Upload
phamdang
View
214
Download
1
Embed Size (px)
Citation preview
1
1
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
Prof. Mário Sérgio [email protected]
2
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
Mário Sérgio Ribeiro, 49 anos, engenheiro, professor universitário, pós-graduado em Computação. Especialista em Governança de TI, Segurança da Informação e Auditor Líder certificado na NBR ISO/IEC 27001:2005. São vinte e quatro anos de experiência em TI, sendo quatorze deles dedicado àSegurança da Informação e Governança de TI. Teve uma ótima passagem como CSO do Grupo Pão de Açúcar, onde foi o responsável pela criação da área de Security Office. Outras passagens de sucesso incluem a São Paulo Alpargatas e o Grupo ITAÚ. Atualmente é consultor executivo em projetos de segurança da informação e governança de TI para diversas instituições financeiras instaladas no país.
São mais de quinze anos de experiência acadêmica, tendo sido coordenador e docente do curso de pós-graduação do IPEN/USP em Segurança da Informação. Atualmente é professor titular do MBA da FIA/USP. Foi Diretor de Educação da ISACA - capítulo SP por três anos consecutivos, onde foi coordenador e instrutor do Curso Preparatório para as certificações internacionais CISA e CISM. Ministrou cursos de Governança de TI, Segurança da Informação, Auditoria e Compliance em todo o território nacional para mais de 1500 alunos. É palestrante em Governança de TI e Segurança da Informação em diversos Congressos Nacionais, entre eles o CNASI.
Defenderá em dezembro de 2008 no IPT/USP, para obtenção do título de Mestre em Engenharia da Computação, área de concentração Segurança, dissertação sobre o tema Prevenção de Fraudes
Computacionais.
Algumas das empresas que tiveram seus profissionais treinados pelo professor Mário Sérgio Ribeiro: Banco Central do Brasil, Banco do Brasil, Bradesco, Itaú, Unibanco, HSBC, Santander,
MorganStanley, Deutche Bank, JP Morgan, Banco do Estado de Santa Catarina, Banco do Estado
do Rio Grande do Sul, Banco de Desenvolvimento de Minas Gerais, Bolsa de Valores de SP,
Redecard, Petrobrás, Honda, Grupo Gerdau, Souza Cruz, Yamaha, Eletropaulo, Volkswagen,
Secretaria da Saúde e de Planejamento de MG.
2
3
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
AGENDA
(1) Resolução 3380 do BACEN
(2) Definindo o PCN
(3) Quais são os seus principais componentes
(4) Cuidados no desenvolvimento de um projeto de PCN
(5) Equipe, prioridades, prazos e investimento
(6) Discussão de dois casos
(7) Conclusões
4
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
1. RESOLUÇÃO 3380 BACEN
Itens de Importância da Resolução para o tema:
- Determinação pelo BC para implementar estrutura de
Gerenciamento de Risco Operacional
- Risco Operacional é: a possibilidade de ocorrência de perdas
resultantes de falha, deficiência ou inadequação de processos internos,
pessoas e sistemas, ou de eventos externos
- Entre os eventos de Risco Operacional, incluem-se:. Fraudes internas . Fraudes externas . Falhas em sistemas de TI
3
5
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
- A estrutura de Gerenciamento do Risco Operacional deve prever:
. Identificação, avaliação, monitoramento, controle e mitigação do riscooperacional
. Documentação e armazenamento de informações referentes às perdasassociadas ao risco operacional
. Realização, com periodicidade mínima anual, de testes de avaliação dossistemas de controle de riscos operacionais implementados
. Existência de Planos de Contingências contendo as estratégias a
serem tratadas para assegurar condições de continuidade das
atividades e para limitar graves perdas decorrentes de risco
operacional.. Elaboração e disseminação da política de gerenciamento de riscooperacional ao pessoal da instituição, em seus diversos níveis,estabelecendo papéis e responsabilidades, bem como as dos terceiros
6
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
- A estrutura de Gerenciamento do Risco Operacional deverá ser
implementada até 31 de dezembro de 2007, com a observância do
seguinte cronograma:
. Até 31 de dezembro de 2006: indicação do diretor responsável e definiçãoda estrutura organizacional que tornará efetiva a sua implementação
. Até 30 de junho de 2007: definição da política institucional, dosprocessos, dos procedimentos e dos sistemas necessários à suaefetiva implementação
. Até 31 de dezembro de 2007: efetiva implementação da estrutura degerenciamento do risco operacional.
