1 INTRODUO

Com a imensa quantidade de informao que circula pelas redes de computadores sem restrio de tempo, distncia e velocidade e a comunidade atual exigindo e consumindo cada vez mais informao. Surge a necessidade de que est informao seja entregue de forma segura e eficiente, pois, o sucesso e a sobrevivncia de uma organizao depende muito de como a informao controlada, armazenada e manipulada. No passado, os controles estavam basicamente no departamento financeiro, sendo este o corao da organizao. Com o passar dos anos e com o surgimento da computao, tornando a informao disponvel com mais facilidade, o departamento de informtica passa a ser o centro da organizao, e a informao o seu bem mais precioso. Num mundo atualmente muito competitivo, com constantes e inesperadas mudanas, as organizaes necessitam ter agilidade e flexibilidade para estar preparado para as falhas decorrentes de mudanas constantes no ambiente computacional. Surge a necessidade das organizaes criarem mecanismos que possam garantir a continuidade dos negcios em momentos de crise. O gerenciamento apropriado do risco interno e externo ajuda as organizaes a manter o ambiente de tecnologia da informao alinhado com o planejamento estratgico definido pela direo da organizao.

2 PLANO DE CONTINUIDADE DE NGOCIOS

O plano de continuidade de negcios tem como principal objetivo possibilitar o funcionamento da organizao em um nvel aceitvel nas situaes de contingncia onde h indisponibilidade dos recursos de informao. A impossibilidade de realizar as suas operaes traz srios impactos financeiros, operacionais e de imagem. O plano deve ser elaborado aps a realizao de uma anlise de impacto no negcio e especificar as ameaas e riscos identificados na organizao. A direo e os demais interessados na organizao devem conhecer todas as partes e fases do desenvolvimento do plano de continuidade de negcios e aprovar as ameaas e os riscos que podem afetar os ativos de informao, mas que esto de fora do plano. O plano deve ser elaborado inicialmente considerando as situaes de maior risco e maior impacto e ir amadurecendo conforme a maturidade da organizao frente a proteo dos seus ativos. O treinamento e a conscientizao de todos os colaboradores de grande importncia, permitindo que a organizao gerencie os riscos, esteja preparada para os momentos de contingncia e garanta a continuidade do negcio.

2.1 Risco, incidente e problema

Segundo ABNT ISO/IEC Guia 73:2005, risco a combinao da probabilidade de um evento e de suas conseqncias. Sendo que o evento uma relao entre as ameaas, vulnerabilidades e os possveis danos causados, ou seja, as conseqncias. Probabilidade: o grau de possibilidade de que um evento ocorra. Evento: a ocorrncia identificada de um sistema, servio ou rede que indica uma possvel violao da segurana da informao, ou uma situao desconhecida, que passa a ser relevante para a segurana dos ativos. Ativo: qualquer coisa que tenha valor para a organizao. Conseqncia: o resultado de um evento, podendo ser positivo ou negativo. Pode haver mais de uma conseqncia de um evento. Ameaas: uma causa potencial de um incidente indesejado resultar em um dano para o sistema ou organizao (ABNT NBR ISO /IEC 27002, 2007). Vulnerabilidades: so definidas como a fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas (ABNT NBR ISO /IEC 27002, 2007). Incidente: qualquer evento que no faz parte da operao normal de um servio e que pode causar, ou causa, uma interrupo do servio ou uma reduo de sua qualidade.

Gerenciamento do incidente: processo responsvel pelo tratamento e pela resoluo de todos os incidentes ocorridos na organizao, objetivando o restabelecimento dos servios de Tecnologia da Informao (TI) no menor tempo possvel e minimizar os impactos para o negcio. Problema: causa desconhecida de um ou mais incidentes. Gerenciamento de problemas: processo responsvel pela resoluo definitiva de eventos que afetam o funcionamento normal dos servios de TI, objetivando garantir a correo das falhas e prevenir a recorrncia de um incidente.

2.2 Gesto de riscos

Por que devemos estar atentos gesto de riscos? A Gesto de Riscos definida como as atividades coordenadas para direcionar e controlar uma organizao no que se refere ao risco (ABNT ISO/IEC Guia 73:2005). A gesto de riscos deve ser um processo que inclui a identificao, anlise, avaliao, tratamento, aceitao, comunicao, monitoramento e reviso do risco, onde se deve analisar todos os riscos inerentes s atividades de uma organizao. O processo de melhoria continua conhecido como Plan - Do - Check - Act (PDCA) um ciclo de anlise e melhoria dos processos gerenciais necessrios para o sucesso da organizao e para a rea de segurana da informao. O PDCA deve ser utilizado para estruturar os processos do Sistema de Gesto da Segurana da Informao (SGSI) e alinhar os processos de gesto de risco. A primeira etapa do processo (Planejar) inicia com a definio das estratgias e a forma como elas vo ser alcanadas, ou seja, a definio de polticas, controles e procedimentos para garantir a segurana das informaes. de extrema importncia que a direo da organizao esteja de acordo e comprometida com os processos estratgicos definidos. Segundo a norma ISO 27005, na fase de planejamento so tratados os processos de Definio do Contexto, Anlise/Avaliao de Riscos, Definio do Plano de Tratamento do Risco e Aceitao do Risco. Na segunda etapa (Executar), os processos definidos so implementados e executados. Tambm necessria a coleta de informaes para utilizao na prxima etapa. Alinhando com a norma ISO 27005 implementado o plano de Tratamento do Risco. Na terceira etapa (Checar) feita a avaliao dos processos implementados para verificar se o planejado foi realmente executado de forma adequada para alcanar as metas. Nessa fase so identificados os desvios de execuo e apresentados os resultados para uma anlise crtica da direo. Nessa etapa, segundo a norma ISO 27005, realizado o Monitoramento Contnuo e Anlise Crtica do Risco. Na quarta etapa (Agir) so realizadas aes corretivas e preventivas baseadas na identificao de desvios de execuo e nas consideraes apresentadas pela direo da organizao. A norma 27005 orienta manter e melhorar o processo de Gesto de Riscos de Segurana da Informao (BRANDO 2008; HARUNARI apud GUARAGNA, 1992, p. 79).

