Professional Documents
Culture Documents
Normas ABNT NBR 15999‐1:2007 e
BS 25999‐2:2007
www.tisafe.com/ppt
Características: Características:
Estatísticamente previsto, Intencional, difícil de quantificar, não há
quantificável, assegurável e limite de fronteiras para sua origem, não
compreensível; há como dimensionar a confiabilidade;
9 ISO 27001, ISO 27002 (Cap. 14)
9 ITIL / ISO 20000 (6.3 Service continuity and availability management)
9 Cobit (DS4)
9 Coso (atendimento à regulamentações)
9 ISO 15408
9 Entre outros...
Segmento Financeiro
9 Resoluções Banco Central (SPB, 3380,
2554, 2817,..)
9Exemplo: 3380 – Risco Operacional
Art. 3º ‐ A estrutura de gerenciamento do risco
operacional deve prever:
VI ‐ existência de plano de contingência contendo as
estratégias a serem adotadas para assegurar
condições de continuidade das atividades e para
limitar graves perdas decorrentes de risco
operacional;
9 Basiléia II
9 BM&F/PQO
9 PCI/DSS
9 BITS
9Mercado de Capitais
9CVM, SEX/SOx
9Segmento Telecom
9CONTRATO DAS TELECOM’S
9Seguros e Previdência
9SUSEP, SPC/CGPC 13
9TCU ‐ Melhores Práticas em Segurança da Informação
9Novo Código Civil
Por que um padrão?
9 Um consenso pleno de todas as partes interessadas, de forma
não imposta (inclui governos, empresas, comércio, ONG's e
profissionais das áreas) ;
9 Atualizado a um ciclo regular ;
9 As melhores práticas não são uma prática generalizada,
embora aspirem...
9 Facilita processos de Auditoria e Certificação, caso necessários
A NBR 15999 é uma norma, orientada ao negócio, que visa subsidiar a
implementação de um SGCN ‐ Sistema de Gerenciamento da Continuidade de
Negócios.
9 Uma aproximação da gerência de risco à continuidade do negócio;
9 Uma aproximação da gerência de risco à continuidade do negócio;
9 A continuidade do negócio é agora uma das discussões mais importantes
9 A continuidade do negócio é agora uma das discussões mais importantes
do risco que concerne às organizações. Ter planos de continuidade do
do risco que concerne às organizações. Ter planos de continuidade do
negócio significa não somente possuir cópias de segurança de sistemas de
negócio significa não somente possuir cópias de segurança de sistemas de
informação e equipamento da contingência ‐ é muito mais complexo:
informação e equipamento da contingência ‐ é muito mais complexo:
9 Não é mais um modismo, mas parte integrante da gestão dos
9 Não é mais um modismo, mas parte integrante da gestão dos
negócios;
negócios;
9 Deve ser integrado através de todas as funções do negócio;
9 Deve ser integrado através de todas as funções do negócio;
9 Não é mais vista como especialidade de TI.
9 Não é mais vista como especialidade de TI.
9 Permite uma avaliação da capacidade de GCN de maneira consistente
e reconhecida.
9 Melhorar proativamente a resiliência da organização contra possíveis
interrupções.
Criação de uma Política de GCN.
Define‐se o Escopo da GCN
9Opções:
9 período máximo de
interrupção;
9 custos de implementação da(s)
Determinando a estratégia(s);
9 conseqüências de não se agir.
Estratégia de
CN
9Recursos a considerar:
9 pessoas;
9 instalações;
A organização estará numa posição 9 tecnologia;
apropriada para efetuar a escolha das 9 informação;
estratégias de continuidade dos negócios 9 suprimentos;
apropriadas ao alcance de seus objetivos 9 partes interessadas.
bem como a sua recuperação.
9Planos:
9 Resposta a Incidentes;
9 Gerenciamento de Incidentes;
Desenvolvendo
e 9 Continuidade de Negócios;
Implementando
uma resposta 9 Recuperação;
de GCN
9 Comunicação (mídia, partes
interessadas).
9Conteúdo:
9 Papéis e responsabilidades;
Desenvolvimento e implementação dos 9 Ativação;
planos apropriados e dos preparativos 9 Contatos (internos e externos);
9 Procedimentos (atividades);
realizados, de forma a garantir a
9 Recursos.
continuidade das atividades críticas e o
gerenciamento dos incidentes.
9Programa de testes;
9Manutenção dos Preparativos:
Testando, 9 Novos produtos, serviços,
Mantendo e
Analisando atividades dependentes, pessoas.
criticamente os
preparativos de 9Análise crítica da capacidade de GCN
GCN
da organização:
9 Política de GCN em
conformidade com as leis,
estratégias;
9 Resultado de testes;
9 Necessidades das partes
Garante que os preparativos para a GCN interessadas.
da organização estejam validados por 9 Auditoria (interna ou externa ou
testes e análises críticas e que sejam auto‐avaliações)
mantidas atualizadas.
9Conscientização:
9 informativos;
9 publicação intranet;
9 CDD;
9 visitas a instalações
alternativas;
9Treinamento:
9 execução de BIA;
9 execução de AR;
9 desenvolvimento de
planos;
O desenvolvimento, promoção e 9 testes de planos.
incorporação da cultura de GCN na
organização garantem que a GCN se
tornará parte dos valores básicos e da
gestão da organização.
Clientes
Áreas de
Administração
Negócios
GCN - Gestão da
Pares Continuidade do Fornecedores
Negócio
Técnicos
Usuários
Regulamentação
Esta norma especifica os requisitos para estabelecer e gerenciar um SGCN
eficaz definido por um programa de GCN.
