Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 FACULDADE EDUCAMAIS ESTRATÉGIA DE BACKUP E RECUPERAÇÃO DE DADOS. Nome Do Aluno1 Kewen Anderson Santos Carneiro Professor(A) Orientador(A): Débora Corrêa Professor(A) Orientador(A): Ubiratan Roberte C. Passos Mês/Ano. Junho/2021. RESUMO À medida em que a Tecnologia da Informação se tornou uma área crítica ao sucesso dos negócios, as organizações precisam adotar medidas adicionais para assegurar a disponibilidade de seus serviços (documentos, aplicações, entre outros). Entretanto, os serviços de Tecnologia da Informação muitas vezes não são planejados, analisados e monitorados, o que afeta a garantia de qualidade e segurança das informações aos clientes. Com isso se tornou necessário o backup (cópia de segurança), pode ser definido como sendo a cópia e armazenamento de dados com intenção de recuperação dos negócios em situações de perdas. O desenvolvimento de um plano de backup sólido requer um investimento de tempo e dinheiro, mas o custo é muito menor do que a árdua tarefa de recriar dados para os quais não existe backup. O objeto de estudo desta pesquisa são as estratégias de backup onde veremos os tipos de backups, o ciclo de vidas das informações desde a inserção até a exclusão da mesma, quais são ricos que as informações estão expostas, e quando um desastre acontece quais ações devem ser tomadas, ou seja, qual o plano de continuidade de negócios e pôr fim a políticas de segurança da informação onde iremos abordar sobre os procedimentos, diretrizes, normas, ISO/IEC 27001 e ISO/IEC 27002. Para esse artigo foi utilizado a metodologia de pesquisa bibliográfica, a coleta de dados teve como ponto de partida a utilização do sistema Google Search Engine, após a localização e acesso aos sites, aplicou-se o método de observação direta na procura por recursos informacionais contendo mecanismos de consulta a conjuntos de dados. Palavras-chave: Backup. Restore. Continuidade De Negócios. Recuperação de Dados. 1 Bacharel em Sistemas de Informação (UNIRON, 2018) e discente do Curso de Especialização em Segurança da informação (EDUCAMAIS). 2 1. INTRODUÇÃO Backup é um método já bem conhecido na área da tecnologia da informação que utilizamos para fazer cópias de arquivos sejam eles fotos, vídeos ou documento de empresas ou pessoas que desejam maior segurança para seus arquivos em caso de desastre. Para uma empresa, a perda de dados pode significar mais que uma frustração, acarretando prejuízos financeiros podendo chegar a falência. O papel da estratégia de backup é garantir que esses dados não sejam perdidos ou danificados, e que possam ser recuperados. Dos três pilares da segurança da informação, dois são diretamente influenciados pela existência de uma política de backups que é a integridade e disponibilidade da informação. O backup é uma peça importante para manutenção destes dois pilares e dos recursos de processamento. Caso uma empresa sofra ataque e não tenha uma estratégia de backup, os pilares poderão ser afetados levando a perda de dados cruciais. Segundo (HINTZBERGEN, 2015) A disponibilidade do sistema pode ser afetada pela falha de um dispositivo ou software. Dispositivos de backup devem ser utilizados para substituir rapidamente os sistemas críticos, e funcionários devem ser qualificados e estar disponíveis para fazer os ajustes necessários para restaurar o sistema. Questões ambientais como calor, frio, umidade, eletricidade estática e contaminantes também podem afetar a disponibilidade do sistema. Sistemas devem ser protegidos contra esses elementos, devidamente aterrados e monitorados de perto. Segundo (HINTZBERGEN, 2015) A integridade se refere a ser correto e consistente com o estado ou a informação pretendida. Qualquer modificação não autorizada de dados, quer deliberada ou acidental, é uma violação da integridade dos dados. Por exemplo, é esperado que dados armazenados em disco sejam estáveis – não se espera que eles sejam alterados aleatoriamente por problemas com os controladores de disco. De forma similar, espera-se que os programas de aplicação gravem as informações corretamente e não introduzam valores diferentes dos desejados. Ao se elaborar uma estratégia de backup deve se levar em consideração os seguintes itens segundo a (ABNT NBR ISO/IEC 27002: 2005): Registros completos e exatos das cópias de segurança e documentação apropriada sobre os procedimentos de restauração da informação, os quais convém que sejam produzidos; Convém que a abrangência (por exemplo, completa ou diferencial) e a frequência da geração das cópias de segurança reflitam os requisitos de negócio da organização, além dos requisitos de segurança da informação envolvidos e a criticidade da informação para a continuidade da operação da organização; Convém que as cópias de segurança sejam armazenadas em uma localidade remota, a uma distância suficiente para escapar dos danos de um desastre ocorrido no local principal; Convém que seja dado um nível apropriado de proteção física e ambiental das informações das cópias de segurança consistentes com as normas aplicadas na instalação principal; Convém que as mídias de backup sejam regularmente testadas para garantir que elas sejam confiáveis no caso do uso emergencial; convém que isto seja combinado com um teste de restauração e checado contra o tempo de restauração requerido. Convém que os testes da capacidade para restaurar os dados copiados sejam realizados em uma mídia de teste dedicada, não sobrepondo a mídia original, no caso em que o processo de restauração ou backup falhe e cause irreparável dano ou perda dos dados; Em situações onde a confidencialidade é importante, convém que cópias de segurança sejam protegidas através de encriptação. 2. METODOLOGIA 3 A metodologia de pesquisa utilizada nesse artigo foi a bibliográfica que conforme (Salomon, 2004) a pesquisa bibliográfica fundamenta-se em conhecimentos proporcionados pela Biblioteconomia e Documentação, entre outras ciências e técnicas empregadas de forma metódica envolvendo a identificação, localização e obtenção da informação, fichamento e redação do trabalho científico. Esse processo solicita uma busca planejada de informações bibliográficas para elaborar e documentar um trabalho de pesquisa científica. Sendo assim, de acordo com os critérios ditados por Salomon (2004), pode-se dividir a pesquisa bibliográfica em três fases Fase da preparação: compreende a identificação, localização, fichamento e obtenção da informação. Essas etapas serão desenvolvidas pela realização das seguintes atividades: delimitação do tema-problema, Conhecimento da terminologia da área a ser pesquisada, Contato com pesquisadores da área. Determinação do período do levantamento bibliográfico, Seleção das fontes de informação, Identificação da literatura de interesse e Localização e obtenção das publicações. Fase de realização: compreende a realização do fichamento do documento localizado e obtido que, após o procedimento da leitura, será selecionado definitivamente para a elaboração da redação do trabalho científico. fase da comunicação: conforme (El-Guindy10, 2004), “A comunicação é a coroação do trabalho de investigação científica, e ao mesmo tempo, o momento de maior realização do pesquisador.” Nessa etapa dar-se-á a redação do trabalho científico por meio do produto científico já determinado de acordo com os propósitos da pesquisa. Entende-se como produto científico o veículo de comunicação em que se fará a apresentação do trabalho científico realizado por meio de canal impresso e/ou eletrônico. Assim, a pesquisa será comunicada pela elaboração de livros, capítulos de livros, dissertações, teses, monografias, trabalhos de eventos, seminários, patentes e artigos científicos. O produto científico abordado neste trabalho será a elaboração do artigo científico,enfocando sua definição, estrutura, normalização e redação científica. 