SlideShare uma empresa Scribd logo

Requisitos da continuidade (dos negócios) na segurança da informação

Transferir como PPTX, PDF
Sidney Modenesi, MBCI
Sidney Modenesi, MBCI

O documento discute os requisitos da continuidade de negócios na segurança da informação. Apresenta o sistema de gestão da continuidade de negócios e discute a importância de assegurar que a segurança da informação esteja inserida neste sistema para garantir a continuidade mesmo em situações de contingência. Também aborda exemplos de ameaças potenciais à segurança da informação e a relação entre esta área e a continuidade de negócios.

Tecnologia
1 de 35
Requisitos da continuidade (dos negócios) na segurança da informação Sidney R. Modenesi, MBCI, ISO 22301 BSI Technical Expert Forum Leader Brasil BCI – The Business Continuity Institute www.thebci.org São Paulo, 05 de Novembro de 2014 www.datacenterdynamics.com 1
www.datacenterdynamics.com Apresentações Sidney R. Modenesi • Gerente da STROHL Brasil; • ISO 22301 BSI Technical Expert, 2013; • Certificado MBCI pelo BCI em 2006; • Mais de 25 anos de experiência em DRP/BCM; • Instrutor internacional de BCM (ISO 22301, 22313 & outras); • Representante do BCI - Business Continuity Institute no Brasil. br.linkedin.com/in/sidneymodenesimbci/ BCI – Business Continuity Institute • Instituto inglês, sem fins lucrativos; • Promove a arte e a ciência da Continuidade de Negócios pelo mundo; • Colabora no desenvolvimento de normas e boas praticas de Continuidade de Negócios; • Tem um programa capacitação e certificação profissional. www.thebci.org 2
www.datacenterdynamics.com Requisitos da continuidade na segurança da informação
Controles e Objetivos de controle – A17 www.datacenterdynamics.com 4
Objetivo www.datacenterdynamics.com Assegurar que a continuidade da segurança da informação esteja (DEVE) inserida no Sistema de Gestão da Continuidade de Negócios da organização. Ou seja, mesmo numa contingência real a segurança da informação DEVE estar operando. 5
Sistema de Gestão da Continuidade de Negócios Processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio caso estas ameaças se concretizem. Este processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder eficazmente e salvaguardar os interesses das partes interessadas, a reputação e a marca da organização e suas atividades de valor agregado. ABNT NBR/ISO 22301:2012 Segurança da sociedade — Sistema de gestão de continuidade de negócios — Requisitos www.datacenterdynamics.com 6
www.datacenterdynamics.com PDCA model applied to BCMS processes - ISO 22301:2012 7 Ciclo de vida da ISO 22301:2012
Leis e Regulamentações Normas e Boas Práticas Leis e Regulamentações • Resolução 3380:2006 – BACEN - Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional • Circular 285:2005 – SUSEP - Estabelece cadastro de recursos e mapa de saldos, referentes às áreas de tecnologia da informação e contábil ... • DECRETO Nº 6.523:2008 – Regulamenta a Lei no 8.078, de 11 de setembro de 1990, para fixar normas gerais sobre o Serviço de Atendimento ao Consumidor - SAC. • Lei Sarbanes-Oxley, JSOX ... • ISO 22301- 4.2.2 Requisitos legais e regulatórios - Cada empresa deve sistematicamente revisar e avaliar todas as leis, normas, regulamentações ou itens regulatórios a que está sujeita. www.datacenterdynamics.com
Leis e Regulamentações Normas e Boas Práticas Normas e Boas Práticas • ABNT NBR/ISO 22301:2013 - Segurança da sociedade — Sistema de gestão de continuidade de negócios — Requisitos • ISO 22313:2012 - Societal security — Business continuity management systems — Guidance • ISO 22398:2013 - Societal security — Guidelines for exercises • ISO 31000:2009 - Risk management — Principles and guidelines • BS 11200:2014 - Crisis management – Guidance and good practice • ISO 20000 partes 1 e 2 - Information technology — Service management • ISO 27001 e 27002 - Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação www.datacenterdynamics.com
Tipos de Ameaças Potenciais www.datacenterdynamics.com 10 Naturais Mudanças climáticas: calor, frio, chuva ou seca intensa; terremoto, vulcão, furacão ... Físicas Incêndio ou outras emergências, vazamento tóxico no sítio ou nas proximidades, segurança de acesso, invasões, terrorismo ... Humanas Absenteísmo: greve, pandemia, epidemia; terrorismo, atentado, manifestação ... Segurança da Informação Invasões, roubo ou vazamento de informações, hackers, vírus, trojan ... Combinação de várias Naturais e/ou físicas e/ou humanas e/ou de segurança da informação na organização ou na sua cadeia de fornecedores
EXEMPLOS DE AMEAÇAS POTENCIAIS DE SEGURANÇA DA INFORMAÇÃO www.datacenterdynamics.com
I can´t allow the US government to destroy privacy and basic liberties Edward Joseph Snowden1 (Elizabeth City, 21 de junho de 1983) é um analista de sistemas, 2 ex-funcionário da (CIA) e ex-contratado da (NSA) 3 que tornou público detalhes de vários programas que constituem o sistema de vigilância global da NSA americana e fotos comprometedoras do presidente americano, Barack Obama. http://pt.wikipedia.org/wiki/Edward_Snowden www.datacenterdynamics.com 12
www.datacenterdynamics.com 13
Mais Exemplos www.datacenterdynamics.com 14
Mais Exemplos www.datacenterdynamics.com 15
www.datacenterdynamics.com Executives should understand 4 basic points about security: 1.A well-executed data breach is potentially more dangerous to your business than a recession. 2.Cybercrime isn’t someone else’s problem; it’s your problem. 3.There’s a reason for the deafening silence. Just because you haven’t heard your C-suite peers at other firms talk of security breaches doesn’t mean they’re not happening, nor does the fact that you haven’t found anything in your systems mean you’re safe. 4.You probably don’t understand where your data is. 16 Responsabilidades
