A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações

  • 120 views
Uploaded on

Como alinhar o Programa de Continuidade de Negócios com o Planejamento Estratégico das organizações. Esta apresentação está focada em Segurança da Informação, mas com as devidas adequações pode ser …

Como alinhar o Programa de Continuidade de Negócios com o Planejamento Estratégico das organizações. Esta apresentação está focada em Segurança da Informação, mas com as devidas adequações pode ser utilizada em outros contextos, como TIC e negócios. Assista ao vídeo desta apresentação no nosso canal no Youtube.
http://youtu.be/Oqf8QZMX8

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
120
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 1 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Consultoria ı Ferramentas ı Capacitação A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações Maio/2014
  • 2. 2 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. STROHL Brasil Sidney R. Modenesi • Gerente da STROHL Brasil; • ISO 22301 BSI Technical Expert, 2013; • Certificado MBCI pelo BCI em 2006; • Mais de 25 anos de experiência em DRP/BCM; • Instrutor internacional de BCM (ISO 22301, 22313 & outras); • Representante do BCI - Business Continuity Institute no Brasil. STROHL Brasil • Empresa brasileira; • Mais de 12 anos exclusivamente dedicada à GCN; • Certificação internacional – BCI; • Experiência comprovada; • Consultoria, treinamento e software para BCMS; • Representante Autorizada da Sungard Availability Service 22
  • 3. 3 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Agenda do Fórum 3
  • 4. 4 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. O que é Continuidade de Negócios? conforme ABNT NBR ISO 22301:2013 Processo abrangente* de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio caso estas ameaças se concretizem. Este processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder eficazmente e salvaguardar os interesses das partes interessadas, a reputação e a marca da organização e suas atividades de valor agregado. * No original inglês o termo utilizado é holístico - adj. Relativo a holismo, que busca tudo abranger, que é totalizante. 4
  • 5. 5 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Tipos de Ameaças Potenciais 5 Naturais Mudanças climáticas: calor, frio, chuva ou seca intensa; terremoto, vulcão, furacão ... Físicas Incêndio ou outras emergências, vazamento tóxico no sítio ou nas proximidades, segurança de acesso, invasões, terrorismo ... Humanas Absenteísmo: greve, pandemia, epidemia; terrorismo, atentado, manifestação ... Segurança da Informação Invasões, roubo ou vazamento de informações, hackers, vírus, trojan ... Combinação de várias Naturais e/ou físicas e/ou humanas e/ou de segurança da informação na organização ou na sua cadeia de fornecedores
  • 6. 6 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Modelo PDCA da ISO 22301 6
  • 7. 7 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. EXEMPLOS DE AMEAÇAS POTENCIAIS DE SEGURANÇA DA INFORMAÇÃO
  • 8. 8 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. 8 I can´t allow the US government to destroy privacy and basic liberties Edward Joseph Snowden1 (Elizabeth City, 21 de junho de 1983) é um analista de sistemas, 2 ex-funcionário da (CIA) e ex-contratado da (NSA) 3 que tornou público detalhes de vários programas que constituem o sistema de vigilância global da NSA americana e fotos comprometedoras do presidente americano, Barack Obama. http://pt.wikipedia.org/wiki/Edward_Snowden
  • 9. 9 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Alguns Exemplos 9
  • 10. 10 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Alguns Exemplos 10
  • 11. 11 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Mais Exemplos 11
  • 12. 12 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. O que você diria ao CEO? Executives should understand 4 basic points about security: 1.A well-executed data breach is potentially more dangerous to your business than a recession. 2.Cybercrime isn’t someone else’s problem; it’s your problem. 3.There’s a reason for the deafening silence. Just because you haven’t heard your C-suite peers at other firms talk of security breaches doesn’t mean they’re not happening, nor does the fact that you haven’t found anything in your systems mean you’re safe. 4.You probably don’t understand where your data is. 12
  • 13. 13 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. O que o CEO responderia? http://bcove.me/2jhek4n8 http://www.deloitte.com/view/pt_BR/br/servicos/consultoria-empresarial/riscoseaspectosregulatorios/be3c68a3b4a59310VgnVCM2000001b56f00aRCRD.htm#.U24wLIFdVgE O conteúdo deste website é de propriedade da © 2014 Deloitte Global Services Limited, ou uma firma-membro da Deloitte Touche Tohmatsu Limited, ou uma de suas afiliadas. Para mais informações sobre direitos de propriedade intelectual ou outras informações legais, consulte a seção Legal. 13
  • 14. 14 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Institute of Risk Management www.theirm.org/documents/Final_IRM_CyberRisk_ExecS umm_A5_low-res.pdf Verizon's 2024 Data Breach Report www.verizonenterprise.com/DBIR/2014/reports/rp_Verizon- DBIR-2014_en_xg.pdf 14
  • 15. 15 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. CONTINUIDADE DE NEGÓCIOS E SEGURANÇA DA INFORMAÇÃO
  • 16. 16 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Continuidade de Negócios e Segurança da Informação Segurança da informação  Ameaça potencial Ameaça potencial  Impactos nas operações Impactos  financeiros, operacionais, imagem, regulatórios, credibilidade ... 16