3. BACKUP Segundo (ADRENALINE, 2013) A história do backup está diretamente ligada à dos dispositivos de armazenamento e, portanto, às próprias origens da computação. Na década de 50, quando pesquisadores desenvolveram os primeiros computadores digitais da história, a forma predominante de guardar arquivos consistia nos cartões perfurados. A origem desses cartões é ainda mais distante: os primeiros surgiram no século XIX. Em 8 de janeiro de 1889, o doutor Herman Hollerith patenteou uma máquina elétrica para processamento de dados, equipamento que serviu como um artifício para realizar o censo nos Estados Unidos. Utilizando cartões perfurados com informações coletadas entre os entrevistados, a máquina de Hollerith criou tabulações automaticamente através dos impulsos elétricos que atuavam em cada perfuração. Até os anos 50, os equipamentos utilizavam os cartões perfurados para armazenar dados, uma vez que não existiam discos rígidos. Esses cartões também podiam ser guardados como cópias de reserva para restaurar dados perdidos. Hoje backup é algo que não pode faltar dentro de uma empresa segundo (SANTOS, 2019). Já é de conhecimento entre os profissionais de TI que possuir um plano de backup é fundamental para a proteção dos dados e continuidade de negócios (MORAES, 2007). Backups podem ser utilizados não só para a restauração de dados ou sistemas na ocorrência de desastres ou outros incidentes de segurança, mas também para a recuperação de versões anteriores de dados, ou ainda para o arquivamento de dados ainda necessários, mas raramente acessados (CERT.br, 2012). Minimamente, para a realização 4 de backups é necessário que se decida quais dados serão copiados, bem como em qual lugar e com qual frequência. Segundo (HINTZBERGEN, 2015). O propósito de fazer backups, ou cópias reservas, é manter a integridade e a disponibilidade da informação e das instalações computacionais. As consequências da perda de informação dependem da idade da informação que pode ser recuperada a partir do backup. É importante, portanto, considerar o intervalo em que os backups são feitos. Quanto tempo podemos nos permitir recuperar novamente a informação que foi perdida? É importante que o backup seja feito regularmente. Além de realmente fazer e testar os backups, também é necessário considerar como os backups são manejados. Os backups são retirados de prédios altamente seguros e depois colocados em armários destrancados? Ou os backups são colocados próximos ao servidor com os dados originais? Os backups vão para terceiros? Os dados são criptografados? Por quanto tempo os backups são armazenados? Isso atende aos requisitos legais de armazenamento? 4. MÍDIAS Para armazenar as cópias de segurança (backups) é necessário usar mídias para tal propósito. Segundo Pereira (2015, p.19) as mídias são os dispositivos físicos onde os dados serão armazenados. Boa parte dos custos de um sistema de backup de dados são provenientes das mídias de armazenamento. No mercado existem vários tipos de mídias, as principais utilizadas são: 4.1 Fitas magnéticas (RODRIGUES, 2017). Podem ser encontradas em vários tamanhos de armazenamento e classificadas conforme sua tecnologia. As fitas magnéticas têm a vantagem de poderem ser transportadas e armazenadas em outros locais, o que facilita as cópias remotas, ideal para cópias com longo prazo de retenção. A desvantagem está no acesso aos dados gravados, já que é feito de forma sequencial, deixando o processo de leitura lento. Dependendo do volume de dados, pode demorar horas para finalizar o processo. Alguns exemplos: • Digital Data Storage (DDS), baseado na tecnologia DDS-DAT (Digital Audio Technology); • Digital Linear Tape (DLT); e • Linear Tape-Open (LTO); 4.2 Discos rígidos Segundo (RODRIGUES, 2017). A tecnologia dos discos rígidos está em ampla evolução no mercado e com capacidade de armazenamento crescente, passando da casa dos terabytes. Usar disco rígido para armazenar o backup tem se tornado uma opção com custo aceitável para muitas empresas. A vantagem dos discos rígidos está na grande capacidade de armazenamento aliada à velocidade de leitura e escrita, o que é muito bom para backup de grandes volumes de dados. A escolha da mídia irá depender da estratégia de backup e do volume de dados a serem salvos, considerando sempre, as necessidades da organização, pois uma escolha não acertada pode resultar em backup menos eficiente do ponto de vista técnico e um gasto maior do ponto de vista financeiro. 5. ESTRATÉGIA DE BACKUP Planejar uma estratégia de backup é o ponto inicial para que tudo ocorra bem segundo (RODRIGUES, 2017). O backup compreende duas estratégias que podem ser implementadas: centralizada e descentralizada. O backup centralizado facilita o gerenciamento e administração, tendo como vantagem a redução de custos, pois o uso de dispositivos de armazenamento, mídia, software e 5 base de dados ocorre no sistema central, possibilitando atender a vários clientes da rede. Uma desvantagem dessa estratégia é que se alguma coisa der errado, todos os clientes associados aos sistemas centralizados também serão afetados. De acordo com (Faria, 2014), às vantagens de um sistema de backup centralizado são: • Economia de fitas na medida em que é minimizada a quantidade de • espaço subutilizado; • Facilidade na administração, correção de erros, troca e controle de fitas; • Economia de hardware; • Maior agilidade; e • Facilidade no restore. O backup descentralizado ou distribuído baseia-se no princípio de que cada cliente ou sistema tenha seu próprio hardware, dispositivo de armazenamento, mídia e software. A desvantagem dessa estratégia seria o custo adicional com hardware e licenças caso o software seja proprietário. Segundo Faria (2014, p.16). Uma política de backup consiste em um documento que deverá conter os princípios de como ocorrerão os backups (e restores), bem como o papel das partes interessadas, o tempo máximo para resolução das ocorrências, a estratégia de backup. 