a “Norma NBR ISO/IEC 27002 –
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
6
VAZ TORRES-ADVOGADOS ASSOCIADOS
Código de Prática para a Gestão de Segurança da Informação, que tem como
objetivo “estabelecer diretrizes e princípios gerais para iniciar, implementar,
manter e melhorar a gestão de segurança da informação em uma organização”.
Segurança da Informação (SI) que significa proteger as informações consideradas
importantes para a continuidade e manutenção dos objetivos de negócio da
organização.
É preciso esclarecer que anteriormente esta norma era
conhecida como NBR ISO/IEC 17799, mas a partir de 2007 a nova edição da
ISO/IEC 17799 foi incorporada ao novo esquema de numeração como ISO/IEC
27002, cuja parte principal da referida norma centra-se nos controles de
segurança da informação.
Nesse ponto, merece que se se ressalte que o Escritório de
Advocacia Vaz Torres - Advogados Associados, desenvolveu o seu Plano de
Continuidade de Negócios-PCN, tomando como ponto de apoio teórico, em
primeiro plano, a perspectiva de poder oferecer aos seus clientes – enquanto
Escritório terceirizado-, uma prestação de serviços de alta qualidade, aliada ao
comprometimento e responsabilização das atividades desenvolvidas visando tal
prestação, e, em segundo lugar, oferecer total segurança com relação às
informações contidas em seu ambiente físico e computacional, preservando-as
de possíveis desastres de qualquer natureza de forma a que não haja solução de
continuidade na prestação dos serviços, tanto para o Escritório quanto para o seu
cliente, mediante a ocorrência de quaisquer acontecimentos que possam
concorrer para causar danos de qualquer ordem. .
3. Conceitos gerais
Por se tratar de um documento especialmente particular e
oriundo de uma vertente teórica relativamente recente e de caráter altamente
técnica e especializada, o Plano de Continuidade de Negócios- PCN exige, para
sua elaboração, a utilização de conceitos novos e específicos dessa promissora
área do conhecimento, pelo que se faz necessário que se apresente alguns dos
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
7
VAZ TORRES-ADVOGADOS ASSOCIADOS
principais conceitos de uso corrente no meio enfocado, a fim de facilitar os
entendimentos de quem com tal plano venha a se deparar.
. Plano de Continuidade de Negócios - um plano para a
resposta de emergência, operações backup e recuperação de ativos atingidos por
uma falha ou desastre. Tem como objetivo o de assegurar a disponibilidade de
recursos de sistema críticos, recuperar um ambiente avariado e promover o
retorno à sua normalidade.
• Planejamento da continuidade do negócio - diz respeito
ao planejamento da recuperação de processos organizacionais críticos em
seguida a um desastre.
• Desastres - não se resumem somente a fogo, inundação e
outras causas de dano à propriedade; eles também podem resultar de problemas
corriqueiros como greves ou mau funcionamento de hardware ou software. E
ainda que a restauração do processamento computacional seja um passo
importante do processo de recuperação, outros problemas igualmente
importantes freqüentemente precisam ser resolvidos.
• Disponibilidade – A propriedade que um sistema ou um dos
seus recursos de estarem acessíveis e utilizáveis sob demanda por uma entidade
autorizada, de acordo com especificações de desempenho projetadas; isto é, um
sistema que está disponível para fornecer serviços de acordo com o seu projeto,
sempre que uma solicitação for realizada.
• Confiabilidade – A habilidade de um sistema de executar
uma função requerida sob condições indicadas por um período de tempo
especificado.
• Integridade – A propriedade de manutenção dos dados da
forma como foram gerados, não sofrendo alteração durante a sua manipulação.
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
8
VAZ TORRES-ADVOGADOS ASSOCIADOS
• Sobrevivência - A habilidade de um sistema de continuar
em operação ou existindo apesar das condições adversas, inclui as ocorrências
naturais, ações acidentais e ataques ao sistema.
3.1 - Conceitos relativos à Segurança da Informação
Existem diversas definições para informação, a que melhor se
adapta à nossa área é a definição da Norma NBR ISO/IEC 17799:2001:
"Informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e conseqüentemente necessita ser adequadamente protegido.” Baseando-se nesta definição, é possível afirmar que a
informação é a chave para o desenvolvimento e sucesso de uma organização e
sua falta ou manipulação indevida pode acarretar em sérios problemas. Assim é
muito importante que a informação esteja segura e sempre disponível dentro do
seu ambiente para que possa realmente auxiliar no processo de desenvolvimento
da organização.
