Plano de continuidade de negócios aplicado à segurança da informação

Abstract

Antigamente o ambiente computacional era pequeno e controlado, tornando a informação mais segura. Atualmente, esse ambiente é complexo e a informação tornouse o ativo mais importante para a sobrevivência e o sucesso de uma organização. Portanto, as organizações precisam estar protegidas contra ameaças e vulnerabilidades e as informações precisam estar disponíveis quando solicitadas. A preocupação com a continuidade do negócio começou a ser levada realmente a sério após os eventos ocorridos no dia 11 de setembro de 2001, levando a uma reformulação de normas e procedimentos relacionados à segurança da informação. O presente trabalho tem o propósito de apresentar os conceitos, as fases e as melhores práticas utilizadas na implementação de um plano de continuidade de negócios aplicado à segurança da informação. Inicialmente são definidos alguns conceitos sobre gestão de risco e segurança da informação. A seguir, são apresentados o modelo de processo de melhoria contínua, as etapas para realização do gerenciamento de riscos, as normas e as melhores práticas adotadas hoje para auxiliar a organização no mapeamento e tratamento dos seus processos de negócio. As organizações precisam estar protegidas contra atividades maliciosas que podem tornar indisponíveis os seus ativos de informação. Neste trabalho são apresentadas as principais ameaças, tais como, spam, engenharia social e malwares, que podem afetar o ambiente de tecnologia e comprometer a continuidade dos negócios. São apresentadas ainda as defesas, como por exemplo, firewall, sistema de detecção de intrusão e criptografia, que devem ser implementados para garantir que a informação esteja protegida e disponível quando necessária. Por fim foi proposto um checklist para identificar os riscos e a maturidade da organização quanto aos processos de segurança da informação e implementação de um plano de continuidade de negócios focando a segurança da informação. O checklist foi construído baseado nos principais controles propostos na norma ABNT NBR ISO/IEC 27002 e BS 25999-1 e CobiT que são considerados padrões internacionalmente reconhecidos.

In the old days, the computer environment was small and controlled, making the information more secure. Nowadays, this environment is complex and the information has become the most important asset for the survival and success of an organization. Therefore, the organizations need to be protected against threats and vulnerabilities as well as the information needs to be available when needed. The preoccupation with the business continuity plan started to be taken seriously after the events happened on September 11th 2001, leading to a reformulation of rules and procedures related to information security. The current work has the aim of presenting the concepts, the phases and the best practices used in the implementation of a business continuity plan applied to information security. Firstly, some concepts about risk and information security are defined. The model of continuous improvement process, the steps for the risk management, the rules and the best practices adopted nowadays to help the organization in the mapping and treatment of its business processing are also presented. The organizations need to be protected against the malicious activities that can make the information assets unavailable. In this work, the main threats such as spam, social engineering and malwares, which can affect the technological environment and compromise the business continuity, are presented. The defenses firewall, intrusion detection system and cryptography are also discussed, once they must be implemented to guarantee that the protection and the necessary availability of the information. Lastly, it was proposed a checklist to identify the risks and the maturity of the organization in relation to the information security processes and the implementation of a business continuity plan focusing on the information security. The checklist was built based on the main controls proposed in the rules ABNT NBR ISO/IEC 27002 and BS 25999-1 and CobiT, which are considered international standardized regulation.