Apostila - Plano de Contigência

GESTÃO DA SEGURANÇA DA INFORMAÇÃO

CONCEITOS BÁSICOS ________________________________________________ 2

Dados, Informação e Conhecimento ___________________________________________ 2 Dado __________________________________________________________________________ 2 Informação______________________________________________________________________ 3 Conhecimento ___________________________________________________________________ 4 Quadro comparativo ______________________________________________________________ 5 Exemplos de Dado, Informação e Conhecimento ________________________________________ 6 Etapas de transformação ___________________________________________________________ 6 Tipos de Conhecimento ____________________________________________________________ 7

Tipologia da Informação ____________________________________________________ 7 Fonte Formal ____________________________________________________________________ 7 Fonte Informal ___________________________________________________________________ 7 Informações estruturadas ___________________________________________________________ 7 Informações não Estruturadas _______________________________________________________ 7 Informação de Atividade ___________________________________________________________ 8 Informações de Convívio __________________________________________________________ 8 Informação Estratégica ____________________________________________________________ 8

Conceito de Sistemas de Informação __________________________________________ 8

O VALOR DA INFORMAÇÃO PARA AS ORGANIZAÇÕES _________________ 13

LEIS DA INFORMAÇÃO __________________________________________________ 13

Plano de Contingência ________________________________________________ 15

Conceitos de Redundância e Contingência _____________________________________ 15 Falhas de Sistema _______________________________________________________________ 15 Redundância ___________________________________________________________________ 15 Contingência ___________________________________________________________________ 16

Plano de Contingência, Plano de Continuidade ou Plano de Desastre ______________ 18 Metodologia do Plano de Contingência _______________________________________________ 24 Definição de Equipes de Contingência _______________________________________________ 26

CONCEITOS BÁSICOS

Dados, Informação e Conhecimento

Existem três níveis básicos de saber que podem ser definidos segundo o grau de

elaboração utilizado para se apreender, estruturar e dar sentido ao que é produzido através de observações e experimentações. São eles:

Dados: São o registro daqueles aspectos do fenômeno sendo estudado que um determinado investigador pôde captar. Correspondem a uma anotação bastante direta das observações, ou seja, com relativamente pouca elaboração ou tratamento. Uma vez coletados, são compreendidos como um reflexo razoavelmente confiável dos acontecimentos concretos.

Informação: É o resultado de uma organização, transformação e/ou análise de dados, ou seja, do seu tratamento de modo a produzir deduções e inferências lógicas confiáveis. Constitui uma leitura daquilo que o conjunto dos dados parece indicar.

Conhecimento: Argumentos e explicações que interpretam um conjunto de informações. Trata-se de conceitos e raciocínios lógicos essencialmente abstratos que interligam e dão significado a fatos concretos. Envolve hipóteses, teses, teorias e leis.

O processo de construção de conhecimento científico envolve os dados, os quais representam a "matéria-prima" bruta, a partir dos quais as operações lógicas criam informações e, finalmente, estas últimas são interpretadas para gerar conhecimento. É o que está resumido no diagrama abaixo.

Trata-se de caminho que forma a ponte entre o empírico e o teórico, com o fenômeno gerando dados, os dados gerando informações, e as informações gerando ou confirmando um conhecimento abstrato.

Dado

Dado é qualquer elemento identificado em sua forma bruta que, por si só, não conduz a

uma compreensão de determinado fato ou situação. (Oliveira, 2005)

Elemento que representa eventos ocorridos na empresa ou circunstâncias físicas, antes

que tenham sido organizados ou arranjados de maneira que as pessoas possam entender

e usar. (ROSINI e PALMISANO, 2003).

São quantificáveis e os únicos passíveis de uma real definição:

Símbolos

Marcas

Números

Os dados emergem da percepção inicial do observador sobre a natureza do objeto: são

identificados por características visuais ou simbólicas, mensuráveis.

Definimos dado como uma seqüência de símbolos quantificados ou quantificáveis.

Portanto, um texto é um dado. De fato, as letras são símbolos quantificados, já que o

alfabeto por si só constitui uma base numérica. Também são dados imagens, sons e

animação, pois todos podem ser quantificados a ponto de alguém que entra em contato

com eles ter eventualmente dificuldade de distinguir a sua reprodução, a partir da

representação quantificada, com o original. É muito importante notar-se que qualquer

texto constitui um dado ou uma seqüência de dados, mesmo que ele seja ininteligível

para o leitor. Isso ficará mais claro no próximo item.

Como são símbolos quantificáveis, dados podem obviamente ser armazenados em um

computador e processados por ele.

Em nossa definição, um dado é necessariamente uma entidade matemática e, desta

forma, puramente sintática. Isto significa que os dados podem ser totalmente descritos

através de representações formais, estruturais. Dentro de um computador, trechos de um

texto podem ser ligados virtualmente a outros trechos, por meio de contigüidade física

ou por "ponteiros", isto é, endereços da unidade de armazenamento sendo utilizada.

Ponteiros podem fazer a ligação de um ponto de um texto a uma representação

quantificada de uma figura, de um som, etc.

Informação

Informação é o dado trabalhado que permite ao executivo tomar decisões. (Oliveira,

2005). Dado configurado de forma adequada ao entendimento e à utilização pelo ser

humano (ROSINI e PALMISANO, 2003).

Aquilo que leva à compreensão. São dados organizados de modo significativo, sendo

subsídio útil à tomada de decisão.

As informações são o resultado dos dados devidamente tratados, comparados,

classificados, relacionáveis entre outros dados servindo para tomada de decisões e para

melhor noção do objeto estudado.

Informação é uma abstração informal (isto é, não pode ser formalizada através de uma

teoria lógica ou matemática), que representa algo significativo para alguém através de

textos, imagens, sons ou animação. Note que isto não é uma definição - isto é uma

caracterização, porque "algo", "significativo" e "alguém" não estão bem definidos;

assumimos aqui um entendimento intuitivo desses termos. Por exemplo, a frase "Paris é

uma cidade fascinante" é um exemplo de informação - desde que seja lida ou ouvida por

alguém, desde que "Paris" signifique a capital da França e "fascinante" tenha a

qualidade usual e intuitiva associada com aquela palavra.

Não é possível processar informação diretamente em um computador. Para isso é

necessário reduzi-la a dados. No nosso caso, "fascinante" teria que ser quantificado,

usando-se por exemplo uma escala de zero a quatro. Mas então, a nosso ver, isto não

seria mais informação.

A representação da informação pode eventualmente ser feita por meio de dados. Nesse

caso, pode ser armazenada em um computador. Mas, atenção, o que é armazenado na

máquina não é a informação, mas a sua representação em forma de dados. Essa

representação pode ser transformada pela máquina - como na formatação de um texto -

mas não o seu significado, já que este depende de quem está entrando em contato com a

informação. Por outro lado, dados, desde que inteligíveis, são sempre incorporados por

alguém como informação, porque os seres humanos (adultos) buscam constantemente

por significação e entendimento. Quando se lê a frase "a temperatura média de Paris em

dezembro é de 5oC", é feita uma associação imediata com o frio, com o período do ano,

com a cidade particular, etc. Note que "significação" não pode ser definida

formalmente. Vamos considerá-la aqui como uma associação mental com um conceito,

tal como temperatura, Paris, etc. O mesmo acontece quando vemos um objeto com um

certo formato e dizemos que ele é "circular", associando - através do nosso pensamento

- nossa representação mental do objeto percebido com o conceito "círculo".

Uma distinção fundamental entre dado e informação é que o primeiro é puramente

sintático e o segundo contém necessariamente semântica (implícita na palavra

"significado" usada em sua caracterização). É interessante notar que é impossível

introduzir semântica em um computador, porque a máquina mesma é puramente

sintática (assim como a totalidade da matemática). Se examinássemos, por exemplo, o

campo da assim chamada "semântica formal" das "linguagens" de programação,

notaríamos que, de fato, trata-se apenas de sintaxe expressa através de uma teoria

axiomática ou de associações matemáticas de seus elementos com operações realizadas

por um computador (eventualmente abstrato). De fato, "linguagem de programação" é

um abuso de linguagem, porque o que normalmente se chama de linguagem contém

semântica. (Há alguns anos, em uma conferência pública, ouvimos Noam Chomsky - o

pesquisador que estabeleceu em 1959 o campo das "linguagens formais" e que buscou

intensivamente por "estruturas profundas" sintáticas na nossa linguagem e no cérebro -,

dizer que uma linguagem de programação não é de forma alguma uma linguagem.)

