Estratégias de Contingência para Serviços
de Tecnologia da Informação e
Comunicação
Simpósio Brasileiro em Segurança da Informação
e de Sistemas Computacionais
(SBSEG 2010)
Autores
Leonardo Lemes Fagundes: Mestre em Computação e Bacharel em Análise de
Sistemas (UNISINOS). Professor e Coordenador da Graduação Tecnológica em
Segurança da Informação. Consultor e profissional certificado pelo DRII (Disaster
Recovery International Institute) e como Auditor Líder ISO 27001. Instrutor de Gestão de
Riscos e Segurança da Informação da ESR / RNP. [email protected]
Fernando Karl: Mestrando em Administração (UNISINOS), MBA em Gestão Estratégica
de TI (FGV) e bacharel em Ciência da Computação (UFSC). Profissional certificado
CISSP, CISM, ITIL Foundations e BCI (Business Continuity Institute). Professor do curso
de graduação tecnológica em Segurança da Informação da Universidade do Vale dos
Sinos (UNISINOS). [email protected]
Autores
Luis Antonio Baptista: Pós Graduando em Gestão de Crises e Desastres (UGF) e
Bacharel em Sistemas de Informação (ULBRA). Profissional certificado DRII (CBCP), ITIL
Practitioner e Membro da Subcomissão de Continuidade de Negócios da FEBRABAN.
Rafael Santos: Graduando em Segurança da Informação pela Universidade do Vale dos
Sinos (UNISINOS). Atua como consultor em Governança, Riscos e Conformidade e
possui experiência em gestão da segurança da informação, gestão de continuidade de
negócios, gestão de riscos e infra-estrutura de alta disponibilidade de TI.
Introdução
Gestão da Continuidade de Negócios
Boas Práticas para Estratégias de Contingência
Estudo de Caso
Considerações Finais
Sumário
Gestão da Continuidade de Negócios (GCN)
Processo abrangente de gestão que identifica ameaças
potenciais para uma organização e os possíveis impactos nas
operações de negócio, caso estas ameaças se concretizem.
Melhorar a resiliência da organização contra interrupção de sua
capacidade de fornecer seus produtos ou serviços.
Introdução
Objetivo do Minicurso
Apresentar a Gestão da Continuidade como um aspecto de
fundamental relevância para que uma organização possa
responder de maneira eficiente aos cenários de incidentes
(desastres) e manter a continuidade dos serviços TI
considerados críticos.
Introdução
Gestão da Continuidade de Negócios
Gestão do Programa de GCN
Possibilita que a capacidade de Continuidade de Negócios seja
estabelecida (se necessário) e mantida de forma apropriada ao
tamanho e complexidade da organização.
Gestão da Continuidade de Negócios
Entendendo a organização
Fornece informações que permitem a priorização dos produtos e
serviços da organização e a urgência das atividades que são
necessárias para fornecê-los.
Isso estabelece os requisitos que irão definir a seleção das
estratégias de GCN apropriadas.
Análise de Impacto de Negócios
A organização deve definir e documentar o impacto de uma
interrupção nas atividades que suportam seus produtos e
serviços fundamentais. Esse processo é comumente
conhecido como análise de impacto nos negócios (BIA).
Gestão da Continuidade de Negócios
Análise de Impacto de Negócios
Identificar quaisquer atividades interdependentes, ativos, infra-
estrutura de suporte ou recursos que também precisem ser
mantidos continuamente ou recuperados ao longo do tempo.
Gestão da Continuidade de Negócios
Análise de Impacto de Negócios
Ao avaliar os impactos, convém considerar.
Impacto ao bem-estar das pessoas;
Dano ou perda de instalações, tecnologias ou informação;
Não cumprimento de deveres ou regulamentações;
Danos à reputação;
Danos a viabilidade financeira e danos ambientais;
Deterioração da qualidade de produtos ou serviços.
Gestão da Continuidade de Negócios
Identificação das Atividades Críticas
A organização deve categorizar suas atividades de acordo com
suas prioridades de recuperação. Aquelas atividades cuja perda,
de acordo com os resultados da BIA, teriam o maior impacto no
menor tempo e que necessitem ser recuperadas mais
rapidamente devem ser chamadas de “atividades críticas”. Cada
atividade crítica suporta um ou mais produtos ou serviços
principais.
Gestão da Continuidade de Negócios
Identificação das Atividades Críticas
A organização pode querer focar suas atividades de
planejamento em atividades críticas, mas deve reconhecer que
as outras atividades também necessitarão ser recuperadas
dentro de seu período máximo tolerável de interrupção e podem
também precisar que os devidos preparativos sejam realizados.
Gestão da Continuidade de Negócios
A organização deve estimar os recursos que cada atividade
necessitará durante sua recuperação. Estes podem incluir:
recursos de pessoal (quantidade, habilidades e conhecimento);
localização dos trabalhos e as instalações necessárias;
tecnologia, equipamentos e plantas que suportam o negócio;
Informações sobre trabalhos anteriores ou trabalhos atualmente em
progresso;
serviços e fornecedores externos (suprimentos).
Gestão da Continuidade de Negócios
Avaliação de Riscos
Convém que o nível de risco seja entendido principalmente no que
tange às atividades críticas e aos riscos de uma interrupção;
Cabe a organização decidir o método de avaliação de riscos;
Sugere-se seguir a estrutura proposta na ABNT NBR ISO/IEC
27005.
