Академический Документы
Профессиональный Документы
Культура Документы
1. INTRODUÇÃO
1
Artigo apresentado como Trabalho de Conclusão do Curso de Especialização em Gestão da Segurança
da Informação, da Universidade do Sul de Santa Catarina, como requisito parcial para a obtenção do
título de Especialista em Gestão da Segurança da Informação.
menor nível de erro, com isto vem o apoio direto do uso da inteligência de TI,
como facilitadora nos processos de tomada de decisão, informação e integração
entre processos que compõe as atividades primárias do negócio (Paz, 2015).
A empresa público alvo da pesquisa possui sistemas de tecnologia da
informação cujo os serviços essenciais para o negócio, juntamente com as
informações ficam centralizadas na matriz da empresa, disponíveis remotamente
para todos os usuários dos serviços de TI. Neste meio tempo, já ocorreram várias
interrupções das operações devido a falhas nos serviços de TI que impactaram
de forma considerável o negócio, financeiramente e na imagem externa da
organização.
A infraestrutura de hardware da empresa conta com uma sala em que
funciona o datacenter, inserido dentro do setor de TI na Matriz da organização.
A infraestrutura conta com 1 rack utilizado para os equipamentos de rede (switch,
firewall e central telefônica) e 1 rack para cerca de 5 servidores e 1 storage que
armazena e processa todas as informações da empresa.
O objetivo da pesquisa foi o de buscar junto a parte estratégica e táctica
da empresa, identificar os processos críticos de negócio, juntamente com os
serviços de tecnologia da informação (TI) essenciais para suportar estes
processos, de forma a criar um plano de continuidade de negócios (PCN) para
garantir que estes serviços e informações sejam reestabelecidos em casos de
incidente de segurança da informação.
No PCN proposto para organização foram definidas estratégias e ações a
serem adotadas com objetivo de possibilitar a redução de danos as informações.
Para tanto, tomou-se como base o diagnóstico feito através do Relatório de
Gestão de Riscos, que forneceu insumos relevantes para a elaboração do plano
de continuidade, uma vez que nele contem a identificação das principais
vulnerabilidades e ameaças que expõem aos riscos as informações dos
sistemas de informação que fazem parte dos processos críticos de negócio
mapeados.
A abordagem metodológica deste estudo classifica-se como um estudo
de natureza aplicada, pois busca entender um problema técnico e propor uma
solução na instituição pesquisada, além de classificar-se como uma pesquisa
teórica na etapa de revisão de literatura e empírica no momento em que foram
mapeados os processos da empresa objeto do estudo de caso.
O método de coleta de dados utilizado no presente trabalho foi
quantiqualitativo. Classificou-se por qualitativo por se tratar de um estudo de
caso centrado em um único caso, através do contato direto com a realidade da
organização pesquisada. E qualitativo, por selecionar um grupo específico de
pessoas do objeto da pesquisa. A pesquisa foi realizada na Matriz da empresa,
na cidade de Farroupilha em março de 2018. A estrutura de coleta de dados foi
com base na análise de documentos existentes, processos observados,
questionários aplicados para equipe estratégica e táctica, entrevistas realizadas
apenas com a equipe estratégica e através da realização de pesquisas
bibliográficas, ou seja, através de livros, artigos, normas técnicas e a Internet. O
questionário foi aplicado aos funcionários da empresa, buscando identificar
conhecimentos referentes a segurança da informação, processos de negócio e
ocorrência da interrupção de serviços de TI.
O presente artigo está organizado como se segue. Na Seção 2, são
apresentados o referencial teórico. Na Seção 3, são apresentados os resultados
e discussões. Finalmente, na Seção 4, são apresentadas as conclusões. Ao final
do artigo, foi incluído um apêndice com o questionário aplicado na pesquisa, o
roteiro de entrevista utilizado e um esboço do PCN proposto.
2. Processos Críticos de TI e PCN
7%
93%
REFERÊNCIAS
a) Nome:
b) Departamento:
c) Principais responsabilidades:
d) Processos críticos:
e) Impacto Financeiro:
f) Impacto Operacional:
g) Serviços e sistemas de TI utilizados:
h) Dependências de outras atividades ou setores:
i) Existe outra forma de realizar os processos sem os sistemas?
j) Na sua visão, qual o impacto de ficar sem um dos serviços de TI?
k) Em uma visão interdepartamental, quais serviços prestados pela TI
você considera mais importantes? (emissão de documentos fiscais, automação
de depósito, e-mail, internet,)
l) Qual o tempo máximo que você considera viável a empresa ficar sem
algum dos serviços?
m) Dentre as ameaças abaixo, classifique em ordem de maior para
menor com relação a importância em caso de ocorrência:
- Interrupção dos Serviços
- Perda de informação
- Roubo de Informação
- Destruição dos Recursos (hardwares)
- Modificação da informação
- Revelação da informação
Apêndice B: Questionário de pesquisa:
Informações gerais
Nome Completo:
_______________________________________________________
Setor:____________________________
Favor marcar com um X somente em uma única resposta que melhor se apresente
para você.
Analista Técnico
3. Grau de escolaridade:
Indiferente
________________________________________________
________________________________________________
________________________________________________
________________________________________________
__________________
d. Quanto tempo o seu setor pode ficar sem os recursos de
TI utilizados?