Outros abusos usados no campo da computação, ligados à semântica, são "memória" e

"inteligência artificial". Estamos em desacordo com o seu uso porque nos dão, por

exemplo, a falsa impressão de que a nossa memória é equivalente em suas funções aos

dispositivos de armazenamento computacional, ou vice-versa. John Searle, o autor da

famosa alegoria do Quarto Chinês, demonstrando que os computadores não possuem

qualquer entendimento, argumentou que os computadores não podem pensar porque

lhes falta a nossa semântica

Inspirados pela alegoria de Searle, vamos esclarecer um pouco mais os nossos

conceitos. Suponhamos que temos uma tabela de nomes de cidades, meses

(representados de 1 a 12) e temperaturas médias, de tal forma que os títulos das colunas

e os nomes das cidades estão em chinês. Para alguém que não sabe nada de chinês nem

de seus ideogramas, a tabela constitui-se de puros dados. Se a mesma tabela estivesse

em português, seria informação, para brasileiros ou portugueses capazes de lê-la.

Conhecimento

Conhecimento é o conjunto de ferramentas conceituais e categorias usadas pelos seres

humanos para criar, colecionar, armazenar e compartilhar a informação (LAUDON e

LAUDON,1999). Definições e compreensões que a pessoa já tem sobre o mundo.

Referencial teórico. Modelo da realidade a partir de informações construídas com base

em dados observados.

Conhecimento é uma abstração interior, pessoal, de alguma coisa que foi experimentada

por alguém. No nosso exemplo, alguém tem algum conhecimento de Paris somente se a

visitou.

Nesse sentido, o conhecimento não pode ser descrito inteiramente - de outro modo seria

apenas dado (se descrito formalmente e não tivesse significado) ou informação (se

descrito informalmente e tivesse significado). Também não depende apenas de uma

interpretação pessoal, como a informação, pois requer uma vivência do objeto do

conhecimento. Assim, quando falamos sobre conhecimento, estamos no âmbito

puramente subjetivo do homem ou do animal. Parte da diferença entre ambos reside no

fato de um ser humano poder estar consciente de seu próprio conhecimento, sendo

capaz de descrevê-lo parcial e conceitualmente em termos de informação, por exemplo,

através da frase "eu visitei Paris, logo eu a conheço" (estamos supondo que o leitor ou o

ouvinte compreendam essa frase).

Em nossa caracterização, os dados que representam uma informação podem ser

armazenados em um computador, mas a informação não pode ser processada quanto a

seu significado, pois depende de quem a recebe. O conhecimento, contudo, não pode

nem ser inserido em um computador por meio de uma representação, pois senão foi

reduzido a uma informação. Assim, neste sentido, é absolutamente equivocado falar-se

de uma "base de conhecimento" em um computador. No máximo, podemos ter uma

"base de informação", mas se é possível processá-la no computador e transformá-la em

seu conteúdo, e não apenas na forma, o que nós temos de fato é uma tradicional "base

de dados".

Associamos informação à semântica. Conhecimento está associado com pragmática,

isto é, relaciona-se com alguma coisa existente no "mundo real" do qual temos uma

experiência direta. (De novo, assumimos aqui um entendimento intuitivo do termo

"mundo real".)

Quadro comparativo

Dados, Informação e Conhecimento

Dados Informação Conhecimento

Simples observações

sobre o estado do

mundo

Dados dotados de

relevância e propósito

Informação valiosa da

mente humana

Inclui reflexão, síntese,

contexto

Facilmente

estruturado

Facilmente obtido por

máquinas

Freqüentemente

Requer unidade de

análise

Exige consenso em

relação ao significado

Exige

De difícil estruturação

De difícil captura em

máquinas

Freqüentemente tácito

De difícil transferência

quantificado

Facilmente

transferível

necessariamente a

mediação humana

FONTE: Davenport, Prusak - 1998 - p.18

Um dado é puramente objetivo - não depende do seu usuário. A informação é objetiva-

subjetiva no sentido que é descrita de uma forma objetiva (textos, figuras, etc.), mas seu

significado é subjetivo, dependente do usuário. O conhecimento é puramente subjetivo -

cada um tem a experiência de algo de uma forma diferente. A competência é subjetiva-

objetiva, no sentido de ser uma característica puramente pessoal, mas cujos resultados

podem ser verificados por qualquer um.

Exemplos de Dado, Informação e Conhecimento

Dado: 100 e 5 %, fora de contexto, são dados assim como os termos depósito e taxa de

juros.

Informação: se conta de poupança no banco for contextualizado, depósito e taxa de

juros começam a ter sentido.

Conhecimento: Se eu deposito R$ 100,00 em minha conta poupança e o banco paga

5% de juros, ao final do ano terei R$ 105,00 na conta.

Etapas de transformação

Transformar Dados em Informação

Contextualizar: Conhecer a Finalidade;

Categorizar: Conhecer os componentes essenciais;

Calcular: Analisar Matemática ou Estatisticamente;

Corrigir: Eliminar erros dos dados;

Condensar: Resumi-los de forma concisa;

Transformar Informação em Conhecimento

Comparações: Confrontar as informações;

Conseqüências: Levantar implicações dessas informações com decisões e tomadas de

ações;

Conexões: Verificar relações do novo conhecimento com aqueles já existentes;

Conversação: Levantar opinião de outras pessoas;

Tipos de Conhecimento

Explícito: Transformados em documentos, roteiros e treinamentos;

Tácito: É aquele difícil de registrar, documentar ou ensinar as pessoas;

O conhecimento existe:

No indivíduo;

Em um grupo de indivíduos;

Na organização;

Tipologia da Informação

Fonte Formal

Imprensa;

Base de dados;

Informações científicas;

Informações técnicas;

Documentos da empresa;

Fonte Informal

Seminários;

Congressos;

Visitas a clientes;

Agências de publicidade;

Informações de mercado sobre produtos, clientes, fornecedores, etc.

Informações estruturadas

Seguem um padrão previamente definido.

Exemplo: Um formulário com os campos preenchidos.

Informações não Estruturadas

Não seguem um padrão definido.

Exemplo: Um artigo de revista.

Informação de Atividade

Permite a organização garantir seu funcionamento.

Costuma ser estruturado e normalmente direcionado ao nível operacional.

Exemplo: Pedidos de compra, nota fiscal de saída, custo de implementação

de um projeto.

Informações de Convívio

Possibilita aos indivíduos se relacionarem, podem influenciar seus

comportamentos.

Geralmente não estruturada e presente em todos os níveis da organização.

Exemplo: Jornal interno, reunião de serviço, ação publicitária.

Informação Estratégica

Capaz de melhorar o processo decisório.

Reduz o grau de incerteza.

Subsidia a definição dos objetivos organizacionais.

Exemplo: Curva ABC de clientes, preços praticados pela concorrência, etc.

Conceito de Sistemas de Informação

Sistema: Um sistema é um conjunto de elementos que interagem para se atingir metas

ou objetivos. Basicamente, um sistema possui os seguintes elementos:

- Entrada: envolve captação e reunião de elementos que entram no sistema para serem

processados.

- Processamento: envolve processos de transformação que converte insumo (entrada)

em produto.

- Saída: envolve a transferência de elementos produzidos por um processo de

transformação até o seu destino final.

Exemplos de Sistemas:

- Um sistema de produção recebe matérias-primas como entrada e produz produtos

acabados como saída.

- Um sistema de informação também é um sistema que recebe recursos ( dados ) como

entrada e os processa em produtos (informação) como saída.

O conceito de sistema se torna ainda útil pela inclusão de mais um componente:

feedback ou realimentação. A incorporação deste componente a um sistema faz com

que este se torne auto-monitorado ou auto-regulado.

Feedback ou Realimentação é uma saída usada para fazer ajustes ou modificações nas

atividades de entrada ou processamento. Assim, os erros ou problemas podem fazer

com que os dados de entrada sejam corrigidos ou que um processo seja modificado.

Subsistema ou ambiente de sistema: Um sistema sempre funciona em um ambiente

que contém outros sistemas. Se um sistema for um componente de um sistema maior,

ele é um subsistema. A fronteira de um sistema separa-o de um ambiente e de outros

sistemas. Vários sistemas podem ser conectados entre si por meio um limite

compartilhado ou interface.

