Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 JOSE APARECIDO DIAS DA SILVA PROJETO DE GESTÃO DE TI ESTABELECIMENTO DO PLANO DE CONTINGÊNCIA DE TI DIAMANTE DO NORTE 2023 2 JOSE APARECIDO DIAS DA SILVA PROJETO DE GESTÃO DE TI ESTABELECIMENTO DO PLANO DE CONTINGÊNCIA DE TI TCC – Trabalho de Conclusão de Curso apresentado ao curso de GESTÃO DA TECNOLOGIA DA INFORMAÇÃO, como requisito para obtenção de nota ou título de formação acadêmica. Orientadores(as): Giovanni Marco Maestri - Especialista em Desenvolvimento Gerencial. PMP (2015-2024). Luciana Stival Vitek - Especialista em Desenvolvimento Gerencial e Redes de Computadores. DIAMANTE DO NORTE 2023 3 JOSE APARECIDO DIAS DA SILVA PROJETO DE GESTÃO DE TI ESTABELECIMENTO DO PLANO DE CONTINGÊNCIA DE TI TCC – Trabalho de Conclusão de Curso apresentado ao curso de GESTÃO DA TECNOLOGIA DA INFORMAÇÃO, como requisito para obtenção de nota ou título de formação acadêmica. Orientadores(as): Giovanni Marco Maestri - Especialista em Desenvolvimento Gerencial. PMP (2015-2024). Luciana Stival Vitek - Especialista em Desenvolvimento Gerencial e Redes de Computadores. Aprovado em______/______/______ Nota__________________________ __________________________________________ Examinador 1 __________________________________________ Examinador 2 __________________________________________ Examinador 3 4 RESUMO Criação e definição do plano de contingência de TI, estabelecendo normas, regras, critérios, estruturas, papéis e ações demandadas por cada setor responsável, com foco principal na área de Gestão de TI, sendo um dos principais pilares da organização em si, como um todo, visando a garantia da continuidade dos negócios, tanto para a empresa fictícia abaixo, servindo de base para o emprego na vida real. Por se tratar da área de tecnologia, será de responsabilidade do Gestor a implantação do mais simples computador(desktop) até a implementação de um servidor local. 5 Sumário 1. Dados da Organização.........................................................................................07 1.1 Nome da organização..............................................................................07 1.2 Negócio da organização..........................................................................07 1.3 Infraestrutura de TI da organização.......................................................08 2. Estabelecer o Plano de Contingência de TI.......................................................09 2.1 Objetivos e justificativas.........................................................................09 2.2 Serviços e Sistemas Essenciais.............................................................10 2.3 Papéis e Responsabilidade.....................................................................10 2.4 Níveis de Incidentes.................................................................................13 2.5 Riscos.......................................................................................................14 2.5.1 Identificação de vulnerabilidades e ameaças...........................14 2.5.2 Análise de probabilidade e impacto..........................................14 2.6 Ações de Contingência............................................................................15 2.7 Testes do Plano de Contingência............................................................17 2.8 Aprovação do Plano de Contingência....................................................19 6 Sumário 3. Plano de Administração de Crises (PAC)............................................................20 3.1 Objetivos do PAC.....................................................................................23 3.2 Comitê de Crise........................................................................................24 3.3 Comunicação após um desastre.............................................................25 3.3.1 Autoridades.................................................................................25 3.3.2 Funcionários...............................................................................26 3.3.3 Unidades e Setores da Organização.........................................26 3.3.4 Clientes........................................................................................26 3.4 Encerramento do PAC........................................................................................27 4. Política de Backup................................................................................................28 4.1 Objetivos da política de Backup..............................................................30 4.2 Levantamento do ambiente e dos sistemas...........................................31 4.3 Tipos de backup.......................................................................................32 4.4 Procedimentos de backup.......................................................................32 4.5 Periodicidade e tempo de retenção dos backups..................................33 4.6 Recuperação dos dados..........................................................................35 4.7 Testes de recuperação de dados............................................................35 5. Ferramenta/Software de Backup.........................................................................35 5.1 Características do software/ferramenta de Backup..............................36 5.2 Pontos positivos e negativos do software/ferramenta de Backup.......39 5.3 Principais telas e funcionalidades do software/ferramenta de Backup.................................................................................................39 Referencias de Pesquisa..........................................................................................41 7 PROJETO DE GESTÃO DE TI 1 Dados da Organização 1.1 Nome da Organização Concessionária de Veículos SUPERCAR • Com sede na cidade de Curitiba-Pr, está localizada no centro comercial da cidade. A empresa SUPERCAR está no mercado há mais de 30 anos, acumulando uma vasta experiência no mercado automotivo pela excelência de seu atendimento, acumulando milhares de clientes na prestação de serviços. • Seguindo um rigoroso padrão de qualidade no Brasil, a revendedora é hoje referência na qualificação técnica e especialização de procedimentos automotivos e garantia na variedade de produtos. Sua liderança de mercado é um reflexo dessa sintonia entre grupo, concessionárias e colaboradores. A satisfação do cliente é seu grande compromisso em uma trajetória de evolução contínua. 1.2 Negócios da Organização • Comercialização de Veículos Novos e Usados através de suas afiliadas espalhadas pelo País. Revisão de veículos novos; manutenção de seminovos, vendas de peças originais, vendas de consórcios, seguros e afins. Na Concessionária SUPERCAR você encontra a linha completa de veículos nacionais e importados 0km das principais marcas e uma ampla gama de serviços de manutenção e reparo de automóveis, tudo com peças genuínas e acessórios originais. A Concessionária SUPER CAR é uma empresa sempre atenta às necessidades e transformações de um mercado tão dinâmico como o de revenda de veículos novos. Na busca por soluções melhores e mais completas para todos os seus vendedores, clientes e colaboradores. Os seus processos são automatizados, o que aumenta sua eficiência e garante uma enorme redução de custos. Possui atendimento 7 dias por semana e 24 horas por dia, através de uma central de atendimento telefônico, do aplicativo mobile e de seu siteinstitucional. Com sede na cidade de Curitiba/PR, 8 está presente em todas as capitais do Brasil. Possui atualmente cerca de 2 mil funcionários e mais de 1 milhão de clientes. 1.3 Infraestrutura de TI da organização A SUPERCAR é organizada institucionalmente por uma presidência e várias diretorias. Sendo que as principais áreas da empresa são: ▪ Diretoria de Atendimento ao Cliente; ▪ Diretoria Financeira; ▪ Diretoria de Vendas; ▪ Diretoria Administrativa; ▪ Diretoria de Marketing; ▪ Diretoria de Tecnologia da Informação. Os processos relativos a TI da SUPERCAR são geridos pela Diretoria de Tecnologia da Informação e executados pelo Ambiente de Tecnologia da Informação e suas células específicas a cada assunto. A Concessionária SUPERCAR possui toda sua infraestrutura de tecnologia centralizada em um único datacenter localizado na sede da instituição. A empresa não possui atualmente um Site Backup (datacenter secundário). Essa situação tem gerado grande preocupação na alta cúpula da empresa com relação a continuidade do negócio em caso de ocorrência de algum tipo de desastre. A segurança da informação na SUPERCAR deve apresentar um nível elevado de maturidade o que demandará a implantação de um Plano de Contingência de TI para garantir a continuidade dos negócios da empresa. As informações dos clientes e das vendas realizadas são seu maior patrimônio. As diretorias da Concessionária SUPERCAR sabem que precisarão investir recursos financeiros para a implantação do Plano de Contingência, na conscientização de seus funcionários e colaboradores acerca da segurança da informação e na utilização correta de seus sistemas, já que, a instituição possui grande quantidade de funcionários, vendedores e clientes. Os principais sistemas de informação da Concessionária SUPERCAR englobam o aplicativo mobile, o site institucional, cadastro de clientes, cadastro de funcionários, cadastro de veículos e gestão das vendas e serviços. A elaboração e implantação do Plano deverá ser realizada em no máximo 12 meses. O contrato que a Concessionária SUPERCAR realizou com o Gestor de TI da Unifael abrange a elaboração do Plano de Contingência de TI; que deverá contemplar: ▪ Informações sobre a organização; ▪ Detalhamento do plano de contingência; ▪ Plano de administração de crises (PAC); ▪ Política de Backup; ▪ Software para gestão de Backup. 