Segundo a definição obtida pelo Dicionário Aurélio (1999, p.
1829) segurança é:Segurança. S. f. 2. Estado, qualidade ou condição de seguro.
3. Condição daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza,
convicção.
Seguro. [Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de
risco; protegido, acautelado,garantido. 8. Em quem se pode confiar. 9. Certo,
indubitável, incontestável. 10. Eficaz, eficiente.
Desta forma, a Segurança da Informação protege a
informação de uma gama extensiva de ameaças para assegurar a continuidade
dos negócios, minimizar os danos empresariais e maximizar o retorno em
investimentos e oportunidades.
3.2 - Princípios. Para garantir a Segurança da Informação, é necessário que
os seguintes princípios básicos sejam respeitados (ISO/IEC 17799:2001):Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
9
VAZ TORRES-ADVOGADOS ASSOCIADOS
a) Confidencialidade
Este princípio tem por base fornecer proteção às informações
evitando sua revelação para alguém não autorizado - interna ou externamente.
Consiste em proteger a informação contra leitura e/ou cópia
por alguém que não tenha sido explicitamente autorizado pelo proprietário
daquela informação.
A informação deve ser protegida qualquer que seja a mídia
que a contenha, como por exemplo, mídia impressa ou mídia digital. Deve-se
cuidar não apenas da proteção da informação como um todo, mas também de
partes da informação que podem ser utilizadas para interferir sobre o todo.
No caso da rede, isto significa que os dados, enquanto em
trânsito, não serão vistos, alterados, ou extraídos da rede por pessoas não
autorizadas ou capturados por dispositivos ilícitos.
b) Autenticidade
O controle de autenticidade está associado com identificação
correta de um usuário ou dispositivo.
O serviço de autenticação em um sistema deve assegurar ao
receptor que a mensagem é realmente procedente da origem informada em seu
conteúdo. Normalmente, isso é implementado a partir de um mecanismo de
senhas ou de assinatura digital, sendo possível também utilizar cartões.
A verificação de autenticidade é necessária após todo
processo de identificação, seja de um usuário para um sistema, de um sistema
para o usuário, de um sistema para outro sistema ou de um usuário para outro
usuário. Ela é a medida de proteção de um serviço/informação contra a
personificação por intrusos.
c) Integridade
A integridade consiste em proteger a informação contra
modificação sem a permissão explícita do proprietário daquela informação.
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
10
VAZ TORRES-ADVOGADOS ASSOCIADOS
A modificação inclui ações como: escrita, alteração de
conteúdo, alteração de status, remoção e criação de informações. Deve-se
considerar a proteção da informação nas suas mais variadas formas, como por
exemplo, armazenada em discos ou fitas de backup.
Integridade significa garantir que o dado está lá, não foi
corrompido, portanto encontra-se íntegro. Isto significa que aos dados originais
nada foi acrescentado, retirado ou modificado. A integridade é assegurada
evitando-se alteração não detectada de mensagens (ex. tráfego bancário) e o
forjamento não detectado de mensagem (aliado à violação de autenticidade).
d) Disponibilidade Consiste na proteção dos serviços prestados pelo sistema de
forma que eles não sejam degradados ou se tornem indisponíveis sem
autorização, assegurando ao usuário o acesso aos dados sempre que deles
precisar. Isto pode ser chamado também de continuidade dos serviços.
Através da correta aplicação desses princípios, a segurança
da informação pode trazer benefícios como: aumentar a produtividade dos
usuários através de um ambiente mais organizado, maior controle sobre os
recursos de informática e, finalmente garantir a funcionalidade das aplicações
críticas da empresa.
4 - Os planos do PCN
A elaboração do PCN exige sejam desenvolvidos
paralelamente outros planos distintos e voltados para a prevenção de cada
ameaça considerada em cada um dos processos do negócio pertencentes ao
escopo, definindo em detalhes os procedimentos a serem executados em estado
de contingência. Tais planos são:
• Plano de Gerenciamento de Crises PGC – Este documento tem o propósito de
definir as responsabilidades de cada membro das equipes envolvidas com o
acionamento da contingência antes, durante e depois da ocorrência do incidente.
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
11
VAZ TORRES-ADVOGADOS ASSOCIADOS
Além disso, tem que definir os procedimentos a serem executados pela mesma
equipe no período de retorno à normalidade.
