Governança de TI e Gestão de Riscos
Contingência e
Continuidade de Negócios
Currículo Economista, Pós Graduado em Segurança de Dados e
Sistemas Formado pelo DRII em Contingência e Continuidade Membro do “Grupo de Notáveis” da Coordenadoria de
Investigações de Crimes Eletrônicos do MP do RJ Profesor da Cadeira de Contingência e Continuidade de
Negócios da UniRio e UFRJ (Núcleo de Computação Eletrônica)
Escritor do único livro em língua portuguesa sobre o assunto
Consultor e Palestrante com mais de 30 projetos de sucesso nos mais diversos segmentos organizacionais
Quem Acredita em “Gerenciar Riscos” ?
“Fernando, reconheço a importância, reconheço a pertinência, mas a questão de Continuidade de Negócios não é prioridade para as empresas no Brasil.
Elas se preocupam com faturamento, participação no mercado, insolvência e rentabilidade.
Seu negócio é ideal para a realidade de países como a Inglaterra ou Itália. Países que dão valor ao tempo e sofrem de ameaças mais sérias que greves.”
Ruy Gress, presidente do IQB - Indústria Farmacêutica
Como o Empresário “Entende” Continuidade (Segurança) ?
Pesquisa publicadana Computerworldde 19/11/2003
Características de Eventos no Brasil
Abaixo de
Governança
Antes de entendermos o que é Governança de TI, devemos tratar da questão mais ampla da Governança Corporativa nas empresas. Este tema tornou-se um tema dominante nos negócios devido a
safra de escândalos corporativos em meados de 2002 – Enron, Worldcom e Tyco, para citar apenas algumas.
O interesse na governança corporativa não é novo, mas a gravidade dos impactos financeiros das fraudes executadas pelas
empresas já citadas, abalou a confiança dos investidores. A crise de confiança do setor corporativo contribuiu para a pressão
descendente nos preços das ações, estimulando assim as empresas a tomarem uma atitude para contornar esta situação.
Discurso de Posse do Presidente de uma Grande Empresa de Telecom
ISO 17799 Basiléia 2 ITIL COBIT Sarbannes-Oxley SUSEP BaCen CVM ANATEL Requisitos de Negócio
Dever = Pertinência + Importância
Pesquisa feita pela KPMG com 250 empresas brasileiraspublicada em 04/02/04.
Pertinência + Importância = Medo
Medo de Que ?
Pesquisa publicadana Computerworldde 19/11/2003
Qual a maior Motivação ?
Objetos da GovernançaAtivos humanos: pessoas, habilidades, planos de carreira, treinamento, relatório, mentoring, competências etc. Ativos financeiros: dinheiro, investimentos, passivo, fluxo de caixa, contas a receber etc. Ativos físicos: prédios, fábricas, equipamentos, manutenção, segurança, utilização etc. Ativos de PI (Propriedade Intelectual): incluindo o know-how de produtos, serviços e processos devidamente patenteados, registrandos ou embutido nas pessoas e nos sistemas da empresa. Ativos de informação e TI: dados digitalizados, informações e conhecimentos sobre clientes, desempenho de processos, finanças, sistemas de informação e assim por diante. Ativos de relacionamento: relacionamentos dentro da empresa, bem como relacionamentos, marca e reputação junto a clientes, fornecedores, unidades de negócio, órgãos reguladores, concorrentes, revendas autorizadas etc.
Mecanismos da Governança
• Controle e Monitoramento de Ativos• Apoio e suporte da Alta Direção• Definição do papel e utilização dos “Ativos de TI”:
• Transparência• Suporte• Controle• Processos• Procedimentos• Métricas
Objetivos de ProteçãoAtivos humanos: Realizam processos e detêm relacionamentosAtivos financeiros: Justificam as ações da OrganizaçãoAtivos físicos: Abrigam a OrganizaçãoAtivos de PI (Propriedade Intelectual): Valores Intangíveis da OrganizaçãoAtivos de informação e TI: Viabilizam processos, através da redução de custos e aumento da produtividade, refletindo resultados obtidos. Controle.Ativos de relacionamento: Intermedia comunicações internas e externas; identifica a marca e reputação junto a clientes, fornecedores, unidades de negócio, órgãos reguladores, concorrentes, revendas autorizadas etc.
Porquê Governança ?
Porque suas ações e seus requisitos de transparência podem preservar
(“minimizar”) a responsabilidade legal dos administradores, que na prática
não conseguem responder pelas ações da maioria dos funcionários da
Organização
Como Definir nosso Risco ?