9 Conforme análise técnica presencial foi constatado a seguinte estrutura física para trabalho e equipamentos relativos à área de TI, a saber: A empresa se encontra no centro da cidade, numa área comercial de 2.500m2, sendo a parte de maior concentração de trabalho de aproximadamente 1.000m2, rede elétrica trifásica, rede de água estruturada; possui internet de banda larga, fornecida por empresa do setor de telefonia. A parte elétrica demanda reparos, pois trata-se de infraestrutura já antiga. A organização não possui geradores de alta capacidade para auxílio no caso de corte repentino de energia, contando apenas com um gerador portátil de pequena capacidade na área do servidor. Consta um hidrante de água nas imediações e extintores em locais determinados pelos bombeiros nos locais específicos. A estrutura física do local é de um térreo com um andar acima; onde se encontra o Ceo, juntamente com a diretoria e salas de reuniões e um auditório. Toda a parte comercial, vendas, setor de peças, recepção, manutenção, salas de espera, show Room e demais dependências concentra-se na parte do térreo. São 30 maquinas desktop +10 impressoras, sistema de telefonia móvel e fixa com 35 canais. (alguns contam com tecnologia sem fio). Na parte principal para onde vai toda a informação gerada durante o expediente, consta uma sala de médio porte com um data center o qual possui 40 racks de servidores/storages. Para manter a estrutura do data center operando, a empresa conta com essa infraestrutura física, além de recursos, como energia elétrica, refrigeração (2 ar condicionado, um em uso e outro de reserva com chave automática), switches e roteadores de dados. A área de TI conta com software windows11 em seus equipamentos, sendo os demais computadores com versões mais antigas. A organização é gerenciada por um software de ERP, de terceiros. 2. Estabelecer o Plano de Contingência de TI 2.1 Objetivos • Identificar áreas com maior risco de impacto na organização, estabelecendo mudanças necessárias imediatas, evitando desgastes, retrabalhos e custos adicionais que venham a comprometer o objetivo principal: a satisfação do cliente, como da organização como um todo. Troca de equipamentos obsoletos ou antigos que não condizem com a realidade atual. Capacitação dos profissionais envolvidos, principalmente na área de TI. Criar equipes de manutenção preventiva, com relatórios semanais de ocorrências de baixo, médio e alto impacto, através de indicadores de desempenho. Fomentar a troca de informações com a diretoria executiva para avaliação de máquinas que demandem menos custos e processos mais ágeis, contribuindo com a melhoria na entrega das demandas ofertadas. 10 2.1.1 Justificativas • No que se refere a parte elétrica, um motor estacionário com capacidade adequada para suprir a necessidade em caso de falta de energia, onde processos gerenciais tais como TI, comercial e de prestação de serviços não serão interrompidos. O que evitará retrabalho e custos duplamente significativos. Um segundo Data Center com capacidade superior ao existente para Backup diário podendo ser dentro da empresa ou fora (os chamados nuvem), o que diminuirá significativamente a perda de dados. Compra gradativa e constante de computadores com melhor performance. Os colaboradores da área de TI, capacitados constantemente com as novas tecnologias e demandas que o mercado exige, seja através de cursos, seminários ou outra fonte de informação. A manutenção preventiva é essencial, pois ela vai de encontro aos anseios da organização na prestação dos serviços oferecidos. 2.2 Serviços e Sistemas Essenciais • Setor Administrativo (área administrativa, atendimento do cliente), Operacional (maquinas e equipamentos automatizados), Comercial (vendas, financeiro, marketing). • Setor Tecnológico (coleta de informações, comunicação), com prioridades essenciais para o Data Center (dados armazenados) o Internet (disponibilidade de comunicação interna e externa) o Intranet (comunicação com Sistemas ERP) o Sistema de Informações Gerenciais e, o Sistema de Informações Operacionais. 2.3 Papéis e Responsabilidades A definição dos papéis e responsabilidades de cada equipe ou indivíduo, passa essencialmente por cada diretoria, através de seus gestores, a quem cabe designar as relações de reporte na estrutura de cada projeto. A Diretoria de Tecnologia da Informação, através do seu gestor estabelecerá o Planejamento organizacional, identificando as metas e prioridades; formação da equipe de trabalho, alocando os recursos humanos para as diversas etapas e atividades na execução do projeto, bem como gerenciar e desenvolver as competências da equipe maximizando a melhor performance do grupo. 11 A definição de cada equipe seguira a seguinte ordem baseada na definição sugerida acima nos critérios de Planejamento Organizacional, Formação da Equipe, Desenvolvimento da Equipe no Projeto, Comunicação, Distribuição das Informações, Relatórios de Desempenho e Encerramento Administrativo. Ao Gestor de Ti como responsável, incidira em administrar todas as áreas, bem como a criação de cada equipe, suas designações e competências no que tange em identificar níveis de acidentes, riscos, vulnerabilidades, ameaças, análise de impacto, ações de contingência, testes do plano de contingência. ➢ EQUIPE DE SUPORTE DE AMBIENTE E INSTALAÇÃO o Esta responderá por toda a instalação física onde se encontram todosos sistemas de TI e garantir em tempo integral que o ambiente físico, bem como toda parte de infraestrutura tecnológica estejam conservadas. A equipe de suporte também fará as avaliações de danos prestando supervisão quando necessário do site da empresa ou quando houver necessidades de reparo, comprometimento do mesmo, danos, dados corrompidos. A equipe de suporte, através de seu líder permanecerá em alerta e estará a cargo em gerenciar e manter o PRD - Plano de Recuperação de Desastre. ➢ EQUIPE DE SUPORTE DE REDE o A equipe de suporte de rede tem por objetivo dar suporte tecnológico nos ambientes interno e externo da empresa. Compreendendo danos específicos em toda a estrutura de rede na matriz e em todas as filiais do grupo fornecendo conhecimento teórico e prático. Estará sob sua responsabilidade toda e qualquer tipo de conexão de dados e voz. Também é de sua responsabilidade conexões de internet e intranet, 12 assegurando essencialmente, que todos os serviços de ERP (Enterprise Resource Planning) sejam executados da melhor forma possível. ➢ EQUIPE DE SUPORTE DE COMUNICAÇÃO o A comunicação e primordial, tanto de indivíduo para indivíduo, quanto de grupos para grupos. Sem ela o caos está formado. Nesta etapa os eleitos para a área de comunicação responderão de pronto e imediato em caso de eventual desastre físico ou tecnológico (pane total por invasão ou outro meio adverso) por toda a comunicação com colaboradores, clientes, fornecedores e diretoria. Outra responsabilidade da área de comunicação é a implantação da cultura de responsabilidades no uso das tecnologias ofertadas pela empresa no ambiente corporativo. A equipe de comunicação estará à frente do gerenciamento e execução do PGC – Plano de Gerenciamento de Crise ➢ EQUIPE DE SEGURANÇA DA INFORMAÇÃO o Fomentada no ambiente do sigilo fornecerá as condições necessárias para os usuários e colaboradores da organização, a autenticação de senhas, logins, e e-mails de maneira que a segurança no ambiente principal e nas demais filiais seja resguardada. Estará responsável pelo uso de aplicações e dados sigilosos, evitando a propagação de incertezas as quais venham gerar um ambiente de insegurança o qual possa afetar a continuidade dos trabalhos. Toda a política de segurança estará contida em um compêndio a parte, fornecido pelo Gestor com os principais tópicos a serem seguidos, tais como: ISO 27001, ISO 27002 e ISO 17799, que tem como objetivo monitorar e controlar a segurança da TI por meio de análise e avaliações da área de TI. o “[5.2.4 Segurança A segurança da informação é sem dúvida uma das áreas de TI que merece atenção e padronização. Devido à sua importância, duas normas da Associação Brasileira de Normas Técnicas (ABNT) foram criadas para a área: a ISO 17799 e a ISO 27001, que culminou posteriormente na ISO 27002. Na sequência, analisaremos alguns pontos de destaque das normas ISO 27001 e ISO 27002. 