SlideShare uma empresa Scribd logo

Continuidade de negócios contra interrupções de TI e segurança

Sidney Modenesi, MBCI
Sidney Modenesi, MBCI

Este documento discute a importância da continuidade de negócios para organizações enfrentarem interrupções causadas por ataques cibernéticos ou falhas técnicas. Relatórios mostram que a maioria das empresas não está adequadamente preparada para incidentes e não consegue investir o suficiente em segurança da informação. Implementar um programa de continuidade de negócios eficaz requer análises de impacto, mapeamento de processos e serviços de TI, além de estratégias e planos de recuperação bem desenvolvidos

Tecnologia
1 de 5
Baixar para ler offline
+55 11 5583-0033 contingencia@strohlbrasil.com.br www.strohlbrasil.com.br STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 1 de 5 Copyright © 2016 30/05/2017 CONTINUIDADE DE NEGÓCIOS O seu seguro contra as indisponibilidades de TI ou de SI O recente ataque global do ransomware “WannaCry” expôs as vulnerabilidades de segurança da informação de muitas organizações. Uma falha, inicialmente atribuída a uma pane elétrica, nos sistemas informatizados da British Airways que se prolongou por mais de dois dias num final de semana de feriado bancário, expôs as fragilidades da recuperação da infraestrutura de TI de forma a atender às necessidades do negócio e de seus clientes. Estes são somente dois exemplos recentes de incidentes, um de segurança da informação e o outro, a princípio, de infraestrutura de TI. Você realmente acredita que estes casos são únicos e não acontecerão na sua organização? O recente relatório sobre “Cyber Resilience” divulgado pela empresa de consultoria Ernst&Young expõe, claramente, o que muitos profissionais de continuidade de negócios, eu dentre eles, vem alertando: “quando todos os seus mecanismos de controles falharem, sejam de TI – Tecnologia da Informação ou de SI – Segurança da Informação, a sua última esperança é a Continuidade de Negócios”. Vamos analisar algumas destas respostas, lembrando que este relatório é influenciado pelas respostas das grandes organizações mundiais, mais maduras que as empresas brasileiras em geral: 87% dos executivos das grandes organizações do mundo não confiam que suas organizações estejam adequadamente preparadas para enfrentar um cyber ataque. Ainda assim, os executivos não pretendem, ou conseguem, aumentar os investimentos em segurança da informação em geral. 44% das organizações participantes não tem o SOC – Security Information Center formalmente implantado para identificar, tratar e responder adequada e rapidamente a um cyber ataque ou mesmo a um incidente de segurança da informação em larga escala.
+55 11 5583-0033 contingencia@strohlbrasil.com.br www.strohlbrasil.com.br STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 2 de 5 Copyright © 2016 Apesar dos últimos acontecimentos, 62% dos executivos afirmaram que não pretendem investir mais em segurança da informação. Investir mais não significa que o nível de proteção aumentará proporcionalmente, e ficará, sempre, um risco residual de muito baixa probabilidade, mas de altíssimo impacto que deve ser tratado adequadamente. Esta resposta é alarmante, 86% dos participantes concordam que seus investimentos em segurança da informação não atendem às necessidades da empresa e ainda assim afirmaram na pergunta anterior que não estão dispostos, ou não conseguem, investir mais em segurança da informação. Será que esta decisão foi compartilhada com o CRO – Chief Risk Officer ou referendada pela Alta Direção ou pelo Conselho de Administração? O CIO/CSO pode tomar esta decisão e assumir estes riscos sozinho? Se a resposta anterior já era alarmante, esta é “catastrófica”. Mais da metade dos participantes reportaram terem vivenciado incidentes de “cybersecurity” num passado recente. As limitantes para melhorar a eficácia da “cybersecurity” são: restrições orçamentárias (61%); falta de pessoal qualificado (56%) e falta de conscientização ou apoio executivo (32%). Ou seja, o que se investe não é o suficiente, é ineficiente e a percepção executiva é de um investimento inadequado uma vez que os incidentes continuam ocorrendo. Para os profissionais de Continuidade de Negócios as próximas duas respostas são devastadoras: 49% dos participantes afirmaram não saber quais seriam os impactos financeiros de um cyber ataque, sem falar dos demais tipos de impactos (danos à imagem, perda de mercado, regulatórios etc.) e 89% não avaliaram os impactos decorrentes dos últimos incidentes de segurança da informação. Isto comprova um total desalinhamento entre os sistemas de gestão de riscos corporativos, de segurança da informação e de continuidade de negócios. Uma BIA (Análise de Impacto nos Negócios) adequadamente