A maior rede de estudos do Brasil

Grátis
62 pág.
Seguranca em tecnologia da inf   02

Pré-visualização | Página 1 de 17

UNIDADE 2
PLANOS E POLÍTICA DA INFORMAÇÃO
ObjETIvOS DE APRENDIzAgEM
A partir do estudo desta unidade, será possível:
	conhecer os planos de segurança mais importantes e utilizados 
em um ambiente corporativo, os objetivos e elementos que devem 
estar presentes em cada um destes;
	entender a importância da formalização dos procedimentos em 
documentos que regulamentam o dia a dia da segurança dentro 
das corporações, assim como os planos utilizados quando da 
ocorrência de incidentes relacionados à quebra de segurança de 
tais controles;
	compreender a importância da política da informação, os 
elementos que devem constar de uma política de segurança, e os 
procedimentos para criação, implementação e acompanhamento 
de políticas de segurança.
TÓPICO 1 – PLANO DE CONTINUIDADE 
OPERACIONAL
TÓPICO 2 – PLANO DE CONTINgÊNCIA
TÓPICO 3 – POLÍTICA DE SEgURANÇA
PLANO DE ESTUDOS
Esta unidade está dividida em três tópicos, sendo que ao 
final de cada um deles, você encontrará atividades que auxiliarão na 
apropriação dos conhecimentos.
PLANO DE CONTINUIDADE OPERACIONAL
1 INTRODUÇÃO
TÓPICO 1
As organizações, quando criadas, têm a expectativa de permanecer desenvolvendo 
suas atividades durante muitos anos. Ou melhor, de fazê-lo indefinidamente. Os acionistas 
investem recursos com o objetivo de que a organização permaneça ativa e possibilite o retorno 
desse investimento. 
Mesmo as entidades governamentais e as organizações sem fins lucrativos desejam 
permanecer no mercado a que se propuseram. Esse tipo de organização também oferece 
retorno aos seus acionistas, mas de uma forma diferente: retribuição social aos cidadãos, 
serviços prestados à população, melhoria de vida e ações que fortalecem a cidadania. 
Em resumo, toda organização deseja continuar “viva”, atuar no segmento escolhido, 
alcançar seus objetivos e cumprir sua missão. 
Como viver significa enfrentar riscos, para as organizações isso também é válido. Uma 
organização não deve deixar de existir porque uma situação de exceção aconteceu no seu 
dia a dia.
FONTE: Fontes (2006, p. 59)
Garantir a continuidade de processos e informações vitais à sobrevivência da 
empresa, no menor espaço de tempo possível, com o objetivo de minimizar 
os impactos do desastre. Com este propósito e formado pelas etapas de 
análise de impacto no negócio, estratégias de contingência e três planos de 
contingência propriamente ditos, o Plano de Continuidade de Negócios deve 
ser elaborado com o claro objetivo de contingenciar situações e incidentes de 
segurança que não puderem ser evitados. Deve ser eficaz como o paraquedas 
reserva o é em momento de falha do principal, garantindo, apesar do susto, a 
vida do paraquedista em queda. (SÊMOLA, 2003, p. 98).
UNIDADE 2
UNIDADE 2TÓPICO 1112
Segundo o DRI – Disaster Recovery Institute, “de cada cinco empresas que possuem 
interrupção nas suas operações por uma semana, duas fecham as portas em menos de três 
anos”. (SÊMOLA, 2003, p. 99).
FIGURA 18 – PAPÉIS DO PLANO DE CONTINGÊNCIA, PLANO DE RETORNO E PLANO DE 
RECUPERAÇÃO
FONTE: Sêmola (2003, p. 99)
Assim, o Plano de Continuidade tem, por sua natureza, um alto nível de complexidade, 
podendo assumir diversas formas em função do objeto a ser contingenciado e a abrangência de 
sua atuação. Diferente do que muitos imaginam, uma empresa não possuirá um plano único, 
mas diversos planos integrados e focados em diferentes perímetros, sejam físicos, tecnológicos 
ou humanos e, ainda, preocupada com múltiplas ameaças potenciais. Esta segmentação é 
importante; afinal, uma empresa tem processos cuja tolerância à falha é variável, os impactos 
idem, assim como o nível de segurança necessário à natureza das informações manipuladas 
(SÊMOLA, 2003).
No caso da informação, cada organização deve estar preparada para enfrentar 
situações de contingência e de desastre que tornem indisponíveis recursos 