Institute of Risk Management www.theirm.org/documents/Final_IRM_CyberRisk_ExecSumm_A 5_low-res.pdf www.datacenterdynamics.com Verizon's 2024 Data Breach Report www.verizonenterprise.com/DBIR/2014/reports/rp_Verizon-DBIR- 2014_en_xg.pdf 17
SEGURANÇA DA INFORMAÇÃO E CONTINUIDADE DE NEGÓCIOS www.datacenterdynamics.com
Segurança da Informação e Continuidade de Negócios Segurança da informação  Ameaça potencial Ameaça potencial  Impactos nas operações www.datacenterdynamics.com Impactos  financeiros, operacionais, imagem, regulatórios, credibilidade ... 19
C.N. – Planejamento Visão Simplificada Programa evolutivo assegurar às partes interessadas que tudo funcionará no pior cenário a qualquer tempo www.datacenterdynamics.com Análise de Riscos Análise de Impacto nos Negócios Estratégias de Recuperação Exercícios e Testes Evolutivos Desenvolvimento dos Planos de Contingência 20 Riscos: •Infraestrutura •TIC •Segurança da Informação •Recursos humanos Impactos: •financeiros •operacionais •MTPD, MBCO •RTO, RPO Apetite ao Risco CAPEX, OPEX vs. Impactos Planos Resposta a Incidentes Gerenc. de Crise Comunicação de TIC  DRP de Negócios
Cenários de Ameaças Potenciais www.datacenterdynamics.com Sede 1 Provedor de serviços de TIC Xxx colaboradores Centrais de Atend., Varias áreas de negócio Data Center local Sede 2 X X X PABX Centrais de atendimento Áreas de negócio Data Center local Zzz colaboradores Centrais de Atend., Outras áreas de negócios X X 21
Mudanças Contínuas • Mercado; • Legislação e/ou regulamentação; • Tecnologia; • Processos; • Ameaças potenciais Riscos; • Oportunidades; www.datacenterdynamics.com 22 “Hoje, a única certeza, é a certeza da mudança” Dr. José Arnaldo Deutscher, economista pela UFRJ
Apetite ao Risco (Depende do Cenário de Ameaça Potencial) www.datacenterdynamics.com tempo CAPEX e OPEX IMPACTOS R$ t0 t1< t0 < Apetite ao Risco t2 > t0 > Apetite ao Risco R$ 23 •Perda de receita •Multas e penalidades, •Imagem da empresa, •Itens regulatórios: Código Civil, Lei do SAC, Compliance com órgãos reguladores •... • Espaço físico • Mesas, cadeiras • Telefones, fax • Micros • PAs • Registros vitais • ... • Infraestrutura: • links •energia elétrica • ar condicionado • suprimentos • ...
ISO 27001 e 22301 www.datacenterdynamics.com ISO 22301 5.1 Liderança e comprometimento Os membros da Alta Direção e demais gestores com papéis relevantes dentro da organização devem demonstrar liderança em relação ao SGCN. 5.2 Comprometimento da Direção ... garantir que políticas e objetivos sejam estabelecidos para o SGCN e que sejam compatíveis com as diretrizes estratégicas da organização. 24 ISO 27001 5.1 Liderança e comprometimento A Alta Direção deve demonstrar comprometimento em relação ao sistema de gestão da segurança da informação pelos seguintes meios: a) assegurando que a política de segurança da informação e os objetivos de segurança da informação estão estabelecidos e são compatíveis com a direção estratégica da organização
A Organização Conhece? • O seu apetite ao risco? – Riscos e oportunidades • Seu contexto e sua organização? • Suas necessidades internas e externas? • As expectativas das partes interessadas? – Níveis de serviço por exemplo; • As leis e regulamentações a serem cumpridas? www.datacenterdynamics.com 25
www.datacenterdynamics.com RECEITA TRADICIONAL
Ingredientes • Use, ingredientes de boa qualidade; • CRO – Chief Risk Officer - ISO 31000 e 31010; • BCC – Business Continuity Coordinator – ISO 22301 e 22313; • CIO – ISO 20000, ITIL; • CSO – Chief Security Officer – ISO 27001 e 27002; • Processos – ISO 9000; • Adicione na medida do necessário: leis, regulamentações, COBIT, COSO, TOGAF, 6 Sigma … www.datacenterdynamics.com 27
Modo de Preparo www.datacenterdynamics.com 28 1. Faça uma boa Análise de Riscos no contexto do programa (Continuidade de Negócios ou Segurança da Informação) e reserve; 2. Alinhe os resultados da Análise de Riscos com a Análise de Riscos Corporativos – CRO e reserve;
Modo de Preparo 3. Faça uma boa Análise www.datacenterdynamics.com (Executiva/Estratégica) de Impacto nos Negócios no contexto do programa e reserve; – pode ter múltiplos cenários; 4. Estime os investimentos, despesas recorrentes, recursos necessários, gaps e prazos realistas de implantação do programa e reserve. 29
Modo de Preparo • Desenvolva uma excelente apresentação executiva e respectivo relatório de apoio; – Tenha pronto o detalhamento (racional); –  Modo de Preparo; • APETITE AO RISCO – DECISÃO • Faça os ajustes no Programa/Projeto x Apetite ao Risco aprovado; • Servir a gosto  Execute como definido! www.datacenterdynamics.com 30
Riscos e Oportunidades do Programa www.datacenterdynamics.com http://proatividademercado.com.br/o-conceito 31
A Organização será Proativa (continuidade de negócios e segurança da informação) • O nível C está alinhado, o Apetite ao Risco está definido e divulgado; • Os programas de Continuidade de Negócios e de Segurança da Informação estão alinhados com o Planejamento Estratégico antecipando Riscos e Oportunidades; • Estes objetivos estão estabelecidos, divulgados e praticados por todos. www.datacenterdynamics.com http://oglobo.globo.com/blogs/arquivos_upload/2011/ 11/102_1028-blogperigo.jpg 32
Sistema Integrado de Gestão www.datacenterdynamics.com Gestão de Riscos ISO 31000 Cont. de Negócios ISO 22301 Seg. da Informação ISO 27001 Serviços de TIC ISO 20000 Processos ISO 9000 COBIT, COSO, TOGAF 6 Sigma … 33
Qual o Caminho Certo? www.datacenterdynamics.com Este? Ou este? 34 Isto é assunto para outra palestra!
www.datacenterdynamics.com Sidney R. Modenesi MBCI, BSI ISO 22301 Technical Expert sidneymd@thebci.com.br +55 11 5583-0033 br.linkedin.com/in/sidneymodenesimbci 35 Esta apresentação estará disponível no site da DatacenterDynamics e também no meu Linkedin via Slideshare.