A forma pela qual os elementos do sistema estão interligados é chamada configuração.

As relações entre os elementos de um sistema são definidas através de conhecimento.

Em muitos casos, saber o objetivo do sistema é o primeiro passo para se definir a forma

como os elementos do sistema são configurados.

Classificação dos Sistemas: Os sistemas podem ser classificados como simples ou

complexos, abertos ou fechados, estáveis ou dinâmicos, adaptáveis ou não adaptáveis,

permanentes ou temporários.

Simples ou Complexos: Um sistema simples é aquele que possui poucos

elementos ou componentes e a relação entre componentes ou elementos não é

complicada e direta.

Já um sistema complexo possui muitos elementos que são altamente

relacionados e inter-conectados. Na realidade a maioria dos sistemas se situa em

um estágio contínuo entre simples e complexo.

Aberto ou Fechado: Um sistema aberto interage com seu ambiente. Em outras

palavras, há um fluxo de entradas e saídas por todos os limites do sistema.

Um sistema fechado não possui qualquer interação com o ambiente. Por isso é

que existem poucos sistemas deste tipo.

Estável ou Dinâmico: Um sistema estável é aquele que mudanças no

ambiente resultam em pouca ou nenhuma mudança no sistema.

Um sistema dinâmico é o que sofre mudanças rápidas e constantes devido a

mudança de seu ambiente.

Adaptáveis ou Não Adaptáveis: Os conceitos sobre adaptáveis e não

adaptáveis estão relacionados a estabilidade e dinâmica. Um sistema adaptável é

aquele que responde ao ambiente mutável. Em outras palavras, é aquele que

monitora o ambiente e recebe modificações em resposta a mudança do ambiente.

O sistema não adaptável é aquele que não muda com o ambiente mutável.

Permanente ou Temporário: O sistema permanente é o que existe ou existirá

por um longo período de tempo, geralmente 10 anos ou mais.

O sistema temporário é aquele que existirá por um curto espaço de tempo.

Modelando um Sistema: O mundo real é complexo e dinâmico. Por isso que usamos

modelos no lugar de sistemas reais. Um modelo é uma abstração da realidade ou uma

simulação do que é realidade. Há inúmeros tipos diferentes de modelos e os principais

veremos a seguir:

Modelo Narrativo: Um modelo narrativo, como o próprio nome já diz, se

baseia em palavras. As descrições das realidades, tanto verbais como escritas,

são consideradas modelos narrativos. Em uma empresa, relatórios, documentos e

conversas referentes a um sistema, são todos narrativas importantes.

Modelo Físico: Um modelo físico é uma representação tangível da realidade.

Muitos modelos físicos são construídos por computador.

Modelo Esquemático: Um modelo esquemático é a representação gráfica da

realidade. Gráficos, mapas, figuras, ilustrações e fotografia são tipos de modelos

esquemáticos. Os modelos esquemáticos são usados em grande parte no

desenvolvimento de programas e sistemas de computador. Fluxogramas de

programas mostram como os programas podem ser desenvolvidos. Diagramas de

fluxo de dados mostram como os dados fluem dentro através de uma

organização.

Modelo Matemático: Um modelo matemático é a representação aritmética da

realidade. Estes modelos são utilizados em todas as áreas de negócios.

Sistema de Informação: Um sistema de informação é um tipo especializado de

sistema, podendo ser definido como um conjunto de componentes inter-relacionados

trabalhando juntos para coletar, recuperar, processar, armazenar e distribuir a

informação com a finalidade de facilitar o planejamento, o controle, a coordenação, a

análise e o processo decisório em empresas e organizações.

O conceito de Sistemas de Informação (SI) deriva do conceito de sistema como

atividade humana, o qual pode envolver, ou não, a utilização de computadores. O SI

funciona, portanto, como suporte às ações e decisões humanas e depende do contexto

em que estão inseridos.

Os sistemas de informações contêm informações sobre pessoas, lugares e coisas de

interesse, no ambiente, ao redor, e dentro da própria organização.

Seguindo a definição da teoria dos sistemas, um sistema de informação também é

composto de elementos que coletam ( entrada ) , manipulam e armazenam ( processo ),

disseminam (saída) os dados e informações e fornecem o mecanismo de feedback (

realimentação ).

Sistemas de Informação Manuais e Computadorizados: Muitos dos sistemas de

informação começaram com sistemas manuais e depois se tornaram computadorizados.

Esta migração ocorreu porque um sistema manual não é prático e sujeito a falhas. E,

desta maneira, acaba sendo ineficiente.

Recursos e Tecnologias dos Sistemas de Informação: O sistema de informação

baseado em computador (SIBC) é composto por hardware, software, banco de dados,

telecomunicações, pessoas e procedimentos que estão configurados para coletar,

armazenar e processar dados em informação. A seguir vamos discutir cada um destes

componentes.

Recursos de Hardware: consiste no equipamento do computador usado para

executar as atividades de entrada, processamento e saída. Os dispostivos de

entrada incluem o teclado, os dispositivos de escaneamento automático, e outros

dispositivos de leitura de dados. Os dispositivos de processamento incluem

Unidade Central de Processamento (CPU), memória e dispositivos de

armazenagem. Há muitos dispositivos de saída, incluindo as impressoras e

monitores.

Recursos de Software: consistem nos programas e instruções dadas ao

computador e ao usuário. Estes programas e instruções permitem o computador

processar diversos aplicativos com rapidez, qualidade e baixo custo.

Recursos de Armazenamento: é uma coleção organizada de fatos e

informações. O banco de dados é uma das partes mais valiosas de um sistema de

informação baseado em computador.

Recursos Humanos: é o elemento mais importante em um sistema de

informação baseado em computador. Os profissionais que trabalham com

sistemas de informações incluem todas as pessoas que gerenciam, executam,

programam e mantêm o sistema do computador. Os usuários são os

administradores, tomadores de decisão, colaboradores e outros usuários que

utilizam o computador em seu benefício.

Procedimentos: incluem as estratégicas, políticas, métodos e regras usadas pelo

homem para operar o SIBC.

Papéis Fundamentais dos Sistemas de Informação nas Empresas: Os sistemas de

informação desempenham 3 papéis vitais em qualquer tipo de organização:

Suporte de seus processos e operações

Suporte nas tomadas de decisões de seus funcionários e gerentes

Suporte em suas estratégias em busca de vantagem competitiva

Tipos de Sistemas de Informação: Em termos conceituais, os sistemas de informação

podem ser classificados de maneiras diferentes. Algumas delas veremos a seguir.

Sistema de Apoio a Operações: Existem 3 tipos principais de sistemas de apoio

a decisões:

o Sistema de Processamento de Transações: o objetivo deste tipo de

sistema é reduzir custos através de automatização de rotina. Um dos

primeiros sistemas empresariais a ser computadorizado foi o sistema de

folha de pagamento. Como estes sistemas tratavam e processavam

transações, foram chamados de sistemas de processamento de transações.

o Sistema de Controle de Processos: monitoram e controlam processos

físicos.

o Sistemas Colaborativos: aumentam as comunicações e produtividade das

equipes e grupos de trabalho.

Sistema de Apoio Gerencial: existem 3 tipos principais de sistema de apoio

gerencial:

o Sistema de informação gerencial: foram criados a partir da década de

1960 e são caracterizados pelo uso do sistema de informação para

produzir relatórios gerenciais.

o Sistema de apoio à decisão: nas décadas de 1970 e 1980, grandes

aperfeiçoamentos da tecnologia resultaram em sistemas de informação

que custavam menos e eram muito mais poderosos. Pessoas de todas as

áreas da empresa passaram a usar microcomputadores para fazer uma

variedade de tarefas e não dependiam mais de um setor específico para

realizar as suas atividades. Neste período foi constatado que um sistema

de informação baseado em computador poderia dar apoio adicional a

tomada de decisão.

o Sistema de Informação Executiva: fornecem informações críticas em

quadros de fácil visualização para uma multiplicidade de

gerentes/administradores.

O VALOR DA INFORMAÇÃO PARA AS ORGANIZAÇÕES

Alguns estudiosos analisam a informação como um bem empresarial, portanto, na

linguagem contábil essa passa a ser um ativo e como tal deve ser preservado e ter seu

valor mensurado (neste aspecto, referência especial à 2º e 4º leis).