Gestão da Continuidade de Negócios
Gestão da Continuidade de Negócios
Determinando a estratégia de continuidade de negócios
Permite que uma resposta apropriada seja escolhida para cada
produto ou serviço, considerando um nível de operação e o
tempo aceitável.
As escolhas levarão em conta a resiliência e as opções de
contramedidas já existentes.
Gestão da Continuidade de Negócios
Desenvolvendo e implementando uma resposta de GCN
Resulta na criação de uma estrutura de gestão e numa estrutura
de gerenciamento de incidentes, continuidade de negócios e
planos de recuperação que detalham ações a serem tomadas
durante e após um incidente.
Isto tudo visando manter ou restaurar as operações de negócio.
Gestão da Continuidade de Negócios
Testando, mantendo e analisando criticamente os preparativos
de GCN.
Testar, manter, rever e auditar o GCN faz com que a
organização seja capaz de: demonstrar a que ponto suas
estratégias e planos estão completos, atualizados / precisos e
identificar oportunidades de melhoria.
Gestão da Continuidade de Negócios
Incluindo a GCN na cultura da organização.
A inclusão da GCN na cultura da organização permite que ela se
torne parte dos valores da organização, dando confiança às
partes interessadas quanto à capacidade da organização de
sobreviver a interrupções.
Conscientizar e Treinar
Boas Práticas para Estratégias de Contingência
Professional Practices - DRII–Disaster Recovery International Institute
GPG - BCI–Business Continuity Institute
NBR/ISO 20000 - Gerenciamento de serviços de TI
NBR/ISO 27002 - Código de Prática para a Gestão da Segurança da Informação
COBIT – Controles e Objetivos em TI
Disaster Recovery International Institute (DRII)
Missão Internacional do DRI
Promover uma base comum de conhecimentos para o planejamento
de continuidade de negócios / indústria de recuperação de
desastres, através da educação, assistência e publicação da base de
recursos padrões. Facilitar a cooperação com e entre os setores
público e privado para promover padrões.
É Organização Sem Fins Lucrativos
Fundada em 1988
Objetivos de promover uma base de conhecimento comum para o
setor da gestão de continuidade
Certificar pessoas qualificadas na disciplina de C.N.
Promover a credibilidade e profissionalismo de pessoas certificadas.
Disaster Recovery International Institute (DRII)
Instituição que tem como atividades:
Certificação (DRI International certificou indivíduos em mais de 95
países.)
Educação (DRI International certifica indivíduos em Inglês,
espanhol, francês, japonês, mandarim, russo e italiano)
Integração de Entidades Governamentais e Não-governamentais
E a globalização do conhecimento. (DRI International tem pessoas
certificadas em mais de 95 países diferentes.)
10 Práticas Profissionais Disaster Recovery International Institute (DRII)
As 10 Práticas Profissionais do Disaster Recovery International Institute (DRII)
10 Práticas Profissionais Disaster Recovery International Institute (DRII)
1- Inicio e Gestão do Programa
São definidos os requisitos de continuidade, obtido apoio da alta
direção quanto ao programa e definição de papéis e
responsabilidades.
2- Avaliação de riscos e controles
Nesta etapa, são identificados os riscos levantados junto às
pessoas, instalações e tecnologias do escopo, identificação de
perdas potenciais e definição de controles a serem aplicados.
10 Práticas Profissionais Disaster Recovery International Institute (DRII)
3- Análise de Impacto nos Negócios (AIN / BIA)
Identificação dos impactos resultantes de interrupções de
negócio, e técnicas que podem ser usadas para quantificar e
qualificar esses impactos.
Definição também de tempos críticos, prioridades de
recuperação e interdependências.
4- Estratégias de continuidade de negócios
Apoiado pelos resultados da AIN/BIA e da análise de riscos e
controles, recomendar estratégias de continuidade de negócios.
10 Práticas Profissionais Disaster Recovery International Institute (DRII)
5- Preparação e Resposta a emergência
Preparar um estado de prontidão da organização para responder
a uma emergência de forma coordenada e eficaz.
6- Planos de continuidade de negócios
Projetar, desenvolver e implementar Planos de Continuidade de
Negócios.
10 Práticas Profissionais Disaster Recovery International Institute (DRII)
7 - Programas de sensibilização e formação
Preparar um programa para criar a consciência referente à GCN.
8 - Exercício, auditoria e Manutenção dos Planos de Continui-
dade de Negócios
Estabelece o plano de exercícios e testes dos PCN’s, e
estabelece também os procedimentos de auditoria do programa
e planos de continuidade de negócios.
10 Práticas Profissionais Disaster Recovery International Institute (DRII)
9 - Comunicação de Crises
Desenvolve os planos de ação para comunicação com as partes
interessadas visando garantir a clareza das informações na
comunicação das crises.
10 - Coordenação com Agências Externas
Estabelecer procedimentos e políticas para a coordenação e
continuidade das atividades de restauração com agências
externas.
Business Continuity Institute (BCI)
O Business Continuity Institute (BCI) foi criada em 1994 para permitir
que membros individuais possam obter orientação e apoio de
praticantes de continuidade de negócios. O BCI tem atualmente mais
de 5.000 membros em 90 países.
