AUDITORA DE SISTEMAS - Aula_02

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

GTI / ADS / SI – ANDRE MOURA 
PLANOS DE CONTINGÊNCIA – GERENCIAR MUDANÇAS OU SURPRESAS?
1
PLANOS DE CONTINGÊNCIA - GERENCIAR MUDANÇAS OU SURPRESAS?
O que é Plano de Contingência 
Risco, ameaça e outros conceitos
Componentes de um Plano de Contingência (PC)
2
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
PLANOS DE CONTINGÊNCIA - GERENCIAR MUDANÇAS OU SURPRESAS?
O que é Plano de Contingência
Risco, ameaça e outros conceitos
Componentes de um Plano de Contingência (PC)
3
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
Carteira do Plano de Saúde 
O QUE É PLANO DE CONTINGÊNCIA
E agora?
4
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
O QUE É PLANO DE CONTINGÊNCIA
E agora?
5
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
O QUE É PLANO DE CONTINGÊNCIA
6
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
E agora?
O QUE É PLANO DE CONTINGÊNCIA
7
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
Suponha que a empresa hipotética www.infvendasonline.com.br 
 venda exclusivamente pela internet
 fature R$ 30.000.000,00 mensais 
tenha ficado “fora do ar” (site indisponível) durante 24h
E agora? 
PREJUÍZO DE R$ 1.000.000,00
8
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
O QUE É PLANO DE CONTINGÊNCIA
Contingência
Que pode ser ou não ser; que pode ocorrer ou não ocorrer
Uma sequência de ações a serem seguidas em situações de emergência, previstas ou não, para assegurar a continuidade do serviço
 Plano de Contingência
O QUE É PLANO DE CONTINGÊNCIA
Um plano de contingência é necessário para:
Normalmente as catástrofes tem baixa freqüência de ocorrência, altos riscos de incerteza mas, se ocorrem, suas conseqüências podem ser devastadoras. 
1
2
3
4
Reduzir a possibilidade de danos 
Aperfeiçoar a habilidade em sobreviver à descontinuidade de rotinas
Reduzir a descontinuidade de rotinas
Reduzir custos de recuperação
9
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
O QUE É PLANO DE CONTINGÊNCIA
Responsáveis pela continuidade da operação de suas áreas
ENVOLVIMENTO DAS ÁREAS DE NEGÓCIO
1
2
3
4
Desenvolvem seus planos, para todas as funções e níveis 
Cada área deve incluir os planos das áreas interdependentes 
Coordenação das atividades 
10
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
PLANOS DE CONTINGÊNCIA - GERENCIAR MUDANÇAS OU SURPRESAS?
O que é Plano de Contingência
Risco, ameaça e outros conceitos
Componentes de um Plano de Contingência (PC)
11
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
RISCO, AMEAÇA E OUTROS CONCEITOS
12
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
AMEAÇA
RECURSO
VULNERA-BILIDADE
ATAQUE
IMPACTO
RISCO
PROBABI-LIDADE
13
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
AMEAÇA
Evento ou atitude indesejável (roubo, incêndio, vírus, ...) que potencialmente remove, desabilita, danifica ou destrói um recurso. 
1
2
Acidental (falhas de hardware)
Deliberada
Passiva: não altera a informação 
Ativa: altera a informação 
RISCO, AMEAÇA E OUTROS CONCEITOS
14
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
RECURSO
Componente de um sistema computacional, podendo ser físico, software, hardware, informação e também humano. 
RISCO, AMEAÇA E OUTROS CONCEITOS
RISCOS, AMEAÇAS E OUTROS CONCEITOS
15
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
VULNERA-BILIDADE
Fraqueza ou deficiência que pode ser explorada por uma ameaça. Está associada à probabilidade de ocorrência da ameaça.
16
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
ATAQUE
Ameaça concretizada. 
RISCO, AMEAÇA E OUTROS CONCEITOS
17
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
PROBABI-LIDADE
Chance de uma ameaça atacar com sucesso o sistema computacional.
RISCO, AMEAÇA E OUTROS CONCEITOS
18
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
IMPACTO
É o resultado da concretização de uma ameaça. 
1
2
Direto: Envolve perdas financeiras 
Indireto: Não envolve (diretamente) perdas financeiras 
RISCO, AMEAÇA E OUTROS CONCEITOS
19
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
RISCO
Medida da exposição a qual o sistema está sujeito. 