4
7
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
- O BACEN poderá:
. Determinar a adoção de controles adicionais, nos casos de inadequaçãoou insuficiência dos controles do risco operacional implementados pelasinstituições
. Imputar limites operacionais mais restritivos à instituição que deixar deobservar, no prazo estabelecido, a determinação dessa resolução.
8
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
5
9
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
ESTAMOS FALANDO DE ACIDENTES? Eles Existem?
ACIDENTES SÃO PROVOCADOS?
ESTAMOS FALANDO DE AMEAÇAS? QUE TIPOS?
FALAMOS DE VULNERABILIDADES? QUE TIPOS?....
A PALAVRA QUE RESUME ISSO TUDO CHAMA-SE RISCO!
10
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
ELABORAMOS, TREINAMOS, TESTAMOS PLANO DE
CONTINUIDADE DE NEGÓCIOS PORQUE
RESPEITAMOS O RISCO!
6
11
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
RISCO = é a combinação das conseqüências advindas da ocorrência de umevento indesejado e da probabilidade da ocorrência do mesmo.
12
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
Identificação de Ameaças
Uma ameaça tem o potencial de comprometer ativos (tais como informações,processos, sistemas e instalações) e, por isso, também as organizações.Ameaças podem ser de origem natural (ambiental) ou humana e podem seracidentais ou intencionais.
As ameaças devem ser identificadas genericamente e por classe (por exemplo:ações não autorizadas, danos físicos, falhas técnicas) e, quando apropriado,ameaças específicas dentro das classes genéricas.
Experiências internas de incidentes e avaliações anteriores das ameaçasdevem ser consideradas em uma nova avaliação. Catálogos de ameaças eestatísticas são disponibilizados por organismos setoriais, governos nacionais,organismos legais, companhias de seguro, etc.
7
13
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
Tipo Ameaças Origem
FogoÁguaPoluiçãoAcidente graveDestruição de equipamento ou mídiaPoeira, corrosão, congelamentoFenômeno climáticoFenômeno sísmicoFenômeno meteorológicoInundaçãoFalha do ar condicionado ou do sistema de suprim de águaRadiação eletromagnéticaRadiação térmicaPulsos eletromagnéticosInterceptação de sinais de interferência comprometedoresEspionagem à distânciaEscuta não autorizadaFurto de mídia ou documentosFurto de equipamentosRecuperação de mídia reciclada ou descartadaDivulgação indevidaDados de fontes não confiáveisAlteração do hardware
Dano físico
Eventos Naturais
Paralisação de serviços essenciais
Comprometimento da informação
A, I, N
A, I, NA, I, NA, I, NA, I, NA, I, N
NNNN
A,I
A, I, N
IIIIII
A, I
I
A, I, N
A, I, N
A, I
Alteração do software A, I
14
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
Tipo Ameaças Origem
Falha de equipamentoDefeito de equipamentoSaturação do sistema de informaçãoDefeito de softwareViolação das condições de uso do sistema de informação que possibilitam sua manutençãoUso não autorizado de equipamentoCópia ilegal de softwareUso de cópias de software falsificadas ou ilegaisComprometimento e processamento ilegal dos dadosErro durante o usoAbuso de direitosForjamento de direitosIndisponibilidade de recursos humanos
Falhas Técnicas
Ações não autorizadas
Comprometimento de funções
A, I, N
A, I, NA, I, NA, I, N
A, I
II
A, II
A
I
A, I
A, I, N
Ameaças Típicas - continuação
8
15
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
Identificação das Vulnerabilidades
Vulnerabilidade: uma falha, uma fraqueza, uma debilidade em processos,tecnologias, instalações, em controles internos que podem ser exercitados(acidentalmente provocado ou intencionalmente explorado) por uma ameaça e poderesultar em impactos à empresa.
