RISCO A CONTINUIDADE DO NEGOCIO - RENATO DALLAQUA 2018

Prévia do material em texto

UNIVERSIDADE SAGRADO CORAÇÃO 
 
 
 
RENATO DALLAQUA 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
RISCO A CONTINUIDADE DO NEGOCIO 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
BAURU 
2018 
 
 
 
 RENATO DALLAQUA 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
IMPORTÂNCIA DO PLANO DE CONTINUIDADE 
DE NEGÓCIO. 
 
 
 
 
 
Artigo apresentado à Pró-Reitoria de 
Pesquisa e Pós-graduação da 
Universidade do Sagrado Coração, como 
parte dos requisitos para obtenção do 
título de especialista em Segurança da 
Informação, sob orientação do Prof. M.e 
Henrique Pachioni Martins. 
 
 
 
 
 
 
 
 
 
 
 
 
BAURU 
2018 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Dados Internacionais de Catalogação na Publicação (CIP) de acordo 
com ISBD 
Dallaqua, Renato 
D144r 
Risco a continuidade do negócio / Renato Dallaqua. -- 
2018. 
18f. : il. 
 
Orientador: Prof. M.e. Henrique Pachioni Martins. 
 
Artigo Científico (Especialização em Segurança da 
Informação) - Universidade do Sagrado Coração - Bauru – SP 
 
1. Impacto. 2. Riscos. 3. Continuidade. 4. Segurança. 5. 
Negócio. I. Silva, Elvio Gilberto da. II. Martins, Henrique 
Pachioni. III. Título. 
Elaborado por Lidyane Silva Lima – CRB-8/9602 
 
 
RENATO DALLAQUA 
 
 
 
RISCO A CONTINUIDADE DO NEGOCIO 
 
 
 
Artigo apresentado à Pró-Reitoria de Pesquisa 
e Pós-graduação da Universidade do Sagrado 
Coração, como parte dos requisitos para 
obtenção do título de especialista em 
Segurança da Informação, sob orientação do 
Prof. M.e Henrique Pachioni Martins. 
 
 
 
 
 
Banca examinadora: 
 
________________________ 
Prof. M.e Henrique Pachioni Martins. 
Universidade do Sagrado Coração 
 
 
 
______________________ 
Prof. Dr. Kelton Augusto Pontara da Costa 
Universidade do Sagrado Coração 
 
 
_____________________ 
Prof. M.e Richard Gebara Filho 
Universidade do Sagrado Coração 
 
 
 
 
 
 
 
Bauru, 20 de setembro de 2018. 
 
 
2 
 
SUMÁRIO 
 
1 INTRODUÇÃO……………………………………………………………………… 03 
2 AMEAÇAS ……………………………………..……………………...……………. 04 
2.1 PHISHING ………………………………………………………………….………... 04 
2.2 MALWARE …………………………………………………………………………..05 
2.3 DESASTRES ……………………………………………………………………….... 06 
3 PLANO DE CONTINUIDADE DE NEGÓCIO …..………………...……………. 06 
3.1 ANALISE DO AMBIENTE .……………………………………………….………... 08 
3.2 A ESTRUTURA DO DATA CENTER ..……………………………………………..08 
3.3 FIREWALL …..…………………………………………………………………….... 10 
3.4 POLÍTICA DE BACKUP ……………………………………………………………. 11 
3.5 DISASTER RECOVERY ……………………………………………………………. 11 
4 TESTES NO AMBIENTE …………………..……………………...……………. 12 
4.1 PENTEST ………………….……………………………………………….………... 12 
5 METODOLOGIA…………………………………………………………………… 13 
6 ANÁLISE E DISCUSSÃO DOS RESULTADOS…………………………………. 13 
7 CONSIDERAÇÕES FINAIS ………………………………………………………. 14 
 REFERÊNCIAS ………………………………………………………………….… 14 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
3 
 
RISCO A CONTINUIDADE DO NEGOCIO 
 
Renato Dallaqua1 
 
1 Especialista em Segurança da Informação pela Universidade do Sagrado Coração (USC). 
redallaqua@hotmail.com 
 
 
 
 
RESUMO 
 
Com a grande evolução da tecnologia cada dia é mais comum tudo a o nosso redor 
estar conectado a nossa rede doméstica ou até mesmo a nossas redes corporativas. Isso pode 
se tornar um grande problema se não tivermos uma boa política de segurança e um plano de 
continuidade de negócio bem estruturado para a futuros imprevisto que podem ocorrer. 
Neste artigo irei citar algumas ameaças comuns que podem desencadear em um 
cenário onde a falta de um plano de continuidade de negócio poderia ser o fim de uma empresa 
e como esse plano bem estruturado, pode fazer com que esses tipos de ameaças não interfiram 
de uma forma tão crítica nos negócios da empresa. 
 
