PLANO DE 1999-2008 CONTINUIDADE DE NEGÓCIOS ... · PDF fileserem tratadas para...

1

1

1999-2008

© Prof. Mário Sérgio Ribeiro

FÓRUM ABBC – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)

Prof. Mário Sérgio [email protected]

2

1999-2008



Mário Sérgio Ribeiro, 49 anos, engenheiro, professor universitário, pós-graduado em Computação. Especialista em Governança de TI, Segurança da Informação e Auditor Líder certificado na NBR ISO/IEC 27001:2005. São vinte e quatro anos de experiência em TI, sendo quatorze deles dedicado àSegurança da Informação e Governança de TI. Teve uma ótima passagem como CSO do Grupo Pão de Açúcar, onde foi o responsável pela criação da área de Security Office. Outras passagens de sucesso incluem a São Paulo Alpargatas e o Grupo ITAÚ. Atualmente é consultor executivo em projetos de segurança da informação e governança de TI para diversas instituições financeiras instaladas no país.

São mais de quinze anos de experiência acadêmica, tendo sido coordenador e docente do curso de pós-graduação do IPEN/USP em Segurança da Informação. Atualmente é professor titular do MBA da FIA/USP. Foi Diretor de Educação da ISACA - capítulo SP por três anos consecutivos, onde foi coordenador e instrutor do Curso Preparatório para as certificações internacionais CISA e CISM. Ministrou cursos de Governança de TI, Segurança da Informação, Auditoria e Compliance em todo o território nacional para mais de 1500 alunos. É palestrante em Governança de TI e Segurança da Informação em diversos Congressos Nacionais, entre eles o CNASI.

Defenderá em dezembro de 2008 no IPT/USP, para obtenção do título de Mestre em Engenharia da Computação, área de concentração Segurança, dissertação sobre o tema Prevenção de Fraudes

Computacionais.

Algumas das empresas que tiveram seus profissionais treinados pelo professor Mário Sérgio Ribeiro: Banco Central do Brasil, Banco do Brasil, Bradesco, Itaú, Unibanco, HSBC, Santander,

MorganStanley, Deutche Bank, JP Morgan, Banco do Estado de Santa Catarina, Banco do Estado

do Rio Grande do Sul, Banco de Desenvolvimento de Minas Gerais, Bolsa de Valores de SP,

Redecard, Petrobrás, Honda, Grupo Gerdau, Souza Cruz, Yamaha, Eletropaulo, Volkswagen,

Secretaria da Saúde e de Planejamento de MG.

2

3

1999-2008



AGENDA

(1) Resolução 3380 do BACEN

(2) Definindo o PCN

(3) Quais são os seus principais componentes

(4) Cuidados no desenvolvimento de um projeto de PCN

(5) Equipe, prioridades, prazos e investimento

(6) Discussão de dois casos

(7) Conclusões

4

1999-2008



1. RESOLUÇÃO 3380 BACEN

Itens de Importância da Resolução para o tema:

- Determinação pelo BC para implementar estrutura de

Gerenciamento de Risco Operacional

- Risco Operacional é: a possibilidade de ocorrência de perdas

resultantes de falha, deficiência ou inadequação de processos internos,

pessoas e sistemas, ou de eventos externos

- Entre os eventos de Risco Operacional, incluem-se:. Fraudes internas . Fraudes externas . Falhas em sistemas de TI

3

5

1999-2008



- A estrutura de Gerenciamento do Risco Operacional deve prever:

. Identificação, avaliação, monitoramento, controle e mitigação do riscooperacional

. Documentação e armazenamento de informações referentes às perdasassociadas ao risco operacional

. Realização, com periodicidade mínima anual, de testes de avaliação dossistemas de controle de riscos operacionais implementados

. Existência de Planos de Contingências contendo as estratégias a

serem tratadas para assegurar condições de continuidade das

atividades e para limitar graves perdas decorrentes de risco

operacional.. Elaboração e disseminação da política de gerenciamento de riscooperacional ao pessoal da instituição, em seus diversos níveis,estabelecendo papéis e responsabilidades, bem como as dos terceiros

6

1999-2008



- A estrutura de Gerenciamento do Risco Operacional deverá ser

implementada até 31 de dezembro de 2007, com a observância do

seguinte cronograma:

. Até 31 de dezembro de 2006: indicação do diretor responsável e definiçãoda estrutura organizacional que tornará efetiva a sua implementação

. Até 30 de junho de 2007: definição da política institucional, dosprocessos, dos procedimentos e dos sistemas necessários à suaefetiva implementação

. Até 31 de dezembro de 2007: efetiva implementação da estrutura degerenciamento do risco operacional.

