Carregar apresentação
A apresentação está carregando. Por favor, espere
1
Gestão da Continuidade de Negócios e as
Normas ABNT NBR 15999‐1:2007 e BS 25999‐2:2007 Março de 2010
2
Termo de Isenção de Responsabilidade
A TI Safe, seus colaboradores e executivos, não se responsabilizam pelo mal uso das informações aqui prestadas. Aproveite esta apresentação para ampliar seus conhecimentos em Segurança da Informação. Use com responsabilidade.
3
com TI Safe Segurança da Informação LTDA, 2007-2010
com TI Safe Segurança da Informação LTDA, Todos os direitos reservados. Sobre a TI Safe • Missão – Fornecer produtos e serviços de qualidade para a Segurança da Informação • Visão – Ser referência de excelência em serviços de Segurança da • Equipe técnica altamente qualificada • Apoio de grandes marcas do mercado
4
Agenda • Motivadores • Importância das Normas • ABNT NBR 15999‐1:2007 (BS 25999‐1:2006) – Gestão da Continuidade de Negócios – Código de Prática • BS 25999‐2:2007 – Gestão da Continuidade de Negócios ‐ Especificação
5
Motivadores Os motivadores de um Processo de GCN são, basicamente:
Elementos de estratégia de negócio; Regulamentações que exijam Contingência Necessidade de sobreviver no mercado, mesmo em situação de crise
6
16/11/06 – Incêndio Sadia –Toledo-PR
26/06/06 Vazamento de Gás inflamável Marginal Pinheiros – São Paulo 24/05/06 – PCC e conseqüente caos no Trânsito de São Paulo 17/08/06 Caxias do Sul - Granizo 30/11/06 - Chuva provoca 22 pontos de alagamento na cidade de SP 09/01/07 - Incêndio Justiça Federal - Av. Paulista 16/11/06 – Incêndio Sadia –Toledo-PR São Paulo – 08/03/07 -Manifestações Av. Paulita – Visita Bush 07/01/07 – Desmoronamento causado pela chuva 12/01/07 – Acidente Metrô - SP
7
A mudança das Ameaças Historicamente: – Incêndios – Furacões – Tornados – Terremotos – Inundações – Apagões Hoje: – Cybercrime e Queda no Serviço – AtaquesTerroristas – Invasão por equipamentos Wireless – Conectidade de parceiros de Negócios – Preocupação com Infra‐estrutura pública (telecom, aeroportos, entre outros) – Proteção de Capital Humano (Epidemias) – Na Verdade: Qualquer coisa possível Características: Estatísticamente previsto, quantificável, assegurável e compreensível; Características: Intencional, difícil de quantificar, não há limite de fronteiras para sua origem, não há como dimensionar a confiabilidade;
8
Frameworks ISO 27001, ISO (Cap. 14) ITIL / ISO (6.3 Service continuity and availability management) Cobit (DS4) Coso (atendimento à regulamentações) ISO 15408 Entre outros...
9
Regulamentações e Legislações
Segmento Financeiro Resoluções Banco Central (SPB, 3380, 2554, 2817,..) Exemplo: 3380 – Risco Operacional Art. 3º ‐ A estrutura de gerenciamento do risco operacional deve prever: VI ‐ existência de plano de contingência contendo as estratégias a serem adotadas para assegurar condições de continuidade das atividades e para limitar graves perdas decorrentes de risco operacional; Basiléia II BM&F/PQO PCI/DSS BITS
10
Regulamentações e Legislações
Mercado de Capitais CVM, SEX/SOx Segmento Telecom CONTRATO DAS TELECOM’S Seguros e Previdência SUSEP, SPC/CGPC 13 TCU ‐ Melhores Práticas em Segurança da Informação Novo Código Civil
11
Importância das Normas
Por que um padrão? Um consenso pleno de todas as partes interessadas, de forma não imposta (inclui governos, empresas, comércio, ONG's e profissionais das áreas) ; Atualizado a um ciclo regular ; As melhores práticas não são uma prática generalizada, embora aspirem... Facilita processos de Auditoria e Certificação, caso necessários
13
A NBR 15999 é uma norma, orientada ao negócio, que visa subsidiar a
implementação de um SGCN ‐ Sistema de Gerenciamento da Continuidade de Negócios. ABNT NBR 15999‐1:2007 – Código de Prática Deve ser integrado através de todas as funções do negócio; Não é mais vista como especialidade de TI. Uma aproximação da gerência de risco à continuidade do negócio; A continuidade do negócio é agora uma das discussões mais importantes do risco que concerne às organizações. Ter planos de continuidade do negócio significa não somente possuir cópias de segurança de sistemas de informação e equipamento da contingência ‐ é muito mais complexo: Não é mais um modismo, mas parte integrante da gestão dos negócios;
14
ABNT NBR 15999‐1:2007 – Código de Prática
Estabelece o processo, os princípios e a terminologia da Gestão da Continuidade de Negócios (GCN). Fornece uma base para entendimento, desenvolvimento e implementação da CN em uma organização. Permite uma avaliação da capacidade de GCN de maneira consistente e reconhecida.
