Auditoria_aula_2

Prévia do material em texto

- -1
AUDITORIA DE SISTEMAS
PLANOS DE CONTINGÊNCIA – GERENCIAR 
MUDANÇAS OU SURPRESAS?
- -2
Olá!
Nesta aula, você irá:
1. Conhecer o que é um plano de contingência;
2. Identificar ameaças e desenvolver suas respostas de risco;
3. Desenvolver uma matriz de risco;
4. Tomar ciência de processos/sistemas críticos de uma área/empresa.
1 Gerenciando Mudanças
Para quem observou a tragédia ocorrida em 11 de setembro de 2001 em Nova York, foi possível perceber que,
poucos minutos após a explosão do segundo edifício, o trânsito na ilha estava liberado apenas para ambulâncias
e o corpo de bombeiros.
Vocês pararam para pensar como eles conseguiram se organizar tão rapidamente? Posso jurar que havia um
plano de contingência da prefeitura da cidade de Nova York para a evacuação das ruas, permitindo apenas o
trânsito de ambulâncias e do corpo de bombeiros. Bastou que fosse decretado estado de emergência para
trânsito nas ruas, que todas as pessoas envolvidas na organização para deixar as ruas livres atuassem como
havia sido previamente planejado (só complementando o exemplo, na construção das duas torres gêmeas foi
pensada a hipótese de choque aéreo, considerando um impacto com tanque cheio do maior avião existente na
época).
Isto é um plano de contingência: uma sequência de ações a serem seguidas em situações de emergência,
previstas ou não, para assegurar a continuidade do serviço.
Estas ações são definidas antes que os riscos ocorram. Na tranquilidade, podemos imaginar as consequências e o
que será necessário fazer para restabelecermos a ordem. Teremos calma e tempo para contactarmos
fornecedores, treinarmos pessoas a evacuarem locais e definirmos locais alternativos para trabalharmos na
eventualidade de não podermos acessar nossos escritórios.
Normalmente, as catástrofes têm baixa frequência de ocorrência, altos riscos de incerteza, mas, se ocorrem, suas
consequências podem ser devastadoras.
Um plano de contingência é necessário para:
- -3
Reduzir a suscetibilidade a danos (identificando previamente os riscos que poderão ocorrer em nossos sistemas
/negócios, podemos dificultar sua ocorrência de modo a minimizar seus impactos. Entretanto, não podemos
impedi-los!);
Aperfeiçoar a habilidade em sobreviverá descontinuidade de rotinas (estando preparados para a eventualidade
da ocorrência de uma ameaça, saberemos como agir, caso ela ocorra. Em situações de emergência, trabalhamos
apenas com os sistemas ou processos críticos, ou seja, aqueles sem os quais a empresa não sobrevive);
Reduzir a descontinuidade de rotinas (tendo alternativas para sobreviver em situações precárias de trabalho,
realizando os trabalhos críticos);
Reduzir custos de recuperação (pensando antes no que poderá acontecer, tomamos medidas que envolvam
melhor custo benefício para sobreviver em situações de emergência).
2 Áreas de Negócios
• Responsáveis pela continuidade da operação de suas áreas (mesmo na eventualidade de o acordo de 
 não ser cumprido);nível de serviço*
• Desenvolvem seus planos, para todas as funções e níveis (junto com o pessoal de Sistemas, quando for 
pertinente);
• Cada área deve incluir os planos das áreas interdependentes (cada área possui o plano de contingência 
das áreas com quem possui interface. Atentar ao fato que os planos devem ser distintos);
• Coordenação das atividades (alguém deve gerenciar a confecção dos planos de contingência da empresa 
a fim de se evitar situações não gerenciáveis por incompatibilidade de estratégia e múltiplas requisições 
de mesmos recursos).
*acordo de nível de serviço: documento entre o cliente e a área de Sistemas onde são registrados, entre outras
coisas, os serviços a serem executados pelo CPD com data, hora, periodicidade, medidas emergenciais,
distribuição de relatórios, etc.
3 Riscos e Ameaças
Vamos ver algumas definições, conforme Claudia Dias em "Segurança e Auditoria da Tecnologia da informação",
cap. 2:
Ameaça: Evento ou atitude indesejável (roubo, incêndio, vírus, fraude, ...) que potencialmente remove, desabilita
ou destrói um recurso. É quando algo ou alguém viola a confidencialidade, integridade, disponibilidade, etc.
As ameaças podem ser (falha de hardware, desastres naturais, etc.) ou (roubo, fraude,acidentais deliberadas 
invasão, etc.).
