Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999‐1:2007 e BS 25999‐2:2007
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Termo de Isenção de Responsabilidade
A TI Safe, seus colaboradores e executivos, não se responsabilizam pelo mal uso das informações aqui prestadas.
Aproveite esta apresentação para ampliar seus conhecimentos em Segurança da Informação. Use com responsabilidade.
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Sobre a TI Safe •
Missão – Fornecer produtos e serviços de qualidade para a Segurança da Informação
•
Visão – Ser referência de excelência em serviços de Segurança da Informação
•
Equipe técnica altamente qualificada
•
Apoio de grandes marcas do mercado
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Não precisa copiar...
www.tisafe.com/ppt
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Agenda • Motivadores • Importância das Normas • ABNT NBR 15999‐1:2007 (BS 25999‐1:2006) – Gestão da Continuidade de Negócios – Código de Prática • BS 25999‐2:2007 – Gestão da Continuidade de Negócios ‐ Especificação
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Motivadores 9 Os motivadores de um Processo de GCN são, basicamente: 9 Elementos de estratégia de negócio; 9 Regulamentações que exijam Contingência 9 Necessidade de sobreviver no mercado, mesmo em situação de crise
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Onde se Aplica?
26/06/06 Vazamento de Gás inflamá inflamável Marginal Pinheiros – São Paulo 17/08/06 Caxias do Sul - Granizo
24/05/06 – PCC e conseqü conseqüente caos no Trânsito de São Paulo
30/11/06 - Chuva provoca 22 pontos de alagamento na cidade de SP
09/01/07 - Incêndio Justiç Justiça Federal - Av. Paulista
São Paulo – 08/03/07 -Manifestações Av. Paulita – Visita Bush 07/01/07 – Desmoronamento causado pela chuva
12/01/07 – Acidente Metrô - SP
16/11/06 – Incêndio Sadia –ToledoToledo-PR
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
A mudança das Ameaças Historicamente: – Incêndios – Furacões – Tornados – Terremotos – Inundações – Apagões
Características: Estatísticamente previsto, quantificável, assegurável e compreensível;
www.tisafe.com
Hoje: – Cybercrime e Queda no Serviço – AtaquesTerroristas – Invasão por equipamentos Wireless – Conectidade de parceiros de Negócios – Preocupação com Infra‐estrutura pública (telecom, aeroportos, entre outros) – Proteção de Capital Humano (Epidemias) – Na Verdade: Qualquer coisa possível
Características: Intencional, difícil de quantificar, não há limite de fronteiras para sua origem, não há como dimensionar a confiabilidade;
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Frameworks 9 9 9 9 9 9
ISO 27001, ISO 27002 (Cap. 14) ITIL / ISO 20000 (6.3 Service continuity and availability management) Cobit (DS4) Coso (atendimento à regulamentações) ISO 15408 Entre outros...
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Regulamentações e Legislações Segmento Financeiro 9 Resoluções Banco Central (SPB, 3380, 2554, 2817,..) 9Exemplo: 3380 – Risco Operacional Art. 3º ‐ A estrutura de gerenciamento do risco operacional deve prever: VI ‐ existência de plano de contingência contendo as estratégias a serem adotadas para assegurar condições de continuidade das atividades e para limitar graves perdas decorrentes de risco operacional;
9 9 9 9
Basiléia II BM&F/PQO PCI/DSS BITS
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Regulamentações e Legislações 9Mercado de Capitais 9CVM, SEX/SOx 9Segmento Telecom 9CONTRATO DAS TELECOM’S 9Seguros e Previdência 9SUSEP, SPC/CGPC 13 9TCU ‐ Melhores Práticas em Segurança da Informação 9Novo Código Civil
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Importância das Normas Por que um padrão? 9 Um consenso pleno de todas as partes interessadas, de forma não imposta (inclui governos, empresas, comércio, ONG's e profissionais das áreas) ; 9 Atualizado a um ciclo regular ; 9 As melhores práticas não são uma prática generalizada, embora aspirem... 9 Facilita processos de Auditoria e Certificação, caso necessários
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
ABNT NBR 15999‐1:2007 – Código de Prática A NBR 15999 é uma norma, orientada ao negócio, que visa subsidiar a implementação de um SGCN ‐ Sistema de Gerenciamento da Continuidade de Negócios. 9 Uma aproximação da gerência de risco à continuidade do negócio; 9 Uma aproximação da gerência de risco à continuidade do negócio; 9 A continuidade do negócio é agora uma das discussões mais importantes 9 A continuidade do negócio é agora uma das discussões mais importantes do risco que concerne às organizações. Ter planos de continuidade do do risco que concerne às organizações. Ter planos de continuidade do negócio significa não somente possuir cópias de segurança de sistemas de negócio significa não somente possuir cópias de segurança de sistemas de informação e equipamento da contingência ‐ é muito mais complexo: informação e equipamento da contingência ‐ é muito mais complexo: 9 Não é mais um modismo, mas parte integrante da gestão dos 9 Não é mais um modismo, mas parte integrante da gestão dos negócios; negócios; 9 Deve ser integrado através de todas as funções do negócio; 9 Deve ser integrado através de todas as funções do negócio; 9 Não é mais vista como especialidade de TI. 9 Não é mais vista como especialidade de TI.
