1

UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL

INSTITUTO DE INFORMTICA
CURSO DE ESPECIALIZAO EM TECNOLOGIAS, GERNCIA E
SEGURANA DE REDES DE COMPUTADORES






JORGE HOSNI PEREIRA DE PEREIRA JUNIOR




Plano de continuidade de negcios aplicado
segurana da informao






Trabalho de Concluso apresentado como
requisito parcial para a obteno do grau de
Especialista


Prof. MSc. Henrique Jorge Brodbeck
Orientador


Prof. Dr. Srgio Luis Cechin
Prof. Dr. Luciano Paschoal Gaspary
Coordenadores do Curso




Porto Alegre, novembro de 2008.


2



































UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL
Reitor: Prof. Carlos Alexandre Netto
Vice-Reitor: Prof. Rui Vicente Oppermann
Pr-Reitor de Ps-Graduao: Prof. Aldo Bolten Lucion
Diretor do Instituto de Informtica: Prof. Flvio Rech Wagner
Coordenadores do Curso: Profs. Srgio Luis Cechin e Luciano Paschoal Gaspary
Bibliotecria-Chefe do Instituto de Informtica: Beatriz Regina Bastos Haro


3
AGRADECIMENTOS




















A minha esposa Vivian Lago
Ao meu tio Valdir Kolosque
Aos meus pais Jorge Hosni e Maria Ivone




4
SUMRIO
LISTA DE ABREVIATURAS E SIGLAS............................................................ 6
LISTA DE FIGURAS.......................................................................................... 8
LISTA DE TABELAS ......................................................................................... 9
RESUMO.......................................................................................................... 10
ABSTRACT...................................................................................................... 11
1 INTRODUO............................................................................................ 12
2 PLANO DE CONTINUIDADE DE NGOCIOS........................................... 13
2.1 Risco, incidente e problema ................................................................................ 13
2.2 Gesto de riscos.................................................................................................... 14
2.2.1 Comunicao do risco......................................................................................... 15
2.2.2 Definio do contexto......................................................................................... 15
2.2.3 Identificao de riscos ........................................................................................ 15
2.2.4 Estimativa de riscos ............................................................................................ 16
2.2.5 Avaliao de riscos ............................................................................................. 16
2.2.6 Tratamento de riscos........................................................................................... 16
2.2.7 Aceitao de riscos ............................................................................................. 16
2.2.8 Monitoramento e anlise crtica dos riscos......................................................... 17
2.3 Normas e melhores prticas em tecnologia da informao.............................. 17
2.3.1 BS 25999-1 ......................................................................................................... 17
2.3.2 COBIT ................................................................................................................ 19
2.3.3 ITIL..................................................................................................................... 21
2.3.4 ABNT NBR ISO/IEC 27002 .............................................................................. 23
2.3.5 ABNT NBR ISO/IEC 27005 .............................................................................. 25
2.4 Modelo de maturidade......................................................................................... 25
2.5 Gesto da continuidade de negcios................................................................... 26
2.6 Estrutura de um plano de continuidade de negcios........................................ 27
2.6.1 Definio do escopo e do cenrio ....................................................................... 27
2.6.2 Avaliao de ameaas e riscos............................................................................ 28
2.6.3 Anlise de impacto no negcio........................................................................... 28
2.6.4 Identificao de solues .................................................................................... 28
2.6.5 Elaborao do plano de continuidade de negcios ............................................. 28
2.6.6 Plano de teste e de manuteno .......................................................................... 29


5

2.7 Componentes de um plano de continuidade de negcios ................................. 29
2.7.1 Plano de administrao/gerenciamento de crise ................................................. 30
2.7.2 Plano de continuidade/resposta empresarial ....................................................... 30
2.7.3 Plano de recuperao de desastre........................................................................ 30
3 SEGURANA DA INFORMAO............................................................. 32
3.1 Ameaas ................................................................................................................ 32
3.1.1 Usurio................................................................................................................ 34
3.1.2 Intrusos................................................................................................................ 34
3.1.3 Spam e Engenharia Social................................................................................... 35
3.1.4 Ataques fsicos.................................................................................................... 36
3.1.5 Malwares ............................................................................................................ 36
3.1.6 Ataques de negao de servio (DoS e DDoS)................................................... 38
3.1.7 Packet Sniffing .................................................................................................... 38
3.1.8 Port Scanning e Scanning de vulnerabilidades................................................... 39
3.2 Defesas................................................................................................................... 39
3.2.1 Educar o usurio ................................................................................................. 39
3.2.2 Autenticao ....................................................................................................... 40
3.2.3 Firewall............................................................................................................... 40
3.2.4 Deteco e preveno de intruso....................................................................... 41
3.2.5 Criptografia......................................................................................................... 43
4 CHECKLIST DE UM PLANO DE CONTINUIDADE DE NEGCIOS......... 45
5 CONCLUSO............................................................................................. 58
REFERNCIAS................................................................................................ 59


6
LISTA DE ABREVIATURAS E SIGLAS
ABNT Associao Brasileira de Normas Tcnicas
BS British Standard
CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana
no Brasil
CGI Comit Gestor da Internet
CobiT Control Objectives for Information and related Technology
COE Centro de Operacional de Emergncia
CPD Centro de Processamento de Dados
CVSS Common Vulnerability Scoring System
DDoS Distribuited Denial of Service
DMZ DeMilitarized Zone
DoS Denial of Service
GCN Gesto de Continuidade de Negcios
HIDS Host-Based Intrusion Detection System
HIPS Host-Based Intrusion Prevention System
ICMP Internet Control Message Protocol
IDS Intrusion Detection System
IEC International Electrotechnical Commision
IP Internet Protocol
IRC Internet Relay Chat
ISACA Information Systems Audit and Control Association
ISO International Organization for Standardization
ITIL Information Technology Infrastructure Library
KIDS Kernel Intrusion Detection System
LIDS Linux Intrusion Detection System
NBR Normas Brasileiras
NIC.br Ncleo de Informao e Coordenao do Ponto br


7

NIDS Network-Based Intrusion Detection System
NIPS Network Intrusion Prevention System
NIST National Institute of Standards and Technology
OGC Office of Government Commerce
OTP One-Time Password
PCN Plano de Continuidade de Negcios
PDCA Plan-Do-Check-Act
PIN Personal Identification Number
SEI Sotfware Engineering Institute
SGSI Sistema de Gesto da Segurana da Informao
SLA Service Level Agreement
SW-CMM Capability Maturity Model for Software
TCP Transmission Control Protocol
TI Tecnologia da Informao
UCE Unsolicited Commercial E-mail
USENET Unix User Network



8
LISTA DE FIGURAS
Figura 2.1: Viso geral do processo de gesto de riscos segundo a norma ISO 27005.. 15
Figura 2.2: Ciclo de vida da gesto da continuidade de negcios. ................................. 18
Figura 2.3: Viso geral dos 34 processos e os 4 domnios do CobiT. ............................ 20
Figura 2.4: Viso geral da biblioteca de melhores prticas ITIL v2............................... 22
Figura 2.5: Viso geral do ciclo de vida da biblioteca de melhores prticas ITIL v3. ... 23
Figura 2.6: Grfico representando o modelo de maturidade. ......................................... 26
Figura 3.1: Grfico dos incidentes reportados ao CERT.br Julho a Setembro de 2008.
........................................................................................................................................ 33
Figura 3.2: Grfico dos incidentes de scans por porta reportados ao CERT.br.............. 39


9
LISTA DE TABELAS
Tabela 2.1: Pontos mais crticos para o negcio............................................................. 27
Tabela 3.1: Totais mensais e trimestral - Classificados por tipo de ataque. ................... 33


10
RESUMO
Antigamente o ambiente computacional era pequeno e controlado, tornando a
informao mais segura. Atualmente, esse ambiente complexo e a informao tornou-
se o ativo mais importante para a sobrevivncia e o sucesso de uma organizao.
Portanto, as organizaes precisam estar protegidas contra ameaas e vulnerabilidades e
as informaes precisam estar disponveis quando solicitadas. A preocupao com a
continuidade do negcio comeou a ser levada realmente a srio aps os eventos
ocorridos no dia 11 de setembro de 2001, levando a uma reformulao de normas e
procedimentos relacionados segurana da informao.
O presente trabalho tem o propsito de apresentar os conceitos, as fases e as
melhores prticas utilizadas na implementao de um plano de continuidade de
negcios aplicado segurana da informao. Inicialmente so definidos alguns
conceitos sobre gesto de risco e segurana da informao. A seguir, so apresentados o
modelo de processo de melhoria contnua, as etapas para realizao do gerenciamento
de riscos, as normas e as melhores prticas adotadas hoje para auxiliar a organizao no
mapeamento e tratamento dos seus processos de negcio.
As organizaes precisam estar protegidas contra atividades maliciosas que podem
tornar indisponveis os seus ativos de informao. Neste trabalho so apresentadas as
principais ameaas, tais como, spam, engenharia social e malwares, que podem afetar o
ambiente de tecnologia e comprometer a continuidade dos negcios. So apresentadas
ainda as defesas, como por exemplo, firewall, sistema de deteco de intruso e
criptografia, que devem ser implementados para garantir que a informao esteja
protegida e disponvel quando necessria.
Por fim foi proposto um checklist para identificar os riscos e a maturidade da
organizao quanto aos processos de segurana da informao e implementao de um
plano de continuidade de negcios focando a segurana da informao. O checklist foi
construdo baseado nos principais controles propostos na norma ABNT NBR ISO/IEC
27002 e BS 25999-1 e CobiT que so considerados padres internacionalmente
reconhecidos.





Palavras-Chave: gesto de risco, plano de continuidade de negcios, segurana da
informao.


11
Business Continuity Plan applied to information security
ABSTRACT
In the old days, the computer environment was small and controlled, making the
information more secure. Nowadays, this environment is complex and the information
has become the most important asset for the survival and success of an organization.
Therefore, the organizations need to be protected against threats and vulnerabilities as
well as the information needs to be available when needed. The preoccupation with the
business continuity plan started to be taken seriously after the events happened on
September 11th 2001, leading to a reformulation of rules and procedures related to
information security.
The current work has the aim of presenting the concepts, the phases and the best
practices used in the implementation of a business continuity plan applied to
information security. Firstly, some concepts about risk and information security are
defined. The model of continuous improvement process, the steps for the risk
management, the rules and the best practices adopted nowadays to help the organization
in the mapping and treatment of its business processing are also presented.
The organizations need to be protected against the malicious activities that can make
the information assets unavailable. In this work, the main threats such as spam, social
engineering and malwares, which can affect the technological environment and
compromise the business continuity, are presented. The defenses firewall, intrusion
detection system and cryptography are also discussed, once they must be implemented
to guarantee that the protection and the necessary availability of the information.
Lastly, it was proposed a checklist to identify the risks and the maturity of the
organization in relation to the information security processes and the implementation of
a business continuity plan focusing on the information security. The checklist was built
based on the main controls proposed in the rules ABNT NBR ISO/IEC 27002 and BS
25999-1 and CobiT, which are considered international standardized regulation.






Palavras-Chave: risk management, business continuity plan, information security


12
1 INTRODUO
Com a imensa quantidade de informao que circula pelas redes de computadores
sem restrio de tempo, distncia e velocidade e a comunidade atual exigindo e
consumindo cada vez mais informao. Surge a necessidade de que est informao seja
entregue de forma segura e eficiente, pois, o sucesso e a sobrevivncia de uma
organizao depende muito de como a informao controlada, armazenada e
manipulada.
No passado, os controles estavam basicamente no departamento financeiro, sendo
este o corao da organizao. Com o passar dos anos e com o surgimento da
computao, tornando a informao disponvel com mais facilidade, o departamento de
informtica passa a ser o centro da organizao, e a informao o seu bem mais
precioso.
Num mundo atualmente muito competitivo, com constantes e inesperadas mudanas,
as organizaes necessitam ter agilidade e flexibilidade para estar preparado para as
falhas decorrentes de mudanas constantes no ambiente computacional. Surge a
necessidade das organizaes criarem mecanismos que possam garantir a continuidade
dos negcios em momentos de crise. O gerenciamento apropriado do risco interno e
externo ajuda as organizaes a manter o ambiente de tecnologia da informao
alinhado com o planejamento estratgico definido pela direo da organizao.
O captulo 2, trs a definio do que risco, incidente e problema, descreve as
atividades que devem ser realizadas no gerenciamento de riscos, seguindo o modelo de
melhoria continua conhecido pela sigla PDCA. Alm de abordar as normas e melhores
prticas utilizadas em tecnologia da informao, tais como: ABNT NBR ISO/IEC
27002, BS 25999-1, ITIL e CobIT. Por fim analisada a gesto da continuidade de
negcios, a estrutura e os componentes que devem conter um plano de continuidade de
negcios.
No captulo 3, discutida a segurana da informao segundo os seus principais
atributos que so: disponibilidade, confidencialidade, integridade, entre outros. Tambm
so apresentadas as principais ameaas que as organizaes esto expostas e os
mecanismos e mtodos de defesa que devem ser aplicados para proteo ou mitigao
do risco no ambiente tecnolgico da organizao.
No captulo 4, apresentada uma proposta de checklist para identificar os riscos e
avaliar a maturidade de organizao no que se refere a elaborao e utilizao de um
plano de continuidade de negcios. Onde as questes foram formuladas com base nos
principais controles propostos nas normas ABNT NBR ISO/IEC 27002 e BS 25999-1.



