Proposta de elaboração de PRD - Plano de Recuperação de Desastres: com base no gerenciamento de risco e na norma NBR ISO/IEC 27002:2005.

Transcrição

1 Faculdade SENAC DF Pós-Graduação em Segurança da Informação Proposta de elaboração de PRD - Plano de Recuperação de Desastres: com base no gerenciamento de risco e na norma NBR ISO/IEC 27002:2005. Autores Adriana M. S. Komar adrimcdf@gmail.com Edilberto Silva edilms@yahoo.com Brasília-DF <2012> Trabalho de Conclusão de Curso apresentado a FACSENAC-DF Faculdade Senac do DF como requisito para a obtenção do título de Especialista em Segurança da Informação. Ficha Catalográfica Komar, Adriana M da Silva. Proposta de elaboração de PRD - Plano de Recuperação de Desastres: com base no gerenciamento de risco e na norma NBR ISO/IEC 27002:2005/ Adriana M da Silva Komar. Brasília: Faculdade Senac-DF, f. : il. Orientador: Edilberto Silva Trabalho de Conclusão de Curso (Especialização em Segurança da Informação), Faculdade Senac-DF, Análise de Riscos. 2.Plano de Recuperação de Desastres 3. Vulnerabilidades. RESUMO A gestão de risco atua dentro das organizações de modo a proteger a informação. Sendo capaz de direcionar investimentos em tecnologia e segurança, a fim de minimizar as vulnerabilidades e ameaças dos seus ativos. Com isto, a gestão de riscos atua no processo desde a parte de levantamento de ativos, de ameaças, gestão de vulnerabilidades, análise de riscos, política de segurança até o plano de continuidade de negócios. Esta gestão leva as organizações a conhecerem suas vulnerabilidades, visualizarem seus riscos reais, calcularem possíveis perdas em face da concretização dos riscos, sendo possível montar uma estrutura do que realmente deve ser protegido. O objetivo deste artigo é propor uma sugestão de elaboração de um plano de recuperação de desastres, de acordo com o plano de continuidade de negócios, com base no gerenciamento de risco e na norma ISO/IEC 27002:2005. Palavras-Chave: Análise de Riscos, Plano de Recuperação de Desastres, Vulnerabilidades. ABSTRACT Risk management works within organizations to protect information, allowing for the guidance of investments in technology and safety, in order to minimize the vulnerabilities of and the threats to its assets. Thus, risk management works in the whole process from raising assets, threats, vulnerability management, risk analysis, and safety policy through to business continuity plan. Such management leads the organizations to know their vulnerabilities, view their actual risks, and estimate possible losses if the risks actually happen, so it is possible to build a structure of what should really be protected. The objective of this article is to propose a disaster recovery plan in accordance with the business continuity plan, based on risk management and ISO/IEC 27002:2005. Keywords: Analysis Risks, Disaster Recovery Plan, Vulnerability.

2 1 INTRODUÇÃO Há alguns anos, a segurança da informação não era algo prioritário dentro das organizações. Tinha-se a noção de que bastava manter os arquivos em servidores de dados locais e fazer um backup mensal desses dados que eles estariam protegidos contra perdas, ou até mesmo roubos. Permaneceriam seguros dentro da organização. Hoje em dia, com o surgimento da Internet e da ampliação das redes de computadores, a informação passou a transitar de um ponto a outro por meio da rede. Tal fato contribuiu para a Internet se tornar um dos principais meios de comunicação, seja para fins comerciais, didáticos ou sociais. Toda essa informação transitando livremente fez com que surgissem pessoas mal intencionadas, dispostas a capturar essas informações e usá-las para fins ilícitos, seja por meio de softwares maliciosos prontos a capturar, danificar e modificar esses dados, seja por meio de pessoas inseridas na própria instituição, o que coloca grandes organizações num verdadeiro caos, com prejuízos morais e financeiros imensuráveis. Com tantos riscos, criou-se a consciência de que a informação precisa ser protegida, guardada contra acessos não autorizados. A informação passou a ser vista como o principal ativo da segurança de informação e da organização. O gerenciamento de riscos dentro da organização surgiu como uma forma de avaliar os riscos aos quais à organização está exposta, de forma a analisar seus ativos, as vulnerabilidades de cada um deles e a ameaça real que representam para organização, de modo a evitar prejuízos morais ou financeiros. Este artigo tem por objetivo tratar o gerenciamento de riscos como forma primordial para a saúde operacional da organização, com foco no planejamento de recuperação de desastres, elaborando um estudo de caso capaz de mostrar como é feito esse processo, apontando os principais riscos e ameaças a que a organização está exposta e criando, de modo exemplificativo, os passos para execução deste planejamento. Baseado nos riscos e ameaças, apontados por meio do estudo de caso, será elaborada uma proposta de planejamento para recuperação de desastres e de serviços críticos, de forma exemplificativa, contendo alguns ativos da área de