As vulnerabilidades podem ser identificadas nas seguintes áreas:
- Organização- Processos e procedimentos- Rotinas de gestão- Recursos humanos- Ambiente físico- Configuração do sistema de informação- Hardware, software ou equipamentos de comunicação- Dependência de entidades externas
16
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
Exemplos de Vulnerabilidades (anexo D – ISO/TR 13335)
9
17
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
Identificação dos Controles Existentes
O alvo desse passo é analisar os controles que tem sido implementado ou
estão planejados para implementação pela organização para minimizar ou
eliminar a probabilidade de uma ameaça(s) explorar vulnerabilidades. Além
disso, para se evitar custos e trabalhos desnecessários, por exemplo, na
duplicação de controles.
Enquanto os controles existentes estão sendo identificados, é importante que
seja realizada uma verificação para assegurar que eles estão funcionando
corretamente. Um controle que não funcione como esperado pode provocar o
surgimento de vulnerabilidades (ex.: dispositivos de gravação de imagem sem
manutenção).
18
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
Determinação de ProbabilidadesPara indicar a probabilidade que uma vulnerabilidade potencial pode ser
explorada pela(s) ameaça(s) associadas, alguns fatores podem ser
considerados:
• Uma lista de cenários de incidentes identificados como relevantes
• Identificação das ameaças desses incidentes
• Quais foram os ativos afetados
• Quais as vulnerabilidades exploradas e as conseqüências para os ativos e
processos de negócio
Além disso, é importante listar todos os controles existentes e planejados,
saber de sua eficácia, implementação e seu status de utilização.
10
19
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
Análise do Impacto
O impacto sobre o negócio da organização, que possa vir a ser causado por incidentes (possíveis ou reais) relacionados à SI, deve ser avaliado levando-seem conta as conseqüências de uma violação de SI, como a perda doconfidencialidade, integridade e disponibilidade (CID) dos ativos.
Outros dois itens devem ser considerados, além do impacto no CID:- O valor da reposição do ativo: custo da recuperação e da reposição da
informação (se for possível)- As conseqüências ao negócio relacionadas à perda ou ao
comprometimento do ativo (caráter empresarial, legal, regulatórias, divulgação indevida, modificação, indisponibilidade, destruição de informações)
20
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
Estimativa de Riscos
Uma metodologia para estimar os riscos pode ser qualitativa ou quantitativa ou
uma combinação de ambas. Na prática, a estimativa qualitativa é utilizada em
primeiro lugar para obter uma indicação geral do nível de risco e revelar os
grandes riscos. Isso ocorre porque é menos complexo e menos oneroso
realizar análises qualitativas do que quantitativas.
Depois pode se detalhar com a quantitativa, notadamente nos ativos e
ambientes mais críticos para a organização.
11
21
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
• Estimativa Qualitativa
A estimativa qualitativa utiliza uma escala com atributos qualificadores que
descrevem a magnitude dos impactos potenciais (p.ex.: baixo, médio e
alto) e a probabilidade de ameaças explorarem as vulnerabilidades presentes.
A estimativa qualitativa pode ser utilizada:
- Como uma verificação inicial a fim de identificar riscos que exigirão uma análise mais detalhada
- Quando esse tipo de análise é suficiente para a tomada de decisões
- Quando os dados numéricos ou recursos são insuficientes para uma estimativa quantitativa
22
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
• Estimativa Quantitativa
A estimativa quantitativa utiliza uma escala com valores numéricos tanto para
os impactos quanto para a probabilidade da ameaça, usando dados de
diversas fontes. A qualidade da análise depende da exatidão e da integridade
dos valores numéricos e da validade dos modelos utilizados.