Integrar o BCI oferece ao profissional de CN status reconhecido
internacionalmente com uma certificação valorizada que demonstra a
competência para realizar a gestão de continuidade de negócios
(GCN) com um alto padrão.
Business Continuity Institute (BCI)
Em 2007 ocorreu o lançamento de uma Parceria da BCI
possibilitando às organizações a trabalhar mais estreitamente com o
Instituto de Continuidade de Negócios para entregar a missão global
do BCI que é de:
Promover a arte e a ciência da gestão de continuidade de
negócios em todo o mundo.
O papel mais amplo do BCI e da Parceria com o BCI é promover os
mais elevados padrões de competência profissional e ética
empresarial na prestação e manutenção do planejamento de
continuidade de negócios e serviços.
As Orientações de Boas Práticas Good Practices Guidelines (BCI - GPG)
BCI - Ciclo de Vida da Gestão de Continuidade de Negócios.
As Orientações de Boas Práticas Good Practices Guidelines (BCI - GPG)
Gestão da Política e do Programa
A política de GCN é o documento chave que define o escopo e a
governança do programa de GCN, e reflete os motivos pelos
quais a GCN está sendo implementado. Ela fornece o contexto
em que os recursos solicitados serão implementados, e identifica
os princípios aos quais a organização aspira e contra os quais
seu desempenho pode ser auditado.
As Orientações de Boas Práticas Good Practices Guidelines (BCI - GPG)
Incorporando a GCN na Cultura da Organização
A criação bem sucedida da cultura de GCN da organização
depende da sua integração com o planejamento estratégico da
organização, bem como o seu alinhamento com as prioridades
de negócios.
As Orientações de Boas Práticas Good Practices Guidelines (BCI - GPG)
Entendendo a Organização
"Entender a Organização" é a prática profissional dentro do Ciclo
de Vida da GCN que analisa a organização em termos de quais
seus objetivos, como estrutura funcional e os obstáculos do
ambiente em que opera. As informações coletadas torna
possível determinar a melhor forma de preparar uma
organização para ser capaz de gerenciar as suas interrupções.
As Orientações de Boas Práticas Good Practices Guidelines (BCI - GPG)
Determinando a Estratégia de Continuidade de Negócios
"Determinação da estratégia de Continuidade de Negócios" é a
prática profissional dentro do ciclo de vida do BCM que
determina quais as estratégias que vão ao encontro da política
de GCN e exigências organizacionais e seleciona respostas
tácticas dentre as opções disponíveis.
As Orientações de Boas Práticas Good Practices Guidelines (BCI - GPG)
Desenvolvimento e Implementando uma Resposta de GCN
"Desenvolvendo e implementando uma resposta BCM" é a
prática profissional dentro do Ciclo de Vida do BCM que
implementa estratégias de acordo com o processo de
desenvolvimento de um conjunto de Planos de Continuidade de
Negócios.
As Orientações de Boas Práticas Good Practices Guidelines (BCI - GPG)
Exercitando, mantendo e revisando a GCN
"Exercitando, mantendo e revisando a GCN" é a prática
profissional no âmbito do Ciclo de Vida da GCN, que visa
assegurar que a melhoria contínua é alcançada através das
ações em curso e programadas. As atividades realizadas nesta
seção serão apoiadas pela política de BCM.
ISO 20.000 - 2005 Sistema de Gestão de Tecnologias da Informação
Gerenciamento da Continuidade e Disponibilidade de TI.
A seção da norma em questão destaca que eventos inesperados
que tenham impactado na disponibilidade dos serviços devem
ser investigados, e ações adequadas devem ser tomadas. Com
isto, busca-se a excelência operacional de serviços, mantendo-
os disponíveis aos clientes com a qualidade requerida.
ISO 20.000 - 2005 Sistema de Gestão de Tecnologias da Informação
Gerenciamento da Continuidade e Disponibilidade de TI.
A norma ISO 20000 ressalta que os planos de continuidade de
serviço, lista de contatos e a base de dados de gerenciamento
devem estar disponíveis quando da ocorrência de uma
indisponibilidade para que os planos de ação possam ser
colocados em execução
ISO 27.002 - 2005 Código de Prática para a Gestão da segurança da Informação
Seção 14 – Gestão da Continuidade de Negócios.
Esta seção tem por objetivo é estabelecer diretrizes e princípios
para iniciar, implementar, manter e melhorar a gestão da
segurança da informação em uma organização.
Define o objetivo de não permitir a interrupção das atividades do
negócio e proteger os processos críticos contra defeitos de
falhas ou desastres significativos, e assegurar a sua retomada
em tempo hábil, se for o caso.
ISO 27.002 - 2005 Código de Prática para a Gestão da segurança da Informação
Para atingir estes objetivos, são definidos controles para :
Incluir a segurança da informação no processo de gestão da
continuidade de negócio,
Identificar eventos de risco que possam causar interrupções aos
processos de negócio,
Desenvolver e implementar planos de continuidade relativos à
segurança da informação,
Garantir a consistência dos planos e
Para testar e analisar criticamente os planos de continuidade do
negócio..
Control Objectives for Information and related Technology (COBIT)
O COBIT é...
O Control Objectives for Information and related Technology
(COBIT) é um conjunto de boas práticas para o gerenciamento
da tecnologia da informação criado pela Information Systems
Audit and Control Association (ISACA) e pelo IT Governance
Institute (ITGI) em 1996.
