ABNT NBR 15999-1 Gestão de Continuidade de Negócios - Parte 1 - Código de Prática
Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007
-
Upload
rogerio-araujo -
Category
Documents
-
view
20.165 -
download
7
Transcript of Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
GestãoGestão da da ContinuidadeContinuidade de Negde Negóócios e as cios e as NormasNormas ABNT NBR 15999ABNT NBR 15999‐‐1:2007 e 1:2007 e
BS 25999BS 25999‐‐2:20072:2007
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Termo de Isenção de Responsabilidade
A TI Safe, seus colaboradores e executivos, não se responsabilizam
pelo mal uso das informações aqui prestadas.
Aproveite esta apresentação para ampliar seus conhecimentos em
Segurança da Informação. Use com responsabilidade.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Sobre a TI Safe
• Missão
– Fornecer produtos e serviços de
qualidade para a Segurança da
Informação
• Visão
– Ser referência de excelência em
serviços de Segurança da
Informação
• Equipe técnica altamente qualificada
• Apoio de grandes marcas do mercado
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Não precisa copiar...
www.tisafe.com/ppt
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
AgendaAgenda
• Motivadores
• Importância das Normas
• ABNT NBR 15999‐1:2007 (BS 25999‐1:2006) – Gestão da Continuidade de Negócios – Código de Prática
• BS 25999‐2:2007 – Gestão da Continuidade de Negócios ‐ Especificação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
MotivadoresMotivadores
Os motivadores de um Processo de GCN são, basicamente:
Elementos de estratégia de negócio;
Regulamentações que exijam Contingência
Necessidade de sobreviver no mercado, mesmo em situação de crise
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
17/08/06 Caxias do Sul 17/08/06 Caxias do Sul -- GranizoGranizo
16/11/06 16/11/06 –– IncêndioIncêndio SadiaSadia ––ToledoToledo--PRPR
26/06/06 26/06/06 VazamentoVazamento de de GGááss inflaminflamáávelvel Marginal Marginal PinheirosPinheiros –– São PauloSão Paulo
24/05/06 24/05/06 –– PCC e PCC e conseqconseqüüenteentecaoscaos no no TrânsitoTrânsito de São Paulode São Paulo
30/11/06 - Chuva provoca 22 pontos dealagamento na cidade de SP
São Paulo – 08/03/07 -Manifestações Av. Paulita – Visita Bush
09/01/07 09/01/07 -- IncêndioIncêndio JustiJustiççaa Federal Federal -- Av. Av. PaulistaPaulista
07/01/07 – Desmoronamento causado pela chuva 12/01/07 – Acidente Metrô - SP
Onde se Aplica?Onde se Aplica?
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Historicamente:
– Incêndios– Furacões– Tornados– Terremotos– Inundações– Apagões
Hoje:
– Cybercrime e Queda no Serviço– AtaquesTerroristas– Invasão por equipamentos Wireless– Conectidade de parceiros de Negócios – Preocupação com Infra‐estrutura pública(telecom, aeroportos, entre outros)
– Proteção de Capital Humano (Epidemias)– Na Verdade: Qualquer coisa possível
Características:Estatísticamente previsto, quantificável, assegurável e compreensível;
Características:Intencional, difícil de quantificar, não hálimite de fronteiras para sua origem, nãohá como dimensionar a confiabilidade;
A mudanA mudançça das Ameaa das Ameaççasas
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
FrameworksFrameworks
ISO 27001, ISO 27002 (Cap. 14)
ITIL / ISO 20000 (6.3 Service continuity and availability management)
Cobit (DS4)
Coso (atendimento à regulamentações)
ISO 15408
Entre outros...
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
RegulamentaRegulamentaçções e Legislaões e Legislaççõesões
Segmento Financeiro
Resoluções Banco Central (SPB, 3380, 2554, 2817,..)
Exemplo: 3380 – Risco OperacionalArt. 3Art. 3ºº ‐‐ A estrutura de gerenciamento do risco A estrutura de gerenciamento do risco
operacional deve prever: operacional deve prever:
VI VI ‐‐ existência de plano de contingência contendo as existência de plano de contingência contendo as estratestratéégias a serem adotadas para assegurar gias a serem adotadas para assegurar condicondiçções de continuidade das atividades e para ões de continuidade das atividades e para limitar graves perdas decorrentes de risco limitar graves perdas decorrentes de risco operacional; operacional;
Basiléia II
BM&F/PQO
PCI/DSS
BITS
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
RegulamentaRegulamentaçções e Legislaões e Legislaççõesões
Mercado de Capitais
CVM, SEX/SOx
Segmento Telecom
CONTRATO DAS TELECOM’S
Seguros e Previdência
SUSEP, SPC/CGPC 13
TCU ‐Melhores Práticas em Segurança da Informação
Novo Código Civil
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Importância das NormasImportância das Normas
Por que um padrão?