A estimativa quantitativa, na maioria dos casos, utiliza dados históricos dos
incidentes.
12
23
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
ANÁLISE DE IMPACTO AO NEGÓCIO [do inglês – Business Impact Analisys (BIA)]
Entrevistas para o BIA são conduzidas para:
. identificar as funções e processos de negócios essenciais o
qual necessita reiniciar o mais cedo possível depois que um
desastre tenha ocorrido;
. estabelecer o quão cedo essas funções devem reiniciar
depois de um desastre ter ocorrido;
. Identificar os mínimos recursos necessários para que as
funções de negócios essenciais possam ser reiniciadas;
24
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
. planejada de maneira antecipada com os gerentes das várias
unidades de negócio, assegurando que todos os
entrevistados estão completamente instruídos do que se
espera deles.
- Informação obtida das entrevistas do BIA devem ser
registradas de uma forma consistente;
- Todas as planilhas devem ser comparadas para checar se o
impacto de uma função/processo de negócio paralisada
aparece em mais de um lugar. Quaisquer discrepâncias devem
ser resolvidas com os entrevistados;
13
25
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
- Todas as funções devem ser avaliadas para estabelecer:
. qual o impacto em outras UN´s poderá se ter se elas pararem;
. quão severo o impacto da função/processo parada, levando-
se em conta o impacto e o MTD;
26
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
Categorização de Funções e Processos de Negócios
É importante determinar uma categorização para funções e
processos de negócio para saber quem são os mais críticos e
quem são os menos críticos. Da mesma forma, também
categorizar os requerimentos do tempo para recuperação faz
parte da equação para se determinar o BIA. Vejamos:
- Categoria 1: Funções Críticas – Missão Crítica
- Categoria 2: Funções Essenciais – Vital
- Categoria 3: Funções Necessárias – Importante
- Categoria 4: Funções Desejáveis - Menor
14
27
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
Exemplo de uma Matriz de Funções e Processos de Negócios e Criticidade
_______________________________________________________________
FUNÇÃO DE NEGÓCIOS PROCESSO DE NEGÓCIO CRITICIDADE
_______________________________________________________________
Recursos Humanos Folha de Pagamento Missão-crítica
Checar antecedentes Importante
----------------------------------------------------------------------------------------------------------
Finanças Débitos pagamentos Vital
Recebimento de contas Missão-crítica
Pagamento de contas Missão-crítica
Arquivamento de impostos Missão-crítica
---------------------------------------------------------------------------------------------------------
Marketing e Vendas Vendas a clientes Missão-crítica
Análise histórica do cliente Vital
____________________________________________________________
28
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
Categorias de Impacto
O impacto de qualquer ruptura de negócios pode incluir:
1. Financeira: perda de faturamento, custos altos,
responsabilidades legais com multas.
2. Clientes e Fornecedores: em função do desastre, pode não
ser cumprido os acordos com os mesmos, e perdê-los.
3. Empregados: pode perdê-los por morte, ferimento, estresse
ou uma decisão particular após uma significativa ruptura.
4. Relações Públicas e Credibilidade: empresas que tem
sofrido rupturas em seus negócios e não estavam preparadas
para a situação, tiveram sérios problemas na sua credibilidade
em relação a opinião pública e clientes.
15
29
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
5. Legal: segurança e saúde do trabalhador considerando
regulamentações, privacidade de dados e segurança.
6. Exigências Regulatórias: a empresa pode ser incapaz em
encontrar as exigências regulatórias mínimas em um evento de
ruptura de negócios. Deve ser entendido completamente esses
regulamentos e seus requisitos relacionados com a ruptura dos
negócios.
7. Ambiental: algumas empresas podem enfrentar desafios
ambientais.
8. Operacional: operações são impactadas por qualquer ruptura
dos negócios. Elas devem ser identificadas e classificadas em
termos da criticidade.
30
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
9. Recursos Humanos: como o pessoal será impactado por uma
maior ou menor ruptura? Quais são as características
qualitativas a serem endereçadas (moral, confiança, etc.).
