Sistemas de Informação: Gerenciamento de Contingências

Sistemas de Informação: Sistemas de Informação: Gerenciamento de Gerenciamento de

ContingênciasContingências

O que é Contingência?O que é Contingência?

• Em filosofia e lógica, contingência é o status de proposições que não são necessariamente verdadeiras nem necessariamente falsas.

• Há quatro classes deproposições, algumas das quais se sobrepõem:

http://pt.wikipedia.org/wiki/Filosofia

http://pt.wikipedia.org/wiki/L%C3%B3gica

http://pt.wikipedia.org/wiki/Proposi%C3%A7%C3%A3o

Classe 01Classe 01

• proposições necessariamente verdadeiras, que devem ser verdadeiras, não importa quais são ou poderiam ser as circunstâncias (exemplos: 2 + 2 = 4; Nenhum solteiro é casado

Classe 02Classe 02

• proposições necessariamente falsas, que devem ser falsas, não importa quais são ou poderiam ser as circunstâncias (exemplos: 2 + 2 = 5; Ana é mais alta e é mais baixa que Beto)

Classe 03Classe 03

• proposições contingentes, que não são necessariamente verdadeiras nem necessariamente falsas (exemplos: Há apenas três planetas; Há mais que três planetas).

Classe 04Classe 04

• proposições possíveis, que são verdadeiras ou poderiam ter sido verdadeiras sob certas circunstâncias (exemplos: 2 + 2 = 4; Há apenas três planetas; Há mais que três planetas)

Política de SegurançaPolítica de Segurança

O que é Política de SegurançaO que é Política de Segurança

Política de Segurança é um conjunto de normas que visa estabelecer procedimentos formais para a utilização da informação e dos recursos computacionais da empresa, determinando os meios e as ferramentas que devem ser utilizados.

Características FundamentaisCaracterísticas Fundamentais

• Deve possuir envolvimento e o aval da alta administração da empresa;

• Deve ser flexível, de fácil implantação e facilmente adaptável a novas situações;

• Deve definir claramente as responsabilidades;

• Deve indicar os métodos e ferramentas que devem ser utilizadas para se alcançar o objetivo.

Principais etapas de elaboraçãoPrincipais etapas de elaboração• Definir da equipe responsável pela implantação e manutenção da

segurança;• Análisar as necessidades e procedimentos utilizados pela empresa;• Identificar os processos críticos;• Classificar a Informação; • Elaborar Normas para técnicos e usuários; • Definir um plano de recuperação a desastres ou plano de contingência• Elaborar um Termo de Compromisso;• Definir sanções ou penalidades pelo não cimprimento da política; • Comunicado da diretoria / presidência aos funcionários;• Divulgação da Política;• Implantação;• Revisão da Política.

Principais etapas de elaboração, cont.Principais etapas de elaboração, cont.

• Classificação da InformaçãoClassificar a informação dentro de um processo de

segurança, auxilia no controle de divulgação e destruição das informações.

Funciona como uma espécie de etiqueta que é definida pelo proprietário da informação, levando em consideração o seu valor e o risco que representa para a organização.


Principais tipos de classificação da informação:

• Uso Confidencial – aplicada às informações de grande valor a organização, se divulgadas indevidamente podem causar danos e prejuízos a organização ou a seus parceiros. Seu uso e disseminação devem ser restritos e controlados.

• Uso Interno – aplicada às informações restritas aos funcionários e a terceiros.

• Uso Público – Informações que podem ser divulgadas para o público em geral, incluindo clientes, fornecedores, imprensa, etc.


• Elaboração de NormasNesta talvez serão definidas, de acordo com

as informações levantadas nas fases anteriores, as normas e procedimentos que devem ser seguidos pelos funcionários, técnicos e colaboradores da organização.


Principais tópicos das normas e procedimentos:• acessos externos;• acessos internos;• uso da Intranet;• uso da Internet;• uso de correio eletrônico;• política de uso e instalação de softwares;• política de senhas• política de backup;• uso e atualização de anti-vírus;• acesso físico;• acesso lógico;• trilhas de auditoria• padrões de configuração de rede (nome de máquinas, etc.)

Principais etapas de elaboração, cont.Principais etapas de elaboração, cont. • Termo de Compromisso

O termo de compromisso é utilizado para que os funcionários,estagiários e colaboradores se comprometam formalmente em seguir a política de segurança e também para reforçar os principais pontos da política.

Deve ser assinado por todos os funcionários e renovado anualmente. Deve ser um aditivo ao contrato de trabalho.

Principais etapas de elaboração, cont.Principais etapas de elaboração, cont. • Divulgação da Política

Um dos maiores desafios de uma Política de Segurança é conseguir grande aderência dos funcionários, isso acontece muitas vezes devido a cultura da organização e a falta de envolvimento da alta administração.

Para resolver esse problema utilizamos a divulgação como instrumento de conscientização dos funcionários e colabores, da importância da segurança das informações e da adoção de uma política.

Principais etapas de elaboração, cont.Principais etapas de elaboração, cont.A Política de Segurança deve ser de conhecimento de todos os

funcionários, estagiários e colaboradores da organização, portanto deve ser amplamente divulgada, inclusive para novos funcionários.

Principais métodos de Divulgação:• Promover campanhas internas de conscientização;• Palestras de conscientização para os funcionários e colaboradores;• Destaque em Jornal e folhetos internos;• Destaque na Intranet da organização;• Criação de manual em formato compacto e com linguagem

acessível aos usuários;• Disponibilizar na Intranet ou na rede, em local comum a todos, a

política na íntegra para consultas.

