2.1 gerenciamento da continuidade do negócio
TRANSCRIPT
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 1/23
1
Gerenciamento da
Continuidade do Negócio
Prof. Erick Alves [email protected]
2
Roteiro
• Motivação
• Gerenciamento da Continuidade doNegócio (GCN) com ABNT NBR 15999
• Atividade em grupo (Gerenciamento daContinuidade dos Serviços de TI com a
PAS 77)
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 2/23
2
3
4
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 3/23
3
5
Fatos
• Depois de um desastre, quantasorganizações sem um plano:
– Nunca reabrem?
– Reabrem mas fecham em 18 meses?
– Reabrem mas fecham em 5 anos?
– Sobrevivem?
40%
40%
12%8%
Fonte: Safetynet / Guardian IT
6
Fonte: Patrick Wood, Business Continuity Management, Chartered Management Institute, England, 2006.
Ocorrência deinterrupção deserviço no anoanterior.
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 4/23
4
7
Sistema Não Resiliente
8
Sistemas Resilientes x Não Resilientes
• Um sistema resiliente é aquele capaz deresistir a pressões.
• O termo é emprestado da física, na qual aresiliência é uma característica dos
materiais que não se deformam ao sofrerpressão.
• Importante para pessoas, empresas epaíses.
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 5/23
5
9
Sistema Resiliente
Uma área em crescimento...
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 6/23
6
11
12
Associações Profissionais de GC
• Business Continuity Institute(www.thebci.org)
• DRI International (www.drii.org)
• BCM Institute (www.bcm-institute.org)
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 7/23
7
13
Certificações para Profissionais
• Certified Business Continuity Professional – CBCP, do DRI International.
• BCI Member – MBCI, do BusinessContinuity Institute.
14
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 8/23
8
15
Evolução dos Padrões
15999-2599956Business ContinuityManagement
2007
--2577777IT Service ContinuityManagement
2008
200002000015000-IT Service
Management
2002
14001140017750-Environmentalmanagemet
1992
900190015750-Quality Managment1979
ABNTISOBSPASAssuntoAno
16
Certificação BS 25999 no Mundo
• Duas empresas inglesasforam as primeirascertificadas em BS25999-2 no mundo, emnovembro de 2007:
– Sunguard AvailabilityServiceswww.sungard.co.uk
– TDG Supply ChainManagementwww.tdg.eu.com
Fonte: http://www.continuitycentral.com/news03615.htm
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 9/23
9
17
Certificação BS 25999 no Brasil
• Primeiro banco no
mundo a obter acertificação BS25999 em fevereiro
de 2008, com apoioda consultoria
Módulo.
Fonte: Banco Nossa Caixa S.A. – Relatório Trimestral de Resultados 1T08Fonte: http://www.baguete.com.br/noticiasDetalhes.php?id=24629
18
Definição de GCN
• Gerenciamento da Continuidade do Negócio(GCN) é um processo da organização queestabelece uma estrutura estratégica eoperacional adequada para: – Melhorar proativamente a resiliência da
organização.
– Prover uma prática para restabelecer a capacidade
de uma organização fornecer seus principaisprodutos e serviços, em um nível previamenteacordado, dentro de um tempo previamentedeterminado após uma interrupção.
– Obter reconhecida capacidade de gerenciar umainterrupção do negócio, de forma a proteger a marcae reputação da empresa.
Fonte: ABNT NBR 15999-1:2007
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 10/23
10
19
RPO e RTO
Fonte: Secure Business Continuity: Strategies for Business Continuity Management andDisaster Recovery – Symantec Yellow Books
(Ponto de Recuperação Objetivado) (Tempo de Recuperação Objetivado)
20
Fonte: Secure Business Continuity: Strategies for Business Continuity Management andDisaster Recovery – Symantec Yellow Books
Investimento x RTO
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 11/23
11
21
Política de GCN
• Deve contemplar:
– Definição do escopo do GCN dentro da organização.
– Alocação de recursos para GCN.
– Definição dos princípios, guias e políticas queprecisam ser incluídos ou podem ser utilizados comoreferência.
– Referência a normas pertinentes, regulamentos oupolíticas que tenham que ser incluídos ou possam serusados como referência.