5.1 Tipos de backup O backup se dividir em alguns tipos segundo (RODRIGUES, 2017). Os três principais níveis: completo, incremental e diferencial: a) Backup completo ou full geralmente são copiadas todas as informações, independentemente de elas terem sido alteradas ou não. Esse tipo de backup costuma consumir maior tempo para concluir a cópia. Dependendo do tamanho das informações armazenadas esse tempo pode ser um fator limitador, quando se tem uma janela de backup pequena. Outro fator a ser considerado é o espaço de armazenamento, uma vez que todos os dados são copiados, o volume de dados tende a crescer de forma acelerada, o que pode elevar os custos com mídias de armazenamento. O primeiro tem apenas 1Gb de dados, no segundo full backup seu tamanho aumentou para 2Gb, no terceiro para 3Gb e no quarto full backup 4Gb. Como podemos perceber o backup full contém todas as informações, incluindo as informações anteriores e as novas ou modificadas. Desta forma, um único backup full conterá todas as informações necessárias para fazer um restore, caso seja necessário. b) Backup diferencial As cópias das informações são feitas considerando o último backup completo. Desta forma serão copiadas todas as informações que foram criadas ou alteradas depois do último backup completo. Esse tipo de backup requer um volume de armazenamento menor se comparado com o completo, porém, mesmo assim o volume de dados tende a crescer significativamente. Para o backup diferencial acontecer é necessário que exista primeiro um backup full. O backup diferencial considera somente as novas inclusões/modificações dos arquivos após o último backup full, portanto o volume de dados copiados é bem menor que o backupfull. Caso seja necessário fazer um restore será preciso ter o último backup full e mais o backup diferencial do dia que deseja restaurar os dados. c) Backup incremental Só serão copiadas as informações que foram criadas ou alteradas no dia. Dessa forma, pode haver variações nos tamanhos de arquivos a serem copiados. Nesse tipo de backup as cópias tendem a ser bem mais rápidas e o volume de armazenamento geralmente é menor. 6 Para o backup incremental acontecer é necessário que exista primeiro um backup full. O backup incremental considera somente as novas inclusões/modificações dos arquivos de cada dia, portanto o volume de dados copiados é bem menor que o backup full e o backup diferencial. Caso seja necessário fazer um restore será preciso ter o último backup full e mais os backups incrementais de cada dia. É de suma importância que exista uma política de backup adequada e que reflita a real necessidade da empresa ou instituição. Outro fator importante que deve ser considerado antes de elaborar uma política de backup é definir o Recovery Point Objective (RPO) e Recovery Time Objective (RTO). Recovery Point Objective (RPO) é a quantidade máxima de dados que a empresa ou instituição considera aceitável a ser perdida, em um determinado tempo, no caso de um desastre. Segundo (BERNARD,2011), um Recovery Point Objective de um dia pode ser perfeitamente apoiado por backups diários de até 24 horas, porém dados podem ser perdidos dentro desse período de 24 horas. Recovery Time Objective determina qual o tempo aceitável de espera até que a recuperação dos sistemas ou arquivos os deixe novamente prontos para operar, no caso de um desastre. Portanto, é necessário que a empresa ou instituição análise atentamente o seu negócio, a fim de chegar a um RTO que atenda suas necessidades. Isso implica na escolha de qual será a melhor forma de fazer as cópias de segurança, objetivando atender aos valores definidos para os parâmetros RPO e RTO. (BALTZAN, 2016) afirma: “As empresas devem escolher uma estratégia de backup e recuperação que esteja de acordo com seus objetivos e necessidades operacionais.” O backup é uma ferramenta importante usada para proteger as informações, porém também está sujeito a falhas que podem inviabilizar a proteção das informações. Segundo a análise feita por (PAULA, 2015) em uma instituição pública, as seguintes ameaças podem comprometer os serviços oferecidos: • Erros humanos; • Instalação de software não autorizado; • Bugs no sistema acadêmico; • Desastres naturais; • Desastres causados por pessoas; • Falhas em equipamentos; • Uso de senhas frágeis; • Falhas de fornecimento de energia elétrica; e • Falhas no serviço de backup. 6. BACKUP EM NUVEM Segundo (SANTOS, 2019). Uma das possibilidades atuais de armazenamento de backups é na nuvem. O NIST define a computação em nuvem como sendo (MELL, 2011) um modelo que permite o acesso, através da rede e de forma ampla, conveniente e sob demanda, a um conjunto de recursos computacionais configuráveis, (por exemplo, redes, servidores, armazenamento, aplicações e serviços) que podem ser rapidamente provisionados e liberados com um mínimo de esforço de gerenciamento ou de interação com o provedor de serviços. A computação em nuvem é normalmente comercializada seguindo os três modelos de serviço definidos pelo NIST: · Software como serviço (SaaS – Software as a Service) – quando o cliente utiliza aplicações do provedor hospedadas na infraestrutura de nuvem do próprio provedor. Tais aplicações tem a característica de serem acessíveis por diferentes tipos de dispositivos, por meio de um navegador web ou mesmo por um software específico; · Plataforma como serviço (PaaS – Platform as a Service) – quando o cliente utiliza a infraestrutura de nuvem do provedor para implantar aplicações criadas pelo próprio cliente, ou adquiridas de terceiros, seguindo as linguagens de programação, bibliotecas, serviços e ferramentas suportadas pelo provedor; 7 · Infraestrutura como serviço (IaaS – Infrastructure as a Service) – quando o cliente tem a capacidade de provisionar os recursos computacionais (como armazenamento, processamento e rede) onde poderá implantar e executar qualquer tipo software, incluindo o sistema operacional e as aplicações de sua escolha, tudo isso na infraestrutura de nuvem do provedor. Dependendo do modelo de implantação da sua infraestrutura, pode ainda ser classificada como (MELL, 2011) como: • Nuvem privada – para o uso exclusivo de uma única organização; • Nuvem comunitária – para o uso exclusivo de uma comunidade formada por organizações que possuem objetivos em comum; • Nuvem pública – para o uso do público em geral; • Nuvem híbrida – composta por duas ou mais infraestruturas de nuvem distintas (privada, comunitária ou pública) que se mantêm independentes, mas que se interligam por meio de alguma tecnologia que permita a portabilidade de aplicações e de dados entre as nuvens. As principais vantagens da adoção de computação em nuvem são decorrentes dos ganhos de escala: ao se consolidar datacenters isolados como um grande pool de recursos computacionais compartilhados, reúne-se um conjunto muito maior de recursos que podem ter seus custos unitários reduzidos, enquanto melhora seu aproveitamento e balanceamento de demandas pelos diversos clientes, otimizando o nível de uso dos recursos e dividindo os custos fixos de manutenção por uma base maior de usuários. 