O comportamento da empresa na comunicação do fato à
imprensa é um exemplo típico de tratamento dado por tal plano.
• Plano de Continuidade Operacional PCO – Tem por finalidade definir os
procedimentos para contingenciamento dos ativos que suportam cada processo
de negócio, objetivando reduzir o tempo de indisponibilidade e,
conseqüentemente, os impactos potenciais ao negócio, A orientação das ações a
serem implementadas diante da . queda de uma conexão a Internet, faz parte do
contexto deste plano e mostra o tipo de desafio a ser enfrentado pelo mesmo.
.
• Plano de Recuperação de Desastres PRD – Tem o propósito de definir um
plano de recuperação e restauração das funcionalidades dos ativos afetados que
suportam os processos de negócio, a fim de restabelecer o ambiente e as
condições originais de operação, no menor tempo possível.
Para obtenção de sucesso nas ações dos planos, é
necessário estabelecer adequadamente os gatilhos de acionamento para cada
plano de continuidade. Estes gatilhos são parâmetros de tolerância usados para
sinalizar o início da operacionalização da contingência, evitando acionamentos
prematuros ou tardios.
Após o retorno à normalidade, relatórios deverão ser
entregues pelas equipes que operacionalizaram o plano, ao Gestor do plano, com
informações sobre o evento, apontando, por exemplo, características do objeto da
contingência, percentual de recurso afetado, quantidade de recursos afetados,
tempo de indisponibilidade, impactos financeiros, etc.
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
12
VAZ TORRES-ADVOGADOS ASSOCIADOS
5 – Grupo de gerenciamento de Crise- participantes e sua posição hierárquica no âmbito do plano..
Abaixo apresenta-se a estrutura organizacional para o Plano
de Continuidade de Negócios, onde aparecem os principais envolvidos na
execução do plano ( figura 1), mostrando-se, em seguida ( figura 2), as definições
e descrições de atribuições desses personagens.
Organograma e sua estrutura hierárquica
Figura. 1
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
Coordenador
Grupo de atuação direta
Grupo de apoio
Grupo de apoio
Grupo de atuação direta
Grupo de apoio
Grupo de apoio
13
VAZ TORRES-ADVOGADOS ASSOCIADOS
Participantes do Grupo de Gerenciamento de Crise, definições e descrições de atribuições.
Figura 2
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
Coordenador do Plano
Nomear os participantes do planoGarantir a documentação atualizada dos sistemasDisponibilizar recursos para ações de respostaGarantir a revisãoperiódica do Plano e confeccionar relatórios
Grupo de atuação direta
Planejamento das ações de resposta relacionadas à sua área de atuaçãoDeterminar as orientações para as equipes de atuaçãoAuxiliar nas ações de combateElaborara relatório de sua atuação
Grupo de apoio
Planejamento das ações de resposta relacionadass com a sua áreaAtender às orientações do coordenador do planoExecutar as atividades de infra estrutura de engenharia de manutençãoElaborar relatório final de atuaçã
14
VAZ TORRES-ADVOGADOS ASSOCIADOS
6 – Fluxograma de acionamento do PCN.
O fluxograma de acionamento do PCN mostra os
procedimentos a serem adotados no caso de ocorrência de um determinado
desastre que possa vir a atingir a execução dos serviços internos do escritório
com a geração de danos aos equipamentos de informática e, por consequências,
aos dados neles contidos.
Constitui-se, em realidade, na exposição sequencial,
hierárquica e detalhada dos procedimentos voltados à execução de importante
estratégia do PCN, residente no Plano de Continuidade o qual lhe oferece
sustentação básica.
O fluxograma mostra que o desenvolvimento das ações de
prevenção e correção de desastres deverão ocorrer em conformidade com duas
etapas a saber: a primeira, cujo início se dá com o acionamento do alerta do
desastre e término com o processo de avaliação dos danos e do tempo de
parada; e, o segundo, que começa pelo processo de avaliação visando perceber
se o alerta ocorrido realmente derivou de uma situação que possa ser
caracterizada como um desastre ou não passou de simples ocorrência sem
maiores danos aos equipamentos e dados contidos nos mesmos, .No primeiro
caso, verifica-se, de imediato a estabilização do sistema e retorna à normalidade,
e, no segundo caso – comprovada a ocorrência do desastre-, parte-se para a
implementação das ações voltadas para a recuperação de desastres e posterior
equacionamento do mesmo, retornando ao clima de normalidade.
