Por Bedias Domingos da CruzEm todas as épocas, o elemento “informação” tem sido um dos instrumentos mais preciosos no gerenciamento de toda e qualquer atividade. São as informações que dão suporte para a tomada de decisões e geram a riqueza das corporações. Em qualquer corporação, um gerenciamento eficaz está relacionado com o uso coerente e parcimonioso dos recursos disponíveis. Modernamente, o maior recurso de uma corporação é o seu capital intelectual, representado pelos indivíduos a ela integrados. Depois do seu pessoal, o maior recurso de uma corporação é a informação. Os sistemas de informação, atualmente constituem o componente fundamental de todas as atividades, no mundo dos negócios. A segurança da informação não representa apenas mais um produto da tecnologia, que num dado momento é adquirido, aplicado e esquecido. Ela representa muito mais. É um conjunto ordenado de medidas e ações capazes de identificar, tratar e eliminar sintomas de desastres com os dados de uma corporação. É um processo de ação contínua e abrangente, com repercussões em todos os setores da empresa, internos e externos, diretos e indiretos. A sua aplicabilidade não está restrita apenas aos envolvidos com a manipulação direta do acervo de informações da empresa, mas estende-se também aos indivíduos na ponta inferior da escala hierárquica, que executam as operações cotidianas mais simples. “É um processo em permanente evolução, mutação e transformação, que requer um esforço constante para o seu sucesso e uma forte capacidade para provocar e gerir mudanças, tanto nos hábitos instituídos como na infra-estrutura de suporte da organização.” (2) O estágio atual de complexidade dos sistemas de informação, o seu crescente desenvolvimento e a emergente pressão no interior das organizações para o desenvolvimento de transações 24 horas por dia, tem resultado que até a mais breve interrupção na geração e fluxo de dados, podem vir a se constituir num risco de proporções consideráveis, para qualquer negócio. Dessa forma, no atual cenário econômico, uma habilidade e uma comprovada capacidade para se recuperar de um desastre envolvendo os dados de uma corporação, não é uma simples opção de gerenciamento, mas um fator crítico para a sobrevivência e o sucesso de qualquer atividade. O planejamento e a implementação de um plano de prevenção e recuperação de desastres, envolvendo as informações de uma empresa, não significa apenas garantir proteção em caso de um eventual acidente, mas de gerar um conjunto de ações que, uma vez aplicadas, vão ser capazes de prover soluções que garantam a continuidade do negócio. Um plano de contingência e recuperação de desastres envolve a tomada de medidas que se agrupam em duas grandes categorias: prevenção e proteção. “A prevenção é o conjunto das medidas que visam reduzir a probabilidade de concretização das ameaças existentes. O efeito destas medidas extingue-se quando uma ameaça se transforma num incidente. A proteção, por seu lado, é o conjunto das medidas que visam dotar os sistemas de informação com capacidade de inspeção, detecção, reação e reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se concretizam.” (2) Temos observado, em nosso dia-a-dia, no exercício profissional, que os riscos, na maioria das organizações são sub dimensionados, resultando que os seus planos de contingência e recuperação não são completamente eficientes. Os administradores não se dão conta do valor econômico da informação e como ela é crítica para a continuidade dos seus negócios. A maioria dos empresários questiona que investir na segurança dos seus dados é extremamente dispendioso, não conseguindo perceber que os recursos alocados para a preservação de dados se constituem em investimentos e não em gastos, cujo maior valor é exatamente a não ocorrência de eventos. É necessário enxergar mais longe também, compreendendo que o planejamento para a recuperação de desastres é um elemento fundamental do gerenciamento dos recursos e proteção do patrimônio da empresa, sendo a melhor política, a da prevenção. Outro ponto importante a compreender, é que um plano de contingência e recuperação de desastres não garante a não ocorrência de eventos. Sua função é a previsão, desde a sua concepção, de um conjunto de ações que possibilitem tratar o problema sem a interrupção do negócio. O que acontece quando o computador de uma empresa precisa ser desligado em decorrência de uma pane profunda no seu sistema de armazenamento e não se possui um backup dos dados vitais ou ele está desatualizado? O momento é de grande desespero, pois a falha quase sempre não atinge somente a empresa. Os prejuízos vão se estender por clientes, fornecedores, força de vendas, etc. As conseqüências resultantes acabam sendo muito dolorosas, como a perda do emprego dos responsáveis pela preservação dos dados, por negligência; danos de ordem moral por insatisfação dos clientes e superiores hierárquicos; comprometimento da imagem da empresa, etc. Jon Willian Toigo (1) , no seu magnífico livro “Recuperação de Sistemas de Informação”, nos apresenta as seguintes estatísticas quando um computador empresarial é subitamente desligado, em função