Recomendados

A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das OrganizaçõesA Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das OrganizaçõesSidney Modenesi, MBCI
 
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do FuturoEscalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do FuturoSidney Modenesi, MBCI
 
Palestra sobre as relações entre Compliance e Continuidade de Negócios
Palestra sobre as relações entre Compliance e Continuidade de NegóciosPalestra sobre as relações entre Compliance e Continuidade de Negócios
Palestra sobre as relações entre Compliance e Continuidade de NegóciosSidney Modenesi, MBCI
 
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioImplantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioSidney Modenesi, MBCI
 
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...Sidney Modenesi, MBCI
 
Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Carlos Henrique Martins da Silva
 
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...Sidney Modenesi, MBCI
 
WannaCry 3.0
WannaCry 3.0WannaCry 3.0
WannaCry 3.0Sidney Modenesi, MBCI
 

Recomendados

A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das OrganizaçõesA Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das OrganizaçõesSidney Modenesi, MBCI
 
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do FuturoEscalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do FuturoSidney Modenesi, MBCI
 
Palestra sobre as relações entre Compliance e Continuidade de Negócios
Palestra sobre as relações entre Compliance e Continuidade de NegóciosPalestra sobre as relações entre Compliance e Continuidade de Negócios
Palestra sobre as relações entre Compliance e Continuidade de NegóciosSidney Modenesi, MBCI
 
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioImplantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioSidney Modenesi, MBCI
 
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...Sidney Modenesi, MBCI
 
Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Carlos Henrique Martins da Silva
 
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...Sidney Modenesi, MBCI
 
WannaCry 3.0
WannaCry 3.0WannaCry 3.0
WannaCry 3.0Sidney Modenesi, MBCI
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosAlvaro Gulliver
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de NegóciosInformaGroup
 
Palestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosPalestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosGLM Consultoria
 
Plano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TIPlano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TICompanyWeb
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationCurso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationAdriano Martins Antonio
 
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)CompanyWeb
 
Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewCurso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewData Security
 
Plano de continuidade de negocios
Plano de continuidade de negociosPlano de continuidade de negocios
Plano de continuidade de negociosFernando Pessoal
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000Fernando Palma
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de NegóciosCIMCORP
 
Monitoramento e Avaliacao de Programas de Conformidade APOSTILA
Monitoramento e Avaliacao de Programas de Conformidade APOSTILAMonitoramento e Avaliacao de Programas de Conformidade APOSTILA
Monitoramento e Avaliacao de Programas de Conformidade APOSTILAGilberto C Porto
 