Control Objectives for Information and related Technology (COBIT)
DS 4.1 - Estrutura de Continuidade
Desenvolver um modelo para continuidade de TI a fim de apoiar
o gerenciamento da continuidade do negócio de toda a empresa
através de um processo consistente orientado a estrutura
organizacional quanto ao gerenciamento da continuidade.
Processo este contemplando papéis, tarefas e responsabilidades
dos provedores de serviço internos e externos, seus
gerenciamentos, clientes e as regras e estruturas para
documentar, testar e executar planos de recuperação de
desastres e continuidade de TI
Control Objectives for Information and related Technology (COBIT)
DS 4.2 - Planos de Continuidade de TI
Desenvolver planos de continuidade de TI com base na estrutura
e projetados para reduzir o impacto de uma grande interrupção
de funções e processos de negócio fundamentais.
Control Objectives for Information and related Technology (COBIT)
DS 4.3 - Recursos Críticos de TI
Dar atenção especial aos itens mais críticos no plano de
continuidade de TI para assegurar a capacidade de
restabelecimento e definir prioridades em situações de
recuperação.
Prevenir o desvio de atenção para os itens de recuperação
menos críticos e assegurar resposta e recuperação em
alinhamento com as necessidades de negócio de maior
importância; ao mesmo tempo, assegurar que os custos sejam
mantidos em um nível aceitável e em conformidade com os
requisitos contratuais e regulamentares.
Control Objectives for Information and related Technology (COBIT)
DS 4.4 - Manutenção do Plano de Continuidade de TI
Encorajar o gerenciamento de TI a definir e executar
procedimentos de controle de mudança para assegurar que o
plano de continuidade de TI seja mantido atualizado e reflita
sempre os requisitos de negócios atuais.
Control Objectives for Information and related Technology (COBIT)
DS 4.5 - Teste do Plano de Continuidade de TI
Testar o plano de continuidade de TI regularmente para
assegurar que os sistemas de TI possam ser efetivamente
recuperados, que desvios sejam tratados e que o plano se
mantenha relevante.
Para tanto, são necessários preparação cuidadosa,
documentação, registro dos resultados dos testes e
implementação de planos de ação de acordo com os resultados.
Control Objectives for Information and related Technology (COBIT)
DS 4.6 - Treinamento do Plano de Continuidade de TI
Assegurar que todas as partes envolvidas recebam treinamento
regular sobre os procedimentos, papéis e respectivas
responsabilidades no caso de um incidente ou desastre.
Verificar e intensificar o treinamento de acordo com os
resultados dos teste de continuidade.
Control Objectives for Information and related Technology (COBIT)
DS 4.7 - Distribuição do Plano de Continuidade
Definir e gerenciar uma estratégia de distribuição para assegurar
que os planos sejam seguramente distribuídos e que estejam
apropriadamente disponíveis às partes interessadas e
autorizados quando e onde necessário.
Toda atenção deve ser dispensada para tornar o plano acessível
em todos os cenários de desastre.
Control Objectives for Information and related Technology (COBIT)
DS 4.8 - Recuperação e Retomada dos Serviços de TI
Planejar as ações a serem executadas nos momentos de
recuperação e retomada dos serviços de TI. Isto pode incluir
ativação de backup sites, iniciação de processamento
alternativo, comunicação para as partes interessadas e os
clientes, procedimentos de retorno à produção etc. Assegurar
que o negócio entenda o tempo de recuperação de TI e os
investimentos tecnológicos necessários para sustentar as
necessidades de recuperação e retorno à produção.
Control Objectives for Information and related Technology (COBIT)
DS 4.9 - Armazenamento de Backups em Locais Remotos
Armazenar remotamente todas as mídias de cópias de
segurança críticas, documentação e outros recursos de TI
necessários para a recuperação da TI e os planos de
continuidade de negócio. O conteúdo armazenado nas cópias de
segurança precisa ser determinado em colaboração entre os
proprietários dos processos de negócio e o pessoal de TI.
Assegurar a compatibilidade de hardware e software para
restaurar os dados arquivados e testar e atualizar
periodicamente os dados arquivados.
Control Objectives for Information and related Technology (COBIT)
DS 4.10 - Revisão Pós-Retomada dos Serviços
Após a retomada bem-sucedida da função de TI depois de um
desastre, determinar se o gerenciamento de TI tem
procedimentos para avaliar a adequação do plano atual e
realizar sua atualização, se necessário.
Control Objectives for Information and related Technology (COBIT)
Modelo de Maturidade para Continuidade de serviços
Nível Descrição
Inexistente
Não há entendimento dos riscos, vulnerabilidades e ameaças às operações de TI
ou do impacto da perda dos serviços de TI nos negócios. Não é considerado que a
continuidade dos serviços deve ter atenção da Direção.
Inicial /Ad
hoc
As responsabilidades pela continuidade dos serviços são informais e a autoridade
para exercer essas responsabilidades é limitada. O gerenciamento está se
tornando consciente dos riscos relacionados e da necessidade da continuidade
dos serviços. O foco da Direção quanto à continuidade dos serviços está
relacionado aos recursos de infra-estrutura e não aos serviços de TI.
Os usuários implementam paliativos em resposta a interrupções nos serviços. A
resposta da TI para a maioria das interrupções é reativa e despreparada.