conduzida responderia facilmente a estas e outras perguntas, contribuiria para o aumento da conscientização e na justificativa de revisão dos investimentos em prevenção, resposta e contenção. E na hora que um incidente de interrupção ocorrer, seja de segurança da informação ou não, 57% das organizações classificaram seu Programa de Continuidade de Negócios como altamente prioritário em conjunto com outras ações de prevenção a perda ou vazamento de dados. Um desafio que por natureza não é simples agora é enorme! Implantar um Programa de Continuidade de Negócios que atenda aos objetivos do Risco Corporativo e aos incidentes de Segurança e de Tecnologia da Informação com todos estes gaps admitidos e reportados pelos seus principais gestores.
+55 11 5583-0033 contingencia@strohlbrasil.com.br www.strohlbrasil.com.br STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 3 de 5 Copyright © 2016 A seguir relaciono alguns destes desafios, que podem variar de organização para organização, principalmente em função da maturidade de cada organização com os vários sistemas de gestão necessários: Riscos Corporativos, Segurança da Informação, Serviços de TI e Continuidade de Negócios. 1. Análise de Impacto nos Negócios (BIA): uma BIA bem conduzida e com a participação dos gestores adequados deve quantificar quatro variáveis fundamentais: MTPD, MBCO, RTO e RPO (assista ao vídeo explicativo) para os produtos e serviços da organização. Deve, ainda, quantificar adequadamente os impactos decorrentes da indisponibilidade destes produtos e serviços ao longo do tempo, nos cenários estabelecidos. Temos, hoje, no mínimo dois cenários bem distintos: a. Indisponibilidade do local de trabalho: neste caso a prioridade é relocar rapidamente pessoas e reiniciar produtos e serviços críticos num local alternativo e b. Indisponibilidade dos serviços de TI: decorrentes de falhas na infraestrutura, aplicações, ativos, itens de configuração ou incidentes de segurança da informação como o ransomware “WannaCry” ou a indisponibilidade da British Airways. Neste caso, a prioridade é recuperar os serviços de TI possivelmente no site de produção. Portanto, com uma BIA razoavelmente atualizada, visto ser uma atividade realizada a cada 12 – 18 meses, é possível estimar os impactos de um incidente de interrupção decorrente de um cyber ataque, de segurança da informação ou outro. Assim, as respostas acima nos levam a concluir que: ou as organizações não têm BIAs atualizados, ou as BIAs não tem as informações necessárias, ou as informações obtidas nas BIAs não tem credibilidade, ou não refletem a realidade da organização, ou, a pior de todas, as organizações não têm BIAs! 2. Mapeamento de processos: uma vez identificados os produtos e serviços críticos da organização através da BIA, há a necessidade de identificar os processos de negócio que os sustentam. O que vemos, em geral, é um entendimento confuso entre macroprocessos, processos e atividades de negócio, isto quando existe algum mapeamento. É vital que o mapeamento de processos utilizado esteja completo, atualizado e reflita adequadamente as operações da organização. 3. Catálogo de Serviços de TI: uma vez mapeados os processos de negócio críticos agora é chegado o momento de mapear os itens de configuração (ICs) que suportam estes processos. Estas informações estão, normalmente, no CMDB (Configuration Management Data Base) que, da mesma forma que o mapeamento de processos acima, também deve estar completo, atualizado e refletir adequadamente as operações de TI da organização. 4. Estratégias de Recuperação: uma vez realizada a BIA, os produtos, serviços e processos críticos e seus respectivos MTPDs, MBCOs, RTOs e RPOs foram dimensionados. Com o auxílio do catálogo de serviços de
+55 11 5583-0033 contingencia@strohlbrasil.com.br www.strohlbrasil.com.br STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 4 de 5 Copyright © 2016 TI estas variáveis e respectivos impactos devem ser propagados aos ICs que suportam os produtos, serviços e processos críticos. Algo semelhante ao que era solicitado na antiga versão da ISO 27002, mas agora partindo do negócio (BIA) para o IC. Feito isto, deve ser avaliado, no cenário de pior caso, e com a infraestrutura disponível, se os produtos, serviços e processos críticos poderão, efetivamente, serem recuperados respeitando os MTPDs, MBCOs, RTOs e RPOs estabelecidos. Não podemos descartar a hipótese, num cenário de pior caso, de haver a necessidade da restauração de uma ou mais bases de dados de muitos petabytes de tamanho, atividades que demandarão, seguramente, muito tempo. Ainda, como alternativas a serem avaliadas na recuperação dos dados críticos devem ser consideradas: recovery forward (um arquivo base mais logs) ou recovery backward (desfazer as últimas transações feitas até um determinado ponto de consistência conhecido), normalmente muito lento. Os tempos são consistentes? Ótimo. Não são? Então serão necessários ajustes nas estratégias de prevenção, resposta, contenção e recuperação, o que pode implicar em maiores investimentos e despesas operacionais recorrentes ou então o Apetite a Risco da organização deve ser revisto. 