AMEAÇA
VULNERA-BILIDADE
IMPACTO
RISCO, AMEAÇA E OUTROS CONCEITOS
20
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
>
>
>
>
<
sujeitos
permitem
perdas
causam
protegem
limitados
Ativos
RISCO
Vulnerabilidades
Ameaças
Impactos
Medidas de segurança
Confidencialidade Integridade Disponibilidade
Fonte: adaptação
RISCOS, AMEAÇAS E OUTROS CONCEITOS
A elaboração, implementação e teste de um plano de contingência não é um trabalho barato. Muitas vezes temos que desenvolver programas ou processos específicos para atender a uma situação de emergência. Por esta razão, não fazemos o plano de contingência da totalidade das funções do objeto do plano de contingência.
21
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
RISCOS, AMEAÇAS E OUTROS CONCEITOS
RISCOS, AMEAÇAS E OUTROS CONCEITOS
Partes críticas
PLANO DE CONTINGÊNCIA
Área foco
Plano de Contingência
22
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
23
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
RISCOS, AMEAÇAS E OUTROS CONCEITOS
PLANO DE CONTINGÊNCIA
SISTEMA
Identificar funções críticas
ÁREA DE TI
Identificar sistemas críticos
DEPARTAMENTO
Identificar áreas críticas
24
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
RISCOS, AMEAÇAS E OUTROS CONCEITOS
PLANO DE CONTINGÊNCIA
ANALISANDO IMPACTO E CALCULANDO RISCOS
Riscos envolvidos
Prioridade
Escore
probabilidade X impacto)
Brainstorming
Escolha
25
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
RISCOS, AMEAÇAS E OUTROS CONCEITOS
ESCALA
CLASSIFICAÇÃO DO IMPACTO
0
Impacto irrelevante
1
Efeito pouco significativo, sem afetar a maioria dos processos de negócio da empresa
2
Sistemas não disponíveis por um determinado período de tempo, podendo causar perda de credibilidade junto aos clientes e pequenas perdas financeiras
3
Perdas financeiras de maior vulto e perda de clientes para a concorrência
4
Efeitos desastrosos, porém sem comprometer a sobrevivência da empresa
5
Efeitos desastrosos, comprometendo a sobrevivência da empresa
26
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
RISCOS, AMEAÇAS E OUTROS CONCEITOS
ESCALA
CLASSIFICAÇÃO DA PROBABILIDADE
0
Ameaça completamente improvável de ocorrer
1
Probabilidade de a ameaça ocorrer menos de uma vez por ano
2
Probabilidade de a ameaça ocorrer pelo menos de uma vez por ano
3
Probabilidade de a ameaça ocorrer pelo menos uma vez por mês
4
Probabilidade de a ameaça ocorrer pelo menos uma vez por semana
5
Probabilidade de a ameaça ocorrer diariamente
27
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
RISCOS, AMEAÇAS E OUTROS CONCEITOS
MATRIZ DE RISCO (exemplo)
AMEAÇAS
IMPACTO
(0-5)
PROBABILI-DADE (0-5)
ESCOREDERISCO
Incêndio
5
1
5
Falta de luz
4
3
12
Quedado servidor
3
3
9
Falha de equipamento
2
4
8
Ataque de virus
3
5
15
Greve de transporte
2
1
2
Funcionário passar mal
1
1
1
28
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
RISCOS, AMEAÇAS E OUTROS CONCEITOS
ANALISANDO IMPACTO E CALCULANDO RISCOS
Ambiente vulnerável
Risco calculado
Estratégia
Eliminar o risco
Reduzir o risco a um nível aceitável
Limitar o dano, reduzindo o impacto
Compensar o dano, por meio de seguros
1
2
3
4
PLANOS DE CONTINGÊNCIA - GERENCIAR MUDANÇAS OU SURPRESAS?
O que é Plano de Contingência
Risco, ameaça e outros conceitos
Componentes de um Plano de Contingência (PC)
29
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
30
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO 
DE CONTINGÊNCIA
PLANO DE EMERGÊNCIA
PLANO DE BACKUP
PLANO DE RECUPERAÇÃO
1
2
3
31
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE EMERGÊNCIA
1
Formado pelas respostas de risco (ações a
serem seguidas na eventualidade de uma ameaça ocorrer) e tentativas de evitar danos causados por desastres mantendo, dentro do possível, a capacidade de funcionamento da empresa/sistema.
