ESTRATÉGIA DE BACKUP E RECUPERAÇÃO DE DADOS - ARTIGO

Prévia do material em texto

1 
 
FACULDADE EDUCAMAIS 
ESTRATÉGIA DE BACKUP E RECUPERAÇÃO DE DADOS. 
 
Nome Do Aluno1 Kewen Anderson Santos 
Carneiro 
Professor(A) Orientador(A): Débora Corrêa 
Professor(A) Orientador(A): Ubiratan Roberte C. 
Passos 
Mês/Ano. Junho/2021. 
 
 
 
 
RESUMO 
 
À medida em que a Tecnologia da Informação se tornou uma área crítica ao sucesso dos 
negócios, as organizações precisam adotar medidas adicionais para assegurar a disponibilidade 
de seus serviços (documentos, aplicações, entre outros). Entretanto, os serviços de Tecnologia 
da Informação muitas vezes não são planejados, analisados e monitorados, o que afeta a garantia 
de qualidade e segurança das informações aos clientes. Com isso se tornou necessário o backup 
(cópia de segurança), pode ser definido como sendo a cópia e armazenamento de dados com 
intenção de recuperação dos negócios em situações de perdas. O desenvolvimento de um plano 
de backup sólido requer um investimento de tempo e dinheiro, mas o custo é muito menor do 
que a árdua tarefa de recriar dados para os quais não existe backup. O objeto de estudo desta 
pesquisa são as estratégias de backup onde veremos os tipos de backups, o ciclo de vidas das 
informações desde a inserção até a exclusão da mesma, quais são ricos que as informações estão 
expostas, e quando um desastre acontece quais ações devem ser tomadas, ou seja, qual o plano 
de continuidade de negócios e pôr fim a políticas de segurança da informação onde iremos 
abordar sobre os procedimentos, diretrizes, normas, ISO/IEC 27001 e ISO/IEC 27002. Para 
esse artigo foi utilizado a metodologia de pesquisa bibliográfica, a coleta de dados teve como 
ponto de partida a utilização do sistema Google Search Engine, após a localização e acesso aos 
sites, aplicou-se o método de observação direta na procura por recursos informacionais 
contendo mecanismos de consulta a conjuntos de dados. 
 
Palavras-chave: Backup. Restore. Continuidade De Negócios. Recuperação de Dados. 
 
 
 
 
 
 
 
 
 
1 Bacharel em Sistemas de Informação (UNIRON, 2018) e discente do Curso de Especialização em 
Segurança da informação (EDUCAMAIS). 
 
2 
 
1. INTRODUÇÃO 
 
Backup é um método já bem conhecido na área da tecnologia da informação que 
utilizamos para fazer cópias de arquivos sejam eles fotos, vídeos ou documento de empresas ou 
pessoas que desejam maior segurança para seus arquivos em caso de desastre. Para uma 
empresa, a perda de dados pode significar mais que uma frustração, acarretando prejuízos 
financeiros podendo chegar a falência. O papel da estratégia de backup é garantir que esses 
dados não sejam perdidos ou danificados, e que possam ser recuperados. 
Dos três pilares da segurança da informação, dois são diretamente influenciados pela 
existência de uma política de backups que é a integridade e disponibilidade da informação. O 
backup é uma peça importante para manutenção destes dois pilares e dos recursos de 
processamento. Caso uma empresa sofra ataque e não tenha uma estratégia de backup, os pilares 
poderão ser afetados levando a perda de dados cruciais. 
Segundo (HINTZBERGEN, 2015) A disponibilidade do sistema pode ser afetada pela falha 
de um dispositivo ou software. Dispositivos de backup devem ser utilizados para substituir rapidamente 
os sistemas críticos, e funcionários devem ser qualificados e estar disponíveis para fazer os ajustes 
necessários para restaurar o sistema. Questões ambientais como calor, frio, umidade, eletricidade 
estática e contaminantes também podem afetar a disponibilidade do sistema. Sistemas devem ser 
protegidos contra esses elementos, devidamente aterrados e monitorados de perto. 
Segundo (HINTZBERGEN, 2015) A integridade se refere a ser correto e consistente com o 
estado ou a informação pretendida. Qualquer modificação não autorizada de dados, quer deliberada ou 
acidental, é uma violação da integridade dos dados. 
Por exemplo, é esperado que dados armazenados em disco sejam estáveis – não se espera que 
eles sejam alterados aleatoriamente por problemas com os controladores de disco. De forma similar, 
espera-se que os programas de aplicação gravem as informações corretamente e não introduzam valores 
diferentes dos desejados. 
Ao se elaborar uma estratégia de backup deve se levar em consideração os seguintes 
itens segundo a (ABNT NBR ISO/IEC 27002: 2005): 
Registros completos e exatos das cópias de segurança e documentação apropriada sobre os 
procedimentos de restauração da informação, os quais convém que sejam produzidos; 
Convém que a abrangência (por exemplo, completa ou diferencial) e a frequência da geração 
das cópias de segurança reflitam os requisitos de negócio da organização, além dos requisitos de 
segurança da informação envolvidos e a criticidade da informação para a continuidade da operação da 
organização; 
Convém que as cópias de segurança sejam armazenadas em uma localidade remota, a uma 
distância suficiente para escapar dos danos de um desastre ocorrido no local principal; 
Convém que seja dado um nível apropriado de proteção física e ambiental das informações das 
cópias de segurança consistentes com as normas aplicadas na instalação principal; 
Convém que as mídias de backup sejam regularmente testadas para garantir que elas sejam 
confiáveis no caso do uso emergencial; convém que isto seja combinado com um teste de restauração e 
checado contra o tempo de restauração requerido. 
Convém que os testes da capacidade para restaurar os dados copiados sejam realizados em uma 
mídia de teste dedicada, não sobrepondo a mídia original, no caso em que o processo de restauração ou 
backup falhe e cause irreparável dano ou perda dos dados; 
Em situações onde a confidencialidade é importante, convém que cópias de segurança sejam 
protegidas através de encriptação. 
 
2. METODOLOGIA 
 
3 
 
A metodologia de pesquisa utilizada nesse artigo foi a bibliográfica que conforme 
(Salomon, 2004) a pesquisa bibliográfica fundamenta-se em conhecimentos proporcionados pela 
Biblioteconomia e Documentação, entre outras ciências e técnicas empregadas de forma metódica 
envolvendo a identificação, localização e obtenção da informação, fichamento e redação do trabalho 
científico. Esse processo solicita uma busca planejada de informações bibliográficas para elaborar e 
documentar um trabalho de pesquisa científica. 
Sendo assim, de acordo com os critérios ditados por Salomon (2004), pode-se dividir a pesquisa 
bibliográfica em três fases 
Fase da preparação: compreende a identificação, localização, fichamento e obtenção da 
informação. Essas etapas serão desenvolvidas pela realização das seguintes atividades: delimitação do 
tema-problema, Conhecimento da terminologia da área a ser pesquisada, Contato com pesquisadores da 
área. Determinação do período do levantamento bibliográfico, Seleção das fontes de informação, 
Identificação da literatura de interesse e Localização e obtenção das publicações. 
Fase de realização: compreende a realização do fichamento do documento localizado e obtido 
que, após o procedimento da leitura, será selecionado definitivamente para a elaboração da redação do 
trabalho científico. 
fase da comunicação: conforme (El-Guindy10, 2004), “A comunicação é a coroação do 
trabalho de investigação científica, e ao mesmo tempo, o momento de maior realização do pesquisador.” 
Nessa etapa dar-se-á a redação do trabalho científico por meio do produto científico já determinado de 
acordo com os propósitos da pesquisa. Entende-se como produto científico o veículo de comunicação 
em que se fará a apresentação do trabalho científico realizado por meio de canal impresso e/ou 
eletrônico. Assim, a pesquisa será comunicada pela elaboração de livros, capítulos de livros, 
dissertações, teses, monografias, trabalhos de eventos, seminários, patentes e artigos científicos. O 
produto científico abordado neste trabalho será a elaboração do artigo científico,enfocando sua 
definição, estrutura, normalização e redação científica. 
 