5. Planos de Recuperação: as estratégias de recuperação, devidamente revisadas e alinhadas ao Apetite a Risco corporativo - insisto, devem ser materializadas em procedimentos operacionais desde a identificação, resposta e contenção de um incidente, seja no SOC ou em outras centrais de monitoração e operação, até os planos de recuperação dos ICs de TI (DRP) e das áreas de negócios (Continuidade de Negócios). Simples? Claro que não. Vamos analisar os desafios operacionais de uma ameaça típica de segurança da informação que pode ser um ransomware, vírus ou outra. (assista ao webinar WannaCry 3.0) 1. Muitas das ameaças são velhas conhecidas recentemente maquiadas e estão ocorrendo o tempo todo; 2. A maioria das ameaças surgem rapidamente após a liberação do boletim de correção da vulnerabilidade pelo fabricante ou alguma outra forma de divulgação e propagação. Ou seja, saiu uma correção, podemos nos preparar que rapidamente surgirá uma ameaça explorando aquela vulnerabilidade recém corrigida; 3. Entre a data da liberação de uma correção até a data da sua aplicação no ambiente de produção da organização pode levar um certo tempo, período no qual a organização ficará vulnerável a esta ameaça, até que a nova correção seja devidamente homologada para aplicação (“patching”);
+55 11 5583-0033 contingencia@strohlbrasil.com.br www.strohlbrasil.com.br STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 5 de 5 Copyright © 2016 4. O “patching” não é uma atividade tão simples como vem sendo divulgada nas mídias após o “WannaCry” – “mantenha o seu sistema atualizado”. Se estamos falando de uma ou poucas estações, o problema pode ser simples. Se estamos falando de centenas, milhares de estações o “patching” deve ser planejado e programado para assegurar que as aplicações legadas continuarão operacionais (o mundo 100% cloud ainda está distante), e que não haverá sacrifícios no tempo de resposta da rede pela atualização simultânea de muitas estações ao mesmo tempo. Ainda, devemos considerar que uma correção pode implicar em investimentos significativos em novas licenças de versões de software de forma a manter a compatibilidade com as correções aplicadas. É de conhecimento público que várias organizações desligaram as estações na sexta-feira devido o “WannaCry” e aplicaram correções maciçamente no final de semana. Na segunda-feira muitas organizações continuavam paradas por problemas de compatibilidade entre as correções aplicadas e os aplicativos instalados. Claramente não haviam estratégias coordenadas para tratar um incidente desta natureza e dimensão. 5. Backup/Restore: a política de backup/restore deve ser revista vis a vis os MTPDs, MBCOs, RTOs e RPOs estabelecidos. Dados de mercado indicam que 80% dos backups feitos nunca foram testados. Numa crise não é o momento adequado para se descobrir que um determinado backup não atende às expectativas. Se os tempos de restore não atenderem os objetivos do negócio, a política de backup/restore deve ser revista. 6. Infelizmente aconteceu – A ORGANIZAÇÃO FOI ATINGIDA. Hora de pôr todos os procedimentos e planos previamente desenvolvidos e testados em operação de maneira coordenada: ativando o Centro de Comando de Crise, escalando o incidente aos executivos, acionando a comunicação interna e externa, tratando adequadamente o incidente e preservando as evidências para realimentar o PDCA dos sistemas de gestão. O que recuperar primeiro? Simples, as estações, aplicações, ICs etc. a serem recuperados primeiro são aquelas que suportam os produtos, serviços e processos de negócio críticos identificados na BIA, em conformidade com os MTPDs, MBCOs, RTOs e RPOs estabelecidos. Concluindo, a BIA é o processo central de levantamento de informações para suporte a tomada de decisões pela alta direção alinhadas ao apetite a risco da organização. SUA ORGANIZAÇÃO NÃO TEM UMA BIA CONFIÁVEL? Consulte-nos e nós te auxiliaremos a fazer uma rapidamente. O WannaCry 3.0 poderá não ter a chave liga/desliga como o anterior. Sidney R. Modenesi, MCBCC, MBCI, LDRM ISO 22301 BSI Technical Expert Entusiasta em Resiliência, bacharel em Ciências da Computação pela USP, pós-graduado em Empreendedorismo pela USP, profissional certificado em Continuidade de Negócios pelo BCI, em Recuperação de Desastres (DRP) pelo PECB e na norma ISO 22301 de Continuidade de Negócios pelo BSI.

