RH 03

Prévia do material em texto

Sistema de Informação de RH
Aula 3 - Segurança da Informação
INTRODUÇÃO
A informação é um ativo que, como qualquer outro ativo importante aos negócios, tem um valor para a organização e que necessita ser
adequadamente protegida. A Segurança da Informação protege os dados de diversos tipos de ameaças para garantir a continuidade dos
negócios, minimizar os danos e maximizar o retorno dos investimentos e as oportunidades de novos negócios.
Quando se trata de área de Recursos Humanos, observamos que existe uma gama de informações vitais e estratégicas devendo ser protegidas
com bastante cuidado e critério. Isso exige um custo e um treinamento especí�co que falaremos adiante.
OBJETIVOS
Compreender a importância da Segurança da Informação;
Reconhecer as diferentes formas de ameaças à segurança dos dados.
ANTES DE IMPLEMENTAR UM PROGRAMA DE SEGURANÇA DA INFORMAÇÃO, NO
SETOR DE RECURSOS HUMANOS, É ACONSELHÁVEL RESPONDER AS SEGUINTES
PERGUNTAS:
FFoonnttee ddaa IImmaaggeemm:: sumkinn / Shutterstock
O que se quer proteger?
Contra que ou quem?
Quais as ameaças mais prováveis?
Qual a importância de cada recurso?
Qual o grau de proteção desejado?
Quanto tempo, recursos �nanceiros e humanos se pretende gastar para atingir os objetivos de segurança desejada?
Quais as consequências para a instituição se seus sistemas e informações forem corrompidos ou roubados?
COMPROMETIMENTO DO EXECUTIVO DA EMPRESA
FFoonnttee ddaa IImmaaggeemm:: Alexander Supertramp / Shutterstock
PPoorr qquuee aa SSeegguurraannççaa ddaa IInnffoorrmmaaççããoo éé nneecceessssáárriiaa??
Cada vez mais as organizações, os seus sistemas de informação e as suas redes de computadores são colocados à prova por diversos tipos de
ameaças. A Segurança da Informação sofre várias ameaças de fontes distintas, incluindo fraudes eletrônicas, espionagem, sabotagem,
vandalismo.
FATORES CRÍTICOS DE SUCESSO
A experiência tem mostrado que os seguintes fatores são, geralmente, críticos ao sucesso da implementação da Segurança da Informação
dentro de uma organização.
Um enfoque para a implementação da segurança que seja consistente com a cultura organizacional;
Comprometimento e apoio visível da direção;
Um bom entendimento dos requisitos de segurança, avaliação de risco e gerenciamento de risco;
Divulgação e�ciente da segurança para todos os gestores e funcionários;Distribuição das diretrizes sobre as normas e a política de Segurança da
Informação para todos os funcionários e fornecedores;
Proporcionar educação e treinamentos adequados;
Um abrangente e balanceado sistema de medição, que é usado para avaliar o desempenho da Gestão de Segurança da Informação e obtenção
de sugestões para a melhoria.
VAMOS FAZER UM TESTE RÁPIDO!
Pensando no que conhecemos sobre segurança, observe a imagem abaixo e liste os problemas detectados que comprometem a Segurança da
Informação.
Resposta Correta
PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
FFoonnttee ddaa IImmaaggeemm:: Pressmaster / Shutterstock
O sonho de todo empresário é bem parecido com o de qualquer chefe de família: grande ou pequena, a empresa ou a família, não deseja �car
descoberta em situações desfavoráveis. Assim, o mesmo ocorre com o PCN, um novo conceito em segurança.
Quando você fala sobre Planos de Contingência e Planejamento de Continuidade de Negócios, na sua empresa, a alta direção realmente "ouve" o
que você está falando? Na maioria das empresas, infelizmente, não. E, mesmo após os acontecimentos de 11 de setembro de 2001, nos EUA, a
situação pouco mudou para aqueles que não viveram de perto o drama de perder, ou estarem próximos de perder pessoas, ambientes e dados.
Novo para o Brasil, pois em outras partes do mundo, notadamente, naqueles países com excelentes recursos tecnológicos e culturais, poderio
�nanceiro e de marcante in�uência mundial — porém, com problemas igualmente marcantes de ordem natural —, o Business Continuity Plan
(BCP), como os falantes da língua inglesa chamam o PCN, é utilizado constantemente por organizações, empresas, comunidades e governos.
Trata-se dos: E aí? E agora? O que vamos fazer?
  Quando ocorrem situações desagradáveis, interrompendo o ciclo natural dos acontecimentos, desse ou daquele negócio, ou que in�uam na vida
pro�ssional ou pessoal dos envolvidos direta ou indiretamente com o evento, as coisas tomam um rumo descontrolado, totalmente absurdo!
