brasil
 sites mundiais
produtos
compras symantec
serviço e suporte
security response
downloads
sobre a symantec
pesquisa
comentarios


© 1995-2005 Symantec Corporation.
Todos os direitos reservados.
Notas Legais
Política de Privacidade
soluções corporativas

Guia para o Planejamento de Contingência
30 de julho de 2002ID do Artigo: 573
Introdução
Benefícios de um Plano Contingente de Segurança
Fases Principais do Plano de Contingência
Especificações do Plano de Ação
Criação de uma Equipe e um Documento para Respostas a Incidentes
Medidas de Segurança
Planeje
Artigos Relacionados

Apesar do Bug do Milênio ter sido mais uma expectativa do que uma realidade, a preocupação com os desastres tecnológicos do Y2K aumentaram a conscientização sobre a importância do planejamento contingente. Porém, desastres podem ocorrer a qualquer momento, tornando o planejamento contingente uma parte essencial de uma estratégia de segurança efetiva da TI.

Benefícios de um Plano de Contingência de Segurança
As vantagens da criação e uso de um plano de contingência são muito variadas:

  • Redução do custo de danos, caso um desastre ocorra
  • Prêmios de seguro normalmente mais baixos
  • Melhora na comunicação e relacionamento entre departamentos
  • Aumento na conscientização entre os funcionários da importância da segurança e do valor do patrimônio que está sendo protegido

Fases Principais do Plano de Contingência
As pessoas envolvidas no desenvolvimento de um plano de contingência devem ser bons ouvintes e comunicadores. Apesar de haverem várias fases para o desenvolvimento, a manutenção de um bom plano resultará na repetição contínua dessas fases e na revisão e teste do plano.

  1. Determinação de um objetivo. O ponto inicial para o desenvolvimento de um plano de contingência é a determinação de um objetivo claro. Funcionários da TI e de nível sênior devem identificar seus objetivos operacionais, no caso de uma emergência de segurança. Por exemplo, o objetivo é proteger certos dados e patrimônios? É manter as operações comerciais? Manter um atendimento de alta qualidade ao cliente? O objetivo ajudará o departamento de TI a traçar seu plano de ação estratégico e a determinar os recursos que devem ser protegidos primeiro.
  2. Condução de um inventário abrangente. Faça um registro das principais ferramentas de TI, recursos e tarefas necessárias para conduzir negócios e executar as funções principais, relacionadas na lista de objetivo do plano contingente. O inventário deve incluir recursos auxiliares como fornecimento de energia e recursos de backup existentes.
  3. Análise de riscos. Avaliação dos danos financeiros, técnicos, legais e operacionais que podem ocorrer como resultado de uma quebra da segurança. Os riscos devem incluir os danos potenciais para clientes e negócios. Além disso, deve-se analisar também as ameaças de segurança específicas e os danos que podem infringir em vários outros departamentos e operações. Um software de gerenciamento de riscos pode ajudar o departamento de TI a avaliar o impacto de uma ameaça de segurança específica no núcleo de uma empresa.
  4. Desenvolvimento de um plano de ação. Analise as várias possíveis situações ("E se...") envolvendo diferentes ameaças de segurança e os possíveis efeitos nas operações. Para cada situação de redução de riscos, considere as pessoas envolvidas, suas responsabilidades, considerações orçamentais, etc.
  5. Planejamento para "Plano B". Mesmo o melhor plano contingente encontra problemas. Tente antecipar esses problemas e desenvolver soluções alternativas.
  6. Planejamento das comunicações e compras. Os melhores planos só são efetivos se os funcionários valorizarem sua importância e entenderem suas mensagens e processos. Vários departamentos, incluindo RH, jurídico e financeiro, devem revisar e responder aos planos contingentes de segurança em cada estágio do seu desenvolvimento.

Especificações do Plano de Ação
Os planos de contingência variarão de acordo com o tipo específico de quebra de segurança, por exemplo, um ataque de vírus pode afetar as operações da empresa de forma diferente de um ataque de negação de serviços. Devido à variedade de ameaças de segurança, os planos contingentes devem ser adaptáveis. Porém, todos os planos devem prever o seguinte:

  • Perda de dados. É quase inevitável que em algum momento, uma queda de energia, vírus, hackers ou outras forças danifiquem os dados cruciais de uma empresa ou os tornem inacessíveis. Prepare-se para isso, fazendo backups dos dados do sistema e da rede. Para garantir que backups sejam executados regularmente, desenvolva uma política de segurança, que estabeleça claramente:
    • O tipo de mídia de backup que a TI usará
    • Quem executará os backups
    • Qual a freqüência que devem ser executados
    • A ativação ou desativação dos locais de armazenamento dos dados incluídos no backup
    Serviços de backup on-line vêm crescendo em popularidade. Porém, a TI deve investigar cuidadosamente os recursos de segurança da empresa de armazenamento e a confiabilidade do servidor.