13

2 PLANO DE CONTINUIDADE DE NGOCIOS
O plano de continuidade de negcios tem como principal objetivo possibilitar o
funcionamento da organizao em um nvel aceitvel nas situaes de contingncia
onde h indisponibilidade dos recursos de informao. A impossibilidade de realizar as
suas operaes traz srios impactos financeiros, operacionais e de imagem. O plano
deve ser elaborado aps a realizao de uma anlise de impacto no negcio e especificar
as ameaas e riscos identificados na organizao.
A direo e os demais interessados na organizao devem conhecer todas as partes e
fases do desenvolvimento do plano de continuidade de negcios e aprovar as ameaas e
os riscos que podem afetar os ativos de informao, mas que esto de fora do plano. O
plano deve ser elaborado inicialmente considerando as situaes de maior risco e maior
impacto e ir amadurecendo conforme a maturidade da organizao frente a proteo dos
seus ativos. O treinamento e a conscientizao de todos os colaboradores de grande
importncia, permitindo que a organizao gerencie os riscos, esteja preparada para os
momentos de contingncia e garanta a continuidade do negcio.
2.1 Risco, incidente e problema
Segundo ABNT ISO/IEC Guia 73:2005, risco a combinao da probabilidade de
um evento e de suas conseqncias. Sendo que o evento uma relao entre as
ameaas, vulnerabilidades e os possveis danos causados, ou seja, as conseqncias.
Probabilidade: o grau de possibilidade de que um evento ocorra.
Evento: a ocorrncia identificada de um sistema, servio ou rede que indica uma
possvel violao da segurana da informao, ou uma situao desconhecida, que passa
a ser relevante para a segurana dos ativos.
Ativo: qualquer coisa que tenha valor para a organizao.
Conseqncia: o resultado de um evento, podendo ser positivo ou negativo. Pode
haver mais de uma conseqncia de um evento.
Ameaas: uma causa potencial de um incidente indesejado resultar em um dano
para o sistema ou organizao (ABNT NBR ISO /IEC 27002, 2007).
Vulnerabilidades: so definidas como a fragilidade de um ativo ou grupo de ativos
que pode ser explorada por uma ou mais ameaas (ABNT NBR ISO /IEC 27002, 2007).
Incidente: qualquer evento que no faz parte da operao normal de um servio e
que pode causar, ou causa, uma interrupo do servio ou uma reduo de sua
qualidade.


14
Gerenciamento do incidente: processo responsvel pelo tratamento e pela resoluo
de todos os incidentes ocorridos na organizao, objetivando o restabelecimento dos
servios de Tecnologia da Informao (TI) no menor tempo possvel e minimizar os
impactos para o negcio.
Problema: causa desconhecida de um ou mais incidentes.
Gerenciamento de problemas: processo responsvel pela resoluo definitiva de
eventos que afetam o funcionamento normal dos servios de TI, objetivando garantir a
correo das falhas e prevenir a recorrncia de um incidente.
2.2 Gesto de riscos
Por que devemos estar atentos gesto de riscos?
A Gesto de Riscos definida como as atividades coordenadas para direcionar e
controlar uma organizao no que se refere ao risco (ABNT ISO/IEC Guia 73:2005). A
gesto de riscos deve ser um processo que inclui a identificao, anlise, avaliao,
tratamento, aceitao, comunicao, monitoramento e reviso do risco, onde se deve
analisar todos os riscos inerentes s atividades de uma organizao.
O processo de melhoria continua conhecido como Plan - Do - Check - Act (PDCA)
um ciclo de anlise e melhoria dos processos gerenciais necessrios para o sucesso da
organizao e para a rea de segurana da informao. O PDCA deve ser utilizado para
estruturar os processos do Sistema de Gesto da Segurana da Informao (SGSI) e
alinhar os processos de gesto de risco.
A primeira etapa do processo (Planejar) inicia com a definio das estratgias e a
forma como elas vo ser alcanadas, ou seja, a definio de polticas, controles e
procedimentos para garantir a segurana das informaes. de extrema importncia que
a direo da organizao esteja de acordo e comprometida com os processos
estratgicos definidos. Segundo a norma ISO 27005, na fase de planejamento so
tratados os processos de Definio do Contexto, Anlise/Avaliao de Riscos, Definio
do Plano de Tratamento do Risco e Aceitao do Risco.
Na segunda etapa (Executar), os processos definidos so implementados e
executados. Tambm necessria a coleta de informaes para utilizao na prxima
etapa. Alinhando com a norma ISO 27005 implementado o plano de Tratamento do
Risco.
Na terceira etapa (Checar) feita a avaliao dos processos implementados para
verificar se o planejado foi realmente executado de forma adequada para alcanar as
metas. Nessa fase so identificados os desvios de execuo e apresentados os resultados
para uma anlise crtica da direo. Nessa etapa, segundo a norma ISO 27005,
realizado o Monitoramento Contnuo e Anlise Crtica do Risco.
Na quarta etapa (Agir) so realizadas aes corretivas e preventivas baseadas na
identificao de desvios de execuo e nas consideraes apresentadas pela direo da
organizao. A norma 27005 orienta manter e melhorar o processo de Gesto de Riscos
de Segurana da Informao (BRANDO 2008; HARUNARI apud GUARAGNA,
1992, p. 79).



15


Figura 2.1: Viso geral do processo de gesto de riscos segundo a norma ISO 27005.
2.2.1 Comunicao do risco
Na fase de Comunicao do Risco as partes envolvidas, ou seja, os stakeholders, e
as partes interessadas, pessoa ou grupo que tem interesse no desempenho ou no sucesso
da organizao, devem ser identificadas e os seus papis e responsabilidades devem ser
definidos. Um plano de comunicao criado para conhecimento das partes do
andamento do processo de gesto do risco.
2.2.2 Definio do contexto
A Definio do Contexto define o escopo da gesto de riscos que ser utilizado para
a identificao, avaliao, impacto e aceitao dos riscos. Nessa etapa so coletadas
todas as informaes relevantes sobre a organizao, mas principalmente para a gesto
de riscos de segurana.
Os principais resultados da definio do contexto devem ser a descrio dos
objetivos da gesto do risco e dos ambientes nos quais eles esto contextualizados.
Tambm so definidos os critrios que sero utilizados na determinao dos riscos, isto
, a determinao das conseqncias de segurana e os mtodos usados para a anlise e
avaliao dos riscos.
2.2.3 Identificao de riscos
O papel da identificao de riscos identificar junto aos gestores os eventos de cada
processo de negcio existente na organizao que possam afetar o funcionamento das


16
atividades essenciais e causar perdas potenciais. So respondidas as perguntas: O que
pode acontecer?, Quando e onde? e Como e por qu?.
necessrio identificar as ameaas, os controles existentes, as vulnerabilidades e as
conseqncias para cada propriedade da segurana da informao, ou seja,
confidencialidade, integridade e disponibilidade.
2.2.4 Estimativa de riscos
A estimativa de riscos analisa a origem dos riscos, suas conseqncias e as
probabilidades da ocorrncia dos riscos. Os dados devem ser mensurados atravs de
uma metodologia qualitativa ou quantitativa. Como exemplo pode ser adotada a
metodologia Common Vulnerability Scoring System (CVSS) para clculo do impacto
das vulnerabilidades.
A norma ISO 27005 orienta estimar o risco de duas formas. Qualitativamente, onde
utilizada uma escala com atributos como, por exemplo, baixa, mdia e alta.
Quantitativamente deve ser usada uma escala de valores numricos para estimar o risco.
2.2.5 Avaliao de riscos
Na fase de avaliao de riscos so definidos como os mesmos sero tratados
tomando como base os resultados obtidos nas fases de identificao e estimativa de
riscos. Algumas organizaes definem que todos os riscos sero tratados e outras focam
somente nos riscos que afetam os principais processos de negcio da organizao. Os
riscos devem ser ordenados por prioridade e associados aos processos de negcio.
2.2.6 Tratamento de riscos
O tratamento de riscos inicia com a priorizao entre os riscos encontrados, levando
em conta os riscos que tm maior probabilidade de se concretizar, tornando-se um
incidente. Os riscos devem relacionados conforme as opes de tratamento, que so:
reduo, reteno, evitao e transferncia.
A reduo do risco definida como as aes tomadas para reduzir a probabilidade,
as conseqncias negativas, ou ambas, associadas a um risco. A reteno do risco a
aceitao do nus da perda associado a um determinado risco. Evitar o risco significa
decidir por no se envolver ou agir em uma determinada atividade para evitar a situao
de risco. A deciso deve ser tomada conforme o resultado da avaliao de risco.
A transferncia do risco o compartilhamento com outra parte do nus da perda ou
do benefcio do ganho associado a um risco. importante analisar se a transferncia do
risco no vai gerar novos riscos ou modificar o risco existente. Aps o tratamento, o
evento que ainda possa produzir um risco chamado de risco residual. O tratamento
deve ser refeito para reduzir o risco a um patamar aceitvel.
2.2.7 Aceitao de riscos
Na fase de aceitao, os riscos residuais devem ser formalmente aceitos pela
organizao levando em conta o escopo elaborado na definio do contexto.


17

2.2.8 Monitoramento e anlise crtica dos riscos
A fase de monitoramento e anlise crtica dos riscos de extrema importncia para a
gesto de riscos, pois necessrio que os riscos sejam monitorados e os processos
revisados para identificar oportunidade de melhoria no tratamento dos riscos. Tendo em
vista que o ambiente computacional dinmico, revises e auditorias peridicas devem
ser realizadas para identificar modificaes internas e externas que possam alterar o
contexto do processo de negcio da organizao.
2.3 Normas e melhores prticas em tecnologia da informao
Cada vez mais as organizaes necessitam manter forte e atualizado o seu
departamento de Tecnologia da Informao, para manipular os dados operacionais e
prover informaes gerenciais a direo da organizao de uma forma mais rpida,
dinmica e com custos cada vez mais baixos. No intuito de auxiliar na melhoria dos
processos de negcio e garantir o retorno de investimento foi criado um movimento
chamado Governana de TI (MANSUR, 2007).
Governana de TI definida como uma estrutura de relaes e processos que dirige
e controla uma organizao a fim de atingir seu objetivo, que de adicionar valor ao
negcio atravs do gerenciamento balanceado do risco com o retorno do investimento
de TI (FAGUNDES, 2004). Como forma de compreender e controlar os riscos inerentes
do uso das tecnologias, foram criadas algumas normas e guias para auxiliar no processo
de gerenciamento dos processos de TI. A seguir so apresentadas as principais normas e
guias utilizadas atualmente para gerenciamento de risco e processos de TI.
2.3.1 BS 25999-1
A norma BS 25999-1, criada em 2007, tem o propsito de fornecer as melhores
prticas para que as pessoas responsveis pelos negcios da organizao possam
entender, desenvolver e implementar aes e procedimentos para a continuidade dos
negcios. A norma descreve diversos termos relacionados continuidade dos negcios,
os fundamentos e os elementos chaves que devem existir na Gesto da Continuidade de
Negcios (GCN) (BS 25999-1, 2006).
Os fundamentos da GCN so:
Melhorar proativamente a resilincia da organizao frente a possveis
perturbaes ou interrupes de sua capacidade de entregar seus produtos e
servios e atingir seus principais objetivos.
Prover mtodos para restabelecer a capacidade de uma organizao fornecer
seus produtos e servios em um nvel previamente acordado.
Obter uma comprovada capacidade de gerenciar uma interrupo no negcio
e proteger a reputao e a marca da organizao.
A norma descreve alguns elementos chaves que o GCN deve conter. So eles:
Entender o contexto de todos os processos operacionais da organizao;
Entender os produtos e processos crticos que a organizao entrega;
Entender quais so as barreiras ou interrupes que a organizao pode se
deparar ao tentar entregar esses produtos ou processo crticos;


18
Entender como a organizao pode continuar a atingir seu objetivo no caso
de uma interrupo ocorrer;
Entender os critrios para implementar uma resposta de emergncia e os
procedimentos de recuperao do negcio;
Assegurar que todos os envolvidos compreendam suas funes e
responsabilidades quando um incidente ocorrer;
Construir em consenso e compromisso a implementao, execuo e o
exerccio da continuidade nos negcios;
Integrar a continuidade dos negcios na rotina diria da organizao.
A GCN deve ser definida dentro da organizao e estar relacionada com a finalidade
estratgica organizacional e com a gesto de risco. A elaborao do GCN ir resultar na
criao de um ou mais Planos de Continuidade de Negcios (PCN).
2.3.1.1 Ciclo de vida da GCN
O ciclo de vida composto pelas seis etapas necessrias para o entendimento,
desenvolvimento e implementao do GCN.


Figura 2.2: Ciclo de vida da gesto da continuidade de negcios.

Gesto do programa de GCN
So definidas as responsabilidades pela implementao do GCN. Deve ser nomeada
uma pessoa como responsvel por todo o processo de implementao. Na poltica de
gesto da continuidade de negcios devem existir diretrizes bsicas definindo seu


19

escopo e como sero alocados os recursos. A implementao deve ser planejada e ter
uma manuteno continua.
Entendendo a organizao
Deve ser realizada uma anlise de impacto no negcio para realizar um mapeamento
dos produtos e servios fundamentais. Identificar as atividades que suportam a entrega
desses produtos e servios, estimar o tempo necessrio para recuperao no caso de
falha, identificar e avaliar as ameaas mais significativas e como a organizao vai
tratar os riscos.
Determinando a estratgia da continuidade de negcios
A organizao deve definir uma estratgia para a GCN. necessrio analisar as
estratgias possveis e escolher a mais adequada considerando tempo e custo de
implementao da estratgia e os recursos necessrios, tais como: pessoas, instalaes,
tecnologia, informao e suprimentos.
Desenvolvendo e implementando uma resposta de GCN
Definida a estratgia, a organizao deve criar um plano de resposta para os
incidentes que atenda s expectativas dos stakeholders e esteja de acordo com o que foi
apurado na anlise de impacto do negcio. O plano deve conter o seu objetivo,
responsabilidade das pessoas, como ser ativado e mantido o plano, definir um
responsvel por manter, alterar e atualizar o plano regularmente e a forma de
comunicao dos fatos com a mdia e stakeholders da organizao.
Testando, mantendo e analisando os preparativos de GCN
A organizao deve implantar um programa de teste do GCN contendo a definio
do que cada envolvido deve fazer e do nvel de complexidade do teste. Tambm deve
ser realizada uma anlise crtica dos resultados, manuteno do programa de testes e
definio de como sero realizadas as auditorias para verificar as conformidades do
GCN com a legislao, padres, frameworks e guias de melhores prticas.
Incluindo a GCN na cultura da organizao
O desenvolvimento, promoo e incorporao da cultura de GCN na organizao
garantem que os processos de continuidade de negcio se tornem parte dos valores
bsicos e da gesto da organizao. Esse processo pode ser longo e difcil caso exista
certo nvel de resistncia por parte dos usurios, atividades de conscientizao e
treinamento de todos os usurios devem ser realizadas para que os mesmos possam
compreender que a GCN muito importante para a organizao.
2.3.2 COBIT
O Control Objectives for Information and Related Technology (CobiT) um guia de
melhores prticas criado pela Information Systems Audit and Control Association
(ISACA) para prover um modelo para o gerenciamento da Governana de TI. O CobiT
possue 210 objetivos de controle divididos em 34 processos agrupados em 4 domnios
(COBIT 4.1, 2005; LAHTI; 2006). So eles:


20
Planejamento e Organizao (PO)
Aquisio e Implementao (AI)
Entrega e Suporte (DS)
Monitorao e Avaliao (ME)


Figura 2.3: Viso geral dos 34 processos e os 4 domnios do CobiT.

