Upload
andre-campos
View
879
Download
6
Embed Size (px)
DESCRIPTION
Planos de continuidade de negócio em segurança da informação.
Citation preview
Pro
fe
sso
r A
nd
ré
C
am
po
s
Planejamento da continuidade
dos negócios
Elaborado pelo professor André Campos
Uma visão mais ampla sobre segurança da informação
poderá ser obtida no livro “Sistema de Segurança da
Informação – Controlando os riscos”, de André
Campos, Editora Visual Books.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Planejamento da continuidade
dos negócios
Este material foi produzido como apoio didático para disciplinas de graduação e pós-graduação relacionadas com Tecnologia da Informação.
O uso é permitido a todo e qualquer docente ou discente das referidas disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais, ou seja, que os créditos sejam mantidos.
Este material não pode ser vendido. Seu uso é permitido sem qualquer custo.
Diversas figuras foram obtidas a partir do acesso em sites de imagens. Estas imagens foram utilizadas em seu estado original, com 72DPI.
Algumas imagens foram obtidas da obra "Sistema de Segurança da Informação Controlando Riscos".
Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não visam a obtenção de lucro.
Informações específicas sobre segurança da informação podem ser obtidas na obra Sistemas de segurança da informação Controlando Riscos; Campos, André; Editora Visual Books, 2007.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PCN – O que é isso?
O objetivo do Planejamento da Continuidade dos Negócios, ou PCN, é garantir que os sistemas críticos para o negócio sejam retornados a sua condição operacional normal em um prazo aceitável, nos casos em que ocorra um incidente de segurança da informação.
A elaboração de um plano de continuidade de negócios envolve a preparação, teste, e manutenção de ações específicas para proteger os processos críticos da organização.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PCN – O que é isso?
Há uma diferença fundamental entre a Gestão de Riscos, e o Planejamento de Continuidade de Negócios.
No primeiro caso há uma preocupação específica em evitar ou minimizar o risco da ocorrência de um incidente de segurança da informação.
No segundo, o incidente já aconteceu. O objetivo passa a ser minimizar os prejuízos decorrentes deste incidente.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PCN – Um pequeno glossário
Inicialmente, é importante entender alguns conceitos fundamentais.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PCN – Um pequeno glossário
Serviço de informação
Sistema que permita o processamento de dados, incluindo o hardware, o software, o ambiente e as pessoas essenciais a este processamento.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PCN – Um pequeno glossário
Função crítica do negócio
São as funções, ou atividades, do negócio mais relevantes para que os objetivos e metas do negócio sejam atingidos, para que seus bens tangíveis e intangíveis sejam preservados, e para que a organização mantenha-se de acordo com as leis e regulamentações que a ela se apliquem.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PCN – Um pequeno glossário
Sistema crítico
O hardware e o software necessários para garantir a viabilidade de um unidade de negócio, ou da própria organização, durante uma interrupção dos serviços de informação.
Um sistema crítico é um serviço de informação considerado essencial para uma função crítica do negócio.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PCN – Um pequeno glossário
Gestão da continuidade
A gestão da continuidade é um processo dentro da organização, que está preocupado em avaliar constantemente as funções críticas do negócio, os sistemas essenciais a estas funções, construindo os planos de continuidade. Além disso, a gestão da continuidade elabora planos de recuperação e elabora programas de treinamento, teste e manutenção do plano de continuidade.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PCN – Um pequeno glossário
Plano de continuidade de negócio
Um documento descrevendo como a organização responde a um evento para garantir que as funções críticas de negócio retornem a um nível operação aceitável dentro de um prazo considerado razoável.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PCN – Um pequeno glossário
Plano de comunicação durante crises
Um documento que demonstre os procedimentos para disseminação de relatórios de situação para os colaboradores, e eventualmente até para o público, durante um evento de interrupção dos serviços de informação ou de um desastre.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PCN – Um pequeno glossário
Planejamento de recuperação de desastres
Recuperação de desastre refere-se a uma restauração imediata e temporária dos serviços de informação, tipicamente computadores e rede local, após um desastre, natural ou não.
A organização deve documentar como pretende responder a um eventual desastre, restaurando as funções críticas do negócio por um determinado tempo, minimizando a perda enquanto os processo e ambiente originais são restaurados a condição de operação normal.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PCN – Um pequeno glossário
Plano de recuperação de desastres
Um documento que provê procedimentos detalhados para facilitar a recuperação dos serviços de informação que suportem as funções críticas do negócio em um local alternativo.
