View
37
Download
7
Embed Size (px)
Citation preview
Gestão de Continuidade de
Negócios
Guilherme Lopes Matsushita E-mail: [email protected]
• Formado em Análise de Sistemas pela FACCAT;• Pós-graduado em Governança de TI pelo MACKENZIE;• Profissional em Gestão de Projetos de TI;• Experiência há mais de 8 anos em TI, participando de grandes
projetos de implantação, hard refresh e service desk;• Clientes de Projetos:
Porto Seguro Grupo Medial Saúde BRFoods Prodesp HSBC
Apresentação
Normas
• ISO/IEC 27002: Código de Prática para Gestão da Segurança da Informação.
• Cobit: Framework de Controles para avaliar o nível de maturidade dosprocessos de TI em organizações de diferentes segmentos.
• ISO/IEC 27001: Sistema de Gestão de Segurança da Informação (SGSI).
• ISO/IEC 27005: Norma que integra a família ISO 27000 e que tem como focoo processo de Gestão de Riscos em Segurança da Informação.
• BS 25999: Código de Prática para Gestão da Continuidade de Negócios.
• DSS-PCI: Padrão para segurança de dados em transações de pagamentocom cartão.
• ISO/IEC 15408: Norma voltada para avaliação do nível de segurança desistemas computacionais em geral.
• ISO/IEC 27004: Norma que integra a família ISO 27000 e que tem como focodefinir técnicas e procedimentos para avaliar a eficácia dos controlesimplementados.
Atualidades
Um dos eventos mais marcantes da história dos Estados Unidos, o “11 de Setembro”.
Gerenciamento de Continuidade de Negócios
Restrita 2011 © Copyright. Todos os direitos reservados - Prof. Marcos Assi
Plano de Continuidade de Negócio
• É um programa holístico, determinado pelas exigências estratégicas da empresa;
• É conduzido pela alta administração para reagir à interrupções;
• Modifica as consequências de uma interrupção, a um nível satisfatório para a direção;
• Fornece um meio testado para enfrentar as crises.
• É constituído pelos seguintes planos:- Plano de Administração de Crises (PAC)- Plano de Recuperação de Desastres (PRD)- Plano de Continuidade Operacional (PCO)
Plano de Continuidade de Negócio
• Processo da Gestão de Continuidade de Negócio
Plano de Continuidade de Negócio
Razões para elaborar um PCN:
• Demonstra maturidade empresarial;
• Maturidade em Gestão de Riscos;
• Minimiza impactos;
• Melhora a imagem perante o mercado;
• Garante o direito do acionista e investidor;
• É parte certificável para a ISO 27001 (SGSI);
• Identifica o universo de criticidade da empresa;
• Justifica investimentos conscientes em TI;
Ameaças e Impactos
• Ameaça / Evento:
- Qualquer situação passível de ocorrência. Ex: raio, vendaval, enchentes, falta de energia, etc.
• Tipos de ameaças:- Naturais: raio, furacão, enchentes,...- Físicas: estruturas em má condições, incêndio,...- Humanas: acesso indevido, roubo de patrimônio,...- Políticas-econômicas: inflação, eleições,...- Tecnológicas: falha de servidor, queda de link,...
Ameaças e Impactos
• Impactos:- Qualquer alteração do ambiente causada por atividades
humanas, físicas, tecnológicas, e que afetam direta ou indiretamente os processos de negócios da empresa.
- Perda Financeira;- Abalo na imagem;- Multas ou sanções;- Perda de investidores e até de mercado;- Aumento no custo operacional;- Parada no negócio da empresa;- Perda de Ativos;- Dano a integridade física de pessoas.
Plano de Gerenciamento de Incidentes
• Incidente: - É um acontecimento imprevisto que resulta perda, dano
ou prejuízo ao negócio.
• O Gerenciamento de Incidentes:- Foco principal é reestabelecer o processo do negócio o
mais rápido possível;- Garantir que os níveis de disponibilidade e de qualidade
dos serviços sejam mantidos, conforme os acordos de nível de serviço (SLA);
- Definir prioridades.