Apresenta-se, abaixo, os fluxogramas inerentes às duas
etapas acima descritas.
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
15
VAZ TORRES-ADVOGADOS ASSOCIADOS
Primeira etapa
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
Acionamento do alerta do desastre
Inicio dos procedimentos de resposta
Acionamento das equipes de emergência
Fim dos procedimentos de resposta emergencial
Informar ao comitê de gerenciamento de crise
Avaliação dos danos e tempo de parada
16
VAZ TORRES-ADVOGADOS ASSOCIADOS
Segunda etapa
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
Caracteriza um desastre?Não/Sim
Acionar Recuperação de
Desastres
Enviar relatório Coordenação do
PlanoFim do desastre
Estabilizada a situação e volta a normalidade
Normalidade
17
VAZ TORRES-ADVOGADOS ASSOCIADOS
7 – Gerenciamento do PCN
7.1 – Comitê Gestor e Gestão.
O momento tecnológico vivenciado pelas empresas da
atualidade exige que suas atividades sejam apoiadas por um conjunto de
tecnologias que são responsáveis pelos expressivos níveis de eficácia e
produtividade de suas ações, estabelecendo, por outro lado, forte dependência
das informações transacionadas e armazenadas em seus ambientes
computacionais para manutenção e geração de novos negócios.
Dessa forma, as empresas devem dispor de planejamento e
de mecanismos adequados à pronta recuperação de suas operações, no menor
espaço de tempo possível, como forma de precaver-se dos efeitos desastrosos de
eventos que possam causar interrupções significativas em parte, ou mesmo, em
todos os seus processos de negócios.
Tal constatação impõe às empresas a criação e manutenção
de uma estratégia de continuidade dos negócios, pronta a operar em caso de
interrupção total ou parcial de suas atividades, sendo então fator fundamental
para o sucesso de qualquer iniciativa de preservação ou recomposição da
capacidade de realizar negócios.
Nesse sentido, pois, impõe-se a criação de um Comitê Gestor
do PCN, o qual será composto, no caso específico do Escritório Vaz Torres,
devido às suas peculiaridades – não possuir filiais e atuar com uma empresa
contratada para tratamento global de suas informações-, será composto por
Executivos ligados à área de Tecnologia da Inteligência pertencentes aos quadros
da Empresa Arquivar ( contratada), além do Gestor de T.I, dessa mesma
empresa, o qual deverá agir sempre em parceria com a direção do Escritório Vaz
Torres- Advogados Associados.
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
18
VAZ TORRES-ADVOGADOS ASSOCIADOS
A partir deste ponto, todas as demais atividades que
eventualmente possam vir a ser desenvolvidas no contexto do mapeamento dos
processos/atividades realizadas pela área de Tecnologia da Informação, estarão
diretamente subordinadas ao suporte técnico e de manutenção dos sistemas e
infra estrutura de comunicação, sob a responsabilidade da empresa Arquivar, e
que encontram-se descritos no Plano de Operacionalização abaixo
compactamente apresentado e parte integrante deste documento como anexo ao
mesmo.
7.2 – Riscos no contexto dos processos/atividades
A identificação dos riscos associados aos desenvolvimentos
dos processos/atividades a serem executados fica a cargo do Comitê Gestor o
qual, em conjunto com a equipe da área de T.I., realizam estudos voltados para a
identificação e prevenção de ocorrências que possam gerar possíveis riscos
associados a cada processo/atividade, aspecto também comtemplado no Plano
de Operacionalização já referido.
7.3 – Análise de Riscos e Impacto
A análise voltada para o fator risco, bem como os possíveis
impactos ocasionados pela ocorrência de um risco em relação à continuidade da
operação da organização, são também, da responsabilidade da área de T.I, a
quem cabe promover todo o processo avaliativo do fator risco, processo este que
encontra-se devidamente estruturado num conjunto de ações de caráter normal e
emergencial especialmente criadas visando minimizar o quanto possível os
impactos de uma possível ocorrência de risco sobre todo o processo de operação.
7.4 – Estratégias de Continuidade e Ações Operacionais
O grau de risco inerente a cada processo atividade é quem irá
determinar a estratégia de continuidade de negócios a ser assumida, e estará,
obviamente, atrelada a esse grau, o qual determinará, paralelamente, a prioridade
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
19
VAZ TORRES-ADVOGADOS ASSOCIADOS
e intensidade dos recursos a serem acionados visando a implementação de
ações voltadas à superação dos efeitos do risco. Tais estratégias, são delineadas
e fazem parte, também, do Plano de Operacionalização já referido, e transita sob
a responsabilidade do Comitê Gestor em associação com a área de T.I, de
responsabilidade da empresa Arquivar em conjunto com a direção do Escritório
Vaz Torres.