Isso reforça a importância de:
9Entender as necessidades de continuidade de negócios e de estabelecimento
de uma política e objetivos para a continuidade de negócios;
9Implementar e operar os controles e medidas para gerenciar de forma
abrangente os riscos da continuidade de negócios da organização;
9Monitorar e analisar criticamente a performance e eficácia do SGCN; e
9Melhoria contínua baseada na medida dos objetivos.
9 Uma política;
9 Pessoas com responsabilidades definidas;
9 Processos de gerenciamento relativos a:
a. política;
b. planejamento;
c. implementação e operação;
d. análise de performance;
e. análise crítica do gerenciamento;
f. melhorias;
9 Conjunto de documentação fornecendo evidências auditáveis; e
9 Processos de tópicos específicos relativos ao tema, no caso, continuidade
de negócios, tais como Análise de Impacto nos Negócios (BIA) e
desenvolvimento de plano de continuidade de negócios.
Estabelecendo e Gerenciando o SGCN
Definir os limites de um SGCN e garantir que os objetivos estão claramente
definidos, entendidos e comunicados, o comprometimento demonstrado
da alta direção com a GCN, recursos são alocados e aqueles com
responsabilidades com a GCN são competentes para executar seus papéis.
9Escopo Geral
9Política de GCN
9Provisão de Recursos Gestão
9Habilidades da equipe de GCN do
Programa
de GCN
Incluindo a GCN na cultura da Organização
Garantir que a organização implante a continuidade de negócios dentro de suas
operações de rotina e gestão de processos, independente do seu tamanho ou setor
dentro do qual ela atua.
Documentação e Registros do SGCN
Fornecer clara evidência da operação eficaz do
SGCN e a implementação da GCN na organização.
9Documentação do SGCN
9Controle de Documentos
9Procedimentos
9Controle dos registros do SGCN
9Controle dos documentos do SGCN
Entendendo a Organização
Permitir que a organização identifique as atividades críticas e recursos
necessários para dar suporte aos principais produtos e serviços, entender
suas ameaças e escolher o tratamento de risco adequado.
9Análise de Impacto no Negócio (BIA)
9Análise (avaliação) de Riscos Entendendo a
Organização
9Determinando Opções
Determinando a Estratégia de Continuidade de Negócios
Identificar os acordos de GCN que permitirão a organização recuperar suas
atividades críticas dentro de seus tempos objetivados de recuperação.
Determinando a
Estratégia de
CN
Desenvolvendo e Implementando uma resposta de GCN
Permitir que a organização desenvolva e implemente acordos e planos
apropriados de GCN para gerenciar qualquer incidente e continuar suas
atividades críticas.
Desenvolvendo
e
Implementando
9Considerações Gerais uma resposta
de GCN
9Estrutura de Resposta a Incidentes
9Planos de Continuidade e Gerenciamento de Incidentes
Testando, Mantendo e Analisando Criticamente os Preparativos de GCN
Verificar a contínua eficácia das providências da GCN e dar maior
garantia após um incidente de que as atividades críticas serão
Testando,
recuperadas como definido. Mantendo e
Analisando
criticamente os
preparativos de
9Testes (Exercícios) de GCN GCN
9Mantendo e Revisando os arranjos da GCN
Monitoração e Análise Crítica do SGCN
Garantir que a monitoração do gerenciamento, eficiência e eficácia da
análise crítica do SGCN seja conveniente para: a política de continuidade
de negócios; os objetivos e o escopo; e, para determinar ações de
correção e melhoria.
9Auditoria Interna
9Revisão Gerencial (Análise Crítica):
9Revisão de Entradas
9Revisão de Saídas
Manutenção e Melhoria do SGCN
Manter e melhorar a eficiência e eficácia do SGCN através de ações
corretivas e preventivas, quando determinado pela análise crítica do
gerenciamento.
9Ações Preventivas e Corretivas
9Melhoria Contínua
9 BS 25999‐2: 2007
Gerenciamento da Continuidade de Negócios. Parte 2: Especificação; é a BS
certificável.
9 atrair e assegurar clientes, protegendo e realçando sua reputação e marca
9 atrair e assegurar clientes, protegendo e realçando sua reputação e marca
9 demonstrar liderança do mercado;
9 demonstrar liderança do mercado;
9 criar vantagem competitiva;
9 criar vantagem competitiva;
9 desenvolver e manter as melhores práticas.
9 desenvolver e manter as melhores práticas.
9Abre novos mercados e ajuda a obter novos negócios;
9Abre novos mercados e ajuda a obter novos negócios;
9Demonstra que as leis e regulamentos aplicáveis estão sendo observados;
9Demonstra que as leis e regulamentos aplicáveis estão sendo observados;
9Cria uma oportunidade para redução de encargos de auditorias internas e externas de
9Cria uma oportunidade para redução de encargos de auditorias internas e externas de
GCN e pode reduzir prêmios de seguro sobre a interrupção do negócio.
GCN e pode reduzir prêmios de seguro sobre a interrupção do negócio.
9 É um processo robusto
9 É praticado e testado
9 Pode ser validado
9 É a BS 25999 (NBR 15999)
Safetynet / Guardian IT
Safetynet / Guardian IT
• Eletrônico
– www.tisafe.com
– contato@tisafe.com
– Skype: ti-safe (somente voz)
• Telefones
– Rio de Janeiro: (21) 3005-4318 / (21) 2577-0658
– São Paulo: (11) 2122-4236
– Florianópolis: (48) 4062-0172
– Belo Horizonte: (31) 2626-4319
– Porto Alegre: (51) 2626-1253