32
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE EMERGÊNCIA
1
Prever as possibilidades de desastres (naturais ou provocados)
Prover meios necessários para detectar antecipadamente e eliminar/frear o dano
Prover segurança física: fogo, fumaça,água, intrusos
Prover respostas de risco para ameaças identificadas como de alto escore na matriz de risco
Principais objetivos:
33
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE EMERGÊNCIA
1
Prover respostas de risco para ameaças identificadas como de alto escore na matriz de risco
Principais objetivos:
Deve conter o nome de quem as executará (e não a função), bem como o telefone onde estas pessoas podem ser encontradas nas 24 horas do dia. 
Ações a serem seguidas, como em um checklist, na eventualidade da ocorrência de uma ameaça. 
Prover respostas de risco (EXEMPLO: INCÊNDIO)
34
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE EMERGÊNCIA
1
Principais objetivos:
Quem decide que o local deve ser evacuado
Quando evacuá-lo
Quais os meios de proteção para pessoas e recursos
Meios de combater o incêndio (extintor de incêndio diferente para cada caso)
Quem chama os bombeiros, quem desliga a eletricidade
Acordo recíprocos com terceiros
Local alternativo para trabalhar até a recuperação do ambiente de Tecnologia da Informação
Prover respostas de risco (EXEMPLO: INCÊNDIO)
35
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE EMERGÊNCIA
1
Principais objetivos:
Participação dos integrantes da Comissão Interna de Prevenção de Acidentes (CIPA)
O plano de emergência, após testado e aprovado, será utilizado na eventual ocorrência de uma ameaça.
O plano de emergência deverá seguir um calendário de teste para que possa se manter atualizado.
36
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE BACKUP
2
Seu objetivo é providenciar os recursos necessários para uma eventual utilização do plano de emergência. 
37
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE BACKUP
2
Backup de arquivos
Atualização da biblioteca externa
Acordos com terceiros através de acordos de reciprocidade
Processamento alternativo através de processamento manual
Processamento dos sistemas através de hot site
Continuidade dos serviços com a manutenção de múltiplas facilidades de produção em locais distintos
Provê:
38
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE BACKUP
2
Atualização da biblioteca externa
Provê:
Um lugar afastado do local principal de trabalho onde são guardados todos os recursos que possam ser necessários para a operação do negócio em caso de emergência. 
39
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE BACKUP
2
Acordos com terceiros através de acordos de reciprocidade
Provê:
São acordos feitos entre duas empresas que possuam o mesmo tipo de equipamento ou área de trabalho equivalente. Quando uma das empresas não puder usar o seu equipamento, usará o do “parceiro”, em turnos de trabalho diferentes.
40
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE BACKUP
2
Processamento alternativo através de processamento manual
Provê:
Para que possamos passar de uma situação normal de operação do negócio para um processamento manual podem ser necessárias rotinas especiais bem como o desenho e confecção de formulários (de cadastro, depósitos, etc...), assim como programas especiais para processar tais formulários. 
41
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE BACKUP
2
Processamento dos sistemas através de hot site
Provê:
São instalações de TI, configuradas pelo cliente, que ficam inoperantes até o momento em que o cliente precisar delas. O cliente paga mensalidades para ter este serviço disponibilizado na hora em que precisar. 
42
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE BACKUP
2
Continuidade dos serviços com a manutenção de múltiplas facilidades de produção em locais distintos
Provê:
É habitual que tenhamos um nó de uma rede preparado para funcionar como servidor da mesma, em situações especiais. 
43
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE BACKUP
2
Interrupções que causarão maiores perdas
Tempo máximo possível para indisponibilidade
Recursos e ambientes alternativos disponíveis
Treinamento da equipe 
Teste do Plano (calendário)
Avaliação dos resultados 
Atualização do Plano
Divulgação (parcial sempre que possível) 
Atenção especial:
44
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE RECUPERAÇÃO
3
São as atividades e recursos necessários para se passar da situação de emergência para a situação normal.
45
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE RECUPERAÇÃO
3
Ambiente Situação Normal
Ambiente Situação de Emergência
Interrupção
Plano de recuperação
GTI / ADS / SI – ANDRE MOURA 
PLANOS DE CONTINGÊNCIA – GERENCIAR MUDANÇAS OU SURPRESAS?
F I M
46