Apostila - Plano de Contigência
-
Upload
pinheirofs -
Category
Documents
-
view
1.956 -
download
3
Transcript of Apostila - Plano de Contigência
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
CONCEITOS BÁSICOS ________________________________________________ 2
Dados, Informação e Conhecimento ___________________________________________ 2 Dado __________________________________________________________________________ 2 Informação______________________________________________________________________ 3 Conhecimento ___________________________________________________________________ 4 Quadro comparativo ______________________________________________________________ 5 Exemplos de Dado, Informação e Conhecimento ________________________________________ 6 Etapas de transformação ___________________________________________________________ 6 Tipos de Conhecimento ____________________________________________________________ 7
Tipologia da Informação ____________________________________________________ 7 Fonte Formal ____________________________________________________________________ 7 Fonte Informal ___________________________________________________________________ 7 Informações estruturadas ___________________________________________________________ 7 Informações não Estruturadas _______________________________________________________ 7 Informação de Atividade ___________________________________________________________ 8 Informações de Convívio __________________________________________________________ 8 Informação Estratégica ____________________________________________________________ 8
Conceito de Sistemas de Informação __________________________________________ 8
O VALOR DA INFORMAÇÃO PARA AS ORGANIZAÇÕES _________________ 13
LEIS DA INFORMAÇÃO __________________________________________________ 13
Plano de Contingência ________________________________________________ 15
Conceitos de Redundância e Contingência _____________________________________ 15 Falhas de Sistema _______________________________________________________________ 15 Redundância ___________________________________________________________________ 15 Contingência ___________________________________________________________________ 16
Plano de Contingência, Plano de Continuidade ou Plano de Desastre ______________ 18 Metodologia do Plano de Contingência _______________________________________________ 24 Definição de Equipes de Contingência _______________________________________________ 26
CONCEITOS BÁSICOS
Dados, Informação e Conhecimento
Existem três níveis básicos de saber que podem ser definidos segundo o grau de
elaboração utilizado para se apreender, estruturar e dar sentido ao que é produzido através de observações e experimentações. São eles:
Dados: São o registro daqueles aspectos do fenômeno sendo estudado que um determinado investigador pôde captar. Correspondem a uma anotação bastante direta das observações, ou seja, com relativamente pouca elaboração ou tratamento. Uma vez coletados, são compreendidos como um reflexo razoavelmente confiável dos acontecimentos concretos.
Informação: É o resultado de uma organização, transformação e/ou análise de dados, ou seja, do seu tratamento de modo a produzir deduções e inferências lógicas confiáveis. Constitui uma leitura daquilo que o conjunto dos dados parece indicar.
Conhecimento: Argumentos e explicações que interpretam um conjunto de informações. Trata-se de conceitos e raciocínios lógicos essencialmente abstratos que interligam e dão significado a fatos concretos. Envolve hipóteses, teses, teorias e leis.
O processo de construção de conhecimento científico envolve os dados, os quais representam a "matéria-prima" bruta, a partir dos quais as operações lógicas criam informações e, finalmente, estas últimas são interpretadas para gerar conhecimento. É o que está resumido no diagrama abaixo.
Trata-se de caminho que forma a ponte entre o empírico e o teórico, com o fenômeno gerando dados, os dados gerando informações, e as informações gerando ou confirmando um conhecimento abstrato.
Dado
Dado é qualquer elemento identificado em sua forma bruta que, por si só, não conduz a
uma compreensão de determinado fato ou situação. (Oliveira, 2005)
Elemento que representa eventos ocorridos na empresa ou circunstâncias físicas, antes
que tenham sido organizados ou arranjados de maneira que as pessoas possam entender
e usar. (ROSINI e PALMISANO, 2003).
São quantificáveis e os únicos passíveis de uma real definição:
Símbolos
Marcas
Números
Os dados emergem da percepção inicial do observador sobre a natureza do objeto: são
identificados por características visuais ou simbólicas, mensuráveis.
Definimos dado como uma seqüência de símbolos quantificados ou quantificáveis.
Portanto, um texto é um dado. De fato, as letras são símbolos quantificados, já que o
alfabeto por si só constitui uma base numérica. Também são dados imagens, sons e
animação, pois todos podem ser quantificados a ponto de alguém que entra em contato
com eles ter eventualmente dificuldade de distinguir a sua reprodução, a partir da
representação quantificada, com o original. É muito importante notar-se que qualquer
texto constitui um dado ou uma seqüência de dados, mesmo que ele seja ininteligível
para o leitor. Isso ficará mais claro no próximo item.
Como são símbolos quantificáveis, dados podem obviamente ser armazenados em um
computador e processados por ele.
Em nossa definição, um dado é necessariamente uma entidade matemática e, desta
forma, puramente sintática. Isto significa que os dados podem ser totalmente descritos
através de representações formais, estruturais. Dentro de um computador, trechos de um
texto podem ser ligados virtualmente a outros trechos, por meio de contigüidade física
ou por "ponteiros", isto é, endereços da unidade de armazenamento sendo utilizada.
Ponteiros podem fazer a ligação de um ponto de um texto a uma representação
quantificada de uma figura, de um som, etc.
Informação
Informação é o dado trabalhado que permite ao executivo tomar decisões. (Oliveira,
2005). Dado configurado de forma adequada ao entendimento e à utilização pelo ser
humano (ROSINI e PALMISANO, 2003).
Aquilo que leva à compreensão. São dados organizados de modo significativo, sendo
subsídio útil à tomada de decisão.
As informações são o resultado dos dados devidamente tratados, comparados,
classificados, relacionáveis entre outros dados servindo para tomada de decisões e para
melhor noção do objeto estudado.
Informação é uma abstração informal (isto é, não pode ser formalizada através de uma
teoria lógica ou matemática), que representa algo significativo para alguém através de
textos, imagens, sons ou animação. Note que isto não é uma definição - isto é uma
caracterização, porque "algo", "significativo" e "alguém" não estão bem definidos;
assumimos aqui um entendimento intuitivo desses termos. Por exemplo, a frase "Paris é
uma cidade fascinante" é um exemplo de informação - desde que seja lida ou ouvida por
alguém, desde que "Paris" signifique a capital da França e "fascinante" tenha a
qualidade usual e intuitiva associada com aquela palavra.
Não é possível processar informação diretamente em um computador. Para isso é
necessário reduzi-la a dados. No nosso caso, "fascinante" teria que ser quantificado,
usando-se por exemplo uma escala de zero a quatro. Mas então, a nosso ver, isto não
seria mais informação.
A representação da informação pode eventualmente ser feita por meio de dados. Nesse
caso, pode ser armazenada em um computador. Mas, atenção, o que é armazenado na
máquina não é a informação, mas a sua representação em forma de dados. Essa
representação pode ser transformada pela máquina - como na formatação de um texto -
mas não o seu significado, já que este depende de quem está entrando em contato com a
informação. Por outro lado, dados, desde que inteligíveis, são sempre incorporados por
alguém como informação, porque os seres humanos (adultos) buscam constantemente
por significação e entendimento. Quando se lê a frase "a temperatura média de Paris em
dezembro é de 5oC", é feita uma associação imediata com o frio, com o período do ano,
com a cidade particular, etc. Note que "significação" não pode ser definida
formalmente. Vamos considerá-la aqui como uma associação mental com um conceito,
tal como temperatura, Paris, etc. O mesmo acontece quando vemos um objeto com um
certo formato e dizemos que ele é "circular", associando - através do nosso pensamento
- nossa representação mental do objeto percebido com o conceito "círculo".
Uma distinção fundamental entre dado e informação é que o primeiro é puramente
sintático e o segundo contém necessariamente semântica (implícita na palavra
"significado" usada em sua caracterização). É interessante notar que é impossível
introduzir semântica em um computador, porque a máquina mesma é puramente
sintática (assim como a totalidade da matemática). Se examinássemos, por exemplo, o
campo da assim chamada "semântica formal" das "linguagens" de programação,
notaríamos que, de fato, trata-se apenas de sintaxe expressa através de uma teoria
axiomática ou de associações matemáticas de seus elementos com operações realizadas
por um computador (eventualmente abstrato). De fato, "linguagem de programação" é
um abuso de linguagem, porque o que normalmente se chama de linguagem contém
semântica. (Há alguns anos, em uma conferência pública, ouvimos Noam Chomsky - o
pesquisador que estabeleceu em 1959 o campo das "linguagens formais" e que buscou
intensivamente por "estruturas profundas" sintáticas na nossa linguagem e no cérebro -,
dizer que uma linguagem de programação não é de forma alguma uma linguagem.)
