administração e gerência de redes
DESCRIPTION
Administração e gerência de redes. Aula 09 Plano de contingência Prof. Diovani Milhorim. Características de Eventos no Brasil. Abaixo de. Pesquisa publicada na Computerworld de 19/11/2003. Padronizando Conceitos - PowerPoint PPT PresentationTRANSCRIPT
Administração e gerência de redes
Aula 09
Plano de contingência
Prof. Diovani Milhorim
Pesquisa publicadana Computerworldde 19/11/2003
Características de Eventos no Brasil
Abaixo de
Fonte: Disaster Recovery Journal
Padronizando Conceitos
Evento: Fato de origem voluntária ou não que apresenta risco de dano. Também denominado “Fator de Risco”
Avaliação: considera a pior situação, no pior momento, no cenário mais pessimistaCenário: consistente com a realidade da OrganizaçãoControle: deveria ser proativo, preditivo e corretivo
Padronizando Conceitos
Risco: é a medida para um fator de incerteza
Causas Percentual
Falha Humana 50 a 80 %
Greves 10 a 17 %
Forças da Natureza
10 a 15 %
Sabotagem 3 a 4 %
Alagamento 2 a 3 %
Estranhos à Organização
1 a 3 %
Causas de Danos a Sistemas deInformaçãoFonte: Adaptado de Forcht, K.A., Computer Security Management, p. 66
Padronizando Conceitos
Dano: Conseqüência nociva acarretada por um Evento. Impacto de resultado prejudicial. Justifica a Contingência.
Oferece uma métrica para a criticidade Avalia igualmente Processos ou Componentes Apresenta variáveis de custos tangíveis, custos
intangíveis e períodos de tempo Identifica recursos mínimos necessários Seu resultado evidencia a importância das
variáveis em função de perdas e prazos de tolerância à interrupções
Padronizando Conceitos
BIA (Business Impact Analysis): é a Análise de Impacto nos Negócios, acarretada pela indisponibilidade de um Processo (atividade) ou Componente (recurso por ele utilizado)
Indica responsabilidades Orienta funções Define locais Indica o RTO (Recovery Time Objectives) – Objetivos de
Prazos para Recuperação Indica o RPO (Recovery Point Objective) – Objetivos de
Pontos de Recuperação
Padronizando Conceitos
Disaster Recovery Plan (DRP): Plano de Recuperação de Desastres. É a documentação das atividades necessárias para restauração ou substituição dos recursos (Componentes) utilizados pelos Processos de Negócios
Um Plano de Recuperação de Desastres(PRD) visa a reposição/restauração de umdos Componentes que suportam os PNs(p.e: a troca de um Servidor de Rede).
Como Funciona ?
Monitora e controla Fatores de Risco Indica responsabilidades e/ou substitutos Indica onde será realizado Indica como será executado É orientado pelos resultados obtidos pelo BIA,
especialmente no que tange às variáveis de tempo e custos
Padronizando Conceitos
Operational Contingency Plan (OCP): Plano de Contingência Operacional. Documenta procedimentos e atividades alternativas para serviços de TI ou Processos de Negócios
O Plano de Contingência (PCO)permite a execução do PN, mesmoque um Componente encontre-seindisponível (p.e.: como trabalharsem telefonia ?).
Como Funciona ?
Padronizando Conceitos
Business Continuity Plan (BCP): Plano de Continuidade de Negócios. É o conjunto de procedimentos documentados pelo PRD e pelo PCO, monitorado por um Plano de Gerenciamento de Crises (PRD) que facilita sua gestão e atualização.
Orienta resposta aos Impactos mais prováveis Considera os principais (críticos) processos da
organização Consolida responsabilidades, locais e prazos Indica parâmetros de RTO e RPO, evidenciados pelo
BIA Evidencia elementos para auditoria e atendimento de
requistos legais ou normativos
Um PCN traça um plano aonde o PCO eo PRD são executados simultaneamente,garantindo a continuidade do PN e a reposição/restauração do Componenteparalelamente
Como Funciona ?
PGC
O quê é um PCN ?
Metodologia que desenvolve estratégias alternativas para execução de processos1 ou sistemas2, minimizando os possíveis impactos acarretados pela sua interrupção, imposta por qualquer tipo de evento e que pode acarretar algum tipo de perda, financeira ou não.