4

7

1999-2008



- O BACEN poderá:

. Determinar a adoção de controles adicionais, nos casos de inadequaçãoou insuficiência dos controles do risco operacional implementados pelasinstituições

. Imputar limites operacionais mais restritivos à instituição que deixar deobservar, no prazo estabelecido, a determinação dessa resolução.

8

1999-2008



5

9

1999-2008



ESTAMOS FALANDO DE ACIDENTES? Eles Existem?

ACIDENTES SÃO PROVOCADOS?

ESTAMOS FALANDO DE AMEAÇAS? QUE TIPOS?

FALAMOS DE VULNERABILIDADES? QUE TIPOS?....

A PALAVRA QUE RESUME ISSO TUDO CHAMA-SE RISCO!

10

1999-2008



ELABORAMOS, TREINAMOS, TESTAMOS PLANO DE

CONTINUIDADE DE NEGÓCIOS PORQUE

RESPEITAMOS O RISCO!

6

11

1999-2008



RISCO = é a combinação das conseqüências advindas da ocorrência de umevento indesejado e da probabilidade da ocorrência do mesmo.

12

1999-2008



Identificação de Ameaças

Uma ameaça tem o potencial de comprometer ativos (tais como informações,processos, sistemas e instalações) e, por isso, também as organizações.Ameaças podem ser de origem natural (ambiental) ou humana e podem seracidentais ou intencionais.

As ameaças devem ser identificadas genericamente e por classe (por exemplo:ações não autorizadas, danos físicos, falhas técnicas) e, quando apropriado,ameaças específicas dentro das classes genéricas.

Experiências internas de incidentes e avaliações anteriores das ameaçasdevem ser consideradas em uma nova avaliação. Catálogos de ameaças eestatísticas são disponibilizados por organismos setoriais, governos nacionais,organismos legais, companhias de seguro, etc.

7

13

1999-2008



Tipo Ameaças Origem

FogoÁguaPoluiçãoAcidente graveDestruição de equipamento ou mídiaPoeira, corrosão, congelamentoFenômeno climáticoFenômeno sísmicoFenômeno meteorológicoInundaçãoFalha do ar condicionado ou do sistema de suprim de águaRadiação eletromagnéticaRadiação térmicaPulsos eletromagnéticosInterceptação de sinais de interferência comprometedoresEspionagem à distânciaEscuta não autorizadaFurto de mídia ou documentosFurto de equipamentosRecuperação de mídia reciclada ou descartadaDivulgação indevidaDados de fontes não confiáveisAlteração do hardware

Dano físico

Eventos Naturais

Paralisação de serviços essenciais

Comprometimento da informação

A, I, N

A, I, NA, I, NA, I, NA, I, NA, I, N

NNNN

A,I

A, I, N

IIIIII

A, I

I

A, I, N

A, I, N

A, I

Alteração do software A, I

14

1999-2008



Tipo Ameaças Origem

Falha de equipamentoDefeito de equipamentoSaturação do sistema de informaçãoDefeito de softwareViolação das condições de uso do sistema de informação que possibilitam sua manutençãoUso não autorizado de equipamentoCópia ilegal de softwareUso de cópias de software falsificadas ou ilegaisComprometimento e processamento ilegal dos dadosErro durante o usoAbuso de direitosForjamento de direitosIndisponibilidade de recursos humanos

Falhas Técnicas

Ações não autorizadas

Comprometimento de funções

A, I, N

A, I, NA, I, NA, I, N

A, I

II

A, II

A

I

A, I

A, I, N

Ameaças Típicas - continuação

8

15

1999-2008



Identificação das Vulnerabilidades

Vulnerabilidade: uma falha, uma fraqueza, uma debilidade em processos,tecnologias, instalações, em controles internos que podem ser exercitados(acidentalmente provocado ou intencionalmente explorado) por uma ameaça e poderesultar em impactos à empresa.