5.2.4.1 ISO 27001 A ISO 27001 busca especificar os requisitos necessários para o gerenciamento da segurança da TI de uma forma sistêmica. Ela propõe um sistema de gestão da informação baseado no processo de melhoria contínua, alinhado às expectativas das diversas partes interessadas da empresa (ABNT, 2006). 5.2.4.2 ISO 27002 A ISO 207002, da mesma forma que a ISO 17799, tem como o objetivo de monitorar e controlar a segurança da TI por meio de análise e avaliação da área de TI. De acordo com ABNT (2005, p. 1), Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta norma provêm diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação. Dessa forma, ela pode ser entendida como um guia prático para a condução dos processos de segurança para organizações. (conforme definido no livro Gestão e Governança em TI – Editora Fael 2017 – Tatiana Souto Maior de Oliveira (pg93/94) 13 ➢ EQUIPE DE BACKUP Para este último, cria-se a equipe de backup, que estará à frente do mapeamento de dados perdido e avaliação das perdas estimando-se o tempo necessário para sua recuperação. Criar estratégia de recuperação desses dados, de acordo com o que foi estabelecido em consenso com a diretoria e o Gestor. Para tal será aplicado de acordo com o volume de dados e sua importância estratégica: Backup Completo, Backup Incremental, Backup Diferencial. Definir uma rotina de backup é crucial. 1. Definir uma rotina de backup de dados; diária, semanal ou quinzenal 2. Conhecer a diferença entre arquivo de dados compilados e de backup 3. Identificar quais são dados críticos que precisam de backup 4. Para empresas, implementar uma solução de backup 5. Escolher onde armazenar o seu backup...Faça 3 copias dos dados, 2 em mídias físicas separadas, uma outra fora do ambiente de trabalho. Em um Storage ou nuvem. 6. Selecione um método de backup. 2.4 Níveis de Incidentes ➢ Para os níveis de acidentes recomenda-se uma classificação quanto a sua origem, circunstancias e tempo. O mesmo deverá ser classificado da seguinte maneira: 1baixo-2médio-3alto. Acidentes não relacionados nessa tabela, que possam ocorrer posteriormente a essa classificação deverão ser inclusos na mesma e mapeados. Assim qualquer membro da equipe poderá demandar solução no tempo hábil. ➢ Níveis de Acidentes do Tipo 1B – Todos os incidentes, os quais podem ser controlados pela equipe de TI e que necessariamente não afetam os trabalhos no servidor; entre eles a troca ou reparos de periféricos, impressoras ➢ Níveis de Acidentes do Tipo 2M – Todos os incidentes, os quais impedem o funcionamento do equipamento ou seu sistema tornando o trabalho do Servidor inoperante. Máquinas com mau funcionamento, tela azul, travado, sistemas de arquivos corrompidos na MBR, sistemas offline, etc. ➢ Níveis de Acidentes do Tipo 3A – Todos os incidentes em hipótese acidental que impedem sua utilização dentro da organização, impedindo a continuidade dos trabalhos em todos os servidores. Conexões com a internet, queda de energia, servidores de rede de conexão interna. De acordo com sua classificação demanda sua urgência nos reparos e reestabelecimento da continuidade dos trabalhos. 14 2.5 Riscos O plano de contingência deve abranger os principais riscos e deve ser acionado de imediato quando ocorrer demandas que possam colocar em risco a continuidade dos serviços primários. A agilidade e tomada de decisão implicará em soluções rápidas para sanar tais eventos e suas possíveis causas. 1-Falta de energia elétrica – Ocasiona paralização imediata de todos os trabalhos desenvolvidos, podendo o mesmo ser de ordem interna ou externa. Quando ultrapassar períodos acima de 30 minutos, se houver geradores os mesmos devem ser acionados. De ordem interna, as possíveis causas podem ser curto-circuito, infiltrações por água ou incêndios. De ordem externa por vários motivos. 2-Rede de Internet – Rompimento de cabeamento por agentes externo ou interno como obras, incêndios entre outros. 3-Falha humana – Causado acidentalmente ou proposital pelo mal uso de equipamentos. 4-Data Center – Superaquecimento dos equipamentos ocasionado pela falta de climatização, sem equipamento de reserva. 5-Ataque Cibernético – Ocasionado por agente interno, com a intenção de prejudicar a organização por motivos diversos. Por agente externo, também chamados ataques virtuais, comprometendo os dados, configurações essenciais de software, de DoS ou de DDoS. 6-Hardwere – Falha que precise de reposição de peças ou reparo. Pode haver peça em estoque ou processo de compra através de fornecedores. 2.5.1 Identificação de Vulnerabilidades e Ameaças O Gestor de TI, assim como as equipes de TI, deverá identificar as vulnerabilidades e ameaças, classificando-as de acordo com seu grau de impacto dentro da organização.Sempre que uma nova ameaça for identificada, deverá a mesma constar do Quadro de Impacto. Isso torna as ações mais eficazes e eficientes num futuro cenário de confronto. 2.5.2 Análise de probabilidade e impacto O quadro abaixo lista algumas prioridades e o grau de impacto, prevendo a possibilidade de acontecer o evento. Esse tipo de tabela faz-se necessário para que a equipe de TI tome as devidas providencias no menor tempo de resposta possível, causando o menor dano possível no Planejamento Estratégico e Operacional da organização. 15 2.6 Ações de Contingência ❖ Desligamento dos Servidores 1. Fazer o acesso ao ambiente virtual e primeiramente desligar os servidores virtuais (serviços/web) 2. Desligar os servidores de autenticação 3. Desligar os servidores do Firewall 4. Desligar os servidores físicos, entenda-se como retirar totalmente da fonte de energia, bem como os cabos do storage. 5. Nota: para cada tipo de servidor existe um procedimento básico listado no Manual do fabricante. Na falta de conhecimento, consultar o manual. ❖ Realimentação dos Servidores(ligar) 1. Ligar os servidores físicos (ligar os cabos de alimentação de energia na rede elétrica, assim como os nobreaks de estabilização de energia. Verificação dos conectores do storage se os mesmos estão conectados 2. Se conectar ao ambiente virtual e iniciar os processos dos servidores virtuais 3. Ligar os servidores de autenticação 4. Ligar os servidores do firewall 5. Realizar testes de conexão com a internet, autenticação e todos os demais sistemas web. 6. Processo concluído ❖ Solucionando problemas com computadores do setor administrativo 1. Um chamado deverá ser aberto pelo colaborador através de e-mail ou outro tipo de comunicação, informando o Suporte de TI sobre o 16 problema. O suporte o listara na ordem de prioridades. Se o mesmo for de ordem presencial, um membro da equipe irá até o local. Uma vez solucionado o problema ou não, o colaborador será informado da resolução/conclusão do mesmo; ainda assim em casos em que os trabalhos não possam ser parados, disponibilizar equipamento provisório para que os trabalhos sejam desenvolvidos sem interrupções. ❖ Solucionando problemas de conexões com a internet e rede interna 2. Identificar onde está ocorrendo o problema 3. Fazer uma análise do servidor até o local do problema identificando sua causa; e promover a devida solução. 4. Se o problema for de ordem geral, proceder com análise e verificação do servidor DHCP com a rede interna. Verificar se os serviços de autenticação estão funcionando corretamente. 5. Uma vez que o problema foi identificado, sendo de ordem externa, comunicar a operadora através de seu suporte para manutenção e restabelecimento do serviço. 6. Caso haja “link de contingência” o mesmo deverá ser acionado para que os trabalhos não sejam interrompidos por longo período. ❖ Solucionando problemas com Energia elétrica, Equipamentos de Rede, Cabeamento de Rede de Ordem Física1, Acesso a Sistemas Internos. 1) Energia Elétrica – Queda parcial ou total de energia, informar o Setor Administrativo o qual tomara as devidas providências. Ocorrendo quedas de curta duração, como listado acima (períodos de no máximo 30 minutos), os servidores continuarão funcionando pois encontram-se ligados em um Nobreak no Centro de Dados. Caso os nobreaks sejam de baixa capacidade e a falta de energia se estendera por período superior a 30 minutos, proceder com o desligamento do Centro de Dados conforme instrução acima. 