Plano de Continuidade de Negócios
Objetivo Contingenciar situações e incidentes de segurança que não puderam ser evitados. Deve ser eficaz como um pára-quedas reserva o é em um momento de falha do principal, garantindo, apesar do susto, a vida do páraquedista em queda.
Segundo o DRI - Disaster Recovery Institute, de cada cinco empresas que possuem interrupção nas suas operações por uma semana, duas fecham as portas em menos de três anos. A empresa deve possuir diversos planos integrados e focados em diferentes perímetros, sejam físicos, tecnológicos ou humanos e, ainda, preocupada com múltiplas ameaças potenciais.
Análise de Impactos no Negócio BIA - Business Impact Analysis Esta etapa é fundamental para fornecer informações para o perfeito dimensionamento das demais fases de construção do plano de continuidade. Deve-se levantar o grau de relevância entre os processos ou atividade que fazem parte do escopo da contingência em função da continuidade do negócio.
BIA PN1 PN2 PN3 1 NÃO CONSIDERÁVEL 2 RELEVANTE 3 IMPORTANTE 4 CRÍTICO 5 VITAL X X X X
Incêndio Greve Ataque DoS Sabotagem Tolerância PN1 X X 48 horas PN2 X 5 horas PN3 X X X 24 horas PN4 X X 15 minutos
Estratégias de Contingência Hot-site Recebe esse nome por ser uma estratégia quente ou pronta para entrar em operação assim que uma situação de risco ocorrer. No caso de um servidor de banco de dados estaríamos falando de milissegundos de tolerância para garantir a disponibilidade do serviço.
Warm-site Essa estratégia se aplica a objetos com maior tolerância à paralisação, podendo sujeitar-se a indisponibilidade por mais tempo. Um exemplo seria um serviço de e-mail
Realocação de Operação Essa estratégia objetiva desviar a atividade atingida pelo evento que provocou a quebra de segurança, para outro ambiente físico, equipamento ou link, pertencentes a mesma empresa. Um exemplo seria redirecionar o tráfego de dados de um roteador ou servidor com problemas para outro que possua folga de processamento e suporte o acúmulo de tarefas.
Bureau de Serviços Esta estratégia considera a possibilidade de transferir a operacionalização da atividade atingida para um ambiente terceirizado, portanto, fora dos limites da empresa. Requer atenção na adoção de procedimentos, critérios e mecanismos de controle que garantam condições de segurança adequadas à relevância e criticidade da atividade contingenciada.
Acordo de Reciprocidade Essa estratégia propõe a aproximação e um acordo formal com empresas que mantêm características físicas, tecnológicas ou humanas semelhantes a sua, e que estejam igualmente dispostas a possuir uma alternativa de continuidade operacional. Um exemplo seria o processo de impressão de jornais.
Cold-site Esta estratégia propõe uma alternativa de contingência a partir de um ambiente com os recursos mínimos de infra-estrutura e telecomunicações, desprovido de recursos de processamento de dados. Aplicável a situações com tolerância à indisponibilidade.
Auto-suficiência Aparentemente uma estratégia impensada, a auto-suficiência é, muitas vezes, a melhor ou a única estratégia possível para determinada atividade. Isso ocorre quando nenhuma outra estratégia é aplicável, quando os impactos possíveis não são significativos ou quando estas são inviáveis, seja financeiramente, tecnicamente ou estrategicamente.
Planos de Contingência São desenvolvidos para cada ameaça considerada em cada um dos processo e negócio pertencente ao escopo, definindo em detalhes os procedimentos a serem executados em estado de contingência. Dividido em três módulos
Plano de Administração de Crise Esse documento tem o propósito de definir passo-a-passo o funcionamento das equipes envolvidas com o acionamento da contingência antes, durante e depois da ocorrência do incidente. Um exemplo seria o comportamento da empresa na comunicação do fato à imprensa.
Plano de Continuidade Operacional Esse documento tem o propósito de definir os procedimentos para contingenciamento dos ativos que suportam cada processo de negócio, objetivando reduzir o tempo de indisponibilidade e, conseqüentemente, os impactos potenciais ao negócio. Um exemplo seria orientar as ações diante da queda de uma conexão à Internet
Plano de Recuperação de Desastres Esse documento tem o propósito de definir um plano de recuperação e restauração das funcionalidades dos ativos afetados que suportam cada processo de negócio, a fim de restabelecer o ambiente e as condições originais de operação. É fator crítico de sucesso estabelecer adequadamente os gatilhos de acionamento para cada plano de contingência.
Teste de Invasão Tem um papel importante e complementar dentro do mapeamento dos riscos da empresa. Seu objetivo, diferente da análise de riscos, não é mapear todas as ameaças, vulnerabilidades e impactos, mas avaliar o grau de segurança oferecido pelos controles de segurança de determinado perímetro.
É premissa para garantir a qualidade da atividade definir claramente o perímetro que se quer testar, a ação de que tipo de ameaça se quer avaliar a proteção e, ainda, o tempo de validade do teste. A qualidade de um teste de invasão é medida pelo grau de similaridade reproduzida pela simulação em relação às práticas reais de tentativa de invasão e não à obtenção de resultados positivos ou negativos.
Tipos de Testes de Invasão Interno Define o ambiente interno da própria empresaalvo como o ponto de presença do analista para execução do teste. Eficiente devido aos altos índices de tentativas de ataque e invasão realizados por funcionários e recursos terceirizados.