Um consenso pleno de todas as partes interessadas, de forma não imposta (inclui governos, empresas, comércio, ONG's e profissionais das áreas) ;
Atualizado a um ciclo regular ;
As melhores práticas não são uma prática generalizada, embora aspirem...
Facilita processos de Auditoria e Certificação, caso necessários
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
ABNT NBR 15999ABNT NBR 15999‐‐1:2007 1:2007 –– CCóódigo de Prdigo de Prááticatica
Uma aproximação da gerência de risco à continuidade do negócio;
A continuidade do negócio é agora uma das discussões mais importantes do risco que concerne às organizações. Ter planos de continuidade do negócio significa não somente possuir cópias de segurança de sistemas de informação e equipamento da contingência ‐ é muito mais complexo:
Não é mais um modismo, mas parte integrante da gestão dos negócios;
Deve ser integrado através de todas as funções do negócio; Não é mais vista como especialidade de TI.
Uma aproximação da gerência de risco à continuidade do negócio;
A continuidade do negócio é agora uma das discussões mais importantes do risco que concerne às organizações. Ter planos de continuidade do negócio significa não somente possuir cópias de segurança de sistemas de informação e equipamento da contingência ‐ é muito mais complexo:
Não é mais um modismo, mas parte integrante da gestão dos negócios;
Deve ser integrado através de todas as funções do negócio; Não é mais vista como especialidade de TI.
A NBR 15999 é uma norma, orientada ao negócio, que visa subsidiar a
implementação de um SGCN ‐ Sistema de Gerenciamento da Continuidade de
Negócios.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
ABNT NBR 15999ABNT NBR 15999‐‐1:2007 1:2007 –– CCóódigo de Prdigo de Prááticatica
Estabelece o processo, os princípios e a terminologia da Gestão da Continuidade de Negócios (GCN).
Fornece uma base para entendimento, desenvolvimento e implementação da CN em uma organização.
Permite uma avaliação da capacidade de GCN de maneira consistente e reconhecida.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O que O que éé a GCN?a GCN?
Um processo da organização que estabelece uma estrutura estratégica e operacional adequada para:
Melhorar proativamente a resiliência da organização contra possíveis interrupções.
Prover uma prática para restabelecer a capacidade de fornecimento de produtos e serviços.
Obter reconhecida capacidade de gerenciar uma interrupção no negócio, protegendo marca e reputação.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Ciclo de Vida da GCNCiclo de Vida da GCN
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
NBR 15999 NBR 15999 –– Ciclo de VidaCiclo de Vida
• Gestão do Programa de GCN Atribuição de responsabilidades;Implementação da continuidade de negócios na organização;Gestão contínua da Continuidade de Negócios.
A participação da alta direção é fundamental para garantir que o processo de GCN seja corretamente introduzido, suportado e estabelecido como parte da cultura da organização.
Criação de uma Política de GCN.
Define‐se o Escopo da GCN
Gestão do
Programa de GCN
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
NBR 15999 NBR 15999 –– Ciclo de VidaCiclo de Vida
• Entendendo a Organização Análise de Impacto no Negócio (BIA):atividades críticas impactos;tempo objetivado de
recuperação;recursos necessários (pessoal,
ambiente, tecnologia).Avaliação de Riscos:
ameaças;vulnerabilidades;riscos.
Compreensão da organização por meio daidentificação de seus produtos e serviços fundamentais e das atividades críticas e dos recursos que a suportam.
Entendendo a Organização
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
NBR 15999 NBR 15999 –– Ciclo de VidaCiclo de Vida
• Definindo a Estratégia de Continuidade de Negócios
Opções:período máximo de
interrupção; custos de implementação da(s)
estratégia(s);conseqüências de não se agir.
Recursos a considerar:pessoas;instalações;tecnologia;informação;suprimentos;partes interessadas.
A organização estará numa posição apropriada para efetuar a escolha das estratégias de continuidade dos negócios apropriadas ao alcance de seus objetivos bem como a sua recuperação.
Determinando a Estratégia de
CN
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
NBR 15999 NBR 15999 –– Ciclo de VidaCiclo de Vida
• Desenvolvendo e Implementando uma resposta de GCN
Planos: Resposta a Incidentes;Gerenciamento de Incidentes;Continuidade de Negócios;Recuperação;Comunicação (mídia, partes
interessadas).
Conteúdo:Papéis e responsabilidades;Ativação;Contatos (internos e externos);Procedimentos (atividades); Recursos.