10. Exposição da Perda: quais tipos de perda a empresa
enfrentará? Isso inclui perda de propriedade, perda de
faturamento, recebimento de contas, pagamento de contas.
11. Imagem social e corporativa: como empregados, clientes,
fornecedores, parceiros e a comunidade verão a empresa?
Como a imagem será alterada?
16
31
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
Exigências do Tempo de Recuperação
Maximum Tolerable Downtime (MTD) – Trata-se do tempo máximo
que um negócio pode tolerar a ausência ou indisponibilidade de uma função de
negócio em particular. Diferentes funções de negócios terão diferentes MTDs.
O downtime consiste de dois elementos, o tempo de recuperação do sistema e
o tempo de recuperação do trabalho. Portanto, MTD = RTO + WRT
Recovery Time Objective (RTO) – É o tempo disponível para
recuperar sistemas e recursos de uma ruptura. É tipicamente um segmento do
MTD.
32
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
Por exemplo, se um processo de negócio crítico tem um MTD de três dias, o
RTO deve ser um dia. Esse é o tempo que você terá para instalar o backup
dos sistemas e rodá-lo. O remanescente dois dias será usado para o work
recovery, mostrado a seguir.
Work Recovery Time (WRT) – É o segundo segmento que compreende
o MTD. Se o seu MTD é três dias, um dia pode ser seu RTO e dois ou três dias
pode ser seu WRT. É o tempo que leva para copiar e rodar uma vez os
sistemas (hardware, software e configuração) a serem restaurados para as
funções de negócios críticas. Essa é uma área que alguns planejadores
negligenciam, especialmente os da área de TI.
17
33
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
Recovery Point Objective (RPO) – A quantidade ou a extensão de
perda de dados que pode ser tolerado por seus sistemas de negócios críticos.
Por exemplo, algumas empresas desenvolvem backup de dados em tempo
real, algumas desenvolvem por hora, outras por dia e outras semanalmente.
Se você desenvolve backups semanais , alguém tomou a decisão de que a
empresa pode tolerar a perda de um dado de valor de uma semana. Isso é o
RPO. Nesse caso, o RPO é uma semana.
O RPO é baseado em procedimentos operacionais atuais e sua estimativa do
que pode acontecer em um evento de ruptura nos negócios.
34
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
E A CONTINUIDADE DOS NEGÓCIOS,
COMO FICA? -�>>>
18
35
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
• Um Caso: WTC Towers (11set 2001)
Constatações:- Segurança Preventiva parcialmente eficiente;
- Pessoal orientado e treinado para emergências;
- Muitas empresas com PCN, porém somente alguns eram realmenteeficientes, testados e auditados.
- Consequências:- Embora graves, ainda possibilitou algumas ações defensivas;
- Muitas pessoas puderam ser salvas, havia organização;
- Empresas que tinham bons PCN´s puderam acioná-los e continuarseus negócios a partir de outras localidades.
36
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
Conclusões:
- Estimou-se que 50% das 550 empresas que lá existiam JAMAIS
serão reerguidas pois, sem PCN, não há quem possa remontar as
idéias, informações e mercados que se perderam;
- Algumas empresas possuíam CPD´s principal e backup em ambas
as torres e literalmente desapareceram no atentado;
- Duas empresas se destacaram como cases mundiais de
continuidade: Deutsche Bank e Morgan Stanley. Ambas tinham
boa parte de sua TI no complexo, porém em 4 horas já estavam
operando a 30% de sites alternativos e 24 horas depois a 60%.
Depois de 48 horas o incidente era transparente para seus clientes.
19
37
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
Então, O que vem a ser um PCN?É o planejamento para se recuperar de um desastre, com a
intenção para:
- gerenciar os riscos o qual pode resultar em eventos
desastrosos e deste modo minimizar a probabilidade de um
desastre ocorrer;
- reduzir o tempo que se leva para recuperar quando um
incidente ocorre; e
- minimizar os riscos envolvidos no processo de recuperação
pela construção de decisões críticas no avanço das
condições de puro estresse.
