A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Paulo Silva Tracker Segurança da Informação

PublicouKauê Matos Alterado mais de 9 anos atrás

Apresentações semelhantes

Apresentação em tema: "Paulo Silva Tracker Segurança da Informação"— Transcrição da apresentação:

1 Paulo Silva Tracker Segurança da Informação PauloSilva@TrackerTI.com
PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO   IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E   DESENVOLVIMENTO DE PLANO DE CONTINUIDADE DE NEGÓCIOS Paulo Silva Tracker Segurança da Informação

2 Roteiro – FASE 4 Visão Geral de Plano de Continuidade de Negócio
Análise de Impacto de Negócio (BIA) Processos ou Atividades Essenciais Definição dos Impactos Definição dos Prazos Definição das Dependências Preenchimento do Formulário BIA

3 Visão Geral de Plano de Continuidade de Negócio

4 Visão Geral de PCN

5 PCN – ISO 27001 Objetivo: Garantir a recuperação a um nível aceitável:
Não permitir a parada das atividade Proteger os processos críticos Assegurar a retomada em tempo hábil Garantir a recuperação a um nível aceitável: Ações de prevenção e recuperação

6 PCN – ISO 27001 As consequências de incidentes devem passar por uma Análise de Impacto no Negócio PCN deve ser desenvolvido para garantir a retomada das atividade em tempo pré-definido PCN deve limitar os danos em caso de incidente

7 PCN – ISO 27001 Controle – O PROCESSO DE GESTÃO DA CONTINUIDADE
Entendimento dos riscos Identificação dos ativos envolvidos Entendimento do impacto dos incidentes Implementação de controles Documentação dos processos no escopo do PCN Testes e atualizações regulares

8 PCN – ISO 27001 Controle – ANÁLISE E AVALIAÇÃO DE RISCO
Identificar eventos que causam interrupção Ex. falha equipamento, erro humano, roubo, incêndio, desastres naturais, etc. Determinar o impacto Financeiro e tempo de retorno Considerar todos os processos e pessoas Não somente o setor de Tecnologia da Informação Plano de Ação a partir da análise de risco

9 PCN – ISO 27001 Controle – DESENVOLVIMENTO DO PLANO
Foco nos serviços que afetam os clientes Processos podem incluir serviços de terceiros PCN e toda documentação envolvida deve ser acessível, porém em local livre de desastres Os ambientes de backup devem ter proteção de mesmo nível do ambiente original

10 PCN – ISO 27001 Controle – ESTRUTURA DO PCN
Definição de responsabilidades Plano de manutenção para recuperação Plano de treinamento e conscientização dos envolvidos Lista de recursos necessários para a recuperação

11 PCN – ISO 27001 Controle – ESTRUTURA DO PCN Condição de ativação
Procedimento de emergência O que fazer logo após o incidente? Procedimento de recuperação Como fazer para estabelecer a contingência? Procedimento operacional temporário O que fazer até concluir a recuperação? Procedimento para saída da contingência Como restaurar a operação normal?

12 PCN – ISO 27001 Controle – TESTE e MANUTENÇÃO
Devem ser testados e atualizados regularmente Todos os envolvidos devem conhecer os planos Componentes de backup devem ser testados Tipos de testes: Verbalização do procedimento em grupo Recuperação técnica Recuperação para local alternativo Recursos de backup Testes com fornecedores Deve-se armazenar registro dos testes

13 Uma Proposta de Roteiro
Etapa 1 – Análise do Impacto de Negócio Etapa 2 – Definir Estratégias Etapa 3 – Desenvolver os Planos Etapa 4 – Testes e Manutenção

14 Etapa 1 – Análise de Impacto
Estima os impactos financeiros, operacionais ou de imagem, decorrentes de uma interrupção nos processos de negócio. Foco no negócio e não em tecnologia. Define o tempo de recuperação;

15 Etapa 1 – Análise de Impacto
Fornece “razões empresariais” para o investimento Continuidade (ROI); Aumenta a conscientização dos gestores; Cumpre disposições legais e regulamentações (Ex. BACEN 3380).

16 Investimento X Redução de Risco

17 Etapa 2 – Definir Estratégias
Para onde nós iremos? Com que pessoas poderemos contar? Com quais recursos poderemos contar? Quais investimentos serão necessários para viabilizar estes recursos e serviços?

18 Etapa 2 – Definir Estratégias – sp800-34
Documentação da configuração de sistemas Uso de componentes padrão Usar componentes interoperáveis Backup de dados Backup de aplicações Redundância de componentes críticos do sistema Fonte extra de energia

19 Etapa 2 – Definir Estratégias – sp800-34
Implementar tolerância a falhas Implementar replicação de dados Coordenação com suporte de infraestrutura Coordenação com fornecedores Coordenação com equipe de resposta a incidentes Monitoramento de recursos críticos

20 Etapa 2 – Definir Estratégias– sp800-34
Cold Site: tem apenas o espaço para o novo ambiente, porém não instalado Warm Site: contém espaço e equipamento, porém não contém o sistema a ser contingenciado. Normalmente serve para operação de outro sistema.

