Palestra - Gestão de Continuidade e Normas
Upcoming SlideShare
Loading in...5
×
 

Palestra - Gestão de Continuidade e Normas

on

  • 895 views

Palestra - Gestão de Continuidade e Normas

Palestra - Gestão de Continuidade e Normas

Statistics

Views

Total Views
895
Views on SlideShare
895
Embed Views
0

Actions

Likes
0
Downloads
38
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Palestra - Gestão de Continuidade e Normas Palestra - Gestão de Continuidade e Normas Presentation Transcript

  • Gestão da Continuidade de Negócios e as  Normas ABNT NBR 15999‐1:2007 e  BS 25999‐2:2007 Março de 2010 TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Termo de Isenção de Responsabilidade A TI Safe, seus colaboradores e executivos, não se responsabilizam pelo mal uso das informações aqui prestadas. Aproveite esta apresentação para ampliar seus conhecimentos em Segurança da Informação. Use com responsabilidade.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Sobre a TI Safe • Missão – Fornecer produtos e serviços de qualidade para a Segurança da Informação • Visão – Ser referência de excelência em serviços de Segurança da Informação • Equipe técnica altamente qualificada • Apoio de grandes marcas do mercadowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Não precisa copiar... http://www.tisafe.com/recursos/palestras/www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Agenda • Motivadores • Importância das Normas • ABNT NBR 15999‐1:2007 (BS 25999‐1:2006) – Gestão da Continuidade de  Negócios – Código de Prática • BS 25999‐2:2007 – Gestão da Continuidade de Negócios ‐ Especificaçãowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Motivadores Os motivadores de um Processo de GCN são, basicamente: Elementos de estratégia de negócio; Regulamentações que exijam Contingência Necessidade de sobreviver no mercado, mesmo em situação de crisewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Onde se Aplica? 26/06/06 Vazamento de Gás inflamável Marginal Pinheiros – São Paulo inflamá 17/08/06 Caxias do Sul - Granizo 24/05/06 – PCC e conseqüente conseqü caos no Trânsito de São Paulo 30/11/06 - Chuva provoca 22 pontos de alagamento na cidade de SP 09/01/07 - Incêndio Justiça Federal - Av. Paulista Justiç São Paulo – 08/03/07 -Manifestações Av. Paulita – Visita Bush 07/01/07 – Desmoronamento causado pela chuva 12/01/07 – Acidente Metrô - SP16/11/06 – Incêndio Sadia –Toledo-PR Toledo-www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • A mudança das Ameaças Historicamente: Hoje: – Incêndios – Cybercrime e Queda no Serviço – Furacões – AtaquesTerroristas – Tornados – Invasão por equipamentos Wireless – Terremotos – Conectidade de parceiros de Negócios  – Inundações – Preocupação com Infra‐estrutura pública – Apagões (telecom, aeroportos, entre outros) – Proteção de Capital Humano (Epidemias) – Na Verdade: Qualquer coisa possível Características: Características: Estatísticamente previsto,  Intencional,  difícil de  quantificar,  não há quantificável,  assegurável e  limite de  fronteiras para sua origem,  não compreensível; há como dimensionar a confiabilidade;www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Frameworks ISO 27001, ISO 27002 (Cap. 14) ITIL / ISO 20000 (6.3 Service continuity and availability management) Cobit (DS4) Coso (atendimento à regulamentações) ISO 15408 Entre outros...www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Regulamentações e Legislações Segmento Financeiro Resoluções Banco Central (SPB, 3380,  2554, 2817,..) Exemplo: 3380 – Risco Operacional Art. 3º ‐ A estrutura de gerenciamento do risco  operacional deve prever:  VI ‐ existência de plano de contingência contendo as  estratégias a serem adotadas para assegurar  condições de continuidade das atividades e para  limitar graves perdas decorrentes de risco  operacional;  Basiléia II BM&F/PQO PCI/DSS BITSwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Regulamentações e Legislações Mercado de Capitais CVM, SEX/SOx Segmento Telecom CONTRATO DAS TELECOM’S Seguros e Previdência SUSEP, SPC/CGPC 13 TCU ‐ Melhores Práticas em Segurança da Informação Novo Código Civilwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Importância das Normas Por que um padrão?  Um consenso pleno de todas as partes interessadas, de forma  não imposta (inclui governos, empresas, comércio, ONGs e  profissionais das áreas) ; Atualizado a um ciclo regular ; As melhores práticas não são uma prática generalizada,  embora aspirem... Facilita processos de Auditoria e Certificação, caso necessárioswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • ABNT NBR 15999‐1:2007 – Código de Prática A  NBR  15999  é uma  norma,  orientada  ao  negócio,    que  visa  subsidiar  a  implementação de um SGCN ‐ Sistema de Gerenciamento da Continuidade de  Negócios.  