Paralisações dos sistemas são agendadas para atender às necessidades da TI,
porém não consideram os requisitos do negócio.
Control Objectives for Information and related Technology (COBIT)
Modelo de Maturidade para Continuidade de serviços
Nível Descrição
Repetível,
porém
Intuitivo
A responsabilidade de assegurar a continuidade do serviço é estabelecida. As
abordagens para assegurar a continuidade do serviço são fragmentadas.
Relatórios de disponibilidade de sistema são esporádicos, podem ser
incompletos e não levam em consideração o impacto nos negócios.
Não existe um plano de continuidade de TI documentado, embora haja
comprometimento da continuidade da disponibilidade de serviços e seus
maiores princípios sejam conhecidos.
Existe um inventário de sistemas e componentes críticos, mas ele pode não ser
confiável. Práticas de serviços contínuos estão surgindo, contudo o sucesso
depende das pessoas.
Control Objectives for Information and related Technology (COBIT)
Modelo de Maturidade para Continuidade de serviços
Nível Descrição
Processo
Definido
A responsabilidade solidária pelo gerenciamento da continuidade dos serviços está
clara. A responsabilidade pelo planejamento e pelos testes da continuidade dos
serviços é claramente definida e atribuída.
O plano de continuidade de TI é documentado e baseia-se na importância do
sistema e no impacto nos negócios. Há relatos periódicos dos testes de
continuidade de serviços.
As pessoas tomam a iniciativa de seguir padrões e recebem treinamento para lidar
com a maioria dos incidentes ou desastres. A Direção comunica consistentemente
a necessidade do plano de assegurar a continuidade de serviço.
Componentes de alta disponibilidade e redundância de sistema estão sendo
aplicados. É mantido um inventário sobre os componentes e sistemas críticos.
Control Objectives for Information and related Technology (COBIT)
Modelo de Maturidade para Continuidade de serviços
Nível Descrição
Gerenciado e
Mensurável
As responsabilidades e os padrões para a continuidade dos serviços são impostos. A
responsabilidade por manter o plano de continuidade de serviço é atribuída.
As atividades de manutenção são baseadas nos testes de continuidade de serviço,
em boas práticas internas, e na mudança do ambiente de negócio e de TI. Dados
estruturados sobre a continuidade dos serviços estão sendo coletados, analisados,
relatados e gerando ações.
É dado treinamento obrigatório e formal sobre os processos de continuidade de
serviço. Boas práticas de disponibilidade de sistemas estão sendo consistentemente
implementadas.
As práticas de disponibilidade e planejamento de continuidade de serviços influenciam
um ao outro. Os incidentes de descontinuidade são classificados e os procedimentos
de encaminhamento de cada incidente é bem conhecido por todos os envolvidos.
Objetivos e métricas de continuidade dos serviços foram desenvolvidos e acordados,
mas podem ser inconsistentemente medidos.
Control Objectives for Information and related Technology (COBIT)
Modelo de Maturidade para Continuidade de serviços
Nível Descrição
Otimizado
Processos integrados de continuidade de serviços consideram a comparação com o
mercado (benchmarking) e as melhores práticas externas.
O plano de continuidade de TI é integrado ao plano de continuidade de negócio e é
rotineiramente mantido. A necessidade de assegurar a continuidade de serviços é
garantida pelos fornecedores e principais prestadores de serviço.
Ocorrem testes formais do plano de continuidade de TI, e seus resultados são a base da
atualização do plano. Coleta e análise dos dados são utilizados para melhoria contínua do
processo.
O planejamento de continuidade de serviço e as práticas de disponibilidade estão
completamente alinhados. A Direção assegura que um desastre ou incidente importante
não ocorrerá devido a um único ponto de falha. Práticas de encaminhamento são
entendidas e rigorosamente impostas.
Os objetivos e métricas sobre o alcance da continuidade de serviços são mensurados de
forma sistemática. A Direção ajusta o planejamento à continuidade do serviço em resposta
às medições
Alinhamento entre as Boas Práticas
As organizações adotam diferentes modelos, padrões e normas para
orientar o seu processo de gestão de segurança e de tecnologia da
informação.
As boas práticas discutidas nas seções anteriores representam o que
convém que seja implementado e os processos que oferecem
suporte e orientação para a definição de como pode se dar a
aplicação dos objetivos de controles.
