Your SlideShare is downloading. ×
0
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
SBSeg_2010 mc6 Contingência_em_TIC
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

SBSeg_2010 mc6 Contingência_em_TIC

1,899

Published on

Estratégias de Contingência para Serviços de Tecnologia da Informação e Comunicação …

Estratégias de Contingência para Serviços de Tecnologia da Informação e Comunicação

Simpósio Brasileiro em Segurança da Informação
e de Sistemas Computacionais
(SBSEG 2010)

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,899
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
96
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Estratégias de Contingência para Serviços de Tecnologia da Informação e Comunicação Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSEG 2010)
  • 2. Autores Leonardo Lemes Fagundes: Mestre em Computação e Bacharel em Análise de Sistemas (UNISINOS). Professor e Coordenador da Graduação Tecnológica em Segurança da Informação. Consultor e profissional certificado pelo DRII (Disaster Recovery International Institute) e como Auditor Líder ISO 27001. Instrutor de Gestão de Riscos e Segurança da Informação da ESR / RNP. Fernando Karl: Mestrando em Administração (UNISINOS), MBA em Gestão Estratégica de TI (FGV) e bacharel em Ciência da Computação (UFSC). Profissional certificado CISSP, CISM, ITIL Foundations e BCI (Business Continuity Institute). Professor do curso de graduação tecnológica em Segurança da Informação da Universidade do Vale dos Sinos (UNISINOS).
  • 3. Autores Luis Antonio Baptista: Pós Graduando em Gestão de Crises e Desastres (UGF) e Bacharel em Sistemas de Informação (ULBRA). Profissional certificado DRII (CBCP), ITIL Practitioner e Membro da Subcomissão de Continuidade de Negócios da FEBRABAN. Rafael Santos: Graduando em Segurança da Informação pela Universidade do Vale dos Sinos (UNISINOS). Atua como consultor em Governança, Riscos e Conformidade e possui experiência em gestão da segurança da informação, gestão de continuidade de negócios, gestão de riscos e infra-estrutura de alta disponibilidade de TI.
  • 4. Sumário  Introdução  Gestão da Continuidade de Negócios  Boas Práticas para Estratégias de Contingência  Estudo de Caso  Considerações Finais
  • 5. Introdução
  • 6. Introdução
  • 7. Introdução  Gestão da Continuidade de Negócios (GCN)  Processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio, caso estas ameaças se concretizem.  Melhorar a resiliência da organização contra interrupção de sua capacidade de fornecer seus produtos ou serviços.
  • 8. Introdução  Objetivo do Minicurso  Apresentar a Gestão da Continuidade como um aspecto de fundamental relevância para que uma organização possa responder de maneira eficiente aos cenários de incidentes (desastres) e manter a continuidade dos serviços TI considerados críticos.
  • 9. Gestão da Continuidade de Negócios Ciclo de Vida da Gestão de Continuidade de Negócios.
  • 10. Gestão da Continuidade de Negócios  Gestão do Programa de GCN  Possibilita que a capacidade de Continuidade de Negócios seja estabelecida (se necessário) e mantida de forma apropriada ao tamanho e complexidade da organização.
  • 11. Gestão da Continuidade de Negócios  Entendendo a organização  Fornece informações que permitem a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.  Isso estabelece os requisitos que irão definir a seleção das estratégias de GCN apropriadas.
  • 12. Gestão da Continuidade de Negócios  Análise de Impacto de Negócios  A organização deve definir e documentar o impacto de uma interrupção nas atividades que suportam seus produtos e serviços fundamentais. Esse processo é comumente conhecido como análise de impacto nos negócios (BIA).
  • 13. Gestão da Continuidade de Negócios  Análise de Impacto de Negócios
  • 14. Gestão da Continuidade de Negócios  Análise de Impacto de Negócios  Identificar quaisquer atividades interdependentes, ativos, infra- estrutura de suporte ou recursos que também precisem ser mantidos continuamente ou recuperados ao longo do tempo.
  • 15. Gestão da Continuidade de Negócios  Análise de Impacto de Negócios  Ao avaliar os impactos, convém considerar.  Impacto ao bem-estar das pessoas;  Dano ou perda de instalações, tecnologias ou informação;  Não cumprimento de deveres ou regulamentações;  Danos à reputação;  Danos a viabilidade financeira e danos ambientais;  Deterioração da qualidade de produtos ou serviços.
  • 16. Gestão da Continuidade de Negócios  Identificação das Atividades Críticas  A organização deve categorizar suas atividades de acordo com suas prioridades de recuperação. Aquelas atividades cuja perda, de acordo com os resultados da BIA, teriam o maior impacto no menor tempo e que necessitem ser recuperadas mais rapidamente devem ser chamadas de “atividades críticas”. Cada atividade crítica suporta um ou mais produtos ou serviços principais.
  • 17. Gestão da Continuidade de Negócios  Identificação das Atividades Críticas  A organização pode querer focar suas atividades de planejamento em atividades críticas, mas deve reconhecer que as outras atividades também necessitarão ser recuperadas dentro de seu período máximo tolerável de interrupção e podem também precisar que os devidos preparativos sejam realizados.
  • 18. Gestão da Continuidade de Negócios  A organização deve estimar os recursos que cada atividade necessitará durante sua recuperação. Estes podem incluir:  recursos de pessoal (quantidade, habilidades e conhecimento);  localização dos trabalhos e as instalações necessárias;  tecnologia, equipamentos e plantas que suportam o negócio;  Informações sobre trabalhos anteriores ou trabalhos atualmente em progresso;  serviços e fornecedores externos (suprimentos).