1: PCN com foco para Continuidade dos Negócios2: PCN com foco em Componentes de Tecnologia de Informação
Riscos x Impactos
Fatores de Risco são aleatórios e imprevisíveis, comparando-se ao efeito de uma onda, cuja intensidade e dano estarão vinculados ao cenário de ocorrência quando se concretiza
Riscos x Impactos
Impactos são previsíveis, de acordo com o conhecimento do ambiente onde se manifestam e vinculados aos Eventos que se concretizaram, podendo ser contidos através de medidas de mitigação, independente do cenário
Padrão de Segurança
BS 7799:2002 - Reino Unido NBR ISO/IEC 17799:2000 -
Brasil/Internacional Definem um conjunto de boas práticas
de gestão da segurança Servem de base às políticas de
segurança Seus controles permitem a auditoria de
segurança de informações
Entradas
A principal entrada para o processo de análise de impacto no negócio e a metodologia de análise, e você também precisa de uma lista de suas atividades de negócio (por exemplo, processos ou departamentos).
Toda a informação deve ser dada pelas pessoas responsáveis por cada atividade, assim como elas também devem realizar os levantamentos necessários. Enquanto fazem isso, elas devem utilizar como critério o cenário de pior caso:
Como implementar um BIA
Principais levantamentos a serem realizados.
Levantamento de impacto
Levantamento do Objetivo para Ponto de Recuperação / Perda Máxima de Dados (RPO/Maximum Data Loss)
Objetivos de Continuidade de Negócio Mínimos (Minimum Business Continuity Objectives – MBCO) Recursos necessários
Dependência de outros
Como implementar um BIA
Principais levantamentos a serem realizados.
Levantamento de impacto
Considerar o dano que acontecerá ao negócio caso suas operações sejam interrompidas, sob a perspectiva de questões específicas.
Como implementar um BIA
Principais levantamentos a serem realizados.
Levantamento do Objetivo para Ponto de Recuperação / Perda Máxima de Dados (RPO/Maximum Data Loss)
Pedir aos entrevistados que listem todas as suas bases de dados, aplicações e arquivos, assim como todos os serviços (por exemplo, e-mail), etc. e para cada um deles pedir que eles definam o limite aceitável de perda de dados que pode ser tolerado. Geralmente este limite é mostrado em números de horas, mas algumas vezes também pode ser mostrado em número de transações ou registros
Como implementar um BIA
Principais levantamentos a serem realizados.
Levantamento do Objetivo para Ponto de Recuperação / Perda Máxima de Dados (RPO/Maximum Data Loss)
Como implementar um BIA
Principais levantamentos a serem realizados.
Objetivos de Continuidade de Negócio Mínimos (Minimum Business Continuity Objectives – MBCO) Recursos necessários
Especificar o nível de capacidade mínimo aceitável requerido imediatamente após a recuperação de uma atividade em particular, levando em conta suas horas ou dias de pico.
Como implementar um BIA
Principais levantamentos a serem realizados.
Recursos necessários para recuperação:
Levando em conta o MCBO (número de transações, clientes, produtos, etc.), você deveria identificar quantas pessoas e outros recursos você precisaria para a recuperação. Recursos tais como laptops, mobília, telefones móveis, instalações, etc. geralmente dependem do número de pessoas; a capacidade de recursos tais como softwares e links de telecomunicação dependem do número de usuários ou número de transações que precisam ser processadas;
Como implementar um BIA
Principais levantamentos a serem realizados.
Dependência de outros
São todas as outras atividades sem as quais você não seria capaz de realizar uma determinada atividade. Estas são geralmente divididas desta forma:
1) Dependência de outras atividades internas a organização 2) Dependência de fornecedores e parceiros em
Como implementar um BIA
Principais levantamentos a serem realizados.
Dependência de outros
1) Dependência de outras atividades internas a organização – por exemplo, todas as suas atividades provavelmente dependerão das atividades de TI / Departamento de TI, enquanto somente algumas atividades irão depender do seu departamento legal / atividades jurídicas.
Como implementar um BIA
Principais levantamentos a serem realizados.
Dependência de outros
2) Dependência de fornecedores e parceiros em terceirização – tipicamente, todas as suas atividades dependem de eletricidade e de links de comunicação (Internet, linhas fixas e telefones móveis), mas muitas organizações também dependem de empresas de desenvolvimento de software, provedores de hospedagem, provedores de nuvem, serviços de contabilidade, etc. Aqui é preciso avaliar as capacidades de continuidade de negócio destes terceiros estudando as cláusulas em acordos que assinados com eles
Como implementar um BIA