Alinhamento entre as Boas Práticas
Consolidação das boas práticas na GCN
CobiT 4.1 ITIL V3 ISO/IEC 27002:2005
DS4.1 IT continuity framework
SD 4.5 IT service continuity management 6.1.6 Contact with authorities
SD 4.5.5.1 Stage 1—Initiation 6.1.7 Contact with special interest groups
CSI 5.6.3 IT Service continuity management
14.1.1 Including information security in the
business continuity management process
14.1.2 Business continuity and risk assessment
14.1.4 Business continuity planning framework
DS4.2 IT continuity plans
SD 4.5.5.2 Stage 2— Requirements and strategy 6.1.6 Contact with authorities
SD 4.5.5.3 Stage 3— Implementation 6.1.7 Contact with special interest groups
SD App K The typical contents of a recovery plan 14.1.3 Developing and implementing continuity
plans including information security
DS4.3 Critical IT resources
SD 4.4.5.2 The proactive activities of availability
management
14.1.1 Including information security in the
business continuity management process
SD 4.5.5.4 Stage 4—Ongoing operation 14.1.2 Business continuity and risk assessment
DS4.4 Maintenance of the IT
continuity plan SD 4.5.5.4 Stage 4—Ongoing operation
14.1.5 Testing, maintaining and reassessing
business continuity plans
Alinhamento entre as Boas Práticas
Consolidação das boas práticas na GCN
CobiT 4.1 ITIL V3 ISO/IEC 27002:2005
DS4.5 Testing of the IT continuity plan SD 4.5.5.3 Stage 3— Implementation 14.1.5 Testing, maintaining and
reassessing business continuity plans SD 4.5.5.4 Stage 4—Ongoing operation
DS4.6 IT continuity plan training SD 4.5.5.3 Stage 3— Implementation 14.1.5 Testing, maintaining and
reassessing business continuity plans SD 4.5.5.4 Stage 4—Ongoing operation
DS4.7 Distribution of the IT continuity plan SD 4.5.5.3 Stage 3— Implementation 14.1.5 Testing, maintaining and
reassessing business continuity plans SD 4.5.5.4 Stage 4—Ongoing operation
DS4.8 IT services recovery and resumption
SD 4.4.5.2 The proactive activities of availability
management
14.1.1 Including information security in
the business continuity management
process
SD 4.5.5.4 Stage 4—Ongoing operation 14.1.3 Maintain or restore operations
and ensure availability of information
DS4.9 Offsite backup storage SD 4.5.5.2 Stage 2— Requirements and strategy
10.5.1 Information backup SO 5.2.3 Backup and restore
DS4.10 Post-resumption review SD 4.5.5.3 Stage 3— Implementation 14.1.5 Testing, maintaining and
reassessing business continuity plans SD 4.5.5.4 Stage 4— Ongoing operation
ESTUDO DE CASO Entendendo a Organização
Análise de Impacto no Negócio ( AIN ou BIA)
Definição: Processo de analisar as funções de negócio e
investigar os efeitos causados por interrupções.
Objetivo: Identificar os processos e recursos que são críticos
para o negócio.
Informações: Processos de Negócio, Tempo Objetivado de
Recuperação (RTO), Ponto Objetivo de Recuperação (RPO),
Período Crítico, Máximo Tempo Tolerável de Interrupção
(MTPD), Criticidade e Recursos de TI.
ESTUDO DE CASO Entendendo a Organização - AIN
PROCESSO DE NEGÓCIO:
RTO:
RPO:
PERÍODO CRÍTICO:
MTPD:
CRITICIDADE: □ Alto □ Médio □ Baixo
SISTEMAS DE INFORMAÇÃO:
ESTUDO DE CASO Entendendo a Organização - AIN
Como se faz?
Entrevistas com cada uma das áreas envolvidas
De 2 a 5 entrevistas (depende da complexidade da área)
Entrevistas com 1 hora de duração
Participantes: gerente, coordenador e/ou analista sênior
Prazo de finalização BIA (média): 50 horas por área
ESTUDO DE CASO Entendendo a Organização - AIN
Entrevista ou Questionário – Perguntas-Chaves
O processo de negócio em questão é mais crítico em qual
período do mês? Por quê?
Quais sistemas você utiliza para executar as atividades deste
processo de negócio?
Se o sistema não está disponível existe alguma atividade
alternativa que você realiza?
Quanto tempo é necessário para executar esta atividade
alternativa sem o sistema estar disponível?
ESTUDO DE CASO Entendendo a Organização - AIN
Entrevista ou Questionário – Perguntas-Chaves
Os dados no sistema precisam estar sempre atualizados e
disponíveis para consulta? Se os mesmos estivessem alguns dias
atrasados causariam algum problema operacional?
Qual o período máximo de atraso dos dados aceitável para a
execução das atividades críticas desse processo de negócio?
Com o processo de negócio indisponível o impacto recairia sobre
os clientes?
ESTUDO DE CASO Entendendo a Organização - AIN
Entrevista ou Questionário – Perguntas-Chaves
Na área de Tecnologia da Informação temos um segundo
Datacenter, o mesmo provê 50% da capacidade para este processo
de negócio. Logo, se você tiver que trabalhar usando um sistema
com a metade da velocidade do atual, quanto tempo você
conseguiria trabalhar assim?
Em caso de indisponibilidade desse processo de negócio existe
algum impacto legal, tais como: multas, advertências ou outro tipo
de sanção pelo órgão regulador?
Qual o percentual de receita direta que esse processo de negócio
gera para a organização?
ESTUDO DE CASO Entendendo a Organização - AIN
Resumo dos Resultados da Organização Exemplo
Processo de Negócio RTO RPO MTPD Criticidade
Vendas 1h 0h 3h Alta
Call Center 1h 0h 24h Alta
Check-in 3h 24h 48h Média
Back Office 72h 744h 2232h Média
Manutenção e Compras 720h 744h 4464h Baixa
ESTUDO DE CASO Entendendo a Organização - AIN
Benefícios
Identificação dos processos e recursos críticos para o negócio
Análise de dependência dos recursos utilizados
Definição dos tempos de recuperação
Mapa dos riscos associados à continuidade
Cálculo dos valores de impacto financeiro
Subsidia a preparação para as próximas etapas do ciclo de
GCN
ESTUDO DE CASO Determinando a Estratégia de Continuidade de Negócios
Perguntas?