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Marcelo Veloso
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosCarlos Henrique Martins da Silva
 
Gestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta EstratégicaGestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta EstratégicaGledson Scotti
 
Exemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiExemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiFernando Palma
 
Plano de continuidade dos negócios
Plano de continuidade dos negóciosPlano de continuidade dos negócios
Plano de continuidade dos negóciosData Security
 
Curso Technologia da Informação para Concurso TRT 1ª 2014
Curso Technologia da Informação para Concurso TRT 1ª 2014Curso Technologia da Informação para Concurso TRT 1ª 2014
Curso Technologia da Informação para Concurso TRT 1ª 2014Estratégia Concursos
 
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)EloGroup
 
GCN - Gestão de Continuidade de Negócios
GCN - Gestão de Continuidade de NegóciosGCN - Gestão de Continuidade de Negócios
GCN - Gestão de Continuidade de NegóciosCassio Henrique. F. Ramos, CRISC
 
BIA - Business Impact Analysis
BIA - Business Impact AnalysisBIA - Business Impact Analysis
BIA - Business Impact AnalysisAllan Piter Pressi
 
Segurança da Informação e Governança em TI
Segurança da Informação e Governança em TISegurança da Informação e Governança em TI
Segurança da Informação e Governança em TICongresso Catarinense de Ciências da Computação
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSARoney Médice
 

Mais conteúdo relacionado

Mais procurados

Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosAlvaro Gulliver
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de NegóciosInformaGroup
 
Palestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosPalestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosGLM Consultoria
 
Plano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TIPlano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TICompanyWeb
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationCurso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationAdriano Martins Antonio
 
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)CompanyWeb
 
Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewCurso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewData Security
 
Plano de continuidade de negocios
Plano de continuidade de negociosPlano de continuidade de negocios
Plano de continuidade de negociosFernando Pessoal
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000Fernando Palma
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de NegóciosCIMCORP
 
Monitoramento e Avaliacao de Programas de Conformidade APOSTILA
Monitoramento e Avaliacao de Programas de Conformidade APOSTILAMonitoramento e Avaliacao de Programas de Conformidade APOSTILA
Monitoramento e Avaliacao de Programas de Conformidade APOSTILAGilberto C Porto
 
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Marcelo Veloso
 
Gestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta EstratégicaGestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta EstratégicaGledson Scotti
 
Exemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiExemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiFernando Palma
 
Plano de continuidade dos negócios
Plano de continuidade dos negóciosPlano de continuidade dos negócios
Plano de continuidade dos negóciosData Security
 
Curso Technologia da Informação para Concurso TRT 1ª 2014
Curso Technologia da Informação para Concurso TRT 1ª 2014Curso Technologia da Informação para Concurso TRT 1ª 2014
Curso Technologia da Informação para Concurso TRT 1ª 2014Estratégia Concursos
 
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)EloGroup
 
BIA - Business Impact Analysis
BIA - Business Impact AnalysisBIA - Business Impact Analysis
BIA - Business Impact AnalysisAllan Piter Pressi
 

Mais procurados (20)

Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de Negócios
 
Palestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosPalestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de Negócios
 
Plano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TIPlano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TI
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationCurso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundation
 
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)
 
Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewCurso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - Overview
 
Plano de continuidade de negocios
Plano de continuidade de negociosPlano de continuidade de negocios
Plano de continuidade de negocios
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de Negócios
 
Monitoramento e Avaliacao de Programas de Conformidade APOSTILA
Monitoramento e Avaliacao de Programas de Conformidade APOSTILAMonitoramento e Avaliacao de Programas de Conformidade APOSTILA
Monitoramento e Avaliacao de Programas de Conformidade APOSTILA
 
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de Riscos
 
Gestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta EstratégicaGestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta Estratégica
 
Exemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiExemplo de plano de continuidade de ti
Exemplo de plano de continuidade de ti
 
Plano de continuidade dos negócios
Plano de continuidade dos negóciosPlano de continuidade dos negócios
Plano de continuidade dos negócios
 
Curso Technologia da Informação para Concurso TRT 1ª 2014
Curso Technologia da Informação para Concurso TRT 1ª 2014Curso Technologia da Informação para Concurso TRT 1ª 2014
Curso Technologia da Informação para Concurso TRT 1ª 2014
 
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
 
GCN - Gestão de Continuidade de Negócios
GCN - Gestão de Continuidade de NegóciosGCN - Gestão de Continuidade de Negócios
GCN - Gestão de Continuidade de Negócios
 
BIA - Business Impact Analysis
BIA - Business Impact AnalysisBIA - Business Impact Analysis
BIA - Business Impact Analysis
 

Semelhante a Requisitos da continuidade (dos negócios) na segurança da informação

Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSARoney Médice
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Edson Aguilera-Fernandes
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationCompanyWeb
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeSymantec Brasil
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosBruno Oliveira
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptxVIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptxricardocapozzi1
 