7.5 – Recursos Disponíveis
O Escritório Vaz Torres-Advogados Associados possui seu
site principal localizado na Rua Alcebíades Valente, 156, Bairro do Farol, na
cidade de Maceió, capital de Alagoas.
O escritório não possui filiais no Estado, operando sempre
com base na sua localização principal acima descrita.
É possível o acesso ao site principal através da utilização de
dois links de internet, um deles, fornecido pela Oi e outro fornecido pela Net,
este de 10 MBps. Dessa forma ,a utilização dos dois links garante a
disponibilidade sem interrupção em caso de problema com uma das operadoras.
O acesso aos dados via Web facilita a operacionalização e
utilização dos arquivos em qualquer hora e lugar, permitindo um constante
gerenciamento dos mesmos, bem como seu acesso e atualização constantes,
concorrendo para se ter uma base de dados atualizada e real.
O sistema de gerenciamento também conta com um perfeito
controle no que tange à proteção dos dados contra vírus de computador,
passando por um perfeito monitoramento e avaliação quanto à exist6encia de
códigos maliciosos, trojans e demais tipos de vírus existentes no mundo digital.
Paralelamente ao controle acima referido, o Controle dos
Dados passa, também, por uma rotina de backup diários através do uso de
ferramentas modernas e atualizadas, reduzindo substancialmente os riscos
associados à perda de dados com gerenciamento centralizado do backup e
restauração de dados.
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
20
VAZ TORRES-ADVOGADOS ASSOCIADOS
8 – Plano de Operacionalização
O Plano de Operacionalização que ora se apresenta em
anexo, foi elaborado e será implementado pela empresa Arquivar de porte
nacional, especialista em Gestão de Documentos, e faz parte dos recursos
gerenciais voltados à segurança e ao gerenciamento eletrônico de documentos,
contendo todos os módulos necessários para execução das etapas de captura,
processamento, arquivamento e gestão de documentos digitalizados, bem como
administração dos processos de negócios.
Todo o trabalho tem seu início através da implementação do
Projeto de Gestão Documental Modelo, o qual se exterioriza, em sua primeira
fase através do PROJETO GEDIC mediante a incorporação de uma metodologia
voltada para a Gestão Estratégica de Documentos, Informação e Conhecimento
Corporativo, e que tem como objetivo, definir, documentar, padronizar e registrar
todo o tratamento que o acervo receberá.
O Projeto GEDIC comtemplará, dentre outras as seguinte e
substanciais tarefas de:
a) Definição/Registro dos tipos/títulos documentais;
b) Definição /Registro de temporalidade documental;
c) Definição /conceito do documento;
d) Definição da Forma de Organização do Documento;
e) Definição/Registro dos parâmetros técnicos que serão utilizados na
digitalização;
f) Definição/Registro dos parâmetros técnicos que serão utilizados na
microfilmagem;
g) Definição/Registro dos campos de indexação que serão utilizados na
identificação do documento; e,
h) Definição/Registro da forma como o documento poderá ser consultado
através do Software Arquivar.
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
21
VAZ TORRES-ADVOGADOS ASSOCIADOS
O passo seguinte ao Projeto GEDIC consistirá na
Identificação dos Fluxos/Processo de Trabalho, que necessitam de tramitação
de documentos e informações, passando-se, em seguida, à etapa posterior
constituída por todo o Processo de Digitalização.
Concluída a etapa da Digitalização, proceder-se-á o
processo de Controle de Qualidade, o qual compreende a conferência da
digitalização e do tratamento da imagem, passando, em seguida aos processo de
Indexação, Auditoria e Exportação.
Menção especial para o Processo de Exportação, o qual em
realidade, constitui-se em etapa das mais fundamentais, vez que é exatamente
nesse momento que se promove a disponibilização das imagens e dados
indexados nas mídias, os quais poderão ser acessados via a utilização do
Software GED Arquivar, colocado à disposição dos clientes.