Outros abusos usados no campo da computação, ligados à semântica, são "memória" e
"inteligência artificial". Estamos em desacordo com o seu uso porque nos dão, por
exemplo, a falsa impressão de que a nossa memória é equivalente em suas funções aos
dispositivos de armazenamento computacional, ou vice-versa. John Searle, o autor da
famosa alegoria do Quarto Chinês, demonstrando que os computadores não possuem
qualquer entendimento, argumentou que os computadores não podem pensar porque
lhes falta a nossa semântica
Inspirados pela alegoria de Searle, vamos esclarecer um pouco mais os nossos
conceitos. Suponhamos que temos uma tabela de nomes de cidades, meses
(representados de 1 a 12) e temperaturas médias, de tal forma que os títulos das colunas
e os nomes das cidades estão em chinês. Para alguém que não sabe nada de chinês nem
de seus ideogramas, a tabela constitui-se de puros dados. Se a mesma tabela estivesse
em português, seria informação, para brasileiros ou portugueses capazes de lê-la.
Conhecimento
Conhecimento é o conjunto de ferramentas conceituais e categorias usadas pelos seres
humanos para criar, colecionar, armazenar e compartilhar a informação (LAUDON e
LAUDON,1999). Definições e compreensões que a pessoa já tem sobre o mundo.
Referencial teórico. Modelo da realidade a partir de informações construídas com base
em dados observados.
Conhecimento é uma abstração interior, pessoal, de alguma coisa que foi experimentada
por alguém. No nosso exemplo, alguém tem algum conhecimento de Paris somente se a
visitou.
Nesse sentido, o conhecimento não pode ser descrito inteiramente - de outro modo seria
apenas dado (se descrito formalmente e não tivesse significado) ou informação (se
descrito informalmente e tivesse significado). Também não depende apenas de uma
interpretação pessoal, como a informação, pois requer uma vivência do objeto do
conhecimento. Assim, quando falamos sobre conhecimento, estamos no âmbito
puramente subjetivo do homem ou do animal. Parte da diferença entre ambos reside no
fato de um ser humano poder estar consciente de seu próprio conhecimento, sendo
capaz de descrevê-lo parcial e conceitualmente em termos de informação, por exemplo,
através da frase "eu visitei Paris, logo eu a conheço" (estamos supondo que o leitor ou o
ouvinte compreendam essa frase).
Em nossa caracterização, os dados que representam uma informação podem ser
armazenados em um computador, mas a informação não pode ser processada quanto a
seu significado, pois depende de quem a recebe. O conhecimento, contudo, não pode
nem ser inserido em um computador por meio de uma representação, pois senão foi
reduzido a uma informação. Assim, neste sentido, é absolutamente equivocado falar-se
de uma "base de conhecimento" em um computador. No máximo, podemos ter uma
"base de informação", mas se é possível processá-la no computador e transformá-la em
seu conteúdo, e não apenas na forma, o que nós temos de fato é uma tradicional "base
de dados".
Associamos informação à semântica. Conhecimento está associado com pragmática,
isto é, relaciona-se com alguma coisa existente no "mundo real" do qual temos uma
experiência direta. (De novo, assumimos aqui um entendimento intuitivo do termo
"mundo real".)
Quadro comparativo
Dados, Informação e Conhecimento
Dados Informação Conhecimento
Simples observações
sobre o estado do
mundo
Dados dotados de
relevância e propósito
Informação valiosa da
mente humana
Inclui reflexão, síntese,
contexto
Facilmente
estruturado
Facilmente obtido por
máquinas
Freqüentemente
Requer unidade de
análise
Exige consenso em
relação ao significado
Exige
De difícil estruturação
De difícil captura em
máquinas
Freqüentemente tácito
De difícil transferência
quantificado
Facilmente
transferível
necessariamente a
mediação humana
FONTE: Davenport, Prusak - 1998 - p.18
Um dado é puramente objetivo - não depende do seu usuário. A informação é objetiva-
subjetiva no sentido que é descrita de uma forma objetiva (textos, figuras, etc.), mas seu
significado é subjetivo, dependente do usuário. O conhecimento é puramente subjetivo -
cada um tem a experiência de algo de uma forma diferente. A competência é subjetiva-
objetiva, no sentido de ser uma característica puramente pessoal, mas cujos resultados
podem ser verificados por qualquer um.
Exemplos de Dado, Informação e Conhecimento
Dado: 100 e 5 %, fora de contexto, são dados assim como os termos depósito e taxa de
juros.
Informação: se conta de poupança no banco for contextualizado, depósito e taxa de
juros começam a ter sentido.
Conhecimento: Se eu deposito R$ 100,00 em minha conta poupança e o banco paga
5% de juros, ao final do ano terei R$ 105,00 na conta.
Etapas de transformação
Transformar Dados em Informação
Contextualizar: Conhecer a Finalidade;
Categorizar: Conhecer os componentes essenciais;
Calcular: Analisar Matemática ou Estatisticamente;
Corrigir: Eliminar erros dos dados;
Condensar: Resumi-los de forma concisa;
Transformar Informação em Conhecimento
Comparações: Confrontar as informações;
Conseqüências: Levantar implicações dessas informações com decisões e tomadas de
ações;
Conexões: Verificar relações do novo conhecimento com aqueles já existentes;
Conversação: Levantar opinião de outras pessoas;
Tipos de Conhecimento
Explícito: Transformados em documentos, roteiros e treinamentos;
Tácito: É aquele difícil de registrar, documentar ou ensinar as pessoas;
O conhecimento existe:
No indivíduo;
Em um grupo de indivíduos;
Na organização;
Tipologia da Informação
Fonte Formal
Imprensa;
Base de dados;
Informações científicas;
Informações técnicas;
Documentos da empresa;
Fonte Informal
Seminários;
Congressos;
Visitas a clientes;
Agências de publicidade;
Informações de mercado sobre produtos, clientes, fornecedores, etc.
Informações estruturadas
Seguem um padrão previamente definido.
Exemplo: Um formulário com os campos preenchidos.
Informações não Estruturadas
Não seguem um padrão definido.
Exemplo: Um artigo de revista.
Informação de Atividade
Permite a organização garantir seu funcionamento.
Costuma ser estruturado e normalmente direcionado ao nível operacional.
Exemplo: Pedidos de compra, nota fiscal de saída, custo de implementação
de um projeto.
Informações de Convívio
Possibilita aos indivíduos se relacionarem, podem influenciar seus
comportamentos.
Geralmente não estruturada e presente em todos os níveis da organização.
Exemplo: Jornal interno, reunião de serviço, ação publicitária.
Informação Estratégica
Capaz de melhorar o processo decisório.
Reduz o grau de incerteza.
Subsidia a definição dos objetivos organizacionais.
Exemplo: Curva ABC de clientes, preços praticados pela concorrência, etc.
Conceito de Sistemas de Informação
Sistema: Um sistema é um conjunto de elementos que interagem para se atingir metas
ou objetivos. Basicamente, um sistema possui os seguintes elementos:
- Entrada: envolve captação e reunião de elementos que entram no sistema para serem
processados.
- Processamento: envolve processos de transformação que converte insumo (entrada)
em produto.
- Saída: envolve a transferência de elementos produzidos por um processo de
transformação até o seu destino final.
Exemplos de Sistemas:
- Um sistema de produção recebe matérias-primas como entrada e produz produtos
acabados como saída.
- Um sistema de informação também é um sistema que recebe recursos ( dados ) como
entrada e os processa em produtos (informação) como saída.
O conceito de sistema se torna ainda útil pela inclusão de mais um componente:
feedback ou realimentação. A incorporação deste componente a um sistema faz com
que este se torne auto-monitorado ou auto-regulado.
Feedback ou Realimentação é uma saída usada para fazer ajustes ou modificações nas
atividades de entrada ou processamento. Assim, os erros ou problemas podem fazer
com que os dados de entrada sejam corrigidos ou que um processo seja modificado.
Subsistema ou ambiente de sistema: Um sistema sempre funciona em um ambiente
que contém outros sistemas. Se um sistema for um componente de um sistema maior,
ele é um subsistema. A fronteira de um sistema separa-o de um ambiente e de outros
sistemas. Vários sistemas podem ser conectados entre si por meio um limite
compartilhado ou interface.
A forma pela qual os elementos do sistema estão interligados é chamada configuração.