21 Etapa 2 – Definir Estratégias– sp800-34
Hot Site: totalmente pronto para receber o sistema, porém depende do administrador. Espelhamento: ativação em tempo real.

22 Etapa 2 – Definir Estratégias– sp800-34

23 Etapa 2 – Definir Estratégias– sp800-34

24 Etapa 3 – Desenvolver os Planos
Plano de Continuidade de Negócios: Conjunto de procedimentos e documentação de recursos para prevenção e recuperação Procedimentos para: Entrada na contingência Operação contingente Saída da contingência

25 Etapa 3 – Desenvolver os Planos

26 Etapa 4 – Testes e Manutenção
Verificar o que não funciona; Reforçar o comprometimento dos envolvidos; Verificar a capacidade de recuperar; Validar compatibilidade técnica; Identificar oportunidades de melhorias.

27 Resultado do PCN!!!

28 2. Análise de Impacto de Negócio

29 Análise de Impacto de Negócio
É a base para o desenvolvimento do PCN Define os processos essenciais e seus impactos em caso de parada O objetivo: Definir o IMA - Interrupção Máxima Aceitável Definir o nível mínimo de serviço aceitável

30 Análise de Impacto de Negócio
Para cada processo essencial: Classificar o processo Identificar o impacto (financeiro, operacional e imagem) Definir requisitos mínimos de contingência Definir a Interrupção Máxima Aceitável Definir dependências do processos Estas informações são a base para definição de Estratégias e Planos

31 Análise de Impacto de Negócio
É importante que os dados da BIA sejam revisados com: Alta administração Responsáveis pelo processo Pode ser feito através de: Reuniões, workshops, Questionários e entrevistas.

32 Etapas da BIA Processos ou Atividades Essenciais
Definição dos Impactos Definição das Dependências

33 2.1 Processos ou Atividades Essenciais

34 Processos ou Atividade Essenciais
Identificar as atividades que suportam o fornecimento de produtos ou serviços; Selecionar atividades com base em sua criticidade; Determinar a carga normal de entrega do processo ou atividade; Ex. 50 transações por hora.

35 Processos ou Atividade Essenciais
Classificar o processos ou atividade quanto a sua criticidade;

36 OMC – Objetivo Mínimo de Continuidade
Níveis mínimos de serviço ou produto De modo a garantir os objetivos de negócio durante um período de contingência Exemplos: 50% da capacidade normal; Atraso de 10 minutos no atendimento; Atendimento parcial do processo;

37 POR – Ponto Objetivo de Recuperação
Ponto em que a informação restaurada por uma atividade deve ser recuperada. Para permitir uma retomada aceitável. Exemplos.: Sem requisito; 24 horas; On-line;

38 Atividade 1 Enumere pelo menos 3 processos;
Determine a carga normal do processo; Classifique os processos Defina o OMC e o POR para cada um dos processos;

39 2.2 Análise de Impacto de Negócio
Definição do Impacto

40 Definição do Impacto Avaliar o impacto ao longo do tempo de não realizar a atividade O impacto pode ser de ordem: Financeira Operacional Imagem ou reputação

41 Definição do Impacto Impacto financeiro:
Perda direta de dinheiro por conta da interrupção; Normalmente quantitativo; Ex. deixar de vender; Ex. multas por requisitos legais; Ex. pedido cancelado por falta de entrega; Ex. pagamento extras de fornecedores e funcionários;

42 Definição do Impacto Impacto operacional:
Perda de estrutura por conta da interrupção; Pode ser quantitativo ou qualitativo; Ex. quebra de máquinas; Ex. matéria prima inutilizada; Ex. perda de qualidade no resultado do processo;

43 Definição do Impacto Impacto à imagem:
Perda reputação junto ao mercado; Geralmente é qualitativo; Ex. perda de clientes atuais; Ex. perda de futuros clientes; Ex. perda de parcerias; Ex. perda de vantagens com fornecedores;

44 Definição do Impacto Talvez em um curto espaço de tempo seja irrelevante; A partir de determinado tempo torna-se intolerável; Quanto tempo até ter: Prejuízos financeiros inaceitáveis? Prejuízos operacionais inaceitáveis? Imagem abalada inaceitável?

45 IMA – Interrupção Máxima Aceitável
Tempo em que os impactos sobre uma interrupção tornam-se inaceitáveis! Um impacto financeiro pode ser “alto” na primeira hora e depois disto se tornar “crítico”.