2) Equipamentos de rede – Identificar o local onde o equipamento está alocado, providenciar o conserto do mesmo, em hipótese contrária substituí-lo para que não haja interrupção dos trabalhos. 3) Cabeamento de Rede de OF1 – Identificar o ponto de rede onde está ocorrendo o problema, realizar sua manutenção ou ainda quando necessário refazer as conexões e as ponteiras. Testar a conexão (Switches) e os conectores (RJ45). Com conexões de fibra, fazer uma solução de reparo com cabeamento de rede UTP. Os cabos UTP (Par Trançado Não Blindado) é o cabo mais utilizado para criar redes de computadores baseados em fios, baixo custo, sua facilidade de instalação, flexibilidade em mudanças e alterações, e pela capacidade de suportar largura de banda LAN. Os cabos UTP são comumente usados em cabos telefônicos e de rede. Os tipos mais comuns de cabos UTP incluem Cat5e e Cat6. 4) Rede de Acesso a Sistemas Internos – na ocorrência de problemas com acesso aos Sistemas internos, verificar onde o mesmo está instalado e se está em execução. Verificar a conexão com a VM. Não estando em 17 execução, providenciar sua imediata inicialização no servidor e fazer os testes de conexão. 2.7 Testes do Plano de Contingência Os testes de contingência relacionados a área de TI é parte essencial dentro do escopo organizacional e deverá contar com todas as diretorias através de seus representantes. Devendo o gestor agendar reunião e formar as diretrizes básicas, devendo todos estarem de acordo. Os testes deverão ser realizados com cada setor envolvido e sequencialmente, isto é, um após o outro em intervalos de tempo pequenos. Recomenda-se que sejam semestrais ou quando houver necessidades de mudanças e correção de bugs. O propósito é a garantia de que todos os sistemas possam estar operando em níveis sincrônico, quanto a capacidade e disponibilidade antes que um desastre aconteça. Os testes mais simples são: I. Centro de Processamento – verificação da integridade dos dados de backup II. Nobreaks – verificação do tempo de eficiência e condições das baterias III. Rede - Verificação das redes e dispositivos a mesma conectados IV. Computadores e programas – desgastes de hardwares quanto ao tempo de uso e atualizações de programas essenciais 18 Quadro de Gerenciamento de Crise Empresas de Grande Porte Empresas de Médio e Pequeno Porte 19 2.8 Aprovação do Plano de Contingência O presente Plano de Projeto de Gestão em TI, com abrangência do Plano de contingência fica estabelecido a partir desta data conforme reunião deliberativa envolvendo todas as partes da organização pautadas em comum acordo. Criado e desenvolvido por Unifael, através do Departamento de TI, com Gestão de Jose Ap. Dias da Silva, especificamente para SUPERCAR com sede na cidade de Curitiba – PR. Curitiba, 13 de março de 2023 Homologado através da(o): ______________________________ Ceo – Presidente da SUPERCAR ________________________________ _________________________ ▪ Diretoria de Atendimento ao Cliente ▪ Diretoria Financeira ________________________________ _________________________ ▪ Diretoria de Vendas ▪ Diretoria Administrativa _________________________________ _________________________ ▪ Diretoria de Tecnologia da Informação. ▪ Diretoria de Marketing 20 3. Plano de Administração de Crises (PAC) O PAC é uma função necessária a qualquer sistema organizacional. Em algum momento, de forma geral, a maioria das empresas sofrerão algum tipo de crise, seja de ordem tecnológica ou de qualquer outro fator. Porém, se a mesma não estiver preparada para responder de forma adequada, ela pode causar sérios danos em toda a cadeia de negócios, quer seja nos seus resultados, nos stakeholders (que são as partes interessadas), e na sua imagem pública. ´´Uma crise pode ser definida como uma ameaça significativa para operações, podendo ter consequências negativas se não forem tratadas adequadamente. No gerenciamento, a ameaça é o dano potencial que uma crise pode causar a uma organização, seus stakeholders e a sua reputação. Uma crise pode criar trêsameaças relacionadas: `` • Segurança pública • Perda financeira • Perda de reputação (conforme Tobias Schroeder - https://blog.softexpert.com/plano-gerenciamento-de- crise/) Resultantes de crises graves em ambientes corporativos podem ocasionar ferimentos e até perda de vidas. As crises geram ambientes de caos, insatisfação emocional, físico e principalmente perdas financeiras, reduz drasticamente o comercial (compras e vendas), paralisa setores de operações de processos. Ações judiciais indenizáveis ou até mesmo pagamentos. Se não houver um processo de gerenciamento ou administração, as crises tendem a manchar a reputação de qualquer organização. O PAC (Plano de Administração de Crise ou Plano de Gerenciamento de Crise), consiste num documento que descreve os processos os quais uma organização lançará mão para responder há uma situação de crise, na qual afetaria negativamente sua imagem e seus negócios, sua capacidade de operação e perda estimada de lucratividade. O PAC visa justamente contrapor esses percalços e são usados para: Gerenciamentos de emergência, de crise, avaliações de danos, para evitar ou amenizar tais situações, fornecendo suporte para equipes de pessoal, recursos e comunicação. Um Pac eficaz deve contemplar três áreas de vital importância: Questão da segurança pública, de Ordem financeira e sua reputação. No quesito segurança pública, falhas intensificam mais danos. Uma vez que a segurança pública é solucionada, recaem para as preocupações financeiras e 21 reputação. Mas onde está a TI? Bom! A TI e a parte principal de todo esse escopo, o qual dará sinônimo e sentido na concepção do Projeto de Gestão e elaboração do PAC. O gestor de TI será responsável por criar e gerenciar, bem como explanar detalhadamente todo o PAC. Muitas decisões precisam ser tomadas num espaço curto de tempo; isso permitirá limitar danos a organização, aos stakeholders e o público de maneira geral. Um Pac bem definido permitirá ao gestor e sua equipe agir rapidamente caso ocorra um incidente ou acidente grave de qualquer natureza. Se pensarmos globalmente podemos listar uma série de eventos que podem ocorrer, tais como terremotos, inundações, pandemias, incêndios, assaltos, ataques cibernéticos, entre outros. Quando olhamos localmente, entendemos que as crises podem incluir: • Desastres naturais (vulcões, terremotos, furações) • De Ordem climática (inundações, secas, nevascas) • Pandêmicos (biológicos, transmissão de doenças) • Acidentais (incêndios, explosões, estruturas, desmoronamentos de edifícios) • Intencionais (relacionados ao ser humano, proposital, violência) • Tecnológico (interrupção de serviços tecnológicos em maior ou menor escala, ataques cibernéticos) Em todo esse processo, comunicação é a palavra-chave; a comunicação mantém as pessoas envolvidas no processo informadas, quer seja em uma ação local ou global. Quando se cria um PAC, tem que deixar claro para os demais colaboradores a quem se dirigir, pois é esta a pessoa ou o Gestor mais capacitado para tomar as decisões no ambiente no qual se está inserido. A falta de comunicação cria um ambiente de insegurança. Ela deve ser clara, objetiva e concisa. Algumas etapas na criação de um PAC é o que fara toda a diferença num processo real de crise. Planejar o gerenciamento do PAC inclui: preparação, desenvolvimento dos processos, testes e treinamento das equipes. A elaboração de um P A C eficaz deve privilegiar algumas dessas etapas, sendo que outras poderão ser debatidas e acrescentadas junto a comissão de gerenciamento de crise. Entre elas estão: Identificação de todos os membros da equipe que compõem o PAC Documentar os critérios que serão usados como parâmetros para determinar se houve ou não uma crise. Conceber sistemas e práticas de vigilância e monitoramento, que sejam capazes de detectar sinais de alerta, em tempo hábil numa possível situação de crise. Determinar um porta voz numa situação de crise Criar uma lista que contemple os principais contatos de emergência em situação de crise. 