As relações entre os elementos de um sistema são definidas através de conhecimento.
Em muitos casos, saber o objetivo do sistema é o primeiro passo para se definir a forma
como os elementos do sistema são configurados.
Classificação dos Sistemas: Os sistemas podem ser classificados como simples ou
complexos, abertos ou fechados, estáveis ou dinâmicos, adaptáveis ou não adaptáveis,
permanentes ou temporários.
Simples ou Complexos: Um sistema simples é aquele que possui poucos
elementos ou componentes e a relação entre componentes ou elementos não é
complicada e direta.
Já um sistema complexo possui muitos elementos que são altamente
relacionados e inter-conectados. Na realidade a maioria dos sistemas se situa em
um estágio contínuo entre simples e complexo.
Aberto ou Fechado: Um sistema aberto interage com seu ambiente. Em outras
palavras, há um fluxo de entradas e saídas por todos os limites do sistema.
Um sistema fechado não possui qualquer interação com o ambiente. Por isso é
que existem poucos sistemas deste tipo.
Estável ou Dinâmico: Um sistema estável é aquele que mudanças no
ambiente resultam em pouca ou nenhuma mudança no sistema.
Um sistema dinâmico é o que sofre mudanças rápidas e constantes devido a
mudança de seu ambiente.
Adaptáveis ou Não Adaptáveis: Os conceitos sobre adaptáveis e não
adaptáveis estão relacionados a estabilidade e dinâmica. Um sistema adaptável é
aquele que responde ao ambiente mutável. Em outras palavras, é aquele que
monitora o ambiente e recebe modificações em resposta a mudança do ambiente.
O sistema não adaptável é aquele que não muda com o ambiente mutável.
Permanente ou Temporário: O sistema permanente é o que existe ou existirá
por um longo período de tempo, geralmente 10 anos ou mais.
O sistema temporário é aquele que existirá por um curto espaço de tempo.
Modelando um Sistema: O mundo real é complexo e dinâmico. Por isso que usamos
modelos no lugar de sistemas reais. Um modelo é uma abstração da realidade ou uma
simulação do que é realidade. Há inúmeros tipos diferentes de modelos e os principais
veremos a seguir:
Modelo Narrativo: Um modelo narrativo, como o próprio nome já diz, se
baseia em palavras. As descrições das realidades, tanto verbais como escritas,
são consideradas modelos narrativos. Em uma empresa, relatórios, documentos e
conversas referentes a um sistema, são todos narrativas importantes.
Modelo Físico: Um modelo físico é uma representação tangível da realidade.
Muitos modelos físicos são construídos por computador.
Modelo Esquemático: Um modelo esquemático é a representação gráfica da
realidade. Gráficos, mapas, figuras, ilustrações e fotografia são tipos de modelos
esquemáticos. Os modelos esquemáticos são usados em grande parte no
desenvolvimento de programas e sistemas de computador. Fluxogramas de
programas mostram como os programas podem ser desenvolvidos. Diagramas de
fluxo de dados mostram como os dados fluem dentro através de uma
organização.
Modelo Matemático: Um modelo matemático é a representação aritmética da
realidade. Estes modelos são utilizados em todas as áreas de negócios.
Sistema de Informação: Um sistema de informação é um tipo especializado de
sistema, podendo ser definido como um conjunto de componentes inter-relacionados
trabalhando juntos para coletar, recuperar, processar, armazenar e distribuir a
informação com a finalidade de facilitar o planejamento, o controle, a coordenação, a
análise e o processo decisório em empresas e organizações.
O conceito de Sistemas de Informação (SI) deriva do conceito de sistema como
atividade humana, o qual pode envolver, ou não, a utilização de computadores. O SI
funciona, portanto, como suporte às ações e decisões humanas e depende do contexto
em que estão inseridos.
Os sistemas de informações contêm informações sobre pessoas, lugares e coisas de
interesse, no ambiente, ao redor, e dentro da própria organização.
Seguindo a definição da teoria dos sistemas, um sistema de informação também é
composto de elementos que coletam ( entrada ) , manipulam e armazenam ( processo ),
disseminam (saída) os dados e informações e fornecem o mecanismo de feedback (
realimentação ).
Sistemas de Informação Manuais e Computadorizados: Muitos dos sistemas de
informação começaram com sistemas manuais e depois se tornaram computadorizados.
Esta migração ocorreu porque um sistema manual não é prático e sujeito a falhas. E,
desta maneira, acaba sendo ineficiente.
Recursos e Tecnologias dos Sistemas de Informação: O sistema de informação
baseado em computador (SIBC) é composto por hardware, software, banco de dados,
telecomunicações, pessoas e procedimentos que estão configurados para coletar,
armazenar e processar dados em informação. A seguir vamos discutir cada um destes
componentes.
Recursos de Hardware: consiste no equipamento do computador usado para
executar as atividades de entrada, processamento e saída. Os dispostivos de
entrada incluem o teclado, os dispositivos de escaneamento automático, e outros
dispositivos de leitura de dados. Os dispositivos de processamento incluem
Unidade Central de Processamento (CPU), memória e dispositivos de
armazenagem. Há muitos dispositivos de saída, incluindo as impressoras e
monitores.
Recursos de Software: consistem nos programas e instruções dadas ao
computador e ao usuário. Estes programas e instruções permitem o computador
processar diversos aplicativos com rapidez, qualidade e baixo custo.
Recursos de Armazenamento: é uma coleção organizada de fatos e
informações. O banco de dados é uma das partes mais valiosas de um sistema de
informação baseado em computador.
Recursos Humanos: é o elemento mais importante em um sistema de
informação baseado em computador. Os profissionais que trabalham com
sistemas de informações incluem todas as pessoas que gerenciam, executam,
programam e mantêm o sistema do computador. Os usuários são os
administradores, tomadores de decisão, colaboradores e outros usuários que
utilizam o computador em seu benefício.
Procedimentos: incluem as estratégicas, políticas, métodos e regras usadas pelo
homem para operar o SIBC.
Papéis Fundamentais dos Sistemas de Informação nas Empresas: Os sistemas de
informação desempenham 3 papéis vitais em qualquer tipo de organização:
Suporte de seus processos e operações
Suporte nas tomadas de decisões de seus funcionários e gerentes
Suporte em suas estratégias em busca de vantagem competitiva
Tipos de Sistemas de Informação: Em termos conceituais, os sistemas de informação
podem ser classificados de maneiras diferentes. Algumas delas veremos a seguir.
Sistema de Apoio a Operações: Existem 3 tipos principais de sistemas de apoio
a decisões:
o Sistema de Processamento de Transações: o objetivo deste tipo de
sistema é reduzir custos através de automatização de rotina. Um dos
primeiros sistemas empresariais a ser computadorizado foi o sistema de
folha de pagamento. Como estes sistemas tratavam e processavam
transações, foram chamados de sistemas de processamento de transações.
o Sistema de Controle de Processos: monitoram e controlam processos
físicos.
o Sistemas Colaborativos: aumentam as comunicações e produtividade das
equipes e grupos de trabalho.
Sistema de Apoio Gerencial: existem 3 tipos principais de sistema de apoio
gerencial:
o Sistema de informação gerencial: foram criados a partir da década de
1960 e são caracterizados pelo uso do sistema de informação para
produzir relatórios gerenciais.
o Sistema de apoio à decisão: nas décadas de 1970 e 1980, grandes
aperfeiçoamentos da tecnologia resultaram em sistemas de informação
que custavam menos e eram muito mais poderosos. Pessoas de todas as
áreas da empresa passaram a usar microcomputadores para fazer uma
variedade de tarefas e não dependiam mais de um setor específico para
realizar as suas atividades. Neste período foi constatado que um sistema
de informação baseado em computador poderia dar apoio adicional a
tomada de decisão.
o Sistema de Informação Executiva: fornecem informações críticas em
quadros de fácil visualização para uma multiplicidade de
gerentes/administradores.
O VALOR DA INFORMAÇÃO PARA AS ORGANIZAÇÕES
Alguns estudiosos analisam a informação como um bem empresarial, portanto, na
linguagem contábil essa passa a ser um ativo e como tal deve ser preservado e ter seu
valor mensurado (neste aspecto, referência especial à 2º e 4º leis).
Considerando que na Administração a máxima é o clássico “P2OC3” =
“Prever/Planejar/Organizar/Coordenar/Controlar/Comandar”, torna-se imperativo o uso
de informações para fazê-lo.