3 tecnologia da informação. Este planejamento está inserido no Plano de Continuidade de Negócios PCN e deverá entrar em ação caso algum risco apontado se concretize. Este artigo está dividido da seguinte forma: a primeira parte traz o conceito de análise de riscos, vulnerabilidades, gestão de ativos, gerenciamento de riscos, plano de continuidade de negócios e de política de segurança. Já na segunda parte traz em seu contexto um estudo de caso de uma organização hospitalar fictícia, monta, de maneira a exemplificar, a tabela de ativos contendo alguns ativos, suas ameaças, vulnerabilidades e o nível de risco de cada um deles. Subsequentemente, baseado nessa tabela, traça o plano de recuperação de desastres, que será seguido caso haja alguma crise na organização. Finaliza com a discussão das medidas adotadas na organização em relação a esse processo. Na última parte, consta a conclusão do artigo. 2 GERENCIAMENTO DE RISCOS 2.1 ANÁLISE DE RISCOS Antes de falar sobre como analisar riscos, é preciso entender o que vem a ser o risco, fator este que vem sendo comentado cada dia mais. O risco designa a probabilidade de ocorrência de determinado evento adverso e o impacto que ele irá trazer caso ocorra, independente de ter causado danos potenciais à organização. De acordo com Toledo, [1] o risco é a probabilidade de alguma coisa inesperada e negativa ocorrer em algum momento causando algum dano. Já o dicionário Michaelis [2] conceitua o risco como a possibilidade de perigo incerto, mas previsível, que ameaça de dano à pessoa ou à coisa". Mas o que vem a ser ameaça? É possível entender a ameaça como sendo ações ou eventos capazes de romper a segurança e causar danos [1]. De forma mais objetiva, esses agentes ou condições estão dispostos a explorar vulnerabilidades existentes para geração de incidentes.

4 A análise de riscos é parte do processo de gerenciamento de riscos. É um método importante para determinar o nível de segurança dentro de uma organização. Antes de se pensar em proteger é necessário avaliar, analisar o que verdadeiramente deve ser protegido. Dentro do foco de gestão de risco o objetivo principal não é a eliminação por completo do risco, pois este, dentro das organizações é aceitável e até mesmo benéfico. Em alguns casos, o risco pode ser transformado em oportunidade [3]. 2.2 ANÁLISE DE VULNERABILIDADES As vulnerabilidades podem ser definidas como falhas existentes dentro da organização. Sejam tecnológicas, de processos ou mesmo de pessoas. Sua análise é fundamental, pois tem por prática verificar a existência de falhas de segurança no ambiente da instituição. Por meio dessa análise é possível implementar controles de segurança eficientes sobre os ativos da organização. Durante o processo de análise de vulnerabilidades, é realizada uma verificação detalhada no ambiente organizacional, de forma a avaliar as condições de segurança e se elas estão compatíveis com a estratégia dos serviços realizados. A análise de vulnerabilidade irá envolver a tecnologia empregada na organização, bem como seus processos, pessoas e a infraestrutura do ambiente. 2.3 GESTÃO DE ATIVOS Ativos representam todos os itens da organização onde informações são criadas, processadas, armazenadas, transmitidas ou descartadas. Seu gerenciamento é de fundamental importância para priorizar investimentos e concentrar esforços, tendo como foco os ativos mais críticos. A gestão de ativos [4] irá efetuar a manutenção dos ativos dentro da organização e envolver tecnologias, processos, ambientes e pessoas, de forma a atribuir um grau de valor conforme sua importância para a organização. O levantamento de ativos terá por objetivo efetuar a enumeração dos ativos prioritários dentro da organização, de acordo com o impacto que ele irá trazer caso fique indisponível.

