PROJETO DE GESTÃO DE
SEGURANÇA DA INFORMAÇÃO
IMPLANTAÇÃO DA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E
DESENVOLVIMENTO DE PLANO DE CONTINUIDADE
DE NEGÓCIOS
Paulo Silva
Tracker Segurança da Informação
[email protected]
Roteiro – FASE 5
1. Revisão Ações, Procedimentos e Treinamento
2. Revisão Análise de Impacto de Negócio
3. Estratégias de Continuidade
1. Estratégias de Prevenção
2. Estratégias de Recuperação
4. Preenchimento do Formulário de Estratégias
1.Revisão Ações,
Procedimentos e Treinamento
Revisão
• Ações
• Procedimentos
• Treinamento e Avaliação
2. Revisão Análise de Impacto
de Negócio
Visão Geral de PCN
PCN – ISO 27001
• Objetivo:
– Não permitir a parada das atividade
– Proteger os processos críticos
– Assegurar a retomada em tempo hábil
• Garantir a recuperação a um nível
aceitável:
– Ações de prevenção e recuperação
Uma Proposta de Roteiro
• Etapa 1 – Análise do Impacto de Negócio
• Etapa 2 – Definir Estratégias
• Etapa 3 – Desenvolver os Planos
– Plano Ação (Fase 6)
• Etapa 4 – Testes e Manutenção
– Plano Ação (Fase 6)
Etapa 1 – Análise de Impacto
• Estima os impactos financeiros,
operacionais ou de imagem, decorrentes
de uma interrupção nos processos de
negócio.
• Foco no negócio e não em tecnologia.
• Define o tempo de recuperação;
Revisão BIA
• Ver Roteiro-PCN-BIA.pdf
3. Estratégias de Continuidade
de Negócio
Conceitos...
• Empresa depende de seus processos de
negócio.
• Processos dependem de recursos.
Recursos podem falhar!!!
• Estratégias estão associadas a recursos.
– “garantem” a contingência dos recursos
Uma Proposta de Roteiro
• Etapa 1 – Análise do Impacto de Negócio
• Etapa 2 – Definir Estratégias
• Etapa 3 – Desenvolver os Planos
– Plano Ação (Fase 6)
• Etapa 4 – Testes e Manutenção
– Plano Ação (Fase 6)
Etapa 2 – Definir Estratégias
• Para onde nós iremos?
• Com que pessoas poderemos contar?
• Com quais recursos poderemos contar?
• Quais investimentos serão necessários
para viabilizar estes recursos e serviços?
Etapa 2 – Definir Estratégias
• Podem ser:
– Controles, procedimentos ou estratégias de
PREVENÇÃO;
– Controles, procedimentos ou estratégias de
RECUPERAÇÃO;
Estratégias de Prevenção
• Controles ou procedimentos mantidos
rotineiramente;
• Que permitam a recuperação em caso de
interrupção;
Estratégias de Prevenção
• Nobreaks \ geradores de energia;
• Componentes redundantes ativos;
– Ex. Ar-condicionado
• Componentes redundantes inativos;
– Ex. switches
Estratégias de Prevenção
• Componentes de software redundantes;
– Ex. virtualização ou replicação arquivos
• “Ambientes completos” redundantes;
– Cold site, hot site, etc;
• Documentação de sistemas, redes,
configurações, etc;
Estratégias de Prevenção
• Sistema de supressão de incêndio;
• Detectores de fumaça e água;
• Execução periódica de backups;
• Contato e SLA com fornecedores;
Atividade 1 – Prevenção
• Conforme BIA, para os processos e
recursos de sua cooperativas defina:
– Estratégias de prevenção já realizadas;
– Estratégias de prevenção desejáveis;
Obs: justifique a estratégia pelo impacto dos
processos associados;
Estratégias de Recuperação
• Um plano pré-definido para recuperação
da interrupção de determinado recurso.
• O plano deve definir:
– Fase de Ativação;
– Fase de Execução;
– Fase de Reconstituição;
ISO 27001 – Estrutura do PCN
– Condição de ativação
– Procedimento de emergência
• O que fazer logo após o incidente?
– Procedimento de recuperação
• Como fazer para estabelecer a contingência?
– Procedimento para saída da contingência
• Como restaurar a operação normal?