Plano de ContingênciaPlano de Contingência

DefiniçãoDefinição

Plano de contingência ou plano de recuperação, é um plano que contém as diretrizes que a empresa deve seguir em caso de parada no processamento das informações, decorrente de desastre.

ObjetivoObjetivoO plano de contingência tem como objetivo

auxiliar no restabelecimento do processamento dos sistemas críticos da organização, levando em consideração a criticidade de cada sistema e o prazo previsto para o seu restabelecimento, de modo que minimize eventuais perdas à organização, podendo estas serem financeiras, jurídicas ou de imagem.

Principais pontos para a Principais pontos para a definição de um Planodefinição de um Plano

• definição das equipes de contingência, suas tarefas e responsabilidades;

• identificação dos sistemas críticos; • identificação dos recursos de que os sistemas críticos dependem; • levantamento da documentação dos sistemas críticos; • definição da metodologia de backup; • definição do backup site;• definição da metodologia de treinamento e simulação do plano de

contingência; • definição de regras para a atualização do plano; • definição de responsabilidade pela ativação e desativação do

plano • definição das diretrizes de elaboração do plano de retorno;


• Definição das equipes de contingência, suas tarefas e responsabilidades

Nesta etapa devem ser definidas as equipes que estarão envolvidas no plano de contingência, desde a sua elaboração, até a ativação e desativação do plano. Abaixo listamos alguns exemplos de equipes que podem ser formadas:

• equipe executiva;• equipe de coordenação;• equipe de revisão e atualização do plano;• equipe de testes e simulações;• equipe de software e hardware;• equipe de operação dos sistemas;• equipe de logística.


• Identificação dos sistemas críticosSistemas críticos são os sistemas vitais para o

desenvolvimento do negócio da empresa. Se o funcionamento desses sistemas for interrompido a organização pode sofrer algum tipo de prejuízo ou dano.

Nesta fase é necessária as seguintes análises:• Identificação dos sistemas críticos;• Análise de impacto nos negócios;• Análise de risco; • Homologação dos sistemas críticos pelos executivos.


• Identificação dos recursos de que os sistemas críticos dependemA identificação dos recursos pelos quais os sistemas

críticos dependem, dará as informações necessárias para a definição da estrutura mínima que deverá ser utilizada durante a ativação do plano de contingência.

Os recursos analisados devem ser:• recursos de software;• recursos de hardware;• recursos de infraestrutura;• recursos humanos.


• Levantamento da documentação dos sistemas críticosPara facilitar o entendimento dos sistemas e facilitar a

adaptação a situações, é importante fazer o levantamento da documentação dos sistemas, apontando os seguintes ítens:

• objetivos do sistema; • fases e descrição do sistema ; • analistas responsáveis; • relação de programas utilizados; • interfaces; • usuários gestores; • módulos e componentes críticos dos sistemas; • serviços essenciais para a recuperação dos sistemas não

críticos.


• Definição da metodologia de backupOs backups dos sistemas críticos são peças

fundamentais na ativação do plano, portanto devem obter atenção especial.

Devem ser seguidos os mesmos cuidados utilizados na política de backup, sendo observados os seguintes ítens:

• local onde serão armazenadas as fitas de backup; • uso de cofres; • controle da ordem cronológica de baixa dos backups; • controle da vida útil das fitas de backup; • simulações períódicos da restauração dos backups.


• Definição do backup siteBackup site é o local onde será montada a estrutura

necessária para a ativação do plano de contingência, esse local deverá estar localizado fora das instalações da organização, e deverá conter todos os recursos identificados como necessários para a ativação do plano.

Nesta etapa deve ser definido o local de implantação do backup site, a estrutura de comunicação necessária.

Algumas empresas optam por usar backup sites de outras empresas.


• Definição da metodologia de treinamento e simulação do plano de contingênciaPara o sucesso do plano de contingência, é necessário que as

pessoas que estejam envolvidas no processo de contingência sejam treinadas, e orientadas nas ações que devem realizar após a ativação do plano. Devem ser definidas as formas e datas de treinamento.

Outro fator importante para o sucesso do plano é fazer a sua simulação, somente assim pode-se ter a certeza de que todos os procedimentos descritos no plano serão executados com êxito. O plano deve ser testado periodicamente, o período indicado é de 1 ano.

Todos os testes e simulações devem ser documentados.


• Definição de regras para a atualização do planoO plano de contingência deve ser atualizado toda vez

que houver alguma alteração ou inclusão de procedimentos ou sistemas, que sejam considerados critícos para a organização. Se não houver, o plano deverá ser revisado em um prazo máximo de 1 ano, podendor ser realizado em conjunto com os testes anuais.


• Definição de responsabilidade pela ativação e desativação do plano As decisões de ativação e desativação do plano devem

ser tomadas pelas pessoas certas na hora certa. Essas decisões devem ser tomadas por executivos da organização, e devem ser baseadas em relatórios e informações obtidas pela a equipe que coordena o plano de contingência.


• Definição das diretrizes de elaboração do plano de retornoO plano de retorno deve ser elaborado após a ativação do

plano de contingência, e deve conter as definições e especificações necessárias para orientar o retorno as aividades normais.

O plano de retorno deve conter os seguintes ítens:• descrição dos procedimentos para o retorno das

atividades normais; • definição da estrutura de apoio; • definição das datas para o retorno das atividade; • criação de relatórios com o histórico dos procedimentos

e atividades.

Perguntas???Perguntas???

Documents

Sistemas de Informação: Gerenciamento de Contingências