5 2.4 GESTÃO DE RISCOS A gestão de riscos busca estruturar, de forma mais concreta, o processo de tratamento de riscos, por meio da elaboração de uma tabela para análise dos ativos pertencentes à organização. Essa tabela tem o objetivo de atribuir um grau de risco a cada ativo, e, a partir dessa atribuição, efetuar um filtro para separar os ativos que apresentam um maior grau de risco. Dessa forma, é possível elaborar planos de proteção dentro dos moldes e condições da organização, focando o que realmente trará um maior impacto para seu negócio. A norma NBR ISO/IEC 27005:2008 [5] tem como foco traçar diretrizes para que seja possível determinar o nível do risco, avaliar, tratar, medir e verificar de forma contínua sua gestão, sempre no intuito de reavaliar e melhorar o tratamento dos riscos. De acordo com SCHMITZ, [6] "a gerência de risco é um conjunto de atividades que tem por objetivo, de forma economicamente racional, maximizar os efeitos do risco positivo e minimizar os efeitos do risco negativo". A gerência de riscos trabalha no intuito de envolver atividades em tempo de planejamento - a análise de risco. Identifica ativos, ameaças e as vulnerabilidades mais críticas. Desta forma, é possível priorizar esforços e gastos em segurança, tornando efetivas as atividades em tempo de execução conhecidas por controle de riscos. O gerenciamento de riscos engloba diversas etapas como: análise de riscos, análise de vulnerabilidades, análise de ameaças, gestão de ativos. Por meio dessas análises é possível mensurar o que realmente necessita ser protegido dentro da organização, de modo a viabilizar recursos e manter o ambiente em conformidade com a segurança necessária. Os riscos podem ser mensurados de forma qualitativa e quantitativa, gerados por meio de uma matriz de riscos, em que o nível do risco é definido diante da composição de probabilidade e do impacto associados às perdas. Segundo Junior (2005), [10] a tabulação dos riscos em uma matriz permite a clara e ordenada identificação dos riscos que podem afetar a empresa, tanto em termos de frequência, quanto de impactos. Quando o risco se concretiza, o Plano de Continuidade de Negócios deverá ser acionado, iniciando-se por meio do Plano de Administração de Crise - PAC, que

6 auxiliará o processo de contingência antes, durante e depois da crise, orientando passo-a-passo as ações que a equipe responsável, indicada no plano, deverá tomar. Em seguida, o Plano de Contingência Operacional - PCO será executado no intuito de restabelecer os serviços críticos prestados pela organização para que eles voltem a operar o mais breve possível, causando um menor impacto financeiro e moral para a organização. E para finalizar o ciclo do PCN, o Plano de Recuperação de Desastre PRD regularizará os serviços, tanto os críticos quanto os serviços não críticos da organização, de forma definitiva. Segundo Silva, [11] planos distintos são desenvolvidos para cada ameaça considerada em cada um dos processos do negócio pertencentes ao escopo, definindo em detalhes os procedimentos a serem executados em estado de contingência. 2.5 PLANO DE CONTINUIDADE DE NEGÓCIOS PCN O plano de continuidade de negócios tem que entrar em ação todas as vezes que o gerenciamento de risco não for capaz de mitigá-lo e ocorrer à crise. Por meio da exploração de vulnerabilidades, as ameaças se concretizam causando impactos à organização. Quando esses impactos são negativos são chamados de danos. O PCN [7] visa tratar esses danos, trabalhando seus efeitos, para que a organização retome seus serviços de forma rápida, havendo um menor impacto financeiro e da imagem da organização sobre seus negócios. Segundo SERPA (2009), [8] o PCN é composto por um conjunto de procedimentos previamente definidos e testados, a fim de garantir a continuidade dos processos e serviços vitais de uma organização, ainda que sob o impacto de uma crise. SERPA (2009) [8] ainda traz em sua publicação que o PCN é o conjunto de três planos: Plano de Administração de Crise PAC, Plano de Continuidade Operacional PCO e o Plano de Recuperação de Desastres PRD. Esses têm por objetivo trazer uma resposta para a recuperação de ativos atingidos na concretização dos riscos, sejam por falhas ou desastres, de forma a assegurar a disponibilidade dos recursos de sistemas críticos em um menor prazo possível.