Praticas de uso da internet dentro de empresas
Praticas de uso da internet dentro de empresas Praticas de uso da internet dentro de empresas
Praticas de uso da internet dentro de empresas Jorge Quintao
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoTI Infnet
 
Você está preparado para o GDPR?
Você está preparado para o GDPR?Você está preparado para o GDPR?
Você está preparado para o GDPR?Centus Consultoria
 
Analista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdfAnalista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdfLucianoDejesus15
 
Práticas de uso da internet dentro das empresas
Práticas de uso da internet dentro das empresasPráticas de uso da internet dentro das empresas
Práticas de uso da internet dentro das empresasJorge Quintao
 
in Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresin Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresRodrigo Jorge
 

Semelhante a Requisitos da continuidade (dos negócios) na segurança da informação (20)

Segurança da Informação e Governança em TI
Segurança da Informação e Governança em TISegurança da Informação e Governança em TI
Segurança da Informação e Governança em TI
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSA
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
4h Consulting
4h Consulting4h Consulting
4h Consulting
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
 
LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptxVIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
 
Praticas de uso da internet dentro de empresas
Praticas de uso da internet dentro de empresas Praticas de uso da internet dentro de empresas
Praticas de uso da internet dentro de empresas
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
 
Você está preparado para o GDPR?
Você está preparado para o GDPR?Você está preparado para o GDPR?
Você está preparado para o GDPR?
 
Analista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdfAnalista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdf
 
Práticas de uso da internet dentro das empresas
Práticas de uso da internet dentro das empresasPráticas de uso da internet dentro das empresas
Práticas de uso da internet dentro das empresas
 
Palestra
PalestraPalestra
Palestra
 
in Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresin Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestores
 
Palestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de RiscosPalestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de Riscos
 
Whitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-ptWhitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-pt
 

Mais de Sidney Modenesi, MBCI

e-book DRP Alinhado às Necessidades do Negócio
e-book DRP Alinhado às Necessidades do Negócioe-book DRP Alinhado às Necessidades do Negócio
e-book DRP Alinhado às Necessidades do NegócioSidney Modenesi, MBCI
 
Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Sidney Modenesi, MBCI
 
Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Sidney Modenesi, MBCI
 
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)Sidney Modenesi, MBCI
 
A continuidade da nossa vida profissional
A continuidade da nossa vida profissionalA continuidade da nossa vida profissional
A continuidade da nossa vida profissionalSidney Modenesi, MBCI
 
O Brasil precisa de continuidade (de negócios)?
O Brasil precisa de continuidade (de negócios)?O Brasil precisa de continuidade (de negócios)?
O Brasil precisa de continuidade (de negócios)?Sidney Modenesi, MBCI
 
BCAW - Business Continuity Awareness Week 2016
BCAW - Business Continuity Awareness Week 2016BCAW - Business Continuity Awareness Week 2016
BCAW - Business Continuity Awareness Week 2016Sidney Modenesi, MBCI
 
Data Center and Business Continuity in 2040
Data Center and Business Continuity in 2040Data Center and Business Continuity in 2040
Data Center and Business Continuity in 2040Sidney Modenesi, MBCI
 
ISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practicesISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practicesSidney Modenesi, MBCI
 
Business Continuity or Survival of Business?
Business Continuity or Survival of Business?Business Continuity or Survival of Business?
Business Continuity or Survival of Business?Sidney Modenesi, MBCI
 
A continuidade da nossa vida profissional
A continuidade da nossa vida profissionalA continuidade da nossa vida profissional
A continuidade da nossa vida profissionalSidney Modenesi, MBCI
 
A Crise Energética e seus impactos nos Data Centers
A Crise Energética e seus impactos nos Data CentersA Crise Energética e seus impactos nos Data Centers
A Crise Energética e seus impactos nos Data CentersSidney Modenesi, MBCI
 
A Crise Energética Brasileira e seu Impacto nos Data Centers
A Crise Energética Brasileira e seu Impacto nos Data CentersA Crise Energética Brasileira e seu Impacto nos Data Centers
A Crise Energética Brasileira e seu Impacto nos Data CentersSidney Modenesi, MBCI
 
Uma vida em continuidade - A life in continuity
Uma vida em continuidade - A life in continuityUma vida em continuidade - A life in continuity
Uma vida em continuidade - A life in continuitySidney Modenesi, MBCI
 
Implementing your BC program in conformity with ISO 22301
Implementing your BC program in conformity with ISO 22301 Implementing your BC program in conformity with ISO 22301
Implementing your BC program in conformity with ISO 22301 Sidney Modenesi, MBCI
 
Scoping, implementing and Improving the BCMS
Scoping, implementing and Improving the BCMSScoping, implementing and Improving the BCMS
Scoping, implementing and Improving the BCMSSidney Modenesi, MBCI
 
BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?Sidney Modenesi, MBCI
 
BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?Sidney Modenesi, MBCI
 

Mais de Sidney Modenesi, MBCI (20)

e-book DRP Alinhado às Necessidades do Negócio
e-book DRP Alinhado às Necessidades do Negócioe-book DRP Alinhado às Necessidades do Negócio
e-book DRP Alinhado às Necessidades do Negócio
 
Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313
 
Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313
 
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
 
A continuidade da nossa vida profissional
A continuidade da nossa vida profissionalA continuidade da nossa vida profissional
A continuidade da nossa vida profissional
 
O Brasil precisa de continuidade (de negócios)?
O Brasil precisa de continuidade (de negócios)?O Brasil precisa de continuidade (de negócios)?
O Brasil precisa de continuidade (de negócios)?
 
