A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DESENVOLVIMENTO DE PLANO DE CONTINUIDADE DE NEGÓCIOS.

Apresentações semelhantes


Apresentação em tema: "PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DESENVOLVIMENTO DE PLANO DE CONTINUIDADE DE NEGÓCIOS."— Transcrição da apresentação:

1 PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DESENVOLVIMENTO DE PLANO DE CONTINUIDADE DE NEGÓCIOS Paulo Silva Tracker Segurança da Informação

2 Roteiro – FASE 4 1.Visão Geral de Plano de Continuidade de Negócio 2.Análise de Impacto de Negócio (BIA) 1.Processos ou Atividades Essenciais 2.Definição dos Impactos 3.Definição dos Prazos 4.Definição das Dependências 3.Preenchimento do Formulário BIA

3 1.Visão Geral de Plano de Continuidade de Negócio

4 Visão Geral de PCN

5 PCN – ISO Objetivo: –Não permitir a parada das atividade –Proteger os processos críticos –Assegurar a retomada em tempo hábil Garantir a recuperação a um nível aceitável: –Ações de prevenção e recuperação

6 PCN – ISO As consequências de incidentes devem passar por uma Análise de Impacto no Negócio PCN deve ser desenvolvido para garantir a retomada das atividade em tempo pré- definido PCN deve limitar os danos em caso de incidente

7 PCN – ISO Controle – O PROCESSO DE GESTÃO DA CONTINUIDADE –Entendimento dos riscos –Identificação dos ativos envolvidos –Entendimento do impacto dos incidentes –Implementação de controles –Documentação dos processos no escopo do PCN –Testes e atualizações regulares

8 PCN – ISO Controle – ANÁLISE E AVALIAÇÃO DE RISCO –Identificar eventos que causam interrupção Ex. falha equipamento, erro humano, roubo, incêndio, desastres naturais, etc. –Determinar o impacto Financeiro e tempo de retorno –Considerar todos os processos e pessoas Não somente o setor de Tecnologia da Informação –Plano de Ação a partir da análise de risco

9 PCN – ISO Controle – DESENVOLVIMENTO DO PLANO –Foco nos serviços que afetam os clientes –Processos podem incluir serviços de terceiros –PCN e toda documentação envolvida deve ser acessível, porém em local livre de desastres –Os ambientes de backup devem ter proteção de mesmo nível do ambiente original

10 PCN – ISO Controle – ESTRUTURA DO PCN –Definição de responsabilidades –Plano de manutenção para recuperação –Plano de treinamento e conscientização dos envolvidos –Lista de recursos necessários para a recuperação

11 PCN – ISO Controle – ESTRUTURA DO PCN –Condição de ativação –Procedimento de emergência O que fazer logo após o incidente? –Procedimento de recuperação Como fazer para estabelecer a contingência? –Procedimento operacional temporário O que fazer até concluir a recuperação? –Procedimento para saída da contingência Como restaurar a operação normal?

12 PCN – ISO Controle – TESTE e MANUTENÇÃO –Devem ser testados e atualizados regularmente –Todos os envolvidos devem conhecer os planos –Componentes de backup devem ser testados –Tipos de testes: Verbalização do procedimento em grupo Recuperação técnica Recuperação para local alternativo Recursos de backup Testes com fornecedores –Deve-se armazenar registro dos testes

13 Uma Proposta de Roteiro Etapa 1 – Análise do Impacto de Negócio Etapa 2 – Definir Estratégias Etapa 3 – Desenvolver os Planos Etapa 4 – Testes e Manutenção

14 Etapa 1 – Análise de Impacto Estima os impactos financeiros, operacionais ou de imagem, decorrentes de uma interrupção nos processos de negócio. Foco no negócio e não em tecnologia. Define o tempo de recuperação;

15 Etapa 1 – Análise de Impacto Fornece “razões empresariais” para o investimento Continuidade (ROI); Aumenta a conscientização dos gestores; Cumpre disposições legais e regulamentações (Ex. BACEN 3380).

