Administração e gerência de redes

Administração e gerência de redes

Aula 09

Plano de contingência

Prof. Diovani Milhorim

Pesquisa publicadana Computerworldde 19/11/2003

Características de Eventos no Brasil

Abaixo de

Fonte: Disaster Recovery Journal

Padronizando Conceitos

Evento: Fato de origem voluntária ou não que apresenta risco de dano. Também denominado “Fator de Risco”

Avaliação: considera a pior situação, no pior momento, no cenário mais pessimistaCenário: consistente com a realidade da OrganizaçãoControle: deveria ser proativo, preditivo e corretivo


Risco: é a medida para um fator de incerteza

Causas Percentual

Falha Humana 50 a 80 %

Greves 10 a 17 %

Forças da Natureza

10 a 15 %

Sabotagem 3 a 4 %

Alagamento 2 a 3 %

Estranhos à Organização

1 a 3 %

Causas de Danos a Sistemas deInformaçãoFonte: Adaptado de Forcht, K.A., Computer Security Management, p. 66


Dano: Conseqüência nociva acarretada por um Evento. Impacto de resultado prejudicial. Justifica a Contingência.

Oferece uma métrica para a criticidade Avalia igualmente Processos ou Componentes Apresenta variáveis de custos tangíveis, custos

intangíveis e períodos de tempo Identifica recursos mínimos necessários Seu resultado evidencia a importância das

variáveis em função de perdas e prazos de tolerância à interrupções


BIA (Business Impact Analysis): é a Análise de Impacto nos Negócios, acarretada pela indisponibilidade de um Processo (atividade) ou Componente (recurso por ele utilizado)

Indica responsabilidades Orienta funções Define locais Indica o RTO (Recovery Time Objectives) – Objetivos de

Prazos para Recuperação Indica o RPO (Recovery Point Objective) – Objetivos de

Pontos de Recuperação


Disaster Recovery Plan (DRP): Plano de Recuperação de Desastres. É a documentação das atividades necessárias para restauração ou substituição dos recursos (Componentes) utilizados pelos Processos de Negócios

Um Plano de Recuperação de Desastres(PRD) visa a reposição/restauração de umdos Componentes que suportam os PNs(p.e: a troca de um Servidor de Rede).

Como Funciona ?

Monitora e controla Fatores de Risco Indica responsabilidades e/ou substitutos Indica onde será realizado Indica como será executado É orientado pelos resultados obtidos pelo BIA,

especialmente no que tange às variáveis de tempo e custos


Operational Contingency Plan (OCP): Plano de Contingência Operacional. Documenta procedimentos e atividades alternativas para serviços de TI ou Processos de Negócios

O Plano de Contingência (PCO)permite a execução do PN, mesmoque um Componente encontre-seindisponível (p.e.: como trabalharsem telefonia ?).

Como Funciona ?


Business Continuity Plan (BCP): Plano de Continuidade de Negócios. É o conjunto de procedimentos documentados pelo PRD e pelo PCO, monitorado por um Plano de Gerenciamento de Crises (PRD) que facilita sua gestão e atualização.

Orienta resposta aos Impactos mais prováveis Considera os principais (críticos) processos da

organização Consolida responsabilidades, locais e prazos Indica parâmetros de RTO e RPO, evidenciados pelo

BIA Evidencia elementos para auditoria e atendimento de

requistos legais ou normativos

Um PCN traça um plano aonde o PCO eo PRD são executados simultaneamente,garantindo a continuidade do PN e a reposição/restauração do Componenteparalelamente

Como Funciona ?

PGC

O quê é um PCN ?

Metodologia que desenvolve estratégias alternativas para execução de processos1 ou sistemas2, minimizando os possíveis impactos acarretados pela sua interrupção, imposta por qualquer tipo de evento e que pode acarretar algum tipo de perda, financeira ou não.

1: PCN com foco para Continuidade dos Negócios2: PCN com foco em Componentes de Tecnologia de Informação

Riscos x Impactos

Fatores de Risco são aleatórios e imprevisíveis, comparando-se ao efeito de uma onda, cuja intensidade e dano estarão vinculados ao cenário de ocorrência quando se concretiza

Riscos x Impactos

Impactos são previsíveis, de acordo com o conhecimento do ambiente onde se manifestam e vinculados aos Eventos que se concretizaram, podendo ser contidos através de medidas de mitigação, independente do cenário

Padrão de Segurança

BS 7799:2002 - Reino Unido NBR ISO/IEC 17799:2000 -

Brasil/Internacional Definem um conjunto de boas práticas

de gestão da segurança Servem de base às políticas de

segurança Seus controles permitem a auditoria de

segurança de informações

Entradas

A principal entrada para o processo de análise de impacto no negócio e a metodologia de análise, e você também precisa de uma lista de suas atividades de negócio (por exemplo, processos ou departamentos).

Toda a informação deve ser dada pelas pessoas responsáveis por cada atividade, assim como elas também devem realizar os levantamentos necessários. Enquanto fazem isso, elas devem utilizar como critério o cenário de pior caso:

Como implementar um BIA

Principais levantamentos a serem realizados.

Levantamento de impacto

Levantamento do Objetivo para Ponto de Recuperação / Perda Máxima de Dados (RPO/Maximum Data Loss)

Objetivos de Continuidade de Negócio Mínimos (Minimum Business Continuity Objectives – MBCO) Recursos necessários

Dependência de outros



Levantamento de impacto

Considerar o dano que acontecerá ao negócio caso suas operações sejam interrompidas, sob a perspectiva de questões específicas.




Pedir aos entrevistados que listem todas as suas bases de dados, aplicações e arquivos, assim como todos os serviços (por exemplo, e-mail), etc. e para cada um deles pedir que eles definam o limite aceitável de perda de dados que pode ser tolerado. Geralmente este limite é mostrado em números de horas, mas algumas vezes também pode ser mostrado em número de transações ou registros






Objetivos de Continuidade de Negócio Mínimos (Minimum Business Continuity Objectives – MBCO) Recursos necessários

Especificar o nível de capacidade mínimo aceitável requerido imediatamente após a recuperação de uma atividade em particular, levando em conta suas horas ou dias de pico.



Recursos necessários para recuperação:

Levando em conta o MCBO (número de transações, clientes, produtos, etc.), você deveria identificar quantas pessoas e outros recursos você precisaria para a recuperação. Recursos tais como laptops, mobília, telefones móveis, instalações, etc. geralmente dependem do número de pessoas; a capacidade de recursos tais como softwares e links de telecomunicação dependem do número de usuários ou número de transações que precisam ser processadas;




São todas as outras atividades sem as quais você não seria capaz de realizar uma determinada atividade. Estas são geralmente divididas desta forma:

1) Dependência de outras atividades internas a organização 2) Dependência de fornecedores e parceiros em




1) Dependência de outras atividades internas a organização – por exemplo, todas as suas atividades provavelmente dependerão das atividades de TI / Departamento de TI, enquanto somente algumas atividades irão depender do seu departamento legal / atividades jurídicas.




2) Dependência de fornecedores e parceiros em terceirização – tipicamente, todas as suas atividades dependem de eletricidade e de links de comunicação (Internet, linhas fixas e telefones móveis), mas muitas organizações também dependem de empresas de desenvolvimento de software, provedores de hospedagem, provedores de nuvem, serviços de contabilidade, etc. Aqui é preciso avaliar as capacidades de continuidade de negócio destes terceiros estudando as cláusulas em acordos que assinados com eles


Documents

Administração e gerência de redes