3. BACKUP 
 
Segundo (ADRENALINE, 2013) A história do backup está diretamente ligada à dos 
dispositivos de armazenamento e, portanto, às próprias origens da computação. Na década de 50, quando 
pesquisadores desenvolveram os primeiros computadores digitais da história, a forma predominante de 
guardar arquivos consistia nos cartões perfurados. 
A origem desses cartões é ainda mais distante: os primeiros surgiram no século XIX. Em 8 de 
janeiro de 1889, o doutor Herman Hollerith patenteou uma máquina elétrica para processamento de 
dados, equipamento que serviu como um artifício para realizar o censo nos Estados Unidos. Utilizando 
cartões perfurados com informações coletadas entre os entrevistados, a máquina de Hollerith criou 
tabulações automaticamente através dos impulsos elétricos que atuavam em cada perfuração. 
Até os anos 50, os equipamentos utilizavam os cartões perfurados para armazenar dados, uma 
vez que não existiam discos rígidos. Esses cartões também podiam ser guardados como cópias de reserva 
para restaurar dados perdidos. 
Hoje backup é algo que não pode faltar dentro de uma empresa segundo (SANTOS, 
2019). Já é de conhecimento entre os profissionais de TI que possuir um plano de backup é fundamental 
para a proteção dos dados e continuidade de negócios (MORAES, 2007). Backups podem ser utilizados 
não só para a restauração de dados ou sistemas na ocorrência de desastres ou outros incidentes de 
segurança, mas também para a recuperação de versões anteriores de dados, ou ainda para o arquivamento 
de dados ainda necessários, mas raramente acessados (CERT.br, 2012). Minimamente, para a realização 
4 
 
de backups é necessário que se decida quais dados serão copiados, bem como em qual lugar e com qual 
frequência. 
Segundo (HINTZBERGEN, 2015). O propósito de fazer backups, ou cópias reservas, é 
manter a integridade e a disponibilidade da informação e das instalações computacionais. As 
consequências da perda de informação dependem da idade da informação que pode ser recuperada a 
partir do backup. É importante, portanto, considerar o intervalo em que os backups são feitos. Quanto 
tempo podemos nos permitir recuperar novamente a informação que foi perdida? É importante que o 
backup seja feito regularmente. Além de realmente fazer e testar os backups, também é necessário 
considerar como os backups são manejados. Os backups são retirados de prédios altamente seguros e 
depois colocados em armários destrancados? Ou os backups são colocados próximos ao servidor com 
os dados originais? Os backups vão para terceiros? Os dados são criptografados? Por quanto tempo os 
backups são armazenados? Isso atende aos requisitos legais de armazenamento? 
 
4. MÍDIAS 
 
Para armazenar as cópias de segurança (backups) é necessário usar mídias para tal 
propósito. Segundo Pereira (2015, p.19) as mídias são os dispositivos físicos onde os dados serão 
armazenados. Boa parte dos custos de um sistema de backup de dados são provenientes das mídias de 
armazenamento. No mercado existem vários tipos de mídias, as principais utilizadas são: 
 
4.1 Fitas magnéticas 
 
(RODRIGUES, 2017). Podem ser encontradas em vários tamanhos de armazenamento e 
classificadas conforme sua tecnologia. As fitas magnéticas têm a vantagem de poderem ser transportadas 
e armazenadas em outros locais, o que facilita as cópias remotas, ideal para cópias com longo prazo de 
retenção. A desvantagem está no acesso aos dados gravados, já que é feito de forma sequencial, deixando 
o processo de leitura lento. Dependendo do volume de dados, pode demorar horas para finalizar o 
processo. Alguns exemplos: 
 
• Digital Data Storage (DDS), baseado na tecnologia DDS-DAT (Digital Audio 
Technology); 
• Digital Linear Tape (DLT); e 
• Linear Tape-Open (LTO); 
 
4.2 Discos rígidos 
 
Segundo (RODRIGUES, 2017). A tecnologia dos discos rígidos está em ampla evolução no 
mercado e com capacidade de armazenamento crescente, passando da casa dos terabytes. Usar disco 
rígido para armazenar o backup tem se tornado uma opção com custo aceitável para muitas empresas. 
A vantagem dos discos rígidos está na grande capacidade de armazenamento aliada à velocidade de 
leitura e escrita, o que é muito bom para backup de grandes volumes de dados. 
A escolha da mídia irá depender da estratégia de backup e do volume de dados a serem salvos, 
considerando sempre, as necessidades da organização, pois uma escolha não acertada pode resultar em 
backup menos eficiente do ponto de vista técnico e um gasto maior do ponto de vista financeiro. 
 
5. ESTRATÉGIA DE BACKUP 
 
Planejar uma estratégia de backup é o ponto inicial para que tudo ocorra bem segundo 
(RODRIGUES, 2017). O backup compreende duas estratégias que podem ser implementadas: 
centralizada e descentralizada. O backup centralizado facilita o gerenciamento e administração, tendo 
como vantagem a redução de custos, pois o uso de dispositivos de armazenamento, mídia, software e 
5 
 
base de dados ocorre no sistema central, possibilitando atender a vários clientes da rede. Uma 
desvantagem dessa estratégia é que se alguma coisa der errado, todos os clientes associados aos sistemas 
centralizados também serão afetados. De acordo com (Faria, 2014), às vantagens de um sistema de 
backup centralizado são: 
• Economia de fitas na medida em que é minimizada a quantidade de 
• espaço subutilizado; 
• Facilidade na administração, correção de erros, troca e controle de fitas; 
• Economia de hardware; 
• Maior agilidade; e 
• Facilidade no restore. 
O backup descentralizado ou distribuído baseia-se no princípio de que cada cliente ou sistema 
tenha seu próprio hardware, dispositivo de armazenamento, mídia e software. A desvantagem dessa 
estratégia seria o custo adicional com hardware e licenças caso o software seja proprietário. 
Segundo Faria (2014, p.16). Uma política de backup consiste em um documento que deverá 
conter os princípios de como ocorrerão os backups (e restores), bem como o papel das partes 
interessadas, o tempo máximo para resolução das ocorrências, a estratégia de backup. 
 