16 Investimento X Redução de Risco

17 Etapa 2 – Definir Estratégias Para onde nós iremos? Com que pessoas poderemos contar? Com quais recursos poderemos contar? Quais investimentos serão necessários para viabilizar estes recursos e serviços?

18 Etapa 2 – Definir Estratégias – sp Documentação da configuração de sistemas Uso de componentes padrão Usar componentes interoperáveis Backup de dados Backup de aplicações Redundância de componentes críticos do sistema Fonte extra de energia

19 Etapa 2 – Definir Estratégias – sp Implementar tolerância a falhas Implementar replicação de dados Coordenação com suporte de infraestrutura Coordenação com fornecedores Coordenação com equipe de resposta a incidentes Monitoramento de recursos críticos

20 Etapa 2 – Definir Estratégias– sp Cold Site: tem apenas o espaço para o novo ambiente, porém não instalado Warm Site: contém espaço e equipamento, porém não contém o sistema a ser contingenciado. Normalmente serve para operação de outro sistema.

21 Etapa 2 – Definir Estratégias– sp Hot Site: totalmente pronto para receber o sistema, porém depende do administrador. Espelhamento: ativação em tempo real.

22 Etapa 2 – Definir Estratégias– sp800-34

23

24 Etapa 3 – Desenvolver os Planos Plano de Continuidade de Negócios: –Conjunto de procedimentos e documentação de recursos para prevenção e recuperação Procedimentos para: –Entrada na contingência –Operação contingente –Saída da contingência

25 Etapa 3 – Desenvolver os Planos

26 Etapa 4 – Testes e Manutenção Verificar o que não funciona; Reforçar o comprometimento dos envolvidos; Verificar a capacidade de recuperar; Validar compatibilidade técnica; Identificar oportunidades de melhorias.

27 Resultado do PCN!!!

28 2. Análise de Impacto de Negócio

29 Análise de Impacto de Negócio É a base para o desenvolvimento do PCN Define os processos essenciais e seus impactos em caso de parada O objetivo: –Definir o IMA - Interrupção Máxima Aceitável –Definir o nível mínimo de serviço aceitável

30 Análise de Impacto de Negócio Para cada processo essencial: –Classificar o processo –Identificar o impacto (financeiro, operacional e imagem) –Definir requisitos mínimos de contingência –Definir a Interrupção Máxima Aceitável –Definir dependências do processos Estas informações são a base para definição de Estratégias e Planos

31 Análise de Impacto de Negócio É importante que os dados da BIA sejam revisados com: –Alta administração –Responsáveis pelo processo Pode ser feito através de: –Reuniões, workshops, –Questionários e entrevistas.

32 Etapas da BIA 1.Processos ou Atividades Essenciais 2.Definição dos Impactos 3.Definição das Dependências

33 2.1 Processos ou Atividades Essenciais

34 Processos ou Atividade Essenciais Identificar as atividades que suportam o fornecimento de produtos ou serviços; Selecionar atividades com base em sua criticidade; Determinar a carga normal de entrega do processo ou atividade; –Ex. 50 transações por hora.

35 Processos ou Atividade Essenciais Classificar o processos ou atividade quanto a sua criticidade;

36 OMC – Objetivo Mínimo de Continuidade Níveis mínimos de serviço ou produto De modo a garantir os objetivos de negócio durante um período de contingência Exemplos: –50% da capacidade normal; –Atraso de 10 minutos no atendimento; –Atendimento parcial do processo;

37 POR – Ponto Objetivo de Recuperação Ponto em que a informação restaurada por uma atividade deve ser recuperada. Para permitir uma retomada aceitável. Exemplos.: –Sem requisito; –24 horas; –On-line;

38 Atividade 1 Enumere pelo menos 3 processos; Determine a carga normal do processo; Classifique os processos Defina o OMC e o POR para cada um dos processos;