A partir deste ponto, em conformidade com a empresa-cliente,
existem as opções de devolução ou Armazenamento Físico de Documentos, o
qual funcionará em conformidade com a determinação da empresa-cliente, tendo,
esta, a opção de permanecer com os documentos armazenados na sede da
Arquivar, a qual realiza tal armazenamento segundo rígidos critérios de
segurança, armazenando-os em containers Arquivar.
A empresa Arquivar possui toda uma infra – estrutura para a
guarda de documentos e mídias, cujos serviços são prestados em conformidade
com as normas ABNT NBR/IEC 2702:2005 e ABNT NBR 11515:2007.
Por último, ressalte-se que o software GED Arquivar foi
desenvolvido com a finalidade precípua de promover eficaz gerenciamento de
documentos em qualquer suporte: digital, digitalizado, papel, microfilme, etc. É
uma ferramenta totalmente via WEB, não exigindo, para sua execução, a
instalação do software nas máquinas dos usuários, sendo suficiente para o seu
funcionamento, apenas, um navegador de internet, aspecto que o torna universal
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
22
VAZ TORRES-ADVOGADOS ASSOCIADOS
dada a possibilidade do cliente poder utiliza-lo em qualquer parte do planeta onde
disponha de uma conexão com a internet.
Tal software possui quatro módulos totalmente integrados em
uma única ferramenta:
a) Gerenciamento dos Documentos Virtuais;
b) Gerenciamento dos Documentos Físicos do Arquivo do Cliente
c) Gerenciamento dos Documentos Físicos do Arquivo Arquivar; e,
d) Workflow.
Os módulos acima referidos são possuidores de
funcionalidade em comum, facilitando, dessa forma, a sua manutenção,
customização e o suporte.
As demais funcionalidades do referido software estão
perfeitamente descritas no Plano de Operacionalização construído pela empresa
Arquivar e que faz parte deste documento através do anexo que o compõe.
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
23
VAZ TORRES-ADVOGADOS ASSOCIADOS
9 – Colaboradores/Fornecedores
Tendo em vista não dispor de uma equipe interna de
técnicos da área de T.I, e preocupado em promover o
desenvolvimento de suas atividades com o máximo de segurança
possível, o Escritório Vaz Torres-Advogados Associados contratou a empresa A2B TECNOLOGIA LTDA-ARQUIVAR GESTÃO DE DOCUMENTOS, com sede na Av. Menino Marcelo, 8551, Bairro Serraria, Maceió, Alagoas, que passou a ser responsável pelo suporte e manutenção dos diversos serviços
relacionados com a área de T.I.
A contratada desenvolveu a metodologia GEDIC – Gestão
Estratégica de Documentos, Informação e Conhecimento Corporativo, cujo
objetivo é a criação da solução mais adequada, coesa e abrangente para cada
demanda específica, mediante a aplicação híbrida de diversas técnicas, produtos
e serviços de Gestão de Documentos e Informação.
A aplicação da Metodologia GEDIC, no caso concreto, se
fará em conformidade com o disposto do Plano de Operacionalização anexo a
este documento.
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
24
VAZ TORRES-ADVOGADOS ASSOCIADOS
ANEXO
PLANO DE OPERACIONALIZAÇÃO
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
25
VAZ TORRES-ADVOGADOS ASSOCIADOS
Sumário1. Apresentação..................................................................................................1
2. Introdução.......................................................................................................4
3. Conceitos gerais.............................................................................................6
3.1 - Conceitos relativos à Segurança da Informação................................8
3.2 - Princípios...............................................................................................8
4 - Os planos do PCN............................................................................................10
5 – Grupo de gerenciamento de Crise- participantes e sua posição hierárquica no âmbito do plano.........................................................................12
6 – Fluxograma de acionamento do PCN..........................................................14
7 – Gerenciamento do PCN.................................................................................17
7.1 – Comitê Gestor e Gestão.........................................................................17
7.2 – Riscos no contexto dos processos/atividades..........................................18
7.3 – Análise de Riscos e Impacto.....................................................................18
7.4 – Estratégias de Continuidade e Ações Operacionais.................................18
7.5 – Recursos Disponíveis...............................................................................19
8 – Plano de Operacionalização.........................................................................20
9 – Colaboradores/Fornecedores.......................................................................23
ANEXO..................................................................................................................24
PLANO DE OPERACIONALIZAÇÃO
Rua Alcebíades Valente, 156- Farol-Maceió-AlagoasCEP:57051.055- E-mail: socorrovtorres@uol.com.brTel/Fax: (82) 3326-2514/ 3316-595
Recommended