Professional Documents
Culture Documents
UNIVERSIDADE DE TAUBAT
Eliana Mrcia Moraes
Taubat SP
2007
UNIVERSIDADE DE TAUBAT
Eliana Mrcia Moraes
Taubat SP
2007
Data: 25 / 07 / 2007
Resultado: ___________________________
BANCA EXAMINADORA
Professor Dr. Marcio Lourival Xavier dos Santos
Universidade de Taubat
Assinatura: ________________________
Universidade de Taubat
Assinatura: ________________________
AGRADECIMENTOS
A Deus pela minha famlia e por tudo o que me anima nesta caminhada.
Universidade de Taubat UNITAU, principalmente Pr Reitoria de Pesquisa
e Ps Graduao pela oportunidade e pela bolsa de estudos, a mim concedida.
Especialmente ao meu orientador, Professor Dr. Marcio Lourival Xavier dos
Santos, pela confiana em mim, dedicao, contribuio e incentivo para meu
desenvolvimento no Mestrado.
Ao Professor Dr. Jos Alberto Fernandes Ferreira pelo apoio e ensinamentos.
Professora Dra. Isabel Cristina dos Santos e ao Professor Dr. Luiz Alberto
Vieira Dias pelas observaes e correes construtivas.
Ao Professor Dr. Edson Aparecida de Arajo Querido de Oliveira pela excelente
qualidade deste curso de mestrado.
Professora Dra. Maria Jlia Xavier Ribeiro e Professora Dra. Hilda Maria
Salom Pereira pela ateno e pelas recomendaes.
Ao professor Dr. Jos Glnio Medeiros de Barros pelo apoio e compreenso.
Aos Professores Dr. Marco Antonio Chamon, Dr. Marcio da Silveira Luz, Dr.
Jos Lus Gomes da Silva, Dr. Francisco Cristvo Loureno de Melo e Dr.
Antnio Pascoal DelArco Jnior pelas indicaes nas bancas de seminrios.
Ao Professor lvaro Augusto Neto, do ITA, Instituto Stefanini e IBTA, por indicar
grande parte da amostra de respondentes desta dissertao.
A todos os professores e funcionrios da UNITAU por tudo o que me foi
proporcionado, sobretudo secretria Alda Aparecida dos Santos.
Aos colegas de trabalho e de estudo pelas palavras de conforto, crticas e
sugestes.
Aos respondentes do questionrio pela disponibilidade e por compartilharem seus
conhecimentos.
A todos que colaboraram direta ou indiretamente para a concluso desta
dissertao.
"H os que se queixam do vento. Os que esperam que ele mude. E os que
procuram ajustar as velas." -- William George Ward
RESUMO
As opinies dos
respondentes divergem em alguns pontos, o que pode ser explicado pela falta de
guias e cursos especficos para o planejamento de backup de dados. No decorrer
da dissertao, foi mostrada a importncia da Segurana da Informao e
finalmente, foram propostas as fases a serem respeitadas em um planejamento de
backup de dados.
Palavras-Chave: Segurana da Informao. Estratgias de Backup de Dados.
Poltica de Segurana. Plano de Continuidade de Negcios.
ABSTRACT
This work presents some results from a research carried out with the main objective
of proposing Data Backup Strategies. The results have been collected based upon
both the known practices found in the literature, publicized articles and comments in
the "world wide web" and on the actual practices which have been in use by a
technical staff in Information Security. To this objective, documents describing the
"best" and the "most used practices" in Data Backup Management were collected in
the Internet and also from technical references published on the subject. In order to
access the most common practices, a written survey was devised and sent to a
selected professional staff working in Information Security, which had been asked to
answer a questionnaire regarding their recommended Data Backup planning
strategies. From the answers given to the questionnaire; it can be detected that not
all the prescribed practices are being used by the respondents. In fact, it is noticeable
that their opinions diverge. This dissertation demonstrates the importance of keeping
the integrity of the Information and the best practices to ensure its protection,
availability and recovery. Finally, a Data Backup Strategy is presented.
Keywords: Information Security. Data Backup Strategies. Security Policy. Business
Continuity Plan.
