PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DESENVOLVIMENTO DE PLANO DE CONTINUIDADE DE NEGÓCIOS Paulo Silva Tracker Segurança da Informação [email protected] Roteiro – FASE 4 1. Visão Geral de Plano de Continuidade de Negócio 2. Análise de Impacto de Negócio (BIA) 1. 2. 3. 4. Processos ou Atividades Essenciais Definição dos Impactos Definição dos Prazos Definição das Dependências 3. Preenchimento do Formulário BIA 1.Visão Geral de Plano de Continuidade de Negócio Visão Geral de PCN PCN – ISO 27001 • Objetivo: – Não permitir a parada das atividade – Proteger os processos críticos – Assegurar a retomada em tempo hábil • Garantir a recuperação a um nível aceitável: – Ações de prevenção e recuperação PCN – ISO 27001 • As consequências de incidentes devem passar por uma Análise de Impacto no Negócio • PCN deve ser desenvolvido para garantir a retomada das atividade em tempo prédefinido • PCN deve limitar os danos em caso de incidente PCN – ISO 27001 • Controle – O PROCESSO DE GESTÃO DA CONTINUIDADE – Entendimento dos riscos – Identificação dos ativos envolvidos – Entendimento do impacto dos incidentes – Implementação de controles – Documentação dos processos no escopo do PCN – Testes e atualizações regulares PCN – ISO 27001 • Controle – ANÁLISE E AVALIAÇÃO DE RISCO – Identificar eventos que causam interrupção • Ex. falha equipamento, erro humano, roubo, incêndio, desastres naturais, etc. – Determinar o impacto • Financeiro e tempo de retorno – Considerar todos os processos e pessoas • Não somente o setor de Tecnologia da Informação – Plano de Ação a partir da análise de risco PCN – ISO 27001 • Controle – DESENVOLVIMENTO DO PLANO – Foco nos serviços que afetam os clientes – Processos podem incluir serviços de terceiros – PCN e toda documentação envolvida deve ser acessível, porém em local livre de desastres – Os ambientes de backup devem ter proteção de mesmo nível do ambiente original PCN – ISO 27001 • Controle – ESTRUTURA DO PCN – Definição de responsabilidades – Plano de manutenção para recuperação – Plano de treinamento e conscientização dos envolvidos – Lista de recursos necessários para a recuperação PCN – ISO 27001 • Controle – ESTRUTURA DO PCN – Condição de ativação – Procedimento de emergência • O que fazer logo após o incidente? – Procedimento de recuperação • Como fazer para estabelecer a contingência? – Procedimento operacional temporário • O que fazer até concluir a recuperação? – Procedimento para saída da contingência • Como restaurar a operação normal? PCN – ISO 27001 • Controle – TESTE e MANUTENÇÃO – – – – Devem ser testados e atualizados regularmente Todos os envolvidos devem conhecer os planos Componentes de backup devem ser testados Tipos de testes: • • • • • Verbalização do procedimento em grupo Recuperação técnica Recuperação para local alternativo Recursos de backup Testes com fornecedores – Deve-se armazenar registro dos testes Uma Proposta de Roteiro • Etapa 1 – Análise do Impacto de Negócio • Etapa 2 – Definir Estratégias • Etapa 3 – Desenvolver os Planos • Etapa 4 – Testes e Manutenção Etapa 1 – Análise de Impacto • Estima os impactos financeiros, operacionais ou de imagem, decorrentes de uma interrupção nos processos de negócio. • Foco no negócio e não em tecnologia. • Define o tempo de recuperação; Etapa 1 – Análise de Impacto • Fornece “razões empresariais” para o investimento Continuidade (ROI); • Aumenta a conscientização dos gestores; • Cumpre disposições legais e regulamentações (Ex. BACEN 3380). Investimento X Redução de Risco Etapa 2 – Definir Estratégias • Para onde nós iremos? • Com que pessoas poderemos contar? • Com quais recursos poderemos contar? • Quais investimentos serão necessários para viabilizar estes recursos e serviços? Etapa 2 – Definir Estratégias – sp800-34 • Documentação da configuração de sistemas • Uso de componentes padrão • Usar componentes interoperáveis • Backup de dados • Backup de aplicações • Redundância de componentes críticos do sistema • Fonte extra de energia Etapa 2 – Definir Estratégias – sp800-34 • Implementar tolerância a falhas • Implementar replicação de dados • Coordenação com suporte de infraestrutura • Coordenação com fornecedores • Coordenação com equipe de resposta a incidentes • Monitoramento de recursos críticos Etapa 2 – Definir Estratégias– sp800-34 • Cold Site: tem apenas o espaço para o novo ambiente, porém não instalado • Warm Site: contém espaço e equipamento, porém não contém o sistema a ser contingenciado. Normalmente serve para operação de outro sistema. Etapa 2 – Definir Estratégias– sp800-34 • Hot Site: totalmente pronto para receber o sistema, porém depende do administrador. • Espelhamento: ativação em tempo real. Etapa 2 – Definir Estratégias– sp800-34 Etapa 2 – Definir Estratégias– sp800-34 Etapa 3 – Desenvolver os Planos • Plano de Continuidade de Negócios: – Conjunto de procedimentos e documentação de recursos para prevenção e recuperação • Procedimentos para: – Entrada na contingência – Operação contingente – Saída da contingência Etapa 3 – Desenvolver os Planos Etapa 4 – Testes e Manutenção • Verificar o que não funciona; • Reforçar o comprometimento dos envolvidos; • Verificar a capacidade de recuperar; • Validar compatibilidade técnica; • Identificar oportunidades de melhorias. Resultado do PCN!!! 2. Análise de Impacto de Negócio Análise de Impacto de Negócio • É a base para o desenvolvimento do PCN • Define os processos essenciais e seus impactos em caso de parada • O objetivo: – Definir o IMA - Interrupção Máxima Aceitável – Definir o nível