BCAW - Business Continuity Awareness Week 2016
BCAW - Business Continuity Awareness Week 2016BCAW - Business Continuity Awareness Week 2016
BCAW - Business Continuity Awareness Week 2016
 
Programa de Capacitação - 2016
Programa de Capacitação - 2016Programa de Capacitação - 2016
Programa de Capacitação - 2016
 
Data Center and Business Continuity in 2040
Data Center and Business Continuity in 2040Data Center and Business Continuity in 2040
Data Center and Business Continuity in 2040
 
ISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practicesISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practices
 
Business Continuity or Survival of Business?
Business Continuity or Survival of Business?Business Continuity or Survival of Business?
Business Continuity or Survival of Business?
 
A continuidade da nossa vida profissional
A continuidade da nossa vida profissionalA continuidade da nossa vida profissional
A continuidade da nossa vida profissional
 
A Crise Energética e seus impactos nos Data Centers
A Crise Energética e seus impactos nos Data CentersA Crise Energética e seus impactos nos Data Centers
A Crise Energética e seus impactos nos Data Centers
 
A Crise Energética Brasileira e seu Impacto nos Data Centers
A Crise Energética Brasileira e seu Impacto nos Data CentersA Crise Energética Brasileira e seu Impacto nos Data Centers
A Crise Energética Brasileira e seu Impacto nos Data Centers
 
Uma vida em continuidade - A life in continuity
Uma vida em continuidade - A life in continuityUma vida em continuidade - A life in continuity
Uma vida em continuidade - A life in continuity
 
A Copa do Mundo e a GCN
A Copa do Mundo e a GCNA Copa do Mundo e a GCN
A Copa do Mundo e a GCN
 
Implementing your BC program in conformity with ISO 22301
Implementing your BC program in conformity with ISO 22301 Implementing your BC program in conformity with ISO 22301
Implementing your BC program in conformity with ISO 22301
 
Scoping, implementing and Improving the BCMS
Scoping, implementing and Improving the BCMSScoping, implementing and Improving the BCMS
Scoping, implementing and Improving the BCMS
 
BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?
 
BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?
 

