Baixe o app para aproveitar ainda mais
Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original
GTI / ADS / SI – ANDRE MOURA PLANOS DE CONTINGÊNCIA – GERENCIAR MUDANÇAS OU SURPRESAS? 1 PLANOS DE CONTINGÊNCIA - GERENCIAR MUDANÇAS OU SURPRESAS? O que é Plano de Contingência Risco, ameaça e outros conceitos Componentes de um Plano de Contingência (PC) 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 PLANOS DE CONTINGÊNCIA - GERENCIAR MUDANÇAS OU SURPRESAS? O que é Plano de Contingência Risco, ameaça e outros conceitos Componentes de um Plano de Contingência (PC) 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 Carteira do Plano de Saúde O QUE É PLANO DE CONTINGÊNCIA E agora? 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 O QUE É PLANO DE CONTINGÊNCIA E agora? 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 O QUE É PLANO DE CONTINGÊNCIA 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 E agora? O QUE É PLANO DE CONTINGÊNCIA 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 Suponha que a empresa hipotética www.infvendasonline.com.br venda exclusivamente pela internet fature R$ 30.000.000,00 mensais tenha ficado “fora do ar” (site indisponível) durante 24h E agora? PREJUÍZO DE R$ 1.000.000,00 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 O QUE É PLANO DE CONTINGÊNCIA Contingência Que pode ser ou não ser; que pode ocorrer ou não ocorrer Uma sequência de ações a serem seguidas em situações de emergência, previstas ou não, para assegurar a continuidade do serviço Plano de Contingência O QUE É PLANO DE CONTINGÊNCIA Um plano de contingência é necessário para: Normalmente as catástrofes tem baixa freqüência de ocorrência, altos riscos de incerteza mas, se ocorrem, suas conseqüências podem ser devastadoras. 1 2 3 4 Reduzir a possibilidade de danos Aperfeiçoar a habilidade em sobreviver à descontinuidade de rotinas Reduzir a descontinuidade de rotinas Reduzir custos de recuperação 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 O QUE É PLANO DE CONTINGÊNCIA Responsáveis pela continuidade da operação de suas áreas ENVOLVIMENTO DAS ÁREAS DE NEGÓCIO 1 2 3 4 Desenvolvem seus planos, para todas as funções e níveis Cada área deve incluir os planos das áreas interdependentes Coordenação das atividades 10 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 PLANOS DE CONTINGÊNCIA - GERENCIAR MUDANÇAS OU SURPRESAS? O que é Plano de Contingência Risco, ameaça e outros conceitos Componentes de um Plano de Contingência (PC) 11 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 RISCO, AMEAÇA E OUTROS CONCEITOS 12 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 AMEAÇA RECURSO VULNERA-BILIDADE ATAQUE IMPACTO RISCO PROBABI-LIDADE 13 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 AMEAÇA Evento ou atitude indesejável (roubo, incêndio, vírus, ...) que potencialmente remove, desabilita, danifica ou destrói um recurso. 1 2 Acidental (falhas de hardware) Deliberada Passiva: não altera a informação Ativa: altera a informação RISCO, AMEAÇA E OUTROS CONCEITOS 14 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 RECURSO Componente de um sistema computacional, podendo ser físico, software, hardware, informação e também humano. RISCO, AMEAÇA E OUTROS CONCEITOS RISCOS, AMEAÇAS E OUTROS CONCEITOS 15 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 VULNERA-BILIDADE Fraqueza ou deficiência que pode ser explorada por uma ameaça. Está associada à probabilidade de ocorrência da ameaça. 16 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 ATAQUE Ameaça concretizada. RISCO, AMEAÇA E OUTROS CONCEITOS 17 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 PROBABI-LIDADE Chance de uma ameaça atacar com sucesso o sistema computacional. RISCO, AMEAÇA E OUTROS CONCEITOS 18 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 IMPACTO É o resultado da concretização de uma ameaça. 