PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA DA...
Transcript of PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA DA...
PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
IMPLANTAÇÃO DA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E
DESENVOLVIMENTO DE PLANO DE CONTINUIDADE DE NEGÓCIOS
Paulo SilvaTracker Segurança da Informação
Roteiro – FASE 5
1. Revisão Ações, Procedimentos e Treinamento
2. Revisão Análise de Impacto de Negócio
3. Estratégias de Continuidade1. Estratégias de Prevenção
2. Estratégias de Recuperação
4. Preenchimento do Formulário de Estratégias
1.Revisão Ações, Procedimentos e Treinamento
Revisão
• Ações
• Procedimentos
• Treinamento e Avaliação
2. Revisão Análise de Impacto de Negócio
Visão Geral de PCN
PCN – ISO 27001• Objetivo:
– Não permitir a parada das atividade– Proteger os processos críticos– Assegurar a retomada em tempo hábil
• Garantir a recuperação a um nível aceitável:– Ações de prevenção e recuperação
Uma Proposta de Roteiro
• Etapa 1 – Análise do Impacto de Negócio
• Etapa 2 – Definir Estratégias
• Etapa 3 – Desenvolver os Planos– Plano Ação (Fase 6)
• Etapa 4 – Testes e Manutenção– Plano Ação (Fase 6)
Etapa 1 – Análise de Impacto• Estima os impactos financeiros,
operacionais ou de imagem, decorrentes de uma interrupção nos processos de negócio.
• Foco no negócio e não em tecnologia.
• Define o tempo de recuperação;
Revisão BIA
• Ver Roteiro-PCN-BIA.pdf
3. Estratégias de Continuidade de Negócio
Conceitos...
• Empresa depende de seus processos de negócio.
• Processos dependem de recursos.
Recursos podem falhar!!!
• Estratégias estão associadas a recursos.– “garantem” a contingência dos recursos
Uma Proposta de Roteiro
• Etapa 1 – Análise do Impacto de Negócio
• Etapa 2 – Definir Estratégias
• Etapa 3 – Desenvolver os Planos– Plano Ação (Fase 6)
• Etapa 4 – Testes e Manutenção– Plano Ação (Fase 6)
Etapa 2 – Definir Estratégias
• Para onde nós iremos?
• Com que pessoas poderemos contar?
• Com quais recursos poderemos contar?
• Quais investimentos serão necessários para viabilizar estes recursos e serviços?
Etapa 2 – Definir Estratégias
• Podem ser:
– Controles, procedimentos ou estratégias de PREVENÇÃO;
– Controles, procedimentos ou estratégias de RECUPERAÇÃO;
Estratégias de Prevenção
• Controles ou procedimentos mantidos rotineiramente;
• Que permitam a recuperação em caso de interrupção;
Estratégias de Prevenção
• Nobreaks \ geradores de energia;
• Componentes redundantes ativos;– Ex. Ar-condicionado
• Componentes redundantes inativos;– Ex. switches
Estratégias de Prevenção
• Componentes de software redundantes;– Ex. virtualização ou replicação arquivos
• “Ambientes completos” redundantes;– Cold site, hot site, etc;
• Documentação de sistemas, redes, configurações, etc;
Estratégias de Prevenção
• Sistema de supressão de incêndio;
• Detectores de fumaça e água;
• Execução periódica de backups;
• Contato e SLA com fornecedores;
Atividade 1 – Prevenção
• Conforme BIA, para os processos e recursos de sua cooperativas defina:
– Estratégias de prevenção já realizadas;
– Estratégias de prevenção desejáveis;
Obs: justifique a estratégia pelo impacto dos processos associados;
Estratégias de Recuperação
• Um plano pré-definido para recuperação da interrupção de determinado recurso.
• O plano deve definir:– Fase de Ativação;– Fase de Execução;– Fase de Reconstituição;
ISO 27001 – Estrutura do PCN
– Condição de ativação
– Procedimento de emergência • O que fazer logo após o incidente?
– Procedimento de recuperação• Como fazer para estabelecer a contingência?
– Procedimento para saída da contingência• Como restaurar a operação normal?