6.1 Backup em nuvem e suas melhores práticas Segundo (SANTOS, 2019). As vantagens da adoção do modelo de computação em nuvem para o armazenamento de backups foram muito bem descritas pelo Tribunal de Contas da União (TCU, 2015, pg. 12): Classicamente, o processo de backup é demorado e lento, pois necessita copiar arquivos para outra mídia, como outro disco ou fita, e transportá-la para instalações independentes onde possa ser garantida sua integridade em caso de desastre nas instalações principais. O backup para a nuvem é uma solução mais simples, ressalvando-se que depende de banda de internet suficiente para tal, na qual backups podem ser programados e executados automaticamente. Os dados são armazenados já em um local remoto, seguro, disponível, com capacidade de expansão de espaço automática, intrínseca à escalabilidade característica da computação em nuvem. O CERT.br (2012) indica um conjunto de melhores práticas a serem consideradas ao se utilizar serviços de backup online, que são igualmente aplicáveis ao backup em nuvem: • Observar a disponibilidade do serviço; • Observar os tempos estimados para a realização e recuperação dos backups, considerando a largura de banda disponível e a quantidade de dados a serem transmitidos. Dependendo desses tempos, o backup online pode se tornar inviável; • Considerar o tempo de manutenção dos dados, o espaço disponível de armazenagem e as políticas de privacidade e de segurança do fornecedor do serviço; • Utilizar criptografia na transmissão de dados para o provedor de serviços. 6.2 Backups em nuvem e continuidade de negócios Segundo (SANTOS, 2019). Considerando os valores de RPO e RTO estabelecidos para os dados e sistemas prioritários da organização durante seu processo de análise de impacto nos negócios, a Opus Software (2015) sugere dois possíveis modelos de implementação de recuperação de desastres baseados em backup na nuvem e voltados para a continuidade dos negócios: · Backup na nuvem (cold start) – nesse modelo o backup da infraestrutura primária da organização é armazenado na nuvem, podendo ser então restaurado para uma infraestrutura secundária da própria organização; · Backup e infraestrutura secundária na nuvem (warm start) – nesse modelo tanto o backup quanto a infraestrutura secundária ficam na nuvem. Em caso de desastres, essa infraestrutura secundária 8 entraem operação com o backup dos dados que se encontra na própria nuvem, possibilitando o atendimento de baixos valores de RTO 6.3 Armazenamentos em nuvem Segundo (MALHEIRO, 2019). Existe uma grande variedade de serviços de armazenamento de dados em nuvem. Para escolher o mais adequado, é importante avaliar como os dados devem ser estruturados, o volume de dados a ser manipulado e os requisitos da aplicação. Conforme explicado em (EL; PUTTINI; MAHMOOD, 2013), existem quatro tipos de serviços de armazenamento de dados em ambientes de Computação em Nuvem: • Armazenamento em blocos: – Alocação de blocos em discos de armazenamento disponibilizados na infraestrutura do provedor. – Permite ao cliente alocar blocos em unidades de armazenamento gerenciadas pelo provedor. – As unidades podem ser acessadas remotamente por meio de uma rede de alto desempenho dedicada para interconexão de equipamentos de armazenamento de dados. Esse tipo de rede é denominado redes de Armazenamento de Dados (SAN- Storage Area Network) (NETO, 2007). • Armazenamento de arquivos: Leitura e escrita em diretórios com sistema de arquivos gerenciado pelo provedor. – O cliente do provedor de nuvem pode manipular arquivos remotamente utilizando tecnologias para sistemas de arquivos distribuídos, como o Network File System (NFS) (TANENBAUM, 2008) ou Server Message Block (SMB) (GONÇALVES, 2018). • Armazenamento de objetos: – Repositório para itens de dados binários (como vídeos, imagens, etc.). – Solução para acesso a arquivos binários, como áudios ou fotos, por meio de um serviço web gerenciado pelo provedor. • Armazenamento de base de dados: – Sistemas de gerenciamento de banco de dados (SGBDs) mantidos pelo provedor. Há suporte tanto para SBGBs relacionais, quanto não relacionais. O armazenamento em blocos é o modelo com menor nível de abstração entre as alternativas para persistência de dados em provedores de nuvem (EL; PUTTINI; MAHMOOD, 2013). De fato, o bloco é a unidade lógica mínima de armazenamento de dados oferecida por um sistema operacional em se tratando de gerenciamento de unidades de memória secundária. No ambiente de nuvem, o provedor utiliza também técnicas de virtualização para criar unidades de armazenamento virtuais em dispositivos físicos de armazenamento, da mesma maneira como as máquinas virtuais podem ser criadas em servidores físicos. Os dispositivos de armazenamento físicos utilizados pelos provedores incluem HDs (Hard Disks) tradicionais, do tipo disco magnético, e também unidades do tipo SSD (solid-state drive). As unidades virtuais de armazenamento em bloco oferecidas pelos provedores são criadas sobre esses recursos físicos para servir como discos das máquinas virtuais ou contêineres. Em geral, a principal finalidade dos serviços de armazenamento em bloco na nuvem é servir como discos para instâncias como máquinas virtuais (VMs) ou contêineres. Essas instâncias precisam de capacidade de armazenamento de dados para executar as aplicações. Então, quando a criação de uma instância é solicitada, o provedor cria automaticamente uma unidade virtual de armazenamento em bloco, que é usada como disco dessa instância, ou seja, a unidade de armazenamento em bloco é o disco da máquina virtual No entanto, as unidades de armazenamento em bloco também podem ser usadas em outras soluções, por exemplo, para implantação de algum mecanismo automático de backup de dados na nuvem. O segundo tipo de serviço é o armazenamento de arquivos em nuvem. Nesse caso, a unidade de armazenamento são os arquivos (EL; PUTTINI; MAHMOOD, 2013). O acesso ao serviço de armazenamento é feito por meio de alguma tecnologia de sistema de arquivos distribuídos, como NFS ou SMB. Esse tipo de serviço é bastante utilizado para compartilhamento de arquivos em rede, por 9 exemplo, para manter o diretório home dos usuários de uma rede corporativa, com as vantagens da escalabilidade e disponibilidade do armazenamento em nuvem. Assim, os usuários podem acessar seus arquivos de qualquer dispositivo com acesso à Internet. Terceiro tipo de serviço de armazenamento em nuvem é o armazenamento de objetos. Neste caso, as unidades de armazenamento são objetos que são gerenciados como recursos web (EL; PUTTINI; MAHMOOD, 2013). Isso significa que o acesso aos dados pode ser feito na forma de requisições HTTP. Os provedores suportam armazenamento de objetos de vários tipos como imagens, arquivos executáveis, vídeos, entre outros. Além disso, os provedores oferecem uma API para que as aplicações possam manipular os objetos por meio de requisições na web, em vez de usar linguagens de consultas comuns em gerenciadores de bancos de dados. O quarto tipo de serviço de armazenamento em nuvem é o armazenamento de bases de dados. Esse modelo corresponde aos serviços de banco de dados em nuvem ou Banco de Dados como Serviço (DBaaS - Database as a Service). São serviços que, em geral, suportam algum tipo de linguagem de consulta, além de operações básicas de escrita ou leitura de dados (EL; PUTTINI; MAHMOOD, 2013). No Quadro 3.6, são apresentados exemplos de serviços de banco de dados em nuvem para duas categorias de Sistema Gerenciador de Banco de Dados (SGBD): relacional e não relacional. Como explicado em (SOUZA et al., 2014), os bancos de dados relacionais são aqueles que utilizam a álgebra relacional para suporte à consistência forme, armazenam dados de forma estruturada e implementam alguma linguagem de consulta estruturada (SQL - Structured Query Language). O baixo desempenho dos bancos de dados relacionais para gerenciamento de grandes volumes de dados motivou o desenvolvimento dos bancos de dados não relacionais, também denominados “não apenas SQL” (NoSQL – not only SQL) (SOUZA et al., 2014). Os bancos não relacionais apresentam desempenho e escalabilidade significativamente superior para lidar com grandes volumes de dados não estruturados, o que é muito importante, por exemplo, para aplicações web em larga escala. 