Planejamento e Organizao (PO)
O domnio de Planejamento e Organizao composto de 10 processos e trata do
desenvolvimento dos planos estratgicos de TI e fornece suporte aos objetivos e metas
empresariais. Os planos devem objetivar o futuro e estar alinhados com o planejamento
da organizao.

Aquisio e Implementao (AI)
O domnio de Aquisio e Implementao composto de 7 processos e trata da
aquisio de novas tecnologias, contratao e desenvolvimento de uma equipe
qualificada para executar os planos estratgicos de TI. A fase de Implementao foca a
manuteno, teste, certificao e identificao das alteraes que possam afetar a
disponibilidade das informaes.

Entrega e Suporte (DS)
O domnio de Entrega e Suporte composto de 13 processos e trata da entrega dos
servios de TI, assegurando que os servios sejam executados conforme definido na


21

implementao atravs de acordos de nvel de servio (SLA - Service Level Agreement).
A fase de suporte prev que os processos sejam executados de forma eficiente e efetiva.

Monitorao e Avaliao (ME).
O domnio de Monitorao e Avaliao composto de 4 processos e foca o
monitoramento, atravs dos SLAs, verificando se o que foi proposto est sendo
realizado. Atravs de auditorias internas e externas so analisados os processos de
negcio e o resultado da auditoria permite que os processos sejam ajustados para
atender as expectativas da direo da organizao.
2.3.3 ITIL
O Information Technology Infrastructure Library (ITIL) foi criado no final da
dcada de 80 pela Cmara de Comrcio Britnico (OGC - Office of Government
Commerce) com o intuito de disciplinar e permitir a comparao entre as propostas dos
diversos proponentes a prestadores de servios de TI para o governo britnico. Era
composto por uma biblioteca com 31 volumes com as melhores prticas para o
Gerenciamento dos Servios de TI.
Em 2002 a biblioteca sofreu uma grande reviso e foi reformulada e consolidada em
8 volumes, sendo eles:
Suporte aos Servios (Service Support)
Entrega de Servios (Service Delivery)
Planejamento e Implementao (Planning and Implemention)
Gerenciamento de Aplicaes (Applications Management)
Gerenciamento da Segurana (Security Management)
Gerenciamento da Infra-Estrutura de TI e de Comunicaes (Information and
Communication Technology Infrastructure Management)
Perspectiva do Negcio (Business Perspective)
Gerenciamento dos Ativos de Software (Software Asset Management)

A verso 2 do ITIL foca principalmente na entrega e no suporte dos servios de TI,
para torn-los mais aderentes e apropriados aos requisitos dos processos de negcio.



22

Figura 2.4: Viso geral da biblioteca de melhores prticas ITIL v2.

Os processos de Suporte aos Servios focam nas tarefas dirias e necessrias para a
manuteno dos servios de TI. So eles: Gerenciamento de Configurao,
Gerenciamento de Incidente, Gerenciamento de Problema, Gerenciamento de Mudana
e Gerenciamento de Liberao.
Os processos de Entrega de Servio concentram-se nas atividades de planejamento a
longo prazo e na melhoria dos servios entregues e atualmente utilizados pela
organizao. Os processos so: Gerenciamento do Nvel de Servio, Gerenciamento de
Capacidade, Gerenciamento da Disponibilidade, Gerenciamento da Continuidade dos
Servios de TI e Gerenciamento Financeiro (MAGALHES, 2007).
A terceira verso do framework ITIL foi lanada em maio de 2007 e composta por
cinco livros. Sua principal mudana foi a introduo do ciclo de vida para o
Gerenciamento de Servios de TI. O ITIL v2 era baseado em processos com uma viso
linear do servio, e agora, o ITIL v3 est focado no alinhamento estratgico da TI com o
negcio.
Os cinco livros do ITIL v3 so:
Estratgia de servios definio de objetivos, conceitos e regras sobre a estratgia
de servios, anlise do impacto dos servios necessrios para as funes vitais do
negcio, definio e mtodos de gesto do risco. Orientaes para os processos de
gerenciamento financeiro, gerenciamento de demanda e gerenciamento de portflio de
servios.
Desenho de servios descreve os objetivos, planos e cria um desenho de servios,
detalhando cada um dos processos relativos ao gerenciamento de nvel de servio,
gerenciamento do catlogo de servios, gerenciamento da disponibilidade,
gerenciamento da capacidade, gerenciamento da segurana da informao,
gerenciamento da continuidade dos servios e o gerenciamento dos fornecedores.
Transio de servios descreve as formas para garantir o desenho de servios na
forma pretendida. Inclui os processos de gerenciamento de mudanas, gerenciamento da
configurao e ativos dos servios e gerenciamento de liberao e distribuio.


23

Operao de servios descreve a gerencia do servio atravs do ciclo de vida de
produo, discutida a classificao e priorizao de chamados, o modelo de
comunicao e o gerenciamento de conflitos. Inclui o gerenciamento de evento,
gerenciamento de incidentes, gerenciamento de problemas, gerenciamento de acesso e
as requisies de servios.
Melhoria continua de servios descreve formas para garantir a entrega dos servios
de forma eficaz e eficiente, so realizadas anlises para identificar, compreender e medir
os pontos fracos e fortes e orientar na implantao de melhoria dos servios atravs, por
exemplo, de indicadores chaves de desempenho. No livro melhoria continua de servios
tratado o gerenciamento de nvel de servio.

Figura 2.5: Viso geral do ciclo de vida da biblioteca de melhores prticas ITIL v3.
2.3.4 ABNT NBR ISO/IEC 27002
Criada pela Brisith Standard (BS) em 1999, a norma foi definida como BS 7799 -
Code of Practice for Information Security Management e era composta por um guia
contendo 36 objetivos de controle e decomposta em 127 medidas de controle. No ano
2000 foi homologada pela International Organization for Standardization/International
Electrotechnical Commision (ISO/IEC) tornando-se um padro internacional
denominada ISO/IEC 17799. No Brasil a norma foi traduzida e definida como ABNT
NBR ISO/IEC 17799 no ano 2000 e passou por uma reviso e atualizao no ano de
2005. Em 2007 a norma novamente submetida a reviso e atualizao e passa a
chamar-se ABNT NBR ISO/IEC 27002.
A norma ABNT NBR ISO/IEC 27002 foi criada com a inteno de estabelecer
diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de
segurana da informao em uma organizao (ABNT NBR ISO/IEC 27002, 2007). A
norma deve ser utilizada como um guia para elaborao de uma poltica de segurana e


24
no tem o propsito de ser o nico material na sua elaborao, a definio dos controles
que sero avaliados e monitorados depende da necessidade e dos processos de negcios
utilizados em cada organizao.
A norma dividida em 11 sees onde so descritos os objetivos de controles e as
formas de implementao para alcanar o objetivo de negcio da organizao, a seguir
apresentada cada seo:
Poltica de segurana da informao - orienta a direo na criao de uma poltica
de segurana da informao, alinhada com os objetivos do negcio e apoiada pela
direo da organizao.
Organizando a segurana da informao - orienta a direo da organizao no
gerenciamento da segurana da informao, devem ser definidas as atribuies e
responsabilidades de todos os envolvidos na poltica de segurana.
Gesto de ativos - orienta a direo na identificao dos ativos, definio dos seus
proprietrios e regras de uso. Deve ser realizada a classificao da informao e a
definio dos procedimentos de rotulao e tratamento da informao.
Segurana em recursos humanos - a direo deve assegurar que os colaboradores,
fornecedores e terceiros compreendam suas responsabilidades e estejam conscientes,
atravs de treinamento, quanto s ameaas relativas segurana da informao.
Segurana fsica e do ambiente - orienta a direo na preveno do acesso fsico
no autorizado, danos e interferncias nas instalaes e a mitigao das perdas, danos,
roubo ou interrupo das atividades da organizao.
Gesto das operaes e comunicaes - orienta a direo na elaborao de
procedimentos e responsabilidades operacionais, tais como, gesto de mudana,
segregao de funes, separao dos ambientes de produo, desenvolvimento e testes,
gerenciamento dos servios terceirizados e gerenciamento de segurana em redes.
Controle de acessos - orienta a direo na implementao de controles de acesso
informao e aos recursos de processamento das informaes. So propostas diretrizes
para gerenciamento de privilgios e controle de acesso rede.
Aquisio, desenvolvimento e manuteno de sistemas de informao - orienta a
direo na definio dos requisitos necessrios segurana de sistemas de informao,
tais como, uso de criptografia e diretrizes para a segurana dos arquivos de sistemas.
Gesto de incidentes de segurana da informao - orienta a direo na definio
de responsabilidades na gesto de eventos de segurana da informao, alm da coleta
de evidncias e mecanismos de anlise de incidentes e seus impactos para a
organizao.
Gesto da continuidade do negcio - orienta a direo na definio de medidas
para prevenir a interrupo do negcio da organizao. Deve ser realizada a anlise e
avaliao de riscos para o desenvolvimento de um plano de continuidade dos ativos.
Conformidade - orienta a direo para garantir a conformidade dos processos
quanto s leis, estatutos, regulamentaes ou obrigaes contratuais.


25

2.3.5 ABNT NBR ISO/IEC 27005
Criada em julho de 2008, a norma ABNT NBR ISO/IEC 27005, fornece as diretrizes
para o processo de gesto de riscos em segurana da informao, a mesma foi criada
para dar suporte s especificaes e conceitos estabelecidos na norma ABNT NBR
ISO/IEC 27001:2006. Define os requisitos para a criao de um sistema de gesto da
segurana da informao (SGSI) (ABNT NBR ISO/IEC 27001, 2006).
A norma ABNT NBR ISO/IEC 27005 define de forma objetiva e estruturada as
atividades de gesto de riscos, identificando as entradas no SGSI bem como as
informaes necessrias para o desempenho da atividade. Tambm orienta na
elaborao de aes que descrevem a atividade, as diretrizes para implementao
fornecendo as diretrizes para a execuo da ao e as sadas que so as informaes
resultantes da execuo da atividade (MDULO, 2008).
2.4 Modelo de maturidade
fundamental que as organizaes conheam o status atual dos seus processos de
negcio e definam qual o nvel de gesto e controle que desejam oferecer aos seus
clientes. Os modelos so utilizados para controle dos processos de negcio e fornecer
um mtodo eficiente para classificar o status atual da organizao.
O modelo de maturidade descrito pelo CobiT baseado no modelo de maturidade
para desenvolvimento de software, conhecido como Capability Maturity Model for
Software (SW-CMM) proposto pela Sotfware Engineering Institute (SEI). CobiT
desenvolveu um roteiro para cada um dos seus 34 processos baseado em uma
classificao de maturidade, objetivando responder as seguintes perguntas (FONTES,
2008):
Qual o status atual da organizao?
Qual o atual estgio de desenvolvimento da outras organizaes?
Qual o atual estgio dos padres internacionais?
Aonde a organizao quer chegar e como ela planeja isso?
As organizaes devem realizar uma avaliao honesta da sua capacidade para
enfrentar as situaes de contingncia. A organizao e, principalmente a direo,
devem conhecer os pontos fortes e os pontos fracos em relao continuidade do
negcio.
A seguir so descritos os nveis do modelo de maturidade:
Nvel zero (Inexistente) - Completa inexistncia de quaisquer processos
reconhecveis. Os riscos, vulnerabilidades e ameaas nos processos de TI no so
conhecidos. A organizao no reconhece a continuidade de negcios como um aspecto
a ser considerado.
Nvel um (Inicial) - A organizao reconhece que a continuidade de negcios
necessria e deve ser considerada. As responsabilidades so informais e a autorizao
para execuo das responsabilidades limitada. So implementadas solues de
contorno para resposta aos incidentes utilizando diversas abordagens reativas e
inapropriadas.


26
Nvel dois (Repetitivo) - Existe um reconhecimento da direo da necessidade de se
ter um Plano de Continuidade de Negcios, mas as abordagens para garantir a
continuidade do negcio so fragmentadas. No existe um Plano de Continuidade de
Negcios documentado apesar dos princpios serem conhecidos. No h treinamento ou
divulgao formal de procedimentos padronizados e as responsabilidades so deixadas a
cargo das pessoas, existindo um alto grau de dependncia em relao ao conhecimento
individual, conseqentemente, os erros so provveis.
Nvel trs (Definido) - Os processos e procedimentos esto padronizados,
documentados e divulgados atravs de treinamento, objetivando proativamente
identificar, minimizar ou eliminar situaes de indisponibilidade. Execuo regular de
testes e exerccios realizada, de forma planejada, documentada e avaliada pelas partes
usurias.
Nvel quatro (Administrado) - Existe uma forma para monitorar e mensurar o
cumprimento dos processos e procedimentos. So realizados testes para avaliar a
necessidade de constante manuteno das atividades e propiciar a adoo de melhores
prticas. Os incidentes so classificados e conhecimentos por todos os envolvidos.
Metas e mtricas para a continuidade do negcio foram desenvolvidas e acordadas, mas
de uma forma limitada.
Nvel cinco (Otimizado) - Os processos e procedimentos so definidos ao nvel de
melhores prticas e com base no resultado de melhorias continuas e benchmarking de
outras organizaes. O Plano de Continuidade de Negcios discutido pela direo e o
gerenciamento de risco faz parte da cultura da organizao. Os planos de procedimentos
para assegurar a continuidade de negcio so atualizados e validados periodicamente.

