PROJETO DE GESTÃO DE
SEGURANÇA DA INFORMAÇÃO
IMPLANTAÇÃO DA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E
DESENVOLVIMENTO DE PLANO DE CONTINUIDADE
DE NEGÓCIOS
Paulo Silva
Tracker Segurança da Informação
[email protected]
Roteiro – FASE 4
1. Visão Geral de Plano de Continuidade de Negócio
2. Análise de Impacto de Negócio (BIA)
1.
2.
3.
4.
Processos ou Atividades Essenciais
Definição dos Impactos
Definição dos Prazos
Definição das Dependências
3. Preenchimento do Formulário BIA
1.Visão Geral de Plano de
Continuidade de Negócio
Visão Geral de PCN
PCN – ISO 27001
• Objetivo:
– Não permitir a parada das atividade
– Proteger os processos críticos
– Assegurar a retomada em tempo hábil
• Garantir a recuperação a um nível
aceitável:
– Ações de prevenção e recuperação
PCN – ISO 27001
• As consequências de incidentes devem
passar por uma Análise de Impacto no
Negócio
• PCN deve ser desenvolvido para garantir
a retomada das atividade em tempo prédefinido
• PCN deve limitar os danos em caso de
incidente
PCN – ISO 27001
• Controle – O PROCESSO DE GESTÃO
DA CONTINUIDADE
– Entendimento dos riscos
– Identificação dos ativos envolvidos
– Entendimento do impacto dos incidentes
– Implementação de controles
– Documentação dos processos no escopo do
PCN
– Testes e atualizações regulares
PCN – ISO 27001
• Controle – ANÁLISE E AVALIAÇÃO DE
RISCO
– Identificar eventos que causam interrupção
• Ex. falha equipamento, erro humano, roubo,
incêndio, desastres naturais, etc.
– Determinar o impacto
• Financeiro e tempo de retorno
– Considerar todos os processos e pessoas
• Não somente o setor de Tecnologia da Informação
– Plano de Ação a partir da análise de risco
PCN – ISO 27001
• Controle – DESENVOLVIMENTO DO
PLANO
– Foco nos serviços que afetam os clientes
– Processos podem incluir serviços de terceiros
– PCN e toda documentação envolvida deve
ser acessível, porém em local livre de
desastres
– Os ambientes de backup devem ter
proteção de mesmo nível do ambiente
original
PCN – ISO 27001
• Controle – ESTRUTURA DO PCN
– Definição de responsabilidades
– Plano de manutenção para recuperação
– Plano de treinamento e conscientização dos
envolvidos
– Lista de recursos necessários para a
recuperação
PCN – ISO 27001
• Controle – ESTRUTURA DO PCN
– Condição de ativação
– Procedimento de emergência
• O que fazer logo após o incidente?
– Procedimento de recuperação
• Como fazer para estabelecer a contingência?
– Procedimento operacional temporário
• O que fazer até concluir a recuperação?
– Procedimento para saída da contingência
• Como restaurar a operação normal?
PCN – ISO 27001
• Controle – TESTE e MANUTENÇÃO
–
–
–
–
Devem ser testados e atualizados regularmente
Todos os envolvidos devem conhecer os planos
Componentes de backup devem ser testados
Tipos de testes:
•
•
•
•
•
Verbalização do procedimento em grupo
Recuperação técnica
Recuperação para local alternativo
Recursos de backup
Testes com fornecedores
– Deve-se armazenar registro dos testes
Uma Proposta de Roteiro
• Etapa 1 – Análise do Impacto de Negócio
• Etapa 2 – Definir Estratégias
• Etapa 3 – Desenvolver os Planos
• Etapa 4 – Testes e Manutenção
Etapa 1 – Análise de Impacto
• Estima os impactos financeiros,
operacionais ou de imagem, decorrentes
de uma interrupção nos processos de
negócio.
• Foco no negócio e não em tecnologia.
• Define o tempo de recuperação;
Etapa 1 – Análise de Impacto
• Fornece “razões empresariais” para o
investimento Continuidade (ROI);
• Aumenta a conscientização dos gestores;
• Cumpre disposições legais e
regulamentações (Ex. BACEN 3380).
Investimento X Redução de Risco
Etapa 2 – Definir Estratégias
• Para onde nós iremos?