Desenvolvimento e implementação dos planos apropriados e dos preparativos realizados, de forma a garantir a continuidade das atividades críticas e o gerenciamento dos incidentes.
Desenvolvendo e
Implementando uma resposta
de GCN
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
NBR 15999 NBR 15999 –– Ciclo de VidaCiclo de Vida
• Testando, mantendo e analisando criticamente os preparativos de GCN
Programa de testes; Manutenção dos Preparativos:
Novos produtos, serviços, atividades dependentes, pessoas.
Análise crítica da capacidade de GCN da organização:
Política de GCN em conformidade com as leis, estratégias; Resultado de testes;Necessidades das partes
interessadas.Auditoria (interna ou externa ou auto‐avaliações)
Garante que os preparativos para a GCN da organização estejam validados por testes e análises críticas e que sejam mantidas atualizadas.
Testando, Mantendo e Analisando
criticamente os preparativos de
GCN
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
NBR 15999 NBR 15999 –– Ciclo de VidaCiclo de Vida
• Incluindo a GCN na cultura da organização
Conscientização:informativos;publicação intranet;CDD;visitas a instalações
alternativas;Treinamento:
execução de BIA;execução de AR;desenvolvimento de
planos;testes de planos.O desenvolvimento, promoção e
incorporação da cultura de GCN na organização garantem que a GCN se tornará parte dos valores básicos e da gestão da organização.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O GCN envolve toda a organizaO GCN envolve toda a organizaççãoão• A Gestão de Continuidade de Negócio (GCN) permite uma
compreensão mais clara de como a organização inteira trabalha podendo identificar oportunidades de melhoria.
Usuários
FornecedoresPares
Áreas de Negócios Administração
Técnicos
GCN - Gestão da Continuidade do
Negócio
Clientes
Regulamentação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
BS 25999BS 25999‐‐2:2007 2:2007 –– EspecificaEspecificaççãoão
Esta norma especifica os requisitos para estabelecer e gerenciar um SGCN eficaz definido por um programa de GCN.
Isso reforça a importância de:
Entender as necessidades de continuidade de negócios e de estabelecimento de uma política e objetivos para a continuidade de negócios;
Implementar e operar os controles e medidas para gerenciar de forma abrangente os riscos da continuidade de negócios da organização;
Monitorar e analisar criticamente a performance e eficácia do SGCN; e
Melhoria contínua baseada na medida dos objetivos.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
SGCNSGCNUm sistema de gerenciamento de continuidade de negócios, como qualquer outro sistema, tem os seguintes componentes chave:
Uma política;Pessoas com responsabilidades definidas;
Processos de gerenciamento relativos a:a. política;b. planejamento;c. implementação e operação;d. análise de performance;e. análise crítica do gerenciamento;f. melhorias;
Conjunto de documentação fornecendo evidências auditáveis; eProcessos de tópicos específicos relativos ao tema, no caso, continuidade de negócios, tais como Análise de Impacto nos Negócios (BIA) e desenvolvimento de plano de continuidade de negócios.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Estabelecer (Estabelecer (PlanPlan))
Estabelecendo e Gerenciando o SGCN
Definir os limites de um SGCN e garantir que os objetivos estão claramente definidos, entendidos e comunicados, o comprometimento demonstrado da alta direção com a GCN, recursos são alocados e aqueles com responsabilidades com a GCN são competentes para executar seus papéis.
Escopo GeralPolítica de GCNProvisão de RecursosHabilidades da equipe de GCN
Gestão do
Programa de GCN
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Estabelecer (Estabelecer (PlanPlan))
Incluindo a GCN na cultura da Organização
Garantir que a organização implante a continuidade de negócios dentro de suas operações de rotina e gestão de processos, independente do seu tamanho ou setor dentro do qual ela atua.
Documentação e Registros do SGCN
Fornecer clara evidência da operação eficaz doSGCN e a implementação da GCN na organização.
Documentação do SGCNControle de DocumentosProcedimentosControle dos registros do SGCNControle dos documentos do SGCN
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
ImplementaImplementaçção e Operaão e Operaçção (Do)ão (Do)
Entendendo a Organização
Permitir que a organização identifique as atividades críticas e recursos necessários para dar suporte aos principais produtos e serviços, entender suas ameaças e escolher o tratamento de risco adequado.
Análise de Impacto no Negócio (BIA)Análise (avaliação) de RiscosDeterminando Opções
Determinando a Estratégia de Continuidade de Negócios
Identificar os acordos de GCN que permitirão a organização recuperar suas atividades críticas dentro de seus tempos objetivados de recuperação.