Requisitos da continuidade (dos negócios) na segurança da informação

  • 1. Requisitos da continuidade (dos negócios) na segurança da informação Sidney R. Modenesi, MBCI, ISO 22301 BSI Technical Expert Forum Leader Brasil BCI – The Business Continuity Institute www.thebci.org São Paulo, 05 de Novembro de 2014 www.datacenterdynamics.com 1
  • 2. www.datacenterdynamics.com Apresentações Sidney R. Modenesi • Gerente da STROHL Brasil; • ISO 22301 BSI Technical Expert, 2013; • Certificado MBCI pelo BCI em 2006; • Mais de 25 anos de experiência em DRP/BCM; • Instrutor internacional de BCM (ISO 22301, 22313 & outras); • Representante do BCI - Business Continuity Institute no Brasil. br.linkedin.com/in/sidneymodenesimbci/ BCI – Business Continuity Institute • Instituto inglês, sem fins lucrativos; • Promove a arte e a ciência da Continuidade de Negócios pelo mundo; • Colabora no desenvolvimento de normas e boas praticas de Continuidade de Negócios; • Tem um programa capacitação e certificação profissional. www.thebci.org 2
  • 3. www.datacenterdynamics.com Requisitos da continuidade na segurança da informação
  • 4. Controles e Objetivos de controle – A17 www.datacenterdynamics.com 4
  • 5. Objetivo www.datacenterdynamics.com Assegurar que a continuidade da segurança da informação esteja (DEVE) inserida no Sistema de Gestão da Continuidade de Negócios da organização. Ou seja, mesmo numa contingência real a segurança da informação DEVE estar operando. 5
  • 6. Sistema de Gestão da Continuidade de Negócios Processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio caso estas ameaças se concretizem. Este processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder eficazmente e salvaguardar os interesses das partes interessadas, a reputação e a marca da organização e suas atividades de valor agregado. ABNT NBR/ISO 22301:2012 Segurança da sociedade — Sistema de gestão de continuidade de negócios — Requisitos www.datacenterdynamics.com 6
  • 7. www.datacenterdynamics.com PDCA model applied to BCMS processes - ISO 22301:2012 7 Ciclo de vida da ISO 22301:2012
  • 8. Leis e Regulamentações Normas e Boas Práticas Leis e Regulamentações • Resolução 3380:2006 – BACEN - Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional • Circular 285:2005 – SUSEP - Estabelece cadastro de recursos e mapa de saldos, referentes às áreas de tecnologia da informação e contábil ... • DECRETO Nº 6.523:2008 – Regulamenta a Lei no 8.078, de 11 de setembro de 1990, para fixar normas gerais sobre o Serviço de Atendimento ao Consumidor - SAC. • Lei Sarbanes-Oxley, JSOX ... • ISO 22301- 4.2.2 Requisitos legais e regulatórios - Cada empresa deve sistematicamente revisar e avaliar todas as leis, normas, regulamentações ou itens regulatórios a que está sujeita. www.datacenterdynamics.com
  • 9. Leis e Regulamentações Normas e Boas Práticas Normas e Boas Práticas • ABNT NBR/ISO 22301:2013 - Segurança da sociedade — Sistema de gestão de continuidade de negócios — Requisitos • ISO 22313:2012 - Societal security — Business continuity management systems — Guidance • ISO 22398:2013 - Societal security — Guidelines for exercises • ISO 31000:2009 - Risk management — Principles and guidelines • BS 11200:2014 - Crisis management – Guidance and good practice • ISO 20000 partes 1 e 2 - Information technology — Service management • ISO 27001 e 27002 - Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação www.datacenterdynamics.com
  • 10. Tipos de Ameaças Potenciais www.datacenterdynamics.com 10 Naturais Mudanças climáticas: calor, frio, chuva ou seca intensa; terremoto, vulcão, furacão ... Físicas Incêndio ou outras emergências, vazamento tóxico no sítio ou nas proximidades, segurança de acesso, invasões, terrorismo ... Humanas Absenteísmo: greve, pandemia, epidemia; terrorismo, atentado, manifestação ... Segurança da Informação Invasões, roubo ou vazamento de informações, hackers, vírus, trojan ... Combinação de várias Naturais e/ou físicas e/ou humanas e/ou de segurança da informação na organização ou na sua cadeia de fornecedores
  • 11. EXEMPLOS DE AMEAÇAS POTENCIAIS DE SEGURANÇA DA INFORMAÇÃO www.datacenterdynamics.com
  • 12. I can´t allow the US government to destroy privacy and basic liberties Edward Joseph Snowden1 (Elizabeth City, 21 de junho de 1983) é um analista de sistemas, 2 ex-funcionário da (CIA) e ex-contratado da (NSA) 3 que tornou público detalhes de vários programas que constituem o sistema de vigilância global da NSA americana e fotos comprometedoras do presidente americano, Barack Obama. http://pt.wikipedia.org/wiki/Edward_Snowden www.datacenterdynamics.com 12
  • 16. www.datacenterdynamics.com Executives should understand 4 basic points about security: 1.A well-executed data breach is potentially more dangerous to your business than a recession. 2.Cybercrime isn’t someone else’s problem; it’s your problem. 3.There’s a reason for the deafening silence. Just because you haven’t heard your C-suite peers at other firms talk of security breaches doesn’t mean they’re not happening, nor does the fact that you haven’t found anything in your systems mean you’re safe. 4.You probably don’t understand where your data is. 16 Responsabilidades
  • 17. Institute of Risk Management www.theirm.org/documents/Final_IRM_CyberRisk_ExecSumm_A 5_low-res.pdf www.datacenterdynamics.com Verizon's 2024 Data Breach Report www.verizonenterprise.com/DBIR/2014/reports/rp_Verizon-DBIR- 2014_en_xg.pdf 17
  • 18. SEGURANÇA DA INFORMAÇÃO E CONTINUIDADE DE NEGÓCIOS www.datacenterdynamics.com