Considerando que na Administração a máxima é o clássico “P2OC3” =

“Prever/Planejar/Organizar/Coordenar/Controlar/Comandar”, torna-se imperativo o uso

de informações para fazê-lo.

LEIS DA INFORMAÇÃO

1ª Lei - A informação é compartilhável.

2ª Lei - O valor da informação aumenta com o uso.

3ª Lei - A informação é perecível.

4ª Lei - O valor da informação aumenta com a precisão.

5ª Lei - O valor da informação aumenta quando há combinação de informações.

6ª Lei - Mais informação não é necessariamente melhor.

7ª Lei – A Informação se Multiplica.

11ªª LLeeii -- AA iinnffoorrmmaaççããoo éé ccoommppaarrttiillhháávveell..

Compartilhável infinitamente, ao contrário de ativos comuns.

Utilizável simultaneamente por inúmeras pessoas, sem desgastar-se.

Utilizável para público interno ou externo às corporações.

Compartilhamento da informação é diferente de reinserção da informação.

22ªª LLeeii -- OO vvaalloorr ddaa iinnffoorrmmaaççããoo aauummeennttaa ccoomm oo uussoo..

O valor da informação justifica-se na medida em que ela se torna FATOR DE

APOIO À DECISÃO e tal decisão resulte em PRODUTIVIDADE (mensurável

objetivamente). Outrossim, a informação tem mais valor à medida que os

envolvidos na tomada de decisão possam agir sinergicamente.

O valor empresarial de uma informação é diferente do valor financeiro de uma

informação. Imagine o quanto vale a informação da fórmula da Coca-cola???

Então, a informação é um ativo (patrimônio) e como tal deve ser preservado.

O uso da informação a valoriza, desde que, o seja pelas pessoas certas, pois, se uma

informação se torna de domínio público, ocorrerá de que o seu uso aumentou de

forma imensurável, contudo o seu valor pode até deixar de existir, pois, foi

banalizada. Compreende?!?!

Assim, a informação carece dos Princípios da Segurança: Autenticidade,

Legitimidade, Privacidade, Confiabilidade, Inviolabilidade (Ver ANDREWS

TANEMBAUM).

A informação só terá seu valor acrescido (aumentado) se estiver disponível,

compartilhada e no tempo certo, pois, pode estar defasada (desatualizada).

Sempre lembrar de que a informação é um ativo intangível e isso a torna difícil de

valorar.

33ªª LLeeii -- AA iinnffoorrmmaaççããoo éé ppeerreeccíívveell..

Sugere-se que a informação perde parte de seu valor com o tempo.

Imagine se uma Grande Rede de Varejo descobre o “Plano de Marketing” de seu

maior concorrente antes ou durante a implementação do mesmo. Ocorrerá de que

com o passar do tempo suas ações já serão previsíveis e até mesmo antecipadas pelo

concorrente. Mesmo sem a tal descoberta antecipada do Plano de Marketing, com o

tempo até mesmo pela observação direta, o concorrente “terá” tais informações.

44ªª LLeeii -- OO vvaalloorr ddaa iinnffoorrmmaaççããoo aauummeennttaa ccoomm aa pprreecciissããoo..

Inicialmente, o termo precisão, não deve ser sinônimo de necessidade. Mas, sim, de

FIDEDIGNIDADE da informação.

Quanto mais precisa, mais útil é a informação.

Quanto mais útil, mais valiosa se torna.

Informações com baixa precisão, ou melhor dizer: INEXATAS, podem resultar em

grandes prejuízos na medida em que levam à Tomada de decisão equivocada.

Em “Sistemas de Missão Crítica”, a informação deve ter altíssima precisão (100%).

Como exemplo, imagine um controle de vôo, contas bancárias, ou mesmo um

sistema de monitoramento de uma UTI.

55ªª LLeeii -- OO vvaalloorr ddaa iinnffoorrmmaaççããoo aauummeennttaa qquuaannddoo hháá ccoommbbiinnaaççããoo ddee iinnffoorrmmaaççõõeess..

Combinação de informações é diferente de integração de informações.

Muitos interpretam (equivocadamente a nosso ver), que tal lei é fruto dos sistemas

integrados de gestão.

66ªª LLeeii -- MMaaiiss iinnffoorrmmaaççããoo nnããoo éé nneecceessssaarriiaammeennttee mmeellhhoorr..

ENTROPIA (excesso de informação que extrapola a capacidade de leitura das

mesmas pelo receptor...).

Considere a relação Quantidade versus Qualidade das informações.

Necessidade de “filtros” quanto a destinação relevante de uma informação, para

salvaguardar que se ultrapasse a capacidade humana de processamento de

informações.

77ªª LLeeii –– AA IInnffoorrmmaaççããoo ssee MMuullttiipplliiccaa..

A Informação é um recurso não finito, o que alguns autores chamam de

“autogeneração” decorrente da síntese, análise ou combinação de uma informação

de origem com outras.

A título de ilustração, considere a relação entre dois diferentes bancos de dados, um

que controla itens vendidos (controle de estoque) e outro que controla a parte de

pagamentos (controle financeiro) cujo “relacionamento” entre ambos pode resultar

numa informação como “Item mais vendido e meio de pagamento mais utilizado

para compra do mesmo”. Esse relacionamento entre informações, faz com que a 7º

lei esteja intimamente ligada a 5º lei.

Considere ainda, que um novo uso para uma informação já conhecida, aumenta o

“ciclo de vida da informação”, alguns denominam tal característica como

reciclagem da informação.

No campo da Administração de Sistemas de Informação, a ênfase das “Leis da

Informação”, está em subsidiar a tomada de decisão e não no simples aspecto

comunicacional ou de sua transmissão que embora importante, já seria campo da

“Teoria da Informação e Codificação” (fonte, canal, ruído, destino, etc.) de Claude

Shannon.

Plano de Contingência

Conceitos de Redundância e Contingência

O projeto bem sucedido de uma rede de computadores pode ser representado pela

capacidade desta em oferecer os serviços essenciais requeridos por seus usuários e por

preservar os seus principais componentes na eventual ocorrência de falhas.

A fim de prevenir eventuais falhas e oferecer alternativas que evitem que estas

acarretem maiores prejuízos, se faz necessário que os projetos contemplem planos de

redundância e contingência constituídos por uma série de ações e procedimentos que

visam soluções e dispositivos de recuperação relacionados com essas falhas.

Falhas de Sistema

No ambiente dos sistemas computacionais podemos destacar vários aspectos críticos

que podem ser considerados pontos de falhas potenciais para o sistema: cabeamento,

servidores, subsistemas de disco, softwares aplicativos e de apoio, entre outros. Nesse

contexto, as falhas são consideradas como eventos danosos, provocados por deficiências

no sistema ou em um dos elementos internos dos quais o sistema dependa.

As falhas podem ser derivadas de erros no projeto do software, degradação do

hardware, erros humanos ou dados corrompidos. Entretanto, só existem duas variáveis

para a paralisação temporária de uma rede em função de condições de falha que,

normalmente, não se podem definir ou prever:

Indisponibilidade – Corresponde ao período de inatividade ou "downtime" da

rede/sistema (programado ou não). As características do projeto devem ser suficientes

para garantir que a informação seja replicada automaticamente do ambiente de produção

para o ambiente de contingência, de forma que o tempo de indisponibilidade do sistema

seja reduzido, melhorando o nível de serviço e atendendo às exigências dos usuários;

Instabilidade - é imprescindível conhecer quais são os parâmetros considerados como

normais dentro do ambiente. A correta definição de métricas de qualidade, bem como a

implantação de mecanismos de coleta e controle de variáveis do sistema são

imprescindíveis para a configuração de ações de correção imediatas e de análises de

tendências.

Redundância

O termo redundância descreve a capacidade de um sistema em superar a falha de um de

seus componentes através do uso de recursos redundantes, ou seja, um sistema

redundante possui um segundo dispositivo que está imediatamente disponível para uso

quando da falha do dispositivo primário do sistema.

Um sistema computacional redundante caracteriza-se, pois, por possuir componentes

como sistemas de ventilação e ar condicionado, sistemas operacionais, unidades de

disco rígido, servidores de rede, links de comunicação e outros, instalados para atuarem

como backups das fontes primárias no caso delas falharem.