15
O que é a GCN? Um processo da organização que estabelece uma estrutura estratégica e operacional adequada para: Melhorar proativamente a resiliência da organização contra possíveis interrupções. Prover uma prática para restabelecer a capacidade de fornecimento de produtos e serviços. Obter reconhecida capacidade de gerenciar uma interrupção no negócio, protegendo marca e reputação.
16
NBR – Ciclo de Vida • Gestão do Programa de GCN Atribuição de responsabilidades; Implementação da continuidade de negócios na organização; Gestão contínua da Continuidade de Negócios. Gestão do Programa de GCN A participação da alta direção é fundamental para garantir que o processo de GCN seja corretamente introduzido, suportado e estabelecido como parte da cultura da organização. Criação de uma Política de GCN. Define‐se o Escopo da GCN
17
NBR – Ciclo de Vida • Entendendo a Organização Análise de Impacto no Negócio (BIA): atividades críticas impactos; tempo objetivado de recuperação; recursos necessários (pessoal, ambiente, tecnologia). Avaliação de Riscos: ameaças; vulnerabilidades; riscos. Compreensão da organização por meio da identificação de seus produtos e serviços fundamentais e das atividades críticas e dos recursos que a suportam. Entendendo a Organização
18
NBR – Ciclo de Vida • Definindo a Estratégia de Continuidade de Negócios Opções: período máximo de interrupção; custos de implementação da(s) estratégia(s); conseqüências de não se agir. Recursos a considerar: pessoas; instalações; tecnologia; informação; suprimentos; partes interessadas. A organização estará numa posição apropriada para efetuar a escolha das estratégias de continuidade dos negócios apropriadas ao alcance de seus objetivos bem como a sua recuperação.
19
NBR – Ciclo de Vida • Desenvolvendo e Implementando uma resposta de GCN Planos: Resposta a Incidentes; Gerenciamento de Incidentes; Continuidade de Negócios; Recuperação; Comunicação (mídia, partes interessadas). Conteúdo: Papéis e responsabilidades; Ativação; Contatos (internos e externos); Procedimentos (atividades); Recursos. Desenvolvimento e implementação dos planos apropriados e dos preparativos realizados, de forma a garantir a continuidade das atividades críticas
20
NBR – Ciclo de Vida • Testando, mantendo e analisando criticamente os preparativos de GCN Programa de testes; Manutenção dos Preparativos: Novos produtos, serviços, atividades dependentes, pessoas. Análise crítica da capacidade de GCN da organização: Política de GCN em conformidade com as leis, estratégias; Resultado de testes; Necessidades das partes interessadas. Auditoria (interna ou externa ou auto‐avaliações) Garante que os preparativos para a GCN da organização estejam validados por testes e análises críticas e que sejam mantidas atualizadas.
21
NBR – Ciclo de Vida • Incluindo a GCN na cultura da organização Conscientização: informativos; publicação intranet; CDD; visitas a instalações alternativas; Treinamento: execução de BIA; execução de AR; desenvolvimento de planos; O desenvolvimento, promoção e testes de planos. incorporação da cultura de GCN na organização garantem que a GCN se tornará parte dos valores básicos e da gestão da organização.
22
O GCN envolve toda a organização
• A Gestão de Continuidade de Negócio (GCN) permite uma compreensão mais clara de como a organização inteira trabalha podendo identificar oportunidades de melhoria. Usuários Pares Fornecedores Áreas de Negócios Administração Técnicos GCN - Gestão da Continuidade do Negócio Clientes Regulamentação
23
G C N O GCN envolve toda a organização
• A Gestão de Continuidade de Negócio (GCN) permite uma compreensão mais clara de como a organização inteira trabalha podendo identificar oportunidades de melhoria. Areas de Negocios Clientes Administração G C N Acionista Fornecedores |Técnicos Usuários Regulamentação
24
BS 25999‐2:2007 – Especificação Esta norma especifica os requisitos para estabelecer e gerenciar um SGCN eficaz definido por um programa de GCN. Isso reforça a importância de: Entender as necessidades de continuidade de negócios e de estabelecimento de uma política e objetivos para a continuidade de negócios; Implementar e operar os controles e medidas para gerenciar de forma abrangente os riscos da continuidade de negócios da organização; Monitorar e analisar criticamente a performance e eficácia do SGCN; e Melhoria contínua baseada na medida dos objetivos.