As vulnerabilidades podem ser identificadas nas seguintes áreas:

- Organização- Processos e procedimentos- Rotinas de gestão- Recursos humanos- Ambiente físico- Configuração do sistema de informação- Hardware, software ou equipamentos de comunicação- Dependência de entidades externas

16

1999-2008



Exemplos de Vulnerabilidades (anexo D – ISO/TR 13335)

9

17

1999-2008



Identificação dos Controles Existentes

O alvo desse passo é analisar os controles que tem sido implementado ou

estão planejados para implementação pela organização para minimizar ou

eliminar a probabilidade de uma ameaça(s) explorar vulnerabilidades. Além

disso, para se evitar custos e trabalhos desnecessários, por exemplo, na

duplicação de controles.

Enquanto os controles existentes estão sendo identificados, é importante que

seja realizada uma verificação para assegurar que eles estão funcionando

corretamente. Um controle que não funcione como esperado pode provocar o

surgimento de vulnerabilidades (ex.: dispositivos de gravação de imagem sem

manutenção).

18

1999-2008



Determinação de ProbabilidadesPara indicar a probabilidade que uma vulnerabilidade potencial pode ser

explorada pela(s) ameaça(s) associadas, alguns fatores podem ser

considerados:

• Uma lista de cenários de incidentes identificados como relevantes

• Identificação das ameaças desses incidentes

• Quais foram os ativos afetados

• Quais as vulnerabilidades exploradas e as conseqüências para os ativos e

processos de negócio

Além disso, é importante listar todos os controles existentes e planejados,

saber de sua eficácia, implementação e seu status de utilização.

10

19

1999-2008



Análise do Impacto

O impacto sobre o negócio da organização, que possa vir a ser causado por incidentes (possíveis ou reais) relacionados à SI, deve ser avaliado levando-seem conta as conseqüências de uma violação de SI, como a perda doconfidencialidade, integridade e disponibilidade (CID) dos ativos.

Outros dois itens devem ser considerados, além do impacto no CID:- O valor da reposição do ativo: custo da recuperação e da reposição da

informação (se for possível)- As conseqüências ao negócio relacionadas à perda ou ao

comprometimento do ativo (caráter empresarial, legal, regulatórias, divulgação indevida, modificação, indisponibilidade, destruição de informações)

20

1999-2008



Estimativa de Riscos

Uma metodologia para estimar os riscos pode ser qualitativa ou quantitativa ou

uma combinação de ambas. Na prática, a estimativa qualitativa é utilizada em

primeiro lugar para obter uma indicação geral do nível de risco e revelar os

grandes riscos. Isso ocorre porque é menos complexo e menos oneroso

realizar análises qualitativas do que quantitativas.

Depois pode se detalhar com a quantitativa, notadamente nos ativos e

ambientes mais críticos para a organização.

11

21

1999-2008



• Estimativa Qualitativa

A estimativa qualitativa utiliza uma escala com atributos qualificadores que

descrevem a magnitude dos impactos potenciais (p.ex.: baixo, médio e

alto) e a probabilidade de ameaças explorarem as vulnerabilidades presentes.

A estimativa qualitativa pode ser utilizada:

- Como uma verificação inicial a fim de identificar riscos que exigirão uma análise mais detalhada

- Quando esse tipo de análise é suficiente para a tomada de decisões

- Quando os dados numéricos ou recursos são insuficientes para uma estimativa quantitativa

22

1999-2008



• Estimativa Quantitativa

A estimativa quantitativa utiliza uma escala com valores numéricos tanto para

os impactos quanto para a probabilidade da ameaça, usando dados de

diversas fontes. A qualidade da análise depende da exatidão e da integridade

dos valores numéricos e da validade dos modelos utilizados.

A estimativa quantitativa, na maioria dos casos, utiliza dados históricos dos

incidentes.