LEIS DA INFORMAÇÃO
1ª Lei - A informação é compartilhável.
2ª Lei - O valor da informação aumenta com o uso.
3ª Lei - A informação é perecível.
4ª Lei - O valor da informação aumenta com a precisão.
5ª Lei - O valor da informação aumenta quando há combinação de informações.
6ª Lei - Mais informação não é necessariamente melhor.
7ª Lei – A Informação se Multiplica.
11ªª LLeeii -- AA iinnffoorrmmaaççããoo éé ccoommppaarrttiillhháávveell..
Compartilhável infinitamente, ao contrário de ativos comuns.
Utilizável simultaneamente por inúmeras pessoas, sem desgastar-se.
Utilizável para público interno ou externo às corporações.
Compartilhamento da informação é diferente de reinserção da informação.
22ªª LLeeii -- OO vvaalloorr ddaa iinnffoorrmmaaççããoo aauummeennttaa ccoomm oo uussoo..
O valor da informação justifica-se na medida em que ela se torna FATOR DE
APOIO À DECISÃO e tal decisão resulte em PRODUTIVIDADE (mensurável
objetivamente). Outrossim, a informação tem mais valor à medida que os
envolvidos na tomada de decisão possam agir sinergicamente.
O valor empresarial de uma informação é diferente do valor financeiro de uma
informação. Imagine o quanto vale a informação da fórmula da Coca-cola???
Então, a informação é um ativo (patrimônio) e como tal deve ser preservado.
O uso da informação a valoriza, desde que, o seja pelas pessoas certas, pois, se uma
informação se torna de domínio público, ocorrerá de que o seu uso aumentou de
forma imensurável, contudo o seu valor pode até deixar de existir, pois, foi
banalizada. Compreende?!?!
Assim, a informação carece dos Princípios da Segurança: Autenticidade,
Legitimidade, Privacidade, Confiabilidade, Inviolabilidade (Ver ANDREWS
TANEMBAUM).
A informação só terá seu valor acrescido (aumentado) se estiver disponível,
compartilhada e no tempo certo, pois, pode estar defasada (desatualizada).
Sempre lembrar de que a informação é um ativo intangível e isso a torna difícil de
valorar.
33ªª LLeeii -- AA iinnffoorrmmaaççããoo éé ppeerreeccíívveell..
Sugere-se que a informação perde parte de seu valor com o tempo.
Imagine se uma Grande Rede de Varejo descobre o “Plano de Marketing” de seu
maior concorrente antes ou durante a implementação do mesmo. Ocorrerá de que
com o passar do tempo suas ações já serão previsíveis e até mesmo antecipadas pelo
concorrente. Mesmo sem a tal descoberta antecipada do Plano de Marketing, com o
tempo até mesmo pela observação direta, o concorrente “terá” tais informações.
44ªª LLeeii -- OO vvaalloorr ddaa iinnffoorrmmaaççããoo aauummeennttaa ccoomm aa pprreecciissããoo..
Inicialmente, o termo precisão, não deve ser sinônimo de necessidade. Mas, sim, de
FIDEDIGNIDADE da informação.
Quanto mais precisa, mais útil é a informação.
Quanto mais útil, mais valiosa se torna.
Informações com baixa precisão, ou melhor dizer: INEXATAS, podem resultar em
grandes prejuízos na medida em que levam à Tomada de decisão equivocada.
Em “Sistemas de Missão Crítica”, a informação deve ter altíssima precisão (100%).
Como exemplo, imagine um controle de vôo, contas bancárias, ou mesmo um
sistema de monitoramento de uma UTI.
55ªª LLeeii -- OO vvaalloorr ddaa iinnffoorrmmaaççããoo aauummeennttaa qquuaannddoo hháá ccoommbbiinnaaççããoo ddee iinnffoorrmmaaççõõeess..
Combinação de informações é diferente de integração de informações.
Muitos interpretam (equivocadamente a nosso ver), que tal lei é fruto dos sistemas
integrados de gestão.
66ªª LLeeii -- MMaaiiss iinnffoorrmmaaççããoo nnããoo éé nneecceessssaarriiaammeennttee mmeellhhoorr..
ENTROPIA (excesso de informação que extrapola a capacidade de leitura das
mesmas pelo receptor...).
Considere a relação Quantidade versus Qualidade das informações.
Necessidade de “filtros” quanto a destinação relevante de uma informação, para
salvaguardar que se ultrapasse a capacidade humana de processamento de
informações.
77ªª LLeeii –– AA IInnffoorrmmaaççããoo ssee MMuullttiipplliiccaa..
A Informação é um recurso não finito, o que alguns autores chamam de
“autogeneração” decorrente da síntese, análise ou combinação de uma informação
de origem com outras.
A título de ilustração, considere a relação entre dois diferentes bancos de dados, um
que controla itens vendidos (controle de estoque) e outro que controla a parte de
pagamentos (controle financeiro) cujo “relacionamento” entre ambos pode resultar
numa informação como “Item mais vendido e meio de pagamento mais utilizado
para compra do mesmo”. Esse relacionamento entre informações, faz com que a 7º
lei esteja intimamente ligada a 5º lei.
Considere ainda, que um novo uso para uma informação já conhecida, aumenta o
“ciclo de vida da informação”, alguns denominam tal característica como
reciclagem da informação.
No campo da Administração de Sistemas de Informação, a ênfase das “Leis da
Informação”, está em subsidiar a tomada de decisão e não no simples aspecto
comunicacional ou de sua transmissão que embora importante, já seria campo da
“Teoria da Informação e Codificação” (fonte, canal, ruído, destino, etc.) de Claude
Shannon.
Plano de Contingência
Conceitos de Redundância e Contingência
O projeto bem sucedido de uma rede de computadores pode ser representado pela
capacidade desta em oferecer os serviços essenciais requeridos por seus usuários e por
preservar os seus principais componentes na eventual ocorrência de falhas.
A fim de prevenir eventuais falhas e oferecer alternativas que evitem que estas
acarretem maiores prejuízos, se faz necessário que os projetos contemplem planos de
redundância e contingência constituídos por uma série de ações e procedimentos que
visam soluções e dispositivos de recuperação relacionados com essas falhas.
Falhas de Sistema
No ambiente dos sistemas computacionais podemos destacar vários aspectos críticos
que podem ser considerados pontos de falhas potenciais para o sistema: cabeamento,
servidores, subsistemas de disco, softwares aplicativos e de apoio, entre outros. Nesse
contexto, as falhas são consideradas como eventos danosos, provocados por deficiências
no sistema ou em um dos elementos internos dos quais o sistema dependa.
As falhas podem ser derivadas de erros no projeto do software, degradação do
hardware, erros humanos ou dados corrompidos. Entretanto, só existem duas variáveis
para a paralisação temporária de uma rede em função de condições de falha que,
normalmente, não se podem definir ou prever:
Indisponibilidade – Corresponde ao período de inatividade ou "downtime" da
rede/sistema (programado ou não). As características do projeto devem ser suficientes
para garantir que a informação seja replicada automaticamente do ambiente de produção
para o ambiente de contingência, de forma que o tempo de indisponibilidade do sistema
seja reduzido, melhorando o nível de serviço e atendendo às exigências dos usuários;
Instabilidade - é imprescindível conhecer quais são os parâmetros considerados como
normais dentro do ambiente. A correta definição de métricas de qualidade, bem como a
implantação de mecanismos de coleta e controle de variáveis do sistema são
imprescindíveis para a configuração de ações de correção imediatas e de análises de
tendências.
Redundância
O termo redundância descreve a capacidade de um sistema em superar a falha de um de
seus componentes através do uso de recursos redundantes, ou seja, um sistema
redundante possui um segundo dispositivo que está imediatamente disponível para uso
quando da falha do dispositivo primário do sistema.
Um sistema computacional redundante caracteriza-se, pois, por possuir componentes
como sistemas de ventilação e ar condicionado, sistemas operacionais, unidades de
disco rígido, servidores de rede, links de comunicação e outros, instalados para atuarem
como backups das fontes primárias no caso delas falharem.
Essa redundância está presente, por exemplo, nos sistemas embarcados de aviação,
quando impõe que aviões comerciais possuam dois computadores de bordo, dois
sistemas para controle dos trens de aterrissagem, etc. Se um sistema falhar, deve ser o
outro sistema tão eficiente e operacional como o primeiro, pronto para entrar em
operação, testado, treinado e suficiente. Outro exemplo bem conhecido de um sistema
redundante em redes de computadores é o RAID (Redundant Array of Independent
Disks).