mínimo de serviço aceitável Análise de Impacto de Negócio • Para cada processo essencial: – Classificar o processo – Identificar o impacto (financeiro, operacional e imagem) – Definir requisitos mínimos de contingência – Definir a Interrupção Máxima Aceitável – Definir dependências do processos • Estas informações são a base para definição de Estratégias e Planos Análise de Impacto de Negócio • É importante que os dados da BIA sejam revisados com: – Alta administração – Responsáveis pelo processo • Pode ser feito através de: – Reuniões, workshops, – Questionários e entrevistas. Etapas da BIA 1. Processos ou Atividades Essenciais 2. Definição dos Impactos 3. Definição das Dependências 2.1 Processos ou Atividades Essenciais Processos ou Atividade Essenciais • Identificar as atividades que suportam o fornecimento de produtos ou serviços; • Selecionar atividades com base em sua criticidade; • Determinar a carga normal de entrega do processo ou atividade; – Ex. 50 transações por hora. Processos ou Atividade Essenciais • Classificar o processos ou atividade quanto a sua criticidade; OMC – Objetivo Mínimo de Continuidade • Níveis mínimos de serviço ou produto • De modo a garantir os objetivos de negócio durante um período de contingência • Exemplos: – 50% da capacidade normal; – Atraso de 10 minutos no atendimento; – Atendimento parcial do processo; POR – Ponto Objetivo de Recuperação • Ponto em que a informação restaurada por uma atividade deve ser recuperada. • Para permitir uma retomada aceitável. • Exemplos.: – Sem requisito; – 24 horas; – On-line; Atividade 1 • Enumere pelo menos 3 processos; • Determine a carga normal do processo; • Classifique os processos • Defina o OMC e o POR para cada um dos processos; 2.2 Análise de Impacto de Negócio Definição do Impacto Definição do Impacto • Avaliar o impacto ao longo do tempo de não realizar a atividade • O impacto pode ser de ordem: – Financeira – Operacional – Imagem ou reputação Definição do Impacto • Impacto financeiro: – Perda direta de dinheiro por conta da interrupção; – Normalmente quantitativo; – Ex. deixar de vender; – Ex. multas por requisitos legais; – Ex. pedido cancelado por falta de entrega; – Ex. pagamento extras de fornecedores e funcionários; Definição do Impacto • Impacto operacional: – Perda de estrutura por conta da interrupção; – Pode ser quantitativo ou qualitativo; – Ex. quebra de máquinas; – Ex. matéria prima inutilizada; – Ex. perda de qualidade no resultado do processo; Definição do Impacto • Impacto à imagem: – Perda reputação junto ao mercado; – Geralmente é qualitativo; – Ex. perda de clientes atuais; – Ex. perda de futuros clientes; – Ex. perda de parcerias; – Ex. perda de vantagens com fornecedores; Definição do Impacto • Talvez em um curto espaço de tempo seja irrelevante; • A partir de determinado tempo torna-se intolerável; • Quanto tempo até ter: – Prejuízos financeiros inaceitáveis? – Prejuízos operacionais inaceitáveis? – Imagem abalada inaceitável? IMA – Interrupção Máxima Aceitável • Tempo em que os impactos sobre uma interrupção tornam-se inaceitáveis! • Um impacto financeiro pode ser “alto” na primeira hora e depois disto se tornar “crítico”. TOR - Tempo Objetivo de Recuperação • Tempo em que o produto ou serviço deve ser retomado após um incidente; • Pode ser retomado em estado de contingência; • Deve ser menor do que o IMA; Definição do Impacto • Os três aspectos de impacto devem ser avaliados juntamente com o IMA; • Se tiver vários impactos, considerar sempre o mais grave!!! • Classificar o impacto em caso de violação do IMA, como: Atividade 2 • Identifique impactos financeiros, operacionais e de imagem para seus processos; • Determine o IMA para cada processo; • Classifique os impactos em: 2.3 Análise de Impacto de Negócio Identificação de Dependências Identificação de Dependências • Os processos possuem dependências • Podem ser: – Hardware – Software – Infraestrutura física – Pessoas – Outros processos – Etc... Identificação de Dependências • A perda de continuidade ocorre em uma dependência de um processos • Causando a interrupção do processo • E gerando impactos financeiros, operacionais e de imagem Identificação de Dependências • As estratégicas de continuidade são aplicadas às dependências do processo • Para tanto, precisamos primeiro definir claramente estas dependências • Para depois definir estratégias de atendam às métricas de continuidade do processo Identificação de Dependências Atividade 3 • Identifique dependências (recursos) para os processos essenciais de seu grupo • Um mesmo recurso pode ser dependência para um ou vários processos • Um recurso pode depender de outro recurso, que também será dependência do processo Preenchimento do Formulário para Análise de Impacto de Negócio Atividade Final • Preencher os formulários da BIA – Identificação de processos – Métricas de processos – Dependências dos processos Roteiro – FASE 4 1. Visão Geral de Plano de Continuidade de Negócio 2. Análise de Impacto de Negócio (BIA) 1. 2. 3. 4. Processos ou Atividades Essenciais Definição dos Impactos Definição dos Prazos Definição das Dependências 3. Preenchimento do Formulário BIA Próxima Reunião... • Estar com a BIA concluída; • Enviar o access da BIA “compactado” para meu email; • Vamos tratar das definições de estratégias: – Estratégias atuais – Estratégias desejadas para cumprimento do IMA; PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DESENVOLVIMENTO DE PLANO DE CONTINUIDADE DE NEGÓCIOS Paulo Silva Tracker Segurança da Informação [email protected]