Entendendo a Organização
Determinando a Estratégia de
CN
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
ImplementaImplementaçção e Operaão e Operaçção (Do)ão (Do)
Desenvolvendo e Implementando uma resposta de GCN
Permitir que a organização desenvolva e implemente acordos e planos apropriados de GCN para gerenciar qualquer incidente e continuar suas atividades críticas.
Considerações GeraisEstrutura de Resposta a IncidentesPlanos de Continuidade e Gerenciamento de Incidentes
Testando, Mantendo e Analisando Criticamente os Preparativos de GCN
Verificar a contínua eficácia das providências da GCN e dar maior garantia após um incidente de que as atividades críticas serão recuperadas como definido.
Testes (Exercícios) de GCNMantendo e Revisando os arranjos da GCN
Desenvolvendo e
Implementando uma resposta
de GCN
Testando, Mantendo e Analisando
criticamente os preparativos de
GCN
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Monitoramento e Revisão do SGCN (CHECK)Monitoramento e Revisão do SGCN (CHECK)
Monitoração e Análise Crítica do SGCN
Garantir que a monitoração do gerenciamento, eficiência e eficácia da análise crítica do SGCN seja conveniente para: a política de continuidade de negócios; os objetivos e o escopo; e, para determinar ações de correção e melhoria.
Auditoria InternaRevisão Gerencial (Análise Crítica):
Revisão de EntradasRevisão de Saídas
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
ManutenManutençção e Melhoria do SGCN (ACT)ão e Melhoria do SGCN (ACT)
Manutenção e Melhoria do SGCN
Manter e melhorar a eficiência e eficácia do SGCN através de ações corretivas e preventivas, quando determinado pela análise crítica do gerenciamento.
Ações Preventivas e CorretivasMelhoria Contínua
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
BS 25999 BS 25999 –– CertificaCertificaççãoão
BS 25999‐2: 2007
Gerenciamento da Continuidade de Negócios. Parte 2: Especificação; é a BS certificável.
Estabelece o SGCN – Sistema de Gerenciamento da Continuidade de Negócios
Modelo PDCA aplicado aos processos da GCN
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
BenefBenefíícios da Certificacios da Certificaçção na BS 25999ão na BS 25999
A certificação permite à companhia:
atrair e assegurar clientes, protegendo e realçando sua reputação e marca
demonstrar liderança do mercado;
criar vantagem competitiva;
desenvolver e manter as melhores práticas.
Abre novos mercados e ajuda a obter novos negócios;
Demonstra que as leis e regulamentos aplicáveis estão sendo observados;
Cria uma oportunidade para redução de encargos de auditorias internas e externas de GCN e pode reduzir prêmios de seguro sobre a interrupção do negócio.
A certificação permite à companhia:
atrair e assegurar clientes, protegendo e realçando sua reputação e marca
demonstrar liderança do mercado;
criar vantagem competitiva;
desenvolver e manter as melhores práticas.
Abre novos mercados e ajuda a obter novos negócios;
Demonstra que as leis e regulamentos aplicáveis estão sendo observados;
Cria uma oportunidade para redução de encargos de auditorias internas e externas de GCN e pode reduzir prêmios de seguro sobre a interrupção do negócio.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
http://www.saopaulo.sp.gov.br/sis/lenoticia.php?id=94006
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
http://www.bsi-global.com
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
ConclusõesConclusões
É um processo robusto
É praticado e testado
Pode ser validado
É a BS 25999 (NBR 15999)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Sua empresa estSua empresa estáá preparada?preparada?
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Os Os FatosFatos
Depois de um grande incidente quantasorganizações sem um plano:– Nunca reabrem?
– Reabrem mas fecham em 18 meses?
– Reabrem mas fecham em 5 anos?
– Sobrevivem?
Safetynet / Guardian IT
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Os Os FatosFatos
Depois de um grande incidente quantasorganizações sem um plano:– Nunca reabrem? 40%
– Reabrem mas fecham em 18 meses? 40%
– Reabrem mas fecham em 5 anos? 12%
– Sobrevivem? 8%
Safetynet / Guardian IT
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
““As As empresasempresas maismais bembemsucedidassucedidas sãosão aquelasaquelas quequesempresempre possuempossuem um um planoplano B.B.””
James Yorke, mathematician, on chaos theory in The New Scientist
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Participe do nosso fórum de segurança
• Acesse www.tisafe.com/forum e cadastre-se
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Contato
• Eletrônico– www.tisafe.com
– Skype: ti-safe (somente voz)
• Telefones– Rio de Janeiro: (21) 3005-4318 / (21) 2577-0658
– São Paulo: (11) 2122-4236
– Florianópolis: (48) 4062-0172
– Belo Horizonte: (31) 2626-4319
– Porto Alegre: (51) 2626-1253