Fase de Ativação
• Definir claramente a condição que ativa uma contingência
• Definir um responsável pela ativação:– Comunicação dos envolvidos;– Avaliação dos danos;– Tomada de ações imediatas;– Ativação do estado de contingência;
Fase de Execução (Contingência)
• Executar o plano de recuperação conforme procedimento específico
• Fazer uso dos recursos de prevenção previamente definidos
• Estabilizar a operação contingente dentro do IMA previsto na BIA
Fase de Reconstituição
• Retorno para a operação ou reconstrução em caso de falha irrecuperável
• Envolve:– Reinstalação de hardware e software– Contato com fornecedores– Reconfiguração para saída do estado de
contingência
Atividade 2 – Recuperação
• Para uma estratégia já aplicada em sua cooperativa, defina:
– Fase de Ativação
– Fase de Execução (Contingência)
– Fase de Recuperação
Exemplo Físico
• Contingência para rede de computadores:– Ativação: Para de equipamento de rede;– Execução (1): substituir por equipamento
sobressalente;– Execução (2): desviar carga para outro
equipamento previamente preparado;– Reconstituição: substituir equipamento
danificado por outro permanente;
Exemplo Lógico• Contingência para Sistema de Informação:
– Ativação: Parada do sistema por mais de 10 minutos;
– Execução (1): restaurar cópia virtual do sistema e dados do backup em um servidor previamente definido;
– Execução (2): realizar procedimento em papel conforme plano pré-definido;
– Restauração: reativar de modo permanente o servidor original ou com mesma configuração;
Opções de Estratégias para Recuperação
Estratégias Gerais (1)
• Ativo / Backup– Usar recursos sobressalentes (realocação)
• Ativo / Ativo– Dois locais de operação “on-line”
• Localidade alternativa– Local de operação sobressalente– Pode operar parcialmente “para testes”
Estratégias Gerais (2)
• Tratamento manual temporário– “quebra galho”
• Operação em sistema alternativo;– Sem mudança física
• Mudança para ambiente alternativo;– Com mudança física
Estratégias Específicas
1. Sem estratégia;
2. Reconstrução;
3. Restauração;
4. Realocação;
5. Cold Site;
6. Warm Site;
7. Hot Site;
8. Espelhamento;
Estratégias Específicas
• Sem estratégia– Sem estratégia!!!
• Reconstrução:– Montar ambiente, hardware e software;– Restaurar os dados;
Estratégias Específicas
• Restauração:– Montar o ambiente e o hardware;– Restaurar o software e dos dados;
• Realocação:– “Chavear” o serviço para outro recurso;– Geralmente dentro do ambiente da própria
empresa;
Estratégias Específicas
• Cold Site:– Ambiente já existe;– Montar hardware, software;– Restaurar os dados;
• Warm Site: – Ambiente e hardware já existem;– Montar software;– Restaurar os dados;
Estratégias Específicas
• Hot Site: – Ambiente, hardware e software já existem;– Dados sincronizados ou restaurar;– Depende de chaveamento do administrador;
• Espelhamento: – ativação em tempo real;
Estratégias Específicas – Resumo
* Em caso de perda de ambiente
Estratégias Específicas – Resumo
Considerações Técnicas (sp800-34)
• Documentação da configuração de sistemas e da rede
• Documentação do desenvolvimento de softwares
• Uso de componentes padrão
• Uso de componentes interoperáveis
Considerações Técnicas (sp800-34)
• Backup de dados e aplicações
• Virtualização
• Implementar tolerância a falhas
• Implementar replicação de dados
Considerações Técnicas (sp800-34)
• Identificação de pontos únicos de falha
• Redundância de componentes críticos de hardware e software
• Fonte extra de energia
• Monitoramento de recursos críticos
Considerações Técnicas (sp800-34)
• Definição de SLAs com fornecedores
• Coordenação com suporte de TIC
• Coordenação com fornecedores
• Coordenação com equipe de resposta a incidentes
Atividade 3 – Definição Estratégia
• Selecione duas estratégias ainda não aplicadas em sua cooperativa e defina:
– Fase de Ativação
– Fase de Execução (Contingência)
– Fase de Recuperação
Depois das Estratégias...
Uma Proposta de Roteiro
• Etapa 1 – Análise do Impacto de Negócio
• Etapa 2 – Definir Estratégias
• Etapa 3 – Desenvolver os Planos– Plano Ação (Fase 6)
• Etapa 4 – Testes e Manutenção– Plano Ação (Fase 6)
Etapa 3 – Desenvolver os Planos
• Plano de Continuidade de Negócios:– Conjunto de procedimentos e documentação
de recursos para prevenção e recuperação
• Procedimentos para:– Entrada na contingência– Operação contingente– Saída da contingência
Etapa 3 – Desenvolver os Planos
Etapa 4 – Testes e Manutenção
• Verificar o que não funciona;
• Reforçar o comprometimento dos envolvidos;
• Verificar a capacidade de recuperar;
• Validar compatibilidade técnica;
• Identificar oportunidades de melhorias.
4. Preenchimento do Formulário de Estratégias
Atividade Final
• Copiar “processos” e “dependências” para a versão 2 da base de dados:
Atividade Final
• Imprimir o relatório da BIA:
Atividade Final
• Preencher os formulários de Estratégias:
Atividade Final
• Preencher os formulários de Recursos:
Roteiro – FASE 5
1. Revisão Ações, Procedimentos e Treinamento
2. Revisão Análise de Impacto de Negócio
3. Estratégias de Continuidade1. Estratégias de Prevenção
2. Estratégias de Recuperação
4. Preenchimento do Formulário de Estratégias
Próxima Reunião...
• Plano de Ação para Plano de Continuidade de Negócio:
– Determinar as ações necessárias para a implantação das estratégias definidas!!!
PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
IMPLANTAÇÃO DA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E
DESENVOLVIMENTO DE PLANO DE CONTINUIDADE DE NEGÓCIOS
Paulo SilvaTracker Segurança da Informação