Baixe o app para aproveitar ainda mais
Prévia do material em texto
Sistema de Informação de RH Aula 3 - Segurança da Informação INTRODUÇÃO A informação é um ativo que, como qualquer outro ativo importante aos negócios, tem um valor para a organização e que necessita ser adequadamente protegida. A Segurança da Informação protege os dados de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos e as oportunidades de novos negócios. Quando se trata de área de Recursos Humanos, observamos que existe uma gama de informações vitais e estratégicas devendo ser protegidas com bastante cuidado e critério. Isso exige um custo e um treinamento especí�co que falaremos adiante. OBJETIVOS Compreender a importância da Segurança da Informação; Reconhecer as diferentes formas de ameaças à segurança dos dados. ANTES DE IMPLEMENTAR UM PROGRAMA DE SEGURANÇA DA INFORMAÇÃO, NO SETOR DE RECURSOS HUMANOS, É ACONSELHÁVEL RESPONDER AS SEGUINTES PERGUNTAS: FFoonnttee ddaa IImmaaggeemm:: sumkinn / Shutterstock O que se quer proteger? Contra que ou quem? Quais as ameaças mais prováveis? Qual a importância de cada recurso? Qual o grau de proteção desejado? Quanto tempo, recursos �nanceiros e humanos se pretende gastar para atingir os objetivos de segurança desejada? Quais as consequências para a instituição se seus sistemas e informações forem corrompidos ou roubados? COMPROMETIMENTO DO EXECUTIVO DA EMPRESA FFoonnttee ddaa IImmaaggeemm:: Alexander Supertramp / Shutterstock PPoorr qquuee aa SSeegguurraannççaa ddaa IInnffoorrmmaaççããoo éé nneecceessssáárriiaa?? Cada vez mais as organizações, os seus sistemas de informação e as suas redes de computadores são colocados à prova por diversos tipos de ameaças. A Segurança da Informação sofre várias ameaças de fontes distintas, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo. FATORES CRÍTICOS DE SUCESSO A experiência tem mostrado que os seguintes fatores são, geralmente, críticos ao sucesso da implementação da Segurança da Informação dentro de uma organização. Um enfoque para a implementação da segurança que seja consistente com a cultura organizacional; Comprometimento e apoio visível da direção; Um bom entendimento dos requisitos de segurança, avaliação de risco e gerenciamento de risco; Divulgação e�ciente da segurança para todos os gestores e funcionários;Distribuição das diretrizes sobre as normas e a política de Segurança da Informação para todos os funcionários e fornecedores; Proporcionar educação e treinamentos adequados; Um abrangente e balanceado sistema de medição, que é usado para avaliar o desempenho da Gestão de Segurança da Informação e obtenção de sugestões para a melhoria. VAMOS FAZER UM TESTE RÁPIDO! Pensando no que conhecemos sobre segurança, observe a imagem abaixo e liste os problemas detectados que comprometem a Segurança da Informação. Resposta Correta PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN) FFoonnttee ddaa IImmaaggeemm:: Pressmaster / Shutterstock O sonho de todo empresário é bem parecido com o de qualquer chefe de família: grande ou pequena, a empresa ou a família, não deseja �car descoberta em situações desfavoráveis. Assim, o mesmo ocorre com o PCN, um novo conceito em segurança. Quando você fala sobre Planos de Contingência e Planejamento de Continuidade de Negócios, na sua empresa, a alta direção realmente "ouve" o que você está falando? Na maioria das empresas, infelizmente, não. E, mesmo após os acontecimentos de 11 de setembro de 2001, nos EUA, a situação pouco mudou para aqueles que não viveram de perto o drama de perder, ou estarem próximos de perder pessoas, ambientes e dados. Novo para o Brasil, pois em outras partes do mundo, notadamente, naqueles países com excelentes recursos tecnológicos e culturais, poderio �nanceiro e de marcante in�uência mundial — porém, com problemas igualmente marcantes de ordem natural —, o Business Continuity Plan (BCP), como os falantes da língua inglesa chamam o PCN, é utilizado constantemente por organizações, empresas, comunidades e governos. Trata-se dos: E aí? E agora? O que vamos fazer? Quando ocorrem situações desagradáveis, interrompendo o ciclo natural dos acontecimentos, desse ou daquele negócio, ou que in�uam na vida pro�ssional ou pessoal dos envolvidos direta ou indiretamente com o