Começo por onde?
A estrutura de continuidade atual atende a necessidade do
negócio?
Quais são os cenários de desastre para os quais estamos
preparados?
Todos os serviços de TI devem possuir contingência?
ESTUDO DE CASO Determinando a Estratégia de Continuidade de Negócios
Perguntas?
Quais são os serviços de TI críticos para a organização?
Quais são os processos de negócio vitais para a organização?
Qual a dependência da continuidade dos processos de negócio
com a TI?
Quem é responsável pela continuidade dos serviços de TI a
organização?
ESTUDO DE CASO Determinando a Estratégia de Continuidade de Negócios
Estratégias de Continuidade de Negócios
Cold Site
Warm Site
Hot Site
ESTUDO DE CASO Determinando a Estratégia de Continuidade de Negócios
Como se faz?
Verificar Infraestrutura de TI em 3 camadas e Contratos com
Fornecedores (SLAs)
Fazer uma lista de estratégia contendo o recurso de TI crítico,
estratégia, menor RTO dos processos críticos suportados, tipo
de estratégia, tempo de ativação, custo e tempo para
implementação
ESTUDO DE CASO Determinando a Estratégia de Continuidade de Negócios
Infraestrutura em 3 camadas ou Gestão de Configuração.
ESTUDO DE CASO Determinando a Estratégia de Continuidade de Negócios
Lista para definição de estratégia
[ RECURSO DE TI ]
RTO Tipo de
Estratégia
Tempo de
Ativação
Custo de
Implantação
Tempo para
Implementação
ESTUDO DE CASO Determinando a Estratégia de Continuidade de Negócios
Lista para definição de estratégia
Telefonia
RTO Tipo de
Estratégia
Tempo de
Ativação
Custo de
Implantação
Tempo para
Implementação
1h Hot Site 0 R$ 300.000,00 5 meses
1h Warm Site 30min R$ 160.000,00 4 meses
1h Cold Site 24h R$ 30.000,00 2 meses
ESTUDO DE CASO Determinando a Estratégia de Continuidade de Negócios
Aprovação do responsável pela infraestrutura de TI
Mostrar uma estratégia acima do RTO
Possível ter variações dentro do mesmo tipo de estratégia
ESTUDO DE CASO Desenvolvendo e implementando uma resposta de GCN
Plano de Recuperação de Desastres em TI
Plano utilizando 5W2H.
ORDEM Ordenação das Atividades
O QUE: Ação a ser realizada
QUEM: Cargo do responsável pela ação
QUANDO: Momento de execução
COMO: Passo a passo das ações para ativação
DURAÇÃO: Tempo de duração da ação
ESTUDO DE CASO Desenvolvendo e implementando uma resposta de GCN
PLANO Vendas
RTO: 1h
RPO: 0h
CENÁRIO: Indisponibilidade do Data Centre Alpha
RESPONSÁVEL: Leonardo Silva - +55 55 555-5678
SUBSTITUTO: Rafael Alves - +55 55 555-8765
ORDEM 1
O QUE: Comunicar a indisponibilidade do Datacenter Alpha para o Gerente de TI
QUEM: Equipe de Monitoramento de TI da Voe Sempre
QUANDO: Após a detecção da indisponibilidade do Data Center
COMO: Através de uma ligação telefônica, utilizando a árvore de chamadas
pré-estabelecida.
DURAÇÃO: 10 minutos
ESTUDO DE CASO Desenvolvendo e implementando uma resposta de GCN
ORDEM 2
O QUE: Reunir o time de gestão de crises
QUEM: Gerente de TI
QUANDO: Após receber a comunicação da indisponibilidade do Data Center
Alpha
COMO: Através de uma conferência via telefone
DURAÇÃO: 10 minutos
ORDEM 3
O QUE: Decidir Ativar o Data Center Beta
QUEM: Time de Gestão de Crises
QUANDO: Durante a reunião via conferência
COMO: Através da análise das possibilidades
DURAÇÃO: 10min
ESTUDO DE CASO Desenvolvendo e implementando uma resposta de GCN
ORDEM 3
O QUE: Ativar equipe de TI
QUEM: Equipe de Monitoramento de TI
QUANDO: Após comunicar o gerente de TI
COMO: Através dos telefones celulares, contidos na árvore de chamadas
DURAÇÃO: 15 minutos
ORDEM 4
O QUE: Comunicar equipe para ativação do Datacenter Beta
QUEM: Gerente de TI
QUANDO: Após decisão de ativar o Datacenter Beta
COMO: Através de uma ligação para equipe de Monitoramento de TI
DURAÇÃO: 15 minutos
ESTUDO DE CASO Desenvolvendo e implementando uma resposta de GCN
ORDEM 5
O QUE: Ativar o Datacenter Beta
QUEM: Equipe de TI
QUANDO: Após comunicação da equipe de monitoramento
COMO: Utilizando os procedimentos de ativação
DURAÇÃO: 2h
ORDEM 6
O QUE: Reunir equipe de Gestão de Crises
QUEM: Equipe de Gestão de Crises
QUANDO: Após reunião via telefone do time de Gestão de Crises
COMO: Reunindo-se em um ponto de encontro a ser definido na reunião
DURAÇÃO: 30 minutos
ESTUDO DE CASO Desenvolvendo e implementando uma resposta de GCN
ORDEM 7
O QUE: Preparar comunicados internos e externos
QUEM: Equipe de Gestão de Crises
QUANDO: Após reunir-se
COMO: Em conjunto
DURAÇÃO: 1h
ORDEM 8
O QUE: Identificar a extensão dos danos e passos necessários para recuperar o Datacenter
Alpha
QUEM: Equipe de Gestão de Crises
QUANDO: Após reunião do time de Gestão de Crises
COMO: Através da análise de dados obtidos de diversas áreas, incluindo:
- Monitoramento de TI
- Segurança Corporativa
- Engenharia
DURAÇÃO: 45 minutos
ESTUDO DE CASO Desenvolvendo e implementando uma resposta de GCN
Fatores Críticos de Sucesso
Definição de Responsabilidades
Criação de Equipes
Planos atualizados e disponíveis
Gestão de Configuração ou Desenhos de Topologias
ESTUDO DE CASO Testando, mantendo e analisando criticamente os
preparativos de GCN.
