requisitos da continuidade(dos negócios)na segurança da informação
DESCRIPTION
Integração dos requisitos de continuidade da Segurança da Informação com a Continuidade de NegóciosTRANSCRIPT
![Page 1: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/1.jpg)
www.datacenterdynamics.com 1
Requisitos da continuidade(dos negócios)
na segurança da informação
Sidney R. Modenesi, MBCI, ISO 22301 BSI Technical ExpertForum Leader Brasil
BCI – The Business Continuity Institutewww.thebci.org
São Paulo, 05 de Novembro de 2014
![Page 2: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/2.jpg)
www.datacenterdynamics.com
Apresentações
Sidney R. Modenesi• Gerente da STROHL Brasil;
• ISO 22301 BSI Technical Expert, 2013;
• Certificado MBCI pelo BCI em 2006;
• Mais de 25 anos de experiência em DRP/BCM;
• Instrutor internacional de BCM (ISO 22301, 22313 & outras);
• Representante do BCI - Business Continuity Institute no Brasil.
br.linkedin.com/in/sidneymodenesimbci/
BCI – Business Continuity Institute• Instituto inglês, sem fins
lucrativos;
• Promove a arte e a ciência da Continuidade de Negócios pelo mundo;
• Colabora no desenvolvimento de normas e boas praticas de Continuidade de Negócios;
• Tem um programa capacitação e certificação profissional.
www.thebci.org
22
![Page 3: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/3.jpg)
www.datacenterdynamics.com
Requisitos da continuidade na
segurança dainformação
![Page 4: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/4.jpg)
www.datacenterdynamics.com
Controles eObjetivos de controle – A17
4
![Page 5: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/5.jpg)
www.datacenterdynamics.com
Objetivo
Assegurar que a continuidade dasegurança da informaçãoesteja (DEVE) inserida no
Sistema de Gestão daContinuidade de Negócios
da organização.
Ou seja, mesmo numa contingência reala segurança da informação DEVE estar operando.
5
![Page 6: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/6.jpg)
www.datacenterdynamics.com 6
Sistema de Gestão daContinuidade de Negócios
Processo abrangente de gestão queidentifica ameaças potenciais para uma organização e
os possíveis impactos nas operações de negóciocaso estas ameaças se concretizem.
Este processo fornece uma estrutura para quese desenvolva uma resiliência organizacional que
seja capaz de responder eficazmente esalvaguardar os interesses das partes interessadas,
a reputação e a marca da organização esuas atividades de valor agregado.
ABNT NBR/ISO 22301:2012 Segurança da sociedade — Sistema de gestão de continuidade de negócios — Requisitos
![Page 7: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/7.jpg)
www.datacenterdynamics.com
PDCA model applied to BCMS processes - ISO 22301:20127
Ciclo de vida daISO 22301:2012
![Page 8: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/8.jpg)
www.datacenterdynamics.com
Leis e RegulamentaçõesNormas e Boas PráticasLeis e Regulamentações• Resolução 3380:2006 – BACEN - Dispõe sobre a implementação de
estrutura de gerenciamento do risco operacional• Circular 285:2005 – SUSEP - Estabelece cadastro de recursos e
mapa de saldos, referentes às áreas de tecnologia da informação e contábil ...
• DECRETO Nº 6.523:2008 – Regulamenta a Lei no 8.078, de 11 de setembro de 1990, para fixar normas gerais sobre o Serviço de Atendimento ao Consumidor - SAC.
• Lei Sarbanes-Oxley, JSOX ...• ISO 22301- 4.2.2 Requisitos legais e regulatórios - Cada empresa
deve sistematicamente revisar e avaliar todas as leis, normas, regulamentações ou itens regulatórios a que está sujeita.
![Page 9: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/9.jpg)
www.datacenterdynamics.com
Leis e RegulamentaçõesNormas e Boas PráticasNormas e Boas Práticas• ABNT NBR/ISO 22301:2013 - Segurança da sociedade —
Sistema de gestão de continuidade de negócios — Requisitos• ISO 22313:2012 - Societal security — Business continuity
management systems — Guidance• ISO 22398:2013 - Societal security — Guidelines for exercises• ISO 31000:2009 - Risk management — Principles and
guidelines• BS 11200:2014 - Crisis management – Guidance and good
practice• ISO 20000 partes 1 e 2 - Information technology — Service
management• ISO 27001 e 27002 - Tecnologia da informação — Técnicas de
segurança — Sistemas de gestão da segurança da informação
![Page 10: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/10.jpg)
www.datacenterdynamics.com
Tipos de Ameaças Potenciais
10
Naturais Mudanças climáticas: calor, frio, chuva ou seca intensa; terremoto, vulcão, furacão ...
FísicasIncêndio ou outras emergências, vazamento tóxico no sítio ou nas proximidades, segurança de acesso, invasões, terrorismo ...