SUMRIO
RESUMO................................................................................................ 7
ABSTRACT............................................................................................ 8
LISTA DE FIGURAS ............................................................................ 11
LISTA DE TABELAS ........................................................................... 12
1 INTRODUO .................................................................................. 13
1.1 O PROBLEMA DE PESQUISA...........................................................................16
1.1.1 Objetivo Geral ..................................................................................................16
1.1.2 Objetivos Especficos .......................................................................................16
1.2 DELIMITAO DO ESTUDO .............................................................................17
1.3 RELEVNCIA DO ESTUDO...............................................................................17
1.4 ORGANIZAO DO TRABALHO ......................................................................19
2 REVISO DA LITERATURA............................................................. 20
2.1 SEGURANA DA INFORMAO .....................................................................20
2.1.1 Classificao da Informao ............................................................................22
2.1.2 Anlise de Riscos, Vulnerabilidades, Ameaas e Falhas. ................................24
2.1.3 Impactos e Prevenes ....................................................................................28
2.2 POLTICA DE SEGURANA DA INFORMAO ..............................................29
2.2.1 Poltica de Segurana da Informao e backup de dados ...............................31
2.3 PLANO DE CONTINUIDADE DE NEGCIOS ...................................................31
2.3.1 Plano de Continuidade de Negcios e backup de dados .................................34
2.4 ESTRATGIAS DE BACKUP DE DADOS.........................................................34
2.4.1 Termos utilizados para o Planejamento de backup de dados ..........................35
2.4.2 Tipos de Backup...............................................................................................37
2.4.3 Gerenciamento do ciclo de vida das informaes ............................................39
2.4.4 Recomendaes para Backup e Recuperao de Dados ................................41
3 METODOLOGIA ............................................................................... 47
3.1 TIPO DE PESQUISA ..........................................................................................47
3.2 UNIVERSO E AMOSTRA ...................................................................................48
3.3 COLETA DE DADOS..........................................................................................49
3.4 TRATAMENTO DOS DADOS.............................................................................51
10
5 CONCLUSO ..................................................................................102
REFERNCIAS...................................................................................106
ANEXO A - TERMO DE CONSENTIMENTO LIVRE E ESCLARECIDO
............................................................................................................109
ANEXO B - QUESTIONRIO .............................................................112
11
LISTA DE FIGURAS
Figura 1 - Tempo de trabalho na rea de Segurana da Informao........................56
Figura 2 - Cursos na rea de Segurana da Informao ..........................................56
Figura 3 - Principais razes para se ter um plano de backup....................................57
Figura 4 - Partes de um plano de backup de dados..................................................60
Figura 5 - Consideraes para Poltica de Segurana da Informao ......................73
Figura 6 - Consideraes para o Plano de Continuidade de Negcios .....................74
Figura 7- Manual especfico para elaborao de plano backup de dados ................75
Figura 8 - Normas e/ou recomendaes para backup de dados...............................76
Figura 9 - Certificao em gesto ou planejamento de backup.................................78
Figura 10 - Tratamentos dos dados antes de serem armazenados ..........................79
Figura 11 - Necessrio para classificar os dados a serem backapeados ...............81
Figura 12 - Estratgias para minimizar o tempo do backup ......................................82
Figura 13 - Estratgias para o backup disponvel, e rpida recuperao..................83
Figura 14 - Necessrio para escolher tecnologias de hardware e software ..............85
Figura 15 - Necessrio para escolher mdias para backup de dados........................86
Figura 16 - Backup remoto ........................................................................................88
Figura 17 - Consideraes para contrato de backup remoto ....................................90
Figura 18 - Estratgias para documentao de backup e recuperao ....................91
Figura 19 - Grupos que devem testar e avaliar o plano de backup ...........................93
Figura 20 - Periodicidade para testar e avaliar os planos de backup ........................94
12
LISTA DE TABELAS
Tabela 1 - Equipes para o plano de backup ..............................................................62
Tabela 2 - Equipes para a definio de responsabilidades .......................................63
Tabela 3 - Equipes para os procedimentos de armazenamento ...............................64
Tabela 4 - Equipes para os procedimentos de documentao .................................65
Tabela 5 - Equipes para a classificao de informaes ..........................................65
Tabela 6 - Equipes para a definio de locais de armazenamento ...........................66
Tabela 7 - Equipes para os procedimentos de transporte e guarda de mdias .........66
Tabela 8 - Equipes para os procedimentos de escolha de hardware........................67
Tabela 9 - Equipes para os procedimentos de escolha de software .........................68
Tabela 10 - Equipes para os procedimentos de escolha de mdias ..........................68
Tabela 11 - Equipes para a determinao do perodo de reteno das informaes68
Tabela 12 - Equipes para o agendamento do backup...............................................69
Tabela 13 - Equipes para os procedimentos de transmisso dos dados ..................69
Tabela 14 - Equipes para os procedimentos de reteno das mdias.......................70
Tabela 15 - Equipes para a definio da periodicidade da reviso do plano ............71
Tabela 16 - Equipes para a nomeao de arquivos ..................................................71
13
1 INTRODUO
tm
um
valor
incalculvel.
Dependendo
do
objetivo
14
armazenamento
dos
dados,
de
outros
fatores
que precisam
ser
considerados.
Alm de manter o backup para ser recuperado em casos de perda de
dados, as organizaes obedecem a regulamentos governamentais, que
obrigam a guarda de informaes. Por exemplo, independente do porte ou
negcios, as organizaes que possuem funcionrios contratados precisam
manter os dados empregatcios por longo tempo determinado por lei. E a
necessidade de manter a massa de dados por tanto tempo transforma o
backup em operao crtica.