___________________
Substituição da fonte de
Levar o nobreak na
Nobreak energia por outro nobreak ou
manutenção para reparos
estabilizador
Acionamento de um link
Danos de fibra Acionar a operadora da
extra, diferente da tecnologia
óptica prestação de serviços de
utilizada que permita a
Indisponibilidade telecomunicação, o qual
liberação de serviços críticos
da realizará os diagnósticos e
que necessitam
Comunicação o devido reparo. Para a
exclusivamente da internet e
(Internet) rede fechada MPLS, contar
Danos ao rede MPLS até que os
com tratamento de
roteador/modem serviços normais sejam
proatividade.
reestabelecidos.
Danos a linha
telefônica
PLANO DE CONTINUIDADE DE NEGÓCIOS - PCN
Identificação de Incidentes Tratamento do Incidente
Plano de Recuperação
Incidente Causas Plano de Continuidade (PCO)
(PRD)
Trabalhar com alta
disponibilidade na Matriz. Nas
Acionar o fornecedor
Problema com o comunicações das filiais,
responsável pelos serviços
equipamento de trabalhar com um roteamento
de MSSP (Managed
gateway de contingência baseado na
Security Services).
rede fechada MPLS, através
de rota em switch.
Fazer atualização e
varredura de antivírus e
identificar os meios que
Contaminação por
Isolamento das máquinas possibilitaram a
vírus
Vírus afetadas para evitar a contaminação, tratando-os
proliferação às demais. segundo política de SI
adotada.
Buscar o backup mais
Ransomware
recente anterior a infeção.
Fazer restauração através
de softwares e
Dar continuidade aos serviços equipamentos específicos,
Indisponibilidade Danos as mídias que não dependam das buscar outro POR e
de restauração de armazenamento informações do backup até registrar plano de ação
de backups de backup que estas estejam para evitar recorrência,
recuperadas. como testar a mídias de
backup através de rotinas
automatizadas.
Substituição da impressora
Danos a danificada por uma reserva Acionar o fornecedor
impressoras (laser ou a configuração para responsável pelo contrato
Falhas de e térmicas) impressão em outra de impressão
Hardwares impressora até o reparo
Substituição da máquina
Danos a Encaminhar a máquina
danificada por uma reserva
microcomputadores danificada para Matriz.
até o reparo
Substituição da máquina Identificar a causa do dano
Falhas de Danos ao sistema
danificada por uma reserva e, caso necessário, realizar
Software operacional
até o reparo a reinstalação do SO.
PLANO DE CONTINUIDADE DE NEGÓCIOS - PCN
Identificação de Incidentes Tratamento do Incidente
Plano de Recuperação
Incidente Causas Plano de Continuidade (PCO)
(PRD)
Danos causados Restabelecer os serviços
Identificar as causas do
por atualização de através da restauração de
problema e saná-las.
softwares próprios backups, conforme RDM.
Danos causados
Fazer isolamento do módulo Solicitar a imediata
por atualização de
danificado e, se necessário, manutenção ao proprietário
softwares de
voltar a versão. do software danificado.
terceiros
No caso de departamentos
que realizam interações com
clientes, devem fazê-los
manualmente para garantir o
andamento das atividades até
o restabelecimento do
aplicativo.
Casos de máquina de acesso
a banco e que necessitam de
autorizações, verificar os Reparo através de backup
Dano à software procedimentos de liberação ou através da reinstalação
utilitário junto ao fornecedor. e/ou atualização do
software
No caso de aplicações de
missão crítica que possuam
software específico, como o
equipamento de sorterização,
possuir máquina backup em
spare.
Demais casos devem fazer
uso de outra máquina até que
seja feito o devido reparo.
Acionar o setor de
Danos aos
Falta de Utilização do aparelho patrimônio para que sejam
aparelhos de ar-
Refrigeração reserva (pode ser portátil) feitos os reparos e
condicionado
consertos no mesmo
Verificar o local de
Danos causados
Armazenamento armazenamento e,
a mídias de Fazer uso da penúltima cópia
Inadequado providenciar mídias extras
backup
e armazenar em outro local
PLANO DE CONTINUIDADE DE NEGÓCIOS - PCN
Identificação de Incidentes Tratamento do Incidente
Plano de Recuperação
Incidente Causas Plano de Continuidade (PCO)
(PRD)
Serviços de
Monitorar os serviços de Criar plano de ação para
Integração Interrupção dos
integração, corrigindo o verificar o que ocasionou a
(Clientes, serviços
problema falha e buscar correção
Sorter)
No caso da Matriz, onde fica
Montagem de recursos de
o datacenter, acionar
hardwares e softwares que
estrutura de contingência em
permitam o
Desconhecida outro local para os serviços
restabelecimento imediato
críticos de TI com RTO e
dos serviços críticos do
RPO acordados com o
negócio.
negócio.
No caso de departamentos
que realizam interações com
clientes, devem fazê-los
manualmente para garantir o
andamento das atividades até
Incêndio o restabelecimento do
aplicativo.
Montagem de recursos de
Casos de máquinas que
hardwares e softwares que
possuem aplicativos em
permitam o
máquinas específicas, como
restabelecimento imediato
(sorter, atslog, acesso a
dos serviços críticos
bancos) as mesmas devem
ser reconfiguradas para
trabalho autônomo e liberado
o uso
Demais casos, aguardar o
reparo ou disponibilização de
máquina de backup
Fonte: desenvolvido pelo autor