  • 19. Gestão da Continuidade de Negócios  Avaliação de Riscos  Convém que o nível de risco seja entendido principalmente no que tange às atividades críticas e aos riscos de uma interrupção;  Cabe a organização decidir o método de avaliação de riscos;  Sugere-se seguir a estrutura proposta na ABNT NBR ISO/IEC 27005.
  • 20. Gestão da Continuidade de Negócios  Determinando a estratégia de continuidade de negócios  Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, considerando um nível de operação e o tempo aceitável.  As escolhas levarão em conta a resiliência e as opções de contramedidas já existentes.
  • 21. Gestão da Continuidade de Negócios  Desenvolvendo e implementando uma resposta de GCN  Resulta na criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que detalham ações a serem tomadas durante e após um incidente.  Isto tudo visando manter ou restaurar as operações de negócio.
  • 22. Gestão da Continuidade de Negócios
  • 23. Gestão da Continuidade de Negócios  Testando, mantendo e analisando criticamente os preparativos de GCN.  Testar, manter, rever e auditar o GCN faz com que a organização seja capaz de: demonstrar a que ponto suas estratégias e planos estão completos, atualizados / precisos e identificar oportunidades de melhoria.
  • 24. NBR/ISO 15999 - 2008 Código de Prática para a Gestão de Continuidade de Negócios  Tipos de Testes: Freqüência Complexidade Teste Processo Variações Recomendada Análise Atualização / Ao menos Crítica/Correção validação anualmente Testes de Mesa Questionar o Auditoria / Anualmente Simples Conteúdo do PCN Verificação “Walk- trough” Incluir Interação e Questionar o (Repassar os validar os papéis Anualmente Conteúdo do PCN passos do Plano) dos Participantes
  • 25. NBR/ISO 15999 - 2008 Código de Prática para a Gestão de Continuidade de Negócios  Tipos de Testes: Freqüência Complexidade Teste Processo Variações Recomendada Usar situação “artificial” para validar se os PCN possuem as informações Incorporar planos Anualmente ou duas Simulação necessárias e associados vezes ao ano. suficientes, de forma a permitir uma Médio recuperação com sucesso Execução em Executar algumas ambiente controlado operações a partir de Testar atividades que não prejudique o um local alternativo Anualmente ou menos críticas andamento normal por um tempo dos negócios determinado
  • 26. NBR/ISO 15999 - 2008 Código de Prática para a Gestão de Continuidade de Negócios  Tipos de Testes: Freqüência Complexidade Teste Processo Variações Recomendada Testar todo o PCN, Teste que envolve todo incluindo o Complexo o prédio/campus/zona Anualmente gerenciamento de de exclusão incidentes Convém que a freqüência dos testes dependa das necessidades da organização, do ambiente no qual ela opera e das necessidades das partes interessadas. Porém, convém que o programa de testes seja flexível, levando em conta a freqüência de ocorrência de mudanças na organização e dos testes anteriores. Os métodos de testes acima podem ser empregados para cada componente de um plano ou para um ou mais planos.
  • 27. Gestão da Continuidade de Negócios  Incluindo a GCN na cultura da organização.  A inclusão da GCN na cultura da organização permite que ela se torne parte dos valores da organização, dando confiança às partes interessadas quanto à capacidade da organização de sobreviver a interrupções.  Conscientizar e Treinar
  • 28. Boas Práticas para Estratégias de Contingência Professional Practices - DRII–Disaster Recovery International Institute GPG - BCI–Business Continuity Institute NBR/ISO 20000 - Gerenciamento de serviços de TI NBR/ISO 27002 - Código de Prática para a Gestão da Segurança da Informação COBIT – Controles e Objetivos em TI
  • 29. Disaster Recovery International Institute (DRII)  Missão Internacional do DRI  Promover uma base comum de conhecimentos para o planejamento de continuidade de negócios / indústria de recuperação de desastres, através da educação, assistência e publicação da base de recursos padrões. Facilitar a cooperação com e entre os setores público e privado para promover padrões.  É Organização Sem Fins Lucrativos  Fundada em 1988  Objetivos de promover uma base de conhecimento comum para o setor da gestão de continuidade  Certificar pessoas qualificadas na disciplina de C.N.  Promover a credibilidade e profissionalismo de pessoas certificadas.
  • 30. Disaster Recovery International Institute (DRII)  Instituição que tem como atividades:  Certificação (DRI International certificou indivíduos em mais de 95 países.)  Educação (DRI International certifica indivíduos em Inglês, espanhol, francês, japonês, mandarim, russo e italiano)  Integração de Entidades Governamentais e Não-governamentais  E a globalização do conhecimento. (DRI International tem pessoas certificadas em mais de 95 países diferentes.)
  • 31. 10 Práticas Profissionais Disaster Recovery International Institute (DRII) As 10 Práticas Profissionais do Disaster Recovery International Institute (DRII)
  • 32. 10 Práticas Profissionais Disaster Recovery International Institute (DRII)  1- Inicio e Gestão do Programa  São definidos os requisitos de continuidade, obtido apoio da alta direção quanto ao programa e definição de papéis e responsabilidades.  2- Avaliação de riscos e controles  Nesta etapa, são identificados os riscos levantados junto às pessoas, instalações e tecnologias do escopo, identificação de perdas potenciais e definição de controles a serem aplicados.
  • 33. 10 Práticas Profissionais Disaster Recovery International Institute (DRII)  3- Análise de Impacto nos Negócios (AIN / BIA)  Identificação dos impactos resultantes de interrupções de negócio, e técnicas que podem ser usadas para quantificar e qualificar esses impactos.  Definição também de tempos críticos, prioridades de recuperação e interdependências.  4- Estratégias de continuidade de negócios  Apoiado pelos resultados da AIN/BIA e da análise de riscos e controles, recomendar estratégias de continuidade de negócios.