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
ABNT NBR 15999‐1:2007 – Código de Prática
9 Estabelece o processo, os princípios e a terminologia da Gestão da Continuidade de Negócios (GCN). 9 Fornece uma base para entendimento, desenvolvimento e implementação da CN em uma organização. 9 Permite uma avaliação da capacidade de GCN de maneira consistente e reconhecida.
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O que é a GCN? Um processo da organização que estabelece uma estrutura estratégica e operacional adequada para: 9 Melhorar proativamente a resiliência da organização contra possíveis interrupções. 9 Prover uma prática para restabelecer a capacidade de fornecimento de produtos e serviços. 9 Obter reconhecida capacidade de gerenciar uma interrupção no negócio, protegendo marca e reputação.
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Ciclo de Vida da GCN
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
NBR 15999 – Ciclo de Vida • Gestão do Programa de GCN
Gestão do Programa de GCN
9 Atribuição de responsabilidades; 9 Implementação da continuidade de negócios na organização; 9 Gestão contínua da Continuidade de Negócios.
A participação da alta direção é fundamental para garantir que o processo de GCN seja corretamente introduzido, suportado e estabelecido como parte da cultura da organização. Criação de uma Política de GCN. Define‐se o Escopo da GCN
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
NBR 15999 – Ciclo de Vida • Entendendo a Organização
Entendendo a Organização
Compreensão da organização por meio da identificação de seus produtos e serviços fundamentais e das atividades críticas e dos recursos que a suportam.
www.tisafe.com
9Análise de Impacto no Negócio (BIA): 9 atividades críticas 9 impactos; 9 tempo objetivado de recuperação; 9 recursos necessários (pessoal, ambiente, tecnologia). 9Avaliação de Riscos: 9 ameaças; 9 vulnerabilidades; 9 riscos.
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
NBR 15999 – Ciclo de Vida • Definindo a Estratégia de Continuidade de Negócios
Determinando a Estratégia de CN
A organização estará numa posição apropriada para efetuar a escolha das estratégias de continuidade dos negócios apropriadas ao alcance de seus objetivos bem como a sua recuperação.
www.tisafe.com
9Opções: 9 período máximo de interrupção; 9 custos de implementação da(s) estratégia(s); 9 conseqüências de não se agir. 9Recursos a considerar: 9 pessoas; 9 instalações; 9 tecnologia; 9 informação; 9 suprimentos; 9 partes interessadas.
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
NBR 15999 – Ciclo de Vida • Desenvolvendo e Implementando uma resposta de GCN
Desenvolvendo e Implementando uma resposta de GCN
Desenvolvimento e implementação dos planos apropriados e dos preparativos realizados, de forma a garantir a continuidade das atividades críticas e o gerenciamento dos incidentes.
www.tisafe.com
9Planos: 9 Resposta a Incidentes; 9 Gerenciamento de Incidentes; 9 Continuidade de Negócios; 9 Recuperação; 9 Comunicação (mídia, partes interessadas). 9Conteúdo: 9 Papéis e responsabilidades; 9 Ativação; 9 Contatos (internos e externos); 9 Procedimentos (atividades); 9 Recursos.