Palavras-chave: Impacto. Riscos. Continuidade. Segurança. Negócio. 
 
1 INTRODUÇÃO 
 
No atual cenário em que vivemos, com toda a tecnologia a nosso dispor e em constante 
evolução, é cada vez mais comum equipamentos se tornando obsoletos e tecnologias 
ultrapassadas. Com essa constante evolução, a segurança do ambiente se torna um ponto onde 
devemos nos atentar. 
Falhas são reveladas com uma frequência constante, atualizações de S.O. estão 
disponíveis toda a semana, o acesso a informação se torna cada vez mais fácil. Alguns anos 
atrás, antes de todo o cenário tecnológico que vemos hoje, era muito mais fácil manter uma 
informação em um nível de segurança aceitável. Por outro lado, para manter a segurança em 
nosso ambiente corporativo se torna uma dificuldade. Com a tecnologia ganhamos muito, mas 
devemos nos precaver. 
 
4 
 
Quanto tempo uma empresa consegue seguir suas atividades sem os recursos da 
tecnologia hoje em dia? Ou então quanto tempo uma empresa, como a Coca-Cola, se manteria 
líder mundial no setor de venda de refrigerantes se a sua formula secreta fosse revelada? 
Esse artigo sanara algumas duvidas sobre plano de continuidade de negócio e como 
ele deve ser elaborado para que assim possa reduzir ao máximo as ameaças desse ambiente 
que vivemos e os riscos que podem trazer para o negócio. 
No capítulo 2, trarei algumas ameaças mais comuns e como elas podem afetar o 
negócio de uma maneira geral e o seu grau de risco para a empresa. 
No capítulo 3, explicarei o que é um plano de continuidade de negócio e como ele deve 
ser elaborado, seguindo as melhores práticas utilizadas em TI. 
No capítulo 4, descreverei alguns testes a serem realizados para verificar se o plano 
de continuidade de negócio irá cumprir o seu papel no ambiente. 
 
2 AMEAÇAS 
 
2.1 PHISHING 
 
De acordo com AVAST (2016), phishing é a tentativa de obter informações do alvo 
do ataque, esse termo phising é um neologismo que tem origem da palavra fishing pela 
semelhança entre a técnica que se trata em tentar obter informações do alvo com uma isca, 
semelhante uma pescaria. 
Geralmente é feita pela fraude enviando um arquivo, e-mail ou mensagem para o alvo 
sé passando por outra pessoa ou organização levando o alvo a introduzir suas informações e 
fornecendo elas para ao atacante. 
Tendo em vista o senário de uma organização comercial, esse tipo de ataque pode ser 
usado para obter as credenciais do alvo ou e-mail. Essas informações depois de coletadas e 
tratadas servirão de porta de entrada para outras tentativas de ataques ao ambiente corporativo. 
 Spear phishing é um golpe de e-mail direcionado com o objetivo único de obter acesso 
não autorizado aos dados sigilosos. Diferente dos golpes de phishing, que realizam ataques 
amplos e dispersos, o spear phishing foca em um grupo ou organização específicos. A intenção 
é roubar propriedade intelectual, dados financeiros, segredos comerciais ou militares e outros 
dados confidenciais. 
 
5 
 
 Clone phishing é um tipo de ataque de phishing pelo qual um e-mail legítimo, 
e entregue anteriormente, contendo um anexo ou link teve seu conteúdo e endereços de 
destinatários recebidos e usados para criar um e-mail quase idêntico ou clonado. O anexo ou 
Link dentro do e-mail é substituído por uma versão mal-intencionada e, em seguida, enviado 
de um endereço de e-mail falsificado para parecer vir do remetente original. 
Whaling È um tipo de ataque de phishing que foram direcionados especificamente a 
executivos seniores e outros alvos de destaque dentro de empresas, e o termo “caça às baleias” 
foi cunhado para esse tipo de ataque. 
 