Testes
O relatório de testes devem apontar as desconexões e os pontos
de melhorias nas atividades executadas nos Planos de
Recuperação de Desastres em TI.
O relatório pode ser dividido em técnico e estratégico.
ESTUDO DE CASO Testando, mantendo e analisando criticamente os
preparativos de GCN.
Manutenção
Os planos devem ser alterados imediatamente, conforme
apontamentos do relatório de teste.
É imprescindível retirar todos os planos de versão anterior ao
atual, independente dos tipos de alteração.
ESTUDO DE CASO Planos de Recuperação de Desastres em TI
Escolhendo o local para o site secundário ou DR site.
Parâmetros mínimos exigidos pelos reguladores - Algumas
empresas, especialmente de telecomunicações e do mercado
financeiro devem manter a conformidade com as normas e
regulamentações existentes. É comum que o regulador defina
uma distância mínima entre o site primário e o DR Site.
ESTUDO DE CASO Planos de Recuperação de Desastres em TI
Escolhendo o local para o site secundário ou DR site.
RTO definido pelo negócio - A empresa decidiu que o DR Site
deve ser instalado e estar pronto para funcionar dentro do prazo
definido (RTO). Este tempo inclui o tempo de deslocamento dos
empregados para o DR Site e a recuperação dos serviços de
TIC.
ESTUDO DE CASO Planos de Recuperação de Desastres em TI
Escolhendo o local para o site secundário ou DR site.
Serviços de Telecomunicações - Longas distâncias entre o site
primário e o DR Site implicam em altos custos de
telecomunicações e limitam a escolha da tecnologia para cópia
dos dados. Por exemplo, a replicação síncrona não é possível
em distâncias superiores a 40 km. Escolha um local que é
suficientemente distante, mas onde seja possível realizar a
replicação dos dados.
ESTUDO DE CASO Planos de Recuperação de Desastres em TI
Escolhendo o local para o site secundário ou DR site.
Condições geofísicas – Para evitar uma catástrofe natural, não é
suficiente construir seu DR Site a uma distância do centro
principal. A maioria dos desastres naturais de alto impacto pode
atingir áreas extensas devido a sua propagação pela
configuração do terreno ou por outras condições geofísicas.
ESTUDO DE CASO Planos de Recuperação de Desastres em TI
Escolhendo o local para o site secundário ou DR site.
Meios de Transporte – Uma maior distância entre o local
primário e DR Site pode tornar difícil o deslocamento para os
funcionários. Isto é especialmente verdade em situações de
crise, quando as estradas podem estar danificadas ou
bloqueadas, ou os transportes públicos podem estar paralisados
devido a uma greve. Escolha um local acessível e com várias
opções de transporte.
ESTUDO DE CASO Planos de Recuperação de Desastres em TI
Escolhendo o local para o site secundário ou DR site.
Vizinhança dos objetos estratégicos - Não é inteligente instalar o
DR Site nas proximidades de instalações com importância
estratégica para o país, tais como bases militares, aeroportos e
refinarias de petróleo. Esses locais são propensos a ataques
terroristas e/ou distúrbios sociais. Além disso, mesmo em
situações de catástrofes naturais, estes locais estratégicos terão
forte presença militar que pode limitar o acesso a seu ambiente.
Segurança da Informação e Continuidade de Negócios
A proteção dos ativos e a continuidade do negócio são alguns
dos principais objetivos da segurança da informação.
Para garantir a continuidade das operações mesmo mediante
cenários de desastres é fundamental que as organizações,
independente do segmento e/ou porte, coloquem em prática um
programa de gestão da continuidade de negócio.
Considerações Finais
A elaboração dos PRDs
Convém que seja cuidadosamente planejada, definida e testada
para assegurar que:
(a) as estratégias de contingência escolhidas estejam de
acordo com o nível de serviço vigente e
(b) que as pessoas estejam devidamente capacitadas e
cientes sobre como proceder mediante eventos que
comprometam a continuidade dos serviços de TI.
Considerações Finais
Questões de Pesquisa
(a) a grande parte das ferramentas de apoio e suporte ao
processo de GCN realizam apenas a gestão da documentação;
(b) inexistência de sistema especialista que possa contribuir para
definição / estimativa de grandezas como RPO, RTO e MTPD e
(c) desenvolvimento de ambientes para simulação das
estratégias de contingência.
Considerações Finais