  • 19. Segurança da Informação e Continuidade de Negócios Segurança da informação  Ameaça potencial Ameaça potencial  Impactos nas operações www.datacenterdynamics.com Impactos  financeiros, operacionais, imagem, regulatórios, credibilidade ... 19
  • 20. C.N. – Planejamento Visão Simplificada Programa evolutivo assegurar às partes interessadas que tudo funcionará no pior cenário a qualquer tempo www.datacenterdynamics.com Análise de Riscos Análise de Impacto nos Negócios Estratégias de Recuperação Exercícios e Testes Evolutivos Desenvolvimento dos Planos de Contingência 20 Riscos: •Infraestrutura •TIC •Segurança da Informação •Recursos humanos Impactos: •financeiros •operacionais •MTPD, MBCO •RTO, RPO Apetite ao Risco CAPEX, OPEX vs. Impactos Planos Resposta a Incidentes Gerenc. de Crise Comunicação de TIC  DRP de Negócios
  • 21. Cenários de Ameaças Potenciais www.datacenterdynamics.com Sede 1 Provedor de serviços de TIC Xxx colaboradores Centrais de Atend., Varias áreas de negócio Data Center local Sede 2 X X X PABX Centrais de atendimento Áreas de negócio Data Center local Zzz colaboradores Centrais de Atend., Outras áreas de negócios X X 21
  • 22. Mudanças Contínuas • Mercado; • Legislação e/ou regulamentação; • Tecnologia; • Processos; • Ameaças potenciais Riscos; • Oportunidades; www.datacenterdynamics.com 22 “Hoje, a única certeza, é a certeza da mudança” Dr. José Arnaldo Deutscher, economista pela UFRJ
  • 23. Apetite ao Risco (Depende do Cenário de Ameaça Potencial) www.datacenterdynamics.com tempo CAPEX e OPEX IMPACTOS R$ t0 t1< t0 < Apetite ao Risco t2 > t0 > Apetite ao Risco R$ 23 •Perda de receita •Multas e penalidades, •Imagem da empresa, •Itens regulatórios: Código Civil, Lei do SAC, Compliance com órgãos reguladores •... • Espaço físico • Mesas, cadeiras • Telefones, fax • Micros • PAs • Registros vitais • ... • Infraestrutura: • links •energia elétrica • ar condicionado • suprimentos • ...
  • 24. ISO 27001 e 22301 www.datacenterdynamics.com ISO 22301 5.1 Liderança e comprometimento Os membros da Alta Direção e demais gestores com papéis relevantes dentro da organização devem demonstrar liderança em relação ao SGCN. 5.2 Comprometimento da Direção ... garantir que políticas e objetivos sejam estabelecidos para o SGCN e que sejam compatíveis com as diretrizes estratégicas da organização. 24 ISO 27001 5.1 Liderança e comprometimento A Alta Direção deve demonstrar comprometimento em relação ao sistema de gestão da segurança da informação pelos seguintes meios: a) assegurando que a política de segurança da informação e os objetivos de segurança da informação estão estabelecidos e são compatíveis com a direção estratégica da organização
  • 25. A Organização Conhece? • O seu apetite ao risco? – Riscos e oportunidades • Seu contexto e sua organização? • Suas necessidades internas e externas? • As expectativas das partes interessadas? – Níveis de serviço por exemplo; • As leis e regulamentações a serem cumpridas? www.datacenterdynamics.com 25
  • 27. Ingredientes • Use, ingredientes de boa qualidade; • CRO – Chief Risk Officer - ISO 31000 e 31010; • BCC – Business Continuity Coordinator – ISO 22301 e 22313; • CIO – ISO 20000, ITIL; • CSO – Chief Security Officer – ISO 27001 e 27002; • Processos – ISO 9000; • Adicione na medida do necessário: leis, regulamentações, COBIT, COSO, TOGAF, 6 Sigma … www.datacenterdynamics.com 27
  • 28. Modo de Preparo www.datacenterdynamics.com 28 1. Faça uma boa Análise de Riscos no contexto do programa (Continuidade de Negócios ou Segurança da Informação) e reserve; 2. Alinhe os resultados da Análise de Riscos com a Análise de Riscos Corporativos – CRO e reserve;
  • 29. Modo de Preparo 3. Faça uma boa Análise www.datacenterdynamics.com (Executiva/Estratégica) de Impacto nos Negócios no contexto do programa e reserve; – pode ter múltiplos cenários; 4. Estime os investimentos, despesas recorrentes, recursos necessários, gaps e prazos realistas de implantação do programa e reserve. 29
  • 30. Modo de Preparo • Desenvolva uma excelente apresentação executiva e respectivo relatório de apoio; – Tenha pronto o detalhamento (racional); –  Modo de Preparo; • APETITE AO RISCO – DECISÃO • Faça os ajustes no Programa/Projeto x Apetite ao Risco aprovado; • Servir a gosto  Execute como definido! www.datacenterdynamics.com 30
  • 31. Riscos e Oportunidades do Programa www.datacenterdynamics.com http://proatividademercado.com.br/o-conceito 31
  • 32. A Organização será Proativa (continuidade de negócios e segurança da informação) • O nível C está alinhado, o Apetite ao Risco está definido e divulgado; • Os programas de Continuidade de Negócios e de Segurança da Informação estão alinhados com o Planejamento Estratégico antecipando Riscos e Oportunidades; • Estes objetivos estão estabelecidos, divulgados e praticados por todos. www.datacenterdynamics.com http://oglobo.globo.com/blogs/arquivos_upload/2011/ 11/102_1028-blogperigo.jpg 32
  • 33. Sistema Integrado de Gestão www.datacenterdynamics.com Gestão de Riscos ISO 31000 Cont. de Negócios ISO 22301 Seg. da Informação ISO 27001 Serviços de TIC ISO 20000 Processos ISO 9000 COBIT, COSO, TOGAF 6 Sigma … 33
  • 34. Qual o Caminho Certo? www.datacenterdynamics.com Este? Ou este? 34 Isto é assunto para outra palestra!
  • 35. www.datacenterdynamics.com Sidney R. Modenesi MBCI, BSI ISO 22301 Technical Expert sidneymd@thebci.com.br +55 11 5583-0033 br.linkedin.com/in/sidneymodenesimbci 35 Esta apresentação estará disponível no site da DatacenterDynamics e também no meu Linkedin via Slideshare.

Notas do Editor

  1. Imersão na Gestão da Continuidade de Negócios – IGCN 2013