As ameaças deliberadas podem ser (não alteram a informação) ou (alteram a informação). passivas ativas
Exemplos de ameaças:
• vazamento de informação (voluntária ou involuntária),
•
•
•
•
•
- -4
• vazamento de informação (voluntária ou involuntária),
• violação de integridade (há alteração dos dados, comprometendo a consistência dos dados),
• indisponibilidade de serviços de informática (usuário não consegue acessar o sistema como quando 
acontece troca de senha por invasão de hacker. Neste caso também há violação de integridade!),
• mascaramento (uma pessoa se passa por outra),
• ameaças programadas (códigos que se alojam no sistema com intuito de comprometer sua segurança 
como no caso de vírus),
• sequestro, roubo, incêndio, deslizamento, inundação.
Recurso: Um componente físico, hardware, software, informação. Pode ser humano também.
Vulnerabilidade: Fraqueza que pode ser explorada por uma ameaça. Está associada à probabilidade de
ocorrência (chance de).
Ataque: Ameaça concretizada.
Impacto: Resultado de um ataque. Pode ser direto (envolve perdas financeiras) ou indireto (não envolve
diretamente perdas financeiras, mas situações como descumprimento da lei, perda de reputação e credibilidade,
conflito com acionistas e clientes, etc).
Risco: Medida da exposição a qual o sistema está sujeito. Envolve: ameaças, vulnerabilidades e impactos.
4 Sistemas, Áreas e Funções Críticas
Quando pretendemos fazer um plano de contingência, devemos identificar as funções (se estivermos fazendo o
plano de contingência de um sistema), os sistemas (se estivermos fazendo um plano de contingência para o CPD)
ou as áreas (se estivermos trabalhando com um departamento) críticas, como já vimos na aula de hoje. A
elaboração, implementação e teste de um plano de contingência não é um trabalho barato. Muitas vezes temos
que desenvolver programas ou processos específicos para atender a uma situação de emergência. Por esta razão,
não fazemos o plano de contingência da totalidade das funções do objeto do plano de contingência.
Se estivermos fazendo um plano para um determinado sistema como, por exemplo, o Sistema de Contas
Correntes de uma agência bancária, o qual tem que identificar o que é crítico no sistema ou não, pensamos: na
hipótese de o servidor cair, o que NÃO pode deixar de ser feito? Os depósitos poderão ser feitos manualmente: o
caixa recebe o depósito e manualmente o registra, fornecendo um recibo ao cliente. Quando o sistema voltar a
funcionar, algum funcionário entrará com os depósitos no sistema. Já o saque não pode ser feito, pois o caixa não
saberá com exatidão o saldo do cliente. Então, temos que fazer uma contingência para a função saque.
5 Matriz de Risco
Ao se pensar em fazer um plano de contingência, devemos, inicialmente, levantar os riscos envolvidos. Esse
trabalho deverá ser feito por uma equipe composta de pessoas relacionadas ao objeto da contingência (sistema,
•
•
•
•
•
•
- -5
área, CPD). Uma boa ferramenta para isso é o BRAINSTORMING. (Brainstorming ou tempestade de ideias é uma
reunião onde as pessoas opinam, sem muito pensar e usando a criatividade, para achar a solução para algum
problema).
Cabe aqui a observação de que o risco não é um erro! Devemos partir do pressuposto que os sistemas e
processos da empresa funcionam adequadamente. Uma transação processada para um cliente diferente do que o
que deveria ser é erro de sistema e não um risco. Já uma queda de luz é um risco. Costumo diferenciar os dois
perguntando: depende de mim ou do meu pessoal? Se sim, é erro, senão, é risco.
Temos ameaças que possuem uma mínima chance de ocorrência (terremoto no Rio de Janeiro). Entretanto, se
ela ocorrer, seu efeito é desastroso.Temos também as ameaças que ocorrem frequentemente, porém, com baixo
impacto para a empresa (worms). Para que possamos identificar os riscos para os quais iremos desenvolver o
plano de contingência, devemos priorizá-los. Para isso usamos uma matriz de risco onde são considerados o
impacto que ela poderá causar na empresa e a probabilidade de ocorrência de uma ameaça, caso ocorra. O
método mais usual de se obter essa matriz é através de ponderação. Damos pesos aos critérios (probabilidade e
impacto) e observamos o comportamento de cada risco em relação aos critérios. No final, conseguimos o escore
de risco que decidirá para quais riscos iremos fazer o plano de contingência.