Essa redundância está presente, por exemplo, nos sistemas embarcados de aviação,

quando impõe que aviões comerciais possuam dois computadores de bordo, dois

sistemas para controle dos trens de aterrissagem, etc. Se um sistema falhar, deve ser o

outro sistema tão eficiente e operacional como o primeiro, pronto para entrar em

operação, testado, treinado e suficiente. Outro exemplo bem conhecido de um sistema

redundante em redes de computadores é o RAID (Redundant Array of Independent

Disks).

Figura 1 - Exemplo de rede redundante

No exemplo da figura acima, com a falha do roteador primário, imediatamente o

secundário entrará em atividade de forma a manter o funcionamento ininterrupto da

comunicação da rede local com o ambiente externo (Internet).

Outro exemplo de redundância está em múltiplas estações de trabalho usadas para

monitorar uma rede. A perda de uma estação não prejudica a visualização ou a operação

do sistema. Nesse caso, um servidor de banco de dados (igualmente redundante) garante

que nenhuma informação seja perdida, na hipótese de falha do servidor primário.

Podemos ter também a redundância física de um subsistema de alimentação de energia,

projetado para prover chaveamento automático no caso de falha pelo acréscimo de uma

segunda fonte. Nesse subsistema redundante, as fontes possuem a mesma capacidade e,

no caso de falha de uma delas, a outra assume instantaneamente toda a carga da rede.

Outro aspecto que deve ser considerado é a contingência operacional proporcionada

pela redundância de equipamentos. Quanto maior a vulnerabilidade de um sistema

dentro de uma rede, maior a redundância necessária para garantir a integridade dessa

rede. Em alguns casos, porém, a simples contingência representada pela redundância

dos equipamentos e do processo de backup não são suficientes para tornar o

"downtime" compatível com a necessidade operacional da empresa.

Contingência

Define-se contingência como a possibilidade de um fato acontecer ou não. É uma

situação de risco existente, mas que envolve um grau de incerteza quanto à sua efetiva

ocorrência. As ações de contingenciamento são encadeadas, e por vezes sobrepostas, de

acordo com procedimentos previamente acordados no projeto da rede. O

seqüenciamento das ações depende dos acontecimentos que precederam o evento

(contingência) bem como das condições contextuais que vão sendo construídas no

próprio processo, ou seja, o processo de contingenciamento é construído e negociado à

medida que a interação se processa.

Sucintamente, as condições necessárias para a existência de uma contingência são:

possibilidade de um acontecimento futuro resultante de uma condição existente,

incerteza sobre as condições operacionais envolvidas e a resolução destas condições

dependerem de eventos futuros.

Plano de contingência

Trata-se do conjunto de procedimentos e medidas de segurança preventivas,

previamente planejadas, a serem adotados após a ocorrência de uma falha, que

permitem o restabelecimento da rede de comunicação/sistema em caso de situações

anormais (falha de hardware, base de dados corrompida, perda de link de comunicação,

destruição de prédios, entre outras), com o objetivo de minimizar os impactos da

mesma.

O projeto do contingenciamento do sistema deve estar baseado em políticas que visem

alta disponibilidade de informações e sistemas, através de suporte técnico, sistemas de

segurança, esquemas de backup, planos de contingência, redundância de equipamentos

e canais de comunicação e gerenciamento pró-ativo. O objetivo é implantar, conectado à

estrutura de rede de computadores, um plano de acesso seguro, eficiente e gerenciado,

capaz de restabelecer as funções críticas numa situação excepcional.

Os planos de contingência são desenvolvidos para cada ameaça considerada em cada

um dos processos do negócio pertencentes ao escopo, definindo em detalhes os

procedimentos a serem executados em estado de contingência. Na implementação do

plano devem ser avaliados os principais riscos que podem fazer o sistema parar. Para

isso, deve-se proceder ao levantamento dos impactos dessa parada em cada área de

negócio e estimar quanto tempo levaria para restabelecer o processamento para cada

risco e para cada área.

Plano de Contingência, Plano de Continuidade ou Plano de Desastre

Após a ocorrência de um incidente de segurança, os profissionais de TI de sua empresa

sabem exatamente como agir para que seu negócio volte a operar em tempo mínimo?

Um plano de contingência, devidamente documentado e atualizado, ajuda a atingir esse

objetivo.

Garantir a continuidade do negócio tornou-se uma preocupação atual e prioritária para

os responsáveis dos sistemas de informação das organizações, já que atualmente a

maioria das empresas depende de seus recursos computacionais para operar

normalmente. Incidentes ou eventualidades que provoquem a parcial ou total

paralisação desses recursos podem ocorrer a qualquer momento e, para que o problema

seja sanado no menor tempo possível (de forma que a empresa dê continuidade aos seus

processos de trabalho já em andamento e, além disso, não perca novas oportunidades de

negócio), é preciso adotar medidas emergenciais - ou contingenciais.

Objetivos do plano de contingência

O principal objetivo de um plano de contingência é dar providência imediata invocando

os procedimentos de recuperação dos sistemas corporativos, considerando o tempo de

espera previsto para restabelecimento da atividade definido pelos gestores do sistema.

Para cada sistema corporativo, hierarquicamente definido segundo o grau de criticidade

e processamento, são previstos o tempo de paralisação possível e ações subseqüentes

para seu restabelecimento.

De forma global, as ocorrências de falhas mais comuns são: Vírus, perda de disco

rígido, perda de um servidor da rede ou de uma ligação de rede, alteração/atualização de

software, falha de sistema de suporte (ar condicionado e/ou de energia, por exemplo),

avarias mecânicas do hardware, etc.

Composição do plano de contingência

Os planos de contingência estão subdivididos em três módulos distintos e

complementares que tratam especificamente de cada momento vivido pela empresa:

Plano de Administração de Crise – Tem o propósito de definir passo-a-passo o

funcionamento das equipes envolvidas com o acionamento da contingência

antes, durante e depois da ocorrência do incidente. Além disso, tem que definir

os procedimentos a serem executados pela mesma equipe no período de retorno

à normalidade. O comportamento da empresa na comunicação do fato à

imprensa é um exemplo típico de tratamento dado pelo plano;

Plano de Continuidade Operacional – Tem o propósito de definir os

procedimentos para contingenciamento dos ativos que suportam cada processo

de negócio, objetivando reduzir o tempo de indisponibilidade e,

conseqüentemente, os impactos potenciais ao negócio. Orientar as ações diante

da queda de uma conexão à Internet, exemplifica os desafios organizados pelo

plano;

Plano de Recuperação de Desastres – Tem o propósito de definir um plano de

recuperação e restauração das funcionalidades dos ativos afetados que suportam

os processos de negócio, a fim de restabelecer o ambiente e as condições

originais de operação. Descreve as medidas que uma empresa deve tomar,

incluindo a ativação de processos manuais ou o recurso a contratos, para

assegurar a continuidade dos processos do negócio no caso de falha no sistema

de informações.

Um plano de contingência deve se caracterizar pelos seguintes aspectos:

Ser desenvolvido por uma equipe de trabalho que envolva todas as áreas de

conhecimento e de negócio da empresa a qual o plano de contingência diz

respeito;

Ser avaliado periodicamente;

Estar disponível em local reservado e seguro, mas de fácil acesso ao pessoal

autorizado.

O plano de contingência provê a avaliação de todas as funções de negócio juntamente

com a análise do ambiente de negócios em que a empresa se insere, ganhando-se uma

visão objetiva dos riscos que ameaçam a organização. A metodologia para a

implantação de um plano de contingência consiste em seis etapas:

1. Avaliação do projeto: escopo e aplicabilidade;

2. Análise de risco;

3. Análise de impacto em negócios;

4. Desenvolvimento dos planos de recuperação de desastres;

5. Treinamento e teste dos planos;

6. Implementação e manutenção.

Um exemplo de plano de contingência para uma rede de computadores quanto à

prevenção de falhas nos sistemas de suporte, na infra-estrutura e nos processos é

exemplificado a seguir:

Sistemas de suporte

Tipo de falha Medida

Falha de sistema

Identificar os sistemas (elevadores, ar-condicionado,

aquecimento central, ventilação, temperatura, etc) e avaliá-

los quanto:

À sua conformidade com os parâmetros de projeto,

observando a existência de sistemas proprietários;

A criticidade deste tipo de sistemas para o

funcionamento da rede;

Definir regras de utilização destes sistemas, de

modo a não pôr em risco o funcionamento da

empresa e a segurança dos usuários dos sistemas.

