Empresas pressionadas a implementar planos de Disaster Recovery

As organizações estão a ser cada vez mais pressionadas no sentido de se assegurarem de que os seus planos de disaster recovery estão a funcionar correctamente e sem qualquer falha, de acordo com um relatório publicado pela Symantec. Um trabalho patrocinado pela Symantec conclui que os testes e a virtualização de disaster recovery ainda representam grandes desafios para as empresas.
De acordo com o estudo da Symantec, o custo médio da execução e planeamento de estratégias de disaster recovery para cada incidente de downtime em todo o mundo é de 287.600 dólares, sendo que este custo pode facilmente subir para os 900 mil se se tratar de empresas norte-americanas. De uma forma global, este custo é mais elevado para as empresas do sector da saúde e dos serviços financeiros, sendo que na América do Norte o custo médio para as instituições financeiras é, segundo o relatório, de 650 mil dólares.
A maioria das empresas, 93 por cento das inquiridas no estudo da Symantec, dizem ter sido obrigadas a pôr os seus planos de DR em funcionamento e que demora, em média, três horas a recuperar as operações básicas da empresa após um incidente e quatro horas a atingir o nível de total operacionalidade. Esta é uma melhoria significativa face às conclusões do estudo de 2008, altura em que apenas três por cento dos inquiridos responderam que demorava cerca de 12 horas a recuperar as operações básicas da empresa e 31 por cento acreditavam que isso só era possível após um dia inteiro.
De acordo com o relatório, os inquiridos pela Symantec sustentam que os testes a DR têm um impacto cada vez maior nos clientes e nas receitas, sendo que um em cada quatro testes acaba por falhar. Perto de um terço das organizações não faz testes a ambientes virtuais como parte dos seus planos de disaster recovery, e uma percentagem semelhante dos ambientes virtuais não é alvo de backups regulares.

Gestão da Segurança da Informação - Parte IV

Garantindo a confidencialidade da informação

Este ultimo tópico, porém não menos importante, é resultante do trabalho já realizado nos tópicos anteriores. Onde através de processos e ferramentas buscamos entender e mapear todos os recursos e acima de tudo assegurar as informações estratégicas para o negocio da organização.

As informações devem estar disponíveis apenas a pessoas e/ou outros recursos que tenham direito a elas. Com isso em mente podemos trabalhar para minimizar ataques a rede computacional da empresa, vazamento de dados através do envio de informações de negócio sem autorização por e-mails, impressões, cópias em dispositivos móveis, também acesso a informações de projetos e departamentos armazenadas em servidores por pessoas não autorizadas.

Sem esquecer das variáveis incontroláveis que também estão presentes aqui, como por exemplo possíveis perdas ou furtos de dispositivos como notebooks, smartphones e pendrives que porventura possam conter informações confidenciais.

Uma dica para facilitar este processo é trabalhar antes em um processo de classificação da informação, como por exemplo:

• Confidencial - informações e recursos disponíveis a projetos e trabalhos críticos para a continuidade do negócio da organização.
• Uso interno - informações e recursos disponíveis e gerados por departamentos e grupos de projeto, de uso restrito dentro da organização.
• Uso público - informações que podem ou devem ser divulgadas, a fornecedores, colaboradores externos, mídias de publicidade, etc.

Este mapeamento deve ser organizado e gerenciado por um comitê de segurança da informação e os ativos avaliados, digitais ou não, devem ser entendidos junto a seus proprietário e/ou usuários, para a obtenção de melhores resultados.

Gestão da Segurança da Informação - Parte III

Garantindo a integridade da informação

Entende-se em garantir integridade da informação o trabalho de colocá-la disponível aos recursos que a utilizarão na forma de sua ultima versão valida.

O principal item desta etapa que eu gostaria de trabalhar aqui são os processos de auditoria, essenciais para a garantia de integridade das informações e recursos da organização.

Os principais objetivos desta etapa são entender os métodos como processos de negócio são aprovados e repassados, quem são seus proprietários/responsáveis e usuários e buscar ferramentas para monitorar e controlar estas alterações a fim de garantir a integridade.

Recursos como firewalls, antivírus, criptografia, assinatura digital, backup, processos e outras ferramentas devem ser usadas para garantir o bom funcionamento do ambiente.

Gestão da Segurança da Informação - Parte II

Garantir disponibilidade dos recursos/informação

Recursos de informação como dados, servidores, aplicações, equipamentos de telecomunicações devem estar disponíveis à demanda e necessidade do negócio.

É preciso mapear quais são estes ativos principais - críticos - para o negócio e controlar as necessidades de atualizações de toda esta infraestrutura a fim de minimizar quebras no ambiente. Estas quebras ainda podem ser causadas por variáveis não controláveis como falhas de hardware, problemas de software, ataques a rede computacional, ausência de recursos humanos entre outras.