2.2.1 Comunicao do risco

Na fase de Comunicao do Risco as partes envolvidas, ou seja, os stakeholders, e as partes interessadas, pessoa ou grupo que tem interesse no desempenho ou no sucesso da organizao, devem ser identificadas e os seus papis e responsabilidades devem ser definidos. Um plano de comunicao criado para conhecimento das partes do andamento do processo de gesto do risco.

2.2.2 Definio do contexto

A Definio do Contexto define o escopo da gesto de riscos que ser utilizado para a identificao, avaliao, impacto e aceitao dos riscos. Nessa etapa so coletadas todas as informaes relevantes sobre a organizao, mas principalmente para a gesto de riscos de segurana. Os principais resultados da definio do contexto devem ser a descrio dos objetivos da gesto do risco e dos ambientes nos quais eles esto contextualizados. Tambm so definidos os critrios que sero utilizados na determinao dos riscos, isto , a determinao das conseqncias de segurana e os mtodos usados para a anlise e avaliao dos riscos.

2.2.3 Identificao de riscos

O papel da identificao de riscos identificar junto aos gestores os eventos de cada processo de negcio existente na organizao que possam afetar o funcionamento das atividades essenciais e causar perdas potenciais. So respondidas as perguntas: "O que pode acontecer?", "Quando e onde?" e "Como e por qu?". necessrio identificar as ameaas, os controles existentes, as vulnerabilidades e as conseqncias para cada propriedade da segurana da informao, ou seja, confidencialidade, integridade e disponibilidade.

2.2.4 Estimativa de riscos

A estimativa de riscos analisa a origem dos riscos, suas conseqncias e as probabilidades da ocorrncia dos riscos. Os dados devem ser mensurados atravs de uma metodologia qualitativa ou quantitativa. Como exemplo pode ser adotada a metodologia Common Vulnerability Scoring System (CVSS) para clculo do impacto das vulnerabilidades. A norma ISO 27005 orienta estimar o risco de duas formas. Qualitativamente, onde utilizada uma escala com atributos como, por exemplo, baixa, mdia e alta. Quantitativamente deve ser usada uma escala de valores numricos para estimar o risco.

2.2.5 Avaliao de riscos

Na fase de avaliao de riscos so definidos como os mesmos sero tratados tomando como base os resultados obtidos nas fases de identificao e estimativa de riscos. Algumas organizaes definem que todos os riscos sero tratados e outras focam somente nos riscos que afetam os principais processos de negcio da organizao. Os riscos devem ser ordenados por prioridade e associados aos processos de negcio.

2.2.6 Tratamento de riscos

O tratamento de riscos inicia com a priorizao entre os riscos encontrados, levando em conta os riscos que tm maior probabilidade de se concretizar, tornando-se um incidente. Os riscos devem relacionados conforme as opes de tratamento, que so: reduo, reteno, evitao e transferncia. A reduo do risco definida como as aes tomadas para reduzir a probabilidade, as conseqncias negativas, ou ambas, associadas a um risco. A reteno do risco a aceitao do nus da perda associado a um determinado risco. Evitar o risco significa decidir por no se envolver ou agir em uma determinada atividade para evitar a situao de risco. A deciso deve ser tomada conforme o resultado da avaliao de risco. A transferncia do risco o compartilhamento com outra parte do nus da perda ou do benefcio do ganho associado a um risco. importante analisar se a transferncia do risco no vai gerar novos riscos ou modificar o risco existente. Aps o tratamento, o evento que ainda possa produzir um risco chamado de risco residual. O tratamento deve ser refeito para reduzir o risco a um patamar aceitvel.

2.2.7 Aceitao de riscos

Na fase de aceitao, os riscos residuais devem ser formalmente aceitos pela organizao levando em conta o escopo elaborado na definio do contexto.

2.2.8 Monitoramento e anlise crtica dos riscos

A fase de monitoramento e anlise crtica dos riscos de extrema importncia para a gesto de riscos, pois necessrio que os riscos sejam monitorados e os processos revisados para identificar oportunidade de melhoria no tratamento dos riscos. Tendo em vista que o ambiente computacional dinmico, revises e auditorias peridicas devem ser realizadas para identificar modificaes internas e externas que possam alterar o contexto do processo de negcio da organizao.