7. RESTORE A definição restore segundo (VERAS, 2015) é o processo de recuperação de dados, de algum local de armazenamento para seu local de origem. Para que o restore possa ser executado com sucesso é necessário que alguns fatores sejam respeitados a fim de garantir seu êxito, como: tempo de retenção das cópias, armazenamento correto das mídias, testes frequentes de mídias e recuperação de dados. O tempo que um procedimento de restore pode levar depende do tipo de backup utilizado para fazer as cópias. O backup completo é o mais simples de restaurar, porém o mais demorado devido ao grande volume de dados que costuma ter. O backup diferencial necessita que no mínimo duas cópias sejam utilizadas: o último backup completo mais a cópia diferencial da qual se deseja obter as informações. A recuperação desse tipo de backup também é um processo trabalhoso e demorado. Já no incremental, o processo se torna ainda mais demorado tendo em vista que será necessário o último backup completo e mais as cópias de cada dia. Por exemplo, se o último backup completo ocorreu no domingo e as informações que se precisa restaurar estão no backup incremental da sexta-feira seguinte, assim será necessário o último backup completo (domingo) e mais as cópias dos backups incrementais de segunda, terça, quarta, quinta e por fim o de sexta-feira. E se uma dessas cópias não puder ser restaurada, ter-se- á um grande problema, pois somente parte dos dados poderá ser recuperada. É por esse motivo que o monitoramento e os testes de recuperação devem ser frequentes a fim de minimizar esse tipo de perda das informações. 8. GERENCIAMENTO DO CICLO DE VIDA DAS INFORMAÇÕES Assim como qualquer produto a informação também tem um ciclo de vida (HINTZBERGEN, 2015). diz ela nasce com a produção, tem um tempo de vida útil, na qual é manuseada, utilizada interna e externamente,transportada por diversos meios, armazenada, e morre com a sua destruição. 10 A doutrina tem apresentado o seguinte ciclo de vida para as informações: produção e manuseio, armazenamento, transporte e descarte. A produção é a fase na qual nasce a informação, e o manuseio, como o próprio nome já diz, é o ato de manusear a informação. É nessa fase que se caracteriza a materialização do conhecimento; O transporte é a fase da condução por quaisquer meios nos quais conste a informação. O armazenamento é o ato de arquivar as informações. E o descarte é o ato de descartar ou inutilizar a informação. Alguns autores, como Beal (2005), apresentam mais algumas etapas para o ciclo de vida da informação. Beal apresenta seis etapas: identificação das necessidades e dos requisitos, obtenção, tratamento, distribuição, uso, armazenamento e descarte. A identificação das necessidades e dos requisitos, para Beal, é o ponto de partida do ciclo de vida da informação, por entender que essa etapa age como um elemento acionador de todo o processo, podendo vir a estabelecer um ciclo contínuo de coleta. Ela enfatiza que a recompensa por descobrir essas demandas se dá ao tornar a informação mais útil e os seus destinatários mais receptivos à sua utilização. Na etapa da obtenção, são desenvolvidas as atividades de criação, recepção ou captura de informação proveniente de fonte externa ou interna. Na etapa do tratamento, caracteriza a passagem da informação por processos para torná-la mais acessível, organizada e fácil de localizar pelos usuários. Verifica-se que a classificação de Beal se aproxima mais de um esquema de produção do conhecimento, pois a identificação das necessidades e requisitos é parte integrante da fase do planejamento, que é uma das etapas da produção do conhecimento. Independentemente da linha a ser adotada, todas essas etapas do ciclo de vida da informação são importantes para o ciclo de produção do conhecimento 9. GERENCIAMENTO DE RISCO Tão importante quanto fazer o backup é entender como funciona o gerenciamento de risco segundo (HINTZBERGEN, p. 38, 2015). são o processo de planejar, organizar, conduzir e controlar as atividades de uma organização visando minimizar os efeitos do risco sobre o capital e o lucro de atividades de podem surgir da incerteza do mercado financeiro, de falhas de projeto, de responsabilidades legais, de risco de crédito, de acidentes, de causas naturais e desastres, bolo de ataques deliberados de adversários. Diversos padrões de gerenciamento de riscos foram desenvolvidos, incluindo os do Project Management Institute (PMI), National Institute of Science and Technology (NIST) e padrões ISO. Métodos, definições e objetivos variam muito – por exemplo, se o método de gerência de riscos se encontra no contexto da gerência de projetos, segurança, engenharia, processos industriais, carteiras financeiras, avaliações atuariais ou segurança e saúde pública. A estratégia de risco pode incluir transferir o risco para outra parte, evitar o risco, reduzir o efeito negativo do risco e aceitar algumas ou todas as consequências de um risco em particular. Gerenciamento de riscos é um processo contínuo que se aplica a todos os aspectos dos processos operacionais. Em grandes organizações, a tarefa de monitorar esse processo é conduzida por um especialista em segurança da informação, tal como um Encarregado de Segurança da Informação (Information Security Officer – ISO) ou Chefe de Segurança da Informação (Chief Information Security Officer – CISO), que é designado especialmente para essa função é responsável pelo mais alto nível de gestão. Requisitos de segurança da informação são essenciais para que uma organização identifique seus requisitos de segurança. Existem três principais fontes de requisitos de segurança: A. A avaliação dos riscos à organização, levando em conta a estratégia e os objetivos globais de negócio da organização. Por meio de uma avaliação do risco, as ameaças aos ativos são identificadas, a vulnerabilidade e a probabilidade de ocorrência são avaliadas e o potencial impacto é estimado. Os requisitos legais, determinados por estatutos, regulamentos e contratos que uma organização, seus parceiros comerciais, contratantes e provedores de serviço têm que satisfazer, e seu ambiente sociocultural. O conjunto de princípios, objetivos e requisitos de negócio para o manuseio, processamento, armazenamento, comunicação e arquivamento da informação que uma organização desenvolve para apoiar suas operações. Os recursos empregados na implementação de controles precisam ser equilibrados de acordo com os prejuízos de negócio que podem resultar de problemas de segurança na ausência de tais controles. O resultado da avaliação do risco irá ajudar a 11 guiar e a determinar as ações de gestão adequadas e as prioridades para gerir os riscos da segurança da informação e a implementar os controles selecionados para proteger contra esses riscos. 