de um desastre com os seus dados. Uma empresa de médio porte perderá de 2 a 3% de suas vendas brutas, dentro de oito dias de interrupção do computador; A empresa de médio porte que experimenta uma interrupção do computador por mais de 10 dias nunca vai se recuperar completamente. Cinqüenta por cento delas estará fora de atividade dentro de cinco anos; As chances de sobreviver a um desastre afetando o centro de processamento de dados da empresa são de menos de sete em 100. As chances de experimentar esse desastre são de uma em 100. A maioria das pessoas e empresas ignoram as suas vulnerabilidades, achando que um desastre real com a perda total de dados é coisa ficcional. Nunca vai acontecer com elas. Muitos empresários ignoram que a falta de um plano de contingência para a recuperação de desastres em seus sistemas de informação, que vão causar prejuízos a terceiros, pode implicar também numa responsabilidade legal, de conseqüências imprevisíveis. Empresas que manipulam dados críticos, necessitando investir em apólices de seguros para protegê-los, quando possuem uma política correta para a preservação dos seus dados e um plano de contingência para a recuperação de desastres, continuamente submetido a testes, podem reduzir drasticamente os custos com o seguro, pois em lugar de contratar uma apólice com uma cobertura abrangente, dispendiosa, podem optar por coberturas mais objetivas. A palavra “desastre”, aqui empregada, significa uma interrupção nas atividades de uma empresa, um escritório, etc., devido à perda dos dados necessários para as atividades normais. Um desastre sugere a interrupção da capacidade de processamento de dados pela empresa. As causas podem ser as mais diversas, dentre as quais destacamos as de maior incidência: Falhas humanas, em decorrência de imperícia, imprudência ou negligência dos responsáveis pela segurança dos dados; Falhas intencionais, de natureza criminosa; Danos na mídia removível de armazenamento, provocadas por umidade, contaminação por fungos, corrupção dos dados armazenados devido à interferência eletromagnética, calor, choque mecânico, etc.; Danos no hardware em decorrência de uma instalação elétrica inadequada, ausência de proteção contra falhas no fornecimento de energia elétrica, sub e sobre-tensão elétrica elevada e falta de proteção contra descargas atmosféricas; Falhas de software; Stress eletromecânico da unidade de armazenamento (disco rígido) em decorrência de haver atingido o MTBF dimensionado pelo fabricante; Ausência de um plano para a preservação e recuperação dos dados, em caso de um desastre; . A prevenção, dependendo do porte da empresa, basicamente envolve os seguintes elementos: Análise do risco Proteção ambiental Proteção das instalações Segurança na contratação de pessoal Proteção do hardware Adoção de Antivírus e Firewall Estratégias para o backup do sistema Estratégias para o backup dos dados Estratégias para o backup em rede Engenharia social Ações de tomada de decisões em uma emergência Ações de gestão de crise Redundância Ações para controle do regresso à normalidade Manutenção preventiva do hardware; Testes periódicos do plano de contingência. Proteção da Infraestrutura de chaves públicas, criptografia, etc. As perdas de dados podem ser total ou parcial. Pode também ocorrer a perda da confiabilidade desses dados em decorrência da corrupção dos mesmos por uma falha na unidade de armazenamento, de software, da infraestrutura da rede ou problemas decorrentes do fornecimento de energia elétrica causados por sub ou sobre tensão elétrica. Como a melhor política é a da prevenção, na segunda parte desse artigo começaremos aprendendo a identificar os sinais de fadiga apresentados pelo HD, os sinais de alerta fornecidos pelos pendrive, cartões de memória, etc. Aprenderemos a executar diversos procedimentos simples de manutenção preventiva, acessíveis a usuários de qualquer nível, capazes de prolongar a vida útil das suas unidades de armazenamento, aprendendo a interpretar os sinais de alerta quando um evento de perda de dados se apresenta eminente. Como muitos usuários diante de um desastre com os seus dados acabam adotando procedimentos iniciais de recuperação errôneos, destruindo qualquer possibilidade de recuperação, vamos analisar detalhadamente quais os primeiros procedimentos recomendáveis. O que fazer e o que não fazer numa primeira abordagem quando o computador não quer mais dar partida, um pendrive, um cartão de memória, etc., deixa de ficar operacional. Fique ligado. Conhecimento vale ouro! Até lá... Índice das citações e bibliografia consultada 1. Toigo, Jon Willian – Recuperação de Sistemas de Informação; Editora LTC. 2. Silva, Pedro Tavares; Carvalho, Hugo e Botelho Torres, Catarina - Segurança dos Sistemas de Informação; Editora do Centro Atlântico – Portugal. ------------------------------------------------------------------------------------------------------------------- Este trabalho está licenciado sob uma Licença Creative Commons Atribuição 4.0 Internacional. Para ver uma cópia desta licença, visite http://creativecommons.org/licenses/by/4.0/.
Report "DESASTRES COM OS DE SISTEMAS DE INFORMAÇÃO.pdf"