12

23

1999-2008



ANÁLISE DE IMPACTO AO NEGÓCIO [do inglês – Business Impact Analisys (BIA)]

Entrevistas para o BIA são conduzidas para:

. identificar as funções e processos de negócios essenciais o

qual necessita reiniciar o mais cedo possível depois que um

desastre tenha ocorrido;

. estabelecer o quão cedo essas funções devem reiniciar

depois de um desastre ter ocorrido;

. Identificar os mínimos recursos necessários para que as

funções de negócios essenciais possam ser reiniciadas;

24

1999-2008



. planejada de maneira antecipada com os gerentes das várias

unidades de negócio, assegurando que todos os

entrevistados estão completamente instruídos do que se

espera deles.

- Informação obtida das entrevistas do BIA devem ser

registradas de uma forma consistente;

- Todas as planilhas devem ser comparadas para checar se o

impacto de uma função/processo de negócio paralisada

aparece em mais de um lugar. Quaisquer discrepâncias devem

ser resolvidas com os entrevistados;

13

25

1999-2008



- Todas as funções devem ser avaliadas para estabelecer:

. qual o impacto em outras UN´s poderá se ter se elas pararem;

. quão severo o impacto da função/processo parada, levando-

se em conta o impacto e o MTD;

26

1999-2008



Categorização de Funções e Processos de Negócios

É importante determinar uma categorização para funções e

processos de negócio para saber quem são os mais críticos e

quem são os menos críticos. Da mesma forma, também

categorizar os requerimentos do tempo para recuperação faz

parte da equação para se determinar o BIA. Vejamos:

- Categoria 1: Funções Críticas – Missão Crítica

- Categoria 2: Funções Essenciais – Vital

- Categoria 3: Funções Necessárias – Importante

- Categoria 4: Funções Desejáveis - Menor

14

27

1999-2008



Exemplo de uma Matriz de Funções e Processos de Negócios e Criticidade

_______________________________________________________________

FUNÇÃO DE NEGÓCIOS PROCESSO DE NEGÓCIO CRITICIDADE

_______________________________________________________________

Recursos Humanos Folha de Pagamento Missão-crítica

Checar antecedentes Importante

----------------------------------------------------------------------------------------------------------

Finanças Débitos pagamentos Vital

Recebimento de contas Missão-crítica

Pagamento de contas Missão-crítica

Arquivamento de impostos Missão-crítica

---------------------------------------------------------------------------------------------------------

Marketing e Vendas Vendas a clientes Missão-crítica

Análise histórica do cliente Vital

____________________________________________________________

28

1999-2008



Categorias de Impacto

O impacto de qualquer ruptura de negócios pode incluir:

1. Financeira: perda de faturamento, custos altos,

responsabilidades legais com multas.

2. Clientes e Fornecedores: em função do desastre, pode não

ser cumprido os acordos com os mesmos, e perdê-los.

3. Empregados: pode perdê-los por morte, ferimento, estresse

ou uma decisão particular após uma significativa ruptura.

4. Relações Públicas e Credibilidade: empresas que tem

sofrido rupturas em seus negócios e não estavam preparadas

para a situação, tiveram sérios problemas na sua credibilidade

em relação a opinião pública e clientes.

15

29

1999-2008



5. Legal: segurança e saúde do trabalhador considerando

regulamentações, privacidade de dados e segurança.

6. Exigências Regulatórias: a empresa pode ser incapaz em

encontrar as exigências regulatórias mínimas em um evento de

ruptura de negócios. Deve ser entendido completamente esses

regulamentos e seus requisitos relacionados com a ruptura dos

negócios.

7. Ambiental: algumas empresas podem enfrentar desafios

ambientais.

8. Operacional: operações são impactadas por qualquer ruptura

dos negócios. Elas devem ser identificadas e classificadas em

termos da criticidade.

30

1999-2008



9. Recursos Humanos: como o pessoal será impactado por uma

maior ou menor ruptura? Quais são as características

qualitativas a serem endereçadas (moral, confiança, etc.).