22
As 6 Etapas do GCN
Fonte: ABNT NBR 15999-1:2007
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 12/23
12
23
1. Gestão do Programa de GCN
• Três passos:
– Atribuição deresponsabilidades.
– Implementação dacontinuidade denegócios na
organização. – A gestão contínua da
continuidade donegócio.
24
2. Entendendo a organização
• Identificar os objetivos daorganização.
• Identificar atividades quedão suporte à entregadesses produtos.
• Avaliar impacto de falhadessas atividades.
• Identificar ameaças quepossam interromper
essas atividades.
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 13/23
13
25
Análise de Impacto no Negócio - BIA
• Documenta o impacto de uma interrupção nasatividades que geram seus produtos e serviçosfundamentais.
• Para cada atividade que suporta a entrega dosprodutos e serviços fundamentais: – Verificar, com o passar do tempo, o impacto que
aconteceria caso a atividade fosse interrompida. – Estabelecer o período máximo de interrupção
tolerável em cada atividade.
• Atividades críticas : atividades cuja perda teriammaior impacto no menor tempo.
26
Análise de Impacto no Negócio - BIA
• Impactos relacionados aos objetivos de negócio
e às partes interessadas:
– Comprometimento do bem-estar das pessoas.
– Dano ou perda de instalações, tecnologias ouinformação.
– Não cumprimento de deveres ou regulamentações.
– Danos à reputação.
– Danos à viabilidade financeira.
– Deterioração da qualidade de produtos e serviços.
– Danos ambientais.
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 14/23
14
27
Análise de Risco - RA
• Deve conter: – Definição dos critérios de aceitação de riscos.
– Definição dos níveis aceitáveis de riscos.
– Análise dos riscos
• Ameaças: eventos que possam causar
impacto aos recursos.• Vulnerabilidades: fraquezas nos recursos.
• Impactos podem resultar da exploração devulnerabilidades pelas ameaças.
28
Processo, Atividades, Atividade Crítica,
Vulnerabilidades, Ameaças
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 15/23
15
29
Resultado da BIA e RA
• São identificadas medidas que:
– Reduzem a chance de interrupção.
– Reduzem o período de interrupção.
– Limitem o impacto da interrupção.
30
3. Determinando a estratégia
de continuidade do negócio
• A escolha da estratégiade GCN permite queopções de respostasejam avaliadas paracada serviço de maneiraque:
– O nível do serviço sejaaceitável.
– Em uma quantidade detempo aceitável.
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 16/23
16
31
Operação Manual
“Nossos sistemas estão fora do ar,tivemos que fazer tudo manualmente...”
32
4. Desenvolvendo e implementando
uma resposta de GCN
• Resulta na criação deuma estrutura de gestãoe de gerenciamento deincidentes, continuidadede negócios erecuperação.
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 17/23
17
33
Plano de Gerenciamento de Incidente - PGI
• Seu propósito é gerenciar a fase inicial (crítica)de um incidente.
• Deve se basear na BIA e RA.
• Define a comunicação com a mídia (ex: minutade declaração à imprensa).
• Define o local a partir do qual o incidente será
gerenciado (ex: sala, quarto de hotel...),dispondo de meios de comunicação adequados(ex: telefone, fax, acesso à Internet...)
• Anexos úteis, como mapas, tabelas, plantas,diagramas, fotografias...
34
Plano de Continuidade de Negócio – PCN
• Seu propósito é permitir que aorganização recupere ou mantenha suasatividades em caso de uma interrupçãodas operações normais de negócio.
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 18/23
18
35
PGI e PCN
• Todo plano deve conter:
– Objetivo e escopo
– Papéis e responsabilidades
– Regra de ativação do plano
– Proprietário e mantenedor do documento
– Formas de contato (ex: celular, pager...)
36
Linha do Tempo do Desastre
Fonte: ABNT NBR 15999-1:2007
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 19/23
19
37
5. Testando, mantendo e analisandoos preparativos de GCN
• Garante que ospreparativos de GCNestejam validados portestes e análises críticase que sejam mantidosatualizados.
38
Benefícios dos Testes
• Exercitar a capacidade da organização dese recuperar de um incidente.
• Validar a efetividade dos planos.