7 O Plano de Administração de Crise tem o propósito de definir as responsabilidades para cada membro da equipe envolvida no processo de contingenciamento, antes, durante e depois do evento. O plano de Continuidade Operacional tem por foco definir os procedimentos para contingenciamento dos ativos, que suportam cada processo do negócio, reduzindo o tempo de indisponibilidade e os impactos potenciais aos negócios da organização. O Plano de Recuperação de Desastre traça a recuperação e a restauração das funcionalidades dos ativos afetados da forma mais rápida possível, de modo a restabelecer o ambiente e as condições originais da organização. 2.6 POLÍTICA DE SEGURANÇA A política de segurança serve para conscientizar a organização de uma forma geral, ou seja, desde simples colaboradores a gerentes, sobre a correta utilização de seus recursos, sejam operacionais, computacionais e intelectuais. Sua apresentação é feita por meio de um manual de procedimentos, denominado Política de Segurança de Informação, elaborado pela equipe de segurança da organização juntamente com a área gerencial, sendo capaz de traçar passos para utilização de ativos e a execução dos planos de continuidade de negócios e seus derivados. De acordo com a norma NBR ISO/IEC 27002:2005, [9] a política de segurança de informação busca prover uma orientação e apoio da direção para a segurança da informação com base nos requisitos do negócio e nas leis e regulamentações relevantes. Para BAUER, [12] a Política de Segurança se aplica a todos os recursos humanos, administrativos e tecnológicos. A abrangência dos recursos citados referese tanto àqueles ligados à empresa em caráter permanente quanto temporário. 3 ESTUDO DE CASO Materiais e Métodos A elaboração da análise deste artigo foi feita por meio da coleta dos dados da organização, seus ativos e sua importância para a organização, bem como, o

8 impacto que ela irá sofrer caso algum ativo fique indisponível. Danos aos ativos podem causar prejuízos irreversíveis. A coleta foi baseada em visitas técnicas à organização e entrevistas com a área responsável pela manutenção desses ativos. Dentro dessa análise, foram abordadas tanto as áreas fim como as áreas meio da organização. Dessa forma, foi possível avaliar dados, informações e classificar os ativos pertencentes à instituição Análise do Cenário O estudo de caso deste artigo analisou uma empresa com nome fictício HCI Hospital de Colaboradores de Informática. Essa organização é composta por um quadro de aproximadamente 500 colaboradores, dentre médicos, enfermeiros e técnicos. Possui um sistema informatizado de atendimento a pacientes, sendo capaz de atuar tanto no âmbito do gerenciamento hospitalar, do prontuário eletrônico de pacientes, até na gestão financeira. O objetivo deste estudo de caso foi elaborar a proposta de um plano de recuperação de desastres - PRD. Para tanto, foi necessário efetuar alguns passos do gerenciamento de riscos, como: análise de ativos, análise de riscos, análise de ameaças e vulnerabilidades, para enfim, obter as informações necessárias para a elaboração da proposta do PRD e a exemplificação de uma política de segurança. A tabela 1 descreve a relação de ativos, vulnerabilidades, ameaças e o nível de risco a que a organização está exposta, de acordo com o impacto que a indisponibilidade que cada ativo poderá causar à organização. Esses dados estão expostos de forma exemplificativa, contendo apenas uma ameaça para cada ativo, dentre várias outras que podem ocorrer, e envolvem apenas a infraestrutura de tecnologia da organização. Tabela 1 levantamento de ativos, ameaças, vulnerabilidades e riscos. ID Ativo Ameaça Vulnerabilidade Risco Probabilidade Impacto Risco #1 Cabo Rompimento Cabos passando fora de dutos. Inoperância de algum computador ou servidor. Baixa Médio Baixo

9 ID Ativo Ameaça Vulnerabilidade Risco Probabilidade Impacto Risco #2 Pen drive ou HD #3 Impressoras #4 #5 #6 Link de internet Servidor de Arquivo Servidor de Internet #7 Switch #8 Rack Dispositivo infectado com software malicioso. Acabar o tonner Link ficar sem comunicação com a operadora de telefonia. Dados serem apagados ou danificados. Invasão por acesso externo a rede. Pico de energia na rede 220v. Desconexão de cabos #9 Roteador Queimar Antivírus e antispayre desatualizados Não tem contrato para fornecimento de tonner. Não possui link de contingência com outra operadora. Acesso lógico no servidor por funcionários que não necessitam de tal acesso. Servidor de internet ligado diretamente à rede interna e externa da organização. Utilização de estabilizador Cabos desorganizados no rack Instabilidade na rede elétrica 220v. Inoperância de sistemas ou lentidão na rede. Deixar de imprimir documentos de pacientes ou administrativos. Ficar sem internet e sem acesso ao sistema de atendimento. Informações serem perdidas ou alteradas Acesso de terceiros à rede interna, podendo roubar ou alterar informações. Rede ficar inoperante Algum equipamento de TI ficar sem comunicação. Rede ficar inoperante Alta Médio Médio Alta Baixo Médio Baixa Alto Médio Média Alto Médio Média Alto Médio Alta Alto Alto Alta Alto Alto Média Alto Alto Fonte: controles internos: uma metodologia de mensuração dos níveis de controle de riscos [4] A tabela 1 foi elaborada por meio de informações como: probabilidade de ocorrer à ameaça e o impacto causado à organização, além dos riscos, ameaças e vulnerabilidades, com base em entrevistas e questionários com a área responsável de tecnologia de informação da organização. A tabela 2 trata sobre como os riscos foram avaliados.