Recomendados

WannaCry 3.0
WannaCry 3.0WannaCry 3.0
WannaCry 3.0Sidney Modenesi, MBCI
 
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioImplantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioSidney Modenesi, MBCI
 
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do FuturoEscalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do FuturoSidney Modenesi, MBCI
 
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...Sidney Modenesi, MBCI
 
Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Carlos Henrique Martins da Silva
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 
Plano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TIPlano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TICompanyWeb
 
BIA - Business Impact Analysis
BIA - Business Impact AnalysisBIA - Business Impact Analysis
BIA - Business Impact AnalysisAllan Piter Pressi
 

Recomendados

WannaCry 3.0
WannaCry 3.0WannaCry 3.0
WannaCry 3.0Sidney Modenesi, MBCI
 
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioImplantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioSidney Modenesi, MBCI
 
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do FuturoEscalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do FuturoSidney Modenesi, MBCI
 
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...Sidney Modenesi, MBCI
 
Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Carlos Henrique Martins da Silva
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 
Plano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TIPlano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TICompanyWeb
 
BIA - Business Impact Analysis
BIA - Business Impact AnalysisBIA - Business Impact Analysis
BIA - Business Impact AnalysisAllan Piter Pressi
 
Palestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosPalestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosGLM Consultoria
 
Exemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiExemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiFernando Palma
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de NegóciosCIMCORP
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosAlvaro Gulliver
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de NegóciosInformaGroup
 
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)CompanyWeb
 
e-book DRP Alinhado às Necessidades do Negócio
e-book DRP Alinhado às Necessidades do Negócioe-book DRP Alinhado às Necessidades do Negócio
e-book DRP Alinhado às Necessidades do NegócioSidney Modenesi, MBCI
 
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Marcelo Veloso
 
Gestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta EstratégicaGestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta EstratégicaGledson Scotti
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosCarlos Henrique Martins da Silva
 
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das OrganizaçõesA Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das OrganizaçõesSidney Modenesi, MBCI
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Plano de continuidade de negocios
Plano de continuidade de negociosPlano de continuidade de negocios
Plano de continuidade de negociosFernando Pessoal
 
Plano contigencia-ti-reagir-desastres
Plano contigencia-ti-reagir-desastresPlano contigencia-ti-reagir-desastres
Plano contigencia-ti-reagir-desastrescamara municipal de ananindeua
 
GCN - Gestão de Continuidade de Negócios
GCN - Gestão de Continuidade de NegóciosGCN - Gestão de Continuidade de Negócios
GCN - Gestão de Continuidade de NegóciosCassio Henrique. F. Ramos, CRISC
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Fernando Dulinski
 
Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)
Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)
Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)Osmar Petry
 
Gestão da Continuidade de Negócios - mini curso
Gestão da Continuidade de Negócios - mini cursoGestão da Continuidade de Negócios - mini curso
Gestão da Continuidade de Negócios - mini cursobioiniciativa - Estratégias Sustentáveis
 