FFoonnttee::
O Plano de Continuidade de Negócios é a resposta para essas questões, sintetizando a segurança em seu caráter mais amplo, ou seja, o seu
planejamento.
TRATA-SE DE UM PLANEJAMENTO ADEQUADO DAS AÇÕES DE CONTINGÊNCIA, ESSE
EMPÍRICO CONCEITO QUE NORTEIA NOSSAS CABEÇAS DESDE PEQUENOS. FOMOS
CRIADOS OUVINDO:
FFoonnttee ddaa IImmaaggeemm::
“— Não tome gelado no frio, pois vai pegar uma gripe!” (é a mamãe pensando em medidas preventivas quanto ao evento gripe);
FFoonnttee ddaa IImmaaggeemm::
“— Depois terá que ir ao hospital, passar pelo médico!” (é o planejamento do que fazer pós-ocorrência do evento);
FFoonnttee ddaa IImmaaggeemm::
“— Talvez �que internado e com certeza vai passar muito mal!” (é a mensuração do impacto);
FFoonnttee ddaa IImmaaggeemm::
“— Se pegar uma pneumonia pode até morrer!” (é o planejamento que procura evitar um impacto maior, um desastre: a morte).
FFoonnttee ddaa IImmaaggeemm:: Alexandr III / Shutterstock
Os procedimentos operacionais, do Plano de Continuidade de Negócios completo, estão separados por contingências, recuperação e gestão de
crises. Para cada procedimento é utilizada a mmeettooddoollooggiiaa ddaa IISSOO nos conceitos: O quê?, Quem?, Como? e Quando?, e descritos eventuais
PPoonnttooss CCrrííttiiccooss na elaboração das tarefas, possibilitando uma fácil compreensão dos procedimentos em uma situação de emergência.
FFoonnttee::
“Falar em Continuidade de Negócios é falar em sobrevivência empresarial, onde incidentes de qualquer tipo, grandes ou pequenos, podem
desestruturar completamente empresas centenárias, com uma excelente imagem no mercado.”
William Alevate
São diversos procedimentos e providências a serem realizados, no âmbito preventivo ou corretivo, os quais são previamente planejados e têm,
como objetivo, assegurar a continuidade dos negócios da empresa, diante de algum evento/desastre inesperado que comprometa os processos
de negócios por interromper as atividades do componente que o suporta.
FFoonnttee::
O PCN é um conjunto sistematizado de análise, planejamento e operações que garantem a autonomia e a continuidade de seus negócios em
ambientes em colapso.
VAMOS ENTENDER COMO FUNCIONA?
FFoonnttee ddaa IImmaaggeemm:: Minerva Studio / Shutterstock
Com o atendimento aos requisitos básicos para certi�cação, de acordo com a British Standard 7799 e a ISO/IEC 17799, os dirigentes de
empresas, que possuem um PCN, têm a tranquilidade de estarem preparados para operar mesmo em situações de extrema adversidade.
Ninguém, nem os maiores especialistas mundiais, no assunto, desejam que ele seja aplicado, mas, — em caso de necessidade, como um bom
planejamento —, deve ser executado com maestria, trazendo os negócios ao seu prumo natural, rapidamente e com o menor custo possível.
DESENVOLVER UM PCN EM UMA EMPRESA É ASSIM
AVALIAÇÃO PRELIMINAR DO AMBIENTE DA EMPRESA
Efetua-se visando estabelecer adequado conhecimento das ameaças que possam afetar o negócio.
Estudam-se:
leis, normas, regionalidades, existência de particularidades naturais (incidência de intempéries como vento, chuva, tempestades magnéticas, marés etc.);
particularidades humanas (características �nanceiras da região, nível de criminalidade);
possibilidade de acidentes físicos (a empresa encontra-se em avenidas de alta velocidade e nela trafegam caminhões pesados? por exemplo);
características tecnológicas que envolvam o negócio (trata-se de uma empresa com site de comercialização de produtos pela Internet?).
Essas considerações serão utilizadas no decorrer do projeto para a determinação dos pontos de importância de criticidade e avaliaçãode risco.
ESTUDO APROFUNDADO DO NEGÓCIO DA EMPRESA
Considera-se o negócio nunca se esquecendo de sua Missão, sua Visão, seus Valores e sua Crença. Avaliam-se, nos mínimos detalhes:
as Unidades de Negócio (áreas com �nalidade semelhante ao negócio, com receitas e despesas e que levem à consumação do objetivo da empresa);
os seus Processos de Negócio ("instituições", às vezes, matriciais, onde se executam ações por tempo determinado ou não, e que podem envolver diversas
Unidades de Negócio);
os Componentes (tipos diferentes de recursos utilizados pelos processos e que os suportam, sem os quais o negócio pode �car comprometido).