10 Tabela 2 avaliação de riscos Probabilidade Baixo Médio Alto Significa que a Significa que a probabilidade Significa que a probabilidade de o de o risco se concretizar é probabilidade de o risco se concretizar é Média, logo esse risco risco se concretizar é baixa, não precisa ser avaliado para alta, logo sua proteção representando perdas saber se compensa deve ser priorizada, à organização. financeiramente sua pois caso o risco se proteção. concretize trará danos à organização. Impacto Significa que o impacto Significa que o impacto para Significa que o impacto causado à organização a organização é médio, caso para a organização é é baixo, caso o risco se o risco se concretize, logo alto, caso o risco se concretize. esse risco precisa ser concretize, logo sua avaliado para analisar os proteção deve ser custos de sua proteção e priorizada, pois caso o analisar sua viabilidade. risco se concretize trará danos financeiros e/ou morais à organização. Risco Significa que o risco Significa que o risco em si é Significa que o risco em si é baixo, não médio, devendo ser avaliado em si é alto, logo deve representando danos à para saber se vale a pena ser priorizado e ter organização. ser corrido. medidas de proteção formuladas. De acordo com a tabela 1, foi possível avaliar quais ativos representam um maior risco para a organização. Dessa forma, o gerenciamento de riscos auxiliou quais controles de segurança poderiam ser adotados. Os controles de segurança são elaborados com o intuito de mitigar ou mesmo evitar a ocorrência dos riscos inaceitáveis. Serão implementados de acordo com o nível de prioridade de cada risco. A tabela 3 indica algumas ações, de acordo com a ameaça concretizada, que podem ser tomadas pela organização para a retomada emergencial dos serviços críticos. Tabela 3 Planejamento de ações contingenciais - PCO Ativo Ameaça concretizada (crise) Ações #1 Rompimento do cabo. 1º Trocar cabo rompido. 2º Passar outro cabo em paralelo.

11 Ativo Ameaça concretizada (crise) Ações #2 Contaminação por vírus. #3 #4 Acabou o tonner em alguma impressora da área administrativa ou de setores de atendimento a pacientes. Link inoperante junto à operadora de telefonia. #5 Arquivos apagados ou danificados. #6 Rede sendo invadida por acesso externo. #7 Rede elétrica 220v caindo constantemente #8 Cabo desconectou no rack #9 Roteador queimou 1º Rodar o software de antivírus e antispyre na rede, a fim de encontrar e eliminar supostos softwares maliciosos. 2º Efetuar a atualização dos softwares. 1º Trocar o tonner, caso esteja disponível. 2º Redirecionar a impressão para outro setor em que ainda haja tonner. 3º Efetuar recarga em caráter emergencial. 1º Abrir chamado junto à operadora de telefonia. 2º Proceder com os atendimentos sem sistema, ou seja, de forma manual. 1º Recuperar arquivos apagados localmente. 2º Restaurar o backup dos arquivos afetados, por meio do servidor de backup. 1º Tentar impedir a invasão via software especifico de detecção de intrusão. 2º Desconectar o servidor da rede externa para parar a tentativa de invasão. 1º Providenciar troca de estabilizador por no-break. 2º trocar equipamento para rede 110 v. 1º Reconectar o cabos no rack. 2ª Prender os cabos na lateral do rack para evitar que se soltem. 1º Efetuar a troca por outro rotador de backup. 2º Colocar equipamento na rede 110 v estabilizada. Fonte: controles internos: uma metodologia de mensuração dos níveis de controle de riscos [4] A tabela 3 trouxe ações necessárias para serem executadas em caso de concretização do risco, mediante falha ou desastre para a retomada dos serviços críticos dentro da organização.