Plano de Gerenciamento de Crises
• É um plano que visa a redução de perdas no momento que ocorre um incidente em algum processo de negócio da empresa ou organização;
• Este plano possui diversas etapas, as quais destacamos:
- Levantamento dos riscos;- Diagnóstico de ameaças;- Planejamento de processos envolvidos;- Implementação;- Manutenção.
Plano de Recuperação de Desastres
• É composto por cenários e procedimentos para recuperação de ativos, quando ocorrer uma falha;
• São desenvolvidos pelos gestores;
• São exigências de regulamentações como Lei SOX, BACEN 3380, ISO 27000;
• É composto por três etapas:- Programa de Administração de Crises- Plano de Continuidade Operacional- Plano de Recuperação de Desastres
Plano de Comunicação
• Definir um Representante para a Imprensa;
• Definir quem auxilia os funcionários no momento do desastre;
• Definir quem auxilia as famílias;
• Definir Segurança total do ambiente da empresa.
Plano de Comunicação
• Conciso, claro e objetivo;• Não mentir;• Somente declarar informações oficiais respaldadas;• Sempre estar alinhado com os demais membros de comitê e
Presidência;• Orientar a todos da corporação de como proceder;• Distribuir orientação impressa a todos;
Treinamento e Conscientização
• Elaborar um Programa de Treinamentos;• Palestras e Campanhas;• Internet e Intranet;• Impressos para os clientes;• Avaliar o entendimento dos envolvidos;• Tem que ser periódico (refinamento);• Desenvolver a melhoria contínua;
Obs: Mínimo anual, ideal a cada 3 meses um tipo de teste;
Ex: Um banco brasileiro executa 45 testes/mês;
Auditoria
• Exame analítico e pericial que segue o desenvolvimento das operações de uma empresa;
• Deve ser conduzido por auditores especializados em PCN e fora dos processos da organização;
• Verificar se os procedimentos foram utilizados da maneira correta;
• Verificar se as pessoas envolvidas estão cientes de suas responsabilidades;
• Verificar, em caso de incidente, o Plano de Gestão de Riscos, o Plano de Gestão de Incidentes e o Plano de Recuperação de Desastres, está apto a ser executado;
Bibliografia e Referências• BARNES, JAMES C - Business Continuity Planning, Hardcover Edition• ANTUNES, Edson – Plano de Contingência e Continuidade de Negócios: Sua empresa está preparada paraenfrentar situações de desastre?• PLACHTA, Cláudio – Plano de Continuidade de Negócios – Garantindo a Sobrevivência.• Disaster Recovery Handbook, The: A Step-by-Step Plan to Ensure Business Continuity and Protect Vital Operations,Facilities, and Assets by Michael Wallace, Lawrence Webber (Hardcover - July 2004)• Enterprise Risk Assessment and Business Impact Analysis: Best Practices by Andrew Hiles (Paperback)• Developing & Maintaining a Business Continuity Plan [DOWNLOAD: PDF] by Faulkner Information Services(Digital)• Business Continuity: Best Practices--World-Class Business Continuity Management, Second Edition byAndrew Hiles (Paperback - December 2003)• Business Continuity Planning: A Step-by-Step Guide with Planning Forms on CD-ROM, Third Edition byKenneth L. Fulmer, Philip Jan Rothstein (Editor) (Paperback - October 2004)• Emergency Preparedness for Facilities: A Guide to Safety Planning and Business Continuity : A Guide toSafety Planning and Business Continuity by David Casavant (Paperback)• Preparing a Business Continuity Plan [DOWNLOAD: PDF] by Faulkner Information Services (Digital)• Business Continuity Management: How To Protect Your Company From Danger (Management BriefingsExecutive Series) by Michael Gallagher (Paperback)• BCM Framework CD-ROM for Business Continuity Management (Business Continuity Management Series)by Andrew Hiles (CD-ROM)• Implications of and Compliance to Sarbanes-Oxley & Other Acts: Strategy, Control Framework and Plan ofAction (Enterprise Governance, Control, Audit, Security, Risk Management and Business Continuity) by J. &Masp Consulting Group Kuong (Paperback) • www.drii.org