Este trabalho surgiu a partir de preocupaes em guardar de maneira
segura os dados de uma Universidade. Depois de informatizar alguns servios
e processos e com a utilizao de bancos de dados para sistemas
administrativos, internet, ensino distncia e outros, a Instituio passou a ser
mais dependente dos dados eletrnicos, e com o volume desses dados
aumentando h a dificuldade de guard-los de modo seguro.
Para garantir o presente e assegurar o futuro dos dados dessa
Universidade, procurou-se resolver o problema da guarda dos dados
eletrnicos, porm ao tratar desse assunto verificou-se o nvel de complexidade
do tema backup, desde a parte de planejamento at a prtica em si. Como esta
foi a primeira pesquisa na Universidade sobre backup optou-se por analisar
sobre o planejamento do backup, ou seja, quais as estratgias para backup de
dados.
Foi realizado um estudo onde foram levantadas as principais variveis
para o planejamento de backup de dados. Para isso foi feita uma reviso na
literatura sobre Segurana da Informao com enfoque em backup de dados.
15
pela
Segurana
da
Informao
nas
organizaes
onde
16
17
18
19
20
2 REVISO DA LITERATURA
A reviso da literatura est dividida em quatro sees. A primeira define
e mostra a importncia da Segurana da Informao, a segunda e a terceira
partes, respectivamente, explicam sobre Poltica de Segurana da Informao
e Plano de Continuidade de Negcios. As trs primeiras partes introduzem e
fornecem informaes para a compreenso do contexto, formulando as origens
das preocupaes com backup de dados. Finalmente na quarta seo so
apresentadas as estratgias de backup de dados, principal assunto desta
pesquisa.
21
22
23
convm
levar
em
considerao
as
necessidades
de
24
Por
vulnerabilidade.
exemplo,
estar
com
25
anti-social:
paralisao,
greve,
piquete,
invaso,
ou
inconsistentes,
insuficiente,
ausncia
violao
e
de
demisso
confidencialidade,
de
funcionrios,
sobrecarga de trabalho.
Ambientes vulnerveis diante de ameaas podem sofrer perdas quando
as ameaas se concretizam, ou ento tm a oportunidade de reavaliar seu
plano de segurana em conseqncia da insegurana iminente.
26
27
28
29
sua
importncia,
como
um
mecanismo
que
capacita
compartilhamento da informao;
b) Declarao do comprometimento da alta administrao, apoiando as
metas e princpios da Segurana da Informao;
c) Estrutura para estabelecer os objetivos de controles, incluindo a
estrutura de anlise, avaliao e gerenciamento de riscos;
d) Explicao
das
polticas,
princpios,
padres
requisitos
de
30
de
Segurana
da
Informao
deve
ser
aprovado
pela alta
31
32
vrias
denominaes
ou
componentes
do
Plano
de
33
34
35
36
que
usurios
processos
esto
funcionando
normalmente.
37
38
As estratgias
39
40
dinamicamente
posio
mais
apropriada
de
armazenamento.
b) O Gerenciamento do Ciclo de Vida das Informaes transcende a
gerncia de armazenamento, de dados e de informao.
41
42
43
de
procedimentos
de
recuperao
para
situaes
diferentes.
e) Desenvolvimento de uma estratgia equilibrada entre o custo do backup
e a velocidade da recuperao.
44
45
46
47
3 METODOLOGIA
Neste captulo, apresentado o tipo de pesquisa, a sua conceituao,
os critrios para a seleo dos respondentes pesquisados e os procedimentos
seguidos para a coleta e o tratamento de dados.
48
49
Dentre os
50
51
52
4 RESULTADOS E DISCUSSO
O resultado principal obtido ao longo da presente pesquisa o
desenvolvimento da proposta aqui apresentada, estruturada em etapas para o
planejamento de backup de dados. A proposta baseada em normas, padres
e recomendaes da literatura e profissionais da rea de Segurana da
Informao, visando integridade, confiabilidade e disponibilidade da
informao e est de acordo com polticas de Segurana da Informao e com
Plano de Continuidade de Negcios.
Para chegar ao resultado principal da forma como apresentado,
teoricamente coerente com a literatura revista e estudada, foi feita a
consolidao das respostas, destacando e discutindo os pontos mais
importantes do questionrio.
Antes, so mostrados dados de algumas pesquisas sobre backup de
dados, para melhor compreenso do problema desta dissertao. Observa-se
que a conjuno aqui encontrada ocorre tambm em outros ambientes, como a
seguir.