Geralmente aplicado apenas em casos de interrupções de longo prazo nos serviços.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PCN – Um pequeno glossário
Análise de impacto para o negócio (BIA)
O processo de analisar todas as funções de negócio da organização para determinar o impacto que a interrupção de um serviço de informação poderia gerar.
Este impacto deve ser medido em termos de perda financeira acumulada por períodos, o que possibilitará estimar quanto tempo uma função de negócio pode suportar sem um determinado serviço de informação.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Definindo melhor um desastre
Definir se uma interrupção de serviço de informação, ou de um sistema crítico, é um desastre ou não, é uma questão de entender quanto tempo a função crítica do negócio pode suportar a interrupção.
Para uma empresa a interrupção do correio por 8 horas pode ser considerado um inconveniente, mas para outra organização pode representar um desastre.
A perda de informação, perda de acesso, perda de um serviço, ou mesmo perda de pessoas, podem configurar um desastre que precisa ser tratado pelo PCN.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Definindo melhor um desastre
Um desastre pode ser caracterizado como:
1. Interrupção não planejada de um serviço de informação;
2. Interrupção ampliada de serviço de informação;
3. Interrupção que não pode ser tratada pelos procedimentos de gestão de problemas;
4. Eventos que causam grandes perdas ou prejuízos.
Cada organização deve catalogar seus sistemas críticos e definir um tempo máximo de interrupção para cada um destes serviços.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Criando o PCN
O PCN provê uma descrição detalhada das ações a serem tomadas em resposta a uma interrupção inaceitável de um serviço de informação.
Trata-se de uma tarefa árdua e de longo prazo. Por causa disso, muitas vezes parece que a elaboração e manutenção de um PCN é um grande investimento de tempo e dinheiro sem retorno. No entanto, assim como o seguro de um bem, o ideal é nunca precisar do PCN, mas se um dia ele for necessário, pode representar um retorno financeiro incalculável.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Criando o PCN – O PDCA
Pro
fe
sso
r A
nd
ré
C
am
po
s
PLAN – Um projeto
É sempre importante lembrar que o processo de elaboração do PCN guarda forte relação com o processo de condução de um projeto.
Por isso, antes de tudo, é fundamental definir uma equipe de trabalho para este fim, e principalmente um colaborador deve ser designado como gerente pelo “projeto”.
Como em qualquer projeto, é importante o apoio explícito da alta direção.
O escopo deve ser claramente definido, e os recursos garantidos, tanto os internos quanto os externos.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PLAN – Um coordenador
É importante definir claramente quem será o coordenado do Planejamento da Continuidade dos Negócios.
Ele é responsável por garantir que todos os elementos do Planejamento tenham sido endereçados, e que os colaboradores envolvidos no PCN tenham feito sua parte no que se refere a planejamento, preparação, e treinamento.
É importante lembrar que o coordenador do PCN é diferente do gerente do projeto de implantação de um PCN.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PLAN – Funções do
Coordenador
As principais funções do coordenador são:
1. Ser interlocutor entre a equipe do PCN e a alta direção;
2. Ter acesso e autoridade para contatar qualquer colaborador da organização;
3. Conhecer o negócio da organização a fim de desenvolver planos aderentes ao negócio;
4. Ter acesso direto ao corpo executivo da organização.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PLAN – Funções da Equipe de
Recuperação (Recovery
Teams)
A equipe de recuperação está pronta para assumir o controle das operações de recuperação caso ocorra um incidente que seja considerado um desastre.
As operações de recuperação podem incluir:
1. Responder ao desastre e determinar a necessidade de ativar um PCN/PRD (BCP/DRP);
2. Recuperar sistemas críticos em local (site) alternativos;
3. Recuperar local (site) primário;
4. Retornar as operações ao local (site) primário.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PLAN – Funções da Equipe de
Gestão de Crises (Crises
Management Team)
A equipe de gestão de crises tem a responsabilidade de tomar decisões de nível executivo após a ocorrência de um desastre, além da autoridade e conhecimento para avaliar um incidente e determinar se este incidente configura um desastre ou não.