5 4 3 2 1 0
Inexistente Inicial Repetitivo Definido Administrado Otimizado
Situao atual da organizao
Padro de mercado
Melhores prticas
Estratgia da organizao

Figura 2.6: Grfico representando o modelo de maturidade.
2.5 Gesto da continuidade de negcios
As organizaes devem estar preparadas para enfrentar as situaes de contingncias
que tornam indisponveis os ativos de informao. necessrio que a organizao tenha
certa maturidade no processo de GCN, possuindo indicadores que permitam medir e
gerenciar os processos do PCN. O objetivo do Plano de Continuidade de Negcios
determinar os pontos crticos das reas de TI e do negcio da organizao
(MAGALHES, 2007). O processo de GCN deve obter e analisar as informaes que
vo resultar numa estratgia integrada e com um plano de ao correspondente para
reagir a um incidente no-programado nas atividades relativas ao negcio.
A organizao deve identificar os processos de negcios que compreendem um
conjunto de atividades realizadas na organizao, associadas s informaes que


27

manipula, utilizando os recursos e a estrutura da organizao. A Tabela 2.1 apresenta os
pontos mais crticos para a organizao, dividido em seus respectivos domnios.
Tabela 2.1: Pontos mais crticos para o negcio
Viso do Negcio Atendimento aos clientes
Atendimento a leis e regulamentaes
Processos de Negcio Processos de negcio de misso-crtica
Plano de continuidade de negcios
Aplicaes Aplicaes e bases de dados de misso-crtica
Processamento de dados
Procedimentos de recuperao de desastre
Infra-Estrutura Segurana fsica e lgica
Comunicaes confiveis
Informaes protegidas
Hardware/Software redundncia
Fonte: MAGALHES, 2007. p. 667.
Muitas organizaes comearam a compreender a importncia da continuidade do
negcio aps os ataques terroristas ao World Trade Center, ocorrido em 11 de setembro
de 2001 em Nova Iorque, onde algumas organizaes deixaram de existir com a
tragdia ou, por no possurem um plano de continuidade de negcios ou, por terem um
plano se utilizando dos recursos da torre ao lado. Aps esse evento pergunta deixou de
ser, Qual a probabilidade disso acontecer? e passou a ser, E se isso acontecer?
(FONTES, 2008).
2.6 Estrutura de um plano de continuidade de negcios
O PCN deve apontar quais os processos crticos de TI que suportam o negcio da
organizao e os procedimentos necessrios para evitar ou mitigar a indisponibilidade
dos servios de TI, de forma que os processos possam ser recuperados no menor
intervalo de tempo possvel e de acordo com as prioridades do negcio, aps a
ocorrncia de um desastre.
2.6.1 Definio do escopo e do cenrio
A organizao deve definir o escopo e descrever o cenrio atual levando em conta o
nvel de maturidade que se encontra. Deve ser pensado em um plano completo, onde
vo existir diversas etapas e verses cada uma melhor do que a anterior. A
administrao como patrocinadora do plano, deve ter conhecimento da abrangncia e
das limitaes do plano que est sendo criado.


28
2.6.2 Avaliao de ameaas e riscos
A organizao deve realizar uma anlise das ameaas e riscos considerando o
escopo e cenrio definidos anteriormente. A avaliao deve ser medida com valores
qualitativos (alto, mdio, baixo) e a avaliao deve contar com a avaliao de mais de
uma pessoa.
2.6.3 Anlise de impacto no negcio
necessrio que as conseqncias de desastres, falhas de segurana, perda de
servios e disponibilidade de servios, passem pelo processo de anlise de impacto nos
negcios.
A anlise de impacto nos negcios deve mapear os seguintes itens:
Quantificar impactos financeiros, de imagem e operacionais;
Processos de negcio crticos e suas prioridades;
Dependncias internas e externas;
Recursos crticos;
Prazos para impacto severo.
A anlise de impacto vai trazer respostas para as questes, tais como, qual o tempo
de indisponibilidade que o negcio suporta?
2.6.4 Identificao de solues
Baseado nas informaes obtidas nas etapas anteriores devem ser avaliadas as
diversas solues para processamento da informao. A opo mais adequada deve ser
utilizada na implementao.
2.6.5 Elaborao do plano de continuidade de negcios
Deve ser criado um conjunto de documentos e manuais que permitam as pessoas, no
caso de uma situao de contingncia, seguir as instrues para solucionar o incidente.
O PCN o conjunto de documentos normativos que devem descrever de forma
clara, concisa e completa os riscos, as pessoas e suas responsabilidades.
Segundo MAGALHES 2007, o PCN deve ser elaborado com pelo menos os
seguintes tpicos:
1. Sumrio executivo, contendo, o propsito do plano, autoridade e
responsabilidades das pessoas-chaves, tipos de emergncias que podem ocorrer e
o local de gerenciamento da operao.
2. Gerenciamento dos elementos de emergncia, descrevendo os processos de
direo e controle, comunicao, recuperao e restaurao, administrao e
logstica.
3. Procedimento de resposta emergncia, a organizao deve elaborar
checklists para orientar as aes que devem ser tomadas para proteo das
pessoas e manuteno dos equipamentos, os procedimentos devem conter:


29

alertas para avisos de catstrofes naturais, conduo de evacuao, desligamento
das operaes, proteo dos dados vitais e restaurao das operaes.
4. Documentos de suporte, a organizao deve anexar ao PCN alguns
documentos, tais como: lista de telefones das pessoas envolvidas no processo,
planta das instalaes fsicas, guias com o desenho da infra-estrutura de TI e
procedimentos para recuperao dos servios de TI.
5. Identificar desafios e priorizar atividades, o PCN deve conter uma lista de
tarefas para ser executada definindo Quem e Quando e determinar como devem
ser tratados os problemas identificados na fase de levantamento.
2.6.6 Plano de teste e de manuteno
O PCN deve ser testado constantemente, no deve ser tratado com um processo
esttico, que uma vez elaborado, no vai necessitar de manuteno. Os testes tambm
podem identificar situaes at ento no previstas no plano e que devem ser
incorporadas (FONTES, 2008).
A etapa de manuteno vai permitir que o PCN seja cada vez mais completo,
aumente o seu escopo e os cenrios. Cabe salientar que as necessidades da organizao
se modificam e o PCN deve acompanhar as mudanas, os processos descritos num
determinado momento podem no representar mais a real necessidade da organizao
(MAGALHES, 2007).
O sucesso do PCN vai ser obtido se todos os colaboradores, terceiros e prestadores
de servio tenham conhecimento do plano e, portanto, os mesmos precisam ser
treinados para executar as atividades necessrias para minimizar a indisponibilidade do
negcio. A conscientizao e o treinamento devem ser realizados para todos, inclusive
para a direo, considerando o papel de cada pessoa na operacionalizao do plano.
2.7 Componentes de um plano de continuidade de negcios
O objetivo do PCN a documentao de um planejamento de aes que deveram ser
executadas na ocorrncia de uma situao de crise, possibilitando a organizao de
continuar suas atividades de negcio em um nvel aceitvel definido pela rea de
negcio e pela direo.
O PCN deve ser construdo para atingir uma determinada rea ou soluo
considerando o cenrio dos recursos, do escopo organizacional e das ameaas
consideradas e que sero tratadas. Diversas organizaes incorrem no erro de elaborar
da primeira vez um plano que considere todas as situaes. A orientao comear por
situaes de maior risco e maior impacto (FONTES, 2008).
A organizao deve elaborar o PCN contendo trs itens sendo eles: o primeiro o
plano de administrao/gerenciamento de crise, onde so nomeados os coordenadores
que realizaram a busca por respostas s crises a fim de minimizar o impacto nos
negcios; em seguida criado o plano de resposta/continuidade empresarial, contendo
os processos necessrios para manter as funes essenciais da organizao mesmo numa
situao de crise e, por ltimo a construo do plano de recuperao de desastre,
elaborado para cobrir as situaes onde a perda de recursos e a respectiva recuperao


30
demandam um esforo significativo e maior. A seguir so descritos os trs itens que
compe o PCN (IMONIANA, 2008; FONTES, 2008).
2.7.1 Plano de administrao/gerenciamento de crise
O plano de administrao/gerenciamento de crise um documento disponibilizado
para os diretores da organizao, objetiva reduzir os riscos e as incertezas do
gerenciamento da situao sem controle e permitir que os executivos tenham maior
controle sobre a organizao durante a crise. Esse plano deve conter as informaes
dinmicas necessrias, tais como, listas de contatos, relao e atividades das equipes
envolvidas.
A organizao deve criar uma equipe de administrao/gerenciamento de crise,
composta pelos seguintes diretores, diretor chefe, diretor financeiro, diretor de
operaes, diretor de tecnologia, diretor jurdico, gerente de continuidade dos negcios
e o diretor de relaes pblicas. A equipe reunida vai atuar de forma rpida e
decisivamente durante uma crise (MAGALHES, 2007).
O time de administrao/gerenciamento de crise responsvel pela criao de
polticas e o responsvel por fornecer proteo para os empregados e ativos da
organizao. Tambm responsvel por manter o controle sobre a continuidade no
negcio, assegurar a comunicao entre a direo e as outras reas e gerenciar a imagem
pblica da organizao.
2.7.2 Plano de continuidade/resposta empresarial
No plano de continuidade/resposta empresarial so definidos os procedimentos de
resposta para estabilizar a situao na ocorrncia de um incidente ou evento indesejado.
O plano tambm define normas que devem seguidas pelo Centro Operacional de
Emergncia (COE) que o centro de comando de uma crise.
O plano objetiva identificar os tipos potenciais de emergncias e as respectivas
respostas necessrias, verificar a existncia de procedimentos de respostas apropriados
s emergncias, recomendar o desenvolvimento de procedimentos de emergncia que
ainda no existem, identificar os requisitos de comando e controle para o gerenciamento
de emergncia. Tambm objetiva integrar os procedimentos de resposta com os
procedimentos de recuperao de desastres e continuidade de negcios, sugerir a
elaborao de procedimentos definindo o papel dos envolvidos e os processos para
comunicao entre a equipe do COE e os demais envolvidos no evento ou incidente de
crise.
Na elaborao do plano de continuidade/resposta empresarial algumas etapas devem
ser seguidas. So elas: realizar uma anlise da situao, elaborando as hipteses e os
possveis cenrios de crise; definir objetivos e metas, analisando a viabilidade e a
prioridade com que os danos sero tratados; organizar a equipe, elaborando a estrutura
organizacional que vai dar suporte ao plano, definindo procedimentos para ativao do
plano, nveis de autoridade, papis e as responsabilidades.
2.7.3 Plano de recuperao de desastre
As diretrizes de recuperao definem os procedimentos para restaurar, no menos
tempo possvel, as operaes de tecnologia da informao em caso de interrupo no-


31

programada. Tambm devem prever os impactos da paralisao e o tempo mximo
necessrio para a recuperao as atividades da organizao.
As principais estratgias para recuperao so: recuperao gradual ou cold site,
onde realizada a reconstruo da infra-estrutura comeando do zero em outro local
fsico. Recuperao intermediaria ou warm site, quando a organizao possui um
contrato de locao com um fornecedor que possibilite o uso de processamento,
armazenamento e conectividade para permitir a execuo dos servios de TI no local do
fornecedor. Recuperao imediata ou hot site, a organizao possui outro local prprio
que possa executar o suporte aos servios de TI. So conhecidos como Centro de
Processamento de Dados (CPD) backup ou site de Disaster Recovery onde possvel
transferir em pouco tempo os sistemas para outro local.





32
3 SEGURANA DA INFORMAO
A informao o bem mais importante para as pessoas e para as organizaes,
antigamente essa informao ficava armazenada em um ambiente pequeno e controlado,
hoje as informaes so processadas e armazenadas em um complexo ambiente
tecnolgico e os dados esto disponveis para todos os colaboradores da organizao,
precisando ser protegida e gerenciada adequadamente (BRASIL, 2007). Os principais
atributos relacionados segurana da informao so:
Disponibilidade atributo que define que a informao deve estar disponvel e
integra quando solicitada pelas pessoas autorizadas pelo proprietrio da informao.
Mantendo a disponibilidade garantida a prestao contnua do servio, ou seja, sem
interrupes no fornecimento de informaes para os que tm direito a ela.
Confidencialidade atributo que define que a informao deve ser acessada somente
pelas pessoas autorizadas pelo proprietrio da informao.
Integridade atributo que define que a informao quando acessada esteja completa
e com suas caractersticas originais definidas pelo proprietrio da informao.
Autenticidade atributo que garante que a informao foi enviada pelo proprietrio
da informao.
No-repdio atributo que previne que a pessoa negue ser o emitente ou recebedor
de determinada informao.
A proteo dos ativos de extrema importncia para a sobrevivncia da organizao
e muitas vezes essa proteo no realizada de forma adequada ou com o investimento
necessrio. As organizaes devem tratar a segurana da informao para preveno e
no somente aps ocorrer algum desastre. A seguir so apresentadas as principais
ameaas que os ativos esto expostos e os mecanismos de defesas que devem ser
aplicadas no ambiente computacional da organizao (ABNT NBR ISO/IEC 27002).
3.1 Ameaas
A ameaa causa potencial de um incidente indesejado, que pode resultar em dano a
um sistema ou para a organizao. Podendo ser caracterizado como ameaa natural,
onde condies climticas tais como, incndios e inundaes, podem causar danos nos
ativos. J a ameaa intencional, causada de forma dolosa, ou seja, com a inteno de
provocar um prejuzo, como por exemplo, fraudes eletrnicas e sabotagem. Por fim, a
ameaa involuntria pode ser causa por aes inconscientes ou ingnuas do usurio, um
exemplo a engenharia social.



33

O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil
(CERT.br) um grupo de resposta a incidentes de segurana para a Internet brasileira e
responsvel por receber, analisar e responder a incidentes de segurana envolvendo
redes conectadas Internet brasileira. O grupo mantido NIC.br (Ncleo de Informao
e Coordenao do Ponto br) que faz parte do Comit Gestor da Internet (CGI) e tambm
atua na conscientizao sobre os problemas de segurana (CERT.br, 2008).
O CERT.br mantm estatstica de incidentes a ele reportados pelos administradores
de rede, analistas de rede e outros profissionais que cuidam das telecomunicaes no
Brasil e exterior. A tabela abaixo mostra o total de 33.909 incidentes que foram
reportados voluntariamente para a equipe de profissionais do CERT.br entre os meses
de julho e setembro de 2008, desse total 45,89% so referente a fraude e pouco mais de
33,5% relacionados a scan de porta.
Tabela 3.1: Totais mensais e trimestral - Classificados por tipo de ataque.
Ms Total worm(%) dos(%) invaso(%) aw(%) scan(%) fraude(%) outros(%)
Jul 13735 1806 13 2 0 20 0 232 1 4041 29 7463 54 171 1
Ago 11488 1859 16 0 0 19 0 530 4 3383 29 5505 47 192 1
Set 8686 1619 18 5 0 36 0 262 3 3986 4 2593 29 185 2
Total 33909 5284 15 7 0 75 0 1024 3 11410 33 15561 45 548 1
Fonte: CERT.br, 2008.
Legenda:
dos - denial of service;
aw: ataque a servidor web.

O grfico abaixo mostra os incidentes divididos por tipo de ataque, onde se pode
notar que quase 46% esto relacionados a fraude, onde a conscientizao dos usurios
quanto a importncia da segurana da informao pode minimizar os ataques
conhecidos como engenharia social. Os prximos itens descrevem as principais ameaas
relacionadas segurana da informao.