12 3.2 Resultados De acordo com o estudo de caso elaborado, foi possível traçar quais os ativos, dentro do contexto de infraestrutura de tecnologia, apresentaram um maior grau de risco para a organização, sendo possível elaborar o Plano de Continuidade de Negócios, neste caso, apenas o PCO e o PRD. Por meio da elaboração da tabela 1- levantamento de ativos, ameaças, vulnerabilidades e riscos - foi sugerida uma proposta para implementação do plano de recuperação de desastres PRD, tornando possível balizar quais controles poderão ser tomados dentro da organização após o enfrentamento de crises. Abaixo será apresentada a tabela 4, contendo as crises enfrentadas pela organização, de acordo com a tabela 3 - planejamento de ações contingenciais, e a proposta de controles a serem efetuados, com o objetivo de restabelecer os serviços de forma permanente e rever o processo de continuidade de negócios. Tabela 4 Plano de recuperação de desastre PRD. Ativo Crise Controles #1 Rompimento do cabo. #2 Contaminação por vírus. #3 Falta de tonner. #4 Link inoperante junto à operadora de telefonia. #5 Arquivos apagados ou danificados. Realocar os cabos dentro dos dutos, de acordo com o projeto de infraestrutura e as normas de cabeamento EIA/TIA 568-A, ISO e NBR ISO/ABNT º Efetuar a atualização dos softwares antivírus e antispyre, de modo a evitar a entrada de novos softwares maliciosos na rede. 2º Efetuar controle de verificação de vírus em dispositivos móveis todas as vezes que for necessária sua utilização. 1º Entrar em contato com a área de contratos da organização e solicitar regularização do contrato para reabastecimento de tonner. 2º Efetuar procedimento de compra emergencial, em pequenas quantidades para abastecimento imediato. Entrar em contato com a área de contratos da organização e solicitar a contratação de outro link com outra operadora de telefonia para contingência. 1º Verificar o nível de acesso lógico no servidor de todos os colaboradores, regularizando as permissões destes, de acordo com a função realizada na organização.

13 2º Bloquear acessos lógicos de colaboradores que não utilizam o sistema. Ativo Crise Controles #6 Rede invadida por acesso externo. #7 Rede elétrica 220v caindo constantemente. #8 Cabo desconectou no rack. #9 Roteador queimou. 1º Criação de uma DMZ (zona desmilitarizada), para que o servidor de internet, que possui acesso externo (pois o sistema pode ser acessado de qualquer local), passe pelo firewall antes de entrar na rede. Evitando acesso aos dados na rede interna. 2º Instalar softwares específicos para detecção e prevenção de intrusão. 1º Efetuar a substituição em definitivo para no-break. 2º Verificar se a rede elétrica está de acordo com a norma NBR ISO/ABNT º Efetuar projeto para estabilização da rede de 220v, de acordo com a norma NBR ISO/ABNT º Reorganizar cabos dentro do rack de acordo com as normas de cabeamento EIA/TIA 568-A, ISO e NBR ISO/ABNT º Conectar os cabos e identificá-los, de acordo com as normas de cabeamento citadas acima. 1º Elaborar e executar projeto de estabilização da rede elétrica, de acordo com a norma NBR ISO/ABNT º Substituir estabilizador por no-break. Fonte: controles internos: uma metodologia de mensuração dos níveis de controle de riscos [4] A tabela 4 aponta algumas medidas a serem executadas, de forma permanente, diante da ocorrência da crise, ou seja, da concretização do risco. Esses controles, constantes no plano de recuperação de desastres, visam evitar novas crises, mitigando as vulnerabilidades apresentadas pelos ativos relacionados na tabela 1 de ativos, riscos e vulnerabilidades. 4 DISCUSSÃO Este estudo buscou mostrar a importância do gerenciamento de riscos dentro da organização, tanto para trabalhar de forma preventiva - antes da ocorrência de ameaças, quanto reativa - depois da ocorrência, por meio do Plano de Continuidade de Negócios.