53
contaram
que
tinham
perdido
informaes
54
55
56
4
1
( ) 1 ano
( ) 2 anos
( ) mais de 2 anos
21
5
( ) sim
( ) no
21
57
26
17
16
12
9
3
Disponibilizao da informao
Continuidade dos negcios
( ) Concorrncia
1
0 2 4 6 8 10 12 14 16 18 20 22 24 26
58
59
60
74
( ) Responsabilidades
72
( ) Armazenamento
( ) Documentao
68
( ) Classificao da informao
66
( ) Local de armazenamento
66
66
( ) Escolha de hardware
66
65
( ) Escolha de software
64
62
62
60
( ) Agendamento do backup
57
( ) Reviso do plano
( ) Perodo de reteno das mdias
55
38
( ) Nomeao de arquivos
Testes de recuperao e backup
Criticidade e disponibilidade dos recursos
5
1
61
Jurdico e
Usurios em geral
As equipes apontadas pelos respondentes so representadas nas
62
1 2 3 4 O 1,2 2,3 3,4 1,2,3 2,3,4 1,2,3,4, 2,3,4,O 1,2,4 2,3,O 1,4 1,2,4,O 2,4 1,4,O 1,3 1,3,4 Total
Responsabilidades
4 11 1
Armazenamento
10 5 1
Documentao
6 8 2
Classificao da informao
Local de armazenamento
26
26
4 7 1 1
1 9 2
1
2
6 3 1
11
5 4 1 1
11
Escolha de software
7 3
11
4 6
1 8 5
1
1
4 12 1
Nomeao de arquivos
5 11 2
26
26
26
3 8 1 2
Escolha de hardware
Reviso do plano
26
Agendamento do backup
26
1
2
26
26
2
1
26
26
1
1
26
1
1
26
1
26
1
26
63
Tabela
demonstra
as
equipes
que
devem
definir
as
11 5 4
1 1
26
64
10
1,2,3 Total
26
65
26
2 1 2,3 1,2,4 3 4 1,2 3,4 1,2,3,4, 2,3,O 1,4 1,2,4,O 2,4 Total
( ) Classificao
da informao
7 4 3
1 1 1
26
66
importantes
tais
como
definio
de
local
de
3 2
2 1
26
7 6 3
2 1 1
26
67
11
26
68
11
26
2,3
1,2
11
26
( ) Reteno das
informaes
6 4 3 2 2
26
69
12
26
26
70
2 1 1,2 2,3 3 4 3,4 1,2,3 2,3,4,O 2,3,O 1,4 2,4 1,4,O Total
( ) Reteno das
6 4 4
mdias
3 1 1 1
26
71
( ) Reviso do plano
8 3 3 2 2
26
11
26
72
da Informao. Cinco (5) dos respondentes concordam que esta parte deve
ficar com a superviso de Tecnologia da Informao. E outros trs (3) acham
importante que tanto a Superviso quanto o corpo tcnico de Tecnologia da
Informao participem dessas definies. Conforme a Tabela 16 alguns dos
respondentes tambm consideram importante a participao do pessoal da
rea administrativa na definio dos procedimentos de nomeao de arquivos.
Outros itens a serem includos no planejamento de backup de dados,
lembrados pelos respondentes foram os procedimentos para testes de
recuperao do backup, e criticidade, ou seja, o maior grau de dependncia do
funcionamento e disponibilidade dos recursos.
Os testes de recuperao de dados so essenciais para que esta seja
cada vez mais rpida e eficaz, assim ser possvel identificar os erros antes
que eles ocorram e melhorar a rapidez e facilidade da recuperao.
Quanto criticidade e disponibilidade de recursos: existem muitos
requisitos para um bom planejamento e execuo do processo de backup de
dados, porm este vai ser efetivo de acordo com os recursos disponveis, ou
seja, o investimento que a organizao fornecer para este planejamento.
Houve muita divergncia nas respostas, mas de acordo com a maioria
das respostas, a concluso de que a Superviso e o Corpo tcnico de
Tecnologia da Informao devem ser os responsveis pelo plano de backup de
dados e a Alta administrao da Organizao tambm deve participar do
planejamento, e a incluso de outras equipes depender das particularidades
de cada negcio.
73
23
( ) Responsabilidades de backup
23
15
( ) Referencias de documentaes
( ) Conseqncias do no atendimento
14
14
1
0 2 4 6 8 10 12 14 16 18 20 22 24 26
74
( ) Procedimentos de Recuperao
23
18
( ) Referncias de documentaes
15
1
0
8 10 12 14 16 18 20 22 24 26
75
responsvel pela recuperao dos dados, e o contato desse pessoal deve estar
contido no Plano de Continuidade de Negcios.
A documentao do backup, e os registros de testes de recuperaes
auxiliaro em recuperaes mais rpidas e eficazes por evitar repetir erros,
mesmo assim apenas 15 respondentes apontarem este item. Este resultado
revela que preciso maior conscientizao sobre a necessidade de
documentaes.