Infra-estrutura


Energia elétrica

Prever sistema alternativo de fornecimento de

energia;

Definir o período de autonomia para o sistema;

Prover os recursos necessários para o

funcionamento do sistema alternativo durante o

período de autonomia pretendido;

Identificar as áreas prioritárias para o

abastecimento de energia.

Comunicações

Providenciar meios alternativos de comunicação

para receber e transmitir as informações;

Considerar a hipótese de antecipar processamentos

e/ou reativar processos manuais;

Controle

Ambiental

Alguns equipamentos necessitam, para o seu correto

funcionamento, de determinadas condições de temperatura

e umidade. Prevendo uma eventual falha nos mecanismos

de controle e reposição dessas condições, deve-se:

Criar meios alternativos para fornecer as condições

mínimas de funcionamento;

Definir períodos de funcionamento no sentido de

minorar a degradação das condições ambientais.

Sistemas de

combate a

incêndios

Devem ser colocados em controle manual;

Prever o eventual reforço de meios mecânicos de

combate a incêndio.

Transportes

Uma eventual falha ao nível dos transportes pode

impossibilitar o acesso das pessoas ao seu local de

trabalho, inviabilizando o funcionamento da organização:

Viabilizar formas de transporte alternativas, da

própria organização ou terceiros, desde que as

falhas de abastecimento de combustíveis não sejam

a um nível global. Neste caso, um planejamento de

contingência será ineficaz caso não existam

medidas a outro nível que garantam um

abastecimento em função das necessidades e

prioridades da sociedade em geral.

Processos

Um sistema computacional que possua um plano de contingência deve reagir a um

efeito danoso e dele se recuperar mesmo antes da causa ter sido identificada e prevenir a

ocorrência de falhas indesejáveis e, simultaneamente, definir as medidas e pôr em

prática se essas falhas de fato vierem a ocorrer. Equivale a afirmar que reação e

recuperação devem ter sucesso não importando se a causa foi ou não determinada.

Independentemente da ocorrência de qualquer falha, devem ser feitas cópias

redundantes de toda a informação, incluindo dados, aplicações, sistema operativo,

SGBD e outros sistemas de gestão em uso. Deve-se assegurar que, caso as cópias sejam

utilizadas, existirá, pelo menos, uma cópia fiel de toda a informação no seu estado

original. Deve igualmente ter-se o cuidado de efetuar a reinicialização do sistema passo

a passo e a monitoração do correto funcionamento de cada novo componente integrado

ao sistema.


Recebimento de

informação errada

Definir procedimentos que viabilizem a verificação

da correção e coerência da informação recebida

antes do seu processamento.

Resultados com

erros

Definir procedimentos visando a verificar a

correção da informação produzida.

Arquivos

corrompidos ou

perdidos

Definir procedimentos que permitam verificar a

correção e coerência dos dados e decidir pela

continuação ou interrupção do processamento.

Falha de um

processo

Hipótese de desenvolver sistemas alternativos que

possibilitem a execução das funções principais do

sistema;

Prever a necessidade de publicação de disposições

legais que permitam antecipar ou retardar prazos e

datas.

Falha de

fornecimento de

produtos de consumo

Estimar as necessidades e proceder à aquisição de

produtos prevendo não só eventuais falhas no seu

abastecimento, bem como um eventual aumento do

consumo na seqüência, por exemplo, da ativação de

processos alternativos de troca de informação.

Falha do sistema

central de

processamento

Avaliar a possibilidade de utilizar o recurso de um

centro alternativo (próprio ou de terceiros);

Ativar processos manuais.

Falha da rede local

Listar as tarefas/atividades afetadas por esta falha;

Definir formas alternativas de envio e recebimento

da informação, adequadas para cada situação.

Falha dos sistemas

por acessos abusivos

Definir mecanismos de monitoração que permitam

identificar de imediato este tipo de ocorrências;

Interromper as comunicações até à reparação da

falha.

Estratégias de Contingência

Hot-site – Recebe este nome por ser uma estratégia pronta para entrar em operação

assim que uma situação de risco ocorrer. O tempo de operacionalização desta estratégia

está diretamente ligado ao tempo de tolerância a falhas;

Warm-site – Esta se aplica a objetos com maior tolerância à paralisação, podendo se

sujeitar à indisponibilidade por mais tempo, até o retorno operacional da atividade. Por

exemplo, o serviço de e-mail dependente de uma conexão e o processo de envio e

recebimento de mensagens é mais tolerante podendo ficar indisponível por minutos,

sem, no entanto, comprometer o serviço ou gerar impactos significativos;

Cold-site – Propõe uma alternativa de contingência a partir de um ambiente com os

recursos mínimos de infra-estrutura e telecomunicações, desprovido de recursos de

processamento de dados. Portanto, aplicável à situação com tolerância de

indisponibilidade ainda maior;

Realocação de Operação – Tem como objetivo desviar a atividade atingida pelo

evento que provocou a quebra de segurança, para outro ambiente físico, equipamento ou

link, pertencentes à mesma empresa. Esta estratégia só é possível com a existência de

"folgas" de recursos que podem ser alocados em situações de crise. Muito comum essa

estratégia pode ser entendida pelo exemplo que se redireciona o tráfego de dados de um

roteador ou servidor com problemas para outro que possua folga de processamento e

suporte o acúmulo de tarefas;

Bureau de Serviços – Considera a possibilidade de transferir a operacionalização da

atividade atingida para um ambiente terceirizado, portanto, fora dos domínios da

empresa. Por sua própria natureza, em que requer um tempo de tolerância maior em

função do tempo de reativação operacional da atividade, torna-se restrita a poucas

situações. O fato de ter suas informações manuseadas por terceiros e em um ambiente

fora de seu controle, requer atenção na adoção de procedimentos, critérios e

mecanismos de controle que garantam condições de segurança adequadas à relevância e

criticidade da atividade contingenciada;

Acordo de Reciprocidade – Propõe a aproximação e um acordo formal com empresas

que mantêm características físicas, tecnológicas ou humanas semelhantes a sua, e que

estejam igualmente dispostas a possuir uma alternativa de continuidade operacional.

Estabelecem em conjunto as situações de contingência e definem os procedimentos de

compartilhamento de recursos para alocar a atividade atingida no ambiente da outra

empresa. Desta forma, ambas obtêm redução significativa dos investimentos;

Auto-suficiência – Utilizada quando nenhuma outra estratégia é aplicável, quando os

impactos possíveis não são significativos ou quando estas são inviáveis, seja

financeiramente, tecnicamente ou estrategicamente. A escolha de qualquer uma das

estratégias anteriores depende diretamente do nível de tolerância que a empresa pode

suportar. Esta decisão pressupõe a orientação obtida por uma análise de riscos e

impactos que gere subsídios para apoiar a escolha mais acertada.

Figura 2 - Riscos envolvidos em um plano de contingência

Metodologia do Plano de Contingência

Com isso, criamos um leque de projetos capazes de disponibilizar os requisitos mínimos

de Segurança da Informação:

Definição

o Qualquer evento calamitoso, ou sucessão de eventos que coloque em risco

processos vitais para a consecução dos objetivos da Empresa.

Sistemas Críticos

o São sistemas cuja inoperabilidade implica em perdas irreversíveis de cunho

financeiro, jurídico ou de imagem da Empresa e seu retorno à atividade

produtiva deve acontecer em até 24 horas após a ocorrência do desastre.

Desastre

o É a ocorrência de qualquer tipo de anormalidade que impeça ou impacte a

atividade de produção dos sistemas críticos.

Recuperação

o É o restabelecimento da atividade produtiva dos sistemas críticos, mesmo

que paliativa ou parcialmente, no caso do desastre se efetivar.

Ativação e Desativação do Plano de Contingência:

o O Plano de Contingência é ativado e desativado pelos Executivos da

Empresa consubstanciados pelas informações prestadas pelo Gerente de TI e

pelas Equipes de Contingência.

Pontos Básicos:

o Para a elaboração do Plano de Contingência, é necessário que sejam

levantados alguns itens básicos, quais sejam:

Quais são os sistemas críticos que garantem a continuidade do

negócio da empresa;

Análise de Impacto nos Negócios;

Análise de Riscos para os principais Negócios;

Homologação dos sistemas críticos por parte dos Executivos

da Empresa.

