Professional Documents
Culture Documents
DESENVOLVIMENTO
PS-SEGURA CONSULTORIA EMPRESARIAL
Fbio Vazquez
Maurcio de Alexandrino
Introduo
A empresa a ser analisada prov solues inovadoras no segmento de
administrao de ambientes e servios de TI, sendo, portanto, importantssimo
o correto uso e tratamento de suas informaes.
Segundo informado pelo cliente, proteger o conhecimento e as
informaes do segmento de negcio FLAMENGO e de seus colaboradores,
passou a ser uma necessidade estratgica e fundamental para o seu sucesso.
Portanto, o projeto de desenvolvimento do SGSI tem como objetivo atender a
esta demanda de segurana, estabelecendo um conjunto de controles de
segurana adequados e preparados para proteger os ativos de informao e
propiciar confiana s partes interessadas.
Desta forma, esta consultoria ir propor a identificao dos riscos
inerentes ao negcio, propiciando um estudo sobre a real necessidade de
mitig-los e reduzi-los atravs das seguintes etapas:
Mapeamento de Processos
A consultoria de processos permite a modelagem e a medio
efetividade dos processos de negcios existentes, o que auxilia
compreenso da forma de operao dos negcios e permite aos tomadores
deciso identificar reas que precisam de melhorias. Com o mapeamento
processos possvel simular resultados de alteraes de processos antes
sua efetiva implementao, atravs do seguinte estudo:
da
na
de
de
de
I ANLISE DE RISCOS
1 Relatrio de Anlise de Impacto (BIA)
1.1 Introduo
A Anlise de Impacto prev a inoperncia de cada processo crtico
dentro de uma organizao, levando em considerao alguns critrios de
negcio. Para tal, necessrio o conhecimento prvio do funcionamento
interno da empresa. Ela permite quantificar o valor das perdas que podem ser
causadas por incidentes de segurana da informao, considerando os
aspectos de confidencialidade, integridade e disponibilidade.
1.2 Histrico
No existe um estudo anterior sobre o assunto, ou seja, este ser o
primeiro levantamento a ser realizado na FLAMENGO INC, englobando os 4
(quatro) macro-processos considerados estratgicos para a organizao,
listados a seguir:
Administrativo
Financeiro
Comunicao
Outsourcing
1.3 Objetivo
necessrio fazer um levantamento dos principais servios que a TI
deva fornecer para cada rea de negcio, a fim de estabelecer quais os pontos
a serem observados e protegidos no Plano de Continuidade do Negcio. Os
resultados obtidos pela Anlise de Impacto do suporte ao planejamento
estratgico de segurana, permitindo priorizar os investimentos nos pontos
mais crticos, ou seja, aqueles que podem gerar as maiores perdas para a
empresa.
1.4 Abordagem
Ser realizado o mapeamento da situao atual, atravs de entrevistas
com os responsveis de cada macro-processo, a fim de identificar os principais
componentes, apresentando aos entrevistados um cenrio de desastre que
viesse a ocasionar parada total da execuo do processo de negcio. A
metodologia empregada foi a aplicao de questionrios padronizados.
Baixo (10)
BAIXO
10 x 1,0 =
10
BAIXO
10 x 0,5 =
5
BAIXO
10 x 0,1 =
1
Impacto
Mdio (50)
Alto (100)
MDIO
ALTO
50 x 1,0 =
100 x 1,0 = 100
50
MDIO
MDIO
50 x 0,5 =
100 x 0,5 = 50
25
BAIXO
BAIXO
50 x 0,1 =
100 x 0,1 = 10
5
II PLANO DE SEGURANA
1 Plano de Contingncia
1.1 Necessidade de estabelecer controles
Falhas que atinjam diretamente os ativos podem ser naturais ou
causadas pelo homem, e impactam a execuo efetiva dos principais
processos de uma organizao. Um plano para a resposta de emergncia e
recuperao de ativos atingidos por uma falha ou desastre o objetivo central
deste Plano de Segurana.
Aps realizada a etapa de anlise de risco e estabelecida a prioridade
no tratamento dos ativos crticos, iremos propor a implementao de controles
para minimizar a possibilidade de que a ameaa em questo possa explorar a
vulnerabilidade apontada no estudo.