Outros fatores importantes foram lembrados, como a documentao das
medidas adotadas e dos resultados dos testes de recuperao. Estes itens
fazem parte dos procedimentos de recuperao, indicados pela grande maioria
dos respondentes como principal fator a ser includo em Plano de Continuidade
de Negcios.
Alm do estabelecimento de polticas de Segurana da Informao e
Plano de Continuidade de Negcios, para o planejamento do backup so
necessrios recursos, como manuais, porm a maioria dos pesquisados (23)
respondeu no utilizar nenhum manual especfico, segundo a Figura 7.
No
23
ISO/IEC 17799
N/R
1
0 2 4 6 8 101214161820222426
76
norma NBR
ISO/IEC
para o
16
8
3
_ NIST
Interno da Organizao
ISSP
Livros de SI
UNICAMP
1
0
8 10 12 14 16 18 20 22 24 26
da
Informao
selecionados
para
esta
pesquisa
utiliza
77
backup de dados, e dezesseis (16) dos vinte e seis (26) respondentes utilizam
a norma NBR ISO/IEC 17799, ou seja, apenas 61%.
Esse percentual baixo, visto que a maioria dos respondentes trabalha
h mais de dois (2) anos na rea de Segurana da Informao e tem cursos
nesta rea, portanto, devem conhecer a norma NBR ISO/IEC 17799, mas no
a incluem como recurso para o planejamento do processo de backup de dados.
O CERT indicado por oito (8) dos pesquisadores possui recomendaes
prticas de segurana para administradores de redes, cartilha de segurana
para Internet, e outras recomendaes e artigos para Segurana da Informao
na Internet, e nestes documentos encontram-se algumas indicaes para
backup de dados.
No NIST indicado por trs (3) dos respondentes possvel encontrar
muita documentao tcnica e de governana de Tecnologia da Informao,
onde h recomendaes para backup de dados. Porque a indicao foi feita
por apenas trs (3) dos respondentes constata-se que necessrio que este
site seja mais divulgado para que seja mais utilizado.
A opo Outros, deixada como alternativa, permitiu aos pesquisados a
indicao de outras recomendaes para o planejamento de backup de dados,
ainda no apontadas na pesquisa. Os respondentes acrescentaram que para o
planejamento de backup de dados utilizam tambm normas estabelecidas pela
organizao onde trabalham, indicaes da UNICAMP, outras fornecidas por
meio de cursos de certificao para profissionais de Segurana da Informao
como, o Certified Information Systems Security Professional (CISSP), alm das
apontadas por livros na rea de Segurana da Informao.
78
Tambm
se
procurou
saber
se
existem
certificaes
para
( ) no
24
N/R
1
0 2 4 6 8 101214161820222426
79
como estes devem ser feitos. Esta parte visa identificar as estratgias para
tornar os processos de backup e recuperao de dados mais eficazes e
rpidos.
( ) Classificao
23
( ) Permisses de acesso
15
( ) Compactao
14
9
( ) Criptografia
Testes da gravao
Restrio de Acesso
1
0 2 4 6 8 10 12 14 16 18 20 22 24 26
80
81
( ) Prioridade de Recuperao
19
( ) Perodo de reteno
17
( ) Anlise de riscos
17
15
( ) Locais de armazenamento
9
8
( ) Outros:0
0 2 4 6 8 10 12 14 16 18 20 22 24 26
Figura 11 - Necessrio para classificar os dados a serem backapeados
82
classificao dos dados, porm este evita que os dados no sejam acessados
por desautorizados.
15
( ) Classificar a informao
14
13
10
( ) Determinar a freqncia
( ) Documentar os procedimentos
Definir poltica para backup
1
0 2 4 6 8 10 12 14 16 18 20 22 24 26
83
Determinar
freqncia
do
backup
documentar
todos
os
21
19
14
( ) Nomear responsveis
13
11
11
( ) Documentar responsabilidades
( ) Equipe dedicada
Dados em mais de um meio
5
1
0 2 4 6 8 10 12 14 16 18 20 22 24 26
Segundo a Figura 13, ter planos para caso de desastres foi um dos itens
mais apontados no questionrio como estratgias para a recuperao dos
dados. Outras estratgias importantes so a seleo e a utilizao de
tecnologias eficazes para o backup e recuperao dos dados. A maioria
84
85
( ) Rapidez
21
19
( ) Criticidade
19
15
( ) Administrao simplificada
( ) Perodo de reteno
13
( ) Facilidade de utilizao
( ) Preo
Confiabilidade
1
0
2 4
6 8 10 12 14 16 18 20 22 24 26
86
utilizao tcnica das tecnologias, porm esta deve influenciar na escolha, pois
quanto mais fcil a utilizao das tecnologias, mais rapidez poder se ter por
parte dos tcnicos.
Em consulta posterior alguns respondentes disseram que o item
facilidade de utilizao j esta implcito em Administrao simplificada.
