CONTINUIDADE DE NEGÓCIOS - · PDF fileMinistério da Fazenda. Nosso...
Transcript of CONTINUIDADE DE NEGÓCIOS - · PDF fileMinistério da Fazenda. Nosso...
CONTINUIDADE DE NEGÓCIOS
PROCESSOS PARA IMPLEMENTAR UMA VISÃO PRÁTICA
Fórum Nacional – Segurança da Informação 08 e 09 de maio de 2014 – Brasília
Marcos Allemand [email protected]
Agenda
SERPRO – Visão geral Cenário atual Abordagem prática Gestão de continuidade de negócios Resiliência Considerações finais
Empresa pública vinculada ao Ministério da Fazenda.
Nosso negócio é a prestação de serviços em Tecnologia da Informação para o setor público. Desenvolvemos soluções que, além de contribuírem para a modernização e eficácia da Administração Pública, buscam estreitar a relação entre cidadãos e Governo.
A EMPRESA Visão geral
A EMPRESA
11 Regionais Brasília, Belém, Fortaleza, Recife, Salvador, Belo Horizonte, Rio de Janeiro, São Paulo, Curitiba, Florianópolis e Porto Alegre
26 Escritórios
Presença nacional
CENTRO DE DADOS
Utilização de tecnologias para contingência de recursos alocados aos serviços de missão crítica
Balanceamento de carga como instrumento de gestão de alta disponibilidade e desempenho
Redundância e contingência de ambientes de gerenciamento (hardware e software)
Espelhamento de dados, automação de processos de produção, monitoração e gerenciamento, além de salas cofres
3 Data Centers: SPO, BSB e RJO
2 Serviços - Mainframe (19.719MIPS)
Mais de 1.400 servidores de plataforma baixa (Risc, Cisc e Epic) entre máquinas físicas e virtuais
6 Fitotecas automatizadas com capacidade de 2 petabytes de armazenamento
1.353 petabytes de armazenamento (discos) sendo 945TB em SPO, 51TB em RJO e 357TB em BSB
12 bilhões de transações on-line processadas por ano
Múltiplos Bancos de Dados (Adabas, DB2, Oracle, SQL Server, My SQL, PostgreSQL, Lotus Notes, BRSearch, MS Accessm Sybase, INFORMIX, ZopePlone)
64.407 Microcomputadores
Outros serviços Housing Hosting Colocation
Centro de dados
LINHAS DE NEGÓCIO
Infraestrutura de última geração, com abrangência nacional
Transmissão e disponibilização de informações: dados, voz ou imagem, com segurança e Confiabilidade
Atendimento às necessidades do governo no relacionamento com o cidadão para o uso de seus sistemas de informação
Rede de comunicação
CLIENTES E SERVIÇOS Clientes e serviços
1965 1969
ARPANET
1970
PROTÓTIPO DE
COMP. PESSOAL
1970 1979 1975
MICROSOFT
1976
APPLE
1981
BITNET
1976
BBS
1981 1985 1984
CIBERESPAÇO
1988
CUCKOO’S EGG MORRIS WORM
CERT/CC
1992 1990 1989
HTTP
1993
MOSAIC
1994 1997 1995 1996
BS7799-1
PCCIP
2000 2001 2002 2003 1998 1999
BACK ORIFICE BS7799-2
MELISSA Y2K
LOVELETTER 9/11 (NY, WASH)
ENRON NIMDA
CODE RED
OECD
2004 2005 2007 2008 2009 2010 2011
BOTNET SASSER MADRID
ISO 27001 AGOBOT/SERPRO
LONDRES
ISO 27002 BS 15999 ESTONIA
CONFICKER WORM GEORGIA
CYBERSECURITY STRATEGY
NC (BR)
CIP -> CIR STUXNET
WIKILEAKS
BL
ACIDENTES ANORMAIS (IAN MITROFF)
ACIDENTES NORMAIS (CHARLES PERROW)
GLOBALIZAÇÃO – WWW – MUNDO INTERCONECTADO – MOBILIDADE – REDES SOCIAIS – COMPLEXIDADE DOS SISTEMAS – INTERDEPENDÊNCIA DE SISTEMAS – TERRORISMO - ...
Linha do tempo – evolução dos incidentes MICHELANGELO
2013
NSA-SPY SNOWDEN
SLAMMER
Riscos globais 2013 – WEF
Fonte: http://www3.weforum.org/docs/WEF_GlobalRisks_Report_2013.pdf
Principais cenários considerados
Fonte: Gartner Group – Improve your IT DRP and your ability to recover from disaster. Jun/2012
Infraestrutura Crítica do Brasil (IC) A IC abrange as instalações, serviços, bens e sistemas que, se forem
interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade;
Infraestrutura crítica de informações (ICI) Subconjunto de ativos de informação que afetam diretamente a
consecução e a continuidade da missão do Estado e a segurança da sociedade.
Consideram-se ativos de informação os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso.
