ABNT NBR 15999-1 Gestão de Continuidade de Negócios - Parte 1 - Código de Prática
Aula 4 - Plano de Continuidade de Negócios (PCN)
-
Upload
carlos-henrique -
Category
Technology
-
view
685 -
download
6
description
Transcript of Aula 4 - Plano de Continuidade de Negócios (PCN)
Carlos Henrique M. da [email protected]
“Não permitir interrupções das
Atividades do negócio e
proteger os
Processos críticos contra falhas
ou
Desastres, assegurando a
retomada em tempo hábil”.
“81% dos gestores cujas organizações ativaram os seus acordos de continuidade dos negócios nos últimos 12 meses disseram que isto foi eficaz na redução de paralisações. Em resumo: a continuidade dos negócios funciona." Secretariado de Contingências Cíveis, Gabinete do Governo citado em "Se preparando para o pior - The 2012 Business Continuity Management Survey”.
A Continuidade de Negócios trata do estudo de identificação dos
processos que dão “vida” a uma empresa, ou seja, aqueles mais
críticos e impactantes.
Esse estudo exige uma metodologia renomada e consultores
experientes, capazes de identificar o conteúdo principal dos
negócios e mapear ameaças e vulnerabilidades existentes. Após
uma Análise de Riscos ou uma Business Impact Analisys
(BIA), é feita a qualificação e a quantificação dos resultados que
refletem a realidade do ponto de vista de negócios da empresa.
O estudo prevê ainda o mapeamento de todos os componentes
que suportam estes processos de negócios e o
desenvolvimento de Planos de Contingência, Recuperação de
Desastres e Gerenciamento de Crises.
Em outras palavras, o estudo busca informar como os gestores
deverão proceder em caso de um incidente, ação por ação,
explicando o que fazer, quem deve fazer, quando fazer, como
fazer, quais são os pontos críticos e o tempo das ações para
uma recuperação dos servidores, dos aplicativos e dos bancos
de dados mais importantes e vitais para o negócio de uma
empresa.
• Para colocar um PCN em prática, é aconselhável uma boa
consultoria, com experiência e uma boa metodologia, seguindo as
recomendações da BS 25999-2, ISO 22301, BS-7799, da NBR
ISO 17799 e o DRI (Disaster Recovery Institute).
• Complexidade não é sinal de qualidade. Muitas vezes, as
metodologias mais simples e diretas apresentam resultados mais
satisfatórios.
• Ao ser desenvolvido, um PCN pode vir a justificar investimentos
em TI, bem com evitar investimentos em áreas desnecessárias e
que não causem impactos tão consideráveis.
Fase 1 – Planejamento
Fase inicial do Projeto, que vai da reunião da
equipe até o Workshop para formalização de
uma Empresa Virtual.
Fase 2 - Levantamento de Dados
Análise de documentação, inspeção física e
levantamento das Ameaças, Vulnerabilidades,
Impactos, Componentes, Eventos e demais
Critérios gerando o Relatório de Critérios.
Fase 3 - Análise de Impacto nos Negócios (BIA)
Nesta fase são aplicados os questionários cujos
resultados geram o Relatório de Criticidade, Relatório
de Inter-relacionamento e o Relatório BIA fornecendo o
custo do interrompimento dos processos de negócios
CRÍTICOS e VITAIS bem como o Custo da
Recuperação dos mesmos.
A BIA é feita buscando identificar os processos críticos
que apoiam o negócio da organização, e qual impacto
para o negócio caso as ameaças mapeadas venham a
se concretizar.
Calculo do Impacto
Impacto = (Relevância do Processo + Relevância do
Ativo) 2
Relevância do Processo: Quão importante é o
processo ao negócio da organização.
Relevância do Ativo: Importância do ativo no
processo de negócio da organização.
Fase 4 - Estratégia de Recuperação
São analisadas as estratégias de recuperação e continuidade que serão adotadas e a necessidade de existência ou não de um site alternativo. Neste momento é gerado o Relatório de Estratégias.
Fase 5 - Desenvolvimento dos Planos
Nesta fase, são executadas
as entrevistas de PAC, PCO
e PRD. Como resultado
serão descritos os Planos e
o Programa que integram o
PCN.
PAC – PROGRAMA DE ADMINISTRAÇÃO DE CRISE
Representa a garantia mais eficaz em termos de
administração em situações adversas. O PAC relaciona
o funcionamento das equipes (Recursos Humanos)
antes, durante e depois da ocorrência do evento.
Através deste Programa são definidas as ações no
período de retorno a normalidade.
PCO – PLANO DE CONTINUIDADE OPERACIONAL
É composto por um conjunto de procedimentos previamente
definidos, destinados a manter a continuidade dos processos e
serviços vitais de uma organização, considerando-se a ausência
de componentes que os suportem, devido à ocorrência de
eventos previamente identificados e definidos. Através do PCO,
os gestores dos processos de negócios saberão como agir na
falta ou falha de algum componente que o suporte, garantindo a
continuidade do processo de negócio reduzindo o impacto no
negócio da empresa.
PRD – PLANO DE RECUPERAÇÃO DE DESASTRES
Avalia a vulnerabilidade dos componentes que
suportam os seus Processos de Negócios críticos
diante de eventos, mapeando e planejando sua
recuperação / restauração de acordo com a sua
realidade. No PRD encontram-se detalhados ações
relativas a site alternativo visando a continuidade dos
negócios da empresa.
Uma das atividades mais importantes da gestão de
continuidade de negócios são os testes, através de testes é
possível mensurar e identificar a real eficácia do plano de
continuidade de negócios.
Os testes e simulações também possibilitam uma
manutenção e atualização adequada dos planos.
Os testes devem ter uma periodicidade mínima de seis
meses, buscando desvios ou procedimentos ineficientes no
plano.
Para um teste efetivo é necessário estabelecer um cenário de
testes e definir qual tipo de teste será possível realizar e qual irá
fornecer as evidências necessárias para uma auditoria.
Dentre os tipos de testes destacam os seguintes:
• STRUCTURED WALKTHROUGH
• TABLETOP
Veja a seguir a descrição dos tipos de testes citados acima.
STRUCTURED WALKTHROUGH
O tipo o mais básico de teste, ocorre em uma reunião
onde a finalidade principal é assegurar que o pessoal
crítico de todas as áreas está familiarizado com o PCN.
TABLETOP
É definido um cenário específico e executados os planos. Os
objetivos principais são praticar a interação da equipe, as
tomadas de decisão e habilidades para resolver o problema:
Functional Testing: É realizado para testar funções específicas,
geralmente voltados a teste de gerenciamento de crises e
execução de procedimentos que envolvam pessoas.
Full Scale: O tipo mais detalhado de teste. Com este teste, todo
o ou a maioria dos planos são postos em ação. Os objetivos
principais aqui são simular uma situação real de recuperação.
DRII'S PROFESSIONAL PRACTICES DOCUMENT
http://www.drii.org
THE BCI GUIDEhttp://www.thebci.org
Formado em Análise de Sistemas
Pós-Graduado em Auditoria em T.I.
Gerente de TI da CLIOC – Coleção de Leishmania do
Instituto Oswaldo Cruz – Fiocruz
Certificado em Gestão de Segurança da Informação e
Gerenciamento de T.I. pela Academia Latino-
Americana (Microsoft TechNet / Módulo Security)
Carlos Henrique M. da [email protected]