• Com que pessoas poderemos contar?
• Com quais recursos poderemos contar?
• Quais investimentos serão necessários
para viabilizar estes recursos e serviços?
Etapa 2 – Definir Estratégias – sp800-34
• Documentação da configuração de
sistemas
• Uso de componentes padrão
• Usar componentes interoperáveis
• Backup de dados
• Backup de aplicações
• Redundância de componentes críticos do
sistema
• Fonte extra de energia
Etapa 2 – Definir Estratégias – sp800-34
• Implementar tolerância a falhas
• Implementar replicação de dados
• Coordenação com suporte de
infraestrutura
• Coordenação com fornecedores
• Coordenação com equipe de resposta a
incidentes
• Monitoramento de recursos críticos
Etapa 2 – Definir Estratégias– sp800-34
• Cold Site: tem apenas o espaço para o
novo ambiente, porém não instalado
• Warm Site: contém espaço e
equipamento, porém não contém o
sistema a ser contingenciado.
Normalmente serve para operação de
outro sistema.
Etapa 2 – Definir Estratégias– sp800-34
• Hot Site: totalmente pronto para receber o
sistema, porém depende do
administrador.
• Espelhamento: ativação em tempo real.
Etapa 2 – Definir Estratégias– sp800-34
Etapa 2 – Definir Estratégias– sp800-34
Etapa 3 – Desenvolver os Planos
• Plano de Continuidade de Negócios:
– Conjunto de procedimentos e documentação
de recursos para prevenção e recuperação
• Procedimentos para:
– Entrada na contingência
– Operação contingente
– Saída da contingência
Etapa 3 – Desenvolver os Planos
Etapa 4 – Testes e Manutenção
• Verificar o que não funciona;
• Reforçar o comprometimento dos
envolvidos;
• Verificar a capacidade de recuperar;
• Validar compatibilidade técnica;
• Identificar oportunidades de melhorias.
Resultado do PCN!!!
2. Análise de Impacto
de Negócio
Análise de Impacto de Negócio
• É a base para o desenvolvimento do PCN
• Define os processos essenciais e seus
impactos em caso de parada
• O objetivo:
– Definir o IMA - Interrupção Máxima Aceitável
– Definir o nível mínimo de serviço aceitável
Análise de Impacto de Negócio
• Para cada processo essencial:
– Classificar o processo
– Identificar o impacto (financeiro, operacional e imagem)
– Definir requisitos mínimos de contingência
– Definir a Interrupção Máxima Aceitável
– Definir dependências do processos
• Estas informações são a base para
definição de Estratégias e Planos
Análise de Impacto de Negócio
• É importante que os dados da BIA sejam
revisados com:
– Alta administração
– Responsáveis pelo processo
• Pode ser feito através de:
– Reuniões, workshops,
– Questionários e entrevistas.
Etapas da BIA
1. Processos ou Atividades Essenciais
2. Definição dos Impactos
3. Definição das Dependências
2.1 Processos ou Atividades
Essenciais
Processos ou Atividade Essenciais
• Identificar as atividades que suportam o
fornecimento de produtos ou serviços;
• Selecionar atividades com base em sua
criticidade;
• Determinar a carga normal de entrega do
processo ou atividade;
– Ex. 50 transações por hora.
Processos ou Atividade Essenciais
• Classificar o processos ou atividade
quanto a sua criticidade;
OMC – Objetivo Mínimo de Continuidade
• Níveis mínimos de serviço ou produto
• De modo a garantir os objetivos de negócio
durante um período de contingência
• Exemplos:
– 50% da capacidade normal;
– Atraso de 10 minutos no atendimento;
– Atendimento parcial do processo;
POR – Ponto Objetivo de Recuperação
• Ponto em que a informação restaurada
por uma atividade deve ser recuperada.
• Para permitir uma retomada aceitável.