Figura 3.1: Grfico dos incidentes reportados ao CERT.br Julho a Setembro de 2008.


34
3.1.1 Usurio
Usurios desatentos e sem o treinamento adequado para utilizao de sistemas, so
considerados uma das principais ameaas segurana da informao das organizaes.
O usurio a pessoa que inicia qualquer procedimento ou processo e, portanto, tem o
poder de deciso para clicar, autorizar, aceitar, executar ou simplesmente ignorar o que,
em uma frao de segundo, pode representar um risco (SMOLA, 2008).
A organizao deve cuidar do seu recurso humano atravs de programas de
conscientizao e treinamento de todos os usurios em segurana da informao. O
usurio deve ser considerado um fator crtico para o sucesso no processo de proteo da
informao. importante que os usurios mais antigos orientem os mais novos quanto
segurana da informao, pelo exemplo dos colegas, chefia e principalmente da direo
que o novo colaborador vai considerar e se comportar quanto s regras da organizao
no processo de segurana da informao (FONTES, 2008).
O acesso informao deve ser restrito e somente os usurios que necessitam aquela
informao deve ter acesso mesma, no adianta a organizao possuir a melhor
soluo de controle de acesso lgico, se o usurio emprestar a sua senha para outro que
no tinha acesso quela informao. A facilidade de uso pelo usurio deve ser levada
em conta, os controles necessrios devem ser implementados, mas no podem engessar
o processo de negcio.
Os usurios devem estar atentos para no proteger somente o computador, mas
devem ter cuidado para no deixar informaes confidenciais impressas, por exemplo,
em salas aps as reunies. Os usurios costumam por desateno comentar informaes
confidenciais em locais, tais como, elevador, txi e happy hour, e sem perceber que
podem prejudicar os negcios da organizao. Sendo que o objetivo estratgico da
organizao a realizao do negcio, necessria a conscientizao do usurio para
que o bem mais importante, a informao, seja protegida de forma adequada (FONTES,
2008).
3.1.2 Intrusos
Uma das ameaas segurana a do intruso, so pessoas de dentro ou fora da
organizao com a inteno de promover ataques aos sistemas de forma benigna,
somente para explorar a rede e ver o que tem dentro dela, ou de forma maligna, para
realizar modificaes no autorizadas nos dados ou interromper os sistemas.
Existem trs tipos de intrusos:
Mascarado: Uma pessoa que no tem autorizao para usar os recursos, mas que
penetra nos controles de acesso de um sistema para explorar a conta de um usurio
legtimo, geralmente algum externo da organizao.
Infrator: Um usurio legtimo da organizao, mas que acessa dados, sistemas ou
recursos dos quais no tem autorizao ou tendo autorizao, faz mau uso de seus
privilgios.
Usurio clandestino: Uma pessoa que se apropria do controle de administrador do
sistema e utiliza tal controle para escapar de auditorias e controles de acesso, pode ser
de dentro ou de fora da organizao (STALLINGS, 2008).


35

Os ataques de intruso podem ser considerados desde no perigosos at srios,
existem atacantes de alto nvel com conhecimento profundo da tecnologia e, os de baixo
nvel com pouco conhecimento e que utilizam programas prontos nos seus ataques.
3.1.3 Spam e Engenharia Social
Spam so mensagens indesejadas, geralmente enviadas para um grande nmero de
pessoas sem a sua solicitao ou autorizao. So tambm chamadas de UCE
(Unsolicited Commercial E-mail) quando o contedo exclusivamente comercial.
Historicamente o primeiro spam foi enviado por dois advogados, Canter e Siegel, a
mensagem era sobre uma loteria de Green Cards americanos e foi enviada para um
grupo de discusso da Unix User Network (USENET). Posteriormente a mesma
mensagem foi enviada para diversos grupos de discusso da USENET causando espanto
e revolta em muitos assinantes do grupo.
Os usurios so afetados de diversas formas, tais como (CERT.br, 2006):
No recebimento de e-mails - No caso do provedor de internet limitar o tamanho
da caixa postal dos usurios, o recebimento de muitos spam pode exceder o limite de
armazenamento, fazendo com que os e-mails sejam descartados, uma soluo o uso de
regras anti-spam.
Gasto desnecessrio de tempo - O usurio tem que gastar um tempo para ler e
identificar o e-mail como spam.
Aumento de custos - Quem paga a conta pelo envio do spam quem o recebe. No
download da mensagem spam consome a franquia mensal ou a ligao, no caso de
conexo discada.
Prejuzos financeiros causados por fraude - O spam tem sido usado para induzir o
usurio a acessar pginas clonadas de instituies financeiras ou para instalar programas
maliciosos para furtar dados pessoas e financeiros.
Os provedores de acesso, backbones e organizaes so afetados por causas, tais
como (CERT.br, 2006):
Impacto na banda - O trfego gerado pelos spams tem obrigado s organizaes e
provedores aumentarem seus links de conexo.
M utilizao dos servidores - Os servidores de e-mail so obrigados a gastar
tempo e espao em disco para tratar as mensagens indesejadas.
Incluso em listas de bloqueio - O provedor ou servidor de e-mail da organizao
podem ser includos em listas de bloqueio, chamadas de blacklist. A incluso prejudica
o recebimento de e-mails legtimos e autorizados.
Investimento em pessoal e equipamentos - Os provedores e as organizaes
necessitam contratar profissionais especializados, comprar mais equipamentos e
sistemas de filtragem de spam.
Engenharia social um termo utilizado para descrever um mtodo de ataque, onde
algum faz uso de persuaso, muitas vezes abusando da ingenuidade ou confiana do
usurio, para obter informaes que podem ser utilizadas para ter acesso no autorizado
a computadores ou informaes (CERT.br, 2006).


36
As mensagens mais enviadas esto relacionadas a supostos problemas no servio de
Internet Banking e pedem para o usurio acessar um link contendo o aplicativo que vai
realizar a correo do problema. Esse mtodo conhecido como phishing scam, onde
so enviados e-mails em massa, semelhante ao spam com o intuito de, na execuo,
furtar a senha de acesso da conta bancria do usurio e enviar para o atacante
(TREVENZOLI, 2006; CERT.br, 2006).
Outro mtodo um ataque por telefone, onde o atacante liga para a vtima dizendo
ser do suporte tcnico do provedor de acesso. O atacante informa que existe um
problema na conexo com a internet e solicita a senha da vtima para realizar a correo
do problema. A senha utilizada para atividades maliciosas e, as aes, ficam
relacionadas ao login do usurio atacado.
A seguir algumas recomendaes que dever ser seguidas para evitar ataques de
engenharia social (CERT.br, 2006).
No fornecer dados pessoais, nmeros de cartes e senhas atravs de contato
telefnico;
Ficar atento a e-mails ou telefonemas solicitando informaes pessoais;
No acessar sites ou seguir links recebidos por e-mail ou presentes em
pginas sobre as quais no se saiba a procedncia;
Sempre que houver dvida sobre a real identidade do autor de uma
mensagem ou ligao telefnica, entrar em contato com a instituio,
provedor ou empresa para verificar a veracidade dos fatos.
3.1.4 Ataques fsicos
Roubos de informaes importantes da organizao so realizados atravs de
ataques fsicos, onde equipamentos, fitas magnticas, CDs, DVDs e pendrives so
retirados da organizao ou roubados de funcionrios para posterior anlise. A norma
ABNT NBR ISO/IEC 27002 trata da segurana fsica e do ambiente com o objetivo de
propor diretrizes para preveno do acesso fsico no autorizado, danos e interferncias
nas instalaes e informaes (CARVALHO, 2005).
Devem ser tomadas medidas para impedir perdas, danos, furto ou comprometimento
de ativos e interrupo das atividades da organizao. O acesso fsico deve ser protegido
com a criao de um permetro de segurana fsica, incluindo controles de entrada
fsica, segurana nos escritrios, salas e instalaes, proteo contra ameaas externas e
do meio ambiente e acesso do publico, rea de entrega e carregamento (ABNT NBR
ISO/IEC 27002, 2007).
Com relao segurana do ambiente e equipamentos, ateno deve ser dada para
instalao e proteo dos equipamentos, interrupes por falta de energia, segurana do
cabeamento, manuteno e segurana dos equipamentos fora da organizao,
reutilizao e descarte seguro dos equipamentos. Para proteo relacionada segurana
fsica so utilizados dispositivos de autenticao (ver 3.2.2) e criptografia (ver 3.2.5).
3.1.5 Malwares
Cdigo malicioso ou Malware (Malicious Software) um termo utilizado que
caracteriza os programas desenvolvidos para executar aes maliciosas, com o intuito


37

de danificar ou roubar informaes de um computador. Um software legal que contenha
falha de programao (intencional ou no) e execute aes ilcitas tambm
considerado como malware. A seguir so apresentados os diversos tipos de malwares.
O vrus um programa de computador que contm comandos maliciosos, para
simplesmente perturbar o usurio at causar srios dados, alterando ou destruindo
programas ou arquivos do disco. O vrus se propaga inserindo cpias de si mesmo ao se
deslocar. Depende da ao do usurio, ou seja, a execuo do programa ou arquivo
hospedeiro na disseminao do vrus realizada pelo usurio. Alguns tipos de vrus so:
vrus de boot, vrus de executvel, vrus de macro, vrus de e-mail e vrus de telefone
celular que se propagam atravs da tecnologia bluetooth (TANEMBAUM, 2003;
CERT.br, 2006).
O worm (verme) um programa ou fragmento de programa que propagam cpias de
si mesmo a outros computadores atravs de conexes de rede e no precisam da ao do
usurio. Um worm busca outras estaes para infectar e cada computador infectado vai
servir de base de lanamento para automaticamente atacar outras mquinas. Na
replicao o worm utiliza, por exemplo, recursos de e-mail, enviando cpias de si
mesmo para outros usurios ou sistemas. Tambm tem a capacidade de execuo
remota e de login remoto, podendo realizar acesso remoto a um sistema e depois
executar comandos para se propagar (STALLINGS, 2008).
O bot um programa capaz de se propagar automaticamente pela rede, explorando
as vulnerabilidades ou falhas de configurao dos sistemas, diferentemente do worm, o
bot capaz de se comunicar remotamente com o atacante. O bot e o atacante se
conectam a um servidor Internet Relay Chat (IRC) e entram numa determinada sala,
onde so enviadas mensagens contendo uma seqncia especial de caracteres que
interpretada e executada pelo bot residente no computador invadido. Um conjunto de
computadores infectados com bots cria uma rede chamada de botnets, utilizadas para o
envio de milhares de phishing scam e disparar ataques de negao de servio (WEBER,
2008; CERT.br, 2006).
Cavalo de tria (trojan horse) um programa ou procedimento de comando
aparentemente til, que executa as funes as quais foi criado, mas contm cdigo
oculto que realiza funes maliciosas, indesejadas e sem o consentimento do usurio.
So utilizados, por exemplo, para disseminao de backdoor, instalao de keyloggers
ou screenlogers e a destruio de dados (CERT.br, 2006).
Um backdoor (porta dos fundos) ou trapdoor (alapo) um programa instalado
indevidamente e que deixam a porta aberta para futuros acessos remotos do atacante.
Inicialmente os programadores utilizavam os backdoors para disparar e testar seus
programas, mas se tornou uma ameaa quando hackers comearam a utiliz-lo para
invadir os sistemas. Geralmente o computador recebe o backdoor atravs de um cavalo
de tria e disparado quando reconhece um seqncia especial de entrada ou
executado por um determinado ID de usurio (STALLINGS, 2008).
Keyloggers so programas que realizam a captura e armazenamento das teclas
digitadas pelo usurio em um sistema. Na maioria dos casos, a ativao do keyloggers
acontece com a ativao do usurio e esse tipo de malware possui mecanismos que
enviam automaticamente as informaes colhidas para o atacante. Com o
aperfeioamento desse malware surgiram os screenloggers, que so programas que
capturam e armazenam a posio do cursor e a tela apresentada no monitor e a regio
que circunda a posio onde o mouse clicado (CERT.br, 2006).


38
O adware (Advertising software) um software com a funo exclusiva de
apresentar propaganda, sendo atravs do navegador do usurio ou de outros softwares,
tais como o MSN Messenger. Muitas organizaes tm utilizado o adware de forma
licita para patrocnio, principalmente em projetos ou servios gratuitos. A utilizao de
forma ilcita acontece quando o adware tem a funo de monitorao dos hbitos de
navegao do usurio para envio de propagandas mais especificas (WEBER, 2008).
O spyware um programa utilizado para realizar o monitoramento das atividades
realizadas pelo sistema e enviar as informaes coletadas para o atacante. Da mesma
forma que o adware, existem os spywares que so utilizados de forma licita, como por
exemplo, para a monitorao das atividades dos usurios de uma determinada
organizao. Por outro lado, o spyware muito utilizado para ativar o keyloggers ou
screenloggers quando identifica que o usurio est acessando um site de banco.
Os rootkits so programas instalados no computador da vtima e projetados para
ficarem ocultos dentro do sistema para esconder as atividades e informaes do invasor.
Os rootkits podem ter as mais variadas funcionalidades, tais como: backdoors, sniffers
que so programas que capturam informaes que trafegam pela rede, keyloogers entre
outros.
3.1.6 Ataques de negao de servio (DoS e DDoS)
Um ataque de negao de servio ou DoS (Denial of Service) consiste em um host
ou n de rede enviar um nmero indiscriminado de requisies ao host, atravs de
programas maliciosos chamados de flood (inundao). Como resultado o host
estressado ao limite e resulta na indisponibilidade do sistema ou servios impedindo o
acesso ao mesmo. Ataque de buffer overflow (estouro de memria), onde o tamanho de
um buffer ultrapassa a capacidade mxima de armazenamento, corrompendo ou
travando o sistema, causando o ataque de negao de servio.
O ataque conhecido como SYN Flooding, tem a inteno de esgotar o link de dados,
onde so enviados vrios pacotes SYN para encher a fila de conexes do servidor e
causa a negao de servio. No ataque de IP Spoofing o programa faz a falsificao do
endereo IP de origem, tcnica utiliza em ataque de DoS, onde vrios hosts podem
enviar pacotes como se fossem um determinado endereo de origem, derrubando
servidores que realizam a autenticao via endereo IP.
Nos ataques de DDoS (Distribuited Denial of Service), so utilizados milhares de
computadores para realizar ataques de negao de servio, onde o atacante consegue
instalar software malicioso em estaes comuns, depois de infectadas chamadas de
zombis que realizam requisies ao host alvo, tornando os sistemas indisponveis
(CARVALHO, 2005; STALLINGS, 2008).
3.1.7 Packet Sniffing
O ataque de packet sniffing realiza o monitoramento passivo do trfego da rede e
captura os pacotes que possam conter informaes importantes, tais como, senhas e
realiza a cpia de arquivos que circulam pela rede. Faz o monitoramento passivo do
trfego da rede (CARVALHO, 2005).


