1 / 59

Paulo Silva Tracker Segurança da Informação PauloSilva@TrackerTI

PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DESENVOLVIMENTO DE PLANO DE CONTINUIDADE DE NEGÓCIOS. Paulo Silva Tracker Segurança da Informação PauloSilva@TrackerTI.com. Roteiro – FASE 4. Visão Geral de Plano de Continuidade de Negócio

beau-berry
Download Presentation

Paulo Silva Tracker Segurança da Informação PauloSilva@TrackerTI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃOIMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DESENVOLVIMENTO DE PLANO DE CONTINUIDADE DE NEGÓCIOS Paulo Silva Tracker Segurança da Informação PauloSilva@TrackerTI.com

  2. Roteiro – FASE 4 • Visão Geral de Plano de Continuidade de Negócio • Análise de Impacto de Negócio (BIA) • Processos ou Atividades Essenciais • Definição dos Impactos • Definição dos Prazos • Definição das Dependências • Preenchimento do Formulário BIA

  3. Visão Geral de Plano de Continuidade de Negócio

  4. Visão Geral de PCN

  5. PCN – ISO 27001 • Objetivo: • Não permitir a parada das atividade • Proteger os processos críticos • Assegurar a retomada em tempo hábil • Garantir a recuperação a um nível aceitável: • Ações de prevenção e recuperação

  6. PCN – ISO 27001 • As consequências de incidentes devem passar por uma Análise de Impacto no Negócio • PCN deve ser desenvolvido para garantir a retomada das atividade em tempo pré-definido • PCN deve limitar os danos em caso de incidente

  7. PCN – ISO 27001 • Controle – O PROCESSO DE GESTÃO DA CONTINUIDADE • Entendimento dos riscos • Identificação dos ativos envolvidos • Entendimento do impacto dos incidentes • Implementação de controles • Documentação dos processos no escopo do PCN • Testes e atualizações regulares

  8. PCN – ISO 27001 • Controle – ANÁLISE E AVALIAÇÃO DE RISCO • Identificar eventos que causam interrupção • Ex. falha equipamento, erro humano, roubo, incêndio, desastres naturais, etc. • Determinar o impacto • Financeiro e tempo de retorno • Considerar todos os processos e pessoas • Não somente o setor de Tecnologia da Informação • Plano de Ação a partir da análise de risco

  9. PCN – ISO 27001 • Controle – DESENVOLVIMENTO DO PLANO • Foco nos serviços que afetam os clientes • Processos podem incluir serviços de terceiros • PCN e toda documentação envolvida deve ser acessível, porém em local livre de desastres • Os ambientes de backup devem ter proteção de mesmo nível do ambiente original

  10. PCN – ISO 27001 • Controle – ESTRUTURA DO PCN • Definição de responsabilidades • Plano de manutenção para recuperação • Plano de treinamento e conscientização dos envolvidos • Lista de recursos necessários para a recuperação

  11. PCN – ISO 27001 • Controle – ESTRUTURA DO PCN • Condição de ativação • Procedimento de emergência • O que fazer logo após o incidente? • Procedimento de recuperação • Como fazer para estabelecer a contingência? • Procedimento operacional temporário • O que fazer até concluir a recuperação? • Procedimento para saída da contingência • Como restaurar a operação normal?

  12. PCN – ISO 27001 • Controle – TESTE e MANUTENÇÃO • Devem ser testados e atualizados regularmente • Todos os envolvidos devem conhecer os planos • Componentes de backup devem ser testados • Tipos de testes: • Verbalização do procedimento em grupo • Recuperação técnica • Recuperação para local alternativo • Recursos de backup • Testes com fornecedores • Deve-se armazenar registro dos testes

  13. Uma Proposta de Roteiro • Etapa 1 – Análise do Impacto de Negócio • Etapa 2 – Definir Estratégias • Etapa 3 – Desenvolver os Planos • Etapa 4 – Testes e Manutenção

  14. Etapa 1 – Análise de Impacto • Estima os impactos financeiros, operacionais ou de imagem, decorrentes de uma interrupção nos processos de negócio. • Foco no negócio e não em tecnologia. • Define o tempo de recuperação;

  15. Etapa 1 – Análise de Impacto • Fornece “razões empresariais” para o investimento Continuidade (ROI); • Aumenta a conscientização dos gestores; • Cumpre disposições legais e regulamentações (Ex. BACEN 3380).

  16. Investimento X Redução de Risco

  17. Etapa 2 – Definir Estratégias • Para onde nós iremos? • Com que pessoas poderemos contar? • Com quais recursos poderemos contar? • Quais investimentos serão necessários para viabilizar estes recursos e serviços?

  18. Etapa 2 – Definir Estratégias – sp800-34 • Documentação da configuração de sistemas • Uso de componentes padrão • Usar componentes interoperáveis • Backup de dados • Backup de aplicações • Redundância de componentes críticos do sistema • Fonte extra de energia

  19. Etapa 2 – Definir Estratégias – sp800-34 • Implementar tolerância a falhas • Implementar replicação de dados • Coordenação com suporte de infraestrutura • Coordenação com fornecedores • Coordenação com equipe de resposta a incidentes • Monitoramento de recursos críticos

  20. Etapa 2 – Definir Estratégias– sp800-34 • Cold Site: tem apenas o espaço para o novo ambiente, porém não instalado • Warm Site: contém espaço e equipamento, porém não contém o sistema a ser contingenciado. Normalmente serve para operação de outro sistema.