  • 34. 10 Práticas Profissionais Disaster Recovery International Institute (DRII)  5- Preparação e Resposta a emergência  Preparar um estado de prontidão da organização para responder a uma emergência de forma coordenada e eficaz.  6- Planos de continuidade de negócios  Projetar, desenvolver e implementar Planos de Continuidade de Negócios.
  • 35. 10 Práticas Profissionais Disaster Recovery International Institute (DRII)  7 - Programas de sensibilização e formação  Preparar um programa para criar a consciência referente à GCN.  8 - Exercício, auditoria e Manutenção dos Planos de Continui- dade de Negócios  Estabelece o plano de exercícios e testes dos PCN’s, e estabelece também os procedimentos de auditoria do programa e planos de continuidade de negócios.
  • 36. 10 Práticas Profissionais Disaster Recovery International Institute (DRII)  9 - Comunicação de Crises  Desenvolve os planos de ação para comunicação com as partes interessadas visando garantir a clareza das informações na comunicação das crises.  10 - Coordenação com Agências Externas  Estabelecer procedimentos e políticas para a coordenação e continuidade das atividades de restauração com agências externas.
  • 37. Business Continuity Institute (BCI)  O Business Continuity Institute (BCI) foi criada em 1994 para permitir que membros individuais possam obter orientação e apoio de praticantes de continuidade de negócios. O BCI tem atualmente mais de 5.000 membros em 90 países.  Integrar o BCI oferece ao profissional de CN status reconhecido internacionalmente com uma certificação valorizada que demonstra a competência para realizar a gestão de continuidade de negócios (GCN) com um alto padrão.
  • 38. Business Continuity Institute (BCI)  Em 2007 ocorreu o lançamento de uma Parceria da BCI possibilitando às organizações a trabalhar mais estreitamente com o Instituto de Continuidade de Negócios para entregar a missão global do BCI que é de:  Promover a arte e a ciência da gestão de continuidade de negócios em todo o mundo.  O papel mais amplo do BCI e da Parceria com o BCI é promover os mais elevados padrões de competência profissional e ética empresarial na prestação e manutenção do planejamento de continuidade de negócios e serviços.
  • 39. As Orientações de Boas Práticas Good Practices Guidelines (BCI - GPG) BCI - Ciclo de Vida da Gestão de Continuidade de Negócios.
  • 40. As Orientações de Boas Práticas Good Practices Guidelines (BCI - GPG)  Gestão da Política e do Programa  A política de GCN é o documento chave que define o escopo e a governança do programa de GCN, e reflete os motivos pelos quais a GCN está sendo implementado. Ela fornece o contexto em que os recursos solicitados serão implementados, e identifica os princípios aos quais a organização aspira e contra os quais seu desempenho pode ser auditado.
  • 41. As Orientações de Boas Práticas Good Practices Guidelines (BCI - GPG)  Incorporando a GCN na Cultura da Organização  A criação bem sucedida da cultura de GCN da organização depende da sua integração com o planejamento estratégico da organização, bem como o seu alinhamento com as prioridades de negócios.
  • 42. As Orientações de Boas Práticas Good Practices Guidelines (BCI - GPG)  Entendendo a Organização  "Entender a Organização" é a prática profissional dentro do Ciclo de Vida da GCN que analisa a organização em termos de quais seus objetivos, como estrutura funcional e os obstáculos do ambiente em que opera. As informações coletadas torna possível determinar a melhor forma de preparar uma organização para ser capaz de gerenciar as suas interrupções.
  • 43. As Orientações de Boas Práticas Good Practices Guidelines (BCI - GPG)  Determinando a Estratégia de Continuidade de Negócios  "Determinação da estratégia de Continuidade de Negócios" é a prática profissional dentro do ciclo de vida do BCM que determina quais as estratégias que vão ao encontro da política de GCN e exigências organizacionais e seleciona respostas tácticas dentre as opções disponíveis.
  • 44. As Orientações de Boas Práticas Good Practices Guidelines (BCI - GPG)  Desenvolvimento e Implementando uma Resposta de GCN  "Desenvolvendo e implementando uma resposta BCM" é a prática profissional dentro do Ciclo de Vida do BCM que implementa estratégias de acordo com o processo de desenvolvimento de um conjunto de Planos de Continuidade de Negócios.
  • 45. As Orientações de Boas Práticas Good Practices Guidelines (BCI - GPG)  Exercitando, mantendo e revisando a GCN  "Exercitando, mantendo e revisando a GCN" é a prática profissional no âmbito do Ciclo de Vida da GCN, que visa assegurar que a melhoria contínua é alcançada através das ações em curso e programadas. As atividades realizadas nesta seção serão apoiadas pela política de BCM.
  • 46. ISO 20.000 - 2005 Sistema de Gestão de Tecnologias da Informação
  • 47. ISO 20.000 - 2005 Sistema de Gestão de Tecnologias da Informação  Gerenciamento da Continuidade e Disponibilidade de TI.  A seção da norma em questão destaca que eventos inesperados que tenham impactado na disponibilidade dos serviços devem ser investigados, e ações adequadas devem ser tomadas. Com isto, busca-se a excelência operacional de serviços, mantendo- os disponíveis aos clientes com a qualidade requerida.