39 2.2 Análise de Impacto de Negócio Definição do Impacto

40 Avaliar o impacto ao longo do tempo de não realizar a atividade O impacto pode ser de ordem: –Financeira –Operacional –Imagem ou reputação

41 Definição do Impacto Impacto financeiro: –Perda direta de dinheiro por conta da interrupção; –Normalmente quantitativo; –Ex. deixar de vender; –Ex. multas por requisitos legais; –Ex. pedido cancelado por falta de entrega; –Ex. pagamento extras de fornecedores e funcionários;

42 Definição do Impacto Impacto operacional: –Perda de estrutura por conta da interrupção; –Pode ser quantitativo ou qualitativo; –Ex. quebra de máquinas; –Ex. matéria prima inutilizada; –Ex. perda de qualidade no resultado do processo;

43 Definição do Impacto Impacto à imagem: –Perda reputação junto ao mercado; –Geralmente é qualitativo; –Ex. perda de clientes atuais; –Ex. perda de futuros clientes; –Ex. perda de parcerias; –Ex. perda de vantagens com fornecedores;

44 Definição do Impacto Talvez em um curto espaço de tempo seja irrelevante; A partir de determinado tempo torna-se intolerável; Quanto tempo até ter: –Prejuízos financeiros inaceitáveis? –Prejuízos operacionais inaceitáveis? –Imagem abalada inaceitável?

45 IMA – Interrupção Máxima Aceitável Tempo em que os impactos sobre uma interrupção tornam-se inaceitáveis! Um impacto financeiro pode ser “alto” na primeira hora e depois disto se tornar “crítico”.

46 TOR - Tempo Objetivo de Recuperação Tempo em que o produto ou serviço deve ser retomado após um incidente; Pode ser retomado em estado de contingência; Deve ser menor do que o IMA;

47 Definição do Impacto Os três aspectos de impacto devem ser avaliados juntamente com o IMA; Se tiver vários impactos, considerar sempre o mais grave!!! Classificar o impacto em caso de violação do IMA, como:

48 Atividade 2 Identifique impactos financeiros, operacionais e de imagem para seus processos; Determine o IMA para cada processo; Classifique os impactos em:

49 2.3 Análise de Impacto de Negócio Identificação de Dependências

50 Os processos possuem dependências Podem ser: –Hardware –Software –Infraestrutura física –Pessoas –Outros processos –Etc...

51 Identificação de Dependências A perda de continuidade ocorre em uma dependência de um processos Causando a interrupção do processo E gerando impactos financeiros, operacionais e de imagem

52 Identificação de Dependências As estratégicas de continuidade são aplicadas às dependências do processo Para tanto, precisamos primeiro definir claramente estas dependências Para depois definir estratégias de atendam às métricas de continuidade do processo

53 Identificação de Dependências

54 Atividade 3 Identifique dependências (recursos) para os processos essenciais de seu grupo Um mesmo recurso pode ser dependência para um ou vários processos Um recurso pode depender de outro recurso, que também será dependência do processo

55 Preenchimento do Formulário para Análise de Impacto de Negócio

56 Atividade Final Preencher os formulários da BIA –Identificação de processos –Métricas de processos –Dependências dos processos

57 Roteiro – FASE 4 1.Visão Geral de Plano de Continuidade de Negócio 2.Análise de Impacto de Negócio (BIA) 1.Processos ou Atividades Essenciais 2.Definição dos Impactos 3.Definição dos Prazos 4.Definição das Dependências 3.Preenchimento do Formulário BIA

58 Próxima Reunião... Estar com a BIA concluída; Enviar o access da BIA “compactado” para meu e- mail; Vamos tratar das definições de estratégias: –Estratégias atuais –Estratégias desejadas para cumprimento do IMA;

59 PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DESENVOLVIMENTO DE PLANO DE CONTINUIDADE DE NEGÓCIOS Paulo Silva Tracker Segurança da Informação


Carregar ppt "PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DESENVOLVIMENTO DE PLANO DE CONTINUIDADE DE NEGÓCIOS."

Apresentações semelhantes


Anúncios Google