• Exemplos.:
– Sem requisito;
– 24 horas;
– On-line;
Atividade 1
• Enumere pelo menos 3 processos;
• Determine a carga normal do processo;
• Classifique os processos
• Defina o OMC e o POR para cada um dos
processos;
2.2 Análise de Impacto de
Negócio
Definição do Impacto
Definição do Impacto
• Avaliar o impacto ao longo do tempo de
não realizar a atividade
• O impacto pode ser de ordem:
– Financeira
– Operacional
– Imagem ou reputação
Definição do Impacto
• Impacto financeiro:
– Perda direta de dinheiro por conta da interrupção;
– Normalmente quantitativo;
– Ex. deixar de vender;
– Ex. multas por requisitos legais;
– Ex. pedido cancelado por falta de entrega;
– Ex. pagamento extras de fornecedores e
funcionários;
Definição do Impacto
• Impacto operacional:
– Perda de estrutura por conta da interrupção;
– Pode ser quantitativo ou qualitativo;
– Ex. quebra de máquinas;
– Ex. matéria prima inutilizada;
– Ex. perda de qualidade no resultado do processo;
Definição do Impacto
• Impacto à imagem:
– Perda reputação junto ao mercado;
– Geralmente é qualitativo;
– Ex. perda de clientes atuais;
– Ex. perda de futuros clientes;
– Ex. perda de parcerias;
– Ex. perda de vantagens com fornecedores;
Definição do Impacto
• Talvez em um curto espaço de tempo seja
irrelevante;
• A partir de determinado tempo torna-se
intolerável;
• Quanto tempo até ter:
– Prejuízos financeiros inaceitáveis?
– Prejuízos operacionais inaceitáveis?
– Imagem abalada inaceitável?
IMA – Interrupção Máxima Aceitável
• Tempo em que os impactos sobre uma
interrupção tornam-se inaceitáveis!
• Um impacto financeiro pode ser “alto” na
primeira hora e depois disto se tornar
“crítico”.
TOR - Tempo Objetivo de Recuperação
• Tempo em que o produto ou serviço deve
ser retomado após um incidente;
• Pode ser retomado em estado de
contingência;
• Deve ser menor do que o IMA;
Definição do Impacto
• Os três aspectos de impacto devem ser
avaliados juntamente com o IMA;
• Se tiver vários impactos, considerar sempre
o mais grave!!!
• Classificar o impacto em caso de violação
do IMA, como:
Atividade 2
• Identifique impactos financeiros, operacionais
e de imagem para seus processos;
• Determine o IMA para cada processo;
• Classifique os impactos em:
2.3 Análise de Impacto de
Negócio
Identificação de Dependências
Identificação de Dependências
• Os processos possuem dependências
• Podem ser:
– Hardware
– Software
– Infraestrutura física
– Pessoas
– Outros processos
– Etc...
Identificação de Dependências
• A perda de continuidade ocorre em uma
dependência de um processos
• Causando a interrupção do processo
• E gerando impactos financeiros,
operacionais e de imagem
Identificação de Dependências
• As estratégicas de continuidade são
aplicadas às dependências do processo
• Para tanto, precisamos primeiro definir
claramente estas dependências
• Para depois definir estratégias de
atendam às métricas de continuidade do
processo
Identificação de Dependências
Atividade 3
• Identifique dependências (recursos) para os
processos essenciais de seu grupo
• Um mesmo recurso pode ser dependência
para um ou vários processos
• Um recurso pode depender de outro recurso,
que também será dependência do processo
Preenchimento do Formulário
para
Análise de Impacto de Negócio
Atividade Final
• Preencher os formulários da BIA
– Identificação de processos
– Métricas de processos
– Dependências dos processos
Roteiro – FASE 4
1. Visão Geral de Plano de Continuidade de Negócio
2. Análise de Impacto de Negócio (BIA)
1.
2.
3.
4.
Processos ou Atividades Essenciais
Definição dos Impactos
Definição dos Prazos
Definição das Dependências
3. Preenchimento do Formulário BIA
Próxima Reunião...
• Estar com a BIA concluída;
• Enviar o access da BIA “compactado” para meu email;
• Vamos tratar das definições de estratégias:
– Estratégias atuais
– Estratégias desejadas para cumprimento do IMA;
PROJETO DE GESTÃO DE
SEGURANÇA DA INFORMAÇÃO
IMPLANTAÇÃO DA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E
DESENVOLVIMENTO DE PLANO DE CONTINUIDADE
DE NEGÓCIOS
Paulo Silva
Tracker Segurança da Informação
[email protected]