PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA DA...

PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO

IMPLANTAÇÃO DA

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E

DESENVOLVIMENTO DE PLANO DE CONTINUIDADE DE NEGÓCIOS

Paulo SilvaTracker Segurança da Informação

[email protected]

Roteiro – FASE 5

1. Revisão Ações, Procedimentos e Treinamento

2. Revisão Análise de Impacto de Negócio

3. Estratégias de Continuidade1. Estratégias de Prevenção

2. Estratégias de Recuperação

4. Preenchimento do Formulário de Estratégias

1.Revisão Ações, Procedimentos e Treinamento

Revisão

• Ações

• Procedimentos

• Treinamento e Avaliação

Visão Geral de PCN

PCN – ISO 27001• Objetivo:

– Não permitir a parada das atividade– Proteger os processos críticos– Assegurar a retomada em tempo hábil

• Garantir a recuperação a um nível aceitável:– Ações de prevenção e recuperação

Uma Proposta de Roteiro

• Etapa 1 – Análise do Impacto de Negócio

• Etapa 2 – Definir Estratégias

• Etapa 3 – Desenvolver os Planos– Plano Ação (Fase 6)

• Etapa 4 – Testes e Manutenção– Plano Ação (Fase 6)

Etapa 1 – Análise de Impacto• Estima os impactos financeiros,

operacionais ou de imagem, decorrentes de uma interrupção nos processos de negócio.

• Foco no negócio e não em tecnologia.

• Define o tempo de recuperação;

Revisão BIA

• Ver Roteiro-PCN-BIA.pdf

3. Estratégias de Continuidade de Negócio

Conceitos...

• Empresa depende de seus processos de negócio.

• Processos dependem de recursos.

Recursos podem falhar!!!

• Estratégias estão associadas a recursos.– “garantem” a contingência dos recursos

Etapa 2 – Definir Estratégias

• Para onde nós iremos?

• Com que pessoas poderemos contar?

• Com quais recursos poderemos contar?

• Quais investimentos serão necessários para viabilizar estes recursos e serviços?

Etapa 2 – Definir Estratégias

• Podem ser:

– Controles, procedimentos ou estratégias de PREVENÇÃO;

– Controles, procedimentos ou estratégias de RECUPERAÇÃO;

Estratégias de Prevenção

• Controles ou procedimentos mantidos rotineiramente;

• Que permitam a recuperação em caso de interrupção;


• Nobreaks \ geradores de energia;

• Componentes redundantes ativos;– Ex. Ar-condicionado

• Componentes redundantes inativos;– Ex. switches


• Componentes de software redundantes;– Ex. virtualização ou replicação arquivos

• “Ambientes completos” redundantes;– Cold site, hot site, etc;

• Documentação de sistemas, redes, configurações, etc;


• Sistema de supressão de incêndio;

• Detectores de fumaça e água;

• Execução periódica de backups;

• Contato e SLA com fornecedores;

Atividade 1 – Prevenção

• Conforme BIA, para os processos e recursos de sua cooperativas defina:

– Estratégias de prevenção já realizadas;

– Estratégias de prevenção desejáveis;

Obs: justifique a estratégia pelo impacto dos processos associados;

Estratégias de Recuperação

• Um plano pré-definido para recuperação da interrupção de determinado recurso.

• O plano deve definir:– Fase de Ativação;– Fase de Execução;– Fase de Reconstituição;

ISO 27001 – Estrutura do PCN

– Condição de ativação

– Procedimento de emergência • O que fazer logo após o incidente?

– Procedimento de recuperação• Como fazer para estabelecer a contingência?

– Procedimento para saída da contingência• Como restaurar a operação normal?

Fase de Ativação

• Definir claramente a condição que ativa uma contingência

• Definir um responsável pela ativação:– Comunicação dos envolvidos;– Avaliação dos danos;– Tomada de ações imediatas;– Ativação do estado de contingência;

Fase de Execução (Contingência)

• Executar o plano de recuperação conforme procedimento específico

• Fazer uso dos recursos de prevenção previamente definidos

• Estabilizar a operação contingente dentro do IMA previsto na BIA

Fase de Reconstituição

• Retorno para a operação ou reconstrução em caso de falha irrecuperável

• Envolve:– Reinstalação de hardware e software– Contato com fornecedores– Reconfiguração para saída do estado de

contingência

Atividade 2 – Recuperação

• Para uma estratégia já aplicada em sua cooperativa, defina:

– Fase de Ativação

– Fase de Execução (Contingência)