Nesta etapa, iremos abordar os controles que devero ser
implementados e qual a resposta esperada para que o mesmo exera sobre o
ativo uma funo de CONTINGNCIA, permitindo um funcionamento
temporrio ou de emergncia para que o servio de TI fornea o funcionamento
durante o desastre, a fim de evitar a parada do processo de negcio.
1.2 Controles a serem implementados
De acordo com a NBR/ISSO 27002, iremos relacionar os controles que
devero ser implementados para cada um dos ativos, para que possamos
proporcionar a contingncia e posteriormente estabelecermos os critrios que
definiro o Plano de Continuidade.
Ativo
Vulnerabilidade
Switch de borda
Estaes de trabalho
Central telefnica IP
Servidor de e-mal
Servidor de gravao
Servidor de aplicao (NFe)
Storage
UPS (No-break)
Sistema CRM
Profissionais terceirizados
Controle de acesso biomtrico
Controle proposto
Cpias de segurana
Segregar redes
Controle de vulnerabilidade
Sistema operacional obsoleto ou descontinuado tcnica
Falta de redundncia de operadoras
Engenharia social (funcionrios insatisfeitos)
Falta de controle fsico
Queda de conexo com banco de dados
Falta de replicao dos dados
Tempo de disponibilidade das baterias
Falha no acesso ao banco de dados
Falha na execuo do projeto
Falha no cadastro de acesso
Controle de rede
Poltica de uso dos servios de
rede
Controle de entrada fsica
Controle de roteamento de
redes
Instalao e proteo do
equipamento
Gerenciamento de servios
terceirizados
Verificao da conformidade
tcnica
Termos e condies de
contratao
Segurana em escritrios,
salas e instalaes
Ativo
Impacto
Comunicao
Central telefnica
Servidor de e-mail
Servidor de gravao
1
0,5
0,5
RTO
(em
horas)
1
2
4
Percentual
mnimo de
atividade
50%
10%
15%
Tempo de
retomada (em
horas)
2
4
8
Central telefnica IP
Servidor de e-mail
Servidor de gravao
3. Resposta emergncia
Proceder com a ativao do Plano quando necessrio, de acordo com a
tabela de Impacto (BIA), evitando que o ativo permanea inoperante alm
do perodo estipulado como aceitvel.
Acionar a equipe de incidentes e proceder com a recuperao do ativo
dentro do perodo estipulado em contrato como sendo o tempo mximo
aceitvel para efetivar o plano.
3.1 Estratgias de continuidade
3.1.1 Datacenter
Considera a probabilidade de transferir a operacionalizao da atividade
atingida para um ambiente terceirizado; portanto, fora dos domnios da
empresa. Por sua prpria natureza, em que requer um tempo de
indisponibilidade menor em funo do tempo de reativao operacional da
atividade, torna-se restrita a poucas organizaes, devido ao seu alto custo. O
fato de ter suas informaes manuseadas por terceiros e em um ambiente fora
de seu controle, requer ateno na adoo de procedimentos, critrios e
mecanismos de controle que garantam condies de segurana adequadas
relevncia e criticidade da atividade contingenciada.
3.1.2 Hot-site
Recebe este nome por ser uma estratgia pronta para entrar em
operao assim que uma situao de risco ocorrer. O tempo de
operacionalizao desta estratgia est diretamente ligado ao tempo de
tolerncia a falhas do objeto. Se a aplicssemos em um equipamento
tecnolgico, um servidor de e-mail, por exemplo, estaramos falando de
milessegundos de tolerncia para garantir a disponibilidade do servio mantido
pelo equipamento.
3.1.3 Warm-site
Esta se aplica a objetos com maior tolerncia paralisao, podendo se
sujeitar indisponibilidade por mais tempo, at o retorno operacional da
atividade, como exemplo, o servio de e-mail dependente de uma conexo.
Vemos que o processo de envio e recebimento de mensagens mais tolerante
que o exemplo usado na estratgia anterior, pois poderia ficar indisponvel por
minutos, sem, no entanto, comprometer o servio ou gerar impactos
significativos.