Figura 1 - Exemplo de rede redundante
No exemplo da figura acima, com a falha do roteador primário, imediatamente o
secundário entrará em atividade de forma a manter o funcionamento ininterrupto da
comunicação da rede local com o ambiente externo (Internet).
Outro exemplo de redundância está em múltiplas estações de trabalho usadas para
monitorar uma rede. A perda de uma estação não prejudica a visualização ou a operação
do sistema. Nesse caso, um servidor de banco de dados (igualmente redundante) garante
que nenhuma informação seja perdida, na hipótese de falha do servidor primário.
Podemos ter também a redundância física de um subsistema de alimentação de energia,
projetado para prover chaveamento automático no caso de falha pelo acréscimo de uma
segunda fonte. Nesse subsistema redundante, as fontes possuem a mesma capacidade e,
no caso de falha de uma delas, a outra assume instantaneamente toda a carga da rede.
Outro aspecto que deve ser considerado é a contingência operacional proporcionada
pela redundância de equipamentos. Quanto maior a vulnerabilidade de um sistema
dentro de uma rede, maior a redundância necessária para garantir a integridade dessa
rede. Em alguns casos, porém, a simples contingência representada pela redundância
dos equipamentos e do processo de backup não são suficientes para tornar o
"downtime" compatível com a necessidade operacional da empresa.
Contingência
Define-se contingência como a possibilidade de um fato acontecer ou não. É uma
situação de risco existente, mas que envolve um grau de incerteza quanto à sua efetiva
ocorrência. As ações de contingenciamento são encadeadas, e por vezes sobrepostas, de
acordo com procedimentos previamente acordados no projeto da rede. O
seqüenciamento das ações depende dos acontecimentos que precederam o evento
(contingência) bem como das condições contextuais que vão sendo construídas no
próprio processo, ou seja, o processo de contingenciamento é construído e negociado à
medida que a interação se processa.
Sucintamente, as condições necessárias para a existência de uma contingência são:
possibilidade de um acontecimento futuro resultante de uma condição existente,
incerteza sobre as condições operacionais envolvidas e a resolução destas condições
dependerem de eventos futuros.
Plano de contingência
Trata-se do conjunto de procedimentos e medidas de segurança preventivas,
previamente planejadas, a serem adotados após a ocorrência de uma falha, que
permitem o restabelecimento da rede de comunicação/sistema em caso de situações
anormais (falha de hardware, base de dados corrompida, perda de link de comunicação,
destruição de prédios, entre outras), com o objetivo de minimizar os impactos da
mesma.
O projeto do contingenciamento do sistema deve estar baseado em políticas que visem
alta disponibilidade de informações e sistemas, através de suporte técnico, sistemas de
segurança, esquemas de backup, planos de contingência, redundância de equipamentos
e canais de comunicação e gerenciamento pró-ativo. O objetivo é implantar, conectado à
estrutura de rede de computadores, um plano de acesso seguro, eficiente e gerenciado,
capaz de restabelecer as funções críticas numa situação excepcional.
Os planos de contingência são desenvolvidos para cada ameaça considerada em cada
um dos processos do negócio pertencentes ao escopo, definindo em detalhes os
procedimentos a serem executados em estado de contingência. Na implementação do
plano devem ser avaliados os principais riscos que podem fazer o sistema parar. Para
isso, deve-se proceder ao levantamento dos impactos dessa parada em cada área de
negócio e estimar quanto tempo levaria para restabelecer o processamento para cada
risco e para cada área.
Plano de Contingência, Plano de Continuidade ou Plano de Desastre
Após a ocorrência de um incidente de segurança, os profissionais de TI de sua empresa
sabem exatamente como agir para que seu negócio volte a operar em tempo mínimo?
Um plano de contingência, devidamente documentado e atualizado, ajuda a atingir esse
objetivo.
Garantir a continuidade do negócio tornou-se uma preocupação atual e prioritária para
os responsáveis dos sistemas de informação das organizações, já que atualmente a
maioria das empresas depende de seus recursos computacionais para operar
normalmente. Incidentes ou eventualidades que provoquem a parcial ou total
paralisação desses recursos podem ocorrer a qualquer momento e, para que o problema
seja sanado no menor tempo possível (de forma que a empresa dê continuidade aos seus
processos de trabalho já em andamento e, além disso, não perca novas oportunidades de
negócio), é preciso adotar medidas emergenciais - ou contingenciais.
Objetivos do plano de contingência
O principal objetivo de um plano de contingência é dar providência imediata invocando
os procedimentos de recuperação dos sistemas corporativos, considerando o tempo de
espera previsto para restabelecimento da atividade definido pelos gestores do sistema.
Para cada sistema corporativo, hierarquicamente definido segundo o grau de criticidade
e processamento, são previstos o tempo de paralisação possível e ações subseqüentes
para seu restabelecimento.
De forma global, as ocorrências de falhas mais comuns são: Vírus, perda de disco
rígido, perda de um servidor da rede ou de uma ligação de rede, alteração/atualização de
software, falha de sistema de suporte (ar condicionado e/ou de energia, por exemplo),
avarias mecânicas do hardware, etc.
Composição do plano de contingência
Os planos de contingência estão subdivididos em três módulos distintos e
complementares que tratam especificamente de cada momento vivido pela empresa:
Plano de Administração de Crise – Tem o propósito de definir passo-a-passo o
funcionamento das equipes envolvidas com o acionamento da contingência
antes, durante e depois da ocorrência do incidente. Além disso, tem que definir
os procedimentos a serem executados pela mesma equipe no período de retorno
à normalidade. O comportamento da empresa na comunicação do fato à
imprensa é um exemplo típico de tratamento dado pelo plano;
Plano de Continuidade Operacional – Tem o propósito de definir os
procedimentos para contingenciamento dos ativos que suportam cada processo
de negócio, objetivando reduzir o tempo de indisponibilidade e,
conseqüentemente, os impactos potenciais ao negócio. Orientar as ações diante
da queda de uma conexão à Internet, exemplifica os desafios organizados pelo
plano;
Plano de Recuperação de Desastres – Tem o propósito de definir um plano de
recuperação e restauração das funcionalidades dos ativos afetados que suportam
os processos de negócio, a fim de restabelecer o ambiente e as condições
originais de operação. Descreve as medidas que uma empresa deve tomar,
incluindo a ativação de processos manuais ou o recurso a contratos, para
assegurar a continuidade dos processos do negócio no caso de falha no sistema
de informações.
Um plano de contingência deve se caracterizar pelos seguintes aspectos:
Ser desenvolvido por uma equipe de trabalho que envolva todas as áreas de
conhecimento e de negócio da empresa a qual o plano de contingência diz
respeito;
Ser avaliado periodicamente;
Estar disponível em local reservado e seguro, mas de fácil acesso ao pessoal
autorizado.
O plano de contingência provê a avaliação de todas as funções de negócio juntamente
com a análise do ambiente de negócios em que a empresa se insere, ganhando-se uma
visão objetiva dos riscos que ameaçam a organização. A metodologia para a
implantação de um plano de contingência consiste em seis etapas:
1. Avaliação do projeto: escopo e aplicabilidade;
2. Análise de risco;
3. Análise de impacto em negócios;
4. Desenvolvimento dos planos de recuperação de desastres;
5. Treinamento e teste dos planos;
6. Implementação e manutenção.
Um exemplo de plano de contingência para uma rede de computadores quanto à
prevenção de falhas nos sistemas de suporte, na infra-estrutura e nos processos é
exemplificado a seguir:
Sistemas de suporte
Tipo de falha Medida
Falha de sistema
Identificar os sistemas (elevadores, ar-condicionado,
aquecimento central, ventilação, temperatura, etc) e avaliá-
los quanto:
À sua conformidade com os parâmetros de projeto,
observando a existência de sistemas proprietários;
A criticidade deste tipo de sistemas para o
funcionamento da rede;
Definir regras de utilização destes sistemas, de
modo a não pôr em risco o funcionamento da
empresa e a segurança dos usuários dos sistemas.
Infra-estrutura
Tipo de falha Medida
Energia elétrica
Prever sistema alternativo de fornecimento de
energia;
Definir o período de autonomia para o sistema;
Prover os recursos necessários para o
funcionamento do sistema alternativo durante o
período de autonomia pretendido;
Identificar as áreas prioritárias para o
abastecimento de energia.