Humanas Absenteísmo: greve, pandemia, epidemia; terrorismo, atentado, manifestação ...
Segurança da Informação
Invasões, roubo ou vazamento de informações, hackers, vírus, trojan ...
Combinação de várias
Naturais e/ou físicas e/ou humanas e/ou de segurança da informação na organização ou na sua cadeia de fornecedores
![Page 11: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/11.jpg)
www.datacenterdynamics.com
EXEMPLOS DE AMEAÇAS POTENCIAIS DE SEGURANÇA DA INFORMAÇÃO
![Page 12: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/12.jpg)
www.datacenterdynamics.com 12
I can´t allow the US
government to
destroy privacy
and basic libertiesEdward Joseph Snowden1 (Elizabeth City, 21 de junho de 1983) é um analista de sistemas, 2 ex-funcionário da (CIA) e ex-contratado da (NSA) 3 que tornou público detalhes de vários programas que constituem o sistema de vigilância global da NSA americana e fotos comprometedoras do presidente americano, Barack Obama.http://pt.wikipedia.org/wiki/Edward_Snowden
![Page 13: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/13.jpg)
www.datacenterdynamics.com 13
![Page 14: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/14.jpg)
www.datacenterdynamics.com
Mais Exemplos
14
![Page 15: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/15.jpg)
www.datacenterdynamics.com
Mais Exemplos
15
![Page 16: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/16.jpg)
www.datacenterdynamics.com
Executives should understand 4 basic points about security:1.A well-executed data breach is potentially
more dangerous to your business than a recession.
2.Cybercrime isn’t someone else’s problem; it’s your problem.
3.There’s a reason for the deafening silence. Just because you haven’t heard your C-suite peers at other firms talk of security breaches doesn’t mean they’re not happening, nor does the fact that you haven’t found anything in your systems mean you’re safe.
4.You probably don’t understand where your data is.
16
Responsabilidades
![Page 17: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/17.jpg)
www.datacenterdynamics.com
Institute of Risk Managementwww.theirm.org/documents/Final_IRM_CyberRisk_ExecSumm_A5_low-res.pdf
Verizon's 2024 Data Breach Reportwww.verizonenterprise.com/DBIR/2014/reports/rp_Verizon-DBIR-2014_en_xg.pdf
17
![Page 18: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/18.jpg)
www.datacenterdynamics.com
SEGURANÇA DA INFORMAÇÃO E CONTINUIDADE DE NEGÓCIOS
![Page 19: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/19.jpg)
www.datacenterdynamics.com
Segurança da Informação eContinuidade de Negócios
Segurança da informação Ameaça potencial
Ameaça potencial Impactos nas operações
Impactos financeiros, operacionais, imagem, regulatórios, credibilidade ...
19
![Page 20: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/20.jpg)
www.datacenterdynamics.com
Análise de Riscos
Análise de Impacto nos
Negócios
Estratégias de Recuperação
Desenvolvimento dos Planos de Contingência
Exercícios e Testes Evolutivos
20
Riscos:•Infraestrutura•TIC•Segurança da Informação•Recursos humanos
Impactos:•financeiros•operacionais•MTPD, MBCO•RTO, RPO
Apetite ao RiscoCAPEX, OPEX
vs.Impactos
PlanosResposta a
IncidentesGerenc. de CriseComunicaçãode TIC DRPde Negócios
Programa evolutivoassegurar às partes interessadas que tudo funcionará no pior cenário a qualquer tempo
C.N. – PlanejamentoVisão Simplificada
![Page 21: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/21.jpg)
www.datacenterdynamics.com
Cenários de Ameaças Potenciais
Sede 1
Provedor de serviços de TIC
Xxx colaboradoresCentrais de Atend.,Varias áreas de negócioData Center local
Sede 2
X X
X
PABXCentrais de
atendimentoÁreas de negócioData Center local
Zzz colaboradoresCentrais de Atend.,Outras áreas de negócios
XX21
![Page 22: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/22.jpg)
www.datacenterdynamics.com
Mudanças Contínuas
• Mercado;• Legislação e/ou regulamentação;• Tecnologia;• Processos;• Ameaças potenciais Riscos; • Oportunidades;
22
“Hoje, a única certeza, é a certeza da mudança”Dr. José Arnaldo Deutscher, economista pela UFRJ
![Page 23: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/23.jpg)
www.datacenterdynamics.com
tempo
IMPACTOSCAPEX e OPEXR$
t0t1< t0
< Apetite ao Risco
t2 > t0
> Apetite ao Risco
R$
Apetite ao Risco(Depende do Cenário de Ameaça Potencial)
23
•Perda de receita•Multas e penalidades,•Imagem da empresa,•Itens regulatórios: Código Civil, Lei do SAC, Compliance com órgãos reguladores•...