5.1 Tipos de backup 
 
O backup se dividir em alguns tipos segundo (RODRIGUES, 2017). Os três principais 
níveis: completo, incremental e diferencial: 
 
a) Backup completo ou full 
 
geralmente são copiadas todas as informações, independentemente de elas terem sido alteradas 
ou não. Esse tipo de backup costuma consumir maior tempo para concluir a cópia. Dependendo do 
tamanho das informações armazenadas esse tempo pode ser um fator limitador, quando se tem uma 
janela de backup pequena. Outro fator a ser considerado é o espaço de armazenamento, uma vez que 
todos os dados são copiados, o volume de dados tende a crescer de forma acelerada, o que pode elevar 
os custos com mídias de armazenamento. 
O primeiro tem apenas 1Gb de dados, no segundo full backup seu tamanho aumentou para 2Gb, 
no terceiro para 3Gb e no quarto full backup 4Gb. Como podemos perceber o backup full contém todas 
as informações, incluindo as informações anteriores e as novas ou modificadas. Desta forma, um único 
backup full conterá todas as informações necessárias para fazer um restore, caso seja necessário. 
 
b) Backup diferencial 
 
As cópias das informações são feitas considerando o último backup completo. Desta forma serão 
copiadas todas as informações que foram criadas ou alteradas depois do último backup completo. Esse 
tipo de backup requer um volume de armazenamento menor se comparado com o completo, porém, 
mesmo assim o volume de dados tende a crescer significativamente. 
Para o backup diferencial acontecer é necessário que exista primeiro um backup full. O backup 
diferencial considera somente as novas inclusões/modificações dos arquivos após o último backup full, 
portanto o volume de dados copiados é bem menor que o backupfull. Caso seja necessário fazer um 
restore será preciso ter o último backup full e mais o backup diferencial do dia que deseja restaurar os 
dados. 
 
c) Backup incremental 
 
Só serão copiadas as informações que foram criadas ou alteradas no dia. Dessa forma, pode 
haver variações nos tamanhos de arquivos a serem copiados. Nesse tipo de backup as cópias tendem a 
ser bem mais rápidas e o volume de armazenamento geralmente é menor. 
6 
 
Para o backup incremental acontecer é necessário que exista primeiro um backup full. O backup 
incremental considera somente as novas inclusões/modificações dos arquivos de cada dia, portanto o 
volume de dados copiados é bem menor que o backup full e o backup diferencial. 
Caso seja necessário fazer um restore será preciso ter o último backup full e mais os backups 
incrementais de cada dia. 
É de suma importância que exista uma política de backup adequada e que reflita a real 
necessidade da empresa ou instituição. 
Outro fator importante que deve ser considerado antes de elaborar uma política de backup é 
definir o Recovery Point Objective (RPO) e Recovery Time Objective (RTO). 
Recovery Point Objective (RPO) é a quantidade máxima de dados que a empresa ou instituição 
considera aceitável a ser perdida, em um determinado tempo, no caso de um desastre. Segundo 
(BERNARD,2011), um Recovery Point Objective de um dia pode ser perfeitamente apoiado por 
backups diários de até 24 horas, porém dados podem ser perdidos dentro desse período de 24 horas. 
Recovery Time Objective determina qual o tempo aceitável de espera até que a recuperação dos 
sistemas ou arquivos os deixe novamente prontos para operar, no caso de um desastre. Portanto, é 
necessário que a empresa ou instituição análise atentamente o seu negócio, a fim de chegar a um RTO 
que atenda suas necessidades. Isso implica na escolha de qual será a melhor forma de fazer as cópias de 
segurança, objetivando atender aos valores definidos para os parâmetros RPO e RTO. (BALTZAN, 
2016) afirma: “As empresas devem escolher uma estratégia de backup e recuperação que esteja de 
acordo com seus objetivos e necessidades operacionais.” 
O backup é uma ferramenta importante usada para proteger as informações, porém também está 
sujeito a falhas que podem inviabilizar a proteção das informações. Segundo a análise feita por (PAULA, 
2015) em uma instituição pública, as seguintes ameaças podem comprometer os serviços oferecidos: 
• Erros humanos; 
• Instalação de software não autorizado; 
• Bugs no sistema acadêmico; 
• Desastres naturais; 
• Desastres causados por pessoas; 
• Falhas em equipamentos; 
• Uso de senhas frágeis; 
• Falhas de fornecimento de energia elétrica; e 
• Falhas no serviço de backup. 
 
 
6. BACKUP EM NUVEM 
 
Segundo (SANTOS, 2019). Uma das possibilidades atuais de armazenamento de backups é 
na nuvem. O NIST define a computação em nuvem como sendo (MELL, 2011) um modelo que permite 
o acesso, através da rede e de forma ampla, conveniente e sob demanda, a um conjunto de recursos 
computacionais configuráveis, (por exemplo, redes, servidores, armazenamento, aplicações e serviços) 
que podem ser rapidamente provisionados e liberados com um mínimo de esforço de gerenciamento ou 
de interação com o provedor de serviços. A computação em nuvem é normalmente comercializada 
seguindo os três modelos de serviço definidos pelo NIST: 
· Software como serviço (SaaS – Software as a Service) – quando o cliente utiliza aplicações do 
provedor hospedadas na infraestrutura de nuvem do próprio provedor. Tais aplicações tem a 
característica de serem acessíveis por diferentes tipos de dispositivos, por meio de um navegador web 
ou mesmo por um software específico; 
· Plataforma como serviço (PaaS – Platform as a Service) – quando o cliente utiliza a 
infraestrutura de nuvem do provedor para implantar aplicações criadas pelo próprio cliente, ou 
adquiridas de terceiros, seguindo as linguagens de programação, bibliotecas, serviços e ferramentas 
suportadas pelo provedor; 
7 
 
· Infraestrutura como serviço (IaaS – Infrastructure as a Service) – quando o cliente tem a 
capacidade de provisionar os recursos computacionais (como armazenamento, processamento e rede) 
onde poderá implantar e executar qualquer tipo software, incluindo o sistema operacional e as aplicações 
de sua escolha, tudo isso na infraestrutura de nuvem do provedor. Dependendo do modelo de 
implantação da sua infraestrutura, pode ainda ser classificada como (MELL, 2011) como: 
• Nuvem privada – para o uso exclusivo de uma única organização; 
• Nuvem comunitária – para o uso exclusivo de uma comunidade formada por 
organizações que possuem objetivos em comum; 
• Nuvem pública – para o uso do público em geral; 
• Nuvem híbrida – composta por duas ou mais infraestruturas de nuvem distintas (privada, 
comunitária ou pública) que se mantêm independentes, mas que se interligam por meio de alguma 
tecnologia que permita a portabilidade de aplicações e de dados entre as nuvens. As principais vantagens 
da adoção de computação em nuvem são decorrentes dos ganhos de escala: ao se consolidar datacenters 
isolados como um grande pool de recursos computacionais compartilhados, reúne-se um conjunto muito 
maior de recursos que podem ter seus custos unitários reduzidos, enquanto melhora seu aproveitamento 
e balanceamento de demandas pelos diversos clientes, otimizando o nível de uso dos recursos e 
dividindo os custos fixos de manutenção por uma base maior de usuários. 
 
6.1 Backup em nuvem e suas melhores práticas 
 
Segundo (SANTOS, 2019). As vantagens da adoção do modelo de computação em nuvem 
para o armazenamento de backups foram muito bem descritas pelo Tribunal de Contas da União (TCU, 
2015, pg. 12): 
Classicamente, o processo de backup é demorado e lento, pois necessita copiar arquivos para 
outra mídia, como outro disco ou fita, e transportá-la para instalações independentes onde possa ser 
garantida sua integridade em caso de desastre nas instalações principais. O backup para a nuvem é uma 
solução mais simples, ressalvando-se que depende de banda de internet suficiente para tal, na qual 
backups podem ser programados e executados automaticamente. Os dados são armazenados já em um 
local remoto, seguro, disponível, com capacidade de expansão de espaço automática, intrínseca à 
escalabilidade característica da computação em nuvem. 
 