1 2 Direto: Envolve perdas financeiras Indireto: Não envolve (diretamente) perdas financeiras RISCO, AMEAÇA E OUTROS CONCEITOS 19 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 RISCO Medida da exposição a qual o sistema está sujeito. AMEAÇA VULNERA-BILIDADE IMPACTO RISCO, AMEAÇA E OUTROS CONCEITOS 20 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 > > > > < sujeitos permitem perdas causam protegem limitados Ativos RISCO Vulnerabilidades Ameaças Impactos Medidas de segurança Confidencialidade Integridade Disponibilidade Fonte: adaptação RISCOS, AMEAÇAS E OUTROS CONCEITOS A elaboração, implementação e teste de um plano de contingência não é um trabalho barato. Muitas vezes temos que desenvolver programas ou processos específicos para atender a uma situação de emergência. Por esta razão, não fazemos o plano de contingência da totalidade das funções do objeto do plano de contingência. 21 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 RISCOS, AMEAÇAS E OUTROS CONCEITOS RISCOS, AMEAÇAS E OUTROS CONCEITOS Partes críticas PLANO DE CONTINGÊNCIA Área foco Plano de Contingência 22 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 23 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 RISCOS, AMEAÇAS E OUTROS CONCEITOS PLANO DE CONTINGÊNCIA SISTEMA Identificar funções críticas ÁREA DE TI Identificar sistemas críticos DEPARTAMENTO Identificar áreas críticas 24 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 RISCOS, AMEAÇAS E OUTROS CONCEITOS PLANO DE CONTINGÊNCIA ANALISANDO IMPACTO E CALCULANDO RISCOS Riscos envolvidos Prioridade Escore probabilidade X impacto) Brainstorming Escolha 25 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 RISCOS, AMEAÇAS E OUTROS CONCEITOS ESCALA CLASSIFICAÇÃO DO IMPACTO 0 Impacto irrelevante 1 Efeito pouco significativo, sem afetar a maioria dos processos de negócio da empresa 2 Sistemas não disponíveis por um determinado período de tempo, podendo causar perda de credibilidade junto aos clientes e pequenas perdas financeiras 3 Perdas financeiras de maior vulto e perda de clientes para a concorrência 4 Efeitos desastrosos, porém sem comprometer a sobrevivência da empresa 5 Efeitos desastrosos, comprometendo a sobrevivência da empresa 26 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 RISCOS, AMEAÇAS E OUTROS CONCEITOS ESCALA CLASSIFICAÇÃO DA PROBABILIDADE 0 Ameaça completamente improvável de ocorrer 1 Probabilidade de a ameaça ocorrer menos de uma vez por ano 2 Probabilidade de a ameaça ocorrer pelo menos de uma vez por ano 3 Probabilidade de a ameaça ocorrer pelo menos uma vez por mês 4 Probabilidade de a ameaça ocorrer pelo menos uma vez por semana 5 Probabilidade de a ameaça ocorrer diariamente 27 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 RISCOS, AMEAÇAS E OUTROS CONCEITOS MATRIZ DE RISCO (exemplo) AMEAÇAS IMPACTO (0-5) PROBABILI-DADE (0-5) ESCOREDERISCO Incêndio 5 1 5 Falta de luz 4 3 12 Quedado servidor 3 3 9 Falha de equipamento 2 4 8 Ataque de virus 3 5 15 Greve de transporte 2 1 2 Funcionário passar mal 1 1 1 28 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 RISCOS, AMEAÇAS E OUTROS CONCEITOS ANALISANDO IMPACTO E CALCULANDO RISCOS Ambiente vulnerável Risco calculado Estratégia Eliminar o risco Reduzir o risco a um nível aceitável Limitar o dano, reduzindo o impacto Compensar o dano, por meio de seguros 1 2 3 4 PLANOS DE CONTINGÊNCIA - GERENCIAR MUDANÇAS OU SURPRESAS? O que é Plano de Contingência Risco, ameaça e outros conceitos Componentes de um Plano de Contingência (PC) 29 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 30 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE CONTINGÊNCIA PLANO DE EMERGÊNCIA PLANO DE BACKUP PLANO DE RECUPERAÇÃO 1 2 3 31 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE EMERGÊNCIA 1 Formado pelas respostas de risco (ações a serem seguidas na eventualidade de uma ameaça ocorrer) e tentativas de evitar danos causados por desastres mantendo, dentro do possível, a capacidade de funcionamento da empresa/sistema. 