14 Portanto, o objetivo é gerenciar riscos por meio da correta observação da tabela de ativos, que irá indicar quais ativos são prioritários para a segurança da informação dentro da organização. O PCN trata o risco depois de acontecido, de forma a tirar a organização do momento de crise. Traçando metas tanto emergências, quanto definitivas. Após a elaboração do PCN, é preciso validá-lo, efetuar testes, seguindo passo a passo as ações indicadas no plano para ter a certeza de que a organização será capaz de superar a crise, com isso é possível elaborar questionamentos de validade do PCN como: Se esse plano atende ao escopo da organização. Se ele está claro quanto às ações a serem tomadas diante do enfrentamento de crises. A gerência de riscos trabalha de forma contínua e gradativa, tem que ser explorada, avaliada e seus processos constantemente testados. A função do PCN é não deixar a empresa enfrentar crises de forma despreparada. Seus processos devem ser sempre avaliados e validados, para que, quando precisarem entrar em ação todos estejam cientes de seu papel dentro da organização. 5 CONCLUSÃO Este artigo tratou sobre conceitos relacionados à área de gerenciamento de riscos. São conceitos de seus processos como: análise de riscos, gestão de ativos, ameaças e vulnerabilidades. O objetivo deste artigo era elaborar uma proposta de Plano de Continuidade de Negócio (PCN) da organização, com foco no Plano de Recuperação de Desastres - PRD, de forma a mitigar riscos e evitar crises. O que foi mostrado no artigo é um resumo de um plano descrito explicitamente nas tabelas 1, 3 e 4, de modo a executar os passos do gerenciamento de risco.

15 Por meio do estudo de caso, foi elaborada a tabela de ativos da organização, de modo exemplificativo, apenas com alguns ativos do setor de tecnologia e uma ameaça para cada ativo, dentre as várias a que esses ativos podem estar expostos, trazendo a probabilidade de ocorrerem e o impacto que causariam à organização caso ficassem indisponíveis, como parte do processo da análise de risco. Após a análise de riscos, diante dos ativos que representaram uma maior criticidade, o estudo de caso trouxe a elaboração do Plano de Continuidade de Negócio, com foco no Plano de Recuperação de Desastres, no caso de um dos riscos apontados se concretizarem. O PCN descreve metas de contingenciamento emergencial para restabelecer os processos da organização, metas de controles e planos a serem executados antes, durante e depois da crise, como por exemplo, qual responsável deverá ser acionado em caso de ameaça de incêndio. Descreve também planos a serem executados para recuperação permanente dos serviços com o PRD. Assim, dessa forma, as ações serão tomadas com maior brevidade e os serviços críticos restaurados com menor impacto à organização. As tabelas 1, 2, 3 e 4 trazem os dados necessários para a realização dos planejamentos propostos. Com detalhes dos riscos críticos e direcionamentos para recuperação de serviços. Tanto as tabelas, quanto os planos foram montados de forma resumida, em uma abordagem acadêmica. Com a elaboração do PCN, foi possível avaliar como a organização enfrentaria um momento de crise, utilizando os planos PCO e PRD e avaliar a capacidade da organização superar essas crises. Com isso, surgiram outros questionamentos como: Se a organização foi capaz de superar crises. Se as medidas a serem adotadas foram claras o suficiente. Se a forma de contato com as pessoas responsáveis foi eficiente. Se todos dentro da organização se sentiram envolvidos no processo. Diante dessas informações foi possível trabalhar a melhoria dos processos de forma contínua, deixando claro que toda vez que a organização passar por momentos de crises, seus processos deverão ser reavaliados.

16 Por meio do conhecimento dos ativos mais vulneráveis, devido a elaboração do gerenciamento de riscos dentro da organização, foi possível implementar controles de segurança de acordo com a ameaça representada, de acordo com o custo beneficio da organização para proteger aquele ativo. A organização conseguiu centralizar a segurança nos ativos que de fato deveriam ser protegidos. Se esses ativos tivessem sua ameaça efetivada e seu risco concretizado ocorreriam prejuízos financeiros, e/ou morais irreversíveis à organização. Além de centralizar a segurança, foi possível centralizar e alinhar recursos computacionais, bem como conscientizar os colaboradores da organização sobre seu papel dentro da instituição em relação à informação. Espera-se que, por meio deste artigo, o gerenciamento do risco faça parte do cotidiano da organização. Espera-se que o PCN seja visto como um passo inicial para o enfrentamento de crises, como um processo que precisa sempre ser revisto e ter seus planos voltados para cada tipo de ameaça, pois cada ameaça requer uma solução diferenciada. Baseado nas propostas apresentadas, este artigo ajudou a trazer uma visão estratégica para área gerencial da organização, pois, por meio das informações dos ativos, será possível planejar ações e prevenir contra riscos previsíveis, agindo de forma preventiva, ou seja, antes de qualquer desastre, ao invés de agir de forma reativa, restabelecendo serviços. De acordo com essas propostas, a área gerencial e a área de segurança terão informações para planejar ações, treinar e conscientizar os colaboradores quanto às medidas a serem tomadas diante do enfrentamento de crises e seu papel dentro da organização. Os planejamentos propostos neste artigo trazem para a equipe de segurança de informação, de um modo geral, a visão de integração, visão de equipe, colocando a área gerencial em acordo com a área de segurança e tecnologia da organização. Fica a sugestão para um projeto futuro, realizando mais estudos e englobando os demais ativos da organização, a implantação de uma política de segurança de informação, bem como a elaboração de um projeto para controle de acesso físico, instalando portas automatizadas para acesso a ambientes restritos,