• Espaço físico• Mesas, cadeiras• Telefones, fax• Micros• PAs• Registros vitais• ...• Infraestrutura:• links•energia elétrica• ar condicionado• suprimentos• ...
![Page 24: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/24.jpg)
www.datacenterdynamics.com
ISO 27001 e 22301
ISO 223015.1 Liderança e comprometimentoOs membros da Alta Direção e demais gestores com papéis relevantes dentro da organização devem demonstrar liderança em relação ao SGCN.
5.2 Comprometimento da Direção... garantir que políticas e objetivos sejam estabelecidos para o SGCN e que sejam compatíveis com as diretrizes estratégicas da organização.
24
ISO 270015.1 Liderança e comprometimentoA Alta Direção deve demonstrar comprometimento em relação ao sistema de gestão da segurança da informação pelos seguintes meios:
a) assegurando que a política de segurança da informação e os objetivos de segurança da informação estão estabelecidos e são compatíveis com a direção estratégica da organização
![Page 25: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/25.jpg)
www.datacenterdynamics.com
A Organização Conhece?
• O seu apetite ao risco?– Riscos e oportunidades
• Seu contexto e sua organização?
• Suas necessidades internas e externas?
• As expectativas das partes interessadas?– Níveis de serviço por exemplo;
• As leis e regulamentações a serem cumpridas?
25
![Page 26: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/26.jpg)
www.datacenterdynamics.com
RECEITA TRADICIONAL
![Page 27: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/27.jpg)
www.datacenterdynamics.com
Ingredientes
• Use, ingredientes de boa qualidade;• CRO – Chief Risk Officer - ISO 31000 e
31010;• BCC – Business Continuity
Coordinator – ISO 22301 e 22313;• CIO – ISO 20000, ITIL;• CSO – Chief Security Officer –
ISO 27001 e 27002;• Processos – ISO 9000;• Adicione na medida do necessário: leis,
regulamentações, COBIT, COSO, TOGAF, 6 Sigma …
27
![Page 28: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/28.jpg)
www.datacenterdynamics.com
Modo de Preparo
28
1. Faça uma boa Análise de Riscos no contexto do programa (Continuidade de Negócios ou Segurança da Informação) e reserve;
2. Alinhe os resultados da Análise de Riscos com a Análise de Riscos Corporativos – CRO e reserve;
![Page 29: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/29.jpg)
www.datacenterdynamics.com
Modo de Preparo
3. Faça uma boa Análise (Executiva/Estratégica) de Impacto nos Negócios no contexto do programa e reserve;– pode ter múltiplos cenários;
4. Estime os investimentos, despesas recorrentes, recursos necessários, gaps e prazos realistas de implantação do programa e reserve.
29
![Page 30: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/30.jpg)
www.datacenterdynamics.com
• Desenvolva uma excelente apresentação executiva e respectivo relatório de apoio;– Tenha pronto o detalhamento (racional);– Modo de Preparo;
• APETITE AO RISCO – DECISÃO• Faça os ajustes no
Programa/Projeto x Apetite ao Risco aprovado;
• Servir a gosto Execute como definido!
Modo de Preparo
30
![Page 31: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/31.jpg)
www.datacenterdynamics.com
Riscos e Oportunidades do Programa
http://proatividademercado.com.br/o-conceito 31
![Page 32: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/32.jpg)
www.datacenterdynamics.com
A Organização será Proativa(continuidade de negócios esegurança da informação)
• O nível C está alinhado, o Apetite ao Risco está definido e divulgado;
• Os programas de Continuidade de Negócios e de Segurança da Informação estão alinhados com o Planejamento Estratégico antecipando Riscos e Oportunidades;
• Estes objetivos estão estabelecidos, divulgados e praticados por todos.
http://oglobo.globo.com/blogs/arquivos_upload/2011/11/102_1028-blogperigo.jpg
32
![Page 33: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/33.jpg)
www.datacenterdynamics.com
Sistema Integrado de Gestão
Gestão de Riscos
ISO 31000
Seg. da InformaçãoISO 27001
Cont. de NegóciosISO 22301
Serviços de TIC
ISO 20000ProcessosISO 9000
COBIT, COSO, TOGAF
6 Sigma …
33
![Page 34: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/34.jpg)
www.datacenterdynamics.com
Qual o Caminho Certo?
Este? Ou este?
34
Isto é assunto para outra palestra!
![Page 35: Requisitos da continuidade(dos negócios)na segurança da informação](https://reader033.vdocuments.com.br/reader033/viewer/2022061613/558d2217d8b42a5a0a8b4655/html5/thumbnails/35.jpg)
www.datacenterdynamics.com
Sidney R. ModenesiMBCI, BSI ISO 22301 Technical [email protected]+55 11 5583-0033br.linkedin.com/in/sidneymodenesimbci
35
Esta apresentação estará disponível no site da DatacenterDynamics e também no meu Linkedin via Slideshare.