32 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE EMERGÊNCIA 1 Prever as possibilidades de desastres (naturais ou provocados) Prover meios necessários para detectar antecipadamente e eliminar/frear o dano Prover segurança física: fogo, fumaça,água, intrusos Prover respostas de risco para ameaças identificadas como de alto escore na matriz de risco Principais objetivos: 33 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE EMERGÊNCIA 1 Prover respostas de risco para ameaças identificadas como de alto escore na matriz de risco Principais objetivos: Deve conter o nome de quem as executará (e não a função), bem como o telefone onde estas pessoas podem ser encontradas nas 24 horas do dia. Ações a serem seguidas, como em um checklist, na eventualidade da ocorrência de uma ameaça. Prover respostas de risco (EXEMPLO: INCÊNDIO) 34 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE EMERGÊNCIA 1 Principais objetivos: Quem decide que o local deve ser evacuado Quando evacuá-lo Quais os meios de proteção para pessoas e recursos Meios de combater o incêndio (extintor de incêndio diferente para cada caso) Quem chama os bombeiros, quem desliga a eletricidade Acordo recíprocos com terceiros Local alternativo para trabalhar até a recuperação do ambiente de Tecnologia da Informação Prover respostas de risco (EXEMPLO: INCÊNDIO) 35 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE EMERGÊNCIA 1 Principais objetivos: Participação dos integrantes da Comissão Interna de Prevenção de Acidentes (CIPA) O plano de emergência, após testado e aprovado, será utilizado na eventual ocorrência de uma ameaça. O plano de emergência deverá seguir um calendário de teste para que possa se manter atualizado. 36 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE BACKUP 2 Seu objetivo é providenciar os recursos necessários para uma eventual utilização do plano de emergência. 37 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE BACKUP 2 Backup de arquivos Atualização da biblioteca externa Acordos com terceiros através de acordos de reciprocidade Processamento alternativo através de processamento manual Processamento dos sistemas através de hot site Continuidade dos serviços com a manutenção de múltiplas facilidades de produção em locais distintos Provê: 38 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE BACKUP 2 Atualização da biblioteca externa Provê: Um lugar afastado do local principal de trabalho onde são guardados todos os recursos que possam ser necessários para a operação do negócio em caso de emergência. 39 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE BACKUP 2 Acordos com terceiros através de acordos de reciprocidade Provê: São acordos feitos entre duas empresas que possuam o mesmo tipo de equipamento ou área de trabalho equivalente. Quando uma das empresas não puder usar o seu equipamento, usará o do “parceiro”, em turnos de trabalho diferentes. 40 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE BACKUP 2 Processamento alternativo através de processamento manual Provê: Para que possamos passar de uma situação normal de operação do negócio para um processamento manual podem ser necessárias rotinas especiais bem como o desenho e confecção de formulários (de cadastro, depósitos, etc...), assim como programas especiais para processar tais formulários. 41 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE BACKUP 2 Processamento dos sistemas através de hot site Provê: São instalações de TI, configuradas pelo cliente, que ficam inoperantes até o momento em que o cliente precisar delas. O cliente paga mensalidades para ter este serviço disponibilizado na hora em que precisar. 42 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE BACKUP 2 Continuidade dos serviços com a manutenção de múltiplas facilidades de produção em locais distintos Provê: É habitual que tenhamos um nó de uma rede preparado para funcionar como servidor da mesma, em situações especiais. 43 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE BACKUP 2 Interrupções que causarão maiores perdas Tempo máximo possível para indisponibilidade Recursos e ambientes alternativos disponíveis Treinamento da equipe Teste do Plano (calendário) Avaliação dos resultados Atualização do Plano Divulgação (parcial sempre que possível) Atenção especial: 44 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE RECUPERAÇÃO 3 São as atividades e recursos necessários para se passar da situação de emergência para a situação normal. 45 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE RECUPERAÇÃO 3 Ambiente Situação Normal Ambiente Situação de Emergência Interrupção Plano de recuperação GTI / ADS / SI – ANDRE MOURA PLANOS DE CONTINGÊNCIA – GERENCIAR MUDANÇAS OU SURPRESAS? F I M 46
Compartilhar