Plano de continuidade dos negócios
Plano de continuidade dos negóciosPlano de continuidade dos negócios
Plano de continuidade dos negóciosData Security
 
Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosGrupo Treinar
 
Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Leonardo Couto
 
Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosGrupo Treinar
 

Mais conteúdo relacionado

Mais procurados

Palestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosPalestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosGLM Consultoria
 
Exemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiExemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiFernando Palma
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de NegóciosCIMCORP
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosAlvaro Gulliver
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de NegóciosInformaGroup
 
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)CompanyWeb
 
e-book DRP Alinhado às Necessidades do Negócio
e-book DRP Alinhado às Necessidades do Negócioe-book DRP Alinhado às Necessidades do Negócio
e-book DRP Alinhado às Necessidades do NegócioSidney Modenesi, MBCI
 
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Marcelo Veloso
 
Gestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta EstratégicaGestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta EstratégicaGledson Scotti
 
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das OrganizaçõesA Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das OrganizaçõesSidney Modenesi, MBCI
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Plano de continuidade de negocios
Plano de continuidade de negociosPlano de continuidade de negocios
Plano de continuidade de negociosFernando Pessoal
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Fernando Dulinski
 
Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)
Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)
Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)Osmar Petry
 
Plano de continuidade dos negócios
Plano de continuidade dos negóciosPlano de continuidade dos negócios
Plano de continuidade dos negóciosData Security
 

Mais procurados (19)

Palestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosPalestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de Negócios
 
Exemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiExemplo de plano de continuidade de ti
Exemplo de plano de continuidade de ti
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de Negócios
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de Negócios
 
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)
 
e-book DRP Alinhado às Necessidades do Negócio
e-book DRP Alinhado às Necessidades do Negócioe-book DRP Alinhado às Necessidades do Negócio
e-book DRP Alinhado às Necessidades do Negócio
 
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
 
Gestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta EstratégicaGestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta Estratégica
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de Riscos
 
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das OrganizaçõesA Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Plano de continuidade de negocios
Plano de continuidade de negociosPlano de continuidade de negocios
Plano de continuidade de negocios
 
Plano contigencia-ti-reagir-desastres
Plano contigencia-ti-reagir-desastresPlano contigencia-ti-reagir-desastres
Plano contigencia-ti-reagir-desastres
 
GCN - Gestão de Continuidade de Negócios
GCN - Gestão de Continuidade de NegóciosGCN - Gestão de Continuidade de Negócios
GCN - Gestão de Continuidade de Negócios
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018
 
Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)
Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)
Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)
 
Gestão da Continuidade de Negócios - mini curso
Gestão da Continuidade de Negócios - mini cursoGestão da Continuidade de Negócios - mini curso
Gestão da Continuidade de Negócios - mini curso
 
Plano de continuidade dos negócios
Plano de continuidade dos negóciosPlano de continuidade dos negócios
Plano de continuidade dos negócios
 

Semelhante a Continuidade de negócios contra interrupções de TI e segurança

Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosGrupo Treinar
 
Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Leonardo Couto
 
Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosGrupo Treinar
 
Caso-de-estudo-bongas-sagex3
Caso-de-estudo-bongas-sagex3Caso-de-estudo-bongas-sagex3
Caso-de-estudo-bongas-sagex3Marco Leite
 
Silva, w. lopes da jesus
Silva, w. lopes da jesusSilva, w. lopes da jesus
Silva, w. lopes da jesusrasnnther
 
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...TI Safe
 
Terceirização de Desenvolvimento de Software em Body Shop: uma Proposta para ...
Terceirização de Desenvolvimento de Software em Body Shop: uma Proposta para ...Terceirização de Desenvolvimento de Software em Body Shop: uma Proposta para ...
Terceirização de Desenvolvimento de Software em Body Shop: uma Proposta para ...GATI - Tecnologia da informação
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosrcmenezes
 
Estudo sobre recuperação de desastre
Estudo sobre recuperação de desastreEstudo sobre recuperação de desastre
Estudo sobre recuperação de desastreThiago Rosa
 
Sistema de Gestão de Continuidade de Negócio (SGCN)
Sistema de Gestão de Continuidade de Negócio (SGCN)Sistema de Gestão de Continuidade de Negócio (SGCN)
Sistema de Gestão de Continuidade de Negócio (SGCN)Gustavo de Castro Rafael
 

Semelhante a Continuidade de negócios contra interrupções de TI e segurança (20)

Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de Negocios
 
Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...
 
Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de Negocios
 
Caso-de-estudo-bongas-sagex3
Caso-de-estudo-bongas-sagex3Caso-de-estudo-bongas-sagex3
Caso-de-estudo-bongas-sagex3
 
Silva, w. lopes da jesus
Silva, w. lopes da jesusSilva, w. lopes da jesus
Silva, w. lopes da jesus
 
Itil X Cobit
Itil X CobitItil X Cobit
Itil X Cobit
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
 
WebGoat Project
WebGoat ProjectWebGoat Project
WebGoat Project
 
Consultoria em BCP
Consultoria em BCPConsultoria em BCP
Consultoria em BCP
 
Whitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-ptWhitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-pt
 
FULLCOVER
FULLCOVERFULLCOVER
FULLCOVER
 
Terceirização de Desenvolvimento de Software em Body Shop: uma Proposta para ...
Terceirização de Desenvolvimento de Software em Body Shop: uma Proposta para ...Terceirização de Desenvolvimento de Software em Body Shop: uma Proposta para ...
Terceirização de Desenvolvimento de Software em Body Shop: uma Proposta para ...
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativos
 
Estudo sobre recuperação de desastre
Estudo sobre recuperação de desastreEstudo sobre recuperação de desastre
Estudo sobre recuperação de desastre
 
Pim v
Pim vPim v
Pim v
 
WebGoat Project
WebGoat ProjectWebGoat Project
WebGoat Project
 
Sistema de Gestão de Continuidade de Negócio (SGCN)
Sistema de Gestão de Continuidade de Negócio (SGCN)Sistema de Gestão de Continuidade de Negócio (SGCN)
Sistema de Gestão de Continuidade de Negócio (SGCN)
 

Mais de Sidney Modenesi, MBCI

Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Sidney Modenesi, MBCI
 
Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Sidney Modenesi, MBCI
 
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)Sidney Modenesi, MBCI
 
A continuidade da nossa vida profissional
A continuidade da nossa vida profissionalA continuidade da nossa vida profissional
A continuidade da nossa vida profissionalSidney Modenesi, MBCI
 
O Brasil precisa de continuidade (de negócios)?
O Brasil precisa de continuidade (de negócios)?O Brasil precisa de continuidade (de negócios)?
O Brasil precisa de continuidade (de negócios)?Sidney Modenesi, MBCI
 
BCAW - Business Continuity Awareness Week 2016
BCAW - Business Continuity Awareness Week 2016BCAW - Business Continuity Awareness Week 2016
BCAW - Business Continuity Awareness Week 2016Sidney Modenesi, MBCI
 
Data Center and Business Continuity in 2040
Data Center and Business Continuity in 2040Data Center and Business Continuity in 2040
Data Center and Business Continuity in 2040Sidney Modenesi, MBCI
 
ISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practicesISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practicesSidney Modenesi, MBCI
 
Business Continuity or Survival of Business?
Business Continuity or Survival of Business?Business Continuity or Survival of Business?
Business Continuity or Survival of Business?Sidney Modenesi, MBCI
 
Palestra sobre as relações entre Compliance e Continuidade de Negócios
Palestra sobre as relações entre Compliance e Continuidade de NegóciosPalestra sobre as relações entre Compliance e Continuidade de Negócios
Palestra sobre as relações entre Compliance e Continuidade de NegóciosSidney Modenesi, MBCI
 
A continuidade da nossa vida profissional
A continuidade da nossa vida profissionalA continuidade da nossa vida profissional
A continuidade da nossa vida profissionalSidney Modenesi, MBCI
 
A Crise Energética e seus impactos nos Data Centers
A Crise Energética e seus impactos nos Data CentersA Crise Energética e seus impactos nos Data Centers
A Crise Energética e seus impactos nos Data CentersSidney Modenesi, MBCI
 
