PLANO DE CONTINUIDADE DE NEGÓCIOS DA EMPRESA MARY CHOC

...

O plano de continuidade em SI será avaliado trimestralmente ou quando se fizer necessário por seus idealizadores.

Iniciando uma breve explicação sobre do que se trata um plano de continuidade de negócio (PCN): Caracteriza-se como sendo um documento que contem medidas a serem tomadas por uma organização ou empreendimento, incluindo a utilização de processos manuais, com o objetivo de que seus processos fundamentais não sofram uma paralização que venha a causar danos aos negócios, ocasionando maiores prejuízos ao empreendimento como:

- A fuga de acionistas,

- Grandes perdas de receita;

- Sanções governamentais;

- Problemas jurídicos para os dirigentes;

- Abordagens maliciosas da imprensa;

- Fuga de funcionários para os concorrentes e

- Em casos extremos, o fechamento da empresa.

Por se tratar de uma empresa de médio porte, os recursos financeiros utilizados na implantação do plano de continuidade em segurança da informação (PCSI) estão alinhados com as possibilidades do empreendimento de maneira que não cause um impacto financeiro negativo nas finanças da empresa, pois ai os efeitos benéficos se tornariam maléficos ao empreendimento.

A seguir será descrito o plano de continuidade em SI, elaborado pelos integrantes do comitê gestor plano de continuidade de negócios (CGPCN) que é constituído por todos os integrantes do setor de tecnologia da informação (TI) da organização. Serão também atribuídas as responsabilidades que cada grupo irá realizar referente ao plano de continuidade em SI.

- Processos de negócio:

Produção de chocolates em escala industrial;

Prioridade de fornecer um produto de qualidade ao cliente;

Procedimentos realizados na produção são totalmente automatizados, sendo que não há contato humano com o produto evitando contaminações.

- Avaliação de riscos e impactos:

Abaixo a tabela irá demonstrar a descrição dos riscos e o impacto gerado por eles.

Risco

Impactos

Alto

O ataque pode resultar em grandes perdas financeiras de ativos ou recursos. Pode causar danos significativos à imagem da organização.

Médio

O ataque pode resultar em perdas financeiras de ativos ou recursos, causa danos à imagem da empresa, e também impede que ela cumpra as suas tarefas junto ao cliente.

Baixo

O ataque pode resultar em alguma perda de ativos ou recursos. Pode afetar de forma perceptível as tarefas da organização e a reputação.

- Avaliar os riscos e impactos das áreas e medidas a serem tomadas:

A tabela abaixo demostra os riscos por áreas levantados:

[pic 1]

-

Identificação de medidas para cada incidente com base na análise de risco e impacto

Medidas para segurança lógica: Ao encargo do comitê gestor plano de continuidade de negócios (CGPCN)

A segurança logica utilizada compreende:

- Restrição de acesso a qualquer fonte de informação confidencial como login e senha;

- Senhas renováveis em todas as máquinas que expiram em um prazo de 30 dias;

- Utilização de criptografia de arquivos enviados;

- Controle de acesso à internet com restrição a ambientes suspeitos;

- Uso de antivírus, Antispam e firewalls;

- Site de continuidade;

- Manter backup regular das bases de dados;

- Possuir acesso remoto no caso de ficar impossibilitado de chegar até o prédio;

- Possuir cópias completas e atualizadas de servidores vitais para o funcionamento da empresa principalmente os que requerem muito tempo para reconstituição.

Medidas para segurança física: Ao encargo do comitê gestor plano de continuidade de negócios (CGPCN) com a participação do setor de segurança do trabalho e patrimonial.

As barreiras físicas podem ser abordadas de duas formas: segurança de acesso e segurança ambiental. No caso da empresa Mary Choc as barreiras físicas utilizadas são:

Segurança de acesso: Medidas de proteção contra acessos não autorizados.

- Local onde fica alojado o data Center e setor de TI possui portas de acesso com fechadura digital que é liberada mediante uso de senha. Somente pessoas autorizadas tem acesso à senha;

- Local com sistema de CFTV circuito fechado de TV, onde fica monitorado 24 horas. Com armazenamento instantâneo de imagens;

- Uso de bloqueadores de locais de backup como: portas USB e DRIVERS de mídia;

- O backup Full será realizado ás 00:00 horas e o backup de log de transição a cada duas horas com isso o administrador pode restaurar o sistema em qualquer ponto.

Ameaças naturais: Ao encargo do comitê gestor plano de continuidade de negócios (CGPCN) com a participação do setor de segurança do trabalho e patrimonial.

As ameaças naturais são aquelas que envolvem condições naturais, isto é, que podem trazer riscos para os equipamentos e as informações. Podemos citar: locais propensos a inundações, ambientes sem a devida proteção contra incêndio, terremotos, furacões ou maremotos.

Inundações: localidade da empresa não é propenso a inundações, pois está localizada em terreno alto com bom escoamento de água;

Incêndios: A empresa possui pessoal treinado (brigada de incêndio) no caso de ocorrência, e equipamentos como sensores de fumaça, extintores, portas anti-chamas