Dependendo desta decisão, a equipe de Recuperação de Desastre entra em ação, ou não.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PLAN – Funções do
Departamento de Segurança
da Informação
O Escritório de Segurança da Informação é responsável, entre outras coisas, por orientar as ações do PCN, apoiar com seus conhecimentos nas decisões quanto as opções mais adequadas de recuperação.
Além disso, o Escritório realizará auditorias de primeira parte que envolverão os planos do PCN, sua equipe de trabalho, e suas metodologias.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PLAN – Análise de Impacto nos
Negócios (Business Impact
Analysis) – AIN/BIA
A Análise de Impacto nos Negócio (AIN) não é exatamente uma técnica ou uma ferramenta definida. Por isso, cada organização construirá sua própria metodologia.
O importante é lembrar o objetivo da AIN, que vem a ser demonstrar o impacto que um incidente de segurança da informação pode causar para o negócio.
O AIN está mais concentrado em incidentes que envolvam a disponibilidade dos ativos tecnológicos.
Um AIN deve demonstrar em um nível executivo o Maximum Tolerable Downtime (MTD) para cada recurso que suporta as funções críticas do negócio.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PLAN – Análise de Impacto nos
Negócios (Business Impact
Analysis) – AIN/BIA
A partir do AIN (BIA) é possível elaborar planos de recuperação realistas em termos de custo e eficiência.
O AIN não considera os tipos de incidentes que podem causar a queda nos serviços, mas está basicamente concentrada na avaliação das consequências destas quedas para o negócio, em termos de perdas financeiras, de eventuais investimentos adicionais a serem feitos, e de constrangimentos causados em função da duração do tempo de downtime.
A condução de uma AIN, em geral, envolvem pelo menos 5 etapas.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PLAN – Análise de Impacto nos
Negócios (Business Impact
Analysis) – AIN/BIA
Os passos necessários para executar um AIN/BIA:
1 – Definindo técnicas de coleta de informação.
2 – Selecionar os colaboradores a serem entrevistados.
3 – Elaborar questionários estruturados.
4 – Analisar dados e gerar estrutura de informações.
5 – Gerar relatório de recomendações.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PLAN – Análise de Impacto nos
Negócios (Business Impact
Analysis) – AIN/BIA
1 – Definindo técnicas de coleta de informação.
Existem diversas metodologias e técnicas para a coleta de informações necessárias à realização de uma AIN. Entrevistas, oficinas, questionários, e softwares são alguns dos mecanismos que podem ser utilizados.
Uma ferramenta utilizada com bastante sucesso tem sido a Checkup Tool®, da empresa Módulo Security.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PLAN – Análise de Impacto nos
Negócios (Business Impact
Analysis) – AIN/BIA
2 – Selecionar os colaboradores a serem entrevistados.
Cada unidade organizacional, cada processo de negócio, possui um grau relativo dentro das operações da organização.
Identificar as funções críticas do negócio não é uma tarefa trivial, e seria impossível sem considerar as pessoas que executam o negócio no dia a dia.
É importante identificar e documentar os grupos de pessoas a serem entrevistas e o que se espera de contribuição de cada um destes grupos.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PLAN – Análise de Impacto nos
Negócios (Business Impact
Analysis) – AIN/BIA
3 – Elaborar questionários estruturados.
Não existe uma receita de questionário pronta, aplicável a qualquer organização que queira realizar uma AIN. Para cada organização deve ser elaborado um conjunto específico de questionários.
Basicamente, dois tipos de questões serão consideradas: as quantitativas e as qualitativas.
As quantitativas referem-se a perdas financeiras causadas por uma parada de serviço de informação, ao passo que as qualitativas referem-se a perdas intangíveis e mais difíceis de medir, com a imagem da empresa, por exemplo.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PLAN – Análise de Impacto nos
Negócios (Business Impact
Analysis) – AIN/BIA
Itens que podem constar do questionário:
• Nome da função de negócio
• Número de colaboradores envolvidos
• Horas de operação
• Número de clientes
• Momentos de picos operacionais
• Interdependência com outras unidades organizacionais
• Custo da operação por período
• Lucro da operação por período
• Prejuízo por tempo parado
Pro
fe
sso
r A
nd
ré
C
am
po
s
PLAN – Análise de Impacto nos
Negócios (Business Impact
Analysis) – AIN/BIA
Continuação...