  • 48. ISO 20.000 - 2005 Sistema de Gestão de Tecnologias da Informação  Gerenciamento da Continuidade e Disponibilidade de TI.  A norma ISO 20000 ressalta que os planos de continuidade de serviço, lista de contatos e a base de dados de gerenciamento devem estar disponíveis quando da ocorrência de uma indisponibilidade para que os planos de ação possam ser colocados em execução
  • 49. ISO 20.000 – 2005 / ITIL Relacionamento entre os padrões
  • 50. ISO 27.002 - 2005 Código de Prática para a Gestão da segurança da Informação  Seção 14 – Gestão da Continuidade de Negócios.  Esta seção tem por objetivo é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão da segurança da informação em uma organização.  Define o objetivo de não permitir a interrupção das atividades do negócio e proteger os processos críticos contra defeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso.
  • 51. ISO 27.002 - 2005 Código de Prática para a Gestão da segurança da Informação  Para atingir estes objetivos, são definidos controles para :  Incluir a segurança da informação no processo de gestão da continuidade de negócio,  Identificar eventos de risco que possam causar interrupções aos processos de negócio,  Desenvolver e implementar planos de continuidade relativos à segurança da informação,  Garantir a consistência dos planos e  Para testar e analisar criticamente os planos de continuidade do negócio..
  • 52. Control Objectives for Information and related Technology (COBIT)  O COBIT é...  O Control Objectives for Information and related Technology (COBIT) é um conjunto de boas práticas para o gerenciamento da tecnologia da informação criado pela Information Systems Audit and Control Association (ISACA) e pelo IT Governance Institute (ITGI) em 1996.
  • 53. Control Objectives for Information and related Technology (COBIT)
  • 54. Control Objectives for Information and related Technology (COBIT)
  • 55. Control Objectives for Information and related Technology (COBIT)  DS 4.1 - Estrutura de Continuidade  Desenvolver um modelo para continuidade de TI a fim de apoiar o gerenciamento da continuidade do negócio de toda a empresa através de um processo consistente orientado a estrutura organizacional quanto ao gerenciamento da continuidade.  Processo este contemplando papéis, tarefas e responsabilidades dos provedores de serviço internos e externos, seus gerenciamentos, clientes e as regras e estruturas para documentar, testar e executar planos de recuperação de desastres e continuidade de TI
  • 56. Control Objectives for Information and related Technology (COBIT)  DS 4.2 - Planos de Continuidade de TI  Desenvolver planos de continuidade de TI com base na estrutura e projetados para reduzir o impacto de uma grande interrupção de funções e processos de negócio fundamentais.
  • 57. Control Objectives for Information and related Technology (COBIT)  DS 4.3 - Recursos Críticos de TI  Dar atenção especial aos itens mais críticos no plano de continuidade de TI para assegurar a capacidade de restabelecimento e definir prioridades em situações de recuperação.  Prevenir o desvio de atenção para os itens de recuperação menos críticos e assegurar resposta e recuperação em alinhamento com as necessidades de negócio de maior importância; ao mesmo tempo, assegurar que os custos sejam mantidos em um nível aceitável e em conformidade com os requisitos contratuais e regulamentares.
  • 58. Control Objectives for Information and related Technology (COBIT)  DS 4.4 - Manutenção do Plano de Continuidade de TI  Encorajar o gerenciamento de TI a definir e executar procedimentos de controle de mudança para assegurar que o plano de continuidade de TI seja mantido atualizado e reflita sempre os requisitos de negócios atuais.
  • 59. Control Objectives for Information and related Technology (COBIT)  DS 4.5 - Teste do Plano de Continuidade de TI  Testar o plano de continuidade de TI regularmente para assegurar que os sistemas de TI possam ser efetivamente recuperados, que desvios sejam tratados e que o plano se mantenha relevante.  Para tanto, são necessários preparação cuidadosa, documentação, registro dos resultados dos testes e implementação de planos de ação de acordo com os resultados.
  • 60. Control Objectives for Information and related Technology (COBIT)  DS 4.6 - Treinamento do Plano de Continuidade de TI  Assegurar que todas as partes envolvidas recebam treinamento regular sobre os procedimentos, papéis e respectivas responsabilidades no caso de um incidente ou desastre.  Verificar e intensificar o treinamento de acordo com os resultados dos teste de continuidade.
  • 61. Control Objectives for Information and related Technology (COBIT)  DS 4.7 - Distribuição do Plano de Continuidade  Definir e gerenciar uma estratégia de distribuição para assegurar que os planos sejam seguramente distribuídos e que estejam apropriadamente disponíveis às partes interessadas e autorizados quando e onde necessário.  Toda atenção deve ser dispensada para tornar o plano acessível em todos os cenários de desastre.
  • 62. Control Objectives for Information and related Technology (COBIT)  DS 4.8 - Recuperação e Retomada dos Serviços de TI  Planejar as ações a serem executadas nos momentos de recuperação e retomada dos serviços de TI. Isto pode incluir ativação de backup sites, iniciação de processamento alternativo, comunicação para as partes interessadas e os clientes, procedimentos de retorno à produção etc. Assegurar que o negócio entenda o tempo de recuperação de TI e os investimentos tecnológicos necessários para sustentar as necessidades de recuperação e retorno à produção.
  • 63. Control Objectives for Information and related Technology (COBIT)  DS 4.9 - Armazenamento de Backups em Locais Remotos  Armazenar remotamente todas as mídias de cópias de segurança críticas, documentação e outros recursos de TI necessários para a recuperação da TI e os planos de continuidade de negócio. O conteúdo armazenado nas cópias de segurança precisa ser determinado em colaboração entre os proprietários dos processos de negócio e o pessoal de TI. Assegurar a compatibilidade de hardware e software para restaurar os dados arquivados e testar e atualizar periodicamente os dados arquivados.