Não há regra fixa para definir os pesos e usarei o que está no livro da Claudia Dias, "Segurança e Auditoria da
Tecnologia da Informação", cap. 2.
Impacto
Normalmente os impactos são analisados sob dois aspectos: curto e longo prazo, em função do tempo em que o
impacto, causado por uma ameaça, permanece afetando os negócios da empresa. Podemos classificá-los em uma
escala de 0 a 5, por exemplo:
0 Impacto irrelevante
1 Efeito pouco significativo, sem afetar a maioria dos processos de negócio da empresa.
- -6
2 Sistemas não disponíveis por um determinado período de tempo, podendo causar perda de credibilidade junto
aos clientes e pequenas perdas financeiras.
3 Perdas financeiras de maior vulto e perda de clientes para a concorrência.
4 Efeitos desastrosos, porém sem comprometer a sobrevivência da empresa.
5 Efeitos desastrosos, comprometendo a sobrevivência da empresa.
Probabilidade de Ocorrência de Uma Ameaça
De forma análoga, os pesos das probabilidades de ocorrência de uma ameaça podem ser distribuídos em escala
de 0 a 5 conforme:
0 - Ameaça completamente improvável de ocorrer.
1 - Probabilidade de a ameaça ocorrer menos de uma vez por ano.
2 - Probabilidade de a ameaça ocorrer pelo menos uma vez por ano.
3 - Probabilidade de a ameaça ocorrer pelo menos uma vez por mês.
4 - Probabilidade de a ameaça ocorrer pelo menos uma vez por semana.
5 - Probabilidade de ameaça ocorrer diariamente.
Quadro 1 - Exemplo de matriz de risco
Pelo exemplo observamos que a pior ameaça é o ataque de vírus, seguida de falta de luz. Supondo que
estabelecemos o escore mínimo para desenvolvimento de respostas de risco em 10, só serão desenvolvidas
ações de contingência para as ameaças falta de luz e ataque de vírus. Para todos os riscos faremos os controles
que tentem:
- -7
Atenção
Ameaças que envolvem risco de vida devem ser consideradas de alto escore, independente da probabilidade de
ocorrência da mesma.
6 Planos de Contingência
Um plano de contingência subdivide-se em três planos, a saber:
Plano de Emergência
Formado pelas respostas de risco (ações a serem seguidas na eventualidade de uma ameaça ocorrer) e tentativas
de evitar danos causados por desastres mantendo, dentro do possível, a capacidade de funcionamento da
empresa/sistema.
Plano de backup
Cuja função é prover recursos de continuidade (para serviços críticos).
Plano de Recuperação
Provê a capacidade de restauração permanente das atividades da área de negócio/CPD.
Fique ligado
Clique no link a seguir para saber mais sobre o assunto.
http://estaciodocente.webaula.com.br/cursos/gra097/docs/02AS_doc01.pdf
Saiba mais
Para saber mais sobre os tópicos estudados nesta aula, pesquise na internet sites, vídeos e
http://estaciodocente.webaula.com.br/cursos/gra097/docs/02AS_doc01.pdf
- -8
O que vem na próxima aula
Na próxima aula, você estudará sobre os seguintes assuntos:
• As fases para a realização de uma auditoria: planejamento; execução; emissão e divulgação de relatórios; 
follow-up.
CONCLUSÃO
Nesta aula, você:
• Conheceu o que é um plano de contingência;
• Tornou-se apto a identificar ameaças e a desenvolver suas respostas de risco;
• Aprendeu como desenvolver uma matriz de risco;
• Tomou ciência de processos/sistemas críticos de uma área/empresa.
Para saber mais sobre os tópicos estudados nesta aula, pesquise na internet sites, vídeos e
artigos relacionados ao conteúdo visto. Se ainda tiver alguma dúvida, fale com seu professor
online utilizando os recursos disponíveis no ambiente de aprendizagem.
Leia o artigo "Plano de Contingência: sua empresa pode ficar fora do negócio?" de Carlos
Caruso, disponível na biblioteca do curso.
Leia a cartilha com informações sobre segurança preparada pelo Comitê Gestor de Internet no
Brasil, CERT.br, versão 3.1 , acessível pelo link: https://cartilha.cert.br
•
•
•
•
•
https://cartilha.cert.br/
	Olá!
	1 Gerenciando Mudanças
	2 Áreas de Negócios
	3 Riscos e Ameaças
	4 Sistemas, Áreas e Funções Críticas
	5 Matriz de Risco
	6 Planos de Contingência
	O que vem na próxima aula
	CONCLUSÃO