10. Exposição da Perda: quais tipos de perda a empresa

enfrentará? Isso inclui perda de propriedade, perda de

faturamento, recebimento de contas, pagamento de contas.

11. Imagem social e corporativa: como empregados, clientes,

fornecedores, parceiros e a comunidade verão a empresa?

Como a imagem será alterada?

16

31

1999-2008



Exigências do Tempo de Recuperação

Maximum Tolerable Downtime (MTD) – Trata-se do tempo máximo

que um negócio pode tolerar a ausência ou indisponibilidade de uma função de

negócio em particular. Diferentes funções de negócios terão diferentes MTDs.

O downtime consiste de dois elementos, o tempo de recuperação do sistema e

o tempo de recuperação do trabalho. Portanto, MTD = RTO + WRT

Recovery Time Objective (RTO) – É o tempo disponível para

recuperar sistemas e recursos de uma ruptura. É tipicamente um segmento do

MTD.

32

1999-2008



Por exemplo, se um processo de negócio crítico tem um MTD de três dias, o

RTO deve ser um dia. Esse é o tempo que você terá para instalar o backup

dos sistemas e rodá-lo. O remanescente dois dias será usado para o work

recovery, mostrado a seguir.

Work Recovery Time (WRT) – É o segundo segmento que compreende

o MTD. Se o seu MTD é três dias, um dia pode ser seu RTO e dois ou três dias

pode ser seu WRT. É o tempo que leva para copiar e rodar uma vez os

sistemas (hardware, software e configuração) a serem restaurados para as

funções de negócios críticas. Essa é uma área que alguns planejadores

negligenciam, especialmente os da área de TI.

17

33

1999-2008



Recovery Point Objective (RPO) – A quantidade ou a extensão de

perda de dados que pode ser tolerado por seus sistemas de negócios críticos.

Por exemplo, algumas empresas desenvolvem backup de dados em tempo

real, algumas desenvolvem por hora, outras por dia e outras semanalmente.

Se você desenvolve backups semanais , alguém tomou a decisão de que a

empresa pode tolerar a perda de um dado de valor de uma semana. Isso é o

RPO. Nesse caso, o RPO é uma semana.

O RPO é baseado em procedimentos operacionais atuais e sua estimativa do

que pode acontecer em um evento de ruptura nos negócios.

34

1999-2008



E A CONTINUIDADE DOS NEGÓCIOS,

COMO FICA? -�>>>

18

35

1999-2008



• Um Caso: WTC Towers (11set 2001)

Constatações:- Segurança Preventiva parcialmente eficiente;

- Pessoal orientado e treinado para emergências;

- Muitas empresas com PCN, porém somente alguns eram realmenteeficientes, testados e auditados.

- Consequências:- Embora graves, ainda possibilitou algumas ações defensivas;

- Muitas pessoas puderam ser salvas, havia organização;

- Empresas que tinham bons PCN´s puderam acioná-los e continuarseus negócios a partir de outras localidades.

36

1999-2008



Conclusões:

- Estimou-se que 50% das 550 empresas que lá existiam JAMAIS

serão reerguidas pois, sem PCN, não há quem possa remontar as

idéias, informações e mercados que se perderam;

- Algumas empresas possuíam CPD´s principal e backup em ambas

as torres e literalmente desapareceram no atentado;

- Duas empresas se destacaram como cases mundiais de

continuidade: Deutsche Bank e Morgan Stanley. Ambas tinham

boa parte de sua TI no complexo, porém em 4 horas já estavam

operando a 30% de sites alternativos e 24 horas depois a 60%.

Depois de 48 horas o incidente era transparente para seus clientes.

19

37

1999-2008



Então, O que vem a ser um PCN?É o planejamento para se recuperar de um desastre, com a

intenção para:

- gerenciar os riscos o qual pode resultar em eventos

desastrosos e deste modo minimizar a probabilidade de um

desastre ocorrer;

- reduzir o tempo que se leva para recuperar quando um

incidente ocorre; e

- minimizar os riscos envolvidos no processo de recuperação

pela construção de decisões críticas no avanço das

condições de puro estresse.

38

1999-2008



O QUE É UM DESASTRE?