22 Determinar pessoa ou departamento que precise ser notificado de imediato e de que forma se dará essa comunicação. Estabelecer processo que fará a avaliação da eventual crise, sua gravidade e como ele afetara a organização, sua estrutura e os demais colaboradores. Criar um corredor de fuga e determinar locais seguros para os colaboradores se abrigarem numa emergência. Capacitar colaboradores nos departamentos para acompanhar visitantes para áreas seguras. Desenvolver estratégias de comunicação para postagens e respostas rápidas nas diversas mídias sociais. Fornecer processo para testes de eficácia do PAC, tanto na parte humana ou tecnológica, fomentando sua atualização constantemente. Várias são as ferramentas criadas para uma boa gestão de crise, pois elas ajudam empresas, organizações e corporações a melhor gerenciar seus negócios e os impactos que deles estão sujeitos. As normas padronizadas visam justamente fornecer e orientar organizações no sentido de planejar, estabelecer, operar, manter e melhorar suas capacidades de gerenciamento, neste sentido, tais normas podem ser aplicadas a qualquer tipo de empresa, independente do seu tamanho ou ramo de atuação. A BSI (British Standards Institution) e a ISO (International Organization for Standardization) contribuem significativamente para os processos do PAC; através 23 das normativas BS 11200 de 2014 e ISO 22320 de 2011, que dá respaldo quanto a segurança social; ISO 22301 de 2019 atualizada, que apresenta conceitos e princípios para a continuidade dos negócios. https://www.bsigroup.com/pt-BR/Sobre-o-BSI/ https://www.iso.org/home.html 3.1 Objetivos do PAC O principal objetivo do Plano de Administração de Crises é minimizar os danos à imagem e reputação ou financeiros causados por falhas ou erros cometidos pela Gestão do negócio ou outro fator preponderante. O impacto atinge tanto a fatores tangíveis (ativos, produtos, equipamentos, entre outros) e intangíveis (marca, respeito), de forma rápida. O PAC bem estruturado e organizado visa proporcionar o retorno à normalidade no menor tempo possível. Além de salvaguardar e minimizar os danos, o Pac precisa garantir a segurança à vida das pessoas; estimular esforços em conjunto com outras áreas para superação de uma crise; orientar colaboradores com informações precisa. No caso da TI, o impacto poderá ser de baixo, médio ou alto, de acordo com a complexidade do tema. No tocante aos objetivos do PAC, ao qual está inserido dentro da Gestão de TI, faz se necessário que esses princípios sejam a base para uma boa Governança em Gestão da Tecnologia da Informação. ❖ Efetividade ❖ Eficiência ❖ Confidencialidade ❖ Integridade ❖ ❖ Disponibilidade Conformidade Confiabilidade https://www.bsigroup.com/pt-BR/Sobre-o-BSI/ https://www.iso.org/home.html 24 3.2 Comitê de Crise Quando de uma situação de crise, o comitê deve ser instalado de imediato. Errado. O mesmo deverá ser instituído no momento da criação do Projeto de Gestão, com suas diretrizes conforme acordado em reunião com a diretoria. Na situação de crise, o responsável apenas deverá aciona-lo. Um comitê de crise deve ser integrado por membros de cada área de negócio da organização, e quando houver filiais criar comitês regionais. Para que cada membro saiba o que fazer, periodicamente deverão agendar reuniões, no intuito de analisar contramedidas de prevenção. A responsabilidade do comitê de crise deve ficar a cargo de um profissional da organização que tenha autonomia para tomar decisões, quer seja de ordem de comunicação, mensagens nas mídias sociais, estabelecer atribuições, metas e orientações aos comandados. O quadro do comitê de crise pode ser composto com os seguintes membros, não necessariamente. • Responsável direto pela organização(Presidente, Diretores) • Assessoria de imprensa (quando houver) • Diretores, Gestores • Gestores de TI Os eleitos para os comitês de crise devem sempre estar alertas para qualquer eventualidade, e prontos a prestar assessoria técnica ao responsável direto. O comitê de crise deve atuar ao máximo, no menor tempo possível para restabelecer a ordem e minimizar os danos causados. O comitê de crise deve sempre trabalhar na prevenção e nesse sentido algumas medidas podem ser adotadas e adaptadas conforme a situação de crise, conforme as especificidades de cada organização, segundo sua cultura e identidade. 1º DEFINIÇÃO DO PROBLEMA Ter visão clara do que está acontecendo. Compreender o problema na sua totalidade, e maneiras de como lidar com ele. 2º COLETAR INFORMAÇÕES Levantar informações relevantes, sobre o que é fato ou boato, contactar o responsável direto sobre o problema afim de compreender a real situação, e criar soluções do que melhor poderá ser feito. 3º COMUNICAÇÃO CENTRALIZADA Toda comunicação deve estar centralizada em um único local e deve partir da pessoa indicada para falar em nome da organização, com isso evitando informações desencontradas. De preferência por pessoa com conhecimento e capacitada para tal. Tanto os que fazem parte da organização, como o público externo precisam sentir que algo está sendo feito, criando um estado de segurança. 4º DEFINIR O TIPO DE MÍDIA Criar estratégia e avaliar qual o melhor e mais adequado tipo de mídia a ser usado para repassar informações. 25 5º COMUNICAÇÃO COM OS ENVOLVIDOS Falar diretamente com aqueles que de alguma forma foram afetados; procurando mostrar preocupação legitima, ouvindo suas queixas, esclarecendo duvidas, deixando claro que está sendo feito algo para atenuar a situação. 6º ROTINAS DE TRABALHO A organização deve continuar operando mesmo em um estado de Crise, isso demonstra normalidade, traz segurança e estabilidade. Deve se criar uma linha de frente com o público, os stakeholders preparada para responder a crise. 3.3 Comunicação após um desastre Imediatamente após uma situação de crise, o responsável direto, no caso o Gestor identificado no plano diretor, elaborado pelos comitês deverá comunicar o Ceo da organização, os Diretores, Gestores, Gerentes, emitir comunicado aos demais colaboradores. A comunicação deve ser direta e objetiva, clara e concisa para que todos possam estar a par da situação. Essa comunicação pode ser de ordem interna- interna, interna-externa, externa-externa, conforme a gravidade da situação ao qual pode ser de baixo grau, médio grau ou alto grau. -Interna-interna: Diz respeito somente a organização, está ligada aos colaboradores, departamentos, gerencia, diretoria. -Interna-externa: Nessa situação além de envolver a organização, também afeta os stakeholders, entre os quais está fornecedores, clientes, investidores entre outros interessados. -Externa-externa: De alta complexidade, pois envolve toda a sociedade interessada, stakeholders, fornecedores, clientes, colaboradores, a própria organização em si, como um todo, além de comprometer toda a segurança local e no entorno. Neste caso deve se comunicar também os órgãos de segurança tais como bombeiros, samu, policias civis e militares, prefeituras (sociedade civil) e agências reguladoras. Os impactos gerados por qualquer uma dessas situações, tem sua classificação de acordo com o grau de desastre. 3.3.1 Autoridades Quando o desastre for de natureza externa-externa no caso de terremotos, inundações, incêndios de alta proporção e que afetam diretamente a segurança dentro da organização como sua estrutura física (edifício e instalações) e o capital humano, deve-se comunicar de imediato as autoridades competentes, informando sua localização, natureza, magnitude e o impacto do desastre. 26 AUTORIDADES TELEFONES ÚTEIS DATA E HORA OCORRENCIA Policia Militar 190 Policia Civil 197 Policia Rodoviária 198 Defesa Civil 199 Bombeiros 193 Samu 192 *Policia rodoviária: no caso de empresas instaladas as margens de rodovias estaduais. 3.3.2 Funcionários a equipe de comunicação ou a assessoria de imprensa da organização deverá prover os meios de contato especifico para tal finalidade. No caso, os colaboradores, manter uma agenda de telefones e e-mails atualizada, informando os mesmos da ocorrência do desastre e inoperância dos sistemas essenciais da TI ou conforme a área de atuação da organização. Caso não haja comunicação via telefone ou internet, as informações pertinentes deverão ser por meio de publicações em mídias confiáveis ou ainda de outra forma estratégica definida no momento. Se a empresa manter serviços de 0800, o mesmo deverá ser disponibilizado para atender as demandas dos interessados em caso de desastre. 3.3.3 Unidades e Setores da Organização Dependendo do tamanho da empresa ou organização, a mesma é composta por unidades ou filiais e setores ou departamentos. Cada uma dessas unidades ou setores mantem um responsável direto. Estes devem ser informados da situação e as medidas que estão sendo tomadas para minimizar o impacto. Os colaboradores que fazem parte da organização no ambiente externo, também devem ser comunicados. Assessoria jurídica, Setor comercial e compras ou qualquer outro departamento que preste serviço externo. 3.3.4 Clientes Clientes e fornecedores devem ser informados do “status de crise” da organização. Eles (clientes) dependem de seus produtos e consequentemente os fornecedores que contribuem com o envio de matérias-primas para produção desses mesmos produtos. A comunicação nesse momento deve ser clara e objetiva, como em todos os departamentos envolvidos. Também devem ser informados das ações que estão sendo tomadas, seus impactos, consequências. Essa comunicação deve ser feita através do responsável Gestor pelo Gerenciamento do Plano de Crise ou assessoria de imprensa da organização ou ainda pelo Departamento de Vendas e Compras, o qual mantem cadastro desses elos de envolvimento com a organização. Isso contribui significativamente para a difusão das informações a terceiros. 