Infraestrutura crítica no Brasil
Fonte: Portaria 34 de 5/8/2009 publicada no DOU n. 149/2009
SERPRO no contexto da IC
PROCESSO PRINCIPAL DE NEGÓCIO
SMC 1 SMC n SMC 2
SIS
TEM
A 1
SIS
TEM
A 2
SIS
TEM
A 3
SIS
TEM
A 4
SIS
TEM
A 5
SIS
TEM
A 6
SIS
TEM
A 8
SIS
TEM
A 9
...
...
HW / SW / INST.
GOVERNO CIDADÃO EMPRESA
AM
EA
ÇA
S
VU
LNE
RA
BIL
.
IMPA
CTO
S
RISCO
Sistemas Estruturantes
SIEM
Evento disparador
Acionamento dos Planos de Contingência
Limite do Plano de
Contingência
Pontos de inflexão no surgimento de uma Crise
Potencial para crise contido
Crise gerada
Espaço de problemas
Gestão de incidentes
Gestão de Continuidade de negócios
Gestão de crise
Operação do Centro de
Dados
Operação de rede
Monitoração de eventos
Monitoração e Controle [centro de comando ]
PROCESSO DE DESENV,
DE SISTEMAS CLIENTES PROCESSO PRODUTIVO
Requisiitos de sist: - Confidencialidade - Integidade - Disponibilidade - Monitoração - ...
R1
R2
SDLC
BIA + Planos Contin.
Ambiente de desenvolv.
PROCESSOS CORPORATIVOS
Gestão das Instalações
PROCESSOS SETORIAIS
CSIRT
SNOC ????
Visão integrada
• Gestão da segurança da informação
• Gestão de continuidade de negócios
• Abordagem com visão de processo
Abordagem prática
Processo de segurança
Processo de continuidade de negócios
Plano de Trabalho – PRD
Plano de Trabalho - Premissas
Revisão e aprovação da relação dos SMC pelas Unidades e Diretoria; Realização do BIA para os SMC, o que exigirá o envolvimento das
Unidades; Após a etapa de análise de vulnerabilidades alguns controles podem ser
exigidos. A implantação destes controles deve ficar sob a responsabilidade da respectiva Unidade;
Orientação da Diretoria referente a acordo de reciprocidade, contratação de serviço em centro de dados externo, uso apenas dos ambientes do SERPRO;
Conhecimento das mudanças significativas previstas na infraestrutura que possam causar impactos no resultado do projeto;
Os trabalhos serão orientados tendo como base a Norma Brasileira ABNT NBR 15999 – Gestão de Continuidade de Negócios;
Apoio da Diretoria considerando a necessidade de visão estratégica, abrangência, interdependência com os serviços produzidos e orçamento.
Conhecendo a organização - BIA
• Identificação dos SMC
• Suportam processos principais dos clientes
• Importante x Crítico • Infraestrutura que viabiliza a produção dos SMC
• Envolvimento das unidades de negócios
• Em 2008 – 44 SMC
• Centros de dados que produzem os SMC
• Adoção de medidas de redução de riscos
• Novo centro de dados (BSA)
Conhecendo a organização - RISCOS
Estratégia de continuidade
Geral
• SMC
• Níveis mínimos de produção • Centro de dados BSA e SPO
• Proteção dos dados fora da instalação principal
• Contratar solução e elaborar planos • Implantar e manter processo
Específica
• De acordo com especificidades do SMC
Processo de contratação
Projeto básico
• 17 PB (rede, centro de dados)
• Sala de replicação de dados
• Construção de sala (BSA) • Acordo de reciprocidade (SPO)
Recuperação de desastres
Estratégia de implementação
Fase 1 – replicação de dados dos SMC fora da instalação principal
Fase 2 – piloto – produção de 4 SMC na regional alternativa
Fase 3 – planos para os demais SMC
Implantação do processo (PSCN)
Situação atual
• Alta disponibilidade local implementada
• Arquitetura geral de DR implementada
• Dados dos SMC replicados fora da instalação principal
• Alguns SMC com DR implementados
• Processo implantado
• 80 SMC
Resiliência
Resiliência é a capacidade de:
• Mudar (adaptação, expansão, conformidade) quando uma força é aplicada;
• Funcionar adequadamente ou minimamente enquanto a força é efetiva; e,
• Retornar a um estado normal (esperado e pré-definido) quando a força se torna ineficaz ou é retirada.
Fonte: Caralli, R. Introducing the CERT Resiliency Engineering Framework: Improving the Security and Sustainability Process. Carnegie Mellon University, Software Engineering Institute, 2007
Engenharia de Resiliência
Fonte: Jackson, S. Architecting Resilient Systems – Accident avoidance and survival and recovery from disruptions. Wiley, 2009
Fonte: CERT-RMM (Resilient Management Model)
Resiliência Operacional
Considerações finais
• Necessidade de informações
• Complexidade do ambiente
• Sobrecarga das equipes
• Manutenção da solução (evolução)
• Resultados diretos e indiretos
• Cultura da organização