Paulo Silva Tracker Segurança da Informação PauloSilva@TrackerTI.com PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO   IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E   DESENVOLVIMENTO DE PLANO DE CONTINUIDADE DE NEGÓCIOS Paulo Silva Tracker Segurança da Informação PauloSilva@TrackerTI.com

Roteiro – FASE 5 Revisão Ações, Procedimentos e Treinamento Revisão Análise de Impacto de Negócio Estratégias de Continuidade Estratégias de Prevenção Estratégias de Recuperação Preenchimento do Formulário de Estratégias

Revisão Ações, Procedimentos e Treinamento

Revisão Ações Procedimentos Treinamento e Avaliação

2. Revisão Análise de Impacto de Negócio

Visão Geral de PCN

PCN – ISO 27001 Objetivo: Garantir a recuperação a um nível aceitável: Não permitir a parada das atividade Proteger os processos críticos Assegurar a retomada em tempo hábil Garantir a recuperação a um nível aceitável: Ações de prevenção e recuperação

Uma Proposta de Roteiro Etapa 1 – Análise do Impacto de Negócio Etapa 2 – Definir Estratégias Etapa 3 – Desenvolver os Planos Plano Ação (Fase 6) Etapa 4 – Testes e Manutenção

Etapa 1 – Análise de Impacto Estima os impactos financeiros, operacionais ou de imagem, decorrentes de uma interrupção nos processos de negócio. Foco no negócio e não em tecnologia. Define o tempo de recuperação;

Revisão BIA Ver Roteiro-PCN-BIA.pdf

3. Estratégias de Continuidade de Negócio

Conceitos... Empresa depende de seus processos de negócio. Processos dependem de recursos. Recursos podem falhar!!! Estratégias estão associadas a recursos. “garantem” a contingência dos recursos

Uma Proposta de Roteiro Etapa 1 – Análise do Impacto de Negócio Etapa 2 – Definir Estratégias Etapa 3 – Desenvolver os Planos Plano Ação (Fase 6) Etapa 4 – Testes e Manutenção

Etapa 2 – Definir Estratégias Para onde nós iremos? Com que pessoas poderemos contar? Com quais recursos poderemos contar? Quais investimentos serão necessários para viabilizar estes recursos e serviços?

Etapa 2 – Definir Estratégias Podem ser: Controles, procedimentos ou estratégias de PREVENÇÃO; Controles, procedimentos ou estratégias de RECUPERAÇÃO;

Estratégias de Prevenção Controles ou procedimentos mantidos rotineiramente; Que permitam a recuperação em caso de interrupção;

Estratégias de Prevenção Nobreaks \ geradores de energia; Componentes redundantes ativos; Ex. Ar-condicionado Componentes redundantes inativos; Ex. switches

Estratégias de Prevenção Componentes de software redundantes; Ex. virtualização ou replicação arquivos “Ambientes completos” redundantes; Cold site, hot site, etc; Documentação de sistemas, redes, configurações, etc;

Estratégias de Prevenção Sistema de supressão de incêndio; Detectores de fumaça e água; Execução periódica de backups; Contato e SLA com fornecedores;

Atividade 1 – Prevenção Conforme BIA, para os processos e recursos de sua cooperativas defina: Estratégias de prevenção já realizadas; Estratégias de prevenção desejáveis; Obs: justifique a estratégia pelo impacto dos processos associados;

Estratégias de Recuperação Um plano pré-definido para recuperação da interrupção de determinado recurso. O plano deve definir: Fase de Ativação; Fase de Execução; Fase de Reconstituição;

ISO 27001 – Estrutura do PCN Condição de ativação Procedimento de emergência O que fazer logo após o incidente? Procedimento de recuperação Como fazer para estabelecer a contingência? Procedimento para saída da contingência Como restaurar a operação normal?

Fase de Ativação Definir claramente a condição que ativa uma contingência Definir um responsável pela ativação: Comunicação dos envolvidos; Avaliação dos danos; Tomada de ações imediatas; Ativação do estado de contingência;

Fase de Execução (Contingência) Executar o plano de recuperação conforme procedimento específico Fazer uso dos recursos de prevenção previamente definidos Estabilizar a operação contingente dentro do IMA previsto na BIA

Fase de Reconstituição Retorno para a operação ou reconstrução em caso de falha irrecuperável Envolve: Reinstalação de hardware e software Contato com fornecedores Reconfiguração para saída do estado de contingência

Atividade 2 – Recuperação Para uma estratégia já aplicada em sua cooperativa, defina: Fase de Ativação Fase de Execução (Contingência) Fase de Recuperação