38
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
O QUE É UM DESASTRE?
Um desastre é um incidente ou evento o qual:
- ameaça pessoas, edificações ou a estrutura organizacional de
uma empresa; e
- exige medidas especiais para serem executadas para restaurar
as operações de volta ao estado normal.
Existem muitas causas possíveis de um desastre ou um evento
que provoque a ocorrência de uma ruptura. Algumas delas são:
- Fogo - Vandalismo
- Inundação - Falha de ar condicionado
- Tempestade - Perda de serviços essenciais
- Ameaça de bomba (energia, telefone)
20
39
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
Fonte: NIST
Seus Principais Componentes:
40
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
Focado em responder a segurança da informação em incidentes afetando sistemas e ou redes.
Fornece estratégias para detectar, responder e limitar conseqüências de um incidente malicioso.
Plano de Resposta ao Incidente
Endereça a comunicação com pessoal e público em geral; não focado em TI.
Fornece procedimentos para disseminar relatórios de posicionamento para o pessoal e público em geral.
Plano de Comunicação da Crise
Freqüentemente focado em TI; limitado para rupturas maiores com efeito de longo prazo
Fornece procedimentos detalhados para facilitar a recuperação das capacidades no site alternativo.
Plano de Recuperação do Desastre
Focado em pessoas e propriedade particular; não é baseado em processos de negócios e TI.
Fornece procedimentos coordenados para minimizar perda de vida ou ferimento e protegendo o dano a propriedade
Plano Emergencial
Endereça os sistemas e ativos de TI; não éfocado em processos de negócios.
Fornece procedimentos e capacidades para recuperar uma aplicação principal ou um sistema de suporte em geral.
Plano de Contingência de TI
Endereça o subconjunto das missões de uma organização que são julgados os mais críticos; usualmente escrito no nível do alto escalão; não focado em TI.
Fornece procedimentos e capacidades para sustentar as operações essenciais de uma organização, funções estratégicas, em um site alternativo pelo período superior a 30 dias(rec)
Plano de Continuidade Operacional (PCO)
Endereça os processos de negócios; não focado em TI; TI endereçada com base somente em seu suporte para os processos de negócios
Fornece procedimentos para recuperação das operações dos negócios imediatamente após um desastre
Plano de Recuperação dos Negócios (PRN)
Endereça os processos de negócios; TI endereçada com base somente em seu suporte para os processos de negócios
Fornece procedimentos para sustentar as operações essenciais dos negócios enquanto se recupera de uma ruptura significativa
Plano de Continuidade de Negócios (PCN)
ESCOPOPROPOSTAPLANO
21
41
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
CARACTERÍSTICAS DE UM PCN
O Planejamento da Continuidade de Negócios tem três
características complementares:
1. Redução do Risco: o gerenciamento dos riscos para se
prevenir de um desastre. Isso é realizado pela avaliação e
identificação dos riscos enfrentados por uma empresa e suas
premissas, o qual pode resultar em um desastre.
2. Plano de Emergência: o gerenciamento de crise de um
incidente quando ocorre (Controle de Incidente) para prevenir o
desenvolvimento de um desastre e a diminuição de seus
impactos.
42
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
3. Plano de Continuidade de Negócios (PCN): um plano para
ser ágil na efetiva reintegração das operações de negócios
essenciais e pelo direcionamento das ações de recuperação
pelos times de recuperação específicos.
Os três elementos para considerar é a continuidade de:
- tecnologia da informação. Serviços computacionais,
comunicações, etc.
- humanos e outros recursos. Assegurar que o staff:
. é consciente dos arranjos alternativos;
. possuem os recursos de que necessitam; e
. são produtivamente empregados.
- instalações físicas: mobília, artigos de escritório, etc.