2.2 MALWARESDe acordo com BITDEFENDER (2013), malware é um software mal-intencionado 
projetado para quando entra no host de destino, oferece a um invasor controle total ou limitado 
sobre o alvo. Eles podem danificar ou modificar as funcionalidades do host de destino, 
ajudando um invasor a roubar ou destruir informações. 
 Adware é um software malicioso que apresenta publicidade indesejada ao 
usuário. Esse tipo de malware geralmente usa janelas pop-up que não podem ser fechadas pelo 
usuário. Adware é frequentemente incluído com software livre e barras de ferramentas do 
navegador. O malware que também coleta dados de usuários, atividades e outras informações 
para publicidade direcionada. 
Backdoor é um código malicioso que permite que um atacante se conecte ao alvo 
infectado e assuma o controle da máquina alvo. Na maioria dos casos, não é necessária 
autenticação para efetuar login na máquina remota, a não ser os métodos de autenticação 
exigidos pelo malware. Um backdoor é frequentemente gerado por um Trojan que passa 
despercebido se o host não tiver mecanismos de detecção eficazes. 
Vírus é um programa malicioso que se replica em outros aplicativos, arquivos ou até 
mesmo no setor de inicialização do Windows. Um vírus pode ser programado para roubar 
informações, registrar teclas digitadas ou até mesmo inutilizar um computador. A 
característica definidora de um vírus está na auto-replicação e inserção de código malicioso 
em outros programas sem o consentimento do usuário. Assim como a maioria dos outros 
malwares, um vírus é projetado para obter lucro. 
Shell Reverso é uma conexão iniciada a partir do host infectado para o atacante e 
fornece ao atacante acesso ao host pelo shell. O shell reverso é geralmente criado por um 
cavalo de Tróia e funciona como um backdoor no host infectado. Depois que o shell reverso 
 
6 
 
tiver sido configurado, o invasor poderá executar comandos como se fossem executados 
localmente. 
Tecnicamente falando, todo malware que impede o usuário de acessar o computador 
ou arquivos e exigir dinheiro em troca de acesso é chamado de Ransomware. O ransomware 
geralmente criptografa seu disco rígido ou arquivos e exige dinheiro em troca da chave de 
descriptografia. Esse tipo de ransomware também é chamado de crypto locker. Após a 
infecção, o ransomware apresenta ao usuário alguns métodos de pagamento que podem ser 
usados para desbloquear o computador ou descriptografar os arquivos. 
 
2.3 DESASTRES 
 
Desastres no ambiente podem ser causados por pessoas de fora da empresa, por 
atacantes ou até mesmo crackers. O setor de TI da empresa sofre por todos os lados, desde de 
usuários que não sabem como utilizar com responsabilidade até a donos de empresas que 
preferem fazer outros investimentos e deixando o ambiente de TI da empresa abandonado, 
deixando o setor de TI em risco com as ameaças citadas acima ou as citadas abaixo. 
 
Desastres naturais chuva, queda de energia, alagamento. 
 
Perda de dados a perda de dados ocorre com frequência em muitas empresas e essa 
perda pode ser de dados físicos a dados digitais, essa perda pode ser notada imediatamente 
após sua exclusão ou ela pode levar algum tempo. 
 
Acesso não autorizado o acesso não autorizado a o ambiente de TI não é visto como 
um problema em muitas empresas, onde os funcionários não se preocupam com o risco ou 
não tem o conhecimento do perigo que isso pode trazer para toda a estrutura. 
 
Roubos sem um grande controle dos ativos e dados e recursos da empresa esse 
problema se torna muito comum, sem um controle rigoroso a acesso a pastas, arquivos e 
diretórios não conseguimos garantir com precisão a integridade das informações e ativos da 
empresa 
 