25
SGCN Um sistema de gerenciamento de continuidade de negócios, como qualquer outro sistema, tem os seguintes componentes chave: Uma política; Pessoas com responsabilidades definidas; Processos de gerenciamento relativos a: a. política; b. planejamento; c. implementação e operação; d. análise de performance; e. análise crítica do gerenciamento; f. melhorias; Conjunto de documentação fornecendo evidências auditáveis; e Processos de tópicos específicos relativos ao tema, no caso, continuidade de negócios, tais como Análise de Impacto nos Negócios (BIA) e desenvolvimento de plano de continuidade de negócios.
27
Estabelecer (Plan) Estabelecendo e Gerenciando o SGCN Definir os limites de um SGCN e garantir que os objetivos estão claramente definidos, entendidos e comunicados, o comprometimento demonstrado da alta direção com a GCN, recursos são alocados e aqueles com responsabilidades com a GCN são competentes para executar seus papéis. Escopo Geral Política de GCN Provisão de Recursos Habilidades da equipe de GCN
28
Estabelecer (Plan) Incluindo a GCN na cultura da Organização Garantir que a organização implante a continuidade de negócios dentro de suas operações de rotina e gestão de processos, independente do seu tamanho ou setor dentro do qual ela atua. Documentação e Registros do SGCN Fornecer clara evidência da operação eficaz do SGCN e a implementação da GCN na organização. Documentação do SGCN Controle de Documentos Procedimentos Controle dos registros do SGCN Controle dos documentos do SGCN
29
Implementação e Operação (Do)
Entendendo a Organização Permitir que a organização identifique as atividades críticas e recursos necessários para dar suporte aos principais produtos e serviços, entender suas ameaças e escolher o tratamento de risco adequado. Análise de Impacto no Negócio (BIA) Análise (avaliação) de Riscos Determinando Opções Determinando a Estratégia de Continuidade de Negócios Identificar os acordos de GCN que permitirão a organização recuperar suas atividades críticas dentro de seus tempos objetivados de recuperação.
30
Implementação e Operação (Do)
Desenvolvendo e Implementando uma resposta de GCN Permitir que a organização desenvolva e implemente acordos e planos apropriados de GCN para gerenciar qualquer incidente e continuar suas atividades críticas. Considerações Gerais Estrutura de Resposta a Incidentes Planos de Continuidade e Gerenciamento de Incidentes Testando, Mantendo e Analisando Criticamente os Preparativos de GCN Verificar a contínua eficácia das providências da GCN e dar maior garantia após um incidente de que as atividades críticas serão recuperadas como definido. Testes (Exercícios) de GCN Mantendo e Revisando os arranjos da GCN
31
Monitoramento e Revisão do SGCN (CHECK)
Monitoração e Análise Crítica do SGCN Garantir que a monitoração do gerenciamento, eficiência e eficácia da análise crítica do SGCN seja conveniente para: a política de continuidade de negócios; os objetivos e o escopo; e, para determinar ações de correção e melhoria. Auditoria Interna Revisão Gerencial (Análise Crítica): Revisão de Entradas Revisão de Saídas
32
Manutenção e Melhoria do SGCN (ACT)
Manter e melhorar a eficiência e eficácia do SGCN através de ações corretivas e preventivas, quando determinado pela análise crítica do gerenciamento. Ações Preventivas e Corretivas
33
BS – Certificação BS 25999‐2: 2007 Gerenciamento da Continuidade de Negócios. Parte 2: Especificação; é a BS certificável. Estabelece o SGCN – Sistema de Gerenciamento da Continuidade de Negócios Modelo PDCA aplicado aos processos da GCN
34
Benefícios da Certificação na BS 25999
A certificação permite à companhia: atrair e assegurar clientes, protegendo e realçando sua reputação e marca demonstrar liderança do mercado; criar vantagem competitiva; desenvolver e manter as melhores práticas. Abre novos mercados e ajuda a obter novos negócios; Demonstra que as leis e regulamentos aplicáveis estão sendo observados; Cria uma oportunidade para redução de encargos de auditorias internas e externas de GCN e pode reduzir prêmios de seguro sobre a interrupção do negócio
35
Conclusões É um processo robusto É praticado e testado Pode ser validado É a BS (NBR 15999)
37
Os Fatos Depois de um grande incidente quantas organizações sem um plano: – Nunca reabrem? – Reabrem mas fecham em 18 meses? – Reabrem mas fecham em 5 anos? – Sobrevivem?