Comunicações
Providenciar meios alternativos de comunicação
para receber e transmitir as informações;
Considerar a hipótese de antecipar processamentos
e/ou reativar processos manuais;
Controle
Ambiental
Alguns equipamentos necessitam, para o seu correto
funcionamento, de determinadas condições de temperatura
e umidade. Prevendo uma eventual falha nos mecanismos
de controle e reposição dessas condições, deve-se:
Criar meios alternativos para fornecer as condições
mínimas de funcionamento;
Definir períodos de funcionamento no sentido de
minorar a degradação das condições ambientais.
Sistemas de
combate a
incêndios
Devem ser colocados em controle manual;
Prever o eventual reforço de meios mecânicos de
combate a incêndio.
Transportes
Uma eventual falha ao nível dos transportes pode
impossibilitar o acesso das pessoas ao seu local de
trabalho, inviabilizando o funcionamento da organização:
Viabilizar formas de transporte alternativas, da
própria organização ou terceiros, desde que as
falhas de abastecimento de combustíveis não sejam
a um nível global. Neste caso, um planejamento de
contingência será ineficaz caso não existam
medidas a outro nível que garantam um
abastecimento em função das necessidades e
prioridades da sociedade em geral.
Processos
Um sistema computacional que possua um plano de contingência deve reagir a um
efeito danoso e dele se recuperar mesmo antes da causa ter sido identificada e prevenir a
ocorrência de falhas indesejáveis e, simultaneamente, definir as medidas e pôr em
prática se essas falhas de fato vierem a ocorrer. Equivale a afirmar que reação e
recuperação devem ter sucesso não importando se a causa foi ou não determinada.
Independentemente da ocorrência de qualquer falha, devem ser feitas cópias
redundantes de toda a informação, incluindo dados, aplicações, sistema operativo,
SGBD e outros sistemas de gestão em uso. Deve-se assegurar que, caso as cópias sejam
utilizadas, existirá, pelo menos, uma cópia fiel de toda a informação no seu estado
original. Deve igualmente ter-se o cuidado de efetuar a reinicialização do sistema passo
a passo e a monitoração do correto funcionamento de cada novo componente integrado
ao sistema.
Tipo de falha Medida
Recebimento de
informação errada
Definir procedimentos que viabilizem a verificação
da correção e coerência da informação recebida
antes do seu processamento.
Resultados com
erros
Definir procedimentos visando a verificar a
correção da informação produzida.
Arquivos
corrompidos ou
perdidos
Definir procedimentos que permitam verificar a
correção e coerência dos dados e decidir pela
continuação ou interrupção do processamento.
Falha de um
processo
Hipótese de desenvolver sistemas alternativos que
possibilitem a execução das funções principais do
sistema;
Prever a necessidade de publicação de disposições
legais que permitam antecipar ou retardar prazos e
datas.
Falha de
fornecimento de
produtos de consumo
Estimar as necessidades e proceder à aquisição de
produtos prevendo não só eventuais falhas no seu
abastecimento, bem como um eventual aumento do
consumo na seqüência, por exemplo, da ativação de
processos alternativos de troca de informação.
Falha do sistema
central de
processamento
Avaliar a possibilidade de utilizar o recurso de um
centro alternativo (próprio ou de terceiros);
Ativar processos manuais.
Falha da rede local
Listar as tarefas/atividades afetadas por esta falha;
Definir formas alternativas de envio e recebimento
da informação, adequadas para cada situação.
Falha dos sistemas
por acessos abusivos
Definir mecanismos de monitoração que permitam
identificar de imediato este tipo de ocorrências;
Interromper as comunicações até à reparação da
falha.
Estratégias de Contingência
Hot-site – Recebe este nome por ser uma estratégia pronta para entrar em operação
assim que uma situação de risco ocorrer. O tempo de operacionalização desta estratégia
está diretamente ligado ao tempo de tolerância a falhas;
Warm-site – Esta se aplica a objetos com maior tolerância à paralisação, podendo se
sujeitar à indisponibilidade por mais tempo, até o retorno operacional da atividade. Por
exemplo, o serviço de e-mail dependente de uma conexão e o processo de envio e
recebimento de mensagens é mais tolerante podendo ficar indisponível por minutos,
sem, no entanto, comprometer o serviço ou gerar impactos significativos;
Cold-site – Propõe uma alternativa de contingência a partir de um ambiente com os
recursos mínimos de infra-estrutura e telecomunicações, desprovido de recursos de
processamento de dados. Portanto, aplicável à situação com tolerância de
indisponibilidade ainda maior;
Realocação de Operação – Tem como objetivo desviar a atividade atingida pelo
evento que provocou a quebra de segurança, para outro ambiente físico, equipamento ou
link, pertencentes à mesma empresa. Esta estratégia só é possível com a existência de
"folgas" de recursos que podem ser alocados em situações de crise. Muito comum essa
estratégia pode ser entendida pelo exemplo que se redireciona o tráfego de dados de um
roteador ou servidor com problemas para outro que possua folga de processamento e
suporte o acúmulo de tarefas;
Bureau de Serviços – Considera a possibilidade de transferir a operacionalização da
atividade atingida para um ambiente terceirizado, portanto, fora dos domínios da
empresa. Por sua própria natureza, em que requer um tempo de tolerância maior em
função do tempo de reativação operacional da atividade, torna-se restrita a poucas
situações. O fato de ter suas informações manuseadas por terceiros e em um ambiente
fora de seu controle, requer atenção na adoção de procedimentos, critérios e
mecanismos de controle que garantam condições de segurança adequadas à relevância e
criticidade da atividade contingenciada;
Acordo de Reciprocidade – Propõe a aproximação e um acordo formal com empresas
que mantêm características físicas, tecnológicas ou humanas semelhantes a sua, e que
estejam igualmente dispostas a possuir uma alternativa de continuidade operacional.
Estabelecem em conjunto as situações de contingência e definem os procedimentos de
compartilhamento de recursos para alocar a atividade atingida no ambiente da outra
empresa. Desta forma, ambas obtêm redução significativa dos investimentos;
Auto-suficiência – Utilizada quando nenhuma outra estratégia é aplicável, quando os
impactos possíveis não são significativos ou quando estas são inviáveis, seja
financeiramente, tecnicamente ou estrategicamente. A escolha de qualquer uma das
estratégias anteriores depende diretamente do nível de tolerância que a empresa pode
suportar. Esta decisão pressupõe a orientação obtida por uma análise de riscos e
impactos que gere subsídios para apoiar a escolha mais acertada.
Figura 2 - Riscos envolvidos em um plano de contingência
Metodologia do Plano de Contingência
Com isso, criamos um leque de projetos capazes de disponibilizar os requisitos mínimos
de Segurança da Informação:
Definição
o Qualquer evento calamitoso, ou sucessão de eventos que coloque em risco
processos vitais para a consecução dos objetivos da Empresa.
Sistemas Críticos
o São sistemas cuja inoperabilidade implica em perdas irreversíveis de cunho
financeiro, jurídico ou de imagem da Empresa e seu retorno à atividade
produtiva deve acontecer em até 24 horas após a ocorrência do desastre.
Desastre
o É a ocorrência de qualquer tipo de anormalidade que impeça ou impacte a
atividade de produção dos sistemas críticos.
Recuperação
o É o restabelecimento da atividade produtiva dos sistemas críticos, mesmo
que paliativa ou parcialmente, no caso do desastre se efetivar.
Ativação e Desativação do Plano de Contingência:
o O Plano de Contingência é ativado e desativado pelos Executivos da
Empresa consubstanciados pelas informações prestadas pelo Gerente de TI e
pelas Equipes de Contingência.
Pontos Básicos:
o Para a elaboração do Plano de Contingência, é necessário que sejam
levantados alguns itens básicos, quais sejam:
Quais são os sistemas críticos que garantem a continuidade do
negócio da empresa;
Análise de Impacto nos Negócios;
Análise de Riscos para os principais Negócios;
Homologação dos sistemas críticos por parte dos Executivos
da Empresa.