Fase de Ativação
• Definir claramente a condição que ativa
uma contingência
• Definir um responsável pela ativação:
– Comunicação dos envolvidos;
– Avaliação dos danos;
– Tomada de ações imediatas;
– Ativação do estado de contingência;
Fase de Execução (Contingência)
• Executar o plano de recuperação
conforme procedimento específico
• Fazer uso dos recursos de prevenção
previamente definidos
• Estabilizar a operação contingente dentro
do IMA previsto na BIA
Fase de Reconstituição
• Retorno para a operação ou reconstrução
em caso de falha irrecuperável
• Envolve:
– Reinstalação de hardware e software
– Contato com fornecedores
– Reconfiguração para saída do estado de
contingência
Atividade 2 – Recuperação
• Para uma estratégia já aplicada em sua
cooperativa, defina:
– Fase de Ativação
– Fase de Execução (Contingência)
– Fase de Recuperação
Exemplo Físico
• Contingência para rede de computadores:
– Ativação: Para de equipamento de rede;
– Execução (1): substituir por equipamento
sobressalente;
– Execução (2): desviar carga para outro
equipamento previamente preparado;
– Reconstituição: substituir equipamento
danificado por outro permanente;
Exemplo Lógico
• Contingência para Sistema de Informação:
– Ativação: Parada do sistema por mais de 10
minutos;
– Execução (1): restaurar cópia virtual do
sistema e dados do backup em um servidor
previamente definido;
– Execução (2): realizar procedimento em
papel conforme plano pré-definido;
– Restauração: reativar de modo permanente
o servidor original ou com mesma
configuração;
Opções de Estratégias para
Recuperação
Estratégias Gerais (1)
• Ativo / Backup
– Usar recursos sobressalentes (realocação)
• Ativo / Ativo
– Dois locais de operação “on-line”
• Localidade alternativa
– Local de operação sobressalente
– Pode operar parcialmente “para testes”
Estratégias Gerais (2)
• Tratamento manual temporário
– “quebra galho”
• Operação em sistema alternativo;
– Sem mudança física
• Mudança para ambiente alternativo;
– Com mudança física
Estratégias Específicas
1.
2.
3.
4.
5.
6.
7.
8.
Sem estratégia;
Reconstrução;
Restauração;
Realocação;
Cold Site;
Warm Site;
Hot Site;
Espelhamento;
Estratégias Específicas
• Sem estratégia
– Sem estratégia!!!
• Reconstrução:
– Montar ambiente, hardware e software;
– Restaurar os dados;
Estratégias Específicas
• Restauração:
– Montar o ambiente e o hardware;
– Restaurar o software e dos dados;
• Realocação:
– “Chavear” o serviço para outro recurso;
– Geralmente dentro do ambiente da própria
empresa;
Estratégias Específicas
• Cold Site:
– Ambiente já existe;
– Montar hardware, software;
– Restaurar os dados;
• Warm Site:
– Ambiente e hardware já existem;
– Montar software;
– Restaurar os dados;
Estratégias Específicas
• Hot Site:
– Ambiente, hardware e software já existem;
– Dados sincronizados ou restaurar;
– Depende de chaveamento do administrador;
• Espelhamento:
– ativação em tempo real;
Estratégias Específicas – Resumo
* Em caso de perda
de ambiente
Estratégias Específicas – Resumo
Considerações Técnicas (sp800-34)
• Documentação da configuração de
sistemas e da rede
• Documentação do desenvolvimento de
softwares
• Uso de componentes padrão
• Uso de componentes interoperáveis
Considerações Técnicas (sp800-34)
• Backup de dados e aplicações
• Virtualização
• Implementar tolerância a falhas
• Implementar replicação de dados
Considerações Técnicas (sp800-34)
• Identificação de pontos únicos de falha
• Redundância de componentes críticos de
hardware e software
• Fonte extra de energia
• Monitoramento de recursos críticos
Considerações Técnicas (sp800-34)
• Definição de SLAs com fornecedores
• Coordenação com suporte de TIC
• Coordenação com fornecedores
• Coordenação com equipe de resposta a
incidentes
Atividade 3 – Definição Estratégia
• Selecione duas estratégias ainda não
aplicadas em sua cooperativa e defina:
– Fase de Ativação
– Fase de Execução (Contingência)
– Fase de Recuperação
Depois das Estratégias...
Uma Proposta de Roteiro
• Etapa 1 – Análise do Impacto de Negócio
• Etapa 2 – Definir Estratégias
• Etapa 3 – Desenvolver os Planos
– Plano Ação (Fase 6)
• Etapa 4 – Testes e Manutenção
– Plano Ação (Fase 6)
Etapa 3 – Desenvolver os Planos
• Plano de Continuidade de Negócios:
– Conjunto de procedimentos e documentação
de recursos para prevenção e recuperação
• Procedimentos para:
– Entrada na contingência
– Operação contingente
– Saída da contingência
Etapa 3 – Desenvolver os Planos
Etapa 4 – Testes e Manutenção
• Verificar o que não funciona;
• Reforçar o comprometimento dos
envolvidos;
• Verificar a capacidade de recuperar;
• Validar compatibilidade técnica;
• Identificar oportunidades de melhorias.
4. Preenchimento do Formulário
de Estratégias
Atividade Final
• Copiar “processos” e “dependências” para
a versão 2 da base de dados:
Atividade Final
• Imprimir o relatório da BIA:
Atividade Final
• Preencher os formulários de Estratégias:
Atividade Final
• Preencher os formulários de Recursos:
Roteiro – FASE 5
1. Revisão Ações, Procedimentos e Treinamento
2. Revisão Análise de Impacto de Negócio
3. Estratégias de Continuidade
1. Estratégias de Prevenção
2. Estratégias de Recuperação
4. Preenchimento do Formulário de Estratégias
Próxima Reunião...
• Plano de Ação para Plano de Continuidade
de Negócio:
– Determinar as ações necessárias para a
implantação das estratégias definidas!!!
PROJETO DE GESTÃO DE
SEGURANÇA DA INFORMAÇÃO
IMPLANTAÇÃO DA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E
DESENVOLVIMENTO DE PLANO DE CONTINUIDADE
DE NEGÓCIOS
Paulo Silva
Tracker Segurança da Informação
[email protected]