que possibilitam seu uso. Anteriormente, falamos da criação e manutenção 
de cópias de segurança, que é um procedimento básico para a organização 
enfrentar situações de contingência. É básico, mas não é suficiente porque, 
para que uma organização se recupere de uma situação de contingência e 
continue funcionando de forma adequada, também são necessários outros 
recursos: humanos, de tecnologia, de conhecimento dos processos, de am-
biente físico e de infraestrutura. (FONTES, 2006, p. 59).
De acordo com Sêmola (2003, p. 104), “o Plano de Continuidade Operacional (PCO) 
tem como propósito definir os procedimentos para contingenciamento dos ativos que suportam 
cada um dos processos de negócio, tendo como objetivo reduzir o tempo de indisponibilidade 
e, consequentemente, os potenciais impactos para o negócio”. Orientar as ações diante da 
queda de uma conexão à internet é um dos exemplos que podem ser citados para demonstrar 
UNIDADE 2 TÓPICO 1 113
os desafios organizados pelo plano.
Já conforme Imoniana (2011, p. 79), “possui o objetivo de assegurar que existem planos 
para diminuir os impactos de desastres que resultam na interrupção das operações normais 
da organização devido à falta de sistemas de informações”.
2 PLANEjAMENTO DA CONTINUIDADE DO NEgÓCIO
A perda de acesso às informações ou à infraestrutura de tecnologia da informação 
representa um risco concreto e uma ameaça aos negócios. Todo gestor e membro da 
administração da organização se perguntam: o que a minha empresa faz para se proteger 
de ações ou fenômenos naturais ou provocados pela mão do homem? Qual a capacidade 
de continuar a operar ou se recuperar no caso de um evento de maior ou menor monta que 
impacte os negócios da empresa? 
É função da administração em primeira instância e do Security Officer por consequência 
dar respostas a essas perguntas. Planos de recuperação de desastres e de continuidade de 
negócios devem existir para tranquilizar os gestores a respeito desses riscos. A boa governança 
corporativa, de T.I. e de Segurança da Informação devem zelar para que a organização dedique 
recursos e tempo no estudo e na preparação desses planos. 
FONTE: Ferreira e Araújo (2008, p. 192)
As políticas de continuidade dos negócios, segundo Imoniana (2011, p. 79) “proveem 
alternativas para o processamento de transações econômicas e financeiras das organizações 
em casos de falhas graves de sistemas ou desastres”. Esse plano deve ser monitorado e 
testado periodicamente para garantir sua prontidão para operar.
Também conhecidas por BCP (Business Continuity Plan) incluem, de acordo com 
Imoniana (2011, p. 79), procedimentos como:
•	 A gerência deve identificar suas informações críticas, níveis de serviços necessários e o 
maior tempo que poderia ficar sem o sistema.
•	 A gerência deve assinalar prioridades aos sistemas de informações para que possa determinar 
as necessidades de backup e sua periodicidade.
•	 O BCP deve ser desenvolvido e documentado e ter as manutenções atualizadas para garantir 
as operações pós-desastres.
Seja qual for o objeto da contingência – uma aplicação, um processo de negócio, um 
ambiente físico e, até mesmo, uma equipe de funcionários –, a empresa deverá selecionar a 
UNIDADE 2TÓPICO 1114
estratégia que melhor conduza o objeto a operar sob nível de risco controlado. Apesar de uma 
base conceitual comum, muitas são as variantes de metodologia para a elaboração de um plano 
de continuidade; portanto, você pode se deparar com outras nomenclaturas ou novos grupamentos 
de estratégia. De qualquer forma, as soluções de continuidade vão sendo personalizadas de 
acordo com o contexto, pelas características de um segmento de mercado ou fato específico, 
como ocorreu no ano de 1999 por conta dos computadores com dificuldades de gerenciar a 
representação de data, apelidado de “Bug do Ano 2002”. (SÊMOLA, 2003, p. 99).
De acordo com Ferreira e Araújo (2008,

Crie agora seu perfil grátis para visualizar sem restrições.