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
NBR 15999 – Ciclo de Vida •
Testando, mantendo e analisando criticamente os preparativos de GCN
Testando, Mantendo e Analisando criticamente os preparativos de GCN
Garante que os preparativos para a GCN da organização estejam validados por testes e análises críticas e que sejam mantidas atualizadas.
www.tisafe.com
9Programa de testes; 9Manutenção dos Preparativos: 9 Novos produtos, serviços, atividades dependentes, pessoas. 9Análise crítica da capacidade de GCN da organização: 9 Política de GCN em conformidade com as leis, estratégias; 9 Resultado de testes; 9 Necessidades das partes interessadas. 9 Auditoria (interna ou externa ou auto‐avaliações)
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
NBR 15999 – Ciclo de Vida • Incluindo a GCN na cultura da organização
O desenvolvimento, promoção incorporação da cultura de GCN organização garantem que a GCN tornará parte dos valores básicos e gestão da organização.
www.tisafe.com
e na se da
9Conscientização: 9 informativos; 9 publicação intranet; 9 CDD; 9 visitas a instalações alternativas; 9Treinamento: 9 execução de BIA; 9 execução de AR; 9 desenvolvimento de planos; 9 testes de planos.
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O GCN envolve toda a organização • A Gestão de Continuidade de Negócio (GCN) permite uma compreensão mais clara de como a organização inteira trabalha podendo identificar oportunidades de melhoria.
Clientes Áreas de Negócios
Administração
GCN - Gestão da Continuidade do Negócio
Pares
Fornecedores
Técnicos Usuários Regulamentação
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
BS 25999‐2:2007 – Especificação Esta norma especifica os requisitos para estabelecer e gerenciar um SGCN eficaz definido por um programa de GCN. Isso reforça a importância de: 9Entender as necessidades de continuidade de negócios e de estabelecimento de uma política e objetivos para a continuidade de negócios; 9Implementar e operar os controles e medidas para gerenciar de forma abrangente os riscos da continuidade de negócios da organização; 9Monitorar e analisar criticamente a performance e eficácia do SGCN; e 9Melhoria contínua baseada na medida dos objetivos.
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
SGCN Um sistema de gerenciamento de continuidade de negócios, como qualquer outro sistema, tem os seguintes componentes chave: 9 Uma política; 9 Pessoas com responsabilidades definidas; 9 Processos de gerenciamento relativos a: a. política; b. planejamento; c. implementação e operação; d. análise de performance; e. análise crítica do gerenciamento; f. melhorias; 9 Conjunto de documentação fornecendo evidências auditáveis; e 9 Processos de tópicos específicos relativos ao tema, no caso, continuidade de negócios, tais como Análise de Impacto nos Negócios (BIA) e desenvolvimento de plano de continuidade de negócios.
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Estabelecer (Plan) Estabelecendo e Gerenciando o SGCN Definir os limites de um SGCN e garantir que os objetivos estão claramente definidos, entendidos e comunicados, o comprometimento demonstrado da alta direção com a GCN, recursos são alocados e aqueles com responsabilidades com a GCN são competentes para executar seus papéis. 9Escopo Geral 9Política de GCN 9Provisão de Recursos 9Habilidades da equipe de GCN
www.tisafe.com
Gestão do Programa de GCN
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Estabelecer (Plan) Incluindo a GCN na cultura da Organização Garantir que a organização implante a continuidade de negócios dentro de suas operações de rotina e gestão de processos, independente do seu tamanho ou setor dentro do qual ela atua.