  • 17. 17 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Cenários de Ameaças Potenciais Sede 1 Provedor de serviços de TIC 17 Xxx colaboradores Centrais de Atend., Varias áreas de negócio Data Center local Sede 2 X X X PABX Centrais de atendimento Áreas de negócio Data Center local Zzz colaboradores Centrais de Atend., Outras áreas de negócios XX
  • 18. 18 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Mudanças Contínuas • Mercado; • Legislação e/ou regulamentação; • Tecnologia; • Processos; • Ameaças potenciais Riscos; • Oportunidades; 18 “Hoje, a única certeza, é a certeza da mudança” Dr. José Arnaldo Deutscher, economista pela UFRJ
  • 19. 19 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. tempo IMPACTOSCAPEX e OPEX R$ t0 t1< t0 < Apetite ao Risco t2 > t0 > Apetite ao Risco R$ Apetite ao Risco (Depende do Cenário de Ameaça Potencial) 19 •Perda de receita •Multas e penalidades, •Imagem da empresa, •Itens regulatórios: Código Civil, Lei do SAC, Compliance com órgãos reguladores •... • Espaço físico • Mesas, cadeiras • Telefones, fax • Micros • PAs • Registros vitais • ... • Infraestrutura: • links •energia elétrica • ar condicionado • suprimentos • ...
  • 20. 20 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. ISO 22301 e 27001 ISO 22301 5.1 Liderança e comprometimento Os membros da Alta Direção e demais gestores com papéis relevantes dentro da organização devem demonstrar liderança em relação ao SGCN. 5.2 Comprometimento da Direção ... garantir que políticas e objetivos sejam estabelecidos para o SGCN e que sejam compatíveis com as diretrizes estratégicas da organização ISO 27001 5.1 Liderança e comprometimento A Alta Direção deve demonstrar comprometimento em relação ao sistema de gestão da segurança da informação pelos seguintes meios: a) assegurando que a política de segurança da informação e os objetivos de segurança da informação estão estabelecidos e são compatíveis com a direção estratégica da organização 20
  • 21. 21 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. ISO 22301 e 27001 ISO 22301 6.1 Ações para direcionar riscos e oportunidades Ao planejar o SGCN, a organização deve considerar as questões citadas em 4.1(Entendo a organização e seu contexto) e os requisitos mencionados em 4.2 (Entendendo as necessidades e as expectativas das partes interessadas) além de determinar os riscos e oportunidades que devem ser avaliados para ... ISO 27001 6.1 Ações para contemplar riscos e oportunidades Quando do planejamento do sistema de gestão de segurança da informação, a organização deve considerar as questões referenciadas em 4.1 (Entendo a organização e seu contexto) e os requisitos descritos em 4.2 (Entendendo as necessidades e as expectativas das partes interessadas) e determinar os riscos e oportunidades que precisam ser consideradas ... 21
  • 22. 22 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. A Organização Conhece? • O seu apetite ao risco?  Riscos e oportunidades • Seu contexto e sua organização? • Suas necessidades internas e externas? • As expectativas das partes interessadas?  Níveis de serviço por exemplo; • As leis e regulamentações a serem cumpridas? 22
  • 23. 23 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. RECEITA TRADICIONAL
  • 24. 24 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Ingredientes • Use, ingredientes de boa qualidade; • CRO – Chief Risk Officer - ISO 31000 e 31010; • BCC – Business Continuity Coordinator – ISO 22301 e 22313; • CIO – ISO 20000, ITIL; • CSO – Chief Security Officer – ISO 27001 e 27002; • Processos – ISO 9000; • Adicione na medida do necessário: leis, regulamentações, COBIT, COSO, TOGAF, 6 Sigma … 24
  • 25. 25 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Modo de Preparo 25 1. Faça uma boa Análise de Riscos no contexto do programa (Continuidade de Negócios ou Segurança da Informação) e reserve; 2. Alinhe os resultados da Análise de Riscos com a Análise de Riscos Corporativos – CRO e reserve;
  • 26. 26 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Modo de Preparo 3. Faça uma boa Análise (Executiva/Estratégica) de Impacto nos Negócios no contexto do programa e reserve;  pode ter múltiplos cenários; 4. Estime os investimentos, despesas recorrentes, recursos necessários, gaps e prazos realistas de implantação do programa e reserve. 26
  • 27. 27 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. • Desenvolva uma excelente apresentação executiva e respectivo relatório de apoio;  Tenha pronto o detalhamento (racional);   Modo de Preparo; • APETITE AO RISCO – DECISÃO • Faça os ajustes no Programa/Projeto x Apetite ao Risco aprovado; • Servir a gosto  Execute como definido! Modo de Preparo 27
  • 28. 28 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Riscos e Oportunidades do Programa http://proatividademercado.com.br/o-conceito 28
  • 29. 29 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. A Organização será Proativa (continuidade de negócios e segurança da informação) • O nível C está alinhado, o Apetite ao Risco está definido e divulgado; • Os programas de Continuidade de Negócios e de Segurança da Informação estão alinhados com o Planejamento Estratégico antecipando Riscos e Oportunidades; • Estes objetivos estão estabelecidos, divulgados e praticados por todos. http://oglobo.globo.com/blogs/arquivos_upload/2011/ 11/102_1028-blogperigo.jpg 29
  • 30. 30 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Qual o Caminho Certo? Este? Ou este? 30 Isto é assunto para outra palestra!
  • 31. 31 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Sidney R. Modenesi MBCI, BSI ISO 22301 Technical Expert sidney_modenesi@strohlbrasil.com.br sidneymd@thebci.com.br +55 11 5583-0033 br.linkedin.com/in/sidneymodenesimbci 31
  • 32. 32 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.Consultoria ı Ferramentas ı Capacitação Contatos: Tel. 11 5583-0033 contingencia@strohlbrasil.com.br www.strohlbrasil.com.br