• Aperfeiçoar os planos.
• Treinar as equipes.
• Divulgar a GCN para a organização epartes interessadas.
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 20/23
20
39
6. Incluindo a GCN nacultura da organização
• A continuidade denegócio precisa se tornarparte da gestão daorganização, dos valoresbásicos da organização.
40
Conscientização
• Uma iniciativa de conscientização deve incluir:
– Um processo de consulta sobre a implementação deGCN.
– Discutir GCN nos informativos, apresentações,reportes diários.
– Inclusão de GCN na intranet.
– Discussão de incidentes internos e externos.
– GCN como um tópico nas reuniões de equipe.
– Visitas aos locais de recuperação.
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 21/23
21
41
Benefícios
• Redução do número de desastres.
• Redução do impacto produzido pelos desastres.
• Redução do tempo de indisponibilidadeprovocado pelos desastres.
• Maior previsibilidade na recuperação dosdesastres.
• Redução do prêmio pago pelos seguros.
• Aumento da credibilidade da empresa, melhorada imagem.
42
Pesquisa sobre Impacto de Desastres nas
Empresas
• Pesquisou a influência de grandes desastres nopreço das ações.
• Conclusões: – Descobriu dois tipos de empresas: as
“recuperadoras ” e as “não recuperadoras ”. – As recuperadoras tinham o preço das ações
aumentado em 5% depois de um ano. As nãorecuperadoras reduziam 15% no mesmo período.
– O mercado reavalia as empresas depois de umdesastre. Se a empresa souber lidar com a crise, ovalor de mercado sobe, caso contrário, desce.
– Oportunidade para os executivos mostrarem suashabilidades em situações extremas.
Fonte: Rory R. Knight, Deborah J. Pretty, The Impact of Catastrophes on Shareholder Value .
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 22/23
22
43
Padrões Relacionados com GCN
• ABNT NBR 15999-1 Gestão de continuidade de negócios – Parte 1:Código de prática (tradução da BS 25999-1).
• BS 25999-1 Business continuity management – Part 1 Code ofpractice (Inglaterra).
• BS 25999-2 Business continuity management – Part 2 Specification(Inglaterra).
• SS 507 Singapore Standard for Business Continuity/DisasterRecovery (BC/DR) service providers (Singapura)
• ISO/PAS 22399:2007 Societal security - Guideline for incident
preparedness and operational continuity management• HB 221:2004 Business continuity management (Austrália).• HB 292:2006 A Practitioners guide to business continuity
management (Austrália).• NFPA 1600 Standard on disaster/emergency management and
business continuity (Estados Unidos).
44
Padrões Relacionados com GCSTI
• BS 25777:2008 Information and communications technology continuity management. Code ofpractice.
• BSI PAS 77:2006 IT Service continuity management – Code of practice.• ISO 24762:2008 Informaton technology – Security techniques – Guidelines for information and
communications technology disaster recovery services.• NIST SP 800-34 Contingency planning guide for information technology systems (Estados
Unidos).• ITIL v3, Livro Service Design, Processo de Gerenciamento da Continuidade dos Serviços de TI.• ISO 20000-1 Information technology – Service management – Part 1: Specification.• ISO 20000-2 Information technology – Service management – Part 2: Code of practice.• Cobit 4.1, DS4 – Domínio Deliver and Support, Processo Ensure Continuous Service.• ISO/IEC 27001:2005 Information technology -- Security techniques -- Information security
management systems – Requirements.• ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of practice for
information security management.• ISO 27031 Information technology -- Security techniques -- Specification for ICT Readiness for
Business Continuity, draft.• BS 25777. Code of practice for information and communications technology continuity, draft.
7/29/2019 2.1 Gerenciamento da Continuidade do Negócio
http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 23/23
23
45
Outras Fontes de Informação
• Tutorial sobre PCN
– http://nonprofitrisk.org/tools/business-continuity/intro/1.htm
• Estrutura de um PCN
– http://www.yourwindow.to/business-continuity/index.htm
• Disaster Recovery Journal
– http://www.drj.com
• Site do governo do Canada sobre GCN – http://www.publicsafety.gc.ca/prg/em/gds/bcp-eng.aspx#a02