27 3.4 Encerramento do PAC O encerramento do PAC se dará quando todas as etapas forem concluídas em níveis satisfatórios com o retorno dos sistemas essenciais e normalização do datacenter, reestabelecimento das comunicações, operacional, tático e estratégico. A equipe de comunicação entrara em contato com as partes interessadas descritas neste plano, informando do retorno as atividades com o status de “serviços essenciais”. Cada equipe ou departamento fará um relatório descritivo e detalhado do que foi perdido no desastre. As equipes imbuídas nesse processo deverão encaminhar o relatório para o Gestor responsável pelo acionamento do PAC. Tal documento deverá conter os cenários de inoperância, procedimentos planejados; definir atividades prioritárias para o restabelecimento do nível de operação dos serviços no ambiente de trabalho, estipulando um prazo razoável para a normalidade. O gestor ficara responsável pelo recebimento desses relatórios, o qual criará um documento único contendo todas as informações pertinentes e relevantes que serão encaminhados ao superior hierárquico. Documento servira como base para avaliar danos aos ativos e prover meios para sua recuperação. Como as demais equipes, o setor de TI ou equipe responsável estará a cargo de avaliar os ativos danificados, conexões do datacenter, meios de recuperação e o seu pronto restabelecimento, evitando desdobramentos para outros acidentes, estimar prazos toleráveis com capacidade total. A planilha abaixo lista uma série de serviços que se fazem necessários quando do encerramento do PAC e de sua recuperação e normalização das atividades do setor: PLANO DE EXCUÇÃO PÓS-CRISE – GESTOR – DIRETORIA DE TECNOLOGIADA INFORMAÇÃO Identificação dos Ativos Danificados A equipe de TI fará a identificação e listagem de todos os equipamentos e dos ativos danificados nos pós crise na ocorrência do desastre Identificação de Acessos interrompidos A equipe de TI identificara as interrupções de conexões e os acessos gerados após o acidente, se o mesmo está na rede local, rede wan ou com o provedor de serviços Identificação dos Serviços Descontinuados A equipe de TI fornecerá um mapeamento de todos os serviços que foram descontinuados contendo as informações de perda de ativos e de suas conexões. O mapeamento deve conter todos os componentes necessários o restabelecimento da aplicação, tais como: Data center, servidores, maquinas virtuais, storage, banco de dados, firewall, roteadores e switches. Elaboração de Cronograma de Recuperação A equipe de TI criara com base no item acima um cronograma para recuperação 28 das aplicações, priorizando os serviços mais essenciais de acordo com sua prioridade Substituição de Equipamentos Na iminente perda de equipamentos e ativos que não possam ser recuperados, o Gestor deverá ser informado para que se possa providenciar a compra de novos e as alternativas enquanto faz se a realização de tais aquisições. Reconfiguração dos Ativos e Equipamentos Os ativos e equipamentos recuperados deverão ser reconfigurados, e se os mesmos estão em pleno funcionamento quanto a sua capacidade Teste de Ambiente do Data Center O data center por sua vez deverá passar por testes de integridade antes de se fazer a recuperação dos backups, garantindo assim, que o processo de recovery transcorra dentro da normalidade Recuperação dos Dados de Backup A recuperação dos dados de backup das aplicações, e demais dados será feito através de storage, fitas ou de processos em servidores em nuvem Validação dos Dados A validação dos dados das aplicações poderá ser feita através de testes automatizados e monitorados pela equipe de TI Encerramento do PAC O encerramento do Pac não será feito 100% por todos os departamentos. Alguns mais rápidos e outros demandarão mais tempo. Ainda assim deverá ser emitido parecer por cada setor ou departamento ou ainda diretoria, através de parecer especifico informando data e horário do seu pronto restabelecimento, informando os equipamentos adquiridos, os que foram recuperados e qual procedimento foi adotado, bem como os adquiridos através de fornecedores. 4. Política de Backup A política de backup (pagina 13) é um documento que engloba as normas e regras para guiar todo o ciclo do gerenciamento de dados corporativos, de empresas ou organizações. Sua concepção baseia-se na coleta dos dados até o descarte. Além do capital humano, as informações são os ativos mais valiosos dentro de uma organização, então todo cuidado é pouco. 29 Com a implantação e regulamentação da Lei 13.709/2018 (LGPD) Lei Geral de Proteção de Dados), qualquer empresa pode e deve ter uma política de backup estruturada, além de garantir proteção e segurança dos ativos digitais. A LGPD também permite que empresas possam continuar operando de forma correta diante de cenários de crise de desastres. A criação de documentação das políticas de backup leva em consideração toda informação disponibilizada, tipos de dados, retenção de dados, descarte, locais de armazenamento. Diante disso, é possível realizar a gestão do planejamento das políticas de backup, que podem incluir quais tipos de backup, rotinas, sua frequência e onde os mesmos serão armazenados. As políticas de backup são extremamente necessárias, pois não estamos imunes a desastres. Como mostra a ilustração acima de um caso real, a sua falta gera perdas irreparáveis para as empresas. A elaboração de documento da política de backup deve conter no mínimo os seguintes tópicos abaixo: • definir quais dados serão copiados e armazenados pelo backup • com que frequência os backups serão executados; • tipos de tecnologias e equipamentos que serão utilizados no processo de backup; • definir a estratégia a ser empregada nas soluções de backup, podendo ser diferencial, incremental ou completo; • incrementar uma métrica para acompanhamento do processo, incluindo o RPO (Recovery Point Objective) e o RTO (Recovery Time Objective); • definir a equipe de TI ou empresa terceirizada que será responsável pelos dados de backup e sua restauração. *RPO- método que visa o quanto de perda de dados que uma empresa pode suportar sem que possa afetar suas operações. *RTO-método que quântica o tempo necessário para que a equipe de ti possa restabelecer os sistemas ou ambiente em casos de panes e interrupções. A Supercar, conforme sua estrutura de TI disponibilizará a compra de equipamentos adequado, que contará com um sistema Windows Server (versão atualizada), sistema de ar-condicionado do tipo CRAC (Computer Room Air Conditioning) in Row, independente; grupo motor-gerador estático automático. A Supercar também adotará 30 em seus servidores, a política de backup, para segurança de toda e qualquer informação pertinente de sua base de dados, visando o armazenamento dos dados sensíveis dos sistemas da empresa, cópias de segurança para que estejam disponíveis sempre que necessário. 4.1 Objetivos da política de Backup A Supercar estabelece como meta e objetivo principal de sua política de backup a segurança de seu banco de dados para os aplicativos mobile, site institucional, seu ERP que inclui: cadastro de clientes, funcionários, veículos (de uso corporativo), veículos seminovos e novos, gestão das vendas e serviços em todas as suas filiais. O principal objetivo é a segurança dos dados, quer seja localmente ou externo. O backup local, por sua facilidade quanto ao acesso é uma excelente solução, o que demanda um custo de manutenção menor. Esse tipo pode ser instalado em um servidor especifico para essa finalidade ou um HD no próprio servidor como slave. Outra forma seria como HDs externos sem a necessidade de rede de internet, dependendo apenas da capacidade de processamento do servidor. O fator negativo desse tipo de backup é na ocorrência de um desastre, quer seja por incêndio, enchentes, terremotos; nesse último caso sua recuperação pode ficar bastante comprometida. O backup em nuvem é uma das soluções mais otimistas no mundo de hoje, visando a eliminação de causas naturais e de terceiros, garantindo assim a integridade dos dados. As soluções em nuvem são armazenadas em outros data centers e contam com segurança cibernética, como proteção ativa, criptografia e retenções imutáveis do backup. Para finalizar, grandes corporações depositam sua confiança na segurança de seus dados, o que faz com que elas possam operar independentemente do tipo de ameaça. Os custos ainda são elevados, mas a tendencia é que num futuro próximo qualquer empresa, quer seja pequena ou média possa usufruir regularmente dessa