Fonte: Disaster Recovery Journal
Padronizando Conceitos
Evento: Fato de origem voluntária ou não que apresenta risco de dano. Também denominado “Fator de Risco”
Avaliação: considera a pior situação, no pior momento, no cenário mais pessimistaCenário: consistente com a realidade da OrganizaçãoControle: deveria ser proativo, preditivo e corretivo
Padronizando Conceitos
Risco: é a medida para um fator de incerteza
Causas Percentual
Falha Humana 50 a 80 %
Greves 10 a 17 %
Forças da Natureza
10 a 15 %
Sabotagem 3 a 4 %
Alagamento 2 a 3 %
Estranhos à Organização
1 a 3 %
Causas de Danos a Sistemas deInformaçãoFonte: Adaptado de Forcht, K.A., Computer Security Management, p. 66
Padronizando Conceitos
Dano: Conseqüência nociva acarretada por um Evento. Impacto de resultado prejudicial. Justifica a Contingência.
Oferece uma métrica para a criticidade Avalia igualmente Processos ou Componentes Apresenta variáveis de custos tangíveis, custos
intangíveis e períodos de tempo Identifica recursos mínimos necessários Seu resultado evidencia a importância das
variáveis em função de perdas e prazos de tolerância à interrupções
Padronizando Conceitos
BIA (Business Impact Analysis): é a Análise de Impacto nos Negócios, acarretada pela indisponibilidade de um Processo (atividade) ou Componente (recurso por ele utilizado)
Indica responsabilidades Orienta funções Define locais Indica o RTO (Recovery Time Objectives) – Objetivos de
Prazos para Recuperação Indica o RPO (Recovery Point Objective) – Objetivos de
Pontos de Recuperação
Padronizando Conceitos
Disaster Recovery Plan (DRP): Plano de Recuperação de Desastres. É a documentação das atividades necessárias para restauração ou substituição dos recursos (Componentes) utilizados pelos Processos de Negócios
Um Plano de Recuperação de Desastres(PRD) visa a reposição/restauração de umdos Componentes que suportam os PNs(p.e: a troca de um Servidor de Rede).
Como Funciona ?
Monitora e controla Fatores de Risco Indica responsabilidades e/ou substitutos Indica onde será realizado Indica como será executado É orientado pelos resultados obtidos pelo BIA,
especialmente no que tange às variáveis de tempo e custos
Padronizando Conceitos
Operational Contingency Plan (OCP): Plano de Contingência Operacional. Documenta procedimentos e atividades alternativas para serviços de TI ou Processos de Negócios
O Plano de Contingência (PCO)permite a execução do PN, mesmoque um Componente encontre-seindisponível (p.e.: como trabalharsem telefonia ?).
Como Funciona ?
Padronizando Conceitos
Business Continuity Plan (BCP): Plano de Continuidade de Negócios. É o conjunto de procedimentos documentados pelo PRD e pelo PCO, monitorado por um Plano de Gerenciamento de Crises (PRD) que facilita sua gestão e atualização.
Orienta resposta aos Impactos mais prováveis Considera os principais (críticos) processos da
organização Consolida responsabilidades, locais e prazos Indica parâmetros de RTO e RPO, evidenciados pelo
BIA Evidencia elementos para auditoria e atendimento de
requistos legais ou normativos
Um PCN traça um plano aonde o PCO eo PRD são executados simultaneamente,garantindo a continuidade do PN e a reposição/restauração do Componenteparalelamente
Como Funciona ?
PGC
O quê é um PCN ?(resposta da Prova !)
Metodologia que desenvolve estratégias alternativas para execução de processos1 ou sistemas2, minimizando os possíveis impactos acarretados pela sua interrupção, imposta por qualquer tipo de evento e que pode acarretar algum tipo de perda, financeira ou não.
1: PCN com foco para Continuidade dos Negócios2: PCN com foco em Componentes de Tecnologia de Informação
As Dificuldades são as Mesmas em Qualquer Lugar !
Riscos x Impactos
Fatores de Risco são aleatórios e imprevisíveis, comparando-se ao efeito de uma onda, cuja intensidade e dano estarão vinculados ao cenário de ocorrência quando se concretiza
Riscos x Impactos
Impactos são previsíveis, de acordo com o conhecimento do ambiente onde se manifestam e vinculados aos Eventos que se concretizaram, podendo ser contidos através de medidas de mitigação, independente do cenário
LEMBRETEErros tendem a se repetir…
Como Definir nosso Risco ?