O CERT.br (2012) indica um conjunto de melhores práticas a serem consideradas ao se utilizar 
serviços de backup online, que são igualmente aplicáveis ao backup em nuvem: 
• Observar a disponibilidade do serviço; 
• Observar os tempos estimados para a realização e recuperação dos backups, 
considerando a largura de banda disponível e a quantidade de dados a serem transmitidos. Dependendo 
desses tempos, o backup online pode se tornar inviável; 
• Considerar o tempo de manutenção dos dados, o espaço disponível de armazenagem e 
as políticas de privacidade e de segurança do fornecedor do serviço; 
• Utilizar criptografia na transmissão de dados para o provedor de serviços. 
 
6.2 Backups em nuvem e continuidade de negócios 
 
Segundo (SANTOS, 2019). Considerando os valores de RPO e RTO estabelecidos para os 
dados e sistemas prioritários da organização durante seu processo de análise de impacto nos negócios, 
a Opus Software (2015) sugere dois possíveis modelos de implementação de recuperação de desastres 
baseados em backup na nuvem e voltados para a continuidade dos negócios: 
· Backup na nuvem (cold start) – nesse modelo o backup da infraestrutura primária da 
organização é armazenado na nuvem, podendo ser então restaurado para uma infraestrutura secundária 
da própria organização; 
· Backup e infraestrutura secundária na nuvem (warm start) – nesse modelo tanto o backup 
quanto a infraestrutura secundária ficam na nuvem. Em caso de desastres, essa infraestrutura secundária 
8 
 
entraem operação com o backup dos dados que se encontra na própria nuvem, possibilitando o 
atendimento de baixos valores de RTO 
 
6.3 Armazenamentos em nuvem 
 
Segundo (MALHEIRO, 2019). Existe uma grande variedade de serviços de armazenamento 
de dados em nuvem. Para escolher o mais adequado, é importante avaliar como os dados devem ser 
estruturados, o volume de dados a ser manipulado e os requisitos da aplicação. Conforme explicado em 
(EL; PUTTINI; MAHMOOD, 2013), existem quatro tipos de serviços de armazenamento de dados em 
ambientes de Computação em Nuvem: 
• Armazenamento em blocos: 
– Alocação de blocos em discos de armazenamento disponibilizados na infraestrutura do 
provedor. 
– Permite ao cliente alocar blocos em unidades de armazenamento gerenciadas pelo provedor. 
– As unidades podem ser acessadas remotamente por meio de uma rede de alto desempenho 
dedicada para interconexão de equipamentos de armazenamento de dados. Esse tipo de rede é 
denominado redes de Armazenamento de Dados (SAN- Storage Area Network) (NETO, 2007). 
• Armazenamento de arquivos: 
Leitura e escrita em diretórios com sistema de arquivos gerenciado pelo provedor. 
– O cliente do provedor de nuvem pode manipular arquivos remotamente utilizando tecnologias 
para sistemas de arquivos distribuídos, como o Network File System (NFS) (TANENBAUM, 2008) ou 
Server Message Block (SMB) (GONÇALVES, 2018). 
• Armazenamento de objetos: 
– Repositório para itens de dados binários (como vídeos, imagens, etc.). 
– Solução para acesso a arquivos binários, como áudios ou fotos, por meio de um serviço web 
gerenciado pelo provedor. 
• Armazenamento de base de dados: 
– Sistemas de gerenciamento de banco de dados (SGBDs) mantidos pelo provedor. Há suporte 
tanto para SBGBs relacionais, quanto não relacionais. 
O armazenamento em blocos é o modelo com menor nível de abstração entre as alternativas 
para persistência de dados em provedores de nuvem (EL; PUTTINI; MAHMOOD, 2013). De fato, o 
bloco é a unidade lógica mínima de armazenamento de dados oferecida por um sistema operacional em 
se tratando de gerenciamento de unidades de memória secundária. No ambiente de nuvem, o provedor 
utiliza também técnicas de virtualização para criar unidades de armazenamento virtuais em dispositivos 
físicos de armazenamento, da mesma maneira como as máquinas virtuais podem ser criadas em 
servidores físicos. Os dispositivos de armazenamento físicos utilizados pelos provedores incluem HDs 
(Hard Disks) tradicionais, do tipo disco magnético, e também unidades do tipo SSD (solid-state drive). 
As unidades virtuais de armazenamento em bloco oferecidas pelos provedores são criadas sobre esses 
recursos físicos para servir como discos das máquinas virtuais ou contêineres. Em geral, a principal 
finalidade dos serviços de armazenamento em bloco na nuvem é servir como discos para instâncias 
como máquinas virtuais (VMs) ou contêineres. Essas instâncias precisam de capacidade de 
armazenamento de dados para executar as aplicações. Então, quando a criação de uma instância é 
solicitada, o provedor cria automaticamente uma unidade virtual de armazenamento em bloco, que é 
usada como disco dessa instância, ou seja, a unidade de armazenamento em bloco é o disco da máquina 
virtual 
No entanto, as unidades de armazenamento em bloco também podem ser usadas em outras 
soluções, por exemplo, para implantação de algum mecanismo automático de backup de dados na 
nuvem. 
O segundo tipo de serviço é o armazenamento de arquivos em nuvem. Nesse caso, a unidade de 
armazenamento são os arquivos (EL; PUTTINI; MAHMOOD, 2013). O acesso ao serviço de 
armazenamento é feito por meio de alguma tecnologia de sistema de arquivos distribuídos, como NFS 
ou SMB. Esse tipo de serviço é bastante utilizado para compartilhamento de arquivos em rede, por 
9 
 
exemplo, para manter o diretório home dos usuários de uma rede corporativa, com as vantagens da 
escalabilidade e disponibilidade do armazenamento em nuvem. Assim, os usuários podem acessar seus 
arquivos de qualquer dispositivo com acesso à Internet. 
Terceiro tipo de serviço de armazenamento em nuvem é o armazenamento de objetos. Neste 
caso, as unidades de armazenamento são objetos que são gerenciados como recursos web (EL; 
PUTTINI; MAHMOOD, 2013). Isso significa que o acesso aos dados pode ser feito na forma de 
requisições HTTP. Os provedores suportam armazenamento de objetos de vários tipos como imagens, 
arquivos executáveis, vídeos, entre outros. Além disso, os provedores oferecem uma API para que as 
aplicações possam manipular os objetos por meio de requisições na web, em vez de usar linguagens de 
consultas comuns em gerenciadores de bancos de dados. 
O quarto tipo de serviço de armazenamento em nuvem é o armazenamento de bases de dados. 
Esse modelo corresponde aos serviços de banco de dados em nuvem ou Banco de Dados como Serviço 
(DBaaS - Database as a Service). São serviços que, em geral, suportam algum tipo de linguagem de 
consulta, além de operações básicas de escrita ou leitura de dados (EL; PUTTINI; MAHMOOD, 2013). 
No Quadro 3.6, são apresentados exemplos de serviços de banco de dados em nuvem para duas 
categorias de Sistema Gerenciador de Banco de Dados (SGBD): relacional e não relacional. Como 
explicado em (SOUZA et al., 2014), os bancos de dados relacionais são aqueles que utilizam a álgebra 
relacional para suporte à consistência forme, armazenam dados de forma estruturada e implementam 
alguma linguagem de consulta estruturada (SQL - Structured Query Language). 
O baixo desempenho dos bancos de dados relacionais para gerenciamento de grandes volumes 
de dados motivou o desenvolvimento dos bancos de dados não relacionais, também denominados “não 
apenas SQL” (NoSQL – not only SQL) (SOUZA et al., 2014). Os bancos não relacionais apresentam 
desempenho e escalabilidade significativamente superior para lidar com grandes volumes de dados não 
estruturados, o que é muito importante, por exemplo, para aplicações web em larga escala. 
 