Um desastre é um incidente ou evento o qual:

- ameaça pessoas, edificações ou a estrutura organizacional de

uma empresa; e

- exige medidas especiais para serem executadas para restaurar

as operações de volta ao estado normal.

Existem muitas causas possíveis de um desastre ou um evento

que provoque a ocorrência de uma ruptura. Algumas delas são:

- Fogo - Vandalismo

- Inundação - Falha de ar condicionado

- Tempestade - Perda de serviços essenciais

- Ameaça de bomba (energia, telefone)

20

39

1999-2008



Fonte: NIST

Seus Principais Componentes:

40

1999-2008



Focado em responder a segurança da informação em incidentes afetando sistemas e ou redes.

Fornece estratégias para detectar, responder e limitar conseqüências de um incidente malicioso.

Plano de Resposta ao Incidente

Endereça a comunicação com pessoal e público em geral; não focado em TI.

Fornece procedimentos para disseminar relatórios de posicionamento para o pessoal e público em geral.

Plano de Comunicação da Crise

Freqüentemente focado em TI; limitado para rupturas maiores com efeito de longo prazo

Fornece procedimentos detalhados para facilitar a recuperação das capacidades no site alternativo.

Plano de Recuperação do Desastre

Focado em pessoas e propriedade particular; não é baseado em processos de negócios e TI.

Fornece procedimentos coordenados para minimizar perda de vida ou ferimento e protegendo o dano a propriedade

Plano Emergencial

Endereça os sistemas e ativos de TI; não éfocado em processos de negócios.

Fornece procedimentos e capacidades para recuperar uma aplicação principal ou um sistema de suporte em geral.

Plano de Contingência de TI

Endereça o subconjunto das missões de uma organização que são julgados os mais críticos; usualmente escrito no nível do alto escalão; não focado em TI.

Fornece procedimentos e capacidades para sustentar as operações essenciais de uma organização, funções estratégicas, em um site alternativo pelo período superior a 30 dias(rec)

Plano de Continuidade Operacional (PCO)

Endereça os processos de negócios; não focado em TI; TI endereçada com base somente em seu suporte para os processos de negócios

Fornece procedimentos para recuperação das operações dos negócios imediatamente após um desastre

Plano de Recuperação dos Negócios (PRN)

Endereça os processos de negócios; TI endereçada com base somente em seu suporte para os processos de negócios

Fornece procedimentos para sustentar as operações essenciais dos negócios enquanto se recupera de uma ruptura significativa

Plano de Continuidade de Negócios (PCN)

ESCOPOPROPOSTAPLANO

21

41

1999-2008



CARACTERÍSTICAS DE UM PCN

O Planejamento da Continuidade de Negócios tem três

características complementares:

1. Redução do Risco: o gerenciamento dos riscos para se

prevenir de um desastre. Isso é realizado pela avaliação e

identificação dos riscos enfrentados por uma empresa e suas

premissas, o qual pode resultar em um desastre.

2. Plano de Emergência: o gerenciamento de crise de um

incidente quando ocorre (Controle de Incidente) para prevenir o

desenvolvimento de um desastre e a diminuição de seus

impactos.

42

1999-2008



3. Plano de Continuidade de Negócios (PCN): um plano para

ser ágil na efetiva reintegração das operações de negócios

essenciais e pelo direcionamento das ações de recuperação

pelos times de recuperação específicos.

Os três elementos para considerar é a continuidade de:

- tecnologia da informação. Serviços computacionais,

comunicações, etc.

- humanos e outros recursos. Assegurar que o staff:

. é consciente dos arranjos alternativos;

. possuem os recursos de que necessitam; e

. são produtivamente empregados.

- instalações físicas: mobília, artigos de escritório, etc.

22

43

1999-2008



As atividades chaves no PCN são para:

- Identificar quais operações e atividades de suporte necessitam

ser reiniciadas depois de um desastre, os limites de tempo

máximo aceitável pelo qual eles devam ser reiniciadas, e os

recursos necessários para restartá-las;

- Identificar contingências para os recursos exigidos;

- Selecionar uma estratégia de custo benefício para restaurar as

operações;

- Desenvolver o PCN para guiar e direcionar o reinício das

operações;

- Testar o PCN, treinar o staff em como usá-lo e revisioná-lo.

