O documento discute os requisitos da continuidade de negócios na segurança da informação. Apresenta o sistema de gestão da continuidade de negócios e discute a importância de assegurar que a segurança da informação esteja inserida neste sistema para garantir a continuidade mesmo em situações de contingência. Também aborda exemplos de ameaças potenciais à segurança da informação e a relação entre esta área e a continuidade de negócios.
Requisitos da continuidade(dos negócios)na segurança da informação
1. Requisitos da continuidade
(dos negócios)
na segurança da informação
Sidney R. Modenesi, MBCI, ISO 22301 BSI Technical Expert
Forum Leader Brasil
BCI – The Business Continuity Institute
www.thebci.org
São Paulo, 05 de Novembro de 2014
www.datacenterdynamics.com 1
2. www.datacenterdynamics.com
Apresentações
Sidney R. Modenesi
• Gerente da STROHL Brasil;
• ISO 22301 BSI Technical Expert,
2013;
• Certificado MBCI pelo BCI em
2006;
• Mais de 25 anos de experiência
em DRP/BCM;
• Instrutor internacional de BCM
(ISO 22301, 22313 & outras);
• Representante do BCI - Business
Continuity Institute no Brasil.
br.linkedin.com/in/sidneymodenesimbci/
BCI – Business Continuity Institute
• Instituto inglês, sem fins
lucrativos;
• Promove a arte e a ciência da
Continuidade de Negócios pelo
mundo;
• Colabora no desenvolvimento de
normas e boas praticas de
Continuidade de Negócios;
• Tem um programa capacitação e
certificação profissional.
www.thebci.org
2
5. Objetivo
www.datacenterdynamics.com
Assegurar que a continuidade da
segurança da informação
esteja (DEVE) inserida no
Sistema de Gestão da
Continuidade de Negócios
da organização.
Ou seja, mesmo numa contingência real
a segurança da informação DEVE estar operando.
5
6. Sistema de Gestão da
Continuidade de Negócios
Processo abrangente de gestão que
identifica ameaças potenciais para uma organização e
os possíveis impactos nas operações de negócio
caso estas ameaças se concretizem.
Este processo fornece uma estrutura para que
se desenvolva uma resiliência organizacional que
seja capaz de responder eficazmente e
salvaguardar os interesses das partes interessadas,
a reputação e a marca da organização e
suas atividades de valor agregado.
ABNT NBR/ISO 22301:2012 Segurança da sociedade — Sistema de gestão
de continuidade de negócios — Requisitos
www.datacenterdynamics.com 6
8. Leis e Regulamentações
Normas e Boas Práticas
Leis e Regulamentações
• Resolução 3380:2006 – BACEN - Dispõe sobre a implementação de
estrutura de gerenciamento do risco operacional
• Circular 285:2005 – SUSEP - Estabelece cadastro de recursos e
mapa de saldos, referentes às áreas de tecnologia da informação e
contábil ...
• DECRETO Nº 6.523:2008 – Regulamenta a Lei no 8.078, de 11 de
setembro de 1990, para fixar normas gerais sobre o Serviço de
Atendimento ao Consumidor - SAC.
• Lei Sarbanes-Oxley, JSOX ...
• ISO 22301- 4.2.2 Requisitos legais e regulatórios - Cada empresa
deve sistematicamente revisar e avaliar todas as leis, normas,
regulamentações ou itens regulatórios a que está sujeita.
www.datacenterdynamics.com
9. Leis e Regulamentações
Normas e Boas Práticas
Normas e Boas Práticas
• ABNT NBR/ISO 22301:2013 - Segurança da sociedade —
Sistema de gestão de continuidade de negócios — Requisitos
• ISO 22313:2012 - Societal security — Business continuity
management systems — Guidance
• ISO 22398:2013 - Societal security — Guidelines for exercises
• ISO 31000:2009 - Risk management — Principles and
guidelines
• BS 11200:2014 - Crisis management – Guidance and good
practice
• ISO 20000 partes 1 e 2 - Information technology — Service
management
• ISO 27001 e 27002 - Tecnologia da informação — Técnicas de
segurança — Sistemas de gestão da segurança da informação
www.datacenterdynamics.com
10. Tipos de Ameaças Potenciais
www.datacenterdynamics.com
10
Naturais
Mudanças climáticas: calor, frio, chuva ou seca
intensa; terremoto, vulcão, furacão ...
Físicas
Incêndio ou outras emergências, vazamento
tóxico no sítio ou nas proximidades, segurança
de acesso, invasões, terrorismo ...