Segundo a Figura 14, o preo da tecnologia no influencia muito na
escolha da mesma segundo a maioria dos profissionais consultados. Este fato
indica certa mudana nas concepes do pessoal de Tecnologia da
Informao, que est mais preocupada com segurana e sabe que esta custa
cara, e merece investimentos. Porm esta parte ser avaliada pelo pessoal da
rea administrativa, que a que libera os recursos para a compra.
Um dos respondentes, de acordo com a Figura 14, lembrou que a
confiabilidade nas Tecnologias tambm deve influenciar na escolha.
Em relao s mdias de backup, antes de adquiri-las, importante
saber a capacidade de armazenamento dos dados e o perodo de durabilidade,
segundo a grande maioria dos respondentes de acordo com a Figura 15.
( ) Espao a ser ocupado
23
21
( ) Perodo de reteno
14
( ) Rapidez
( ) Criticidade da informao
11
( ) Facilidade de utilizao
( ) Preo
( ) Outros:0
0
10 12 14 16 18 20 22 24 26
87
88
12
( ) Atendimento a padres
( ) Consultas continuas
8
3
Informao crtica
Ter mais de uma opo de backup
Grandes Corporaes
Recuperao de desastres
Contingncia da Informao
1
0 2 4 6 8 10 12 14 16 18 20 22 24 26
Recuperao de desastres
Grandes Corporaes
Contingncia da Informao
89
incndios
ou
erros
humanos
so
comuns.
necessria
90
91
G Documentao
Para a eficaz recuperao dos dados importante a documentao de
como, quando e do que foi feito o backup e principalmente de como deve ser
feita a recuperao.
Buscou-se nesta fase saber o que preciso para criar e manter a
documentao do backup de dados.
( ) Avaliao e reviso da
documentao
17
17
12
( ) Backup da documentao
( ) Outros:
7
0
0 2 4 6 8 10 12 14 16 18 20 22 24 26
92
93
( ) Superviso de
TI
23
( ) Corpo tcnico
de TI
21
( ) Corpo tcnico
Administrativo
( ) Alta
administrao
Equipe de Backup
1
0
10 12 14 16 18 20 22 24 26
94
( ) trimestralmente
11
( ) anualmente
( ) semestralmente
mensal
semanalmente
1
0
8 10 12 14 16 18 20 22 24 26
Fundamentao
Esta proposta foi formulada atravs dos conhecimentos adquiridos pela
reviso da literatura, da consolidao das respostas ao questionrio e de
entrevistas informais com alguns dos profissionais de Tecnologia da
Informao participantes desta pesquisa.
A proposta que haja um planejamento para o backup de dados com
etapas bem definidas e com o envolvimento de todas as equipes da
organizao, desde tcnicos alta administrao.
O backup de dados exige recursos tais como financeiros, de pessoal, de
tempo,
de
equipamentos,
de
software,
dentre
outros.
preciso
95
96
Adoo de Recomendaes:
o CERT
o NIST
o Livros de Segurana da Informao
o Materiais de cursos, como do Certified Information Systems
Security Professional
o Materiais internos da organizao, elaborados a partir da
bagagem de experincia de profissionais de Segurana da
Informao
o Anlise e orientaes de especialistas e as opinies de
consultores.
Classificao da informao
Anlise de riscos das informaes, considerando, no mnimo:
o Criticidade da informao para os negcios
o Prioridade de recuperao
o Perodo de reteno
97
Armazenamento
Utilizar estratgias de Gerenciamento do Ciclo de Vida das Informaes.
Considerando no mnimo:
o Fazer o backup apenas dos dados necessrios
o Separao de arquivos, de programas e aplicaes
o Armazenar dados com nomes padronizados
o Manter os dados armazenados apenas pelo perodo necessrio.
98
99
Transportes de mdias
Considerar no mnimo:
o Confiana e comprometimento de todo o pessoal que manipula as
mdias.
o Criptografia para os dados sigilosos.
Agendamento do backup
Considerar no mnimo:
o Freqncia do backup de acordo com a criticidade, atualizaes e
outros atributos das informaes
o Tecnologias que permitam executar o backup quando o sistema
est em operao
100
Reviso do plano
Considerar no mnimo:
o Auditoria do plano visando maior segurana e rapidez atravs de
automao dos processos de backup e recuperao dos dados.
Definio de responsabilidades
Considerar no mnimo:
o Uma equipe, ou pelo menos um responsvel para todas as etapas
acima, com treinamento constante para esse(s) responsvel(is).
101
102
5 CONCLUSO
O risco de perda, inacessibilidade ou acesso no autorizado aos dados
mantidos nos computadores devido s ameaas, aumenta a preocupao em
se manter a disponibilidade, confidencialidade e integridade das informaes
para a continuidade dos negcios. Para segurana dos dados, alm de outras
medidas, necessrio que as estratgias para backup de dados sejam
aplicadas, testadas e analisadas continuamente para serem vlidas, mesmo
com mudanas no ambiente de negcios.