  • 64. Control Objectives for Information and related Technology (COBIT)  DS 4.10 - Revisão Pós-Retomada dos Serviços  Após a retomada bem-sucedida da função de TI depois de um desastre, determinar se o gerenciamento de TI tem procedimentos para avaliar a adequação do plano atual e realizar sua atualização, se necessário.
  • 65. Control Objectives for Information and related Technology (COBIT)  Matriz de Responsabilidade
  • 66. Control Objectives for Information and related Technology (COBIT)  Modelo de Maturidade para Continuidade de serviços Nível Descrição Não há entendimento dos riscos, vulnerabilidades e ameaças às operações de TI Inexistente ou do impacto da perda dos serviços de TI nos negócios. Não é considerado que a continuidade dos serviços deve ter atenção da Direção. As responsabilidades pela continuidade dos serviços são informais e a autoridade para exercer essas responsabilidades é limitada. O gerenciamento está se tornando consciente dos riscos relacionados e da necessidade da continuidade dos serviços. O foco da Direção quanto à continuidade dos serviços está Inicial /Ad relacionado aos recursos de infra-estrutura e não aos serviços de TI. hoc Os usuários implementam paliativos em resposta a interrupções nos serviços. A resposta da TI para a maioria das interrupções é reativa e despreparada. Paralisações dos sistemas são agendadas para atender às necessidades da TI, porém não consideram os requisitos do negócio.
  • 67. Control Objectives for Information and related Technology (COBIT)  Modelo de Maturidade para Continuidade de serviços Nível Descrição A responsabilidade de assegurar a continuidade do serviço é estabelecida. As abordagens para assegurar a continuidade do serviço são fragmentadas. Relatórios de disponibilidade de sistema são esporádicos, podem ser incompletos e não levam em consideração o impacto nos negócios. Repetível, Não existe um plano de continuidade de TI documentado, embora haja porém comprometimento da continuidade da disponibilidade de serviços e seus Intuitivo maiores princípios sejam conhecidos. Existe um inventário de sistemas e componentes críticos, mas ele pode não ser confiável. Práticas de serviços contínuos estão surgindo, contudo o sucesso depende das pessoas.
  • 68. Control Objectives for Information and related Technology (COBIT)  Modelo de Maturidade para Continuidade de serviços Nível Descrição A responsabilidade solidária pelo gerenciamento da continuidade dos serviços está clara. A responsabilidade pelo planejamento e pelos testes da continuidade dos serviços é claramente definida e atribuída. O plano de continuidade de TI é documentado e baseia-se na importância do sistema e no impacto nos negócios. Há relatos periódicos dos testes de Processo continuidade de serviços. Definido As pessoas tomam a iniciativa de seguir padrões e recebem treinamento para lidar com a maioria dos incidentes ou desastres. A Direção comunica consistentemente a necessidade do plano de assegurar a continuidade de serviço. Componentes de alta disponibilidade e redundância de sistema estão sendo aplicados. É mantido um inventário sobre os componentes e sistemas críticos.
  • 69. Control Objectives for Information and related Technology (COBIT)  Modelo de Maturidade para Continuidade de serviços Nível Descrição As responsabilidades e os padrões para a continuidade dos serviços são impostos. A responsabilidade por manter o plano de continuidade de serviço é atribuída. As atividades de manutenção são baseadas nos testes de continuidade de serviço, em boas práticas internas, e na mudança do ambiente de negócio e de TI. Dados estruturados sobre a continuidade dos serviços estão sendo coletados, analisados, relatados e gerando ações. Gerenciado e É dado treinamento obrigatório e formal sobre os processos de continuidade de Mensurável serviço. Boas práticas de disponibilidade de sistemas estão sendo consistentemente implementadas. As práticas de disponibilidade e planejamento de continuidade de serviços influenciam um ao outro. Os incidentes de descontinuidade são classificados e os procedimentos de encaminhamento de cada incidente é bem conhecido por todos os envolvidos. Objetivos e métricas de continuidade dos serviços foram desenvolvidos e acordados, mas podem ser inconsistentemente medidos.
  • 70. Control Objectives for Information and related Technology (COBIT)  Modelo de Maturidade para Continuidade de serviços Nível Descrição Processos integrados de continuidade de serviços consideram a comparação com o mercado (benchmarking) e as melhores práticas externas. O plano de continuidade de TI é integrado ao plano de continuidade de negócio e é rotineiramente mantido. A necessidade de assegurar a continuidade de serviços é garantida pelos fornecedores e principais prestadores de serviço. Ocorrem testes formais do plano de continuidade de TI, e seus resultados são a base da atualização do plano. Coleta e análise dos dados são utilizados para melhoria contínua do Otimizado processo. O planejamento de continuidade de serviço e as práticas de disponibilidade estão completamente alinhados. A Direção assegura que um desastre ou incidente importante não ocorrerá devido a um único ponto de falha. Práticas de encaminhamento são entendidas e rigorosamente impostas. Os objetivos e métricas sobre o alcance da continuidade de serviços são mensurados de forma sistemática. A Direção ajusta o planejamento à continuidade do serviço em resposta às medições
  • 71. Alinhamento entre as Boas Práticas  As organizações adotam diferentes modelos, padrões e normas para orientar o seu processo de gestão de segurança e de tecnologia da informação.  As boas práticas discutidas nas seções anteriores representam o que convém que seja implementado e os processos que oferecem suporte e orientação para a definição de como pode se dar a aplicação dos objetivos de controles.