De que recursos de hardware, software e infra-estrutura tais sistemas
dependem;
Hardware
Configuração
Up-Grade
Espaço em disco para o S.O. e Sistemas críticos
MIPS utilizado
Memória
CPU
Controladora de Discos
Controladora de Mídia Magnética
Mídias Magnética
Fornecedores
Software
Configuração
Versão/Release
Nível de atualizações
Customizações
Fornecedores
Infraestrutura
robôs/cilos/estantes
Rede/Teleprocessamentos
MUX
Porta de Controladora de Linha
Circuito de Comunicação
Multiplexadores
Concentradores
Circuitos
CCU
Roteadores
Switch
Hubs
Bridge
Satélite
Concessionárias
Ambiente
Definição de carga de refrigeração
Temperatura
Umidade
Alimentação de energia eletrica
No-Break
Gerador de energia
Bateria de energia
PABX e telefonia em geral
Prédios inteligentes e elevadores
Levantamento e atualização da documentação dos sistemas muito
críticos
Objetivos do sistema
Analistas responsáveis
Usuários Gestores e usuários Finais
Backup diário, semanal, mensal, semestral e anual - Retenção
de arquivos
Fases do sistema e sua descrição
Relação de programas utilizados - Batch - Código e descrição
Relação de programas utilizados - On line - Código e
descrição
Interfaces
Interna - Arquivos de entrada
Interna - Arquivos de saída
Externa - Arquivos de entrada
Externa - Arquivos de saída
Identificação dos serviços críticos dentro dos sistemas
prioritários - programas e tabelas
O que deve ser retido no período de contingência para
recuperação dos sistemas não críticos
Serviços que devem ser considerados críticos já que são
essenciais para recuperação de sistemas não críticos
Quais são os componentes críticos dos sistemas críticos
Backup
Tamanho em Bytes dos dados necessários para
funcionamento dos sistemas críticos
Volume de mídias magnéticas que fazem atualmente o
backup externo dos sistemas críticos
Espaço físico, estimado, para guarda do backup externo dos
sistemas críticos
Forma de criação dos backup externo (link específico /
transporte)
Relação dos backup´s dos sistemas críticos
Hierarquia a ordem cronológica de baixa dos backup
Definição do backup-site
Definição do Modelo de Backup_Site (espelhamento,
transmissão remota...)
Cold-Site próprio
Cold-Site de Terceiros
Hot-Site próprio
Hot-Site de terceiros
Hot-Site próprio compartilhado
Forma de atualização dos dados no Site Backup
Decisões Pós-Desastre para a Recuperação
Evitar novos danos, executando os procedimentos de
emergência
Identificar hardware e material que pode ser salvo
Auxiliar a equipe de logística na movimentação de recursos
salvos
Informar as equipes de telecomunicação e de hardware do
andamento dos trabalhos de salvamento
Avaliação do desastre no aspecto de estrutura física
Laudo e estimativa de recuperação da estrutura física
Avaliação do desastre no aspecto de parque computacional
Laudo e estimativa de substituição do parque computacional
Decisão quanto a localidade e formas de processamento pós-
desastre dos sistemas crítico
Decisão quanto a localização e forma de processamento pós-
desastre dos demais sistemas
Plano de Retorno
Definição de datas e procedimentos para retorno às atividades
normais.
Retorno do CPD e estrutura básica
Definição de estrutura de apoio
Definição das datas de retorno
Criação de relatórios históricos
Definição de Equipes de Contingência
o 01 EQUIPE EXECUTIVA / COORDENAÇÃO
MISSÃO:
Garantir que a restauração do processamento ocorra dentro do
prazo estipulado no Plano de Contingência conforme
criticidade de cada sistema.
Exercer a coordenação geral do Plano.
TAREFAS PRÉ-DESASTRE
Avaliar e aprovar gastos financeiros necessários ao
desenvolvimento e manutenção do Plano.
Definir local do Centro de Operações Alternativo com o
apoio da Equipe de Hardware.
Definir local do Centro de Comando em caso de desastre.
Estabelecer as políticas e diretrizes do Plano.
Definir recursos necessários ao Plano.
Designar líderes, seus substitutos e demais membros das
outras equipes
Distribuir cópias do Plano e normas a todos os envolvidos no
Plano.
Revisão e atualização periódica do Plano.
Coordenar as atividades das demais equipes
Organizar e coordenar a execução de testes do Plano.
Definir e montar a estrutura de retorno à normalidade.
Dar apoio a todos os envolvidos
TAREFAS DURANTE O DESASTRE
Avaliar a situação posicionando aos Executivos da Empresa
para decisão sobre ativação do Plano.
Coordenar a ativação do Plano.
Ativar local do Centro de Operações Alternativo.
Coordenar as atividades do Plano e das demais equipes.
Estabelecer diretrizes para situações não previstas.
Acionar as pessoas-chave para recuperação do ambiente
operacional.
Acionar as providências para recuperação do ambiente
operacional.
Emitir relatório situacional aos Executivos da Empresa.
Realizar reuniões periódicas com os coordenadores das
demais equipes de forma a manter integrado o grupo de
recuperação de desastres e manter atualizado o Plano.
TAREFAS PÓS-DESASTRE
Coordenar as atividades de retorno à normalidade.
o 02 EQUIPE DE SALVAMENTO E RESCALDO
MISSÃO:
Combater o sinistro.
Prestar os primeiros socorros.
Salvar o que puder ser salvo.
Avaliar a extensão dos danos às instalações, equipamentos e
recursos humanos.
Prover a EQUIPE EXECUTIVA de informações.
TAREFAS PRÉ-DESASTRE
Manter documentação, fora da instalação, de plantas,
desenhos e especificações da mesma. (hidráulicas, elétricas,
ar, etc..).
Manter relação de todos os hardwares existentes na
instalação.
TAREFAS DURANTE O DESASTRE
Executar os procedimentos de emergência (evacuação dos
ambientes, desligamento de equipamentos e quadros, etc.)
Combate do sinistro e prestação dos primeiros socorros às
vitimas encaminhando-as ao atendimento especializado
Estabelecer a segurança na instalação que sofreu o desastre.
Emitir RELATÓRIO DE OCORRÊNCIAS completo à
EQUIPE EXECUTIVA.
Efetuar a limpeza do ambiente e descartar o entulho.
Identificar hardware e materiais a serem salvos.
Fornecer suporte logístico para a mudança do equipamento
salvo para a nova instalação.
Manter informadas as equipes de COMUNICAÇÕES e
HARDWARE sobre o andamento dos trabalhos.
Emitir RELATÓRIO DE PROVIDÊNCIAS.
TAREFAS PÓS-DESASTRE
Executar os procedimentos necessários à recuperação das
instalações físicas.
03 EQUIPE DE LOGÍSTICA (Apoio Administrativo / Instalações Físicas)
MISSÃO:
Assegurar a disponibilidade de recursos necessários, de
serviços administrativos e de comunicações para as demais
equipes, imediatamente após a ocorrência do desastre e da
decisão de ativar o Plano.
Assegurar que as instalações onde será recuperado, em
definitivo, o Centro de Processamento (incluindo as áreas
administrativas) estejam prontas para receber pessoas e
equipamentos quando necessário.
TAREFAS PRÉ-DESASTRE
Manter atualizados os meios de comunicação dos envolvidos
no Plano (números de telefone, fax, bips etc.).
Manter lista de facilidades (fornecedores, contatos de
emergência, usuários, etc.).
Manter atualizada a relação de todos os hardwares existentes
na instalação.
Manter atualizada a relação de todos os softwares disponíveis
na instalação, identificando sua utilização.
Manter lista de suprimentos necessários em caso de desastre.
Garantir que qualquer suprimento que demore mais de 24
horas para ser obtido tenha um estoque guardado fora da
instalação.
Manter procedimentos para prover recursos necessários
(Transportes, alojamento, compras, etc.).
Interagir com as Seguradoras ou com a Área responsável pelo
seguro dos equipamentos e da instalação.
Colaborar com a Equipe Executiva nas providencias para
reconstrução do Centro de Processamento.
TAREFAS DURANTE O DESASTRE
Coordenar com a Equipe de Salvamento a mudança de
equipamentos resgatados para uma instalação provisória para
guarda.
Supervisionar os serviços de eletricidade, telefonia,
cabeamento lógico, instalação física de hardware e
mobiliários da Instalação Alternativa, efetuando os ajustes
necessários ao início do processamento dos sistemas críticos
Fornecer meios de transporte às pessoas, equipamentos e
materiais.
Fornecer alojamento, alimentação e suprimentos básicos aos
empregados e contratados.
Providenciar recursos humanos temporários, quando
necessário.
Prover meios alternativos para comunicações pessoais. (bips,
telefone celular etc.)
Emitir relatório de OCORRÊNCIA DE SINISTRO ao setor
competente para início do processo de indenização.
Manter Equipe Executiva informada.