38
Os Fatos Depois de um grande incidente quantas organizações sem um plano: – Nunca reabrem? 40% – Reabrem mas fecham em 18 meses? 40% – Reabrem mas fecham em 5 anos? 12% – Sobrevivem? 8%
39
“As empresas mais bem sucedidas são aquelas que sempre possuem um plano B.” James Yorke, mathematician, on chaos theory in The New Scientist
41
1 Melhorar seus produtos ou serviços
A aplicação de uma norma pode conduzir a uma melhora na qualidade de seus produtos ou serviços. Resultando, certamente no aumento das vendas. Alta qualidade é sempre uma poderosa proposta de venda. Consumidores são raramente tentados a comprar mercadorias de qualidade questionável. Além disso, agregar qualidade a seu produto ou serviço aumenta o nível de satisfação dos consumidores e é uma das melhores formas de mantê-los. 2 Atrair novos consumidores Gerar a correta percepção de seu negócio e seus produtos ou serviços é vital quando você quer atrair novos consumidores. As normas são um caminho efetivo para convencer potenciais consumidores de que você atende aos mais altos e amplamente respeitados níveis de qualidade, segurança e confiabilidade
42
3 Aumentar sua margem de competitividade
O atendimento às normas aumentará sua reputação de ter um negócio comprometido com a busca por excelência. Isto pode lhe dar uma importante vantagem sobre os seus concorrentes que não aplicam as normas – Auxiliando inclusive no ganho de concorrências. Além do que, muitos consumidores em certos setores só comprarão de fornecedores que podem demonstrar conformidade com determinadas normas. 4 Agregar confiança ao seu negócio Acreditar na qualidade de seus produtos ou serviços é provavelmente uma das razões chave da existência de consumidores para esses produtos ou serviços. Quando o consumidor descobre que você utiliza normas há o aumento da confiança em seus produtos ou serviços. Além do que, a utilização de certas normas (por exemplo, ABNT NBR ISO 14001) pode ser muito bom para sua imagem.
43
5 Diminuir a possibilidade de erros
Seguir uma norma técnica implica em atender a especificações que foram analisadas e ensaiadas por especialistas. Isso significa que você terá, provavelmente, menos gasto de tempo e dinheiro com produtos que não tenham a qualidade e desempenho desejáveis. 6 Reduzir seus custos de negócio A utilização de uma norma pode reduzir suas despesas em pesquisas e em desenvolvimento, bem como reduzir a necessidade de desenvolver peças ou ferramentas já disponíveis. Além disto, a utilização de uma norma de sistema de gestão pode permitir a dinamização de suas operações, tornando seu negócio muito mais eficiente e rentável.
44
7 Tornar seus produtos compatíveis
Aplicando as normas pertinentes, pode-se assegurar que seus produtos ou serviços são compatíveis com aqueles fabricados ou fornecidos por outros. Essa é uma das mais efetivas formas de ampliar o seu mercado, em particular o de exportação. 8 Atender a regulamentos técnicos Diferentemente dos regulamentos técnicos, as normas são voluntárias. Não há obrigatoriedade em adotá-las. Entretanto, o atendimento a estas pode auxiliá-lo no cumprimento das suas obrigações legais relativas a determinados assuntos como segurança do produto e proteção ambiental. Haverá impossibilidade de vender seus produtos em alguns mercados a menos que estes atendam certos critérios de qualidade e segurança. Estar em conformidade com normas pode poupar tempo, esforço e despesas, lhe dando a tranqüilidade de estar de acordo com suas responsabilidades legais.
45
9 Facilitar a exportação de seus produtos
A garantia de que seus produtos atendem a normas, facilita a sua entrada no mercado externo, devido á confiança gerada pela utilização de normas. 10 Aumentar suas chances de sucesso Incluir normas como parte de sua estratégia de marketing, pode conferir a seu produto uma enorme chance de sucesso. Isto porque – através de sua natureza colaborativa - a normalização pode auxiliar na construção do conhecimento das necessidades de mercado e dos consumidores. Iniciativas de negócios em mercados que utilizam normas reconhecidas possuem maiores chances de sucesso.
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.