Administração e gerência
de redes
Aula 09
Plano de contingência
Prof. Diovani Milhorim
Características de Eventos no Brasil
Abaixo de
Pesquisa publicada
na Computerworld
de 19/11/2003
Padronizando Conceitos
Evento: Fato de origem voluntária ou não que apresenta risco
de dano. Também denominado “Fator de Risco”
Fonte: Disaster Recovery Journal
Padronizando Conceitos
Risco: é a medida para um fator de incerteza
Avaliação: considera a pior
situação, no pior momento, no
cenário mais pessimista
Cenário: consistente com a
realidade da Organização
Controle: deveria ser proativo,
preditivo e corretivo
Padronizando Conceitos
Dano: Conseqüência nociva acarretada por um Evento.
Impacto de resultado prejudicial. Justifica a Contingência.
Causas
Percentual
Falha Humana
50 a 80 %
Greves
10 a 17 %
Forças da
Natureza
10 a 15 %
Sabotagem
3a4%
Alagamento
2a3%
Estranhos à
Organização
1a3%
Causas de Danos a Sistemas de
Informação
Fonte: Adaptado de Forcht, K.A., Computer
Security Management, p. 66
Padronizando Conceitos
BIA (Business Impact Analysis): é a Análise de Impacto nos
Negócios, acarretada pela indisponibilidade de um Processo
(atividade) ou Componente (recurso por ele utilizado)





Oferece uma métrica para a criticidade
Avalia igualmente Processos ou Componentes
Apresenta variáveis de custos tangíveis, custos
intangíveis e períodos de tempo
Identifica recursos mínimos necessários
Seu resultado evidencia a importância das
variáveis em função de perdas e prazos de
tolerância à interrupções
Padronizando Conceitos
Disaster Recovery Plan (DRP): Plano de Recuperação de
Desastres. É a documentação das atividades necessárias para
restauração ou substituição dos recursos (Componentes)
utilizados pelos Processos de Negócios





Indica responsabilidades
Orienta funções
Define locais
Indica o RTO (Recovery Time Objectives) – Objetivos de
Prazos para Recuperação
Indica o RPO (Recovery Point Objective) – Objetivos de
Pontos de Recuperação
Como Funciona ?
Um Plano de Recuperação de Desastres
(PRD) visa a reposição/restauração de um
dos Componentes que suportam os PNs
(p.e: a troca de um Servidor de Rede).
Padronizando Conceitos
Operational Contingency Plan (OCP): Plano de Contingência
Operacional. Documenta procedimentos e atividades
alternativas para serviços de TI ou Processos de Negócios





Monitora e controla Fatores de Risco
Indica responsabilidades e/ou substitutos
Indica onde será realizado
Indica como será executado
É orientado pelos resultados obtidos pelo BIA,
especialmente no que tange às variáveis de tempo e
custos
Como Funciona ?
O Plano de Contingência (PCO)
permite a execução do PN, mesmo
que um Componente encontre-se
indisponível (p.e.: como trabalhar
sem telefonia ?).
Padronizando Conceitos
Business Continuity Plan (BCP): Plano de Continuidade de
Negócios. É o conjunto de procedimentos documentados pelo
PRD e pelo PCO, monitorado por um Plano de Gerenciamento
de Crises (PRD) que facilita sua gestão e atualização.





Orienta resposta aos Impactos mais prováveis
Considera os principais (críticos) processos da
organização
Consolida responsabilidades, locais e prazos
Indica parâmetros de RTO e RPO, evidenciados pelo
BIA
Evidencia elementos para auditoria e atendimento de
requistos legais ou normativos
Como Funciona ?
PGC
Um PCN traça um plano aonde o PCO e
o PRD são executados simultaneamente,
garantindo a continuidade do PN e a
reposição/restauração do Componente
paralelamente
O quê é um PCN ?