TAREFAS PÓS-DESASTRE
Prestar todo apoio administrativo e técnico necessário à
restauração do CPD e no retorno do processamento à
normalidade.
04 EQUIPE DE HARDWARE / SOFTWARE
MISSÃO:
Identificar o hardware mínimo necessário para processamento
dos sistemas muito críticos e críticos.
Garantir a disponibilidade do software básico e de apoio
necessários à operacionalidade.
TAREFAS PRÉ-DESASTRE
Fornecer à Equipe de Logística os dados necessários para
manter atualizada a relação de hardwares / softwares.
Pesquisar um Centro de Processamento de Dados alternativo
com características necessárias à contingência.
Definir configuração similar na impossibilidade de se obter
uma igual à existente na ocasião do desastre.
Contatar principais fornecedores envolvendo-os no Plano no
que se refere ao fornecimento de materiais e prestação de
serviços emergenciais.
Criar e manter atualizado um sistema operacional para o
equipamento alternativo, se for o caso.
Identificar o software a ser disponibilizado no site-backup.
Manter esquema de copias de contingência para todos os
softwares que farão parte do Plano de Desastre.
Assegurar que todos os softwares rodem no ambiente
alternativo.
Manter conjunto de manuais essenciais atualizados e
guardados a salvo.
TAREFAS DURANTE O DESASTRE
Ativar o site-backup junto com a Equipe de Salvamento
tornando-o operacional.
Ativar o sistema operacional e os softwares de contingência
na instalação alternativa.
Manter Equipe Executiva informada.
TAREFAS PÓS-DESASTRE
Requisitar manutenção / substituição de equipamentos
danificados.
Providenciar a reinstalação dos equipamentos na instalação
danificada ou em novo local.
Trabalhar junto com a Equipe de Salvamento e Logística na
movimentação e na instalação dos equipamentos salvos e dos
novos.
Coordenar com a Equipe de Desenvolvimento as mudanças
não planejadas necessárias para acomodar o novo hardware /
software.
Dar suporte e resolver situações imprevistas relacionadas aos
hardwares / softwares.
05 EQUIPE DE COMUNICAÇÕES
MISSÃO:
Garantir que os equipamentos de comunicações e as linhas
telefônicas estejam prontos.
TAREFAS PRÉ-DESASTRE
Manter atualizada a relação de todas as linhas de
comunicação, softwares de comunicação, hardware
necessário e periféricos da instalação.
Manter documentação da configuração atual, incluindo
caminhos, velocidades, protocolos (topologia da rede).
Saber a importância das aplicações criticas na Rede de TP.
Manter relação de principais fornecedores de linhas, links de
satélites, telefones celulares, etc.
Viabilizar rotas alternativas para as linha de comunicação do
CPD e testa-las. (Pré-requisito: definição do site-backup)
Traçar planos junto à Cia de Telecomunicação para estar apto
a estabelecer a comunicação de dados. (Pré-requisito:
definição do site-backup)
Requisitar linhas de comunicações e equipamentos
necessários.
Providenciar a instalação de linhas de comunicação para o
local onde se processara a contingência.
Manter o conjunto de manuais necessários a salvo mas
acessível em caso de desastre.
TAREFAS DURANTE O DESASTRE
Ativar a configuração alternativa de telecomunicação.
Auxiliar a Equipe de Logística em mudanças nos
procedimentos relacionados a teleprocessamento.
Ativar serviços de teleprocessamento.
Manter a Equipe Executiva informada.
TAREFAS PÓS-DESASTRE
Restaurar os serviços de telefonia.
Restabelecer a comunicação de dados.
06 EQUIPE DE PLANEJAMENTO / PRODUÇÃO
MISSÃO:
Assegurar que o processamento dos sistemas críticos possam
ser retomados tão logo os dados, os equipamentos e as
comunicações necessárias estejam disponíveis.
TAREFAS PRÉ-DESASTRE
Desenvolver as rotinas destinadas aos serviços críticos.
Garantir que os backups armazenados fora da instalação
estejam seguros e possam ser facilmente recuperados pelas
pessoas autorizadas.
Definir e manter os procedimentos de recuperação das
aplicações e dos dados críticos.
Prover todo o material de backup, inclusive documentação,
conforme definido no procedimento de recuperação cada
aplicação.
Analisar e definir alternativas para o processamento das
funções criticas.
Manter atualizadas e em lugar seguro copias da
documentação dos sistemas aplicativos.
Prever e desenvolver rotinas para atender a todas as condições
de retorno à normalidade.
TAREFAS DURANTE O DESASTRE
Preparar o ambiente de produção.
Processar os sistemas críticos de acordo com os
procedimentos e rotinas previamente estabelecidos.
Efetuar comunicação com o usuários informando-os sobre a
situação de suas aplicações.
Manter Equipe Executiva informada.
TAREFAS PÓS-DESASTRE
Executar os procedimentos de recuperação das aplicações
criticas, recuperando-as de forma coordenada.
Operar as rotinas necessárias para restaurar os arquivos para o
retorno à normalidade.
Efetuar comunicação com o usuários informando-os sobre a
situação de suas aplicações.
07 EQUIPE DE DESENVOLVIMENTO
MISSÃO:
Apoiar as demais equipes para que todas as aplicações
consideradas criticas sejam recuperadas dentro do prazo
estabelecido, sem perda de dados / informações e de acordo
com suas especificações.
TAREFAS PRÉ-DESASTRE
Identificar aplicações e sistemas críticos para os negócios.
Informar aos demais envolvidos no Plano quanto às
atualizações sofridas pelos sistemas quanto à sua criticidade.
Manter um canal de comunicação permanentemente aberto
com os gestores, de forma a estar sempre informado de quais
são os dados e as aplicações criticas.
TAREFAS DURANTE O DESASTRE
Manter os usuários informados sobre a situação de suas
aplicações.
TAREFAS PÓS-DESASTRE
Dar apoio ao grupo do CPD nas rotinas de retorno à
normalidade.
08 EQUIPE DE SEGURANÇA
MISSÃO:
Participar da criação do Plano, determinando políticas de
segurança e garantindo que um nível mínimo de segurança
seja observado durante o processo, visando manter os níveis
de serviços pactuados com os usuários.
TAREFAS PRÉ-DESASTRE
Definir diretrizes / critérios para segurança física e para
acesso lógico
Definir critérios para transporte de material classificado como
de alto risco (fitas backup do sistema e dos dados
Participar dos testes do Plano de Desastre.
Manter um canal de comunicação com o site-backup,
mantendo o nível de compatibilidade entre os dois ambientes.
TAREFAS DURANTE O DESASTRE
Participar da avaliação da situação do desastre.
Acompanhar a execução dos procedimentos de segurança
para situações de desastre.
Manter a Equipe Executiva informada.
TAREFAS PÓS-DESASTRE
Acompanhar a volta à normalidade
Garantir que não sejam deixados no site-backup, após o
retorno à normalidade, nenhum resíduo de informações /
dados manipulados durante a contingência
Conclusão
A aplicação dos conceitos de contingência e redundância oferece maior segurança e
confiabilidade para os sistemas computacionais através das soluções para a proteção das
informações e aplicativos, equipamentos, espaço físico e demais funções críticas.
A redundância é um fator que pode contribuir para a disponibilidade de um sistema
computacional. Entretanto, apenas a redundância é insuficiente, visto que um sistema
pode apresentar diferentes vulnerabilidades. Um sistema de alta disponibilidade, por
exemplo, requer que cada sistema backup ofereça funcionalidades equivalentes, porém
com implementação diferenciada. Esta variação afasta tentativas de comprometer tanto
o sistema primário quanto o sistema de backup a partir de uma única estratégia de
atendimento.
Já um plano de contingência requer procedimentos inteligíveis e objetivos, simulações
de possíveis ocorrências futuras e soluções simples, imaginando situações possíveis,
mesmo que pouco prováveis. Induz a elaboração de procedimentos operacionais diretos
que permitam, em uma ocorrência indesejada, tomarem-se ações que reparem ou
minimizem os efeitos da falha. As idéias são tratadas e as hipóteses classificadas
segundo a chance, o custo e a segurança envolvida.
Embora redundância e planos de contingência sobrecarreguem o funcionamento e o
gerenciamento de uma rede, ambos são necessários para evitar problemas futuros. A
decisão sobre o grau de redundância ou contingência que se deve adotar pode ser
balizada por vários fatores, entre eles: ambiente de funcionamento da rede, protocolos e
sistemas utilizados e importância da rede para o negócio da empresa.