Documentação e Registros do SGCN Fornecer clara evidência da operação eficaz do SGCN e a implementação da GCN na organização. 9Documentação do SGCN 9Controle de Documentos 9Procedimentos 9Controle dos registros do SGCN 9Controle dos documentos do SGCN
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Implementação e Operação (Do) Entendendo a Organização Permitir que a organização identifique as atividades críticas e recursos necessários para dar suporte aos principais produtos e serviços, entender suas ameaças e escolher o tratamento de risco adequado. 9Análise de Impacto no Negócio (BIA) 9Análise (avaliação) de Riscos 9Determinando Opções
Entendendo a Organização
Determinando a Estratégia de Continuidade de Negócios Identificar os acordos de GCN que permitirão a organização recuperar suas atividades críticas dentro de seus tempos objetivados de recuperação. Determinando a Estratégia de CN
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Implementação e Operação (Do) Desenvolvendo e Implementando uma resposta de GCN Permitir que a organização desenvolva e implemente acordos e planos apropriados de GCN para gerenciar qualquer incidente e continuar suas atividades críticas. Desenvolvendo e Implementando uma resposta de GCN
9Considerações Gerais 9Estrutura de Resposta a Incidentes 9Planos de Continuidade e Gerenciamento de Incidentes Testando, Mantendo e Analisando Criticamente os Preparativos de GCN Verificar a contínua eficácia das providências da GCN e dar maior garantia após um incidente de que as atividades críticas serão recuperadas como definido. 9Testes (Exercícios) de GCN 9Mantendo e Revisando os arranjos da GCN
www.tisafe.com
Testando, Mantendo e Analisando criticamente os preparativos de GCN
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Monitoramento e Revisão do SGCN (CHECK) Monitoração e Análise Crítica do SGCN Garantir que a monitoração do gerenciamento, eficiência e eficácia da análise crítica do SGCN seja conveniente para: a política de continuidade de negócios; os objetivos e o escopo; e, para determinar ações de correção e melhoria. 9Auditoria Interna 9Revisão Gerencial (Análise Crítica): 9Revisão de Entradas 9Revisão de Saídas
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Manutenção e Melhoria do SGCN (ACT) Manutenção e Melhoria do SGCN Manter e melhorar a eficiência e eficácia do SGCN através de ações corretivas e preventivas, quando determinado pela análise crítica do gerenciamento. 9Ações Preventivas e Corretivas 9Melhoria Contínua
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
BS 25999 – Certificação 9 BS 25999‐2: 2007 Gerenciamento da Continuidade de Negócios. Parte 2: Especificação; é a BS certificável. 9 Estabelece o SGCN – Sistema de Gerenciamento da Continuidade de Negócios 9 Modelo PDCA aplicado aos processos da GCN
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Benefícios da Certificação na BS 25999 9A certificação permite à companhia: 9A certificação permite à companhia: 9 atrair e assegurar clientes, protegendo e realçando sua reputação e 9 atrair e assegurar clientes, protegendo e realçando sua reputação e 9 demonstrar liderança do mercado; 9 demonstrar liderança do mercado; 9 criar vantagem competitiva; 9 criar vantagem competitiva; 9 desenvolver e manter as melhores práticas. 9 desenvolver e manter as melhores práticas.
marca marca
9Abre novos mercados e ajuda a obter novos negócios; 9Abre novos mercados e ajuda a obter novos negócios; 9Demonstra que as leis e regulamentos aplicáveis estão sendo observados; 9Demonstra que as leis e regulamentos aplicáveis estão sendo observados; 9Cria uma oportunidade para redução de encargos de auditorias internas e externas de 9Cria uma oportunidade para redução de encargos de auditorias internas e externas de GCN e pode reduzir prêmios de seguro sobre a interrupção do negócio. GCN e pode reduzir prêmios de seguro sobre a interrupção do negócio.
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
http://www.saopaulo.sp.gov.br/sis/lenoticia.php?id=94006
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
http://www.bsi-global.com
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Conclusões 9 9 9 9
É um processo robusto É praticado e testado Pode ser validado É a BS 25999 (NBR 15999)
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Sua empresa está preparada?
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Os Fatos Depois de um grande incidente quantas organizações sem um plano: – – – –
Nunca reabrem? Reabrem mas fecham em 18 meses? Reabrem mas fecham em 5 anos? Sobrevivem?
Safetynet / Guardian IT
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Os Fatos Depois de um grande incidente quantas organizações sem um plano: – – – –
Nunca reabrem? 40% Reabrem mas fecham em 18 meses? 40% Reabrem mas fecham em 5 anos? 12% Sobrevivem? 8%
Safetynet / Guardian IT
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
“As empresas mais bem sucedidas são aquelas que sempre possuem um plano B.” James Yorke, mathematician, on chaos theory in The New Scientist
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Participe do nosso fórum de segurança • Acesse www.tisafe.com/forum e cadastre-se
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Contato •
•
Eletrônico –
www.tisafe.com
–
[email protected]
–
Skype: ti-safe (somente voz)
Telefones –
Rio de Janeiro: (21) 3005-4318 / (21) 2577-0658
–
São Paulo: (11) 2122-4236
–
Florianópolis: (48) 4062-0172
–
Belo Horizonte: (31) 2626-4319
–
Porto Alegre: (51) 2626-1253
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.