7. RESTORE 
 
A definição restore segundo (VERAS, 2015) é o processo de recuperação de dados, de 
algum local de armazenamento para seu local de origem. Para que o restore possa ser executado com 
sucesso é necessário que alguns fatores sejam respeitados a fim de garantir seu êxito, como: tempo de 
retenção das cópias, armazenamento correto das mídias, testes frequentes de mídias e recuperação de 
dados. O tempo que um procedimento de restore pode levar depende do tipo de backup utilizado para 
fazer as cópias. 
O backup completo é o mais simples de restaurar, porém o mais demorado devido ao grande 
volume de dados que costuma ter. O backup diferencial necessita que no mínimo duas cópias sejam 
utilizadas: o último backup completo mais a cópia diferencial da qual se deseja obter as informações. A 
recuperação desse tipo de backup também é um processo trabalhoso e demorado. Já no incremental, o 
processo se torna ainda mais demorado tendo em vista que será necessário o último backup completo e 
mais as cópias de cada dia. Por exemplo, se o último backup completo ocorreu no domingo e as 
informações que se precisa restaurar estão no backup incremental da sexta-feira seguinte, assim será 
necessário o último backup completo (domingo) e mais as cópias dos backups incrementais de segunda, 
terça, quarta, quinta e por fim o de sexta-feira. E se uma dessas cópias não puder ser restaurada, ter-se-
á um grande problema, pois somente parte dos dados poderá ser recuperada. É por esse motivo que o 
monitoramento e os testes de recuperação devem ser frequentes a fim de minimizar esse tipo de perda 
das informações. 
 
8. GERENCIAMENTO DO CICLO DE VIDA DAS INFORMAÇÕES 
 
Assim como qualquer produto a informação também tem um ciclo de vida 
(HINTZBERGEN, 2015). diz ela nasce com a produção, tem um tempo de vida útil, na qual é 
manuseada, utilizada interna e externamente,transportada por diversos meios, armazenada, e morre com 
a sua destruição. 
10 
 
A doutrina tem apresentado o seguinte ciclo de vida para as informações: produção e manuseio, 
armazenamento, transporte e descarte. A produção é a fase na qual nasce a informação, e o manuseio, 
como o próprio nome já diz, é o ato de manusear a informação. É nessa fase que se caracteriza a 
materialização do conhecimento; O transporte é a fase da condução por quaisquer meios nos quais conste 
a informação. O armazenamento é o ato de arquivar as informações. E o descarte é o ato de descartar 
ou inutilizar a informação. 
Alguns autores, como Beal (2005), apresentam mais algumas etapas para o ciclo de vida da 
informação. Beal apresenta seis etapas: identificação das necessidades e dos requisitos, obtenção, 
tratamento, distribuição, uso, armazenamento e descarte. 
A identificação das necessidades e dos requisitos, para Beal, é o ponto de partida do ciclo de 
vida da informação, por entender que essa etapa age como um elemento acionador de todo o processo, 
podendo vir a estabelecer um ciclo contínuo de coleta. Ela enfatiza que a recompensa por descobrir 
essas demandas se dá ao tornar a informação mais útil e os seus destinatários mais receptivos à sua 
utilização. Na etapa da obtenção, são desenvolvidas as atividades de criação, recepção ou captura de 
informação proveniente de fonte externa ou interna. Na etapa do tratamento, caracteriza a passagem da 
informação por processos para torná-la mais acessível, organizada e fácil de localizar pelos usuários. 
Verifica-se que a classificação de Beal se aproxima mais de um esquema de produção do 
conhecimento, pois a identificação das necessidades e requisitos é parte integrante da fase do 
planejamento, que é uma das etapas da produção do conhecimento. 
Independentemente da linha a ser adotada, todas essas etapas do ciclo de vida da informação 
são importantes para o ciclo de produção do conhecimento 
 
9. GERENCIAMENTO DE RISCO 
 
Tão importante quanto fazer o backup é entender como funciona o gerenciamento de 
risco segundo (HINTZBERGEN, p. 38, 2015). são o processo de planejar, organizar, conduzir e 
controlar as atividades de uma organização visando minimizar os efeitos do risco sobre o capital e o 
lucro de atividades de podem surgir da incerteza do mercado financeiro, de falhas de projeto, de 
responsabilidades legais, de risco de crédito, de acidentes, de causas naturais e desastres, bolo de ataques 
deliberados de adversários. Diversos padrões de gerenciamento de riscos foram desenvolvidos, 
incluindo os do Project Management Institute (PMI), National Institute of Science and Technology 
(NIST) e padrões ISO. Métodos, definições e objetivos variam muito – por exemplo, se o método de 
gerência de riscos se encontra no contexto da gerência de projetos, segurança, engenharia, processos 
industriais, carteiras financeiras, avaliações atuariais ou segurança e saúde pública. A estratégia de risco 
pode incluir transferir o risco para outra parte, evitar o risco, reduzir o efeito negativo do risco e aceitar 
algumas ou todas as consequências de um risco em particular. Gerenciamento de riscos é um processo 
contínuo que se aplica a todos os aspectos dos processos operacionais. Em grandes organizações, a 
tarefa de monitorar esse processo é conduzida por um especialista em segurança da informação, tal como 
um Encarregado de Segurança da Informação (Information Security Officer – ISO) ou Chefe de 
Segurança da Informação (Chief Information Security Officer – CISO), que é designado especialmente 
para essa função é responsável pelo mais alto nível de gestão. Requisitos de segurança da informação 
são essenciais para que uma organização identifique seus requisitos de segurança. Existem três 
principais fontes de requisitos de segurança: A. A avaliação dos riscos à organização, levando em conta 
a estratégia e os objetivos globais de negócio da organização. Por meio de uma avaliação do risco, as 
ameaças aos ativos são identificadas, a vulnerabilidade e a probabilidade de ocorrência são avaliadas e 
o potencial impacto é estimado. Os requisitos legais, determinados por estatutos, regulamentos e 
contratos que uma organização, seus parceiros comerciais, contratantes e provedores de serviço têm que 
satisfazer, e seu ambiente sociocultural. O conjunto de princípios, objetivos e requisitos de negócio para 
o manuseio, processamento, armazenamento, comunicação e arquivamento da informação que uma 
organização desenvolve para apoiar suas operações. Os recursos empregados na implementação de 
controles precisam ser equilibrados de acordo com os prejuízos de negócio que podem resultar de 
problemas de segurança na ausência de tais controles. O resultado da avaliação do risco irá ajudar a 
11 
 
guiar e a determinar as ações de gestão adequadas e as prioridades para gerir os riscos da segurança da 
informação e a implementar os controles selecionados para proteger contra esses riscos. 
 