  21. Etapa 2 – Definir Estratégias– sp800-34 • Hot Site: totalmente pronto para receber o sistema, porém depende do administrador. • Espelhamento: ativação em tempo real.

  22. Etapa 2 – Definir Estratégias– sp800-34

  23. Etapa 2 – Definir Estratégias– sp800-34

  24. Etapa 3 – Desenvolver os Planos • Plano de Continuidade de Negócios: • Conjunto de procedimentos e documentação de recursos para prevenção e recuperação • Procedimentos para: • Entrada na contingência • Operação contingente • Saída da contingência

  25. Etapa 3 – Desenvolver os Planos

  26. Etapa 4 – Testes e Manutenção • Verificar o que não funciona; • Reforçar o comprometimento dos envolvidos; • Verificar a capacidade de recuperar; • Validar compatibilidade técnica; • Identificar oportunidades de melhorias.

  27. Resultado do PCN!!!

  28. 2. Análise de Impacto de Negócio

  29. Análise de Impacto de Negócio • É a base para o desenvolvimento do PCN • Define os processos essenciais e seus impactos em caso de parada • O objetivo: • Definir o IMA - Interrupção Máxima Aceitável • Definir o nível mínimo de serviço aceitável

  30. Análise de Impacto de Negócio • Para cada processo essencial: • Classificar o processo • Identificar o impacto (financeiro, operacional e imagem) • Definir requisitos mínimos de contingência • Definir a Interrupção Máxima Aceitável • Definir dependências do processos • Estas informações são a base para definição de Estratégias e Planos

  31. Análise de Impacto de Negócio • É importante que os dados da BIA sejam revisados com: • Alta administração • Responsáveis pelo processo • Pode ser feito através de: • Reuniões, workshops, • Questionários e entrevistas.

  32. Etapas da BIA • Processos ou Atividades Essenciais • Definição dos Impactos • Definição das Dependências

  33. 2.1 Processos ou Atividades Essenciais

  34. Processos ou Atividade Essenciais • Identificar as atividades que suportam o fornecimento de produtos ou serviços; • Selecionar atividades com base em sua criticidade; • Determinar a carga normal de entrega do processo ou atividade; • Ex. 50 transações por hora.

  35. Processos ou Atividade Essenciais • Classificar o processos ou atividade quanto a sua criticidade;

  36. OMC – Objetivo Mínimo de Continuidade • Níveis mínimos de serviço ou produto • De modo a garantir os objetivos de negócio durante um período de contingência • Exemplos: • 50% da capacidade normal; • Atraso de 10 minutos no atendimento; • Atendimento parcial do processo;

  37. POR – Ponto Objetivo de Recuperação • Ponto em que a informação restaurada por uma atividade deve ser recuperada. • Para permitir uma retomada aceitável. • Exemplos.: • Sem requisito; • 24 horas; • On-line;

  38. Atividade 1 • Enumere pelo menos 3 processos; • Determine a carga normal do processo; • Classifique os processos • Defina o OMC e o POR para cada um dos processos;

  39. 2.2 Análise de Impacto de Negócio Definição do Impacto

  40. Definição do Impacto • Avaliar o impacto ao longo do tempo de não realizar a atividade • O impacto pode ser de ordem: • Financeira • Operacional • Imagem ou reputação

  41. Definição do Impacto • Impacto financeiro: • Perda direta de dinheiro por conta da interrupção; • Normalmente quantitativo; • Ex. deixar de vender; • Ex. multas por requisitos legais; • Ex. pedido cancelado por falta de entrega; • Ex. pagamento extras de fornecedores e funcionários;

  42. Definição do Impacto • Impacto operacional: • Perda de estrutura por conta da interrupção; • Pode ser quantitativo ou qualitativo; • Ex. quebra de máquinas; • Ex. matéria prima inutilizada; • Ex. perda de qualidade no resultado do processo;

  43. Definição do Impacto • Impacto à imagem: • Perda reputação junto ao mercado; • Geralmente é qualitativo; • Ex. perda de clientes atuais; • Ex. perda de futuros clientes; • Ex. perda de parcerias; • Ex. perda de vantagens com fornecedores;

  44. Definição do Impacto • Talvez em um curto espaço de tempo seja irrelevante; • A partir de determinado tempo torna-se intolerável; • Quanto tempo até ter: • Prejuízos financeiros inaceitáveis? • Prejuízos operacionais inaceitáveis? • Imagem abalada inaceitável?

  45. IMA – Interrupção Máxima Aceitável • Tempo em que os impactos sobre uma interrupção tornam-se inaceitáveis! • Um impacto financeiro pode ser “alto” na primeira hora e depois disto se tornar “crítico”.

  46. TOR - Tempo Objetivo de Recuperação • Tempo em que o produto ou serviço deve ser retomado após um incidente; • Pode ser retomado em estado de contingência; • Deve ser menor do que o IMA;

  47. Definição do Impacto • Os três aspectos de impacto devem ser avaliados juntamente com o IMA; • Se tiver vários impactos, considerar sempre o mais grave!!! • Classificar o impacto em caso de violação do IMA, como:

  48. Atividade 2 • Identifique impactos financeiros, operacionais e de imagem para seus processos; • Determine o IMA para cada processo; • Classifique os impactos em:

  49. 2.3 Análise de Impacto de Negócio Identificação de Dependências

  50. Identificação de Dependências • Os processos possuem dependências • Podem ser: • Hardware • Software • Infraestrutura física • Pessoas • Outros processos • Etc...

More Related