Para estas devemos ter o cuidado de procurar desenvolver processos detalhados para suprir quaisquer problemas que a organização possa enfrentar, quais os impactos de uma falha e quais as atitudes a serem tomadas no caso de indisponibilidade de um recurso.

Este tópico é trabalhado dentro de um item chamado de Gerenciamento de Riscos. Seguinte a isso encontramos por exemplo o Plano de Recuperação de Desastres ( Disaster Recovery Plan).

Os principais itens trabalhados num plano de projeto para manutenção e disponibilidade de recursos, sobretudo tecnológicos são:

• Prevenção e detecção de ameaças a rede computacional, também monitoração e controle da rede;
• Definição de políticas e processos de uso de recursos de rede;
• Desativamento de recursos e serviços não necessários em servidores e aplicações;
• Ajuste fino de servidores e aplicações (Hardening);
• Cuidados com gerenciamento de identidades e controles de acesso a rede;
• Definição de um plano para aplicação de patches e atualizações no ambiente;
• Definição de um plano de contingência para os recursos e um plano para recuperação de desastres.

Gestão da Segurança da Informação - Parte I

As informações de negócio de uma organização estão dispostas em um complexo ecosistema formado por processos de negócio, pessoas e tecnologia.

Para garantir a continuidade do negócio de uma organização, é preciso assegurar que cada membro deste ecosistema esteja em conformidade com normas internas criadas pela própria organização e normatizações externas, nacionais e internacionais.

Vamos apresentar aqui um conjunto de boas práticas de mercado que ajuda a manter todos os recursos disponíveis e seguros para as tomadas de decisão da organização.

Cada organização tem seu core businness e para cada um podemos olhar e encontrar particularidades que devemos trabalhar para garanti-las também. Mas o principal objetivo nunca muda e em todos os programas de desenvolvimento de uma politica e cultura de segurança da informação vamos encontrar estes três itens:

• Garantir disponibilidade dos recursos/informação;
• Garantir integridade da informação;
• Garantir confidencialidade da informação;
  

Mitos na Arte de Procurar Emprego

“Na atual conjuntura, onde muitas pessoas estão ativamente procurando emprego, transcrevo algumas considerações que poderão ajudá-las a desmistificar conceitos que as tem atrapalhado nesta empreitada. Ciente da realidade e com uma boa dosagem de autoconfiança, você terá melhores condições de conseguir sua colocação no mercado.

1. Se o emprego não for anunciado no jornal ou postado num site, ele não existe.
Grande parte é efetivamente colocada na mídia, mas muitas posições nunca são anunciadas. Para identificá-los, sonde proativamente as empresas ou explore sua rede de contatos (network), a qual responde pela grande maioria das contratações.

2. O currículo deve ter no máximo uma ou duas páginas.
É verdade que poucas pessoas gostam de ler currículos extensos, mas o fato é que o currículo deve conter seus dados mais relevantes, e excluir informações potencialmente importantes por causa de restrições de espaço não faz sentido. A regra a seguir é manter seu currículo sucinto, elegante, mas bem elaborado, com citação das suas principais informações e realizações.

3. O importante não é o que você conhece, mas quem você conhece.
Os dois fatores têm seus próprios méritos e relativos pesos. A combinação do seu know-how X know-who é que vai definir seu valor e seu diferencial, pois o mercado procura efetivamente o executivo com um bom mix destas qualidades.

4. Minhas chances aumentam com o número de currículos que envio.
Hoje, é importante uma tática que prima mais pela qualidade do que pela quantidade. Seja seletivo no envio dos currículos, mas sempre alinhado com seus objetivos. Com foco e alinhamento, suas chances de acertar no emprego desejado melhoram.

5. A melhor entrada é pelo RH ou pelo Departamento de Pessoal.
Pode ajudar, mas o melhor caminho ainda é contatar, se e quando possível, o próprio contratante da posição. Afinal de contas, ele é o tomador da decisão.

6. As realizações que conquistei vão garantir minha colocação.
Errado! Lembre-se de que a empresa quer contratar o seu presente e o seu futuro, não o seu passado. Fale mais sobre o que você pode fazer e menos sobre o que você já fez.

7. Sem diploma, não tenho chances de conseguir um bom emprego.
Falso! No passado recente, isso podia até ser válido, mas, hoje, as empresas são mais pragmáticas; elas querem resultados práticos. Caso você não tenha o grau de ensino requerido, é sua incumbência ensinar a essas pessoas que suas habilidades e competências de longe compensam a eventual falta do diploma. Mas o fator mais importante ainda continua sendo sua autoconfiança! “