Humanas
Absenteísmo: greve, pandemia, epidemia;
terrorismo, atentado, manifestação ...
Segurança da
Informação
Invasões, roubo ou vazamento de informações,
hackers, vírus, trojan ...
Combinação
de várias
Naturais e/ou físicas e/ou humanas e/ou de
segurança da informação na organização ou na
sua cadeia de fornecedores
11. EXEMPLOS DE AMEAÇAS
POTENCIAIS DE SEGURANÇA DA
INFORMAÇÃO
www.datacenterdynamics.com
12. I can´t allow the US
government to
destroy privacy
and basic liberties
Edward Joseph Snowden1 (Elizabeth City, 21 de junho de 1983) é
um analista de sistemas, 2 ex-funcionário da (CIA) e ex-contratado
da (NSA) 3 que tornou público detalhes de vários programas que
constituem o sistema de vigilância global da NSA americana e fotos
comprometedoras do presidente americano, Barack Obama.
http://pt.wikipedia.org/wiki/Edward_Snowden
www.datacenterdynamics.com 12
16. www.datacenterdynamics.com
Executives should understand 4
basic points about security:
1.A well-executed data breach is potentially
more dangerous to your business than a
recession.
2.Cybercrime isn’t someone else’s problem;
it’s your problem.
3.There’s a reason for the deafening silence.
Just because you haven’t heard your C-suite
peers at other firms talk of security
breaches doesn’t mean they’re not
happening, nor does the fact that you
haven’t found anything in your systems
mean you’re safe.
4.You probably don’t understand where your
data is.
16
Responsabilidades
17. Institute of Risk Management
www.theirm.org/documents/Final_IRM_CyberRisk_ExecSumm_A
5_low-res.pdf
www.datacenterdynamics.com
Verizon's 2024 Data Breach Report
www.verizonenterprise.com/DBIR/2014/reports/rp_Verizon-DBIR-
2014_en_xg.pdf
17
19. Segurança da Informação e
Continuidade de Negócios
Segurança da informação Ameaça potencial
Ameaça potencial Impactos nas operações
www.datacenterdynamics.com
Impactos financeiros, operacionais, imagem,
regulatórios, credibilidade ...
19
20. C.N. – Planejamento
Visão Simplificada
Programa evolutivo
assegurar às partes
interessadas que tudo
funcionará no pior cenário a
qualquer tempo
www.datacenterdynamics.com
Análise de Riscos
Análise de
Impacto nos
Negócios
Estratégias de
Recuperação
Exercícios e Testes
Evolutivos
Desenvolvimento
dos Planos de
Contingência
20
Riscos:
•Infraestrutura
•TIC
•Segurança da Informação
•Recursos humanos
Impactos:
•financeiros
•operacionais
•MTPD, MBCO
•RTO, RPO
Apetite ao Risco
CAPEX, OPEX
vs.
Impactos
Planos
Resposta a Incidentes
Gerenc. de Crise
Comunicação
de TIC DRP
de Negócios
21. Cenários de Ameaças Potenciais
www.datacenterdynamics.com
Sede 1
Provedor de serviços de TIC
Xxx colaboradores
Centrais de Atend.,
Varias áreas de
negócio
Data Center local
Sede 2
X X
X
PABX
Centrais de
atendimento
Áreas de negócio
Data Center local
Zzz colaboradores
Centrais de Atend.,
Outras áreas de
negócios
X X
21
22. Mudanças Contínuas
• Mercado;
• Legislação e/ou regulamentação;
• Tecnologia;
• Processos;
• Ameaças potenciais Riscos;
• Oportunidades;
www.datacenterdynamics.com
22
“Hoje, a única certeza, é a certeza da mudança”
Dr. José Arnaldo Deutscher, economista pela UFRJ
23. Apetite ao Risco
(Depende do Cenário de Ameaça Potencial)
www.datacenterdynamics.com
tempo
CAPEX e OPEX IMPACTOS
R$
t0
t1< t0
< Apetite ao
Risco
t2 > t0
> Apetite ao Risco
R$
23
•Perda de receita
•Multas e
penalidades,
•Imagem da
empresa,
•Itens
regulatórios:
Código Civil,
Lei do SAC,
Compliance com
órgãos
reguladores
•...
• Espaço físico
• Mesas, cadeiras
• Telefones, fax
• Micros
• PAs
• Registros vitais
• ...