3 PLANO DE CONTINUIDADE DE NEGÓCIO 
 
7 
 
 
Um bom plano de continuidade de negocio deve levar em conta todos os tipos de 
ameaças que o ambiente está sujeito a sofrer e o montante que a empresa está disposta a 
investir nesse plano de continuidade de negócio. 
 Na grande maioria das empresas quando se fala em investimentos o primeiro ponto a 
ser questionado pelos responsáveis é o quanto esses investimentos trarão de melhorias no 
desempenho e no lucro de sua empresa, quando estamos tentando implementar um plano de 
continuidade de negócio e melhora no desempenho e no lucro que a empresa obtém não é 
notado. 
 Devido a isso é obrigação de um gestor da parte de segurança da informação 
apresentar para os responsáveis o quanto será prejudicial para a vida da empresa algum tipo 
de desastre no seu ambiente. 
Abaixo vou demostrar uma formula para o cálculo do Prejuízo que uma empresa teria 
ficando 1 dia parada, para essa conta vou tomar como exemplo uma empresa fictícia que tem 
100 funcionário com uma renda media de R$ 1.800,00 e o seu faturamento total no fim do 
mês seja de R$ 500.000,00. 
Para fazer essa conta utilizarei a seguinte formula: 
Lucro Bruto = LB 
Dias Uteis = DU 
Volume Diário = VD 
Salário Médio = SM 
Salário Médio Diário = SMD 
Numero de Funcionários =NF 
1,8 = Custos médios empregatícios 
Prejuízo Total Diário = PTD 
 
(Prejuízo direto | LB/DU = VD) 
(Prejuízo Indireto | (SM/DU)*1,8 = SMD ) 
(VD + (SMD*NF) = PTD) 
 
(Prejuízo Direto | 500.000/21= R$ 23.809,52) 
(Prejuízo Indireto | (1.800/21)*1,8= R$ 154,29) 
(Prejuízo Total Diário | 23.809,52 + (154,29 *100) = R$ 38.238,52 
 
8 
 
 
No caso da empresa que tomamos por exemplo ela ficando parada por um dia a 
empresa teria um prejuízo médio de R$ 38.238,52, e na grande maioria dos casos sem uma 
boa equipe e sem um bom preparo dos profissionais de TI esse tempo de parada acaba sendo 
bem superior a um dia, gerando um enorme prejuízo para a empresa. 
Dessa maneira o papel do profissional em segurança da informação se torna muito 
importante, com o plano de continuidade de negocio e uma estrutura preparada para os mais 
diferentes tipos de desastres que podem vim a ocorrer. 
A seguir descreverei os passos para a elaboração do plano de continuidade de negócio: 
 
3.1 ANALISE DO AMBIENTE 
 
Antes de começarmos a fazer alguma alteração ou algum tipo de planejamento temos 
o ponto mais importante da elaboração do plano de continuidade de negocio que é o de 
analisarmos o ambiente e levantarmos os pontos que são críticos e que precisam de uma 
solução o mais rápido possível. 
Nesse processo é muito importante inventariarmos todos os ativos de tecnologia e 
entendermos os como a empresa trabalha e a rotina dos seus colaboradores, onde estão 
localizados os equipamentos que tem uma importância critica para a empresa, como é feito o 
acesso e o controle a ambientes que contem esses ambientes, se a sala ou ambiente onde eles 
estão armazenados corres algum tipo de risco, se existem equipamentos para protegelos contra 
oscilações e falta de energia elétrica, se existem equipamentos que apresentam defeito ou vem 
mostrando um funcionamento irregular, se o ambiente possui ferramentas de backup e se o 
controle a temperatura e umidade está funcionando corretamente. 
Com todas essas informações catalogadas, com os pontos críticos listados e com o 
levantamento de onde corremos mais riscos no atual senário da empresa é hora de começarmos 
a trabalhar esses pontos na sequencia que a empresa necessita de um socorro imediato. 
 
 
3.2 A ESTRUTURA DO DATA CENTER 
 
O Data Center na grande maioria das empresas não tem o seu controle de acesso e a 
sua instalação feita da maneira correta isso geralmente acontece em empresas de pequeno a 
médio porte, quando isso ocorre em empresas de grande porte o problema se torna ainda maior 
 
