Trabalhos de segurança da informação: a continuidade do negócio e planejamento de recuperação de desastres

Desastres, naturais ou provocadas pelo homem, ocorrem com alarmante imprevisibilidade no mundo da segurança da informação, jogando organizações em seus caminhos no caos. Às vezes, a organização não sobrevive ou retém apenas uma sombra de seu auto anterior. Muito pode ser feito para reduzir a potência de desastres, dando às organizações uma melhor chance de sobrevivência.

Video: Guia para recuperação de desastres de TI

planejamento de recuperação de desastres (DRP) e planejamento de continuidade de negócios (BCP) pode não parecer como se eles devem ser parte de segurança da informação. No entanto, o conceito de segurança da informação núcleo da confidencialidade, integridade e disponibilidade (CIA) não inclui DRP e BCP como uma atividade vital para garantir a disponibilidade de sistemas-chave em uma organização.

BCP e DRP têm o seu próprio conjunto de conceitos que são essenciais para os profissionais de segurança da informação. Mesmo se você não antecipar a trabalhar no BCP ou espaço DRP, a familiaridade com esses conceitos pode levar você ou sua organização às oportunidades para melhorar a preparação para desastres.

Tipos de desastres

Vários tipos de feitas pelo homem e desastres naturais têm um direto ou um efeito indirecto nas organizações. Os tipos de desastres incluem o seguinte:

Video: Plano de Continuidade de Negócios - PCN (Parte II)

  • Natural:

  • Clima: furacão, tornado, tempestade de gelo, tempestade de neve, ou chuva pesada

  • Geológico: terremoto, tsunami, vulcão, deslizamento de terra, avalanches, ou sumidouro

  • De outros: pandemia, floresta ou intervalo de incêndio, inundação ou tempestade solar

  • Man-made:

  • Social ou político: guerra, motim, demonstração, ou greve

  • Serviços de utilidade pública: falta de utilidade ou falta de combustível

  • Material: derramamento de material perigoso ou materiais radioactivos vazamento

  • Estes e outros tipos de desastres pode ter um direto ou um efeito indirecto sobre as organizações, incluindo o seguinte:

    • Interrupções no transporte

    • falhas de comunicação

    • escassez de mão de obra

    planejamento de continuidade de negócios e planejamento de recuperação de desastres

    Duas atividades primárias ocorrem após um desastre:

    • Continuação de processos de negócios utilizando instalações alternativas, equipamentos ou pessoal, que é da competência do Business Continuity Planning (BCP)

    • Salvage de edifícios e equipamentos, e restauração de instalações de trabalho principal, que é da competência do Disaster Recovery Planning (DRP)

    Estas duas atividades são ambos preocupados com a obtenção da organização de volta em seus pés após um desastre. Ambos são necessários para a sobrevivência a longo prazo da organização.

    avaliação do impacto empresarial (BIA)



    A avaliação do impacto empresarial (BIA) é um tipo especial de avaliação de riscos que é realizada periodicamente para determinar duas coisas fundamentais: os processos de negócio mais críticos na organização, e os recursos e dependências em outros processos de negócios que os processos-chave contam para a contínua Operação.

    Após a conclusão, uma BIA geralmente retrata os processos de negócios mais importantes, a fim de criticalidade (os processos mais críticos são listados em primeiro lugar).

    Para cada processo crítico, o valor máximo de tempo de inatividade tolerável (MTD) é identificado. MTD é a maior quantidade de tempo que um processo de negócio pode ser incapacitado antes a sobrevivência da organização está em risco. O valor de um MTD é difícil de determinar e, portanto, altamente crítico.

    Os profissionais de segurança podem derivar valor a partir da BIA pela compreensão que processa e sistemas subjacentes são os mais importantes em uma organização. Esses sistemas serão aqueles que requerem a melhor proteção.

    objectivos de valorização

    Depois de identificar os processos e sistemas de negócios mais importantes da BIA, a organização precisa estabelecer metas de valorização. Estes são os intervalos de tempo necessários para obter processos e sistemas de TI em execução novamente. Os objectivos de valorização são os seguintes:

    • objetivo de tempo de recuperação (RTO): Expressa como minutos, horas ou dias, o período de tempo entre o início desastre até que o processo ou sistema está operacional. O valor de MTD deve dirigir o valor RTO.

    • objetivo de ponto de recuperação (RPO): Expressa como minutos, horas ou dias, o período da máxima perda de dados após um desastre. Por exemplo, se uma organização quer perder não vale mais do que uma hora de de transações, o RPO seria uma hora.

    • objectivo consistência recuperação (RCO): Expresso como a medida da integridade e consistência em dados no sistema de operações de emergência em comparação com o sistema de produção original. RCO é um valor percentual que é expresso como um sinal de menos (número de entradas inconsistentes) dividido por (o número de entradas).

    • objectiva capacidade de recuperação (RCapO): Expressos como uma percentagem, a capacidade dos sistemas de processamento temporárias em comparação com sistemas de produção.

    Muitas vezes, uma organização irá determinar que um determinado sistema não tem resistência suficiente para cumprir com êxito os objetivos de recuperação após um desastre. Neste caso, a organização deve mudar seus objetivos de recuperação para figuras menos ambiciosas ou investir em equipamentos e processos que facilitem a recuperação dentro das metas.

    Planejamento de contingência

    As organizações precisam desenvolver planos de contingência escritos que o pessoal pode seguir quando ocorrer um desastre. Estes planos de contingência devem incluir as seguintes considerações:

    • pessoal de operações primários podem ser relutantes ou incapazes de ajudar na continuidade e recuperação de sistemas críticos.

    • O pessoal que será seguintes planos de contingência podem ter menos familiaridade com esses processos e sistemas.

    Testando planos de contingência

    Para determinar a qualidade dos planos de contingência, as organizações devem periodicamente testá-los. Estes testes, que devem incluir o pessoal primário e de backup, também podem servir como treinamento, que ajuda essas pessoas a entender melhor os procedimentos que devem ser seguidas durante um desastre.

    Existem cinco tipos de testes:

    • Revisão de documento: Pessoal ler documentos de planejamento de contingência, e anote quaisquer erros ou omissões que encontram.

    • Passo a passo: Pessoal analisar documentos de planejamento de contingência em sessões de grupo, observando os erros e omissões que encontram.

    • Simulação: Um desastre roteiro é recitada a pessoal, que respondem como se um verdadeiro desastre está ocorrendo.

    • teste paralelo: sistemas de recuperação são ativados e processo de dados ao vivo, mas em isolamento de modo a não perturbar os sistemas de produção que ainda estão em execução. Um teste paralelo ajuda a carga de trabalho de teste e se os sistemas de recuperação de funcionar corretamente.

    • teste de transição: sistemas de produção são desligados ou desconectados, e sistemas de recuperação são ativados para gerenciar a carga de trabalho ao vivo. Este teste é um teste completo de ponta-a-ponta da capacidade e da integridade do sistema de recuperação. Se um teste de transição falhar, isso pode significar que os sistemas sendo testados parar de trabalhar, resultando em processos de negócios de moagem a uma parada.


    Publicações relacionadas