  • Backups de hardware. Empresas que possuem seu próprio servidor podem preferir servidores com "hot" backup prontos para uso, caso o servidor principal seja desativado. Se o atendimento ao cliente for uma prioridade para a empresa, os servidores para backup farão mais sentido. Empresas com diferentes objetivos e preocupações podem desejar realocar fundos para hardware de backup, para que possa proteger outras prioridades operacionais.
  • Backup do fornecimento de energia. Uma queda de energia pode danificar dados e afetar a habilidade da empresa de fornecer serviços. Um fornecimento de energia ininterrupto ou UPS (uninterrupted power supply) é um componente indispensável para qualquer plano contingente. Alguns modelos de UPS podem fornecer proteção contra picos de energia e alta voltagem, além de recursos para calcular automaticamente a sua demanda de energia para a TI. Os custos de UPS variam de acordo com o tempo de execução do modelo ou do tempo de fornecimento disponível.
  • Provedores de serviços e parceiros comerciais. A segurança deve ser uma das considerações principais para qualquer provedor de serviços ou contratos de parceiros comerciais, quando as partes envolvidas fizerem parte de uma VPN ou de uma cadeia de fornecimento em rede. A TI deve estipular que todos os parceiros tenham os mesmos recursos de segurança. Garantias de segurança devem ser um componente das negociações contratuais. Como parte de um plano contingente, o departamento de TI deve avaliar as formas como a rede se torna vulnerável pelas quebras de segurança em uma rede do parceiro.
  • Recursos da TI. No caso de uma quebra de segurança, a TI pode precisar de funcionários extras. Estabeleça relação com uma agência de empregos temporários antes que uma emergência ocorra. A TI deve também identificar consultores especializados cuja experiência pode ser útil. Pode fazer sentido também, negociar contratos com fornecedores para ajuda, antes de qualquer crise de segurança.
  • Imprensa. A TI deve trabalhar em conjunto com o departamento de Relações Públicas para desenvolver uma estratégia de respostas para quebras de segurança. O quanto deve ser revelado e quem deve comunicar essas informações são pontos que devem ser detalhados em um planos de contingência. Os planos devem também calcular permissões no orçamento para custos adicionais de Relações Públcias. Considere estabelecer uma relação com uma agência, que tenha experiência na comunicação de informações relacionadas à tecnologia.
  • Aprovação de fundos. Situações de emergência requerem despesas fora do orçamento estabelecido. Aqueles responsáveis pela criação de um planos de contingência devem examinar a Incorporação de Artigos e estatutos da empresa, para determinar quem declara uma situação de emergência e quem possui a autoridade de alocar fundos para uma emergência. Em situações de emergência, um processo para acelerar a alocação de fundos deve ser estabelecido para evitar processos demorados de solicitação e aprovação.

Criação de uma Equipe e um Documento para Respostas a Incidentes
O documento de reposta a incidentes determina as "regras de lei" sob procedimentos de emergência. Ele aborda considerações como:

  • Quem é subordinado a quem?
  • Quem é responsável por quais funções?
  • Sob quais circunstâncias um serviço de e-mail ou um servidor da Internet deve ser desativado?
  • Quais são os procedimentos de comunicação e alertas de emergência?

Uma equipe de respostas a incidentes executa várias das etapas de ação, descritas no documento de resposta a incidentes. Essa equipe possui funções pré atribuídas. No evento de uma quebra de segurança, os membros da equipe devem estar familiarizados com suas responsabilidades. Considerações chaves no desenvolvimento de uma equipe de respostas a incidentes devem incluir:

  • Os membros de vários departamentos são representados?
  • Em que circunstâncias os membros da equipe devem entrar em ação?
  • Qual é o comando para desencadear as ações?
  • Quanta autonomia para decisões será creditada aos membros da equipe?

Medidas de Segurança
Os planos contingentes não são puramente estratégicos. Apesar dos planos abordarem praticamente só situações hipotéticas, eles também exigem que o departamento de TI tome certas medidas em tempo real.

  • Seguro. No caso de uma quebra de segurança, o seguro pode ajudar a cobrir os custos resultantes da perda de dados, interrupção de negócios, despesas com Relações Públicas, processos judiciais contra a empresa devido à negligência com a segurança, etc. Os prêmios variarão de acordo com o porte e a natureza dos negócios on-line da empresa. As seguradoras quase sempre conduzem auditorias de segurança, antes de conceder cobertura de seguro às empresas. Planos de contingência freqüentemente ajudam a diminuir os custos do prêmio.
  • Aplicações de segurança. Antivírus, detecção de intrusão e software de filtragem de e-mail e conteúdo da Internet podem ajudar a proteger a rede contra uma variedade de ameaças de segurança, incluindo:
    • Ataques de hackers
    • Ataques de vírus
    • Ataques de negação de serviços
    • Intrusão através de código móvel malicioso
    • Vazamento de informações confidenciais
    • Conteúdo de sites da Web e e-mails difamadores

Planeje
As fases de implementação e análise de um planos de contingência devem suportar os objetivos do plano. Devido à variada natureza das quebras de segurança, os planos contingentes podem ter que se adaptar a diferentes situações, portanto o departamento de TI deve fazer planejamentos para certas constantes: fornecimento de energia, backups de dados, recursos adicionais de TI, etc. Os custos do desenvolvimento e implementação de um planos de contingência abrangente podem ser significativos, porém os custos resultantes do tempo de desativação dos negócios e dos danos à reputação da empresa devido às quebras de segurança são sempre mais altos.

Artigos Relacionados:
"Plan to Save - The Importance of Proper Security Planning" (inglês)
"The New Definition of 'Network Security'" (inglês)
assine
Outros Artigos de Segurança
Centro de Imprensa
 
 
Licencias Parcerias da Symantec Channel Partners Home