Uma aproximação da gerência de risco à continuidade do negócio;  Uma aproximação da gerência de risco à continuidade do negócio;  A continuidade do negócio é agora uma das discussões mais importantes  A continuidade do negócio é agora uma das discussões mais importantes  do  risco  que  concerne  às  organizações.  Ter  planos  de  continuidade  do  do  risco  que  concerne  às  organizações.  Ter  planos  de  continuidade  do  negócio  significa  não  somente  possuir  cópias  de  segurança  de  sistemas  de  negócio  significa  não  somente  possuir  cópias  de  segurança  de  sistemas  de  informação e equipamento da contingência ‐ é muito mais complexo: informação e equipamento da contingência ‐ é muito mais complexo: Não  é mais  um  modismo,  mas  parte  integrante  da  gestão  dos  Não  é mais  um  modismo,  mas  parte  integrante  da  gestão  dos  negócios;  negócios;  Deve ser integrado através de todas as funções do negócio;  Deve ser integrado através de todas as funções do negócio;  Não é mais vista como especialidade de TI.  Não é mais vista como especialidade de TI. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • ABNT NBR 15999‐1:2007 – Código de Prática Estabelece  o  processo,  os  princípios  e  a  terminologia  da  Gestão  da  Continuidade de Negócios (GCN). Fornece  uma  base  para  entendimento,  desenvolvimento  e  implementação da CN em uma organização. Permite uma avaliação da capacidade de GCN de maneira consistente  e reconhecida.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • O que é a GCN? Um  processo  da  organização  que  estabelece  uma  estrutura  estratégica  e  operacional adequada para: Melhorar proativamente a resiliência da organização contra possíveis  interrupções. Prover  uma  prática  para  restabelecer  a  capacidade  de  fornecimento  de produtos e serviços. Obter  reconhecida  capacidade  de  gerenciar  uma  interrupção  no  negócio, protegendo marca e reputação.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Ciclo de Vida da GCNwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • NBR 15999 – Ciclo de Vida • Gestão do Programa de GCN Atribuição de responsabilidades; Implementação da continuidade  de negócios na organização; Gestão Gestão contínua da Continuidade  do de Negócios. Programa de GCN A  participação  da  alta  direção  é fundamental  para  garantir  que  o  processo  de  GCN  seja  corretamente  introduzido,  suportado  e  estabelecido  como  parte  da  cultura da organização. Criação de uma Política de GCN. Define‐se o Escopo da GCNwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • NBR 15999 – Ciclo de Vida • Entendendo a Organização Análise de Impacto no Negócio (BIA): atividades críticas  impactos; tempo objetivado de  Entendendo a recuperação; Organização recursos necessários (pessoal,  ambiente, tecnologia). Avaliação de Riscos: ameaças; vulnerabilidades; riscos. Compreensão da organização por meio da identificação  de  seus  produtos  e  serviços  fundamentais  e  das  atividades  críticas  e  dos  recursos que a suportam.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • NBR 15999 – Ciclo de Vida • Definindo a Estratégia de Continuidade de Negócios Opções: período máximo de  interrupção;  custos de implementação da(s)  Determinando a estratégia(s); Estratégia de CN conseqüências de não se agir. Recursos a considerar: pessoas; instalações; A  organização  estará numa  posição  tecnologia; apropriada  para  efetuar  a  escolha  das  informação; estratégias  de  continuidade  dos  negócios  suprimentos; apropriadas  ao  alcance  de  seus  objetivos  partes interessadas. bem como a sua recuperação.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • NBR 15999 – Ciclo de Vida• Desenvolvendo e Implementando uma resposta de GCN Planos:  Resposta a Incidentes; Gerenciamento de Incidentes; Desenvolvendo e Continuidade de Negócios; Implementando uma resposta Recuperação; de GCN Comunicação (mídia, partes  interessadas). Conteúdo: Papéis e responsabilidades; Desenvolvimento  e  implementação  dos  Ativação; planos  apropriados  e  dos  preparativos  Contatos (internos e externos); Procedimentos (atividades);  realizados,  de  forma  a  garantir  a  Recursos. continuidade  das  atividades  críticas  e  o  gerenciamento dos incidentes.