9 
 
devido a grande quantidade de equipamentos que temos nesse ambiente e geralmente essasempresas de grande porte possuem muitos funcionários e por isso quando isso ocorre nessas 
empresas o risco com o data center é muito maior e o investimento para solucionar esse tipo 
de problema tende a ser bem alto. 
Algumas empresas devido à falta de espaço e necessidade de mudança para ambientes 
menores ou devido à expansão do quadro de funcionários acaba mudando o Data Center para 
um ambiente que não é o ideal para o seu funcionamento e sua segurança. 
Citando a ISO 27002: 
Cap. 9 – Segurança física e do ambiente 
9.2.4 – Manutenção dos Equipamentos (manutenção correta para prover 
disponibilidade e integridade) 
Cap. 10 – Procedimentos e responsabilidades operacionais 
(operação segura e correta dos recursos de processamento da informação) 
10.1.1 – Documentação dos procedimentos de operação 
(procedimento para reinício e recuperação em caso de falha no sistema) 
10.1.2 – Gestão de Mudanças 
(modificações nos recursos de processamento sejam controladas, ou seja envio de 
relatórios constantes da manutenção para a TI) 
Cap. 14 – Gestão da Continuidade do Negócio 
14.1 – Aspectos da Gestão da continuidade do negócio. 
 
10 
 
 
Fonte: ISSO/IEC 27002 
 
 
 
 
 3.3 FIREWALL 
 
É fundamental para a continuidade do negócio que a matriz e filiais das empresas 
tenham um acesso à rede confiável e responsivo para atender os seus clientes. O firewall tem 
o papel de conseguir implantar uma arquitetura de rede para nos ajudar a melhorar a segurança 
e a entrega aos dados com alto desempenho. 
De acordo com BLUEPEX (2018), os firewalls de última geração do tipo UTM são os 
melhores appliances de segurança de rede que consolidam recursos avançados de segurança e 
de rede para proteger o ambiente contra ataques cibernéticos dificultando o trabalho de pessoal 
mal intencionadas. Esses firewalls oferecem VPN IPsec, proteção contra ameaças e um grande 
desempenho de inspeção de SSL. 
Contam também com serviços de balanceamento de carga, filtro de pacotes e filtro de 
conteúdo, permitindo um controle extenso ao ambiente que está sendo gerenciado. 
Funções encontradas em Firewall UTM: 
• Firewall; 
• Antivírus; 
• Controle de acesso a internet e a sites; 
 
11 
 
• Prevenção de intrusões de rede; 
• Balanceamento de links de internet; 
• VPN (Rede virtual privada); 
• Filtro de conteúdo; 
• Controle de acesso wireless; 
• Relatórios. 
 
3.4 POLÍTICA DE BACKUP 
 
VEEAM (2018) ao montar data centers modernos, as organizações investem na 
virtualização de servidores, aplicações de armazenamento moderno e serviços baseados em 
nuvem. 
No entanto, as empresas se deparam com novas exigências dos usuários finais, 
incluindo o acesso contínuo aos dados e aplicações, falta de paciência com tempo de 
inatividade ou perda de dados, além do crescimento exponencial de dados, de 30% a 50% por 
ano. 
Os CIOs, em particular, relatam que as empresas estão aumentando suas exigências 
em relação à redução dos períodos de inatividade e a garantia de acesso dos dados. 
 
Ferramentas como VEEAM, ArcServer e etc. contam com ferramentas muito 
importantes quando falamos de backup e recuperação de dados, os recursos mais importantes 
dessas ferramentas garantem. 
Recuperação em Alta Velocidade: em ambientes virtualizados essas ferramentas 
entregam a máquina para o software de virtualização simulando uma storage, liberando o 
acesso a máquina com uma parada mínima ao ambiente de produção. 
Prevenção Contra Perda de Dados: hoje em dia essas ferramentas contam com tantas 
funcionalidades que acabamos nos esquecendo da principal, o backup dos dados. Essas 
ferramentas fazem de vários destinos. 
Capacidade de Recuperação Verificada: Os Softwares fazem o backup e após o backup 
realizam testes para verificar se os dados que foram armazenados conseguem ser recuperados 
em futuros desastres. 
Aproveitamento de Dados: com esse recurso é possível copiar as maquinas ou arquivos 
para realizar testes sem risco ao ambiente de produção. 
 
12 
 
 
3.5 DISASTER RECOVERY 
 
Quando pensamos em segurança do ambiente de TI não adianta fazermos um 
investimento milionário, uma política de backup impecável, um firewall com a melhor 
configuração e nobreak e geradores para mantermos a empresa funcionando sem paradas por 
um ano se não tivermos um disaster recovery. 
De acordo com WITTEL (2017), disaster Recovery é um ambiente separado com uma 
distância segura do site A com o site B, esse ambiente tem que ser capaz de manter a operação 
da empresa em pleno funcionamento em caso de falha do ambiente principal. 
Com a evolução dos ambientes de TI ficou mais fácil e mais barato o disaster 
Recovery, antigamente o site B da empresa necessitaria de uma estrutura igual a do site A 
hoje com a evolução da nuvem conseguimos disponibilizar essa segurança para empresa com 
um valor reduzido devido a cobrança ser feita proporcionalmente ao uso. 
 