46 TOR - Tempo Objetivo de Recuperação
Tempo em que o produto ou serviço deve ser retomado após um incidente; Pode ser retomado em estado de contingência; Deve ser menor do que o IMA;

47 Definição do Impacto Os três aspectos de impacto devem ser avaliados juntamente com o IMA; Se tiver vários impactos, considerar sempre o mais grave!!! Classificar o impacto em caso de violação do IMA, como:

48 Atividade 2 Identifique impactos financeiros, operacionais e de imagem para seus processos; Determine o IMA para cada processo; Classifique os impactos em:

49 2.3 Análise de Impacto de Negócio
Identificação de Dependências

50 Identificação de Dependências
Os processos possuem dependências Podem ser: Hardware Software Infraestrutura física Pessoas Outros processos Etc...

51 Identificação de Dependências
A perda de continuidade ocorre em uma dependência de um processos Causando a interrupção do processo E gerando impactos financeiros, operacionais e de imagem

52 Identificação de Dependências
As estratégicas de continuidade são aplicadas às dependências do processo Para tanto, precisamos primeiro definir claramente estas dependências Para depois definir estratégias de atendam às métricas de continuidade do processo

53 Identificação de Dependências

54 Atividade 3 Identifique dependências (recursos) para os processos essenciais de seu grupo Um mesmo recurso pode ser dependência para um ou vários processos Um recurso pode depender de outro recurso, que também será dependência do processo

55 Preenchimento do Formulário para Análise de Impacto de Negócio

56 Atividade Final Preencher os formulários da BIA
Identificação de processos Métricas de processos Dependências dos processos

57 Roteiro – FASE 4 Visão Geral de Plano de Continuidade de Negócio
Análise de Impacto de Negócio (BIA) Processos ou Atividades Essenciais Definição dos Impactos Definição dos Prazos Definição das Dependências Preenchimento do Formulário BIA

58 Próxima Reunião... Estar com a BIA concluída;
Enviar o access da BIA “compactado” para meu ; Vamos tratar das definições de estratégias: Estratégias atuais Estratégias desejadas para cumprimento do IMA;

59 Paulo Silva Tracker Segurança da Informação PauloSilva@TrackerTI.com
PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO   IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E   DESENVOLVIMENTO DE PLANO DE CONTINUIDADE DE NEGÓCIOS Paulo Silva Tracker Segurança da Informação

Carregar ppt "Paulo Silva Tracker Segurança da Informação"

Apresentações semelhantes

Desenvolvimento de Sistemas

Desenvolvimento de Sistemas
Missão e Estrutura da Controladoria e o Papel do Controller

Missão e Estrutura da Controladoria e o Papel do Controller
Objetivos do Capítulo Utilizar o processo de desenvolvimento de sistemas delineado neste capítulo e o modelo de componentes de SI, do Capítulo 1, como.

Objetivos do Capítulo Utilizar o processo de desenvolvimento de sistemas delineado neste capítulo e o modelo de componentes de SI, do Capítulo 1, como.
S. A S. A Indústria e Comércio Ltda. Indústria Metalúrgica

S. A S. A Indústria e Comércio Ltda. Indústria Metalúrgica
Plano de Contingência profa_samaris@yahoo.com.br.

Plano de Contingência
Administração e segurança de redes

Administração e segurança de redes
ANÁLISES DE PERIGOS E PONTOS CRÍTICOS DE CONTROLE

ANÁLISES DE PERIGOS E PONTOS CRÍTICOS DE CONTROLE
Consultoria e Produtos metas, planejamento e resultados

Consultoria e Produtos metas, planejamento e resultados
Segurança da Informação

Segurança da Informação
Motivos para a empresa melhorar seu desempenho ambiental

Motivos para a empresa melhorar seu desempenho ambiental
Apresentação da compilação dos resultados das pesquisas.

Apresentação da compilação dos resultados das pesquisas.
Gerenciamento da Integração

Gerenciamento da Integração
Parte 2 – Marcos Regulatórios Prof. Luís Fernando Garcia

Parte 2 – Marcos Regulatórios Prof. Luís Fernando Garcia
SISTEMA DE INFORMAÇÕES DESENVOLVIMENTO DE SISTEMAS

SISTEMA DE INFORMAÇÕES DESENVOLVIMENTO DE SISTEMAS
Gerenciamento de Riscos

Gerenciamento de Riscos
ABRAIDI Código de Conduta ABRAIDI Selo ABRAIDI - Empresa Boa Cidadã

ABRAIDI Código de Conduta ABRAIDI Selo ABRAIDI - Empresa Boa Cidadã
Projeto Final - APGS Adriana P. de Medeiros

Projeto Final - APGS Adriana P. de Medeiros
TSDD Teste de segurança durante o desenvolvimento.

TSDD Teste de segurança durante o desenvolvimento.
ENTERPRISE RESOURSE PLANNING

ENTERPRISE RESOURSE PLANNING
Data Center Product & Marketing

Data Center Product & Marketing

Apresentações semelhantes

Anúncios Google