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • NBR 15999 – Ciclo de Vida • Testando, mantendo e analisando criticamente os preparativos de GCN Programa de testes;  Manutenção dos Preparativos: Testando, Novos produtos, serviços,  Mantendo e Analisando atividades dependentes, pessoas. criticamente os preparativos de Análise crítica da capacidade de GCN  GCN da organização: Política de GCN em  conformidade com as leis,  estratégias;  Resultado de testes; Necessidades das partes  Garante  que  os  preparativos  para  a  GCN  interessadas. da  organização  estejam  validados  por  Auditoria (interna ou externa ou  testes  e  análises  críticas  e  que  sejam  auto‐avaliações) mantidas atualizadas.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • NBR 15999 – Ciclo de Vida • Incluindo a GCN na cultura da organização Conscientização: informativos; publicação intranet; CDD; visitas a instalações  alternativas; Treinamento: execução de BIA; execução de AR; desenvolvimento de  planos; O  desenvolvimento,  promoção  e  testes de planos. incorporação  da  cultura  de  GCN  na  organização  garantem  que  a  GCN  se  tornará parte  dos  valores  básicos  e  da  gestão da organização.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • O GCN envolve toda a organização• A  Gestão  de  Continuidade  de  Negócio  (GCN)  permite  uma  compreensão  mais  clara  de  como  a  organização  inteira  trabalha  podendo identificar oportunidades de melhoria. Clientes Áreas de Administração Negócios GCN - Gestão da Pares Continuidade do Fornecedores Negócio Técnicos Usuários Regulamentaçãowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • BS 25999‐2:2007 – Especificação Esta norma especifica os requisitos para estabelecer e gerenciar um SGCN  eficaz definido por um programa de GCN. Isso reforça a importância de: Entender as necessidades de continuidade de negócios e de estabelecimento  de uma política e objetivos para a continuidade de negócios; Implementar e operar os controles e medidas para gerenciar de forma  abrangente os riscos da continuidade de negócios da organização; Monitorar e analisar criticamente a performance e eficácia do SGCN; e Melhoria contínua baseada na medida dos objetivos.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • SGCN Um sistema de gerenciamento de continuidade de negócios, como qualquer  outro sistema, tem os seguintes componentes chave: Uma política; Pessoas com responsabilidades definidas; Processos de gerenciamento relativos a: a. política; b. planejamento; c. implementação e operação; d. análise de performance; e. análise crítica do gerenciamento; f. melhorias; Conjunto de documentação fornecendo evidências auditáveis; e Processos de tópicos específicos relativos ao tema, no caso, continuidade  de negócios, tais como Análise de Impacto nos Negócios (BIA) e  desenvolvimento de plano de continuidade de negócios.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Estabelecer (Plan) Estabelecendo e Gerenciando o SGCN Definir os limites de um SGCN e garantir que os objetivos estão claramente  definidos,  entendidos  e  comunicados,  o  comprometimento  demonstrado  da  alta  direção  com  a  GCN,  recursos  são  alocados  e  aqueles  com  responsabilidades com a GCN são competentes para executar seus papéis. Escopo Geral Política de GCN Provisão de Recursos Gestão Habilidades da equipe de GCN do Programa de GCNwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Estabelecer (Plan) Incluindo a GCN na cultura da Organização Garantir  que  a  organização  implante  a  continuidade  de  negócios  dentro  de  suas  operações de rotina e gestão de processos, independente do seu tamanho ou setor  dentro do qual ela atua. Documentação e Registros do SGCN Fornecer clara evidência da operação eficaz do SGCN e a implementação da GCN na organização. Documentação do SGCN Controle de Documentos Procedimentos Controle dos registros do SGCN Controle dos documentos do SGCNwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Implementação e Operação (Do) Entendendo a Organização Permitir  que  a  organização  identifique  as  atividades  críticas  e  recursos  necessários  para  dar  suporte  aos  principais  produtos  e  serviços,  entender  suas ameaças e escolher o tratamento de risco adequado. Análise de Impacto no Negócio (BIA) Análise (avaliação) de Riscos Entendendo a Organização Determinando Opções Determinando a Estratégia de Continuidade de Negócios Identificar os acordos de GCN que permitirão