– Fase de Recuperação

Exemplo Físico

• Contingência para rede de computadores:– Ativação: Para de equipamento de rede;– Execução (1): substituir por equipamento

sobressalente;– Execução (2): desviar carga para outro

equipamento previamente preparado;– Reconstituição: substituir equipamento

danificado por outro permanente;

Exemplo Lógico• Contingência para Sistema de Informação:

– Ativação: Parada do sistema por mais de 10 minutos;

– Execução (1): restaurar cópia virtual do sistema e dados do backup em um servidor previamente definido;

– Execução (2): realizar procedimento em papel conforme plano pré-definido;

– Restauração: reativar de modo permanente o servidor original ou com mesma configuração;

Opções de Estratégias para Recuperação

Estratégias Gerais (1)

• Ativo / Backup– Usar recursos sobressalentes (realocação)

• Ativo / Ativo– Dois locais de operação “on-line”

• Localidade alternativa– Local de operação sobressalente– Pode operar parcialmente “para testes”

Estratégias Gerais (2)

• Tratamento manual temporário– “quebra galho”

• Operação em sistema alternativo;– Sem mudança física

• Mudança para ambiente alternativo;– Com mudança física

Estratégias Específicas

1. Sem estratégia;

2. Reconstrução;

3. Restauração;

4. Realocação;

5. Cold Site;

6. Warm Site;

7. Hot Site;

8. Espelhamento;


• Sem estratégia– Sem estratégia!!!

• Reconstrução:– Montar ambiente, hardware e software;– Restaurar os dados;


• Restauração:– Montar o ambiente e o hardware;– Restaurar o software e dos dados;

• Realocação:– “Chavear” o serviço para outro recurso;– Geralmente dentro do ambiente da própria

empresa;


• Cold Site:– Ambiente já existe;– Montar hardware, software;– Restaurar os dados;

• Warm Site: – Ambiente e hardware já existem;– Montar software;– Restaurar os dados;


• Hot Site: – Ambiente, hardware e software já existem;– Dados sincronizados ou restaurar;– Depende de chaveamento do administrador;

• Espelhamento: – ativação em tempo real;

Estratégias Específicas – Resumo

* Em caso de perda de ambiente

Estratégias Específicas – Resumo

Considerações Técnicas (sp800-34)

• Documentação da configuração de sistemas e da rede

• Documentação do desenvolvimento de softwares

• Uso de componentes padrão

• Uso de componentes interoperáveis


• Backup de dados e aplicações

• Virtualização

• Implementar tolerância a falhas

• Implementar replicação de dados


• Identificação de pontos únicos de falha

• Redundância de componentes críticos de hardware e software

• Fonte extra de energia

• Monitoramento de recursos críticos


• Definição de SLAs com fornecedores

• Coordenação com suporte de TIC

• Coordenação com fornecedores

• Coordenação com equipe de resposta a incidentes

Atividade 3 – Definição Estratégia

• Selecione duas estratégias ainda não aplicadas em sua cooperativa e defina:

– Fase de Ativação

– Fase de Execução (Contingência)

– Fase de Recuperação

Depois das Estratégias...

Etapa 3 – Desenvolver os Planos

• Plano de Continuidade de Negócios:– Conjunto de procedimentos e documentação

de recursos para prevenção e recuperação

• Procedimentos para:– Entrada na contingência– Operação contingente– Saída da contingência

Etapa 3 – Desenvolver os Planos

Etapa 4 – Testes e Manutenção

• Verificar o que não funciona;

• Reforçar o comprometimento dos envolvidos;

• Verificar a capacidade de recuperar;

• Validar compatibilidade técnica;

• Identificar oportunidades de melhorias.

Atividade Final

• Copiar “processos” e “dependências” para a versão 2 da base de dados:

Atividade Final

• Imprimir o relatório da BIA:

Atividade Final

• Preencher os formulários de Estratégias:

Atividade Final

• Preencher os formulários de Recursos:

Roteiro – FASE 5

1. Revisão Ações, Procedimentos e Treinamento


3. Estratégias de Continuidade1. Estratégias de Prevenção

2. Estratégias de Recuperação


Próxima Reunião...

• Plano de Ação para Plano de Continuidade de Negócio:

– Determinar as ações necessárias para a implantação das estratégias definidas!!!

PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO

IMPLANTAÇÃO DA

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E

DESENVOLVIMENTO DE PLANO DE CONTINUIDADE DE NEGÓCIOS

Paulo SilvaTracker Segurança da Informação

[email protected]

PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA DA...

Documents

Transcript of PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA DA...