evento, as coisas tomam um rumo descontrolado, totalmente absurdo! FFoonnttee:: O Plano de Continuidade de Negócios é a resposta para essas questões, sintetizando a segurança em seu caráter mais amplo, ou seja, o seu planejamento. TRATA-SE DE UM PLANEJAMENTO ADEQUADO DAS AÇÕES DE CONTINGÊNCIA, ESSE EMPÍRICO CONCEITO QUE NORTEIA NOSSAS CABEÇAS DESDE PEQUENOS. FOMOS CRIADOS OUVINDO: FFoonnttee ddaa IImmaaggeemm:: “— Não tome gelado no frio, pois vai pegar uma gripe!” (é a mamãe pensando em medidas preventivas quanto ao evento gripe); FFoonnttee ddaa IImmaaggeemm:: “— Depois terá que ir ao hospital, passar pelo médico!” (é o planejamento do que fazer pós-ocorrência do evento); FFoonnttee ddaa IImmaaggeemm:: “— Talvez �que internado e com certeza vai passar muito mal!” (é a mensuração do impacto); FFoonnttee ddaa IImmaaggeemm:: “— Se pegar uma pneumonia pode até morrer!” (é o planejamento que procura evitar um impacto maior, um desastre: a morte). FFoonnttee ddaa IImmaaggeemm:: Alexandr III / Shutterstock Os procedimentos operacionais, do Plano de Continuidade de Negócios completo, estão separados por contingências, recuperação e gestão de crises. Para cada procedimento é utilizada a mmeettooddoollooggiiaa ddaa IISSOO nos conceitos: O quê?, Quem?, Como? e Quando?, e descritos eventuais PPoonnttooss CCrrííttiiccooss na elaboração das tarefas, possibilitando uma fácil compreensão dos procedimentos em uma situação de emergência. FFoonnttee:: “Falar em Continuidade de Negócios é falar em sobrevivência empresarial, onde incidentes de qualquer tipo, grandes ou pequenos, podem desestruturar completamente empresas centenárias, com uma excelente imagem no mercado.” William Alevate São diversos procedimentos e providências a serem realizados, no âmbito preventivo ou corretivo, os quais são previamente planejados e têm, como objetivo, assegurar a continuidade dos negócios da empresa, diante de algum evento/desastre inesperado que comprometa os processos de negócios por interromper as atividades do componente que o suporta. FFoonnttee:: O PCN é um conjunto sistematizado de análise, planejamento e operações que garantem a autonomia e a continuidade de seus negócios em ambientes em colapso. VAMOS ENTENDER COMO FUNCIONA? FFoonnttee ddaa IImmaaggeemm:: Minerva Studio / Shutterstock Com o atendimento aos requisitos básicos para certi�cação, de acordo com a British Standard 7799 e a ISO/IEC 17799, os dirigentes de empresas, que possuem um PCN, têm a tranquilidade de estarem preparados para operar mesmo em situações de extrema adversidade. Ninguém, nem os maiores especialistas mundiais, no assunto, desejam que ele seja aplicado, mas, — em caso de necessidade, como um bom planejamento —, deve ser executado com maestria, trazendo os negócios ao seu prumo natural, rapidamente e com o menor custo possível. DESENVOLVER UM PCN EM UMA EMPRESA É ASSIM AVALIAÇÃO PRELIMINAR DO AMBIENTE DA EMPRESA Efetua-se visando estabelecer adequado conhecimento das ameaças que possam afetar o negócio. Estudam-se: leis, normas, regionalidades, existência de particularidades naturais (incidência de intempéries como vento, chuva, tempestades magnéticas, marés etc.); particularidades humanas (características �nanceiras da região, nível de criminalidade); possibilidade de acidentes físicos (a empresa encontra-se em avenidas de alta velocidade e nela trafegam caminhões pesados? por exemplo); características tecnológicas que envolvam o negócio (trata-se de uma empresa com site de comercialização de produtos pela Internet?). Essas considerações serão utilizadas no decorrer do projeto para a determinação dos pontos de importância de criticidade e avaliaçãode risco. ESTUDO APROFUNDADO DO NEGÓCIO DA EMPRESA Considera-se o negócio nunca se esquecendo de sua Missão, sua Visão, seus Valores e sua Crença. Avaliam-se, nos mínimos detalhes: as Unidades de Negócio (áreas com �nalidade semelhante ao negócio, com receitas e despesas e que levem à consumação do objetivo da empresa); os seus Processos de Negócio ("instituições", às vezes, matriciais, onde se executam ações por tempo determinado ou não, e que podem envolver diversas Unidades de Negócio); os Componentes (tipos diferentes de recursos utilizados pelos processos e que os suportam, sem os quais o negócio