 
 
4 TESTES NO AMBIENTE 
 
Após a realização e implementação do plano de continuidade de negocio o serviço não 
está finalizado é de estrema importância a realizações de teste no ambiente para garantir que 
a política está funcionando corretamente e que em caso de imprevisto tudo vai ocorrer como 
o planejado e esperado. 
Varias empresas realizam teste para verificar vulnerabilidades e pontos falhos na 
segurança da empresa, tais como controle as áreas do data center, controle de acesso a 
diretórios do ambiente da empresa, controle de acesso aos sistemas da empresa e acesso 
externo da empresa. 
PenTest é um conjunto de técnicas e ferramentas utilizadas para identificar falhas de 
segurança em sistemas e redes corporativas. Através dessas técnicas, é possível identificar as 
vulnerabilidades existentes na arquitetura da empresa, explorá-las e entregar um relatório à 
empresa, que deverá então tomar as devidas ações para corrigir as falhas de segurança. 
A consultoria faz uso de softwares e ferramentas para explorar as vulnerabilidades 
identificadas, buscando identificar que tipo de informação pode ser obtida através daquelas 
falhas. 
 
4.1 PENTEST 
 
13 
 
 
Black-Box: A empresa que irá realizar o teste não possui qualquer tipo de informação 
sobre a infraestrutura de sistemas e de rede da empresa que será auditada. Nesse caso haverá 
um maior tempo gasto na análise inicial, inclusive uma pesquisa sobre as características da 
empresa, existência de filiais, os principais diretores, os serviços prestados, qual a arquitetura 
da rede e os softwares utilizados e etc. 
Esse é o teste normalmente aplicado para se simular um atacker hacker, externo à 
empresa. 
White-box: Nesse tipo de teste, a empresa que irá realizar o teste conhece previamente 
toda a infraestrura que será analisada, incluindo o mapeamento de rede, o range de IPs, os 
firewalls e roteadores existentes e etc. É também comum que o auditor receba um usuário de 
sistema ou conta de e-mail que é normalmente utilizada por um funcionário da companhia. 
Como o auditor possui todas as informações, é menor o risco de que algum serviço 
não seja percebido e devidamente analisado. Além disso todo o trabalho será focado em 
identificar e explorar vulnerabilidades, pois não há necessidade de se descobrir informações 
básicas. 
Esse tipo de teste visa também identificar que tipo de atividade pode ser feita 
indevidamente de dentro da empresa, por um funcionário ou consultor mal-intencionado. 
 
Outros testes muito importantes a serem realizados periodicamente são os de energia 
e disponibilidade dos nobreaks, testes com as ferramentas de backup garantindo que o backup 
além de estar sendo feito está funcionando, mesmo as ferramentas de backup tendo essesrecursos é de estrema importância esses tipos de testes no ambiente, e o ultimo mais não menos 
importante é o teste no ambiente de Disaster Recovery. 
 
5 METODOLOGIA 
 
Para a realização deste estudo a metodologia utilizada nesta pesquisa foi realizado 
levantamento bibliográfico exploratório, no que condiz segundo GIL (1995), são 
desenvolvidas com objetivo de proporcionar visão geral, de tipo aproximativo, acerca de 
determinado fato, que permite explorar novas áreas no qual há pouco conhecimento 
acumulado e sistematizado. 
 
 
14 
 
Sendo assim realizado um estudo seguindo um roteiro, utilizado por meios de 
exploração de fontes bibliográficas como, livros, artigos científicos, relatórios de pesquisas e 
teses, afim de divulgar a importância da elaboração de um plano de continuidade do negócio. 
Através do estudo bibliográfico, mostra a importância da utilidade de uma PCN para 
a empresa, buscando sempre crescer no mercado atual minimizando os fatores que podem 
prejudicar este alcance. 
 