44

1999-2008



O Plano de Continuidade de Negócios

Se um PCN está corretamente construído e opera com sucesso,

ele deve envolver todos os níveis de gerência e deve

compreender:

- Ação para ser tomada na seqüência de um desastre;

- Staff responsável para tarefas específicas;

- Sistemas e operações essenciais;

- Ações exigidas para reiniciar as operações;

- Arranjos para o processamento de dados na emergência;

- Exigências do backup off-site;

- Exigências de fornecimentos; e

- Manter staff e outros informados sobre a organização.

23

45

1999-2008



• Objetivos do PCN

• Avaliar os Riscos• Avaliar os Recursos Críticos

• Analisar o Custo da Parada dos PN e da Recuperação dos Ativos

• Definir Estratégias de Recuperação e Continuidade• Identificar os diferentes tipos de Impactos• Possibilitar a Continuidade de Negócios

• Minimizar Perdas Diversas (Risco Calculado)

46

1999-2008



• CICLO DE VIDA DO PCN______________________________

• Medidas Preventivas de Segurança• Mapeamento do Negócio• Análise de Impacto• Estratégias• Documentação• Testes/Simulações

24

47

1999-2008



FASES DE UM PCN

� PLANEJAMENTO

- Conhecer em detalhes o negócio da organização (doc de PLE, BP,

Workflow, Organograma, Gestores, etc.)

- Realizar uma inspeção física pela organização e, atentar

prinicipalmente, pelas UN´s onde se localizam os processos críticos

- Anotar o que estiver em não conformidade com as normas de

segurança da informação, patrimonial, etc.

- Realizar entrevistas iniciais com os Gestores (começando pelas UN´s

com processos críticos, não críticos e pelos de apoio)

48

1999-2008



� PLANEJAMENTO (cont.)

- Preparar um draft para cada UN com seus processos, destacando

as vulnerabilidades encontradas, ameaças que podem explorá-las

e possíveis impactos.

� DESENVOLVIMENTO

- Realizar a Análise de Risco e o BIA

- Realizar reuniões finais com Gestores

- Criar o Comitê de Gestão da Continuidade de Negócios� Definição de Estratégias, Recursos e Custos

25

49

1999-2008



� PLANOS E PROGRAMAS- Definição de Procedimentos, Estratégia dos Times,Estrutura dos Planos (contingência operacional,recuperação de desastres), do Programa deAdministração da Crise e Acompanhamento

� TESTES E SIMULAÇÕES- Planejamento dos testes, instrução pré-teste,

execução e correções

50

1999-2008



PCN = PAC + PCO + PRD_____________________________

- PAC = Programa de Administração de Criseé acionado após decretada a Crise, e é voltado para todo o processo. Tem seu término quando se volta ao normal.

- PCO = Plano de Continuidade Operacionalé acionado após os primeiros procedimentos do PAC, e évoltado para os processos de negócio.

- PRD = Plano de Recuperação de Desastresé acionado junto com o PCO, e é focado narecuperação/restauração de componentes que suportam osPN.

26

51

1999-2008



EQUIPE, PRIORIDADES, PRAZO, INVESTIMENTO

- Equipe própria para elaborar o PCN?

- Contratar uma consultoria?

- Utilizar “coach” para realizar o trabalho?

Qual a melhor estratégia?

52

1999-2008



EQUIPE, PRIORIDADES, PRAZO, INVESTIMENTO (cont.)

- Se eu tiver vários sites, quais são minhas prioridades com

relação ao PCN? Por qual começo, em caso de budget

restrito?

- Qual o prazo para ter um PCN totalmente pronto?

- Qual o investimento na sua elaboração?

27

53

1999-2008



OBRIGADO!

PLANO DE 1999-2008 CONTINUIDADE DE NEGÓCIOS ... · PDF fileserem tratadas para...

Documents

Transcript of PLANO DE 1999-2008 CONTINUIDADE DE NEGÓCIOS ... · PDF fileserem tratadas para...