• Aspectos legais de uma interrupção de serviço;
• Aspectos de imagem e demais prejuízos intangíveis;
• Dependência de hardware, software, aplicações, rede, comunicação, entre outros;
• Opções alternativas de suporte informacional;
Pro
fe
sso
r A
nd
ré
C
am
po
s
PLAN – Análise de Impacto nos
Negócios (Business Impact
Analysis) – AIN/BIA
4 – Analisar dados e gerar estrutura de informações.
As informações obtidas nas etapas anteriores precisam ser estruturadas de maneira que permitam uma análise adequada e a consequente tomada de decisões.
Dentro desta estrutura, algumas informações são essenciais:
• Funções críticas do negócio por processo;
• Tempo máximo de downtime, ou impacto (MTD);
• Interdependência entre funções de negócio;
• Sistemas que suportam as funções de negócio.
Pro
fe
sso
r A
nd
ré
C
am
po
s
PLAN – Análise de Impacto nos
Negócios (Business Impact
Analysis) – AIN/BIA
Processo Função MTD Setor/Contato Tecnologias Depende de
Abaixo segue um possível exemplo de tabela a ser construída:
Pro
fe
sso
r A
nd
ré
C
am
po
s
PLAN – Análise de Impacto nos
Negócios (Business Impact
Analysis) – AIN/BIA
5 – Gerar relatório de recomendações.
Após estruturados e analisados todos os dados, é a hora de gerar um relatório de recomendações.
É importante lembrar que este relatório será avaliado por pessoal executivo, e não técnico. Portanto, o mesmo deve ser estruturado com formato e conteúdo executivo.
Este relatório deve ser aprovado antes que a próxima etapa comece, que é a de elaboração das estratégias de recuperação.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Estratégias de recuperação
Compreendendo as estratégias de recuperação envolve
As estratégias de recuperação são as possibilidades de contingência aplicáveis para cada incidente de segurança da informação. Estas estratégias estão divididas em 4 grandes áreas:
1 – Processos;
2 – Ambientes;
3 – Pessoas;
4 – Tecnologias.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Estratégias de recuperação
Compreendendo as estratégias de recuperação envolve
Ao definir o conjunto aceitável de estratégias de recuperação para a organização, três questões devem estar presentes:
1 – O custo de cada estratégia;
2 – A janela de tempo de aplicação da estratégia;
3 – O grau de eficácia de cada estratégia.
Estas informações ajudarão a decidir que estratégia aplicar para cada caso.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Estratégias de recuperação
Processos
As estratégias de recuperação de processos concentram-se nos processos críticos da organização, e das funções críticas destes processos.
A definição do que é crítico e do que não é crítico guarda uma relação direta com o Tempo Máximo de Downtime (TMD / MTD).
A seguir são apresentados os elementos mínimos que precisam ser definidos nas estratégias de recuperação de processos.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Recuperação de processos, elementos...
Processos críticos. Os processos críticos são aqueles apontados pelo AIN/BIA como os menores TMD/MDT.
Funções críticas. Dentro dos processos críticos, podem haver funções muito relevantes e funções menos relevantes. As mais importantes terão um TMD/MDT menor.
Sistemas críticos. Os sistemas críticos referem ao hardware e ao software que suportam as funções e processos críticos, incluindo os sistemas de telecomunicações.
Estratégias de recuperação
Processos
Pro
fe
sso
r A
nd
ré
C
am
po
s
Recuperação de processos, elementos...
Conectividade. Os procedimentos para estabelecer a conectividade da infra-estrutura de Tecnologia da Informação, envolvendo LAN, WAN, mainframe, entre outros.
Espaço. A identificação clara do espaço mínimo essencial necessário para a operação da função do processo de negócio, e o número que colaboradores suportados.
Pessoas chave. A identificação das pessoas essenciais para garantir a operação das funções dos processos de negócio.
Estratégias de recuperação
Processos
Pro
fe
sso
r A
nd
ré
C
am
po
s
Recuperação de processos, elementos...
Redirecionamentos. Os direcionamentos essenciais para a operação, tais como telefonia, correio eletrônico, e dados.
Interdependências. Os outros processos e funções que dependem ou causam dependência.
Armazenamento off-site. Procedimentos, mídias, e documentos armazenados fora do site.
Fornecedores. Serviços prestados por fornecedores.