De que recursos de hardware, software e infra-estrutura tais sistemas

dependem;

Hardware

Configuração

Up-Grade

Espaço em disco para o S.O. e Sistemas críticos

MIPS utilizado

Memória

CPU

Controladora de Discos

Controladora de Mídia Magnética

Mídias Magnética

Fornecedores

Software

Configuração

Versão/Release

Nível de atualizações

Customizações

Fornecedores

Infraestrutura

robôs/cilos/estantes

Rede/Teleprocessamentos

MUX

Porta de Controladora de Linha

Circuito de Comunicação

Multiplexadores

Concentradores

Circuitos

CCU

Roteadores

Switch

Hubs

Bridge

Satélite

Concessionárias

Ambiente

Definição de carga de refrigeração

Temperatura

Umidade

Alimentação de energia eletrica

No-Break

Gerador de energia

Bateria de energia

PABX e telefonia em geral

Prédios inteligentes e elevadores

Levantamento e atualização da documentação dos sistemas muito

críticos

Objetivos do sistema

Analistas responsáveis

Usuários Gestores e usuários Finais

Backup diário, semanal, mensal, semestral e anual - Retenção

de arquivos

Fases do sistema e sua descrição

Relação de programas utilizados - Batch - Código e descrição

Relação de programas utilizados - On line - Código e

descrição

Interfaces

Interna - Arquivos de entrada

Interna - Arquivos de saída

Externa - Arquivos de entrada

Externa - Arquivos de saída

Identificação dos serviços críticos dentro dos sistemas

prioritários - programas e tabelas

O que deve ser retido no período de contingência para

recuperação dos sistemas não críticos

Serviços que devem ser considerados críticos já que são

essenciais para recuperação de sistemas não críticos

Quais são os componentes críticos dos sistemas críticos

Backup

Tamanho em Bytes dos dados necessários para

funcionamento dos sistemas críticos

Volume de mídias magnéticas que fazem atualmente o

backup externo dos sistemas críticos

Espaço físico, estimado, para guarda do backup externo dos

sistemas críticos

Forma de criação dos backup externo (link específico /

transporte)

Relação dos backup´s dos sistemas críticos

Hierarquia a ordem cronológica de baixa dos backup

Definição do backup-site

Definição do Modelo de Backup_Site (espelhamento,

transmissão remota...)

Cold-Site próprio

Cold-Site de Terceiros

Hot-Site próprio

Hot-Site de terceiros

Hot-Site próprio compartilhado

Forma de atualização dos dados no Site Backup

Decisões Pós-Desastre para a Recuperação

Evitar novos danos, executando os procedimentos de

emergência

Identificar hardware e material que pode ser salvo

Auxiliar a equipe de logística na movimentação de recursos

salvos

Informar as equipes de telecomunicação e de hardware do

andamento dos trabalhos de salvamento

Avaliação do desastre no aspecto de estrutura física

Laudo e estimativa de recuperação da estrutura física

Avaliação do desastre no aspecto de parque computacional

Laudo e estimativa de substituição do parque computacional

Decisão quanto a localidade e formas de processamento pós-

desastre dos sistemas crítico

Decisão quanto a localização e forma de processamento pós-

desastre dos demais sistemas

Plano de Retorno

Definição de datas e procedimentos para retorno às atividades

normais.

Retorno do CPD e estrutura básica

Definição de estrutura de apoio

Definição das datas de retorno

Criação de relatórios históricos

Definição de Equipes de Contingência

o 01 EQUIPE EXECUTIVA / COORDENAÇÃO

MISSÃO:

Garantir que a restauração do processamento ocorra dentro do

prazo estipulado no Plano de Contingência conforme

criticidade de cada sistema.

Exercer a coordenação geral do Plano.

TAREFAS PRÉ-DESASTRE

Avaliar e aprovar gastos financeiros necessários ao

desenvolvimento e manutenção do Plano.

Definir local do Centro de Operações Alternativo com o

apoio da Equipe de Hardware.

Definir local do Centro de Comando em caso de desastre.

Estabelecer as políticas e diretrizes do Plano.

Definir recursos necessários ao Plano.

Designar líderes, seus substitutos e demais membros das

outras equipes

Distribuir cópias do Plano e normas a todos os envolvidos no

Plano.

Revisão e atualização periódica do Plano.

Coordenar as atividades das demais equipes

Organizar e coordenar a execução de testes do Plano.

Definir e montar a estrutura de retorno à normalidade.

Dar apoio a todos os envolvidos

TAREFAS DURANTE O DESASTRE

Avaliar a situação posicionando aos Executivos da Empresa

para decisão sobre ativação do Plano.

Coordenar a ativação do Plano.

Ativar local do Centro de Operações Alternativo.

Coordenar as atividades do Plano e das demais equipes.

Estabelecer diretrizes para situações não previstas.

Acionar as pessoas-chave para recuperação do ambiente

operacional.

Acionar as providências para recuperação do ambiente

operacional.

Emitir relatório situacional aos Executivos da Empresa.

Realizar reuniões periódicas com os coordenadores das

demais equipes de forma a manter integrado o grupo de

recuperação de desastres e manter atualizado o Plano.

TAREFAS PÓS-DESASTRE

Coordenar as atividades de retorno à normalidade.

o 02 EQUIPE DE SALVAMENTO E RESCALDO

MISSÃO:

Combater o sinistro.

Prestar os primeiros socorros.

Salvar o que puder ser salvo.

Avaliar a extensão dos danos às instalações, equipamentos e

recursos humanos.

Prover a EQUIPE EXECUTIVA de informações.


Manter documentação, fora da instalação, de plantas,

desenhos e especificações da mesma. (hidráulicas, elétricas,

ar, etc..).

Manter relação de todos os hardwares existentes na

instalação.


Executar os procedimentos de emergência (evacuação dos

ambientes, desligamento de equipamentos e quadros, etc.)

Combate do sinistro e prestação dos primeiros socorros às

vitimas encaminhando-as ao atendimento especializado

Estabelecer a segurança na instalação que sofreu o desastre.

Emitir RELATÓRIO DE OCORRÊNCIAS completo à

EQUIPE EXECUTIVA.

Efetuar a limpeza do ambiente e descartar o entulho.

Identificar hardware e materiais a serem salvos.

Fornecer suporte logístico para a mudança do equipamento

salvo para a nova instalação.

Manter informadas as equipes de COMUNICAÇÕES e

HARDWARE sobre o andamento dos trabalhos.

Emitir RELATÓRIO DE PROVIDÊNCIAS.


Executar os procedimentos necessários à recuperação das

instalações físicas.

03 EQUIPE DE LOGÍSTICA (Apoio Administrativo / Instalações Físicas)

MISSÃO:

Assegurar a disponibilidade de recursos necessários, de

serviços administrativos e de comunicações para as demais

equipes, imediatamente após a ocorrência do desastre e da

decisão de ativar o Plano.

Assegurar que as instalações onde será recuperado, em

definitivo, o Centro de Processamento (incluindo as áreas

administrativas) estejam prontas para receber pessoas e

equipamentos quando necessário.


Manter atualizados os meios de comunicação dos envolvidos

no Plano (números de telefone, fax, bips etc.).

Manter lista de facilidades (fornecedores, contatos de

emergência, usuários, etc.).

Manter atualizada a relação de todos os hardwares existentes

na instalação.

Manter atualizada a relação de todos os softwares disponíveis

na instalação, identificando sua utilização.

Manter lista de suprimentos necessários em caso de desastre.

Garantir que qualquer suprimento que demore mais de 24

horas para ser obtido tenha um estoque guardado fora da

instalação.

Manter procedimentos para prover recursos necessários

(Transportes, alojamento, compras, etc.).

Interagir com as Seguradoras ou com a Área responsável pelo

seguro dos equipamentos e da instalação.

Colaborar com a Equipe Executiva nas providencias para

reconstrução do Centro de Processamento.


Coordenar com a Equipe de Salvamento a mudança de

equipamentos resgatados para uma instalação provisória para

guarda.