  • 72. Alinhamento entre as Boas Práticas Consolidação das boas práticas na GCN CobiT 4.1 ITIL V3 ISO/IEC 27002:2005 SD 4.5 IT service continuity management 6.1.6 Contact with authorities SD 4.5.5.1 Stage 1—Initiation 6.1.7 Contact with special interest groups 14.1.1 Including information security in the DS4.1 IT continuity framework business continuity management process CSI 5.6.3 IT Service continuity management 14.1.2 Business continuity and risk assessment 14.1.4 Business continuity planning framework SD 4.5.5.2 Stage 2— Requirements and strategy 6.1.6 Contact with authorities SD 4.5.5.3 Stage 3— Implementation 6.1.7 Contact with special interest groups DS4.2 IT continuity plans 14.1.3 Developing and implementing continuity SD App K The typical contents of a recovery plan plans including information security SD 4.4.5.2 The proactive activities of availability 14.1.1 Including information security in the DS4.3 Critical IT resources management business continuity management process SD 4.5.5.4 Stage 4—Ongoing operation 14.1.2 Business continuity and risk assessment DS4.4 Maintenance of the IT 14.1.5 Testing, maintaining and reassessing SD 4.5.5.4 Stage 4—Ongoing operation continuity plan business continuity plans
  • 73. Alinhamento entre as Boas Práticas Consolidação das boas práticas na GCN CobiT 4.1 ITIL V3 ISO/IEC 27002:2005 SD 4.5.5.3 Stage 3— Implementation 14.1.5 Testing, maintaining and DS4.5 Testing of the IT continuity plan SD 4.5.5.4 Stage 4—Ongoing operation reassessing business continuity plans SD 4.5.5.3 Stage 3— Implementation 14.1.5 Testing, maintaining and DS4.6 IT continuity plan training SD 4.5.5.4 Stage 4—Ongoing operation reassessing business continuity plans SD 4.5.5.3 Stage 3— Implementation 14.1.5 Testing, maintaining and DS4.7 Distribution of the IT continuity plan SD 4.5.5.4 Stage 4—Ongoing operation reassessing business continuity plans 14.1.1 Including information security in SD 4.4.5.2 The proactive activities of availability the business continuity management management DS4.8 IT services recovery and resumption process 14.1.3 Maintain or restore operations SD 4.5.5.4 Stage 4—Ongoing operation and ensure availability of information SD 4.5.5.2 Stage 2— Requirements and strategy DS4.9 Offsite backup storage 10.5.1 Information backup SO 5.2.3 Backup and restore SD 4.5.5.3 Stage 3— Implementation 14.1.5 Testing, maintaining and DS4.10 Post-resumption review SD 4.5.5.4 Stage 4— Ongoing operation reassessing business continuity plans
  • 74. ESTUDO DE CASO Planos de Recuperação de Desastres em TI
  • 75. ESTUDO DE CASO Entendendo a Organização  Análise de Impacto no Negócio ( AIN ou BIA)  Definição: Processo de analisar as funções de negócio e investigar os efeitos causados por interrupções.  Objetivo: Identificar os processos e recursos que são críticos para o negócio.  Informações: Processos de Negócio, Tempo Objetivado de Recuperação (RTO), Ponto Objetivo de Recuperação (RPO), Período Crítico, Máximo Tempo Tolerável de Interrupção (MTPD), Criticidade e Recursos de TI.
  • 76. ESTUDO DE CASO Entendendo a Organização - AIN PROCESSO DE NEGÓCIO: RTO: RPO: PERÍODO CRÍTICO: MTPD: CRITICIDADE: □ Alto □ Médio □ Baixo SISTEMAS DE INFORMAÇÃO:
  • 77. ESTUDO DE CASO Entendendo a Organização - AIN  Como se faz?  Entrevistas com cada uma das áreas envolvidas  De 2 a 5 entrevistas (depende da complexidade da área)  Entrevistas com 1 hora de duração  Participantes: gerente, coordenador e/ou analista sênior  Prazo de finalização BIA (média): 50 horas por área
  • 78. ESTUDO DE CASO Entendendo a Organização - AIN  Entrevista ou Questionário – Perguntas-Chaves  O processo de negócio em questão é mais crítico em qual período do mês? Por quê?  Quais sistemas você utiliza para executar as atividades deste processo de negócio?  Se o sistema não está disponível existe alguma atividade alternativa que você realiza?  Quanto tempo é necessário para executar esta atividade alternativa sem o sistema estar disponível?
  • 79. ESTUDO DE CASO Entendendo a Organização - AIN  Entrevista ou Questionário – Perguntas-Chaves  Os dados no sistema precisam estar sempre atualizados e disponíveis para consulta? Se os mesmos estivessem alguns dias atrasados causariam algum problema operacional?  Qual o período máximo de atraso dos dados aceitável para a execução das atividades críticas desse processo de negócio?  Com o processo de negócio indisponível o impacto recairia sobre os clientes?
  • 80. ESTUDO DE CASO Entendendo a Organização - AIN  Entrevista ou Questionário – Perguntas-Chaves  Na área de Tecnologia da Informação temos um segundo Datacenter, o mesmo provê 50% da capacidade para este processo de negócio. Logo, se você tiver que trabalhar usando um sistema com a metade da velocidade do atual, quanto tempo você conseguiria trabalhar assim?  Em caso de indisponibilidade desse processo de negócio existe algum impacto legal, tais como: multas, advertências ou outro tipo de sanção pelo órgão regulador?  Qual o percentual de receita direta que esse processo de negócio gera para a organização?