tecnologia. Sistema de Refrigeração 31 4.2 Levantamento do ambiente e dos sistemas O levantamento de requisitos de ambiente e sistemas, no pós-crise consiste num minucioso trabalho de identificar máquinas, equipamentos e sistemas empregados para sua funcionalidade. Aqui vamos identificar equipamentos e sistemas instalados no ambiente de TI, sem deixar de apreciar a organização como um todo, como demonstrado nas páginas 8 e 9 deste documento (1.3 - Infraestrutura de TI da organização). O objetivo é conhecer o que havia e se perdeu, o que foi recuperado e novos adquiridos. Faz se necessário ter copias desses documentos em local acessível e seguro para consultas posteriores. No pós-crise, é o momento ideal de fazer avaliações do que foi bem executado, procedimentos que ocorreram de forma inadequada e o que poderá ser feito de forma efetiva numa próxima vez. Determinar quais indicadores que mensuraram o desempenho da operação.O De-briefing é uma forma de rever o briefing inicial e avaliar, aprimorar e corrigir aspectos antes da crise. Certificar-se os interesses da organização, inicialmente estabelecidos estão de acordo com a realidade atual. O básico do Gerenciamento de Crise se resume nesses 4 procedimentos: Prevenção: Saber que ninguém está imune há um processo de crise; Preparação: nesse sentido, ter tudo mapeado, processos e procedimentos definidos, equipe treinada e constantemente atualizada; Resposta: Ser capaz de agir com rapidez de forma efetiva e segura nas situações de crise; Recuperação: Assegurar o restabelecimento imediato das atividades no menor prazo possível. 32 Baseado nesse contexto, a Supercar, através da equipe de TI, fará implementação de backup dos seguintes arquivos: Servidor de Arquivo, Banco de Dados do Sistema, Correio Eletrônico, Web Service, Mobile Service, Diretório do ERP, Banco de dados SQL Server. A Supercar fará o emprego de máquinas e equipamentos adquiridos de terceiros, com sistema operacional robusto baseado no Windows Server, software especifico de backup para mídias local e em nuvem; sendo localmente em HDs ou em Fitas e Contratação de Serviço de Nuvem. 4.3 Tipos de backup Conforme já elencamos acima, as rotinas de backup são de importância fundamental para qualquer Gestor de TI, visto que, na hipótese de perdas de dados, os prejuízos são incalculáveis sem mencionar os transtornos decorridos de uma ação negligenciada. Os tipos de backup podem ser Completos, Incrementais e Diferenciais. ▪ Completo: Backup de periodicidade mensal ou semanal. Indicado para os dados e sistemas que não apresentam urgência ou importância, além de pouca frequência de atualizações. ▪ Incremental: Processo no qual novos arquivos são indexados a um backup completo. Indicados para dados que não se modificam com o tempo, onde são acrescidas novas informações. ▪ Diferencial: Sistema de backup voltado para dados e sistemas mais críticos do ponto de vista estratégico da organização e tomadas de decisões, que constantemente passam por atualizações ou modificações. Esse tipo de backup tem sua frequência diária. A Supercar, pôr meio da diretoria de TI, prevendo a segurança e manutenção de todos os seus dados mais sensíveis optou por um backup completo, incremental e diferencial conforme descritos acima neste item, o que contribuirá significativamente em relação a custos financeiros. 4.4 Procedimentos de backup Os procedimentos adotados para as rotinas de backup são os mais variados. Um dos mais conhecidos e o backup 3-2-1ª, estratégia mais comum, usada para manter dados seguros em qualquer tipo de crise. A FGV, em seu manual “Políticas de Backup”, de uso interno, lista vasta amplitude dos serviços e procedimentos dos serviços de backup, os quais estão classificados e inclusos da seguinte forma: Sistema Tape Library de Fitas para um cartucho e 24 cartuchos. Ainda é o mais utilizado pela maioria das organizações 33 ✓ File Server (Servidor de Arquivo) ✓ Correio Eletrônico ✓ Web ✓ Active Directory (Diretório Ativo) ✓ Disaster Recovery – Windows – (recuperação de desastre para Windows) ✓ Disaster Recovery – Linux – (recuperação de desastre para Linux) ✓ Máquinas Virtuais – Sistema Windows e Linux ✓ Banco de Dados ✓ Banco de Dados SQL Server (Servidor de SQL) ✓ Banco de Dados do MySQL (Structured Query Language) Cada um dos tópicos acima tem suas particularidades e características quanto a forma de backup. Por sugestão do Gestor de TI, com aval do Ceo da organização, a Supercar através de sua equipe de TI executará Backup completo de todos os seus dados num primeiro momento, seguido de um backup incremental e diferencial, com preferência para o uso de fitas. Quanto ao monitoramento em relação a execução dos processos de backup, estes também ficarão a cargo da equipe de TI pelo meio de software para tal finalidade. 4.5 Periodicidade e tempo de retenção dos backups O tempo para realização de backup demandará da política adotada por cada empresa ou organização. Normalmente os backups são executados em períodos mensais, semanais, diários, e os não prioritários quando demandar necessidade. Com base no item 4 – Politicas de Backup – sub item 4.4 – Procedimentos de Backup deste manual Arquivos RETENÇÃO TIPO FREQUÊNCIA PERIODO ATEMPORAL File Server 2 meses Full Quinzenal +incremental E-mail 2 meses Full Diário 1 x dia Maquinas virtuais Windows ou Linux 2 meses Full Mensal Sem data definida Active Directory 2 meses Full Diário 2 x dia Banco de Dados 2 meses Full Diário 2 x dia SQL Server 2 meses Full Diário 1 x dia 34 Arquivos RETENÇÃO TIPO FREQUENCIA PERIODO ATEMPORAL MySQL 2 meses Full Diário 1 x dia Servidores WEB 2 meses Full Quinzenal 3 x Week +Incremental Disaster Recovery – Win e Linux 2 meses Full Mensal 1 x Week Vale ressaltar que isso depende de cada organização, sua necessidade e capacidade tecnológica. Para os backups de Banco de Dados, os princípios são os mesmos, visto que os Bancos de Dados podem ser subdivididos em Dados de Produção, Homologação e Desenvolvimento. Esses arquivos geram backups do tipo Full, de Archive, de Export, Dump e Log trans. A tabela acima é representativa e não necessariamente precisa ser feito desta maneira, cabendo ao Gestor de TI quantificar a necessidade de acordo com a demanda da organização. Porém, faz se obrigatoriamente em qualquer tipo de empresa que seja feito ao menos um “Completo, Incremental e Diferencial” e do tipo 3-2-1 para segurança dos dados. Como via de regra básica, backups são feitos do tipo completo, incremental e diferencial, no modelo 3-2-1, sendo em servidor local, em HDs e/ou fitas, e paralelamente em nuvem. Assim ficarão disponibilizados os backups da Supercar: Arquivos RETENÇÃO TIPO/INICIAL FREQUÊNCIA PERIODO ATEMPORAL Servidores Arquivos 2 meses Full Quinzenal 1 x dia +Full 19:00 h (Quarta-feira) E-mail 2 meses Full Diário 1 x dia + Diferencial 15:00 h (segunda-Sexta) B. Dados do ERP 2 meses Full Diário 2 x dia + Diferencial 12:00/19:00 h (segunda-Sexta) Active Directory 2 meses Full Diário 2 x dia + Incremental 09:00/13:00 h (segunda-Sexta) B. de Dados (system) 2 meses Full Diário 2 x dia + Incremental 10:00/17:00 h (segunda-Sexta) SQL Server 2 meses Full Diário 1 x dia +Diferencial 08:00 h (segunda-Sexta) MySQL 2 meses Full Diário 1 x dia+ Diferencial 16:00 h (segunda-Sexta) ServidorWEB (Institucional) 2 meses Full Semanal 3 x Week +Incremental 18:00 h (Seg\Qua\Sex) Mobile Service 2 meses Full Semanal 2 x Week +Incremental 19:30 h (Terça e Quinta) 35 4.6 Recuperação dos dados Para a restauração de Dados de Backup deve-se optar por ferramentas ou softwares que ofereçam maior segurança, confiabilidade, no gerenciamento e monitoração, permitindo a criação de relatórios e logs, além de testes para extração de dados. O ideal é que se faça uma pesquisa para conhecer o que melhor atende suas necessidades, independentemente do tipo de backups, quer seja em nuvem, fitas, Hds ou mesmo servidores locais. A restauração dos backups da Supercar ficará sob responsabilidade do Gestor de Backup e pelo Administrador de rede. O administrador de backup será responsável pela configuração, execução, monitoramento, validação e testes dos procedimentos de restauração. A solicitação para recuperação de qualquer arquivo por parte dos usuários da Supercar deve contatar o serviço de helpdesk por e-mail corporativo ao Setor de TI, ratificando a solicitação, onde deverão constar Setor/Diretoria, data, tipo de arquivo ou dados, motivo e descritivo do motivo. Também constara o nome do solicitante e responsável imediato. Em contrapartida, o administrador debackup manterá registro do arquivo solicitado, juntamente com as informações do solicitante, data da versão restaurada, data e hora e autorização do solicitante. 