Supervisionar os serviços de eletricidade, telefonia,

cabeamento lógico, instalação física de hardware e

mobiliários da Instalação Alternativa, efetuando os ajustes

necessários ao início do processamento dos sistemas críticos

Fornecer meios de transporte às pessoas, equipamentos e

materiais.

Fornecer alojamento, alimentação e suprimentos básicos aos

empregados e contratados.

Providenciar recursos humanos temporários, quando

necessário.

Prover meios alternativos para comunicações pessoais. (bips,

telefone celular etc.)

Emitir relatório de OCORRÊNCIA DE SINISTRO ao setor

competente para início do processo de indenização.

Manter Equipe Executiva informada.


Prestar todo apoio administrativo e técnico necessário à

restauração do CPD e no retorno do processamento à

normalidade.

04 EQUIPE DE HARDWARE / SOFTWARE

MISSÃO:

Identificar o hardware mínimo necessário para processamento

dos sistemas muito críticos e críticos.

Garantir a disponibilidade do software básico e de apoio

necessários à operacionalidade.


Fornecer à Equipe de Logística os dados necessários para

manter atualizada a relação de hardwares / softwares.

Pesquisar um Centro de Processamento de Dados alternativo

com características necessárias à contingência.

Definir configuração similar na impossibilidade de se obter

uma igual à existente na ocasião do desastre.

Contatar principais fornecedores envolvendo-os no Plano no

que se refere ao fornecimento de materiais e prestação de

serviços emergenciais.

Criar e manter atualizado um sistema operacional para o

equipamento alternativo, se for o caso.

Identificar o software a ser disponibilizado no site-backup.

Manter esquema de copias de contingência para todos os

softwares que farão parte do Plano de Desastre.

Assegurar que todos os softwares rodem no ambiente

alternativo.

Manter conjunto de manuais essenciais atualizados e

guardados a salvo.


Ativar o site-backup junto com a Equipe de Salvamento

tornando-o operacional.

Ativar o sistema operacional e os softwares de contingência

na instalação alternativa.



Requisitar manutenção / substituição de equipamentos

danificados.

Providenciar a reinstalação dos equipamentos na instalação

danificada ou em novo local.

Trabalhar junto com a Equipe de Salvamento e Logística na

movimentação e na instalação dos equipamentos salvos e dos

novos.

Coordenar com a Equipe de Desenvolvimento as mudanças

não planejadas necessárias para acomodar o novo hardware /

software.

Dar suporte e resolver situações imprevistas relacionadas aos

hardwares / softwares.

05 EQUIPE DE COMUNICAÇÕES

MISSÃO:

Garantir que os equipamentos de comunicações e as linhas

telefônicas estejam prontos.


Manter atualizada a relação de todas as linhas de

comunicação, softwares de comunicação, hardware

necessário e periféricos da instalação.

Manter documentação da configuração atual, incluindo

caminhos, velocidades, protocolos (topologia da rede).

Saber a importância das aplicações criticas na Rede de TP.

Manter relação de principais fornecedores de linhas, links de

satélites, telefones celulares, etc.

Viabilizar rotas alternativas para as linha de comunicação do

CPD e testa-las. (Pré-requisito: definição do site-backup)

Traçar planos junto à Cia de Telecomunicação para estar apto

a estabelecer a comunicação de dados. (Pré-requisito:

definição do site-backup)

Requisitar linhas de comunicações e equipamentos

necessários.

Providenciar a instalação de linhas de comunicação para o

local onde se processara a contingência.

Manter o conjunto de manuais necessários a salvo mas

acessível em caso de desastre.


Ativar a configuração alternativa de telecomunicação.

Auxiliar a Equipe de Logística em mudanças nos

procedimentos relacionados a teleprocessamento.

Ativar serviços de teleprocessamento.

Manter a Equipe Executiva informada.


Restaurar os serviços de telefonia.

Restabelecer a comunicação de dados.

06 EQUIPE DE PLANEJAMENTO / PRODUÇÃO

MISSÃO:

Assegurar que o processamento dos sistemas críticos possam

ser retomados tão logo os dados, os equipamentos e as

comunicações necessárias estejam disponíveis.


Desenvolver as rotinas destinadas aos serviços críticos.

Garantir que os backups armazenados fora da instalação

estejam seguros e possam ser facilmente recuperados pelas

pessoas autorizadas.

Definir e manter os procedimentos de recuperação das

aplicações e dos dados críticos.

Prover todo o material de backup, inclusive documentação,

conforme definido no procedimento de recuperação cada

aplicação.

Analisar e definir alternativas para o processamento das

funções criticas.

Manter atualizadas e em lugar seguro copias da

documentação dos sistemas aplicativos.

Prever e desenvolver rotinas para atender a todas as condições

de retorno à normalidade.


Preparar o ambiente de produção.

Processar os sistemas críticos de acordo com os

procedimentos e rotinas previamente estabelecidos.

Efetuar comunicação com o usuários informando-os sobre a

situação de suas aplicações.



Executar os procedimentos de recuperação das aplicações

criticas, recuperando-as de forma coordenada.

Operar as rotinas necessárias para restaurar os arquivos para o

retorno à normalidade.

Efetuar comunicação com o usuários informando-os sobre a

situação de suas aplicações.

07 EQUIPE DE DESENVOLVIMENTO

MISSÃO:

Apoiar as demais equipes para que todas as aplicações

consideradas criticas sejam recuperadas dentro do prazo

estabelecido, sem perda de dados / informações e de acordo

com suas especificações.


Identificar aplicações e sistemas críticos para os negócios.

Informar aos demais envolvidos no Plano quanto às

atualizações sofridas pelos sistemas quanto à sua criticidade.

Manter um canal de comunicação permanentemente aberto

com os gestores, de forma a estar sempre informado de quais

são os dados e as aplicações criticas.


Manter os usuários informados sobre a situação de suas

aplicações.


Dar apoio ao grupo do CPD nas rotinas de retorno à

normalidade.

08 EQUIPE DE SEGURANÇA

MISSÃO:

Participar da criação do Plano, determinando políticas de

segurança e garantindo que um nível mínimo de segurança

seja observado durante o processo, visando manter os níveis

de serviços pactuados com os usuários.


Definir diretrizes / critérios para segurança física e para

acesso lógico

Definir critérios para transporte de material classificado como

de alto risco (fitas backup do sistema e dos dados

Participar dos testes do Plano de Desastre.

Manter um canal de comunicação com o site-backup,

mantendo o nível de compatibilidade entre os dois ambientes.


Participar da avaliação da situação do desastre.

Acompanhar a execução dos procedimentos de segurança

para situações de desastre.

Manter a Equipe Executiva informada.


Acompanhar a volta à normalidade

Garantir que não sejam deixados no site-backup, após o

retorno à normalidade, nenhum resíduo de informações /

dados manipulados durante a contingência

Conclusão

A aplicação dos conceitos de contingência e redundância oferece maior segurança e

confiabilidade para os sistemas computacionais através das soluções para a proteção das

informações e aplicativos, equipamentos, espaço físico e demais funções críticas.

A redundância é um fator que pode contribuir para a disponibilidade de um sistema

computacional. Entretanto, apenas a redundância é insuficiente, visto que um sistema

pode apresentar diferentes vulnerabilidades. Um sistema de alta disponibilidade, por

exemplo, requer que cada sistema backup ofereça funcionalidades equivalentes, porém

com implementação diferenciada. Esta variação afasta tentativas de comprometer tanto

o sistema primário quanto o sistema de backup a partir de uma única estratégia de

atendimento.

Já um plano de contingência requer procedimentos inteligíveis e objetivos, simulações

de possíveis ocorrências futuras e soluções simples, imaginando situações possíveis,

mesmo que pouco prováveis. Induz a elaboração de procedimentos operacionais diretos

que permitam, em uma ocorrência indesejada, tomarem-se ações que reparem ou

minimizem os efeitos da falha. As idéias são tratadas e as hipóteses classificadas

segundo a chance, o custo e a segurança envolvida.

Embora redundância e planos de contingência sobrecarreguem o funcionamento e o

gerenciamento de uma rede, ambos são necessários para evitar problemas futuros. A

decisão sobre o grau de redundância ou contingência que se deve adotar pode ser

balizada por vários fatores, entre eles: ambiente de funcionamento da rede, protocolos e

sistemas utilizados e importância da rede para o negócio da empresa.

Apostila - Plano de Contigência

Documents

Transcript of Apostila - Plano de Contigência