39

3.1.8 Port Scanning e Scanning de vulnerabilidades
No ataque conhecido como port scanning ou varredura de porta realizado o
mapeamento das portas abertas e dos servios que esto ativos no host. Existem outros
tipos de varreduras, como por exemplo, a varredura de firewall onde so verificas as
portas filtradas pelo firewall e a varredura ICMP (Internet Control Message Protocol)
protocolo que realiza o intercmbio de pacotes de controle entre um roteador e um host
ou entre hosts e objetiva detectar se o host est ativo. O CERT.br divulgou recentemente
o nmero de incidentes reportados relacionados a scans de porta. No total do terceiro
trimestre de 2008 foram 11.410 incidentes reportados sendo que praticamente a metade
dos incidentes foi referente a porta 22, utilizada para realizar acesso remoto a hosts.

Incidentes reportados ao CERT.br - Julho a Setembro de 2008

Figura 3.2: Grfico dos incidentes de scans por porta reportados ao CERT.br
3.2 Defesas
As organizaes precisam implementar mecanismos para a proteo das ameaas e
mitigao dos riscos que podem afetar a continuidade do negcio. A seguir so
apresentados os principais mecanismos para proteo dos ativos.
3.2.1 Educar o usurio
Principal responsvel para manuteno da segurana da informao, a organizao
deve cuidar de forma adequada do seu recursos humanos, a conscientizao e o
treinamento dos usurios que um fator importante para disseminar a cultura de proteo
da informao.
Conscientizao do usurio quando ao uso e definio da senha devem ser
realizadas, a seguir so apresentados alguns cuidados devem ser tomados
(STALLINGS, 2008; FONTES, 2008; FONTES, 2006):
1. Trocar imediatamente a senha padro fornecida pelo administrador na criao do
login de acesso;
2. No utilizar senhas curtas, recomenda-se a utilizao de no mnimo oito
caracteres, contendo letras, nmeros e caracteres especiais;
3. No utilizar senhas com palavras que possam ser encontradas em dicionrios.


40
4. No utilizar datas de nascimento, nomes de pessoas, nomes de times ou outras
informaes que estejam ligadas a voc ou organizao;
5. No utilizar nmeros de telefones, nmeros de documentos ou letras e nmeros
de placas de automveis.
3.2.2 Autenticao
A autenticao tem o propsito de validar a identificao dos usurios nos sistemas
ou recursos, a garantia de que uma comunicao autntica e que o solicitante da
comunicao realmente aquele que afirma ser. Os mtodos de autenticao podem ser
divididos em trs tipos: utilizando algo que voc , algo que voc sabe e algo que voc
possui (CARVALHO, 2005).
A autenticao utilizando algo que voc , realiza a autenticao utilizando
informaes referentes as caractersticas fsicas e comportamentais do usurio,
conhecida como biometria. So exemplos de identificao biomtrica as impresses
digitais, a leitura da retina e da ris, geometria das mos e reconhecimento de voz. A
implementao do controle de acesso e autenticao atravs de biometria considerada
de alto custo para as organizaes, passvel de ocorrncia de falsos positivos ou falsos
negativos e a autenticao pode ser afetada no caso de acidente ou estado de sade do
usurio.
A autenticao utilizando algo que voc SABE, a forma mais utilizada nas
organizaes e com o custo financeiro mais baixo. As senhas so seqncias de
caracteres utilizadas para verificar a identidade de um usurio frente ao sistema que o
mesmo deseja acessar, considerada a forma mais comum de autenticao e tambm a
menos segura j que a segurana do sistema fica dependente do segredo da senha. Outra
forma de autenticao com o uso de PIN (Personal Identification Number) que uma
seqncia de nmeros e/ou letras usadas para liberar o acesso chave privada, ou outros
dados armazenados na mdia, sendo somente para pessoas autorizadas (ICP Brasil,
2006).
A autenticao utilizando algo que voc POSSUI, est sendo utilizada cada vez mais
nas organizaes e geralmente so utilizados dispositivos fsicos para realizar a
identificao do usurio. Os certificados digitais so arquivos eletrnicos que contm
dados de um usurio ou organizao e so armazenados em um smart card (carto
inteligente), onde um microchip inserido num carto plstico armazena e processa os
dados, so muito utilizados para armazenar certificados digitais (ICP Brasil, 2006).
A tcnica de autenticao conhecida como OTP (One-Time Password), em
portugus senha descartvel, implementada geralmente em token, dispositivo de
hardware que armazena um programa que gera uma nova senha periodicamente ou a
cada autenticao do usurio. Uma vantagem na utilizao da OTP a proteo contra
phishing de senha.
3.2.3 Firewall
Firewall um dispositivo baseado em software e/ou hardware utilizado para
segmentar e controlar o acesso entre redes distintas, analisando todos os pacotes que
passam pela rede, aceitando, descartando ou rejeitando os pacotes com base em um
conjunto de regras especificadas. O firewall inserido entre a rede local e a internet,
protegendo um permetro contra ataques e para garantir um nico ponto de controle


41

onde so inseridas as implementaes de segurana e auditoria. Atualmente os firewalls
so implementados utilizando tcnicas de controle de servio, controle de direo,
controle de usurio e controle de comportamento que so utilizadas para controlar o
acesso e impor a poltica de segurana da organizao. A seguir so apresentadas as
tcnicas, os tipos e as arquiteturas para implementao de um firewall na organizao.
3.2.3.1 Tipos de firewall
O firewall de filtragem de pacotes, realiza a anlise do cabealho de cada pacote,
permite a entrada do pacote na rede interna validando o endereo de origem baseado
num conjunto de endereos previamente configurado no firewall. A anlise do pacote
realizada na camada de rede e transporte do modelo TCP/IP (Transmission Control
Protocol/Internet Protocol). Esse tipo de firewall vulnervel a ataques conhecidos
como IP Spoofing, onde pacotes invlidos so inseridos na conexo atravs da
falsificao do IP de origem.
O firewall de inspeo com estados (stateful inspection firewalls) realiza a validao
do pacote atravs das regras de filtragem e adicionalmente utiliza tabelas de estado de
conexo para controlar toda sesso aberta entre a origem e o destino. Com isso
garantida uma conexo segura e mais rpida entre os dois pontos. A informao do
estado anterior das comunicaes guardada e verificada na tomada de deciso para
novas conexes (STALLINGS, 2008).
O gateway em nvel de circuito, application gateways ou proxy realiza a
intermediao entre o host cliente e o host externo, no permitindo uma conexo ponta a
ponta. So realizadas duas conexes no gateway, uma entre o host cliente e ele mesmo e
outra entre ele e o host externo, com isso o contedo da conexo analisando e s
depois repassado para a outra ponta.
3.2.3.2 Arquiteturas de firewall
A arquitetura de firewall se preocupa com a disposio dos equipamentos em
relao a localizao do firewall. A DMZ (DeMilitarized Zone) ou zona desmilitarizada
pertence ao permetro de segurana e uma rea entre a rede interna e a rede externa,
onde so mantidos todos os servios que possuem acesso externo e, por questes de
segurana, necessitam ficar fora da rede local. Chamados de bastion hosts, so hosts que
fornecem servios para outros host que esto fora da rede interna da organizao.
Existem trs tipos de arquitetura de firewall, so elas: Arquitetura dual-homed host,
consiste na separao entre a rede interna e a rede externa, utilizando um host contendo
duas interfaces de rede, onde a conexo do host de origem realizada primeiramente
com o firewall e o mesmo realiza a conexo com o host de destino. Na arquitetura
screened host, utilizado um firewall de filtragem de pacotes e um bastion host que
funciona como um proxy, onde todos os hosts internos devem se conectar a ele para
acessar a rede externa. Por fim, a arquitetura screened subnet, utilizado um bastion
host localizado na DMZ que far a intermediao entre o firewall interno e o externo.
No caso de um ataque vai ser necessrio que o invasor passe por dois firewalls para
acessar a rede interna da organizao (STALLINGS, 2008).
3.2.4 Deteco e preveno de intruso
Os sistemas de deteco e os de preveno de intruso so dispositivos de
monitoramento capazes de perceber a ocorrncia de atividades suspeitas, imprprias,


42
incorretas ou anmalas. A deteco de intruso baseada na suposio de que o
comportamento do intruso difere daquele de um usurio legtimo.
Mesmo que o comportamento de um intruso seja diferente a do usurio legtimo,
existe uma sobreposio desses comportamentos. Assim uma interpretao em relao
ao comportamento de um intruso, tambm levar a falsos positivos ou usurios
autorizados identificados como intrusos. Por outro lado no caso de tentar eliminar falsos
positivos com a implementao rgida do sistema de deteco levar ao aumento de
falsos negativos, ou seja, intruso no identificada como intruso. A seguir so descritos
os tipos de Intrusion Detection System (IDS) e Intrusion Prevention System (IPS) e a
metodologia de deteco.
3.2.4.1 Tipos de sistemas de deteco de intruso
O sistema de deteco baseado em host, em ingls Host-Based Intrusion Detection
System (HIDS), monitora e detecta alteraes no sistema de arquivos checando a
integridade dos arquivos. O HIDS calcula o valor de funo de prova (hash) para os
arquivos crticos no momento da instalao, periodicamente recalculado o valor de
hash dos arquivos, havendo diferena nos valores originais e nos novos, o arquivo foi
alterado e gerado um alerta. Tambm so utilizados registros de eventos de auditoria e
arquivos de log na deteco baseada em host. Os HIDS realizam tambm o
monitoramento de processo e atividades nos sistemas, uso da CPU, modificao nos
privilgios dos usurios, deteco de port scanning e programas que esto sendo
executados.
As principais vantagens do HIDS so: ataques criptografados podem ser detectados,
no necessita de hardware adicional, gera poucos falsos positivos, so independentes da
topologia de rede, ataques fsicos no sistema podem ser detectados e detecta o sucesso
ou falha de um ataque ao sistema com base no registro do sistema. Por outro lado, as
desvantagens na utilizao do HIDS so: dependncia do sistema operacional, no
detecta ataques de rede, o host monitorado apresenta perda de desempenho, informaes
podem ser perdidas em uma invaso ao HIDS e so pouco eficientes em sistemas com
poucas informaes de auditoria.
O sistema de deteco baseado em rede, em ingls Network-Based Intrusion
Detection System (NIDS), monitora o trfego de rede utilizando algoritmos estatsticos e
baseado em assinatura, semelhante ao antivrus. Esta abordagem gera menos falsos
positivos do que as tcnicas estatsticas. No monitoramento estatstico so criados perfis
de trfego normal da rede, que so utilizados para identificar atividade no usual.
As principais vantagens do uso de NIDS so: ataques so detectados em tempo real,
monitoramento pode ser realizado em ambiente multiplataforma, deteco em nvel de
rede, monitoramento estatstico no necessita de atualizao de assinatura, sem impacto
na rede e monitoramento de atividades em portas conhecidas. As desvantagens na
utilizao do NIDS so: atualizao das assinaturas deve ser freqente, no realizado
o monitoramento de trfego cifrado, dificuldade de utilizao em redes segmentadas e
de implementao em redes rpidas. O ideal a utilizao a combinao das duas
abordagens.
Uma nova ferramenta de deteco de intrusos que comea a ser utilizada pelos
administradores de redes o sistema de deteco no Kernel, em ingls Kernel Intrusion
Detection System (KIDS), permitindo a captura de pacotes no mdulo do kernel do
Linux. Podemos citar o projeto Linux Intrusion Detection System (LIDS) que um


43

patch de melhorias para o kernel do Linux onde foram adicionadas esquemas de
segurana que no so possveis nas funes nativas da kernel (TAMBORIM, 2008).
Por ltimo existem os sistema hbridos de deteco de intruso, em ingls Hybrid
Intrusion Detection System (Hybrid IDS), so sistemas que agregam os pontos positivos
dos HIDS e NIDS, atuando na anlise somente do trfego destinado a si prprio.
3.2.4.2 Metodologias de deteco de intruso
A metodologia de deteco por assinaturas, em ingls Knowledge-Based Instrusion
Detection, utiliza uma base de dados com padres de ataques (assinaturas) para
comparao com o possvel ataque em andamento. Um vantagem que esse tipo de
sistema, por possuir uma base de ataques conhecidos, realiza a deteco de forma mais
rpida e gera menos falsos positivos. Um desvantagem que ataques novos podem no
ser detectados caso no estejam na base de assinaturas, ou seja, depende de constante
atualizao para ser um mtodo eficiente.
O mtodo de deteco estatstica de anomalia, em ingls Behavior -Based Instrusion
Detection, composta por duas categorias: deteco de limiar e sistemas baseados em
perfil. Na deteco de limiar, o evento considerado uma intruso quando um nmero
de ocorrncias de um tipo de evento pr-definido realizado. No caso dos sistemas
baseados em perfil, so definidos perfis de usurios partindo da caracterizao do
comportamento passado dos usurios, qualquer desvio significativo no comportamento
considerado como violao e gerado um alerta. Uma vantagem que as decises
podem ser tomadas por meio de anlise estatsticas ou heursticas, sem a necessidade de
conhecimento prvio das falhas de segurana, onde o sistema vai aprendendo o que o
comportamento normal e depois procura os desvios. Um desvantagem o grande
nmero de falsos positivos e falsos negativos gerados pelo sistema.
3.2.4.3 Tipos de Sistemas de Preveno de Intruso
O sistema de preveno baseado em host, em ingls Host-Based Intrusion
Prevention System (HIPS) utiliza assinaturas e padres para identificar atividade no
usual, as aes executadas so no sentido de encerrar processos e bloquear o trfego de
rede de ou para um dispositivo comprometido. J o sistema de preveno baseada em
rede, em ingls Network Intrusion Prevention System (NIPS) realizam a anlise
completa dos pacotes e identifica os pacotes suspeitos, encontrando um pacote
malicioso, o mesmo e seus subseqentes so descartados. A identificao incorreta de
pacotes vlidos pode impedir o trfego e funcionamento dos sistemas.
3.2.5 Criptografia
A criptologia o estudo das tcnicas para garantir o sigilo e/ou a autenticidade da
informao e se divide em dois ramos principais, a criptografia que definida com a
arte ou cincia que trata do projeto dessas tcnicas, tornando a mensagem confusa,
incompreensvel para qualquer pessoa que no seja o destinatrio da mesma; e a
criptoanlise, que trata dos mecanismos para reverter essas tcnicas, recuperar a
informao ou forjar informaes tidas como autnticas (STALLINGS, 2008; WEBER,
2008). A seguir so apresentadas as duas formas de implementao de criptografia,
sendo elas, simtrica e assimtrica.
Criptografia simtrica, tambm conhecida como criptografia convencional, onde
com uma nica chave realizada a cifragem e decifragem da informao. O texto claro,