  • 81. ESTUDO DE CASO Entendendo a Organização - AIN  Resumo dos Resultados da Organização Exemplo Processo de Negócio RTO RPO MTPD Criticidade Vendas 1h 0h 3h Alta Call Center 1h 0h 24h Alta Check-in 3h 24h 48h Média Back Office 72h 744h 2232h Média Manutenção e Compras 720h 744h 4464h Baixa
  • 82. ESTUDO DE CASO Entendendo a Organização - AIN  Benefícios  Identificação dos processos e recursos críticos para o negócio  Análise de dependência dos recursos utilizados  Definição dos tempos de recuperação  Mapa dos riscos associados à continuidade  Cálculo dos valores de impacto financeiro  Subsidia a preparação para as próximas etapas do ciclo de GCN
  • 83. ESTUDO DE CASO Determinando a Estratégia de Continuidade de Negócios  Perguntas?  Começo por onde?  A estrutura de continuidade atual atende a necessidade do negócio?  Quais são os cenários de desastre para os quais estamos preparados?  Todos os serviços de TI devem possuir contingência?
  • 84. ESTUDO DE CASO Determinando a Estratégia de Continuidade de Negócios  Perguntas?  Quais são os serviços de TI críticos para a organização?  Quais são os processos de negócio vitais para a organização?  Qual a dependência da continuidade dos processos de negócio com a TI?  Quem é responsável pela continuidade dos serviços de TI a organização?
  • 85. ESTUDO DE CASO Determinando a Estratégia de Continuidade de Negócios  Estratégias de Continuidade de Negócios  Cold Site  Warm Site  Hot Site
  • 86. ESTUDO DE CASO Determinando a Estratégia de Continuidade de Negócios  Como se faz?  Verificar Infraestrutura de TI em 3 camadas e Contratos com Fornecedores (SLAs)  Fazer uma lista de estratégia contendo o recurso de TI crítico, estratégia, menor RTO dos processos críticos suportados, tipo de estratégia, tempo de ativação, custo e tempo para implementação
  • 87. ESTUDO DE CASO Determinando a Estratégia de Continuidade de Negócios  Infraestrutura em 3 camadas ou Gestão de Configuração.
  • 88. ESTUDO DE CASO Determinando a Estratégia de Continuidade de Negócios  Lista para definição de estratégia [ RECURSO DE TI ] RTO Tipo de Tempo de Custo de Tempo para Estratégia Ativação Implantação Implementação
  • 89. ESTUDO DE CASO Determinando a Estratégia de Continuidade de Negócios  Lista para definição de estratégia Telefonia RTO Tipo de Tempo de Custo de Tempo para Estratégia Ativação Implantação Implementação 1h Hot Site 0 R$ 300.000,00 5 meses 1h Warm Site 30min R$ 160.000,00 4 meses 1h Cold Site 24h R$ 30.000,00 2 meses
  • 90. ESTUDO DE CASO Determinando a Estratégia de Continuidade de Negócios  Aprovação do responsável pela infraestrutura de TI  Mostrar uma estratégia acima do RTO  Possível ter variações dentro do mesmo tipo de estratégia
  • 91. ESTUDO DE CASO Desenvolvendo e implementando uma resposta de GCN  Plano de Recuperação de Desastres em TI  Plano utilizando 5W2H. ORDEM Ordenação das Atividades O QUE: Ação a ser realizada QUEM: Cargo do responsável pela ação QUANDO: Momento de execução COMO: Passo a passo das ações para ativação DURAÇÃO: Tempo de duração da ação
  • 92. ESTUDO DE CASO Desenvolvendo e implementando uma resposta de GCN PLANO Vendas RTO: 1h RPO: 0h CENÁRIO: Indisponibilidade do Data Centre Alpha RESPONSÁVEL: Leonardo Silva - +55 55 555-5678 SUBSTITUTO: Rafael Alves - +55 55 555-8765 ORDEM 1 O QUE: Comunicar a indisponibilidade do Datacenter Alpha para o Gerente de TI QUEM: Equipe de Monitoramento de TI da Voe Sempre QUANDO: Após a detecção da indisponibilidade do Data Center COMO: Através de uma ligação telefônica, utilizando a árvore de chamadas pré-estabelecida. DURAÇÃO: 10 minutos
  • 93. ESTUDO DE CASO Desenvolvendo e implementando uma resposta de GCN ORDEM 2 O QUE: Reunir o time de gestão de crises QUEM: Gerente de TI QUANDO: Após receber a comunicação da indisponibilidade do Data Center Alpha COMO: Através de uma conferência via telefone DURAÇÃO: 10 minutos ORDEM 3 O QUE: Decidir Ativar o Data Center Beta QUEM: Time de Gestão de Crises QUANDO: Durante a reunião via conferência COMO: Através da análise das possibilidades DURAÇÃO: 10min
  • 94. ESTUDO DE CASO Desenvolvendo e implementando uma resposta de GCN ORDEM 3 O QUE: Ativar equipe de TI QUEM: Equipe de Monitoramento de TI QUANDO: Após comunicar o gerente de TI COMO: Através dos telefones celulares, contidos na árvore de chamadas DURAÇÃO: 15 minutos ORDEM 4 O QUE: Comunicar equipe para ativação do Datacenter Beta QUEM: Gerente de TI QUANDO: Após decisão de ativar o Datacenter Beta COMO: Através de uma ligação para equipe de Monitoramento de TI DURAÇÃO: 15 minutos
  • 95. ESTUDO DE CASO Desenvolvendo e implementando uma resposta de GCN ORDEM 5 O QUE: Ativar o Datacenter Beta QUEM: Equipe de TI QUANDO: Após comunicação da equipe de monitoramento COMO: Utilizando os procedimentos de ativação DURAÇÃO: 2h ORDEM 6 O QUE: Reunir equipe de Gestão de Crises QUEM: Equipe de Gestão de Crises QUANDO: Após reunião via telefone do time de Gestão de Crises COMO: Reunindo-se em um ponto de encontro a ser definido na reunião DURAÇÃO: 30 minutos