Atravs deste trabalho, que evidencia as principais recomendaes para
backup de dados, possvel facilitar o planejamento, segundo as melhores
prticas, tendo em mente que cada organizao ter estratgias de backup de
dados personalizadas de acordo com as caractersticas de cada negcio.
Na Reviso da Literatura, observou-se a importncia de estratgias de
backup de dados para polticas de Segurana da Informao e para o Plano de
Continuidade de Negcios, procurando garantir a preservao da Segurana
da Informao e continuidade dos negcios. Tambm com a anlise e
entendimento da literatura foi possvel a formulao de maior parte do
questionrio destinado aos profissionais da rea de Segurana da Informao.
Com a aplicao do questionrio verificou-se que nem todas as
estratgias indicadas pela literatura so aplicadas e recomendadas pelos
profissionais de Segurana da Informao. Apesar de todos os respondentes
serem responsveis por informaes crticas que precisam de segurana, as
opinies sobre backup de dados divergem bastante. Esse fato pode ser
explicado pela falta de guias e/ou cursos especficos para o planejamento de
backup de dados.
103
104
105
106
REFERNCIAS
ABNT. Tecnologia da informao Cdigo de prtica para a gesto da
Segurana da Informao (NBR ISO/IEC 17799). Rio de Janeiro: 2005.
Strategies.
BIGELOW,
S.
J.
Backup
2006.
Disponvel
em:
http://searchstorage.techtarget.com/originalContent/0,289142,sid5_gci1179087,
00.html. Acesso em: 01 jun. 2006, 20:23:30.
CERT. Prticas de Segurana para Administradores de Redes Internet,
2003.
Disponvel
em
http://www.cert.br/docs/seg-adm-redes/seg-admredes.html. Acesso em 21 ago. 2005, 23:05:40.
COOK, R. Backup failure: Five reasons backups fail and tips for
prevention. 2006a. Disponvel em:
http://searchstorage.techtarget.com/tip/0,289483,sid5_gci1204974,00.html.
Acesso em 11 jan. 2007, 18:55:25.
_________. Speed up your Backups by pruning your data. 2006b.
Disponvel em:
http://searchstorage.techtarget.com/tip/1,289483,sid5_gci1164361,00.html.
Acesso em 06 set. 2006, 22:26:25.
DAFT, R.L. Administrao. Traduo, 6. ed. So Paulo: Thomson, 2005.
DORION, P. Best practices: Optimizing your Backups. 2006. Disponvel em:
http://searchstorage.techtarget.com/tip/1,289483,sid5_gci1154114,00.html?trac
k=NL-53&ad=540066USCA. Acesso em 05 set. 2006, 16:35:35.
EGAN, M. E. Seis Desafios Significativos para a Segurana da Informao.
2005.
Disponvel
em:
https://wwwsecure.symantec.com/region/br/enterprisesecurity/content/expert/BR_4779.html
.Acesso em: 27 mai. 2007, 17:45:50.
ERLICH, L. Plano de Continuidade de Negcios: uma pesquisa
exploratria na perspectiva estratgica no mbito da Segurana da
Informao. 2004. 100f. Dissertao (Mestrado em Administrao) - Curso de
Ps-graduao em Administrao de Empresas, Pontifcia Universidade
Catlica do Rio de Janeiro, Rio de Janeiro. Disponvel em:
http://bdtd.ibict.br/bdtd/. Acesso em: 21 jun. 2005, 23:20:30.
FARIAS JUNIOR, A. Nova norma garante Segurana da Informao. 2002
Disponvel
em
http://www.serasa.com.br/serasalegal/05-fev-02_m2.htm.
Acesso em 26 ago. 2005, 17:00:00.
GARFINKEL, S. Calling for Backup: Backing up your data might not seem
important until you need to retrieve it. 2004. Disponvel em:
http://www.csoonline.com/read/030104/shop.html. Acesso em 23 ago. 2005,
00:35:40.
107
108
ZHU W-D.; ABRHAMS M.; NGAI D.M.M.; POND S.; SCHIAVI H.; SHAZLY
H.A.; STONESIFER E.; STONESIFER V. Content Manager OnDemand
Backup, Recovery, and High Availability, 2005. Disponvel em:
http://www.redbooks.ibm.com/redbooks/pdfs/sg246444.pdf. Acesso em: 18 mai.
2006, 22:37:00.
109
ANEXO
TERMO
DE
CONSENTIMENTO
LIVRE
ESCLARECIDO
Voc est sendo convidado para participar, como voluntrio, em uma pesquisa.
Aps ser esclarecido(a) sobre as informaes a seguir, no caso de aceitar fazer parte
do estudo, assine ao final deste documento, elaborado em duas vias de um s teor.