Estratégias de recuperação
Processos
Pro
fe
sso
r A
nd
ré
C
am
po
s
A recuperação de ambientes envolve definir planos de recuperação que considerem o espaço necessário, questões de segurança física, proteção contra incêndio, infra-estrutura, utilidades tais com água, gás e outros, e requisitos ambientais tais como temperatura, umidade, e outras.
Espaço. Nesta dimensão o espaço mínimo para a instalação das operações acessórias aos processos essenciais de negócio devem ser consideradas. Por exemplo, salas de reunião, auditório, espaços para treinamento, entre outros, desde que considerados essenciais para apoio aos processos de negócio.
Estratégias de recuperação
Ambientes
Pro
fe
sso
r A
nd
ré
C
am
po
s
Segurança. A área onde serão restaurados os serviços precisa contar com segurança compatível. Isto pode envolver a contratação de guardas, a instalação de portões com dispositivos de segurança, portas com controles de acesso, câmeras de vigilância, alarmes de invasão, controle de acesso a andares e salas, detectores silenciosos de presença, entre outros mercanismos.
Proteção contra incêndio. Deve haver preocupação com incêndios, o que pode envolver a instalação de extintores, dispositivos supressores de fogo, detectores de fumaça e fogo, entre outros.
Estratégias de recuperação
Ambientes
Pro
fe
sso
r A
nd
ré
C
am
po
s
Infra-estrutura. A infra-estrutura do prédio deve ser considerada quanto a necessidade de reformas e reparos, linhas telefônicas, linhas elétricas, etc.
Utilidades gerais. As utilidades gerais incluem o sistema de ventilação, ar condicionado, energia, geradores de emergência, e demais utilidades.
Estratégias de recuperação
Ambientes
Pro
fe
sso
r A
nd
ré
C
am
po
s
Refere-se basicamente a procedimentos registrados, registros operacionais essenciais, e procedimentos de restauração das atividades.
É importante garantir que processos que normalmente acontecem com o apoio de sistemas computacionais possam operar com suporte manual durante um período de tempo, e que todos os registros gerados no período manual possam ser transportados para o sistema informatizado após a restauração dos serviços.
Estratégias de recuperação
Pessoas
Pro
fe
sso
r A
nd
ré
C
am
po
s
Algumas questões importantes são:
1. Os processos críticos podem ser operados manualmente?
2. Os registros poderão ser revertidos para o sistema posteriormente, ou os dados serão perdidos?
3. Quais são as informações vitais que não podem deixar se ser registradas?
4. Quais serão as necessidades especiais de logística para que os colaboradores realizem as operações manuais?
Estratégias de recuperação
Pessoas
Pro
fe
sso
r A
nd
ré
C
am
po
s
Estratégias de recuperação
Tecnologia
Concentrando-nos em Tecnologia da Informação, as estratégias de recuperação devem se preocupar com as seguintes áreas:
1. Recuperação do Data Center;
2. Recuperação da rede;
3. Recuperação das telecomunicações;
4. Recuperação dos dados.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Estratégias de recuperação
Tecnologia
Recuperação do Data Center
As áreas de concentração dos ativos concentradores de informação, tais como servidores de arquivos, banco de dados, storages, entre outros, são conhecidas como Data Center.
Por ocasião da ocorrência de um desastre nesta área, inicialmente é feito uma análise dos prejuízos e da situação gerada. Em seguida será decidido pela execução ou não dos planos de continuidade para a área, que envolverão procedimentos, tecnologias, e demais ações para recuperar os serviços de informação.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Estratégias de recuperação
Tecnologia
Recuperação da rede
A rede local de computadores (LAN) suporta toda a transferência de dados e muitas vezes voz e vídeo em uma organização.
É importante definir claramente os requisitos mínimos para manutenção deste serviço, incluindo software e hardware, e identificar também os mecanismos de transmissão disponíveis na organização, que pode incluir a rede cabeada, a utilização de wireless, o sistema telefônico, a utilização de fibras óticas, e tecnologias similares.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Estratégias de recuperação
Tecnologia
Recuperação das telecomunicações
Os serviços de telecomunicação são essenciais para manter a organização conectada ao resto do mundo no que se refere a dados, voz, e vídeo.
É importante haver uma preocupação concreta com este serviço, que envolve todo o sistema de telefonia, e os componentes de rede externa e Internet.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Estratégias de recuperação
Tecnologia
Recuperação de dados
Os dados são um elemento central e fundamental para a continuidade dos negócios em uma organização.
