Atividade AV2

Prévia do material em texto

FACULDADE ESTÁCIO DE SERGIPE
Marcos Vinícius Santos Junior
ADMINISTRAÇÃO DE SOFTWARE PROPRIETÁRIO
ARACAJU
2014
Introdução
Sabe-se que “risco de segurança da informação é a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização”, segundo o Projeto de Norma MERCOSUL 28:00-ISO/IEC 27005:2008.
Conforme a norma NBR ISO/IEC 27005:2008, Guia PMBOK 4, ITILV3, Projeto de Norma MERCOSUL e os sites especializados afirmam que a gerência de riscos é o processo de planejar, organizar, dirigir e controlar os recursos humanos e materiais de uma organização, no sentido de minimizar os efeitos dos riscos sobre essa organização ao mínimo possível.
A área de TI hoje em dia não é mais apenas um departamento técnico, ou provedor de tecnologia, a TI desempenha com grande importância um papel fundamental para o negócio das empresas, buscando otimizar os seus processos internos, reduzindo custos e riscos inerentes à atividade em si, da empresa.
Deste modo, a área de TI, para satisfazer uma necessidade crescente dos mercados de negócio e seus clientes, acaba com a tradicional ideia que é apenas tecnologia e passa a fornecer respostas apoiadas nas necessidades dos clientes de forma a apresentar um serviço de qualidade tolerante a falhas e seguro.
ITIL
ITIL (Information Technology Infrastructure Library), segundo o site oficial, é a abordagem mais amplamente aceita para gerenciamento de serviços de TI no mundo. O ITIL fornece um conjunto coeso de melhores práticas, retiradas dos setores público e privado a nível internacional.
A ITIL na sua primeira versão 1.0 que remonta ao ano de 1991 é composta por quarenta livros, devido a este fato o termo “biblioteca” foi adotado para nomear este modelo.
A versão 2.0, lançada em 2000, foi reformulada reunindo sete melhores práticas, que são:
Entrega de Serviço;
Gerenciamento da Infra-Estrutura de TI e de Comunicação;
Gerenciamento da Segurança;
Gerenciamento de Aplicações;
Gerenciamento dos Ativos de Software;
Perspectiva do Negócio;
Planejamento e Implementação e Suporte ao Serviço.
Em 2007 foi finalmente lançada a versão 3.0 que reune o melhor do ITIL em cinco livros nos quais apresenta o conceito de gerenciamento de ciclo de vida do serviço, composto pela:
Estratégia de Serviço;
Desenho de Serviço;
Transição de Serviço
Operação de Serviço
Melhoria Contínua nos Serviços.
A ITIL é sem dúvida muito mais que uma série de livros apresentando as melhores práticas em gerência de recursos de TI. Podemos considerar a ITIL como uma “framework”, uma ferramenta que visa ajudar a atingir os objetivos das empresas que por serem amplamente usados no mercado empresarial, foram testados e comprovados que resultam na melhoria dos serviços e processos a serem usados, poupando a perda de tempo e recursos das empresas.
Riscos, ameaças e vulnerabilidade
Risco, entende-se que é um evento ou condição que pode acontecer, que irá gerar um efeito, proveniente de uma determinada ação que pode ter um impacto negativo ou positivo na organização ou empresa.
Já a ameaça é um ambiente ou situação propício para a fuga ou abertura de uma potencial brecha a nível de segurança que pode ser protagonizada por uma pessoa ou ferramenta, que pretende tirar vantagem de uma vulnerabilidade que foi descoberta ou analisada.
A vulnerabilidade em si é em grande parte uma debilidade, fraqueza ou defeito de um sistema de proteção, de uma rede, computador ou software, mas também pode ser uma falha de um design lógico, ou erro de implementação.
Quando uma vulnerabilidade existe em um sistema, uma ameaça pode tomar conta deste fato e tentar tirar vantagem, explorando a falha descoberta executando ferramentas vulgarmente chamadas de “Attack tools”, para tal é necessário tomar as contramedidas necessárias para minimizar uma possível situação de desastre que possa vir a se verificar, proveniente desta ação ilícita.
RA – Risk Analysis
	A avaliação de riscos identifica as probabilidades de um risco poder vir a ocorrer, avalia esse risco e o impacto para a organização ou empresa, no caso de um determinado sistema ou serviço deixar de funcionar. Claro que sem esta prévia analise é impossível primeiro, conhecer quais são os riscos com que a organização tem que lidar; segundo, quais as alterações e tomadas de decisão que a política de segurança da empresa tem que endereçar para cumprir com as necessidades da alta administração da empresa.
BIA – Business Impact Analysis
Análise de impacto nos negócios é o processo de realizar avaliações de risco em tarefas e processos nos negócios, em vez dos bens ativos da empresa.