Tendo os mapeamentos, como um "Norte", são discutidos com os gestores de Unidades, ou seja, as operacionalidades inerentes ao negócio e que possam
comprometer o mesmo em caso de interrupção. De�nem-se assim as Criticidades, descobrindo-se então quais Processos e Componentes são críticos e vitais
à existência do negócio. Dessa forma, sabe-se adequadamente o que contingenciar, estabelecendo-se estratégias para continuidade dos Processos de
Negócio e recuperação/restauração dos Componentes que os suportam.
ANÁLISE DE RISCO
Logo após, realiza-se uma análise de risco, utilizando-se o conceito de BIA (Business Impact Analisys) ou AIN (Análise de Impacto no Negócio) onde avaliam-
se, daqueles Processos e Componentes críticos e vitais, e que serão contingenciados, os valores �nanceiros que envolvem, direta e indiretamente, o negócio,
de�nindo assim a ordem desse contingenciamento e os investimentos necessários a sua manutenção pós-ocorrência de um evento (consumação das
ameaças em situações que causem interrupção aos Processos e Unidades de Negócio em função da perda ou comprometimento de Componentes).
Também é de�nido o limite tolerável do tempo de indisponibilidade de cada atividade, sistema ou recurso, isto é, por quanto tempo a organização poderia �car
sem essa atividade, esse recurso ou esse sistema.
PLANOS ORGANIZADOS POR TIPO
Continuidade Operacional para Processos e Unidades de Negócio;
Recuperação/Restauração para Componentes;
Administração de Crise para o gerenciamento adequado da situação.
Nunca devemos esquecer o retorno à normalidade. A de�nição adequada do que é normal para a empresa e o que será normal pós-interrupção é de
fundamental importância ao bom termo do projeto, pois, assim como a vida, os negócios não são estáticos. Sendo assim, é importante preparar o Plano de
Continuidade de Negócios (PCN) para que responda ao questionamento da normalidade e possa restabelecer, não a situação original, mas, a situação
adequada do mercado e da empresa, no momento adequado.
PLANO DE CONTINGÊNCIA OU DISASTER RECORVER
Esse plano contempla a contingência e a recuperação e prevenção de acidentes, backup, recuperação de dados, seguros e o tipo de contingência
que a organização deverá adotar.
PPrreevveennççããoo ddee AAcciiddeenntteess
Equipamentos de detecção e extinção de fogo;
Manutenção preventiva de equipamentos;
Políticas de backup, armazenamento e recuperação de sistemas computacionais e dados;
Controles de acesso ao prédio e sistemas de alarme para detecção de intrusos;
Proteção aos documentos não magnéticos (papéis, micro�chas, micro�lmes);
Política de pessoal adequada;
Campanha de conscientização dos funcionários quanto à segurança de recursos materiais e informações.
TTrreeiinnaammeennttoo
Depois disso tudo, é só criar uma rotina de treinamento constante para que as pessoas respondam adequadamente ao Plano, não precisando
conhecê-lo no momento que terão que utilizá-lo. Parece complicado! Mas é até intuitivo.
Seguindo uma metodologia adequada, chega-se certamente ao produto �nal desejado, um plano que efetivamente atinja às expectativas de
minimização de perdas frente ao desconhecido.
TTeesstteess
Os testes podem ser feitos em um conjunto prede�nido de procedimentos de uma parte do plano ou utilizando o elemento surpresa de simulação
de acidentes. Esses testes representam a garantia para a organização.
AAttuuaalliizzaaççããoo ddoo PPllaannoo
Um plano como esse terá pouca ou nenhuma utilidade se for colocado em uma gaveta e nunca for testado ou atualizado. A maioria dos sistemas
e funções de negócio muda com frequência, assim com seus procedimentos. Até as mudanças administrativas e computacionais acontecem
como a fusão de empresas e a migração de sistemas de grande porte.
COM BASE NO QUE VIMOS NA AULA, RESPONDA:
1 - Ter um negócio, estabelecer-se, conhecer e vencer sua concorrência, ampliar e manter sua base de clientes, criar e manter produtos
competitivos signi�cam vários anos investidos em tempo, dinheiro, amor, dedicação e paciência.
Pense que um simples incêndio pode levar tudo isso embora em uma fração de segundos. A quebra de valores tão fundamentais certamente leva
ao desespero.
Garante-se que o PCN resolve esse problema?
Resposta Correta
Glossário