4.7 Testes de recuperação de dados Em qualquer política de backup deve ser abordado testes para restauração dos dados alocados nos servidores. Tal procedimento é essencial, mesmo que se tenha uma rotina de backups; uma vez que falhas podem ocorrer no processo. Os testes são necessários, uma vez que discorrerão sobre a disponibilidade e o tempo de execução aproximado para restauração dos dados armazenados. A responsabilidade dos testes referente a recuperação dos backups na Supercar é de responsabilidade do administrador/gestor de backup e administrador de rede. A periodicidade de testes para compactação e restauração de dados de backups será de no mínimo 90 dias e máximo de 120 dias; ou ainda em casos excepcionais, em período inferior ao mínimo, respeitando todos os procedimentos necessários na sua execução. 5. Ferramenta/Software de Backup O mercado tecnológico oferece hoje uma gama de produtos de backup com as mais variadas soluções. O melhor software ou ferramenta ´e aquele que atende a 36 organização no momento e de acordo com suas necessidades. Conforme pesquisa baseada em dados da Capterra (www.capterra.com.br), algumas das soluções mais indicadas são o ESET Endpoint Security, Oracle Database, MSP360, Cobian, entre tantos, sem mencionar aqui o Azure, AWS, Google Cloud, os quais oferecem diversas funcionalidades. Uma boa solução de backup demanda principalmente: Registro do backup, Agendamento de backup, Compressão, Backup contínuo, Backup incremental, opções do servidor local e Backup em nuvem. Uma ferramenta de backup precisa ter uma tela intuitiva e de fácil usabilidade e disponibilidade; e uma oferta de preço aceitável pelo uso das capacidades oferecidas. 5.1 Características do software/ferramenta de Backup Como demonstração, optamos pelo MSP360, ainda que seja uma ferramenta paga com todas as funcionalidades disponíveis em sua versão principal. A companhia também fornece uma versão freeware de uso não-comercial, o Cloudberry Lab sendo que o software conta com todas funcionalidades básicas. http://www.capterra.com.br/ 37 As principais características do MSP360, e constante do tópico 4.4 – Procedimentos de Backup - está de acordo com as demandas da organização. A figura acima mostra um retrato de todas as funcionalidades disponíveis e usuais. No caso de pequenas empresas temos o Cobian Backup 11 Gravity, software open- surce (gratuito) de fácil manuseio, simples e prático e não requer muito conhecimento. Ele contempla tudo o que uma ferramenta robusta de grande porte para grandes 38 corporações, mas voltado para o usuário não-comercial, o que não implica na utilização por empresas menores. O Cobian conta com o Backup Completo, Diferencial e Incremental. 39 5.2 Pontos positivos e negativos do software/ferramenta de Backup Positivos: I. O MSP360 Managed Backup é uma solução de backup fácil de usar. II. com gerenciamento, supervisão e geração de relatórios centralizados. III. A plataforma é integrada nativamente ao AWS, Wasabi, Backblaze B2 e Microsoft Azure para permitir proteção de dados para Windows, Linux, macOS, VMware, Hyper-V, Microsoft 365 e Google Workspace. IV. Suporte sempre disponível, para ajudar em questões de configuração. V. Restauração de Dados descomplicada. Negativos: I. A principal questão é a falta de conhecimento técnico. II. A integração com outras plataformas fora da área de cobertura é um tanto complicada. III. A proteção interna contra ransoware foi desativada, criando a necessidade de outra solução nos servidores. IV. Preço é outro fator decisivo para aquisição comparado a outras ferramentas menos robustas. Nenhum software é totalmente bom ou ruim, todos com suas vantagens e limitações. O que se deve analisar é se o mesmo atende a suas necessidades. Antes de comprar qualquer tipo de software de backup ou programa de gerenciamento é pesquisar muito, e ver aquele que mais se encaixa no perfil da empresa, tanto na questão tecnológica que inclui as funcionalidades primárias, neste caso os backups/restauração e as condições de uso no quesito preço. Não dá simplesmente para execrar um produto, baseando-se na opinião de alguns. O gestor de TI é a pessoas mais adequada para formalizar opinião e designar a melhor solução ou ferramenta de software que irá atender de forma satisfatória os interesses da organização, sempre buscando soluções inteligentes para o dia-a-dia, com um olhar no futuro no intuito de prevenir consequências danosas a organização; a saber: “as crises” e se essas ferramentas vão atender de forma ideal, evitando o máximo de prejuízo no menor espaço de tempo. 5.3 Principais telas e funcionalidades do software/ferramenta de Backup Na sua tela de apresentação, como mostra as figuras 1,2 e 3 podemos encontrar 3 interfaces que são Storage Accounts, Home e Ferramentas propriamente dita. Ainda na tela inicial o programa conta com Pagina Inicial, Planos de Backup, Planos de Restauração, Armazenamento de Backup e Histórico. 40 A figura 4, 5 e 6 temos a aba restauração de backup, armazenamento e criação de pen-drive butável. Como restaurar os backups? Bom o software conta com um assistente de restauração, importante pra ajudar na configuração adequada da ferramenta e fazer a transição com segurança dos dados armazenados. Permite também a criação através de pen-drive butável para USB drive ou formato ISO. 41 AGRADECIMENTOS: Fael – Centro Universitário Ao corpo docente, através dos professores; principalmente aos mestres da área de TI; Aos mestres que ministraram as aulas por vídeo e escritores que forneceram seu conhecimento através de livros digitais, bem como a todos aqueles que de uma forma ou outra contribuíram para a realização desse projeto de vida. Agradecimento também a todos os sites aqui listados que contribuíram com informações preciosas e que abriram caminhos para que ideias fossem repassadas nesse projeto. Agradecimento particular e especial ao Senhor Deus que me permitiu chegar até este momento. Muito Obrigado a Todos. Referências: As referências usadas para criação desse trabalho foram extraídas dos seguintes endereços eletrônicos abaixo. As informações de pesquisa, bem como seu conteúdo total ou parcial possuem direitos autorais e são de responsabilidades de seus autores e idealizadores, ficando aqui como base de entendimento e aprendizado, não podendo os mesmos servirem para uso comercial ou distribuição, ainda que gratuito. Gestão de Projetos – Carlos Alberto Montagner - Editora Fael 2016 Gestão e Governança em TI - Tatiana Souto Maior de Oliveira - Editora Fael 2017 https://fael.edu.br https://learn.microsoft.com/pt-br/troubleshoot/windows-server/virtualization/bios-update-for-hyper-v https://backupgarantido.com.br/blog/plano-de-contingencia-de-ti-entenda-o-que-e-e-como- elaborar/#:~:text=Afinal%2C%20o%20que%20é%20o,desastrosos%20que%20atinjam%20a%20empresa. https://blog.idwall.co/plano-de-contingencia-de-ti/ https://www.dell.com/support/kbdoc/pt-br/000113135/como-desligar-e-iniciar-o-sistema-de-armazenamento-dell-série- compellent-por-meio-do-dell-storage-manager https://www.infonova.com.br/seguranca/plano-de-contingencia-de-ti/ https://brasilcloud.com.br/politica-de-backup/ https://www.microserviceit.com.br/politica-de-backup/ https://www.controle.net/faq/7-melhores-praticas-de-backup https://bdone.com.br/gerenciamento-de-crise-como-fazer-passo-a-passo/ https://www.msp360.com/managed- backup/?utm_campaign=gartner_2022&utm_medium=cpc&utm_source=review_platforms https://www.cobiansoft.com/cobianbackup.html https://www.capterra.com.br/directory/31076/backup/software*Todo o trabalho será redigido somente em língua portuguesa, cabendo a interessados a sua tradução para o inglês, mantendo a fidelidade do texto como simples objeto de pesquisa e orientação. https://fael.edu.br/ https://learn.microsoft.com/pt-br/troubleshoot/windows-server/virtualization/bios-update-for-hyper-v https://backupgarantido.com.br/blog/plano-de-contingencia-de-ti-entenda-o-que-e-e-como-elaborar/#:~:text=Afinal%2C%20o%20que%20é%20o,desastrosos%20que%20atinjam%20a%20empresa https://backupgarantido.com.br/blog/plano-de-contingencia-de-ti-entenda-o-que-e-e-como-elaborar/#:~:text=Afinal%2C%20o%20que%20é%20o,desastrosos%20que%20atinjam%20a%20empresa https://blog.idwall.co/plano-de-contingencia-de-ti/ https://www.dell.com/support/kbdoc/pt-br/000113135/como-desligar-e-iniciar-o-sistema-de-armazenamento-dell-série-compellent-por-meio-do-dell-storage-manager https://www.dell.com/support/kbdoc/pt-br/000113135/como-desligar-e-iniciar-o-sistema-de-armazenamento-dell-série-compellent-por-meio-do-dell-storage-manager https://www.infonova.com.br/seguranca/plano-de-contingencia-de-ti/ https://brasilcloud.com.br/politica-de-backup/ https://www.microserviceit.com.br/politica-de-backup/ https://www.controle.net/faq/7-melhores-praticas-de-backup https://bdone.com.br/gerenciamento-de-crise-como-fazer-passo-a-passo/
Compartilhar