10. PLANO DE CONTINUIDADE DE NEGÓCIOS Se preparar para possíveis desastres é algo vital para as empresas atualmente segundo (HINTZBERGEN, 2015). A cada ano, empresas ao redor do mundo são atingidas por desastres que têm grande impacto na disponibilidade de seus sistemas. Apenas uma pequena parcela dessas empresas está adequadamente preparada para essas eventualidades. A maioria das empresas afetadas por tais enormes desastres provavelmente não sobrevive a eles. As empresas que sobrevivem a esse tipo de desastre tipicamente pensam com cuidado na possibilidade de tais desastres e, de forma antecipada, nos prováveis resultados e documentam e seguem medidas e procedimentos necessários para se proteger. No entanto, se não existirem planos, não significa que a empresa não poderá sobreviver. Isso depende do negócio e de outros fatores. Uma organização depende de ativos, pessoal e tarefas que têm que ser conduzidas diariamente, a fim de se manter saudável e lucrativa. A maioria das organizações possui uma complexa rede de fornecedores e ativos que dependem uns dos outros para poder funcionar. Existem canais de comunicação, tais como telefones e conexões de rede, e há edificações em que trabalho é conduzido. As edificações devem estar em condições ótimas a fim de garantir que o trabalho não seja apenas prazeroso, mas também realizado de forma eficiente. Se um elo na cadeia de dependências falhar, pode haver problemas. Quanto mais elos falharem, maior será o problema. E quanto mais tempo certos componentes da cadeia ficarem fora de ação, maior será o efeito disso na organização, e mais tempo levará para as operações normais iniciarem. Pensar de forma antecipada sobre a continuidade dos processos do trabalho é essencial para uma organização. Não importa se é um processo de produção complexo ou uma atividade relativamente simples, tal como o processamento de moradores que se mudaram para uma nova casa. Tanto para os funcionários quanto para os clientes, é importante que cada componente – grande ou pequeno –do processo trabalhe suavemente e continue a agir assim no caso de dificuldades. O propósito da gestão de continuidade dos negócios (Business Continuity Management – BCM) é prevenir que as atividades da empresa sejam interrompidas, proteger processos críticos das consequências de grandes perturbações nos sistemas de informação e permitir uma rápida recuperação. Na gestão da continuidade dos processos da empresa, devem ser identificados os processos da empresa que são críticos para a operação da organização. Além de outras medidas que garantam a continuidade, deve-se evitar a perda de informações que possam ocorrer como resultado de desastre natural, ataque, incêndio ou falha de energia. As consequências dos desastres e dos incidentes de segurança e as falhas dos serviços são avaliadas em uma Análise de Impacto no Negócio, ou Business Impact Analysis(BIA). O plano de continuidade descreve como a informação requerida por processos críticos de negócio pode ser rapidamente disponibilizada. Na segurança da informação, a gestão da continuidade é normalmente dividida em dois componentes separados, mas intimamente relacionados: Planejamento de Continuidade do Negócio, ou Business Continuity Planning (BCP), onde a continuidade do processo do negócio é garantida. Planejamento de Recuperação de Desastres, ou Disaster Recovery Planning (DRP), onde é organizada a recuperação após um desastre. A gestão de continuidade dos negócios é descrita na ISO 27031:2012. Embora a ISO/IEC 27002:2013 inclua algumas medidas de BCM, elas visam principalmente a informação, enquanto o aviso 27031 deve ser aplicada integralmente em toda a organização 10.1 Continuidade Segundo (HINTZBERGEN, 2015) A continuidade diz respeito à disponibilidade dos sistemas de informação no momento em que eles são necessários. Diversos requisitos podem ser impostos a essa disponibilidade. Você tem uma central telefônica onde cinquenta funcionários estão no telefone 24 horas por dia? Você, sem dúvida, teria diferentes requisitos de disponibilidade em comparação a uma empresa com apenas uma pessoa ao telefone, a qual recebe ligações apenas uma vez a cada hora. Para uma Câmara Municipal, a disponibilidade do banco de dados do município é de grande 12 importância. Se ele não estiver disponível, um grande número de funcionários não será capaz de realizar seu trabalho. No entanto, se esse sistema não estivesse à disposição do conselho durante a noite, isso representaria pouco ou nenhum problema. Podemos ver aqui que, dependendo da organização, do campo do trabalho e até mesmo da divisão dentro de uma organização, os requisitos de disponibilidade podem diferir dramaticamente. 10.1.1 O que são desastres? A visão que devemos ter de um desastre segundo (HINTZ BERGEN, 2015). À primeira vista, um desastre parece bastante ameaçador. Mas isso está longe de ser verdade. Neste contexto, um desastre não precisa ser necessariamente uma inundação ou um ataque terrorista. A falha do sistema de que você tanto depende para o seu trabalho diário, por meio de um problema técnico, também é um desastre. Na prática: Uma simples placa de rede no servidor de e-mails que se torne defeituosa pode ser um total desastre. Ultimamente, se privada de seus e-mails, uma equipe não seria capaz de realizar adequadamente seu trabalho. 10.1.2 Como a sua empresa responde a um desastre? Segundo (HINTZBERGEN, 2015) Às consequências que um desastre pode ter em um negócio dependem da natureza do desastre. Se o trabalho tiver sido interrompido devido a uma falha de um sistema ou de toda a rede em que até do escritório opera, então um telefonema para a central de serviços ou central de atendimento normalmente é suficiente para ter as atividades necessárias restauradas e funcionando. De forma similar, se a saúde de um funcionário estiver em perigo, então uma chamada telefônica para o serviço de emergência interno ou um número de emergência nacional seria a ação correta. Em todos os casos, a vida humana tem prioridade sobre softwares e equipamentos. Atividades de evacuação devem ser postas em ação primeiro, e apenas depois deve ser dada atenção aos processos de negócio, começando pelo mais crucial. É importante, portanto, que existam procedimentos claros e eficazes definindo quais ações devem ser tomadas. Por exemplo: • Você saber que, no caso de uma falha no sistema de informação, deve contatar a central de atendimento. • Você sabe onde estão as saídas de emergência em um prédio. • Você saber a quem ligar no caso de um incêndio, do acionamento espontâneo do sistema de sprinklers ou de um alerta de bomba. A central de atendimento ou o funcionário do serviço de emergência interno deve saber o que fazer em cada tipo de alerta. Os funcionários da central de atendimento terão uma lista de prioridades que documente quem é o que deve ser ajudado e quando, bem como quais organizações eles devem contatar em cada diferente alerta. A formação do pessoal do serviço de emergência interno é muito importante. Trabalhadores do serviço de emergência interno são funcionários normais que decidiram assumir essas funções adicionais. Certifique-se de que haja pessoal do serviço de emergência interno por todas essas funções alerta de bomba é obviamente um risco muito sério para uma organização. Isso não é uma ocorrência normal na maioria dos países, mas se