Externo Define um ambiente externo à própria empresa-alvo como o ponto de presença do analista para execução do teste. Eficiência comprovada para situações que visem simular acessos externos ao ambiente corporativo, como em acessos remotos, responsáveis por fatia representativa dos ataque e invasões
Cego Define a ausência de acesso a informações privilegiadas sobre a estrutura física, tecnológica e humana, a fim de subsidiar o analista na execução do teste. Não tem demonstrado grande eficiência devido aos baixos índices de tentativas de ataques e invasões sem qualquer informação do alvo.
Não cego Define a presença de acesso a informações privilegiadas sobre a estrutura física, tecnológica e humana, a fim de subsidiar o analista na execução do teste. Demonstra eficiência pela similaridade com situações reais de ataque.
Política de Segurança da Informação
Estabelece padrões, responsabilidades e critérios ar ao manuseio, armazenamento, transporte e descarte das informações dentro do nível de segurança estabelecido sob medida pela e para a empresa. É subdividida em três blocos: Diretrizes Normas Procedimentos e Instruções
Os elementos Vigilância Significa que todos os membros da organização devem entender a importância da segurança para a mesma, fazendo com que atuem como guardiões da rede, evitando-se, assim, abusos sistêmicos e acidentais.
Atitude Significa a postura e a conduta quanto à segurança. Sem a atitude necessária, a segurança proposta não terá nenhum valor. Estratégia Diz respeito a ser criativo quanto às definições da política e do plano de defesa contra intrusões, além de possuir a habilidade de ser adaptativo a mudanças no ambiente, tão comuns no meio corporativo.
Tecnologia A solução tecnológica deve ser adaptativa e flexível, a fim de suprir as necessidades estratégicas da organização.
Vigilância Atitude Política de Segurança de Sucesso Estratégia Tecnologia
Segundo a norma ISO/IEC 17799, a política de segurança deve seguir pelo menos as seguintes orientações: - Definição de segurança da informação, resumo das metas, do escopo e da importância da segurança para a organização, enfatizando seu papel estratégico como mecanismo para possibilitar o compartilhamento da informação e o andamento dos negócios. - Declaração do comprometimento do corpo executivo, apoiando as metas e os princípios da segurança da informação.
- Breve explanação das políticas, princípios, padrões e requisitos de conformidade de segurança no contexto específico da organização, por exemplo: - Conformidade com a legislação e eventuais cláusulas contratuais; - Requisitos na educação e treinamento em segurança; - Prevenção e detecção de vírus e programas maliciosos; - Gerenciamento da continuidade dos negócios;
- Conseqüências das violações na política de segurança ; - Definição de responsabilidades gerais e específicas na gestão da segurança de informações, incluindo o registro dos incidentes de segurança; - Referências que possam apoiar a política, por exemplo, políticas, normas e procedimentos de segurança mais detalhados de sistemas ou áreas específicas, ou regras de segurança que os usuários deve seguir.
A política de segurança não deve conter detalhes técnicos específicos de mecanismos a serem utilizados ou procedimentos que devem ser adotados por indivíduos particulares, mas, sim, regras gerais e estruturais que se aplicam ao contexto de toda a organização. A política de segurança deve ser curta o suficiente para que seja lida e conhecida por todos os funcionários da empresa.
Considerações importantes - Conheça seu inimigo; - Contabilize os valores; - Identifique, examine e justifique suas hipóteses; - Controle seus segredos; - Avalie os serviços estritamente necessários para o andamento do negócio da organização; - Considere os fatores humanos; - Conheça seus pontos fracos;
- Limite a abrangência do acesso; - Entenda o ambiente; - Limite a confiança; - Nunca se esqueça da segurança física; - A segurança é complexa; - A segurança deve ser aplicada de acordo com os negócios da organização; - As atividades de segurança formam um processo constante.
Alguns detalhes que podem ser definidos com base na análise do ambiente da rede e de seus riscos, seriam: A segurança é mais importante que o serviço; A política de segurança deve evoluir constantemente; Aquilo que não for expressamente permitido será proibido; Nenhuma conexão direta com a rede interna, originária externamente, deverá ser permitida sem que um rígido controle de acesso seja definido e implementado.
Os serviços devem ser implementados com a maior simplicidade possível, evitando-se a complexidade e a possibilidade de configurações erradas. Devem ser realizados testes, a fim de garantir que todos os objetivos sejam alcançados. O acesso remoto discado, quando necessário, deve ser protegido. Nenhuma senha deve ser fornecida em claro.
A implementação Implementar é adquirir, configurar e aplicar os mecanismos de controle de segurança a fim de atingir o nível de risco adequado Pode ser considerada a parte mais difícil da política de segurança da informação
Os maiores obstáculos para a implementação Desculpe, não existem recursos financeiros suficientes e as prioridades são outras. Por que você continua falando sobre a implementação da política? Foram feitos todos os esforços para o desenvolvimento da política, isso é tudo?
Temos realmente que fazer tudo isso? O que você quer dizer com existem dependências? O que você quer dizer com ninguém sabe o que fazer depois? Desculpe, isso é muito complexo. A política de segurança vai fazer com que eu perca meu poder?
Por que eu tenho que me preocupar com isso? Esse não é meu trabalho. Não podemos lidar com isso, pois não temos um processo disciplinar.