Exemplo Físico Contingência para rede de computadores: Ativação: Para de equipamento de rede; Execução (1): substituir por equipamento sobressalente; Execução (2): desviar carga para outro equipamento previamente preparado; Reconstituição: substituir equipamento danificado por outro permanente;

Exemplo Lógico Contingência para Sistema de Informação: Ativação: Parada do sistema por mais de 10 minutos; Execução (1): restaurar cópia virtual do sistema e dados do backup em um servidor previamente definido; Execução (2): realizar procedimento em papel conforme plano pré-definido; Restauração: reativar de modo permanente o servidor original ou com mesma configuração;

Opções de Estratégias para Recuperação

Estratégias Gerais (1) Ativo / Backup Ativo / Ativo Usar recursos sobressalentes (realocação) Ativo / Ativo Dois locais de operação “on-line” Localidade alternativa Local de operação sobressalente Pode operar parcialmente “para testes”

Estratégias Gerais (2) Tratamento manual temporário “quebra galho” Operação em sistema alternativo; Sem mudança física Mudança para ambiente alternativo; Com mudança física

Estratégias Específicas Sem estratégia; Reconstrução; Restauração; Realocação; Cold Site; Warm Site; Hot Site; Espelhamento;

Estratégias Específicas Sem estratégia Sem estratégia!!! Reconstrução: Montar ambiente, hardware e software; Restaurar os dados;

Estratégias Específicas Restauração: Montar o ambiente e o hardware; Restaurar o software e dos dados; Realocação: “Chavear” o serviço para outro recurso; Geralmente dentro do ambiente da própria empresa;

Estratégias Específicas Cold Site: Ambiente já existe; Montar hardware, software; Restaurar os dados; Warm Site: Ambiente e hardware já existem; Montar software;

Estratégias Específicas Hot Site: Ambiente, hardware e software já existem; Dados sincronizados ou restaurar; Depende de chaveamento do administrador; Espelhamento: ativação em tempo real;

Estratégias Específicas – Resumo * Em caso de perda de ambiente

Estratégias Específicas – Resumo

Considerações Técnicas (sp800-34) Documentação da configuração de sistemas e da rede Documentação do desenvolvimento de softwares Uso de componentes padrão Uso de componentes interoperáveis

Considerações Técnicas (sp800-34) Backup de dados e aplicações Virtualização Implementar tolerância a falhas Implementar replicação de dados

Considerações Técnicas (sp800-34) Identificação de pontos únicos de falha Redundância de componentes críticos de hardware e software Fonte extra de energia Monitoramento de recursos críticos

Considerações Técnicas (sp800-34) Definição de SLAs com fornecedores Coordenação com suporte de TIC Coordenação com fornecedores Coordenação com equipe de resposta a incidentes

Atividade 3 – Definição Estratégia Selecione duas estratégias ainda não aplicadas em sua cooperativa e defina: Fase de Ativação Fase de Execução (Contingência) Fase de Recuperação

Depois das Estratégias...

Uma Proposta de Roteiro Etapa 1 – Análise do Impacto de Negócio Etapa 2 – Definir Estratégias Etapa 3 – Desenvolver os Planos Plano Ação (Fase 6) Etapa 4 – Testes e Manutenção

Etapa 3 – Desenvolver os Planos Plano de Continuidade de Negócios: Conjunto de procedimentos e documentação de recursos para prevenção e recuperação Procedimentos para: Entrada na contingência Operação contingente Saída da contingência

Etapa 3 – Desenvolver os Planos

Etapa 4 – Testes e Manutenção Verificar o que não funciona; Reforçar o comprometimento dos envolvidos; Verificar a capacidade de recuperar; Validar compatibilidade técnica; Identificar oportunidades de melhorias.

4. Preenchimento do Formulário de Estratégias

Atividade Final Copiar “processos” e “dependências” para a versão 2 da base de dados:

Atividade Final Imprimir o relatório da BIA:

Atividade Final Preencher os formulários de Estratégias:

Atividade Final Preencher os formulários de Recursos:

Roteiro – FASE 5 Revisão Ações, Procedimentos e Treinamento Revisão Análise de Impacto de Negócio Estratégias de Continuidade Estratégias de Prevenção Estratégias de Recuperação Preenchimento do Formulário de Estratégias

Próxima Reunião... Plano de Ação para Plano de Continuidade de Negócio: Determinar as ações necessárias para a implantação das estratégias definidas!!!

Paulo Silva Tracker Segurança da Informação PauloSilva@TrackerTI.com PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO   IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E   DESENVOLVIMENTO DE PLANO DE CONTINUIDADE DE NEGÓCIOS Paulo Silva Tracker Segurança da Informação PauloSilva@TrackerTI.com