44
com a mensagem ou dados originais cifrado com a utilizao de um algoritmo de
criptografia que realiza diversas substituies e transformaes embaralhando o texto
original.
Uma vantagem na utilizao de criptografia simtrica a rapidez no processo de
cifragem e decifragem. Em contra partida as desvantagens consistem na necessidade de
que para cada par de usurios tenhamos uma chave diferente, a chave precisa ser
transmitida pelo menos uma vez do emissor para o receptor, com isso a transmisso
pode ser interceptada comprometendo a integridade da informao e a autenticidade e o
no-repudio. Exemplos de algoritmos: DES, 3DES, IDEA e o AES (CARVALHO,
2005).
Existem duas tcnicas de ataque associados a criptografia convencional, a
criptoanlise onde o atacante tenta descobrir o texto claro explorando caractersticas do
algoritmo. Outra tcnica o ataque por fora bruta onde o atacante experimenta cada
chave possvel, utilizando um dicionrio de dados, at obter o texto claro. Geralmente, o
ataque bem sucedido testando metade de todas as chaves possveis (STALLINGS,
2008).
Na criptografia assimtrica ou de chave pblica, criptagem e decriptagem so
realizadas utilizado um par de chaves, sendo uma pblica, de conhecimento de todos e a
outra privada mantida em sigilo pelas partes. O algoritmo de chave pblica utilizam
funes matemticas para realizar varias transformaes no texto original (SILVA,
2005).
Uma vantagem na utilizao da criptografia assimtrica a segurana, pois
computacionalmente invivel determinar a chave de decriptografia tendo o
conhecimento apenas da chave de criptografia e com isso garantida a
confidencialidade. A desvantagem reside no tempo gasto para se criptografar ou
decriptografar a informao, sendo muito superior ao da cifragem simtrica. Exemplos
de algoritmos: RSA e Diffie-Hellman (STALLINGS, 2008; WEBER, 2008).










45

4 CHECKLIST DE UM PLANO DE CONTINUIDADE DE
NEGCIOS
O checklist a seguir visa avaliar e orientar a organizao quanto a sua maturidade na
gesto de riscos e a conformidade com as melhores prticas utilizadas atualmente no
que se refere a segurana da informao e gerenciamento de risco. As questes foram
elaboradas seguindo a maioria dos controles propostos nas normas ABNT NBR ISO
/IEC 27002 e BS 27999-1. recomendado que a organizao utilize as respostas do
checklist para mapear os principais riscos e ameaas que os ativos podem estar sujeitos.
As respostas possveis da legenda abaixo foram elaboradas seguindo o modelo de
maturidade discutido no item 2.4 e nas sugestes propostas por FONTES, 2008. Quanto
mais prximo do sim for a resposta, mais adequada com as normas o controle est e
maior o nvel de maturidade frente aos processos de segurana da informao. O
checklist pode ser aplicado em toda a organizao ou somente em um departamento.

LEGENDA:
Resposta
AV Avaliao
0 - Soluo em planejamento inicial.
1 - Est planejada a implantao da soluo.

2 - Parcialmente implementada. Instvel. Ainda no
confivel.

3 - Possui o mnimo de atendimento aos requisitos.
Prestes a ser melhorada.

4- Quase totalmente implementada. Satisfatrio para
situaes normais.

5 - Totalmente implementada. Soluo implementada
referncia de mercado.

NA - No Aplicvel S - Sim N - No
NV - No Verificado S - Sim N - No



46
CHECKLIST - PLANO DE CONTINUIDADE DE NEGCIOS
OBJETIVO:
DATA: REA DE ABRANGNCIA:
N ADEQUAO CONTROLE/PROCEDIMENTO
NORMA ITEM QUESTO AV NV NA OBS
G01

Fatores crticos de sucesso

C01
Envolve a rea de segurana da informao
no planejamento das aes de negcio da
organizao.

C02
Define os objetivos do negcio e a forma de
atuao da organizao.

C03
Define recursos financeiros para o processo
de segurana da informao.

C04
Avalia periodicamente o desempenho da
gesto da segurana da informao.

C05
Avalia as prioridades da implementao dos
controles de segurana da informao.


G02

Poltica de segurana da
informao

C01
Possue um documento de poltica de
segurana da informao, contendo uma
definio, seus objetivos e a importncia da
segurana no uso e proteo da informao.

C02
Declara o comprometimento e aprovao da
direo, apoiando os objetivos e princpios da
segurana da informao.

C03
Publica e comunica a todos os colaboradores
e partes externas o documento da poltica de
segurana da informao.

C04
Relata as polticas, princpios e padres de
segurana, abordando s obrigaes legais e
contratuais, necessidade de treinamento,
preveno, gerenciamento da continuidade do
negcio e as conseqncias em caso de
violao da poltica de segurana.

C05
Define as responsabilidades gerais e
especficas na gesto da segurana da
informao.

C06
Faz referncias a outras literaturas sobre
segurana que possam ajudar a elaborao da
poltica de segurana da informao.

C07
Define um responsvel definido para reviso
e manuteno da poltica de segurana.

C08
Garante que a poltica de segurana da
informao esteja de acordo com o cdigo de



47

tica e demais polticas organizacionais.
C09
Assegura que a poltica de segurana da
informao esteja coerente com a legislao
do seu pas.


G03

Organizando a segurana da
informao

C01
Possue uma estrutura gerencial para iniciar e
coordenar a implementao do processo de
segurana da informao.

C02
Define claramente todas as responsabilidades
pela segurana da informao.

C03
Existe um frum gerencial responsvel pela
aprovao da poltica de segurana da
informao e monitorao da implementao
desta poltica de segurana.

C04
Identifica e define as responsabilidades pelos
ativos e processos de segurana da
informao.

C05
Define nveis de autorizao para os
responsveis pelos ativos de segurana.

C06
Define um processo de gesto de autorizao
para aquisio de novos recursos
computacionais.

C07
Autoriza a utilizao de meios pessoais de
processamento de informaes no ambiente
de trabalho.

C08
Realiza contato com autoridade policiais,
rgos regulamentadores, provedores de
servios e operadoras de telecomunicaes
para obter apoio no caso de incidentes de
segurana.

C09
Existe a independncia da rea responsvel
pelo processo de segurana da informao na
definio dos requisitos de segurana da
informao.

C10
Realiza uma avaliao de riscos
determinando formas de garantir a segurana,
onde houver necessidade de acesso de
terceiros.

C11
Possue contrato definindo a permisso do
acesso de terceiros.

C12
Diferencia os riscos de acesso fsico dos
riscos de acesso lgico.

C13
Monitora e define o tipo de acesso utilizado,
o valor das informaes, os controles
utilizados pela terceira parte e as implicaes
deste acesso para segurana das informaes
da organizao.



48
C14
Existe acordo permitindo auditoria para
verificar responsabilidades contratuais e o
direito de realizar auditorias por meio de
terceira parte.


G04

Gesto de ativos

C01 Possue inventrio de todos os ativos.
C02
Identifica os ativos quanto a propriedade e o
classifica quanto segurana.

C03
Define nveis de proteo em relao ao valor
e a importncia dos ativos.

C04
Os ativos de informao possuem um grau de
confidencialidade, sendo classificados quanto
necessidade, a prioridade e o grau de
proteo.

C05
Define para o usurio o gestor da informao
apresentada.

C06
Define procedimento de manuseio das
informaes no formato fsico e eletrnico.

C07
Define procedimento para o descarte da
informao.


G05

Segurana em recursos humanos

C01
Verifica a veracidade as informaes
apresentadas pelo candidato a emprego,
fornecedores e terceiros.

C02
Define os papis e responsabilidades pela
segurana da informao de colaboradores,
fornecedores e terceiros.

C03
Formaliza atravs de termos e condies de
emprego a responsabilidade dos
colaboradores, fornecedores e terceiros em
relao segurana da informao,
estendendo-se por um perodo definido aps o
trmino do vnculo com a organizao.

C04
Realiza, antes do incio das atividades,
treinamento e conscientizao dos
colaboradores, fornecedores e terceiros em
relao segurana da informao.

C05
Estabelece a abertura de processo
disciplinar para colaboradores, fornecedores e
terceiros que cometem quebras de segurana.

C06
Define as responsabilidades para realizar
o encerramento ou a mudana de um trabalho.

C07
Define um processo formalizado para
devoluo de todos os ativos da organizao
que estejam de posse dos colaboradores,
fornecedores e terceiros, aps o encerramento



49

do seu contrato.
C08
Define procedimento para retirada de
todos os direitos de acesso dos colaboradores,
fornecedores e terceiros, aps o encerramento
do seu contrato.


G06

Segurana fsica e do ambiente

C01
Define um permetro de segurana para
rea onde esto localizadas as instalaes
fsicas da organizao.

C02
Existe rea de recepo com atendentes
ou outro meio de controlar o acesso fsico.

C03
Existem barreiras fsicas impedindo
entrada no autorizada e contaminao
ambiental como, por exemplo, causadas por
incndio ou inundao.

C04
Existem portas corta-fogo no permetro
de segurana.

C05
Supervisiona os visitantes e registra o
horrio de entrada e sada.

C06
Informa aos visitantes os procedimentos
de segurana e de emergncia.

C07
Obriga o visitante a utilizar alguma forma
de identificao visvel.

C08
Avalia, na construo da rea,
possibilidade de danos causados por incndio,
inundao ou outras formas de desastres
naturais ou provocados.

C09
Existe monitoramento e a gravao de
imagens na rea de segurana.

C10
Define um perodo de armazenamento
das imagens para necessidade de recuperao.

C11
Realiza o controle da entrada e sada de
material.

C12
Dispe os equipamentos para evitar
acesso desnecessrio entre reas de trabalho.

C13
Adota controles para diminuir riscos de
ameaas tais como roubo, incndio, fumaa,
poeira etc.

C14
Protege os equipamentos contra falta de
energia e outras interrupes.

C15
A fonte de energia est de acordo com as
especificaes do fabricante do equipamento.

C16
Possue sada de emergncia e iluminao
de emergncia.

C17
Protege o cabeamento de energia e
telecomunicaes contra interceptao ou



50
danos.
C18
Realiza manuteno peridica dos
equipamentos e segue as especificaes do
fabricante.

C19
Realiza o registro de entrada e sada dos
equipamentos e informaes da organizao.

C20
Realiza a anlise das mdias de
armazenamento de dados antes do descarte.


G07

Gerenciamento das operaes e
comunicaes

C01
Possue documentao atualizada dos
procedimentos operacionais que esto
descridos na poltica de segurana da
informao.

C02
Possue documentao detalhada contendo
informaes suficientes para outro
profissional com o mesmo conhecimento
tcnico execute as atividades do profissional
original.

C03
Realiza controle de todas as alteraes
em equipamentos, softwares ou
procedimentos.

C04
Mantm logs registrando as alteraes
realizadas nos softwares.

C05
Realiza a segregao de tarefas,
diminuindo responsabilidades, reduzindo o
risco de m utilizao do sistema e a
oportunidade de alteraes no autorizadas.

C06
Define, controla e documenta as regras
para transferncia de software do processo de
desenvolvimento para o status operacional.

C07
Divide as atividades de desenvolvimento
e homologao.

C08
Controla a troca de informaes com
parceiros terceirizados, garantindo controles
de segurana da informao.

C09
Realiza o monitoramento e
gerenciamento dos servios prestados por
terceiros, permitindo a realizao de
auditorias.

C10
Gerencia os processos de mudana nos
servios terceirizados.

C11
Monitora a capacidade dos sistemas,
identificando atividades novas ou em
andamento para garantir e melhoria da
disponibilidade e eficincia dos sistemas.

C12
Define, documenta e testa os requisitos e
critrios para aceitao de novos sistemas.



51

C13
Conscientiza os colaboradores,
fornecedores e terceiros sobre o risco na
utilizao de software malicioso ou no
autorizado.

C14
Possue cpia de segurana das
informaes e dos softwares.

C15
Possue documentao sobre os
procedimentos de restaurao das
informaes e dos softwares.

C16
Armazena a cpia de segurana a uma
distncia segura do local principal.

C17
Garante a proteo fsica e ambiental da
cpia de segurana.

C18
Realiza testes nas mdias utilizadas para o
armazenamento da cpia de segurana.

C19
Define controles para segurana dos
dados nas redes e a proteo de servios que
se utilizam das redes.

C20
Define procedimentos para gerenciar as
mdias removveis, tais como, pendrive.

C21
Apaga os dados existentes nas mdias
removveis quando estes no so mais
necessrios.

C22
Estabelece procedimentos para manuseio
e armazenamento de informaes.

C23
Documenta os procedimentos e nveis de
autorizao para manuseio e armazenamento
das mdias.

C24
Possue restries de acesso para pessoal
no autorizado.

C25
Existe procedimento e controle
estabelecido para troca de informaes e
softwares internamente organizao e com
quaisquer entidades externas.

C26
Possue controles para proteo das
mdias durante o transporte fsico.

C27
Existe uma poltica sobre uso do correio
eletrnico.

C28
Implementa o mecanismo de assinatura
digital nas transaes on-line.

C29
Utiliza controles especiais, por exemplo,
chaves de criptografia, para proteger itens
sensveis.

C30
Protege a integridade das informaes
disponibilizadas publicamente.

C31
Possue processo formal de autorizao
antes de disponibilizar publicamente as
informaes.



52
C32
Armazena por um determinado perodo o
registro de auditoria das atividades dos
colaboradores, fornecedores e terceiros para
futuras investigaes.

C33
Realiza o monitoramento do uso de recursos
do sistema.

C34
Garante a autenticidade, acesso no
autorizado e falsificao dos registros de
auditoria.

C35
Armazena os registros de auditoria das
atividades realizadas pelos administradores e
operadores do sistema.

C36
Registra e analisa o registro de falhas
ocorridas nos sistemas.

C37
Garante a sincronizao dos relgios com
uma hora oficial de todos os sistemas.