ocorrer é um desastre e pessoas podem ser mortas. É bom ver que as pessoas se tornaram mais conscientes sobre pacotes suspeitos. Portanto, é fortemente aconselhável ter procedimentos em vigor para essa ameaça. Um procedimento para alerta de bomba deve claramente descrever o que fazer no caso de alguém levantar um alarme. Itens suspeitos podem entrar em qualquer empresa. O staff deve saber o que não é normal e ser capaz de identificar itens suspeitos. Deve-se prestar atenção a isso durante a campanha de conscientização sobre segurança 10.2 Planos de recuperação de desastres (disaster recovery planning –drp) Segundo (HINTZBERGEN, 2015) Qual a diferença entre o Plano de Continuidade do Negócio (Business Continuity Planning –BCP) e o Plano de Recuperação de Desastres (Disaster 13 Recovery Planning – DRP)? O propósito dor é minimizar as consequências de um desastre e tomar as medidas necessárias para garantir que funcionários, ativos e processos do negócio estejam disponíveis novamente dentro de um tempo aceitável. Isso é diferente do BCP, onde métodos e procedimentos também são organizados para falhas que duram um período de tempo mais longo. Um DRP visa uma recuperação imediata após um desastre. O DRP é posto em ação quando o desastre ainda está em curso. O trabalho é focado em determinar os danos e fazer os sistemas funcionarem novamente. Um BCP vai além e tem um foco mais amplo. O BCP planeja um local alternativo onde o trabalho pode ser realizado enquanto o local original é reconstruído. No é reconstruído é focado em manter a empresa funcionando, mesmo que apenas parcialmente, a partir do momento em que o desastre ocorre até quando a empresa estiver totalmente recuperada. Em outras palavras: • DRP: Há um desastre agora e o que devo fazer para voltar à produção. • BCP: Tivemos um desastre e o que devo fazer para voltar a como era antes do desastre. Caso desastre. Caso funcionária da Spring books use uma versão de lista telefônica da intranet. Isso de repente falha, então ela informa ao repente sobre o ocorrido. A funcionária, no entanto, pode continuar seu trabalho simplesmente usando a versão de lista telefônica da internet. Tal mensagem para a central de atendimento não receberá alta prioridade. Um funcionário de TI da Spring books está trabalhando na recuperação da lista telefônica da intranet. Chega uma mensagem sobre um importante sistema que falhou, resultando na paralisação do sistema de encomendas e faturamento. Todos entendem que a continuidade de tal sistema receberá maior prioridade que a recuperação de um sistema para o qual há uma alternativa. Ao desenvolver um BCP e/ou um DRP, diversas soluções podem ser consideradas para ter os processos de negócio funcionando novamente. Se for decidido que, no caso de um desastre, os processos e os sistemas de negócio devem estar disponíveis o mais rapidamente possível, a melhor opção é desenvolver planos e procedimentos para um sistema de prontidão. Tais sistemas devem ser testados regularmente. O plano também precisa incluir como o sistema de prontidão, uma vez ativado, será desativado; deve estar claro em quais condições as operações normais podem ser retomadas. É necessário estimar o tempo máximo de inatividade e de recuperação permitidos para os sistemas e determinar quais sistemas são necessários para aorganização continuar os negócios 10.3 Testando Segundo (HINTZBERGEN, 2015) Essas diversas soluções, variando de baratas a caras, parecem todas eficazes. Um bom time deck/DRP considerará todas as eventualidades, discutirá tudo diversas vezes e eventualmente ganhará a aprovação da gerência superior. O plano é então publicado e todos os gerentes recebem uma cópia. Mas então as cópias vão para um armário ou gaveta. Afinal de contas, os desastres só acontecem com outras pessoas, não nós. Não é? É por isso que é melhor testar esses planos regularmente e avaliá-los e modificá-los quando necessário. Organizações mudam, portanto, as medidas precisam mudar com elas. A probabilidade extremamente pequena de o plano ser necessário é a principal razão pela qual temos que estar particularmente preparados. Se o staff não tiver sido treinado e o desastre se tornar realidade, então é altamente improvável que um BCP funcione como pretendido. Testes regulares são necessários para tornar a equipe ciente de como agir no caso de um desastre. Em segundo lugar, toda mudança que é feita no processo de negócio deve ser incluída no plano. Um plano desatualizado não ajudará a organização a ficar operacional novamente. Podemos testar o mais extensivamente possível, desde ouvir o alarme de incêndio até iniciar novamente. Podemos ou restaurar um backup. O essencial em todos esses testes, no entanto, é que os procedimentos sejam testados em uma simulação da vida real, a fim de ver se essas medidas são corretas e eficazes. Caso eficaz. Caso Spring books montou um hotsite a aproximadamente 20 quilômetros da filial principal. A livraria da internet é altamente dependente do centro de computadores. Uma falha desse centro operacional principal poderia resultar na perda de dezenas de milhões de euros. Os custos desse hotsite são muito menores do que os custos envolvidos se o sistema falhasse por algum tempo. 14 11. POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO Segundo (HINTZBERGEN, 2015) Ao estabelecer uma política para a segurança da informação, a administração provê as diretivas e apoio para a organização. Essa política deve ser escrita em conformidade com os requisitos do negócio, bem como com as leis e os regulamentos relevantes. A política de segurança da informação deve ser aprovada pelo conselho de administração e publicada para todo o seu pessoal, todos os parceiros externos relevantes, tais como clientes e fornecedores. Na prática, ela é distribuída normalmente como uma versão resumida, delineando os principais pontos. Essa distribuição pode ser feita na forma de um folheto emitido para todos os funcionários e incluído como uma parte do termo de introdução para novos funcionários. A versão completa pode ser publicada na intranet da empresa ou em algum outro local que seja facilmente acessível para todos os funcionários. Entretanto, somente a publicação na intranet não é garantia de que será lida por todos os funcionários. Deve haver algum programa de conscientização bem balanceado para alcançar todos os funcionários. É comum um documento de políticas ter uma estrutura hierárquica. Vários documentos de política são desenvolvidos, tendo como base uma política de segurança corporativa de alto nível. Eles devem estar sempre em conformidade com a política corporativa e prover diretrizes mais detalhadas para uma área específica. Um exemplo disso é um documento de política sobre o uso das diretrizes mais seguintes itens podem então ser escritos, com base em documentos de política: Regulamentos. Um regulamento é mais detalhado que um documento de política. Regulamentos são normalmente considerados obrigatórios e a sua não observância pode levar a procedimentos disciplinares. • Procedimentos descrevem em detalhes como medidas particulares devem ser conduzidas podem, por vezes, incluir instruções de trabalho, como, por exemplo, uma política de mesa limpa. Visando assegurar que