Metodologia que desenvolve estratégias 1
alternativas
para execução de processos ou
2
sistemas , minimizando os possíveis impactos
acarretados pela sua interrupção, imposta por
qualquer tipo de evento e que pode acarretar
algum tipo de perda, financeira ou não.
1: PCN com foco para Continuidade dos Negócios
2: PCN com foco em Componentes de Tecnologia de Informação
Riscos x Impactos

Fatores de Risco são aleatórios e
imprevisíveis, comparando-se ao efeito de
uma onda, cuja intensidade e dano estarão
vinculados ao cenário de ocorrência quando
se concretiza
Riscos x Impactos

Impactos são previsíveis, de acordo com o
conhecimento do ambiente onde se
manifestam e vinculados aos Eventos que se
concretizaram, podendo ser contidos através
de medidas de mitigação, independente do
cenário
Como Definir nosso Risco ?
Risco = ƒ Σ Vulnerabilidades
Σ Impactos
Como Definir nosso Risco ?
Risco = ƒ Link+Pessoas+HW+Telefonia+ ?
Parada de Processos ou Serviços
Como Definir nossa
Estratégia ?
Disponibilidade = ƒ
Σ Tolerância à Parada
Σ Tempo de Recuperação
Como Definir nossa
Estratégia ?
Disponibilidade = ƒ
2 horas
6 horas
Como Funciona ?
Tolerância à
Paradas
Tempo para
Recuperação
Índice de
Disponibilidade
12 horas
1 hora
12
6 horas
3 horas
2
4 horas
4 horas
1
1 hora
12 horas
0.083
Como Funciona ?
Tolerância à
Paradas
Índice de
Disponibilidade
Custo de Parada
12 horas
12
R$ 500,00
6 horas
2
R$ 5.000,00
4 horas
1
R$ 10.000,00
1 hora
0.083
R$ 10,00
Padrão de Segurança





BS 7799:2002 - Reino Unido
NBR ISO/IEC 17799:2000 Brasil/Internacional
Definem um conjunto de boas práticas
de gestão da segurança
Servem de base às políticas de
segurança
Seus controles permitem a auditoria de
segurança de informações
SOX – Act 2002
NÃO possui requisitos de Segurança, MAS exige:







Empresas possuam uma Política de Segurança abrangente
Empresas definam sua classificação de segurança de Dados
Empresas identifiquem seus Riscos e respectivos Impactos nos
Negócios
Empresas possuam procedimentos e padrões formais de
Segurança
Empresas possuam documentos que formalizem suas bases de
segurança, auditoria e testes atualizados
Empresas possuam uma definição clara de reponsabilidades
Empresas possuam políticas e procedimentos definidos para o
Gerenciamento de Mudanças, Suporte, Requisitos de Serviços,
bem como para mudanças de Aplicativos, Políticas e
Procedimentos
Normas + Circulares (BR)






Baseadas em Referências já consolidadas
(ITIL/COBIT/ISO/BS) ou Regulatórias
(SarbOx)
Exigem transparência
Exigem mapeamento de riscos
Exigem disponibilidade
Visão de Segurança
Exigem integridade
Exigem confidencialidade
PCN





Atende BS 7799, ISO 17799, CobiT, ITIL, MOF, BACEN,
SUSEP
Não faz parte do SOX. Mas o resultado do BIA atende a
vários itens da Seção 404
Deve garantir a continuidade dos negócios (com base
na operação de TI) em caso de incidentes ou mesmo
desastres totais
Será usado em caso de problemas – deve ser simples,
fácil de entender e deve estar disponível às pessoas
certas na hora certa
É um compromisso entre o nível de garantia de
continuidade e uso de recursos (pessoas,
equipamentos, serviços)
Tendências a Serem Consideradas




Crescimento de mercados (exigindo
aumento na dependência de TI)
Aumento na utilização de redes
Ampliação das bandas
Processamento e conectividade
transformando-se em commodities (no
prazo de 5 anos)
Tendências a Serem Consideradas




Redução de CPD próprios
Centralização de CPDs
(terceirizados)
A gestão de TI tornar-se cada vez
mais a gestão de Serviços
O maior obstáculo para a
“comoditização” do
processamento de informação
não é tecnológico. É cultural
Tendências a Serem Consideradas





Continuidade como exigência legal
Alta disponibilidade como requisito de
negócio
Continuidade agregando valor ao
produto/serviço
Responsabilização pessoal dos aspectos
legais das empresas
Terceirização dos serviços de TI
(Virtualização)