pode �car comprometido). Tendo os mapeamentos, como um "Norte", são discutidos com os gestores de Unidades, ou seja, as operacionalidades inerentes ao negócio e que possam comprometer o mesmo em caso de interrupção. De�nem-se assim as Criticidades, descobrindo-se então quais Processos e Componentes são críticos e vitais à existência do negócio. Dessa forma, sabe-se adequadamente o que contingenciar, estabelecendo-se estratégias para continuidade dos Processos de Negócio e recuperação/restauração dos Componentes que os suportam. ANÁLISE DE RISCO Logo após, realiza-se uma análise de risco, utilizando-se o conceito de BIA (Business Impact Analisys) ou AIN (Análise de Impacto no Negócio) onde avaliam- se, daqueles Processos e Componentes críticos e vitais, e que serão contingenciados, os valores �nanceiros que envolvem, direta e indiretamente, o negócio, de�nindo assim a ordem desse contingenciamento e os investimentos necessários a sua manutenção pós-ocorrência de um evento (consumação das ameaças em situações que causem interrupção aos Processos e Unidades de Negócio em função da perda ou comprometimento de Componentes). Também é de�nido o limite tolerável do tempo de indisponibilidade de cada atividade, sistema ou recurso, isto é, por quanto tempo a organização poderia �car sem essa atividade, esse recurso ou esse sistema. PLANOS ORGANIZADOS POR TIPO Continuidade Operacional para Processos e Unidades de Negócio; Recuperação/Restauração para Componentes; Administração de Crise para o gerenciamento adequado da situação. Nunca devemos esquecer o retorno à normalidade. A de�nição adequada do que é normal para a empresa e o que será normal pós-interrupção é de fundamental importância ao bom termo do projeto, pois, assim como a vida, os negócios não são estáticos. Sendo assim, é importante preparar o Plano de Continuidade de Negócios (PCN) para que responda ao questionamento da normalidade e possa restabelecer, não a situação original, mas, a situação adequada do mercado e da empresa, no momento adequado. PLANO DE CONTINGÊNCIA OU DISASTER RECORVER Esse plano contempla a contingência e a recuperação e prevenção de acidentes, backup, recuperação de dados, seguros e o tipo de contingência que a organização deverá adotar. PPrreevveennççããoo ddee AAcciiddeenntteess Equipamentos de detecção e extinção de fogo; Manutenção preventiva de equipamentos; Políticas de backup, armazenamento e recuperação de sistemas computacionais e dados; Controles de acesso ao prédio e sistemas de alarme para detecção de intrusos; Proteção aos documentos não magnéticos (papéis, micro�chas, micro�lmes); Política de pessoal adequada; Campanha de conscientização dos funcionários quanto à segurança de recursos materiais e informações. TTrreeiinnaammeennttoo Depois disso tudo, é só criar uma rotina de treinamento constante para que as pessoas respondam adequadamente ao Plano, não precisando conhecê-lo no momento que terão que utilizá-lo. Parece complicado! Mas é até intuitivo. Seguindo uma metodologia adequada, chega-se certamente ao produto �nal desejado, um plano que efetivamente atinja às expectativas de minimização de perdas frente ao desconhecido. TTeesstteess Os testes podem ser feitos em um conjunto prede�nido de procedimentos de uma parte do plano ou utilizando o elemento surpresa de simulação de acidentes. Esses testes representam a garantia para a organização. AAttuuaalliizzaaççããoo ddoo PPllaannoo Um plano como esse terá pouca ou nenhuma utilidade se for colocado em uma gaveta e nunca for testado ou atualizado. A maioria dos sistemas e funções de negócio muda com frequência, assim com seus procedimentos. Até as mudanças administrativas e computacionais acontecem como a fusão de empresas e a migração de sistemas de grande porte. COM BASE NO QUE VIMOS NA AULA, RESPONDA: 1 - Ter um negócio, estabelecer-se, conhecer e vencer sua concorrência, ampliar e manter sua base de clientes, criar e manter produtos competitivos signi�cam vários anos investidos em tempo, dinheiro, amor, dedicação e paciência. Pense que um simples incêndio pode levar tudo isso embora em uma fração de segundos. A quebra de valores tão fundamentais certamente leva ao desespero. Garante-se que o PCN resolve esse problema? Resposta Correta Glossário
Compartilhar