Por isso, os procedimentos de backup e restore devem ser implementados e considerados importantes. Não resta dúvida de que o sistema de backup é um componente essencial em qualquer plano da continuidade dos negócios.
Falaremos mais de dados à frente.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Estratégias de recuperação
Categorias de estratégia
As estratégias de recuperação aplicados em Tecnologia da Informação podem ser classificadas basicamente em quatro categorias:
1. Sites alternativos;
2. Acordos de ajuda mútua;
3. Múltiplos centros;
4. Escritórios de serviço.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Estratégias de recuperação
Sites alternativos
Os sites alternativos são áreas disponíveis para a ativação dos serviços de informação que foram interrompidos por um desastre.
Vejamos as possibilidades de sites alternativos, que podem ser:
1. Hot site;
2. Warm site;
3. Cold site;
4. Mirror site;
5. Mobile site;
Pro
fe
sso
r A
nd
ré
C
am
po
s
CUSTO
TE
MP
O D
E R
EC
UP
ER
AÇ
ÃO
RÁ
PID
OL
EN
TO
BARATO CARO
Estratégias de recuperação
Sites alternativos
Mirror Site
Um mirror site é um serviço que mantém uma cópia exata de um determinado grupo de transações em um outro local, em tempo real.
MIRROR
Pro
fe
sso
r A
nd
ré
C
am
po
s
CUSTO
TE
MP
O D
E R
EC
UP
ER
AÇ
ÃO
RÁ
PID
OL
EN
TO
BARATO CARO
Estratégias de recuperação
Sites alternativos
Hot site
Um hot site é aquele que encontra-se totalmente preparado e configurado para receber os serviços de informação que foram interrompido, incluindo todo o software e hardware necessário.
HOT
Pro
fe
sso
r A
nd
ré
C
am
po
s
CUSTO
TE
MP
O D
E R
EC
UP
ER
AÇ
ÃO
RÁ
PID
OL
EN
TO
BARATO CARO
Estratégias de recuperação
Sites alternativos
Mobile Site
Um mobilie site é um serviço que mantém uma cópia exata de um determinado grupo de transações em um outro local, em tempo real.
MOBILE
Pro
fe
sso
r A
nd
ré
C
am
po
s
CUSTO
TE
MP
O D
E R
EC
UP
ER
AÇ
ÃO
RÁ
PID
OL
EN
TO
BARATO CARO
Estratégias de recuperação
Sites alternativos
Warm site
Um warm site é similar ao hot site, mas não inclui os equipamentos mais caros, como servidores específicos, ou mainframes.
WARM
Pro
fe
sso
r A
nd
ré
C
am
po
s
CUSTO
TE
MP
O D
E R
EC
UP
ER
AÇ
ÃO
RÁ
PID
OL
EN
TO
BARATO CARO
Estratégias de recuperação
Sites alternativos
Cold Site
Um cold site não possui qualquer equipamento técnico ou recurso, apenas o elementos básicos como energia, ar condicionado, links de comunicação, e similares.
COLD
Pro
fe
sso
r A
nd
ré
C
am
po
s
BIBLIOGRAFIA
ABNT. Norma ABNT NBR ISO/IEC 17799:2005 – Tecnologia da informação – Técnicas de segurança – Código de práticas para a gestão da segurança da informação; Associação Brasileira de Normas Técnicas (ABNT), Brasil, 2005.
Alencar, Antonio; Schmitz, Eber. Análise de Risco em Gerência de Projetos; Editora Brasport, Brasil, 2005.
Campos, André. Sistema de Segurança da Informação – Controlando o Risco; Editora Visual Books, Brasil, 2005.
Hansche, Susan; Berti, John; Hare, Chris. Official (ISC2) Guide to the CISSP Exam; Estados Unidos, 2003.
NIST. An Introduction to Computer Security: The NIST handbook; National Institute of Standards and Technology; Estados Unidos, 2003.
PMI. Project Management Book of Knowledge – PMBOK; Project Management Institute, Estados Unidos, 2005.
Vilar, Carlos; Schmitz, Eber, Alencar, Antonio; Análise de Risco em projetos de Tecnologia a Informação; Editora ExpertBooks, Brasil, 2005.