O BIA avalia a probabilidade de uma ameaça vir realmente a acontecer e a demonstrar o impacto que iria ter no negócio, avaliando cenários de impacto e determinando efeitos de indisponibilidade de serviço.
Esta análise também avalia quanto tempo uma empresa poderia esperar ou aguentar até um serviço de missão critica ser restabelecido, avalia os requisitos mínimos que seriam necessários para manter os processos críticos para o negócio, determina os tempos mínimos e máximos para os serviços serem recuperados e quais os processos de negócio que devem ser recuperados por completo.
Toda esta avaliação é quantitativa, o que ajuda uma empresa a priorizar o seu comprometimento com os vários riscos que uma organização pode enfrentar.
DRP – Plano de Recuperação de Desastre
É essencial à gestão de uma empresa, pois pode-se considerar como uma expansão do plano de continuidade BCP. Podemos entender que o DRP na sua generalidade, como a possibilidade de uma empresa recuperar o seu funcionamento totalmente ou parcialmente após um evento de desastre.
Planear um plano de desastre é algo complexo e que ocupa bastante tempo administrativo até se conseguir um resultado satisfatório, tem que se perceber que o DRP só entra em ação quando o BCP falhou e não consegue de nenhuma forma continuar o negócio, pois as missões críticas foram afetadas de tal forma que só uma recuperação servirá aos propósitos de uma empresa.
Isto acontece normalmente quando o local principal de uma empresa é afetado e fica impedido de garantir as funcionalidades primárias do negócio, neste momento o DRP passa a seu estado de ativo.
Devido aos negócios hoje em dia serem muito dinâmicos e estarem em constante mudança, em parte devido aos avanços sistemáticos das tecnologias, o desenvolvimento de um plano de DRP tem que sofrer várias alterações de tempos em tempos, de forma a ser ajustado à realidade das empresas.
 Um fator aqui importante é que todas as antigas cópias de planos que foram modificadas devem ser destruídas, sendo que apenas o mais recente plano de desastre deve existir, de forma que não exista nenhum desvio ou lapso na execução do mesmo. 
Backup
O Backup é um aspecto muito importante que deve ser seguido com rigor e que faz parte das melhores práticas do ITIL em planos de continuidade de negócio, pois é ele que vai garantir e salvaguarda que documentos serão restabelecidos após alguma perda ou inconsistência verificada.
No caso de uma organização ou empresa passar por um episódio de perda de dados, apagamento dos dados por acidente, corrupção dos dados, destruição, intrusão, infecção por algum malware ou desastre, consegue através das cópias de segurança repor os dados afetados, sendo que um backup só pode ser considerado como um “bom backup” se o mesmo tiver sido testado e garantir que as informações estão prontas a serem usadas e em excelente condições.
Se o backup nunca tiver sido testado previamente, é impossível ter a certeza que depois do desastre o restauro dos dados vai funcionar corretamente e sem nenhuma deficiência.
Existem 3 formas de backup essenciais que devem ser realizados, que passam a ser explicados de forma reduzida:
Backup total, do inglês “full backup”; ele é responsável por realizar cópia integral de todosos dados, apagando ou resetando o atributo “A”, chamado de “archive bit” dos ficheiros que foram submetidos a este tipo de backup.
Backup Incremental, do inglês “Incremental backup”; ele é responsável por realizar cópia apenas dos dados que tenham o atributo “A” nas suas propriedades, isto acontece quando um arquivo foi modificado após um backup total ou incremental. Ou constitui um arquivo novo, criado após o backup total. Este tipo de backup apaga ou reseta o atributo “A”, chamado de “archive bit”.
Backup diferencial, do inglês “differential backup”; ele é responsável por realizar um backup dos arquivos que foram alterados desde que foi feito um backup completo. Ele não altera ou reseta o atributo “A”, chamado de “archive bit”.
Redundancy e Fault Tolerance
	Neste ponto vamos analisar os efeitos de redundância e tolerância a falhas, dois componentes que devem sempre existir em um plano de BCP, pois em parte são eles que garantem em primeira instância que o negócio prossiga com respostas satisfatórias para os clientes finais. Sendo assim, redundância é a implementação de uma segunda alternativa no caso da primeira deixar de funcionar.
A redundância consegue eliminar o fator de único ponto de falha, do inglês “single point of failure” e por outro lado responder ao problema de sistema não tolerante a falhas. É evidente que um sistema que não seja redundante está suscetível a parar de funcionar por algum problema que se verifique, criando o chamado “downtime” em uma organização ou empresa, tempo em que o sistema está parado e não consegue produzir.
Referências
http://www.projetoderedes.com.br/
http://softwarelivre.org/gestao-de-ti-itil-cobit