6 ANÁLISE E DISCUSSÃO DOS RESULTADOS 
 
Plano de continuidade de negócio no atual senário que vivemos além de ser 
extremamente pode significar o fim de um sonho, por esse motivo cabe aos especialistas de 
segurança da informação focar nos pontos discutidos nesse artigo e a partir dos tópicos ter 
uma fonte de material e conhecimento. 
As ameaças não param de evoluir as técnicas de invasão se tornam mais eficazes e 
letais para os ambientes corporativos isso são pontos críticos mais por outro lado temos um 
ponto positivo que é a facilidade de obtermos informações e conhecimentos é muito grande. 
Empresas lideres de mercado em soluções de backup, firewall e cloud disponibilizam 
para os seus utilizadores um período de teste para conhecimento das ferramentas e início da 
política de continuidade de negócio, isso é muito importante pois antes da aquisição de uma 
solução para implantação do plano de continuidade de negócio é possível testar e verificar 
qual solução se encaixa melhor ao senário. 
 
 
7 CONSIDERAÇÕES FINAIS 
 
Após todos os pontos verificados e analisados nesse artigo é possível verificar que sem 
um plano de continuidade de negócio, uma politica e analises ao ambiente de TI. A tecnologia 
que hoje é tão fundamental para a vida do negócio da empresa pode acabar virando o motivo 
para a morte do negócio. 
 
 
ABSTRACT 
 
15 
 
 
With the great evolution of technology every day is more common that everything 
around us is connected to our home network or our corporate networks. This can become a 
major problem if we do not have a sound security policy and a well-structured business 
continuity plan for future unforeseen events that may occur. 
In this article, I will cite some common threats that may be occurring in a scenario 
where lack of a business continuity plan could be the end of a business and how a well-
structured business continuity plan can make these kinds of threats not interfere so critically 
in business. 
 
Keywords: Impact. Scratchs. Continuity. Safety. Business. 
 
REFERÊNCIAS 
 
 
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2005 
Tecnologia da informação: Técnicas de segurança. Rio de Janeiro, 2006. 
 
BEAL, A. Segurança da Informação – Princípios e Melhores Práticas para a Proteção dos 
Ativos de Informação nas Organizações. 1ª ed. São Paulo: Atlas, 2005. cap. 1, p. 3. 
 
JUNIOR, J. Plano de continuidade de negócios aplicado à segurança da informação, 
Disponível em: <http://www.lume.ufrgs.br/bitstream/handle/10183/15974/000695265.pdf>. 
Acesso em 1 Jul. 2018. 
 
TCU. Boas Práticas em Segurança da Informação. Disponível em: 
<http://www4.planalto.gov.br/cgd/assuntos/publicacoes/2511466.pdf>. 
Acesso em: 10 Jul. 2018. 
 
VEEAM, S. Estruturas de Backup e Segurança. 
Disponível em:<https://www.veeam.com/br/veeam_availability_suite_9_5_datasheet_ds.pdf 
> Acesso em: 20 Jul. 2018. 
 
AVAST. O que é phishing. 2016. Disponível em: <https://www.avast.com/pt-
br/cphishing>. 
Acesso em: 22 jul 2018. 
 
BITDEFENDER. Malware o que é, e quais os tipos existentes. 2013. 
Disponível em: <https://www.oficinadanet.com.br/post/8550-malware-o-que-e-e-quais-os-
tipos-existentes>. 
Acesso em: 22 jul 2018. 
 
BLUEPEX. Malware o que é, e quais os tipos existentes. 2018. 
Disponível em: <https://www.bluepex.com/firewall-utm/>. 
Acesso em: 22 jul 2018. 
 
 
16 
 
WITTEL. Malware o que é, e quais os tipos existentes. 2017. 
Disponível em: <https://blog.wittel.com/tudo-sobre-disaster-recovery/>. 
 Acesso em: 25 jul 2018. 
 
FILHO, P. Continuidade dos negócios e segurança da informação. 
 Disponível em: <https://qualidadeonline.wordpress.com/2015/03/04/continuidade-dos-
negocios-e-seguranca-da-informacao/>. 
Acesso em 25 Jul. 2018. 
 
	Novo(a) Documento do Microsoft Word
	RISCO A CONTINUIDADE DO NEGOCIO - RENATO DALLAQUA 2018 
	4 TESTES NO AMBIENTE