Risco = ƒ Σ Vulnerabilidades
Σ Impactos
Como Definir nosso Risco ?
Risco = ƒ Link+Pessoas+HW+Telefonia+ ?
Parada de Processos ou Serviços
Como Definir nossa Estratégia ?
Disponibilidade = ƒ Σ Tolerância à Parada
Σ Tempo de Recuperação
Como Definir nossa Estratégia ?
Disponibilidade = ƒ 2 horas
6 horas
DICAÉ fácil fazer difícil. Difícil é fazer fácil !
Como Funciona ?
Tolerância à
Paradas
Tempo para
Recuperação
Índice de Disponibilidade
12 horas 1 hora 12
6 horas 3 horas 2
4 horas 4 horas 1
1 hora 12 horas 0.083
Como Funciona ?
Tolerância à
Paradas
Índice de Disponibilidade
Custo de Parada
12 horas 12 R$ 500,00
6 horas 2 R$ 5.000,00
4 horas 1 R$ 10.000,00
1 hora 0.083 R$ 10,00
Padrão de Segurança
BS 7799:2002 - Reino Unido NBR ISO/IEC 17799:2000 - Brasil/Internacional Definem um conjunto de boas práticas de
gestão da segurança Servem de base às políticas de segurança Seus controles permitem a auditoria de
segurança de informações
SOX – Act 2002
NÃO possui requisitos de Segurança, MAS exige:
Empresas possuam uma Política de Segurança abrangente Empresas definam sua classificação de segurança de Dados Empresas identifiquem seus Riscos e respectivos Impactos nos
Negócios Empresas possuam procedimentos e padrões formais de
Segurança Empresas possuam documentos que formalizem suas bases de
segurança, auditoria e testes atualizados Empresas possuam uma definição clara de reponsabilidades Empresas possuam políticas e procedimentos definidos para o
Gerenciamento de Mudanças, Suporte, Requisitos de Serviços, bem como para mudanças de Aplicativos, Políticas e Procedimentos
Normas + Circulares (BR)
Baseadas em Referências já consolidadas (ITIL/COBIT/ISO/BS) ou Regulatórias (SarbOx)
Exigem transparência Exigem mapeamento de riscos Exigem disponibilidade Exigem integridade Exigem confidencialidade
Visão de Segurança
Atende BS 7799, ISO 17799, CobiT, ITIL, MOF, BACEN, SUSEP
Não faz parte do SOX. Mas o resultado do BIA atende a vários itens da Seção 404
Deve garantir a continuidade dos negócios (com base na operação de TI) em caso de incidentes ou mesmo desastres totais
Será usado em caso de problemas – deve ser simples, fácil de entender e deve estar disponível às pessoas certas na hora certa
É um compromisso entre o nível de garantia de continuidade e uso de recursos (pessoas, equipamentos, serviços)
PCN
Crescimento de mercados (exigindo aumento na dependência de TI)
Aumento na utilização de redes Ampliação das bandas Processamento e conectividade
transformando-se em commodities (no prazo de 5 anos)
Jonathan SchwartzCOO da Sun
Tendências a Serem Consideradas
Nick CarrJornalistae Escritor
Redução de CPD próprios Centralização de CPDs
(terceirizados) A gestão de TI tornar-se cada vez
mais a gestão de Serviços O maior obstáculo para a
“comoditização” do processamento de informação não é tecnológico. É cultural
Tendências a Serem Consideradas
Continuidade como exigência legal Alta disponibilidade como requisito de
negócio Continuidade agregando valor ao
produto/serviço Responsabilização pessoal dos aspectos
legais das empresas Terceirização dos serviços de TI
(Virtualização)
Tendências a Serem Consideradas
Inove !
Não basta explicitar: É preciso divulgar
Não basta divulgar:É preciso praticar
Objetivo viável:É a média entre o que se quer com o que se pode
Recomendações Finais
International Association of Emergency Managers – www.IAEM.com
“Non-US individualMembership”: US$ 50
“StudentMembership”:US$ 25
“...se existirem duas ou mais formas de fazer uma tarefa, e uma delas puder provocar um desastre, alguém irá adotá-la...”
Edward Murphy Jr. (1918-1990)
Lembrete # 1
“É mais barato criar uma solução para Continuidade de Negócios do que reduzir seus riscos a zero.”
Fernando Marinho (1964-)
Lembrete # 2
DúvidaDúvidass
[email protected](21) 8154-9940