G08

Controle de acessos

C01
Define e documenta os requisitos de
controle de acesso as informaes.

C02
Define regras e direitos de controle de
acesso para cada usurio e/ou grupo de
usurios.

C03
Existe procedimento formal para
cadastramento e descadastramento de
usurios.

C04
Armazena o registro de todos os
colaboradores, fornecedores e terceiros que
utilizam determinado sistema.

C05
Remove imediatamente os direitos de
acesso aos usurios que trocam de funo ou
deixam a organizao.

C06
Identifica os privilgios de acesso de
cada sistema ou servio.

C07
Exige dos colaboradores, fornecedores e
terceiros a assinatura em declarao que iram
manter confidenciais suas senhas.

C08
Possue outras formas de autenticao de
usurios tais como biomtrica, verificao de
assinaturas ou cartes com chip.

C09
Revisa os direitos de acesso dos usurios
periodicamente e aps alguma alterao.

C10
Existe processo de conscientizao para o uso
de senhas seguindo as boas prticas de
segurana da informao.

C11
Orienta os colaboradores, fornecedores e
terceiros dos requisitos e procedimentos de
segurana para proteo dos equipamentos



53

desacompanhados.
C12
Utiliza mtodos de autenticao para permitir
conexes externas.

C13
Realiza uma avaliao de risco para
determinar o nvel de proteo necessria
para as conexes externas.

C14
Permite suporte tcnico atravs de conexes
remotas.

C15
Divide a rede em domnios lgicos evitando
acesso no autorizado aos sistemas.

C16
Possue controle de roteamento assegurando
uma conexo segura entre a origem e o
destino.

C17
Registra acessos bem-sucedidos e fracassados
ao sistema operacional.

C18
Restringe o tempo de conexo ao sistema
operacional.

C19
Implementa identificador nico de uso
pessoal e exclusivo para a autenticao nos
sistemas.

C20
Fornece mensagens de ajuda durante o
processo de logon.

C21
Valida as informaes de logon somente aps
o trmino da entrada de dados.

C22
Limita a quantidade de tentativas fracassadas
de logon.

C23
Administradores, programadores e operadores
possuem identificador exclusivo para uso
pessoal proporcionando responsabilidade
individual.

C24
Possue um sistema de gerenciamento de
senhas.

C25
Altera a senha padro dos fornecedores logo
aps a instalao do software e outros
equipamentos.

C26
Prev que os terminais inativos sejam
desconectados aps um tempo definido de
inatividade.

C27
Limita o horrio de conexo as aplicaes
definidas de alto risco.

C28
Controla os direitos de acesso dos usurios
informao e s funes de sistemas,
restringindo leitura, gravao e excluso da
informao.

C29
Os sistemas considerados sensveis e de
alto risco possuem um ambiente
computacional isolado.

C30 Realiza uma avaliao de risco para


54
definir o nvel de monitoramento quanto ao
uso do sistema.
C31
Analisa periodicamente o resultado do
monitoramento das atividades.

C32
Possue uma poltica formal descrevendo
os riscos do uso das facilidades da
computao mvel.

C33
Possue uma poltica, procedimentos ou
padres para controlar as atividades de
trabalho remoto.


G09

Aquisio, desenvolvimento e
manuteno de sistemas de
informao

C01
Possue uma metodologia de
desenvolvimento de sistemas contendo os
requisitos de segurana.

C02
Divulga a metodologia de
desenvolvimento de sistemas a todos os
desenvolvedores (colaboradores e terceiros)

C03
Treina novos desenvolvedores sobre os
padres e forma de trabalho na organizao.

C04
Existe trs ambientes computacionais
bem definidos, sendo eles: desenvolvimento,
teste e produo.

C05
Identifica todos os requisitos de
segurana na fase de requisitos de um projeto
e os mesmos so justificados, acordados e
documentados para um sistema de
informao.

C06
Define controles para validao dos
dados de entrada.

C07
Valida os dados gerados pelo sistema,
podendo identificar possvel corrupo de
informaes, erros ou aes maliciosas.

C08
Define controles para validao dos
dados de sada.

C09
Existe uma poltica para uso de controles
criptogrficos para a proteo da informao.

C10
Existe um processo para controlar a
instalao de software em sistemas
operacionais.

C11
Utiliza dados criados especialmente para
testes na realizao de testes de sistema.

C12
Mantm um controle sobre o acesso ao
cdigo-fonte de softwares.

C13
Existe controle para implementao de
alteraes.



55

C14
Documenta e testa as alteraes
permitindo serem reaplicadas quando
necessrio.

C15
Realiza uma anlise para verificar a
continuidade do fornecedor frente ao mercado
de tecnologia

C16
Existe controle para prevenir o
vazamento de informaes.

C17
Monitora e supervisiona o
desenvolvimento terceirizado de software.

C18
Existe gesto de vulnerabilidades
tcnicas dos sistemas de informao.


G10

Gesto de incidentes de
segurana da informao e
melhorias

C01
Existe um procedimento estruturado para
o tratamento de incidentes de segurana da
informao.

C02
Estabelece a segregao de
responsabilidade na gesto de incidentes de
segurana da informao.

C03
Existe procedimento para gesto dos
diferentes tipos de incidentes de segurana da
informao.

C04
Existe uma integrao da gesto de
incidentes de segurana da informao com
um processo de gesto de incidentes da
organizao.

C05
Planeja e implementa ao corretiva para
prevenir a reincidncia de um incidente de
segurana da informao.

C06
Documenta em detalhes todas as aes de
emergncia para recuperao de correo de
falhas do sistema.

C07
Possue um canal de comunicao
possibilitando ao colaborador, fornecedor ou
terceiro registrar a ocorrncia de um
incidente.

C08
O canal de comunicao auxilia na
anlise de incidente de segurana da
informao indicando necessidade de
melhoria ou controles adicionais.

C09
Existe procedimento para coleta de
evidncias, armazenamento e apresentao
em conformidade com as normas aplicveis.


G11

Gerenciamento da continuidade



56
do negcio
C01
Existe um plano de continuidade de
negcios que deve ser aplicado na ocorrncia
de um desastre que indisponibilize recursos
computacionais.

C02
Contempla no plano de continuidade de
negcios os requisitos de segurana da
informao.

C03
Identifica todos os ativos envolvidos em
processos crticos do negcio.

C04
Identifica os eventos que podem causar
interrupo nos processos de negcio.

C05
Identifica os eventos levando em conta a
probabilidade e o impacto de tais interrupes
e as conseqncias para a segurana da
informao.

C06
Realiza periodicamente uma avaliao de
risco focando as ameaas que podem
indisponibilizar recursos de informao.

C07
Existe uma estratgia para suportar uma
situao de contingncia que atenda os
requisitos de recuperao do negcio.

C08
Implementa uma estratgia validada pela
direo da organizao.

C09
Existe conscientizao e treinamento
adequado para as pessoas nos procedimentos
e processos do plano de continuidade de
negcios.

C10
Possue um roteiro atualizado definindo os
procedimento a serem tomados quando da
ocorrncia de uma situao de contingncia.

C11
Possue processo formal garantindo a
atualizao do plano de continuidade de
negcios.

C12
Realiza testes peridicos para a utilizao
correta do plano de continuidade de negcios.


G12

Conformidade

C01
Tem conhecimento do conjunto de
legislao, regulamentos, estatutos e
obrigaes contratuais que a organizao
deve cumprir.

C02
Existe conscientizao de que todos os
usurios devem conhecer os requisitos para
tratar a informao no desenvolvimento de
sistemas.

C03
Existe a interao do departamento
jurdico com o departamento de tecnologia da
informao para garantir a conformidade da



57

organizao com a legislao e outros
regulamentos.
C04
Existe um processo que garanta a
atualizao constante da organizao quanto
legislao e demais regulamentos.

C05
Garante a proteo dos dados e a
privacidade de informaes pessoas conforme
exigido na legislao e demais regulamentos.

C06
Guarda as cpias de segurana num local
com o mesmo nvel de segurana do local
original.

C07
Transporta fisicamente as cpias de
segurana em embalagens especficas.

C08
Monitora seguindo a legislao e demais
regulamentos o mau uso dos recursos
computacionais.

C09
Utiliza controles de criptografia em
conformidade com as leis e demais
regulamentos.

C10
Garante a conformidade dos
procedimentos de segurana da informao
de acordo com as normas e polticas de
segurana da informao.

C11
Existe um processo que defina os
procedimentos de auditoria e de desempenho
computacional.

C12
Realiza as auditorias com pessoas que
sejam independentes das atividades auditadas.







58
5 CONCLUSO
Atualmente, a proteo dos ativos de informao tornou-se de vital
importncia para o gerenciamento do negcio, mas a tecnologia ao mesmo tempo
que agiliza os processos tambm torna a informao mais vulnervel, necessitando
com isso de maior segurana para que est no cair em mos erradas.
A realizao desta monografia permitiu conhecer melhor o processo de
gerenciamento de risco utilizado para implementao de um plano de continuidade
de negcios e quanto importante a utilizao do plano no mapeamento das ameaas
e riscos que os ativos de informao esto sujeitos. A nfase dada a segurana da
informao permitiu aprofundar os conhecimentos sobre as principais ameaas que a
informao est exposta e os mecanismos de defesa que devem ser implementados
para proteger a informaes de atividades maliciosas.
importante salientar que a segurana da informao no deve ser tratada
somente como um processo de tecnologia. Todos os departamentos da organizao
devem estar comprometidos com a proteo da informao, pois a impossibilidade
de realizar adequadamente suas operaes vo resultar em prejuzos financeiros,
operacionais e de imagem.
Espero que este trabalho seja mais uma fonte referencial no estudo de
gerenciamento de riscos e plano de continuidade de negcios. Lembrando que, a
implementao e a manuteno dos processos de gerenciamento de risco e
construo do plano de continuidade de negcios devem ser sempre claros e ter o
apoio de todos os envolvidos no processo, principalmente a direo da organizao.
Com trabalho futuro sugiro o aperfeioamento do checklist, com incluso, excluso e
aperfeioamento dos controles, conforme a caracterstica da organizao.




59
REFERNCIAS
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. ABNT ISO/IEC GUIA
73: Gesto de riscos - Vocabulrio Recomendaes para uso em normas. Rio de
Janeiro, 2005.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. ABNT NBR ISO/IEC
27001:2006: Tecnologia da Informao - Tcnicas de Segurana - Sistemas de Gesto
da Segurana da Informao - Requisitos. Rio de Janeiro, 2006.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. ABNT NBR ISO/IEC
27002:2007: Tecnologia da Informao - Tcnicas de Segurana - Cdigo de Prtica
para a Gesto da Segurana da Informao. Rio de Janeiro, 2007.
BRANDO, J. E. M. S.; FRAGA, J. S., Gesto de Riscos. In: SIMPSIO
BRASILEIRO EM SEGURANA DA INFORMAO E DE SISTEMAS
COMPUTACIONAIS, SBSeg, 8., 2008, Gramado. Anais... Porto Alegre: SBC, 2008. p.
1-43.
BRASIL. Tribunal de Contas da Unio. Boas prticas em segurana da informao /
Tribunal de Contas da Unio. 2. ed. Braslia: TCU, Secretria de Fiscalizao de
Tecnologia da Informao, 2007.
BRITISH STANDARDS INSTITUTE. BS 25999-1: Code of Practice for Business
Continuity Management. London, 2006
CARVALHO, L. G. Segurana de Redes. So Paulo: Cincia Moderna, 2005.
CERT.br. Cartilha de Segurana para Internet. Verso 3.1. So Paulo: Comit
Gestor da Internet no Brasil, 2006.
FAGUNDES, E. M. COBIT: um kit de ferramentas para a excelncia de TI. So Paulo,
2004. Disponvel em: <http://www.efagundes.com/artigos/COBIT.htm>. Acesso em:
out. 2008.
FONTES, E. L. G. Praticando a Segurana da Informao. Rio de Janeiro: Brasport,
2008.
FONTES, E. L. G. Segurana da Informao - O usurio faz a diferena! So Paulo:
Saraiva, 2006.
ICP Brasil. Glossrio ICP-BRASIL - Verso 1.1. Braslia, 2006. Disponvel em:
<https://www.icpbrasil.gov.br/duvidas/glossary>. Acesso em: out 2008.


60
IMONIANA, J. O. Auditoria de Sistemas de Informao. 2. ed. So Paulo: Atlas,
2008.
IT GOVERNANCE INSTITUTE. CobIT 4.1. Illinois, 2007.
LAHTI, C. B.; PETERSON, R. Sarbanes-Oxley: Conformidade TI Usando CobIT e
Ferramentas Open Source. So Paulo: Alta Books, 2006.
MAGALHES, I. L.;PINHEIRO W. B. Gerenciamento de Servios de TI na prtica:
Uma abordagem com base no ITIL. Porto Alegre: Novatec, 2007.
MANSUR, R. Governana de TI. So Paulo: Brasport, 2007.
MDULO. Lanamento da Norma ISO/IEC 27005:2008. So Paulo, 2008.
Disponvel em: <http://www.modulo.com.br/site?infoid=2506&lng=br&sid=78>
Acesso em: out. 2008.
SMOLA, M. As principais ameaas segurana em 2008. IDG NOW! Tecnologia
em primeiro lugar. So Paulo, 2008. Disponvel em:
<http://idgnow.uol.com.br/seguranca/firewall/idgcoluna.2007-12-20.0767720515/>.
Acesso em: ago. 2008.
SILVA, L. S. Virtual Private Network. 2. ed. So Paulo: Novatec, 2005.
STALLINGS, W. Criptografia e Segurana de Redes: Princpios e Prticas. 4. ed.
So Paulo: Prentice-Hall, 2008.
TAMBORIM, A. L. Segurana extrema com LIDS. Disponvel em:
<http://www.vivaolinux.com.br/artigo/Seguraca-extrema-com-LIDS/>. Acesso em: out.
2008.
TANEMBAUM, A. S. Redes de Computadores. 4. ed. So Paulo: Campus, 2003.
TANEMBAUM, A. S. Sistemas Operacionais Modernos. 2. ed. So Paulo: Prentice-
Hall, 2003.
TREVENZOLI, A. C. Percia forense computacional ataques, identificao da
autoria, leis e medidas preventivas das ameaas sobre o ambiente operacional.
Sorocaba, 2006.
WEBER, R. Slides de Aula. Disciplina de Segurana em Servios e Aplicaes.
Especializao em Tecnologias, Gerncia e Segurana de Redes de Computadores.
2008. Instituto de Informtica, UFRGS, Porto Alegre.