• Infraestrutura:
• links
•energia elétrica
• ar condicionado
• suprimentos
• ...
24. ISO 27001 e 22301
www.datacenterdynamics.com
ISO 22301
5.1 Liderança e comprometimento
Os membros da Alta Direção e demais
gestores com papéis relevantes dentro da
organização devem demonstrar liderança
em relação ao SGCN.
5.2 Comprometimento da Direção
... garantir que políticas e objetivos sejam
estabelecidos para o SGCN e que sejam
compatíveis com as diretrizes
estratégicas da organização.
24
ISO 27001
5.1 Liderança e comprometimento
A Alta Direção deve demonstrar
comprometimento em relação ao sistema
de gestão da segurança da informação
pelos seguintes meios:
a) assegurando que a política de
segurança da informação e os objetivos
de segurança da informação estão
estabelecidos e são compatíveis com a
direção estratégica da organização
25. A Organização Conhece?
• O seu apetite ao risco?
– Riscos e oportunidades
• Seu contexto e sua
organização?
• Suas necessidades internas e
externas?
• As expectativas das partes
interessadas?
– Níveis de serviço por exemplo;
• As leis e regulamentações a
serem cumpridas?
www.datacenterdynamics.com
25
27. Ingredientes
• Use, ingredientes de boa qualidade;
• CRO – Chief Risk Officer - ISO 31000 e
31010;
• BCC – Business Continuity
Coordinator – ISO 22301 e 22313;
• CIO – ISO 20000, ITIL;
• CSO – Chief Security Officer –
ISO 27001 e 27002;
• Processos – ISO 9000;
• Adicione na medida do necessário: leis,
regulamentações, COBIT, COSO, TOGAF,
6 Sigma …
www.datacenterdynamics.com
27
28. Modo de Preparo
www.datacenterdynamics.com
28
1. Faça uma boa Análise de
Riscos no contexto do
programa (Continuidade
de Negócios ou Segurança
da Informação) e reserve;
2. Alinhe os resultados da
Análise de Riscos com a
Análise de Riscos
Corporativos – CRO e
reserve;
29. Modo de Preparo
3. Faça uma boa Análise
www.datacenterdynamics.com
(Executiva/Estratégica) de
Impacto nos Negócios no
contexto do programa e
reserve;
– pode ter múltiplos cenários;
4. Estime os investimentos,
despesas recorrentes,
recursos necessários, gaps e
prazos realistas de
implantação do programa e
reserve.
29
30. Modo de Preparo
• Desenvolva uma excelente apresentação
executiva e respectivo relatório de apoio;
– Tenha pronto o detalhamento (racional);
– Modo de Preparo;
• APETITE AO RISCO – DECISÃO
• Faça os ajustes no
Programa/Projeto x Apetite ao Risco aprovado;
• Servir a gosto Execute como definido!
www.datacenterdynamics.com
30
31. Riscos e
Oportunidades do Programa
www.datacenterdynamics.com
http://proatividademercado.com.br/o-conceito
31
32. A Organização será Proativa
(continuidade de negócios e
segurança da informação)
• O nível C está alinhado, o Apetite
ao Risco está definido e
divulgado;
• Os programas de Continuidade
de Negócios e de Segurança da
Informação estão alinhados com
o Planejamento Estratégico
antecipando Riscos e
Oportunidades;
• Estes objetivos estão
estabelecidos, divulgados e
praticados por todos.
www.datacenterdynamics.com
http://oglobo.globo.com/blogs/arquivos_upload/2011/
11/102_1028-blogperigo.jpg
32
33. Sistema Integrado de Gestão
www.datacenterdynamics.com
Gestão de
Riscos
ISO 31000
Cont. de
Negócios
ISO 22301
Seg. da
Informação
ISO 27001
Serviços de
TIC
ISO 20000
Processos
ISO 9000
COBIT, COSO,
TOGAF
6 Sigma …
33
34. Qual o Caminho Certo?
www.datacenterdynamics.com
Este? Ou este?
34
Isto é assunto para outra palestra!
35. www.datacenterdynamics.com
Sidney R. Modenesi
MBCI, BSI ISO 22301 Technical Expert
sidneymd@thebci.com.br
+55 11 5583-0033
br.linkedin.com/in/sidneymodenesimbci
35
Esta apresentação estará disponível no site da DatacenterDynamics e
também no meu Linkedin via Slideshare.
Notas do Editor
Imersão na Gestão da Continuidade de Negócios – IGCN 2013