Uma delas sua e a outra do pesquisador responsvel. Em caso de recusa voc
no ser penalizado (a) de forma alguma.
resultados
consolidados
da
pesquisa
sero
divulgados
posteriormente,
especialmente aos colaboradores, mas isso ser feito sem apontar as respostas
especficas de qualquer respondente.
Estas respostas obtidas sero analisadas e consolidadas em um relatrio,
identificando o que utilizado e indicado, pelos profissionais da rea de Segurana da
110
111
Assinatura: ____________________________________
____/____/______
112
ANEXO B - QUESTIONRIO
QUESTIONRIO DE PESQUISA SOBRE ESTRATGIAS DE PLANEJAMENTO DE
BACKUP DE DADOS
PARTE 1: DEFINIO DO PERFIL DE QUEM EST RESPONDENDO O QUESTIONRIO
Nome: _______________________________________________________
1- Voc responsvel pela Segurana da Informao onde trabalha?
( ) Diretamente
( ) Indiretamente (atravs de consultoria terceirizada)
2- H quanto tempo voc trabalha na rea de Segurana da Informao?
( ) 1 ano
( ) 2 anos
( ) mais de 2 anos
( ) no
( ) palestras
( ) revistas
( ) internet
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
5- A(s) Empresa(s), onde voc trabalha, possui dados crticos, que precisam
ser mantidos por dois anos ou mais?
( ) sim
( ) no
113
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
114
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
115
( ) Outros:
5 - ______________________
6 - ______________________
7 - ______________________
Obs.: Cada lacuna poder ser preenchida com mais de um, ou com
todos os nmeros.
) Definio de responsabilidades
) Procedimentos de armazenamento
) _____________________________________________
) _____________________________________________
) _____________________________________________
116
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
117
______________________________________________
______________________________________________
( ) no
8- Quais as normas e/ou recomendaes que contm regras para Backup de
Dados, utilizados no seu ambiente de trabalho, para formulao de um
Plano de Backup de Dados?
( ) NBR ISO/IEC 17799
( ) Prticas de Segurana da Informao recomendadas pelo CERT
(Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurana no Brasil)
( ) Recomendaes e guias para Segurana do NIST (National Institute
of Standards and Technology)
( ) Outros:
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
______________________________________________
______________________________________________
( ) no
118
( ) Classificao
( ) Criptografia
( ) Compactao
( ) Permisses de acesso
( ) Outros:
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
119
12- O que voc considera como melhores estratgias para minimizar o tempo
para se fazer o Backup?
( ) Classificar a informao
( ) Fazer o Backup apenas dos dados necessrios
( ) Determinar a freqncia dos backups
( ) Executar o backup quando o sistema no est em operao
( ) Documentar os procedimentos e recursos utilizados para o Backup
de Dados
( ) Outros:
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
120
13- O que voc considera como melhores estratgias para se ter o Backup de
Dados sempre disponvel, e de rpida e fcil Recuperao?
( ) Manter uma equipe dedicada ao planejamento de Backup de Dados
( ) Nomear responsveis pelos Backups e Recuperao dos dados
( ) Estimar o tempo de Recuperao, incluindo o tempo de identificar
o problema e a soluo, de acordo com tipo o armazenamento
( ) Estabelecer prioridades nos procedimentos de Recuperao
( ) Selecionar e utilizar tecnologias (hardware, software e meios de
armazenamento) de Backup e Recuperao mais apropriadas
( ) Documentao dos mtodos de Recuperao e Backup de Dados
( ) Documentao com todas as responsabilidades e responsveis
pela Recuperao e Backup de Dados
( ) Ter planos para desastres, ou acontecimentos inesperados
( ) Outros:
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
121
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
15- O que voc considera necessrio para escolher mdias para Backup de
Dados?
( ) Criticidade da informao classificada
( ) Perodo de reteno dos dados
( ) Espao a ser ocupado pelos dados
( ) Facilidade de utilizao
( ) Rapidez para o backup e Recuperao dos dados
( ) Preo do produto
( ) Outros:
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
122
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
123
G DOCUMENTAO
18- O que voc considera como melhores estratgias para se criar e manter a
documentao de Backup e Recuperao de Dados?
( ) Poltica para documentar todos os processo e recursos de Backup
e Recuperao de dados
( ) Padres e ferramenta de software adequada para documentao
( ) Backup da documentao de Backup e Recuperao de dados
( ) Avaliao e reviso da documentao de Backup e Recuperao
( ) Outros:
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
124
19- Qual(is) grupo(s) deve(m) ser responsveis por testar e avaliar o Plano de
Backup de Dados?
( ) Alta administrao
( ) Superviso de TI
( ) Corpo tcnico de TI
( ) Corpo tcnico Administrativo
( ) Outros:
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________