materiais sensíveis não sejam facilmente removidos, é necessária a política de mesas limpas. Nenhuma informação deve ser deixada sobre uma mesa sem supervisão de alguém e, após o expediente, toda informação deve ser guardada em algo que possa ser trancado. • Diretrizes, como o termo sugere, fornecem orientações. Elas descrevem quais aspectos têm de ser examinados em função de determinados pontos de vista de segurança. As Diretrizes não são obrigatórias, mas são de caráter consultivo. • As normas podem compreender, por exemplo, a configuração padrão de certas plataformas. Um exemplo importante de norma é a ISO/IEC 27001:2013. Trata-se de uma norma para estabelecer a segurança da informação na organização. A Parte I, ISO/IEC 27001, descreve o sistema de gestão (Informativo Security Management System – ISMS). A Parte II, ISO/IEC 27002:2013, a qual é também chamada de Código de prática para controles de segurança da informação, desenvolve esse sistema de gestão por meio de diretivas práticas. Uma organização pode ser certificada com a ISO/IEC 27001:2013 e, consequentemente, mostrar aos seus fornecedores e clientes que atende aos requisitos de qualidade de segurança da informação. O Código de prática para controles de segurança da informação é aplicável a todas as organizações, pequenas ou grandes, governo ou empresas. 11.1 Revisão das políticas de segurança da informação Segundo (HINTZBERGEN, 2015) A ISO/IEC 27002:2013 estabelece que as políticas de segurança da informação devem ser revisadas em intervalos planejados ou se ocorrerem mudanças significativas, a fim de assegurar sua contínua conformidade, adequação e eficácia. Cada política deve ter um encarregado, que tenha responsabilidade gerencial aprovada para o desenvolvimento, a revisão e a avaliação de políticas. A revisão deve incluir a avaliação de oportunidades de melhoria de políticas da organização e a abordagem da gestão da segurança da informação em resposta a mudanças no ambiente organizacional, nas circunstâncias de negócio, nas condições legais ou no ambiente técnico. A revisão de políticas para a segurança da informação deve levar em conta os resultados das revisões gerenciais. Deve ser obtida aprovação da gerência para a política revisadas. 12. CONCLUSÃO 15 Como visto no artigo a várias formas de se perder dados seja um ataque hacker, um desastre e etc. para garanti a segurança de tais dados se torna necessário criar uma estratégia de backup, podendo se desde backup completo ou full o mais simples chegando a tipos mas complexo como o backup incremental, as soluções de backup adotadas devem considerar os requisitos de negócios da organização e seu ambiente operacional, e também devem ser previsíveis, confiáveis e capazes de processar dados com a alta velocidade. Uma boa estratégia de backup vai diminuir os impactos de um desastre e possibilita uma volta rápida aos negócios. É melhor 'desperdiçar' o tempo fazendo backup do que temer os efeitos de um desastre que pode acontecer a qualquer momento. A redundância nas opções de comunicação é muito importante, assim como ter recursos externos para comunicação quando seus sistemas estão inativos. O ponto central de todos esses itens essenciais para backup é a velocidade. Os backups não só precisam ser confiáveis e acessíveis, mas a empresa precisa ser capaz de restaurar os dados rapidamente. REFERÊNCIAS ABNT – Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002:2013, Tecnologia da informação – Técnicas de segurança – Código de prática para controles de segurança da informação. Rio de Janeiro, ABNT, 2013b. ADRENALINE, O dia do backup - a história do procedimento e como fazer o seu. Disponível em < https://adrenaline.com.br/artigos/v/19398/o-dia-do-backup-a-historia-do-procedimento-e-como-fazer- o-seu >. Acesso em: maio 2021. BALTZAN, Paige. Tecnologia orientada para a gestão. 6. ed. Porto Alegre: AMGH,2016. BEAL. Adriana. Segurança da informação: princípios e melhores práticas para a proteção dos ativos de informações nas organizações. São Paulo: Atlas, 2005. BERNARD, Pierre. Passing the itil intermediate exams: The study guide. Van Hagen Publishing, 's- Hertogenbosch, 2011. CERT.br – Centro do Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Cartilha de Segurança para Internet. São Paulo: CERT.br, 2012. ERL, T.; PUTTINI, R.; MAHMOOD, Z. Cloud Computing: Concepts, Technology & Architecture. [S.l.] Prentice Hall, 2013. EL-GUINDY MM. Metodologia e ética na pesquisa científica. São Paulo: Ed. Santos; 2004. FARIA, Heitor Medrado de. Bacula: Ferramenta livre de backup – 2.ed. - Rio de Janeiro: Brasport, 2014. GIL, A. C. Métodos e técnicas de pesquisa social. São Paulo: Atlas, 1994. GONÇALVES, M. de O. Servidor de arquivos SAMBA: definição de um backup automático e controle de uso de disco. 2018. Trabalho de Conclusão de Curso. Universidade Federal Fluminense, 2018. 16 HINTZBERGEN, Jule et al. Foundations of Information Security: based on ISO 27001 and 27002”, 3ª edição, Rio de Janeiro: BRASPORT Livros e Multimídia Ltda, 2015. LIMA, Telma Cristiane Sasso; MIOTO, Regina Célia Tamaso. Procedimentos metodológicos na construção do conhecimento científico: a pesquisa bibliográfica, Santa Catarina, 2007. LENTO, Luiz Otávio Botelho; LUZ, Théo Augustus. Gestão de Continuidade do Negócio, Santa Catarina: Livro Digital. Unisul Virtual, 2014. LYRA, Mauricio Rocha, Governança da Segurança da Informação/ Edição do Autor – Brasília, 2015. MALHEIRO, Neumar Costa. Computação Em Nuvem, Londrina: Editora e Distribuidora Educacional S.A., 2019. MELL, Peter; GRANCE, Timothy. The NIST Definition of Cloud Computing – Recommendations of the National Institute of Standards and Technology. NIST, 2011. OPUS SOFTWARE – O que Você Realmente Precisa Saber Sobre Computação em Nuvem – São Paulo, 2015. PAULA, Lorena Pires de; CORDEIRO, Douglas Farias. Políticas de segurança da informação em instituições públicas, 2015. PEREIRA, Leandro Duarte. Modelos de previsão de curto prazo para um sistema automatizado de backup de dados, Itajubá: universidade federal de Itajubá, 2015. RODRIGUES, Wilson Flávio. Análise dos procedimentos de backup dos institutos federais, Recife: Universidade Federal de Pernambuco, 2017. SANTOS, Eduardo Ferraz. Melhores Práticas Para A Adoção De Backup Em Nuvem Por Órgãos Do Poder Legislativo Federal, Santa Catarina: Unisul Virtual, 2019. SALOMON DV. Como fazer uma monografia. 11a ed. São Paulo: Martins Fontes; 2004. SOUZA, A. M. et al. Critérios para Seleção de SGBD NoSQL: o Ponto de Vista de Especialistas com base na Literatura. In: Anais do X Simpósio Brasileiro de Sistemas de Informação (SBSI). Porto Alegre: Sociedade Brasileira de Computação (SBC), 2014. TANENBAUM, A. S.; STEEN, M. V. Sistemas Distribuídos: Princípios e Paradigmas. 2. ed. São Paulo: Pearson Prentice Hall, 2008. TCU – Tribunal de Contas da União. Acórdão 1.739/2015-TCU-Plenário. – Referência para os auditores do TCU em futuras auditorias de contratações de serviços de computação em nuvem, bem como para os gestores públicos encarregados de avaliar e, se for o caso, contratar serviços de TI segundo esse modelo. Brasília: TCU, 2015. VERAS, Manoel. Virtualização: Tecnologia Central do DataCenter. - 2 ed. - Rio de Janeiro: Brasport, 2015.
Compartilhar