10. PLANO DE CONTINUIDADE DE NEGÓCIOS 
 
Se preparar para possíveis desastres é algo vital para as empresas atualmente segundo 
(HINTZBERGEN, 2015). A cada ano, empresas ao redor do mundo são atingidas por desastres que 
têm grande impacto na disponibilidade de seus sistemas. Apenas uma pequena parcela dessas empresas 
está adequadamente preparada para essas eventualidades. A maioria das empresas afetadas por tais 
enormes desastres provavelmente não sobrevive a eles. As empresas que sobrevivem a esse tipo de 
desastre tipicamente pensam com cuidado na possibilidade de tais desastres e, de forma antecipada, nos 
prováveis resultados e documentam e seguem medidas e procedimentos necessários para se 
proteger. No entanto, se não existirem planos, não significa que a empresa não poderá sobreviver. Isso 
depende do negócio e de outros fatores. Uma organização depende de ativos, pessoal e tarefas que têm 
que ser conduzidas diariamente, a fim de se manter saudável e lucrativa. A maioria das organizações 
possui uma complexa rede de fornecedores e ativos que dependem uns dos outros para poder funcionar. 
Existem canais de comunicação, tais como telefones e conexões de rede, e há edificações em que 
trabalho é conduzido. As edificações devem estar em condições ótimas a fim de garantir que o trabalho 
não seja apenas prazeroso, mas também realizado de forma eficiente. Se um elo na cadeia de 
dependências falhar, pode haver problemas. Quanto mais elos falharem, maior será o problema. E 
quanto mais tempo certos componentes da cadeia ficarem fora de ação, maior será o efeito disso na 
organização, e mais tempo levará para as operações normais iniciarem. Pensar de forma antecipada 
sobre a continuidade dos processos do trabalho é essencial para uma organização. Não importa se é um 
processo de produção complexo ou uma atividade relativamente simples, tal como o processamento de 
moradores que se mudaram para uma nova casa. Tanto para os funcionários quanto para os clientes, é 
importante que cada componente – grande ou pequeno –do processo trabalhe suavemente e continue a 
agir assim no caso de dificuldades. O propósito da gestão de continuidade dos negócios (Business 
Continuity Management – BCM) é prevenir que as atividades da empresa sejam interrompidas, proteger 
processos críticos das consequências de grandes perturbações nos sistemas de informação e permitir 
uma rápida recuperação. Na gestão da continuidade dos processos da empresa, devem ser identificados 
os processos da empresa que são críticos para a operação da organização. Além de outras medidas que 
garantam a continuidade, deve-se evitar a perda de informações que possam ocorrer como resultado de 
desastre natural, ataque, incêndio ou falha de energia. As consequências dos desastres e dos incidentes 
de segurança e as falhas dos serviços são avaliadas em uma Análise de Impacto no Negócio, ou Business 
Impact Analysis(BIA). O plano de continuidade descreve como a informação requerida por processos 
críticos de negócio pode ser rapidamente disponibilizada. Na segurança da informação, a gestão da 
continuidade é normalmente dividida em dois componentes separados, mas intimamente 
relacionados: Planejamento de Continuidade do Negócio, ou Business Continuity Planning (BCP), onde 
a continuidade do processo do negócio é garantida. Planejamento de Recuperação de Desastres, ou 
Disaster Recovery Planning (DRP), onde é organizada a recuperação após um desastre. A gestão de 
continuidade dos negócios é descrita na ISO 27031:2012. Embora a ISO/IEC 27002:2013 inclua 
algumas medidas de BCM, elas visam principalmente a informação, enquanto o aviso 27031 deve ser 
aplicada integralmente em toda a organização 
 
10.1 Continuidade 
 
Segundo (HINTZBERGEN, 2015) A continuidade diz respeito à disponibilidade dos 
sistemas de informação no momento em que eles são necessários. Diversos requisitos podem ser 
impostos a essa disponibilidade. Você tem uma central telefônica onde cinquenta funcionários estão no 
telefone 24 horas por dia? Você, sem dúvida, teria diferentes requisitos de disponibilidade em 
comparação a uma empresa com apenas uma pessoa ao telefone, a qual recebe ligações apenas uma vez 
a cada hora. Para uma Câmara Municipal, a disponibilidade do banco de dados do município é de grande 
12 
 
importância. Se ele não estiver disponível, um grande número de funcionários não será capaz de realizar 
seu trabalho. No entanto, se esse sistema não estivesse à disposição do conselho durante a noite, isso 
representaria pouco ou nenhum problema. Podemos ver aqui que, dependendo da organização, do campo 
do trabalho e até mesmo da divisão dentro de uma organização, os requisitos de disponibilidade podem 
diferir dramaticamente. 
 
10.1.1 O que são desastres? 
 
A visão que devemos ter de um desastre segundo (HINTZ BERGEN, 2015). À primeira 
vista, um desastre parece bastante ameaçador. Mas isso está longe de ser verdade. Neste contexto, um 
desastre não precisa ser necessariamente uma inundação ou um ataque terrorista. A falha do sistema de 
que você tanto depende para o seu trabalho diário, por meio de um problema técnico, também é um 
desastre. 
Na prática: Uma simples placa de rede no servidor de e-mails que se torne defeituosa pode ser 
um total desastre. Ultimamente, se privada de seus e-mails, uma equipe não seria capaz de realizar 
adequadamente seu trabalho. 
 
10.1.2 Como a sua empresa responde a um desastre? 
 
Segundo (HINTZBERGEN, 2015) Às consequências que um desastre pode ter em um 
negócio dependem da natureza do desastre. Se o trabalho tiver sido interrompido devido a uma falha de 
um sistema ou de toda a rede em que até do escritório opera, então um telefonema para a central de 
serviços ou central de atendimento normalmente é suficiente para ter as atividades necessárias 
restauradas e funcionando. De forma similar, se a saúde de um funcionário estiver em perigo, então 
uma chamada telefônica para o serviço de emergência interno ou um número de emergência nacional 
seria a ação correta. Em todos os casos, a vida humana tem prioridade sobre softwares e equipamentos. 
Atividades de evacuação devem ser postas em ação primeiro, e apenas depois deve ser dada atenção aos 
processos de negócio, começando pelo mais crucial. É importante, portanto, que existam procedimentos 
claros e eficazes definindo quais ações devem ser tomadas. Por exemplo: 
• Você saber que, no caso de uma falha no sistema de informação, deve contatar a central 
de atendimento. 
• Você sabe onde estão as saídas de emergência em um prédio. 
• Você saber a quem ligar no caso de um incêndio, do acionamento espontâneo do sistema 
de sprinklers ou de um alerta de bomba. 
A central de atendimento ou o funcionário do serviço de emergência interno deve saber o que 
fazer em cada tipo de alerta. Os funcionários da central de atendimento terão uma lista de prioridades 
que documente quem é o que deve ser ajudado e quando, bem como quais organizações eles devem 
contatar em cada diferente alerta. A formação do pessoal do serviço de emergência interno é muito 
importante. Trabalhadores do serviço de emergência interno são funcionários normais que decidiram 
assumir essas funções adicionais. Certifique-se de que haja pessoal do serviço de emergência interno 
por todas essas funções alerta de bomba é obviamente um risco muito sério para uma organização. Isso 
não é uma ocorrência normal na maioria dos países, mas se ocorrer é um desastre e pessoas podem ser 
mortas. É bom ver que as pessoas se tornaram mais conscientes sobre pacotes suspeitos. Portanto, é 
fortemente aconselhável ter procedimentos em vigor para essa ameaça. Um procedimento para alerta 
de bomba deve claramente descrever o que fazer no caso de alguém levantar um alarme. Itens suspeitos 
podem entrar em qualquer empresa. O staff deve saber o que não é normal e ser capaz de identificar 
itens suspeitos. Deve-se prestar atenção a isso durante a campanha de conscientização sobre segurança 
 