22
43
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
As atividades chaves no PCN são para:
- Identificar quais operações e atividades de suporte necessitam
ser reiniciadas depois de um desastre, os limites de tempo
máximo aceitável pelo qual eles devam ser reiniciadas, e os
recursos necessários para restartá-las;
- Identificar contingências para os recursos exigidos;
- Selecionar uma estratégia de custo benefício para restaurar as
operações;
- Desenvolver o PCN para guiar e direcionar o reinício das
operações;
- Testar o PCN, treinar o staff em como usá-lo e revisioná-lo.
44
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
O Plano de Continuidade de Negócios
Se um PCN está corretamente construído e opera com sucesso,
ele deve envolver todos os níveis de gerência e deve
compreender:
- Ação para ser tomada na seqüência de um desastre;
- Staff responsável para tarefas específicas;
- Sistemas e operações essenciais;
- Ações exigidas para reiniciar as operações;
- Arranjos para o processamento de dados na emergência;
- Exigências do backup off-site;
- Exigências de fornecimentos; e
- Manter staff e outros informados sobre a organização.
23
45
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
• Objetivos do PCN
• Avaliar os Riscos• Avaliar os Recursos Críticos
• Analisar o Custo da Parada dos PN e da Recuperação dos Ativos
• Definir Estratégias de Recuperação e Continuidade• Identificar os diferentes tipos de Impactos• Possibilitar a Continuidade de Negócios
• Minimizar Perdas Diversas (Risco Calculado)
46
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
• CICLO DE VIDA DO PCN______________________________
• Medidas Preventivas de Segurança• Mapeamento do Negócio• Análise de Impacto• Estratégias• Documentação• Testes/Simulações
24
47
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
FASES DE UM PCN
� PLANEJAMENTO
- Conhecer em detalhes o negócio da organização (doc de PLE, BP,
Workflow, Organograma, Gestores, etc.)
- Realizar uma inspeção física pela organização e, atentar
prinicipalmente, pelas UN´s onde se localizam os processos críticos
- Anotar o que estiver em não conformidade com as normas de
segurança da informação, patrimonial, etc.
- Realizar entrevistas iniciais com os Gestores (começando pelas UN´s
com processos críticos, não críticos e pelos de apoio)
48
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
� PLANEJAMENTO (cont.)
- Preparar um draft para cada UN com seus processos, destacando
as vulnerabilidades encontradas, ameaças que podem explorá-las
e possíveis impactos.
� DESENVOLVIMENTO
- Realizar a Análise de Risco e o BIA
- Realizar reuniões finais com Gestores
- Criar o Comitê de Gestão da Continuidade de Negócios� Definição de Estratégias, Recursos e Custos
25
49
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
� PLANOS E PROGRAMAS- Definição de Procedimentos, Estratégia dos Times,Estrutura dos Planos (contingência operacional,recuperação de desastres), do Programa deAdministração da Crise e Acompanhamento
� TESTES E SIMULAÇÕES- Planejamento dos testes, instrução pré-teste,
execução e correções
50
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
PCN = PAC + PCO + PRD_____________________________
- PAC = Programa de Administração de Criseé acionado após decretada a Crise, e é voltado para todo o processo. Tem seu término quando se volta ao normal.
- PCO = Plano de Continuidade Operacionalé acionado após os primeiros procedimentos do PAC, e évoltado para os processos de negócio.
- PRD = Plano de Recuperação de Desastresé acionado junto com o PCO, e é focado narecuperação/restauração de componentes que suportam osPN.
26
51
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
EQUIPE, PRIORIDADES, PRAZO, INVESTIMENTO
- Equipe própria para elaborar o PCN?
- Contratar uma consultoria?
- Utilizar “coach” para realizar o trabalho?
Qual a melhor estratégia?
52
1999-2008
© Prof. Mário Sérgio Ribeiro
FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)
EQUIPE, PRIORIDADES, PRAZO, INVESTIMENTO (cont.)
- Se eu tiver vários sites, quais são minhas prioridades com
relação ao PCN? Por qual começo, em caso de budget
restrito?
- Qual o prazo para ter um PCN totalmente pronto?
- Qual o investimento na sua elaboração?