17 por exemplo: a sala onde se localiza o rack, com os equipamentos da rede, e entradas em ambientes por meio de catracas eletrônicas ou cartões magnéticos. 6 REFERÊNCIAS [1] TOLEDO, Renan - Conceito e aplicação do risco. Publicado em: 02/09/2009. Disponível em: Acessado em 15/03/2012; [2] Dicionário de Línguas Michaeles Edição ON LINE. Disponível no site: Acessado em 25/03/2012; [3] FINNCATI, Prof. Lelis Antonio Quando o risco vira oportunidade Unisantos SP Periódico de divulgação cientifica Disponível em: 0oportunidade%20fincati&source=web&cd=1&ved=0CFMQFjAA&url=http%3A %2F%2Fwww.fals.com.br%2Frevela11%2Fgestaorisco.pdf&ei=kOnDT7vWEo -E8QTe4vyqCw&usg=AFQjCNHlNw9v7Kqbb8MfTq7zgqksguSw4A. Acessado em 25/03/2012; [4] FERNANDES, Francisco Carlos; RODRIGUES, Luciana G Barragan; DE PAULO, Wanderlei Lima; EIDT, Jorge - Controles internos: uma metodologia de mensuração dos níveis de controle de riscos. Disponível em: Acessado em 19/04/2012; [5] ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC Tecnologia da informação Técnicas de segurança Gestão de riscos de segurança da informação. Rio de Janeiro, Acessado em 25/03/2012; [6] SCHMITZ, Eber Assis, ALENCAR, Antonio Juarez e VILLAR, Carlos Badini - Modelos Qualitativos De Analise De Risco Para: Projetos De Tecnologia Da Informação Acessado em 27/03/2012; [7] SILVA, Edilberto M.- Segurança da Informação: Políticas de segurança e continuidade de negócios. FacSenac, 2011 Disponível em Acessado em 23/04/2011; [8] SERPA, Ricardo Rodrigues Gerenciamento de Riscos ITSCMAP. Disponível no site: df. Acessado em 25/03/2012; [9] ABNT ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC Tecnologia da informação Técnicas de segurança

18 Código de prática para a gestão de segurança da informação. Rio de Janeiro, Acessado em 29/03/2012; [10] BERGAMINI, Junior S.- Controles Internos como um Instrumento de Governança Corporativa. Revista do BNDES,Rio de Janeiro, v.12, n.24, p , Dez., Acessado em 10/04/2012; [11] SILVA, Ronaldo, MOURA, Viviane da Cunha, DEPONTI, Euclides, ROSA, Vinicius Plano de Continuidade de Negócios e Planejamento. Universidade Católica de Brasília. Disponível no endereço: =0CHYQFjAF&url=http%3A%2F%2Fwww.lyfreitas.com%2Fant%2Fartigos_m ba%2fartpcn.pdf&ei=jvdet_agd4- c8qsmqq3ccg&usg=afqjcngrbfo2rqtgxbfuqhiff3_8pluvrg&sig2=izfu VhfDjcwp26yOk864VA. Acessado em 24/04/2012; [12] BAUER, César Adriano Política de Segurança da Informação para redes Corporativas Disponível no site: Acessado em 17/02/2012; [13] ABNT-ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR :2007. Errata 1 Gestão de continuidade de negócios, Rio de Janeiro, : Parte 1. Acessado em 29/04/2012; [14] ABNT-ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/ABNT Procedimento básico para elaboração de projetos de cabeamento de telecomunicações para rede interna estruturada. Rio de Janeiro, Acessado em 27/05/2012.

19 7 AGRADECIMENTOS Agradeço em primeiro lugar a Deus que está sempre ao meu lado. Aos meus filhos pela compreensão devido ao tempo que deixei de dedicar a eles e dediquei aos meus estudos, à minha família e, aos meus amigos pelos momentos que tive que me ausentar de suas companhias. E, por fim, aos meus professores e orientadores que forneceram toda a bagagem intelectual e motivação para chegar até aqui.

20