10.2 Planos de recuperação de desastres (disaster recovery planning –drp) 
 
Segundo (HINTZBERGEN, 2015) Qual a diferença entre o Plano de Continuidade do 
Negócio (Business Continuity Planning –BCP) e o Plano de Recuperação de Desastres (Disaster 
13 
 
Recovery Planning – DRP)? O propósito dor é minimizar as consequências de um desastre e tomar as 
medidas necessárias para garantir que funcionários, ativos e processos do negócio estejam disponíveis 
novamente dentro de um 
tempo aceitável. Isso é diferente do BCP, onde métodos e procedimentos também são 
organizados para falhas que duram um período de tempo mais longo. Um DRP visa uma recuperação 
imediata após um desastre. O DRP é posto em ação quando o desastre ainda está em curso. O trabalho 
é focado em determinar os danos e fazer os sistemas funcionarem novamente. Um BCP vai além e tem 
um foco mais amplo. O BCP planeja um local alternativo onde o trabalho pode ser realizado enquanto 
o local original é reconstruído. No é reconstruído é focado em manter a empresa funcionando, mesmo 
que apenas parcialmente, a partir do momento em que o desastre ocorre até quando a empresa estiver 
totalmente recuperada. Em outras palavras: 
• DRP: Há um desastre agora e o que devo fazer para voltar à produção. 
• BCP: Tivemos um desastre e o que devo fazer para voltar a como era antes do desastre. 
Caso desastre. 
Caso funcionária da Spring books use uma versão de lista telefônica da intranet. Isso de repente 
falha, então ela informa ao repente sobre o ocorrido. A funcionária, no entanto, pode continuar seu 
trabalho simplesmente usando a versão de lista telefônica da internet. Tal mensagem para a central de 
atendimento não receberá alta prioridade. Um funcionário de TI da Spring books está trabalhando na 
recuperação da lista telefônica da intranet. Chega uma mensagem sobre um importante sistema que 
falhou, resultando na paralisação do sistema de encomendas e faturamento. Todos entendem que a 
continuidade de tal sistema receberá maior prioridade que a recuperação de um sistema para o qual há 
uma alternativa. Ao desenvolver um BCP e/ou um DRP, diversas soluções podem ser consideradas para 
ter os processos de negócio funcionando novamente. Se for decidido que, no caso de um desastre, os 
processos e os sistemas de negócio devem estar disponíveis o mais rapidamente possível, a melhor opção 
é desenvolver planos e procedimentos para um sistema de prontidão. Tais sistemas devem ser testados 
regularmente. O plano também precisa incluir como o sistema de prontidão, uma vez ativado, será 
desativado; deve estar claro em quais condições as operações normais podem ser retomadas. É 
necessário estimar o tempo máximo de inatividade e de recuperação permitidos para os sistemas e 
determinar quais sistemas são necessários para aorganização continuar os negócios 
 
10.3 Testando 
 
Segundo (HINTZBERGEN, 2015) Essas diversas soluções, variando de baratas a caras, 
parecem todas eficazes. Um bom time deck/DRP considerará todas as eventualidades, discutirá tudo 
diversas vezes e eventualmente ganhará a aprovação da gerência superior. O plano é então publicado e 
todos os gerentes recebem uma cópia. Mas então as cópias vão para um armário ou gaveta. Afinal de 
contas, os desastres só acontecem com outras pessoas, não nós. Não é? É por isso que é melhor testar 
esses planos regularmente e avaliá-los e modificá-los quando necessário. Organizações mudam, 
portanto, as medidas precisam mudar com elas. A probabilidade extremamente pequena de o plano ser 
necessário é a principal razão pela qual temos que estar particularmente preparados. Se o staff não tiver 
sido treinado e o desastre se tornar realidade, então é altamente improvável que um BCP funcione como 
pretendido. Testes regulares são necessários para tornar a equipe ciente de como agir no caso de um 
desastre. Em segundo lugar, toda mudança que é feita no processo de negócio deve ser incluída no plano. 
Um plano desatualizado não ajudará a organização a ficar operacional novamente. Podemos testar o 
mais extensivamente possível, desde ouvir o alarme de incêndio até iniciar novamente. Podemos ou 
restaurar um backup. O essencial em todos esses testes, no entanto, é que os procedimentos sejam 
testados em uma simulação da vida real, a fim de ver se essas medidas são corretas e eficazes. Caso 
eficaz. Caso Spring books montou um hotsite a aproximadamente 20 quilômetros da filial principal. A 
livraria da internet é altamente dependente do centro de computadores. Uma falha desse centro 
operacional principal poderia resultar na perda de dezenas de milhões de euros. Os custos desse hotsite 
são muito menores do que os custos envolvidos se o sistema falhasse por algum tempo. 
 
14 
 
11. POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO 
 
Segundo (HINTZBERGEN, 2015) Ao estabelecer uma política para a segurança da 
informação, a administração provê as diretivas e apoio para a organização. Essa política deve ser escrita 
em conformidade com os requisitos do negócio, bem como com as leis e os regulamentos relevantes. A 
política de segurança da informação deve ser aprovada pelo conselho de administração e publicada para 
todo o seu pessoal, todos os parceiros externos relevantes, tais como clientes e fornecedores. Na prática, 
ela é distribuída normalmente como uma versão resumida, delineando os principais pontos. Essa 
distribuição pode ser feita na forma de um folheto emitido para todos os funcionários e incluído como 
uma parte do termo de introdução para novos funcionários. A versão completa pode ser publicada na 
intranet da empresa ou em algum outro local que seja facilmente acessível para todos os 
funcionários. Entretanto, somente a publicação na intranet não é garantia de que será lida por todos os 
funcionários. Deve haver algum programa de conscientização bem balanceado para alcançar todos os 
funcionários. É comum um documento de políticas ter uma estrutura hierárquica. Vários documentos 
de política são desenvolvidos, tendo como base uma política de segurança corporativa de alto nível. Eles 
devem estar sempre em conformidade com a política corporativa e prover diretrizes mais detalhadas 
para uma área específica. Um exemplo disso é um documento de política sobre o uso das diretrizes mais 
seguintes itens podem então ser escritos, com base em documentos de política: Regulamentos. Um 
regulamento é mais detalhado que um documento de política. Regulamentos são normalmente 
considerados obrigatórios e a sua não observância pode levar a procedimentos disciplinares. 
 
• Procedimentos descrevem em detalhes como medidas particulares devem ser 
conduzidas podem, por vezes, incluir instruções de trabalho, como, por exemplo, uma política de mesa 
limpa. Visando assegurar que materiais sensíveis não sejam facilmente removidos, é necessária a 
política de mesas limpas. Nenhuma informação deve ser deixada sobre uma mesa sem supervisão de 
alguém e, após o expediente, toda informação deve ser guardada em algo que possa ser trancado. 
• Diretrizes, como o termo sugere, fornecem orientações. Elas descrevem quais aspectos 
têm de ser examinados em função de determinados pontos de vista de segurança. As Diretrizes não são 
obrigatórias, mas são de caráter consultivo. 
• As normas podem compreender, por exemplo, a configuração padrão de certas 
plataformas. Um exemplo importante de norma é a ISO/IEC 27001:2013. Trata-se de uma norma para 
estabelecer a segurança da informação na organização. A Parte I, ISO/IEC 27001, descreve o sistema 
de gestão (Informativo Security Management System – ISMS). A Parte II, ISO/IEC 27002:2013, a qual 
é também chamada de Código de prática para controles de segurança da informação, desenvolve esse 
sistema de gestão por meio de diretivas práticas. Uma organização pode ser certificada com a ISO/IEC 
27001:2013 e, consequentemente, mostrar aos seus fornecedores e clientes que atende aos requisitos de 
qualidade de segurança da informação. O Código de prática para controles de segurança da informação 
é aplicável a todas as organizações, pequenas ou grandes, governo ou empresas. 
 