  • 96. ESTUDO DE CASO Desenvolvendo e implementando uma resposta de GCN ORDEM 7 O QUE: Preparar comunicados internos e externos QUEM: Equipe de Gestão de Crises QUANDO: Após reunir-se COMO: Em conjunto DURAÇÃO: 1h ORDEM 8 O QUE: Identificar a extensão dos danos e passos necessários para recuperar o Datacenter Alpha QUEM: Equipe de Gestão de Crises QUANDO: Após reunião do time de Gestão de Crises COMO: Através da análise de dados obtidos de diversas áreas, incluindo: - Monitoramento de TI - Segurança Corporativa - Engenharia DURAÇÃO: 45 minutos
  • 97. ESTUDO DE CASO Desenvolvendo e implementando uma resposta de GCN  Fatores Críticos de Sucesso  Definição de Responsabilidades  Criação de Equipes  Planos atualizados e disponíveis  Gestão de Configuração ou Desenhos de Topologias
  • 98. ESTUDO DE CASO Testando, mantendo e analisando criticamente os preparativos de GCN.  Tipo de Testes
  • 99. ESTUDO DE CASO Testando, mantendo e analisando criticamente os preparativos de GCN.  Testes  O relatório de testes devem apontar as desconexões e os pontos de melhorias nas atividades executadas nos Planos de Recuperação de Desastres em TI.  O relatório pode ser dividido em técnico e estratégico.
  • 100. ESTUDO DE CASO Testando, mantendo e analisando criticamente os preparativos de GCN.  Manutenção  Os planos devem ser alterados imediatamente, conforme apontamentos do relatório de teste.  É imprescindível retirar todos os planos de versão anterior ao atual, independente dos tipos de alteração.
  • 101. ESTUDO DE CASO Planos de Recuperação de Desastres em TI  Escolhendo o local para o site secundário ou DR site.  Parâmetros mínimos exigidos pelos reguladores - Algumas empresas, especialmente de telecomunicações e do mercado financeiro devem manter a conformidade com as normas e regulamentações existentes. É comum que o regulador defina uma distância mínima entre o site primário e o DR Site.
  • 102. ESTUDO DE CASO Planos de Recuperação de Desastres em TI  Escolhendo o local para o site secundário ou DR site.  RTO definido pelo negócio - A empresa decidiu que o DR Site deve ser instalado e estar pronto para funcionar dentro do prazo definido (RTO). Este tempo inclui o tempo de deslocamento dos empregados para o DR Site e a recuperação dos serviços de TIC.
  • 103. ESTUDO DE CASO Planos de Recuperação de Desastres em TI  Escolhendo o local para o site secundário ou DR site.  Serviços de Telecomunicações - Longas distâncias entre o site primário e o DR Site implicam em altos custos de telecomunicações e limitam a escolha da tecnologia para cópia dos dados. Por exemplo, a replicação síncrona não é possível em distâncias superiores a 40 km. Escolha um local que é suficientemente distante, mas onde seja possível realizar a replicação dos dados.
  • 104. ESTUDO DE CASO Planos de Recuperação de Desastres em TI  Escolhendo o local para o site secundário ou DR site.  Condições geofísicas – Para evitar uma catástrofe natural, não é suficiente construir seu DR Site a uma distância do centro principal. A maioria dos desastres naturais de alto impacto pode atingir áreas extensas devido a sua propagação pela configuração do terreno ou por outras condições geofísicas.
  • 105. ESTUDO DE CASO Planos de Recuperação de Desastres em TI  Escolhendo o local para o site secundário ou DR site.  Meios de Transporte – Uma maior distância entre o local primário e DR Site pode tornar difícil o deslocamento para os funcionários. Isto é especialmente verdade em situações de crise, quando as estradas podem estar danificadas ou bloqueadas, ou os transportes públicos podem estar paralisados devido a uma greve. Escolha um local acessível e com várias opções de transporte.
  • 106. ESTUDO DE CASO Planos de Recuperação de Desastres em TI  Escolhendo o local para o site secundário ou DR site.  Vizinhança dos objetos estratégicos - Não é inteligente instalar o DR Site nas proximidades de instalações com importância estratégica para o país, tais como bases militares, aeroportos e refinarias de petróleo. Esses locais são propensos a ataques terroristas e/ou distúrbios sociais. Além disso, mesmo em situações de catástrofes naturais, estes locais estratégicos terão forte presença militar que pode limitar o acesso a seu ambiente.
  • 107. Considerações Finais  Segurança da Informação e Continuidade de Negócios  A proteção dos ativos e a continuidade do negócio são alguns dos principais objetivos da segurança da informação.  Para garantir a continuidade das operações mesmo mediante cenários de desastres é fundamental que as organizações, independente do segmento e/ou porte, coloquem em prática um programa de gestão da continuidade de negócio.
  • 108. Considerações Finais  A elaboração dos PRDs  Convém que seja cuidadosamente planejada, definida e testada para assegurar que:  (a) as estratégias de contingência escolhidas estejam de acordo com o nível de serviço vigente e  (b) que as pessoas estejam devidamente capacitadas e cientes sobre como proceder mediante eventos que comprometam a continuidade dos serviços de TI.

×