Plano de continuidade de negócios e política de segurança da informação aplicadas em pequenas e médias empresas

Abstract

Toda organização está suscetível a interrupções das suas atividades críticas ocasionadas por ameaças que podem afetar os objetivos estratégicos do negócio. Este trabalho apesenta um estudo sobre a introdução de uma Gestão de Segurança da Informação e Gestão de Continuidade de Negócios em uma empresa de médio porte do setor varejista com o propósito de que a mesma possa responder de maneira eficiente aos cenários de incidentes e manter a continuidade dos serviços considerados mais críticos. Inicialmente são definidos alguns conceitos sobre segurança da informação, gestão de riscos e melhores práticas. Por fim, é realizada uma análise de maturidade da situação atual da empresa em relação aos controles de segurança de suas informações através da aplicação de um teste de verificação. Logo em seguida, é feita uma análise de risco onde são demonstradas as principais ameaças, vulnerabilidades e probabilidades de ocorrência com o levantamento dos riscos que mais impactam nos objetivos do negócio para, então, apresentar diretrizes que serão utilizadas na elaboração de um novo modelo de Plano de Continuidade de Negócios.