11.1 Revisão das políticas de segurança da informação 
 
Segundo (HINTZBERGEN, 2015) A ISO/IEC 27002:2013 estabelece que as políticas de 
segurança da informação devem ser revisadas em intervalos planejados ou se ocorrerem mudanças 
significativas, a fim de assegurar sua contínua conformidade, adequação e eficácia. Cada política deve 
ter um encarregado, que tenha responsabilidade gerencial aprovada para o desenvolvimento, a revisão e 
a avaliação de políticas. A revisão deve incluir a avaliação de oportunidades de melhoria de políticas da 
organização e a abordagem da gestão da segurança da informação em resposta a mudanças no ambiente 
organizacional, nas circunstâncias de negócio, nas condições legais ou no ambiente técnico. A revisão 
de políticas para a segurança da informação deve levar em conta os resultados das revisões gerenciais. 
Deve ser obtida aprovação da gerência para a política revisadas. 
 
 12. CONCLUSÃO 
15 
 
 
Como visto no artigo a várias formas de se perder dados seja um ataque hacker, um 
desastre e etc. para garanti a segurança de tais dados se torna necessário criar uma estratégia de 
backup, podendo se desde backup completo ou full o mais simples chegando a tipos mas 
complexo como o backup incremental, as soluções de backup adotadas devem considerar os 
requisitos de negócios da organização e seu ambiente operacional, e também devem ser 
previsíveis, confiáveis e capazes de processar dados com a alta velocidade. Uma boa estratégia 
de backup vai diminuir os impactos de um desastre e possibilita uma volta rápida aos negócios. 
É melhor 'desperdiçar' o tempo fazendo backup do que temer os efeitos de um desastre que 
pode acontecer a qualquer momento. A redundância nas opções de comunicação é muito 
importante, assim como ter recursos externos para comunicação quando seus sistemas estão 
inativos. O ponto central de todos esses itens essenciais para backup é a velocidade. Os backups 
não só precisam ser confiáveis e acessíveis, mas a empresa precisa ser capaz de restaurar os 
dados rapidamente. 
 
REFERÊNCIAS 
 
ABNT – Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002:2013, 
Tecnologia da informação – Técnicas de segurança – Código de prática para controles de 
segurança da informação. Rio de Janeiro, ABNT, 2013b. 
 
ADRENALINE, O dia do backup - a história do procedimento e como fazer o seu. Disponível em < 
https://adrenaline.com.br/artigos/v/19398/o-dia-do-backup-a-historia-do-procedimento-e-como-fazer-
o-seu >. Acesso em: maio 2021. 
 
BALTZAN, Paige. Tecnologia orientada para a gestão. 6. ed. Porto Alegre: AMGH,2016. 
 
BEAL. Adriana. Segurança da informação: princípios e melhores práticas para a proteção dos ativos 
de informações nas organizações. São Paulo: Atlas, 2005. 
 
BERNARD, Pierre. Passing the itil intermediate exams: The study guide. Van Hagen Publishing, 's-
Hertogenbosch, 2011. 
 
CERT.br – Centro do Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Cartilha 
de Segurança para Internet. São Paulo: CERT.br, 2012. 
 
ERL, T.; PUTTINI, R.; MAHMOOD, Z. Cloud Computing: Concepts, Technology & Architecture. 
[S.l.] Prentice Hall, 2013. 
 
EL-GUINDY MM. Metodologia e ética na pesquisa científica. São Paulo: Ed. Santos; 2004. 
 
FARIA, Heitor Medrado de. Bacula: Ferramenta livre de backup – 2.ed. - Rio de Janeiro: Brasport, 
2014. 
 
GIL, A. C. Métodos e técnicas de pesquisa social. São Paulo: Atlas, 1994. 
 
GONÇALVES, M. de O. Servidor de arquivos SAMBA: definição de um backup automático e 
controle de uso de disco. 2018. Trabalho de Conclusão de Curso. Universidade Federal Fluminense, 
2018. 
 
16 
 
HINTZBERGEN, Jule et al. Foundations of Information Security: based on ISO 27001 and 27002”, 
3ª edição, Rio de Janeiro: BRASPORT Livros e Multimídia Ltda, 2015. 
 
LIMA, Telma Cristiane Sasso; MIOTO, Regina Célia Tamaso. Procedimentos metodológicos na 
construção do conhecimento científico: a pesquisa bibliográfica, Santa Catarina, 2007. 
 
LENTO, Luiz Otávio Botelho; LUZ, Théo Augustus. Gestão de Continuidade do Negócio, Santa 
Catarina: Livro Digital. Unisul Virtual, 2014. 
 
LYRA, Mauricio Rocha, Governança da Segurança da Informação/ Edição do Autor – Brasília, 2015. 
 
MALHEIRO, Neumar Costa. Computação Em Nuvem, Londrina: Editora e Distribuidora 
Educacional S.A., 2019. 
 
MELL, Peter; GRANCE, Timothy. The NIST Definition of Cloud Computing – Recommendations of 
the National Institute of Standards and Technology. NIST, 2011. 
 
OPUS SOFTWARE – O que Você Realmente Precisa Saber Sobre Computação em Nuvem – São 
Paulo, 2015. 
 
PAULA, Lorena Pires de; CORDEIRO, Douglas Farias. Políticas de segurança da informação em 
instituições públicas, 2015. 
 
PEREIRA, Leandro Duarte. Modelos de previsão de curto prazo para um sistema automatizado de 
backup de dados, Itajubá: universidade federal de Itajubá, 2015. 
 
RODRIGUES, Wilson Flávio. Análise dos procedimentos de backup dos institutos federais, Recife: 
Universidade Federal de Pernambuco, 2017. 
 
SANTOS, Eduardo Ferraz. Melhores Práticas Para A Adoção De Backup Em Nuvem Por Órgãos Do 
Poder Legislativo Federal, Santa Catarina: Unisul Virtual, 2019. 
 
SALOMON DV. Como fazer uma monografia. 11a ed. São Paulo: Martins Fontes; 2004. 
 
SOUZA, A. M. et al. Critérios para Seleção de SGBD NoSQL: o Ponto de Vista de Especialistas com 
base na Literatura. In: Anais do X Simpósio Brasileiro de Sistemas de Informação (SBSI). Porto 
Alegre: Sociedade Brasileira de Computação (SBC), 2014. 
 
TANENBAUM, A. S.; STEEN, M. V. Sistemas Distribuídos: Princípios e Paradigmas. 2. ed. São 
Paulo: Pearson Prentice Hall, 2008. 
 
TCU – Tribunal de Contas da União. Acórdão 1.739/2015-TCU-Plenário. – Referência para os 
auditores do TCU em futuras auditorias de contratações de serviços de computação em nuvem, bem 
como para os gestores públicos encarregados de avaliar e, se for o caso, contratar serviços de TI 
segundo esse modelo. Brasília: TCU, 2015. 
 
VERAS, Manoel. Virtualização: Tecnologia Central do DataCenter. - 2 ed. - Rio de Janeiro: Brasport, 
2015.