a organização recuperar suas  atividades críticas dentro de seus tempos objetivados de recuperação. Determinando a Estratégia de CNwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Implementação e Operação (Do) Desenvolvendo e Implementando uma resposta de GCN Permitir que a organização desenvolva e implemente acordos e planos  apropriados de GCN para gerenciar qualquer incidente e continuar suas  atividades críticas. Desenvolvendo e Implementando Considerações Gerais uma resposta de GCN Estrutura de Resposta a Incidentes Planos de Continuidade e Gerenciamento de IncidentesTestando, Mantendo e Analisando Criticamente os Preparativos de GCN Verificar a contínua eficácia das providências da GCN e dar maior  garantia após um incidente de que as atividades críticas serão  Testando, recuperadas como definido. Mantendo e Analisando criticamente os preparativos de Testes (Exercícios) de GCN GCN Mantendo e Revisando os arranjos da GCN www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Monitoramento e Revisão do SGCN (CHECK) Monitoração e Análise Crítica do SGCN Garantir  que  a  monitoração  do  gerenciamento,  eficiência  e  eficácia  da  análise crítica do SGCN seja conveniente para: a política de continuidade  de  negócios;  os  objetivos  e  o  escopo;  e,  para  determinar  ações  de  correção e melhoria. Auditoria Interna Revisão Gerencial (Análise Crítica): Revisão de Entradas Revisão de Saídaswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Manutenção e Melhoria do SGCN (ACT) Manutenção e Melhoria do SGCN Manter e melhorar a eficiência e eficácia do SGCN através de ações  corretivas e preventivas, quando determinado pela análise crítica do  gerenciamento. Ações Preventivas e Corretivas Melhoria Contínua www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • BS 25999 – Certificação BS 25999‐2: 2007 Gerenciamento da Continuidade de Negócios. Parte 2: Especificação; é a BS  certificável. Estabelece  o  SGCN  – Sistema  de  Gerenciamento  da  Continuidade  de  Negócios Modelo PDCA aplicado aos processos da GCNwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Benefícios da Certificação na BS 25999 A certificação permite à companhia:  A certificação permite à companhia:  atrair e assegurar clientes, protegendo e realçando sua reputação e    marca atrair e assegurar clientes, protegendo e realçando sua reputação e    marca demonstrar liderança do mercado; demonstrar liderança do mercado; criar vantagem competitiva; criar vantagem competitiva; desenvolver e manter as melhores práticas. desenvolver e manter as melhores práticas. Abre novos mercados e ajuda a obter novos negócios; Abre novos mercados e ajuda a obter novos negócios; Demonstra que as leis e regulamentos aplicáveis estão sendo observados; Demonstra que as leis e regulamentos aplicáveis estão sendo observados; Cria uma oportunidade para redução de encargos de auditorias internas e externas de  Cria uma oportunidade para redução de encargos de auditorias internas e externas de  GCN e pode reduzir prêmios de seguro sobre a interrupção do negócio.  GCN e pode reduzir prêmios de seguro sobre a interrupção do negócio. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • http://www.saopaulo.sp.gov.br/sis/lenoticia.php?id=94006www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • http://www.bsi-global.comwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Conclusões É um processo robusto É praticado e testado Pode ser validado É a BS 25999 (NBR 15999)www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Sua empresa está preparada?www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Os Fatos Depois de um grande incidente quantas organizações sem um plano: – Nunca reabrem?  – Reabrem mas fecham em 18 meses?  – Reabrem mas fecham em 5 anos?  – Sobrevivem? Safetynet / Guardian ITwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Os Fatos Depois de um grande incidente quantas organizações sem um plano: – Nunca reabrem? 40% – Reabrem mas fecham em 18 meses? 40% – Reabrem mas fecham em 5 anos? 12% – Sobrevivem? 8% Safetynet / Guardian ITwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • “As empresas mais bem sucedidas são aquelas que sempre possuem um plano B.” James Yorke, mathematician, on chaos theory in The New Scientistwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Participe do nosso fórum de segurança • Acesse www.tisafe.com/forum e cadastre-sewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • Contatowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.