A Crise Energética Brasileira e seu Impacto nos Data Centers
A Crise Energética Brasileira e seu Impacto nos Data CentersA Crise Energética Brasileira e seu Impacto nos Data Centers
A Crise Energética Brasileira e seu Impacto nos Data CentersSidney Modenesi, MBCI
 
Uma vida em continuidade - A life in continuity
Uma vida em continuidade - A life in continuityUma vida em continuidade - A life in continuity
Uma vida em continuidade - A life in continuitySidney Modenesi, MBCI
 
Implementing your BC program in conformity with ISO 22301
Implementing your BC program in conformity with ISO 22301 Implementing your BC program in conformity with ISO 22301
Implementing your BC program in conformity with ISO 22301 Sidney Modenesi, MBCI
 
Scoping, implementing and Improving the BCMS
Scoping, implementing and Improving the BCMSScoping, implementing and Improving the BCMS
Scoping, implementing and Improving the BCMSSidney Modenesi, MBCI
 
BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?Sidney Modenesi, MBCI
 
BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?Sidney Modenesi, MBCI
 

Mais de Sidney Modenesi, MBCI (20)

Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313
 
Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313
 
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
 
A continuidade da nossa vida profissional
A continuidade da nossa vida profissionalA continuidade da nossa vida profissional
A continuidade da nossa vida profissional
 
O Brasil precisa de continuidade (de negócios)?
O Brasil precisa de continuidade (de negócios)?O Brasil precisa de continuidade (de negócios)?
O Brasil precisa de continuidade (de negócios)?
 
BCAW - Business Continuity Awareness Week 2016
BCAW - Business Continuity Awareness Week 2016BCAW - Business Continuity Awareness Week 2016
BCAW - Business Continuity Awareness Week 2016
 
Programa de Capacitação - 2016
Programa de Capacitação - 2016Programa de Capacitação - 2016
Programa de Capacitação - 2016
 
Data Center and Business Continuity in 2040
Data Center and Business Continuity in 2040Data Center and Business Continuity in 2040
Data Center and Business Continuity in 2040
 
ISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practicesISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practices
 
Business Continuity or Survival of Business?
Business Continuity or Survival of Business?Business Continuity or Survival of Business?
Business Continuity or Survival of Business?
 
Palestra sobre as relações entre Compliance e Continuidade de Negócios
Palestra sobre as relações entre Compliance e Continuidade de NegóciosPalestra sobre as relações entre Compliance e Continuidade de Negócios
Palestra sobre as relações entre Compliance e Continuidade de Negócios
 
A continuidade da nossa vida profissional
A continuidade da nossa vida profissionalA continuidade da nossa vida profissional
A continuidade da nossa vida profissional
 
A Crise Energética e seus impactos nos Data Centers
A Crise Energética e seus impactos nos Data CentersA Crise Energética e seus impactos nos Data Centers
A Crise Energética e seus impactos nos Data Centers
 
A Crise Energética Brasileira e seu Impacto nos Data Centers
A Crise Energética Brasileira e seu Impacto nos Data CentersA Crise Energética Brasileira e seu Impacto nos Data Centers
A Crise Energética Brasileira e seu Impacto nos Data Centers
 
Uma vida em continuidade - A life in continuity
Uma vida em continuidade - A life in continuityUma vida em continuidade - A life in continuity
Uma vida em continuidade - A life in continuity
 
A Copa do Mundo e a GCN
A Copa do Mundo e a GCNA Copa do Mundo e a GCN
A Copa do Mundo e a GCN
 
Implementing your BC program in conformity with ISO 22301
Implementing your BC program in conformity with ISO 22301 Implementing your BC program in conformity with ISO 22301
Implementing your BC program in conformity with ISO 22301
 
Scoping, implementing and Improving the BCMS
Scoping, implementing and Improving the BCMSScoping, implementing and Improving the BCMS
Scoping, implementing and Improving the BCMS
 
BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?
 
BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?
 

Continuidade de negócios contra interrupções de TI e segurança

  • 1. +55 11 5583-0033 contingencia@strohlbrasil.com.br www.strohlbrasil.com.br STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 1 de 5 Copyright © 2016 30/05/2017 CONTINUIDADE DE NEGÓCIOS O seu seguro contra as indisponibilidades de TI ou de SI O recente ataque global do ransomware “WannaCry” expôs as vulnerabilidades de segurança da informação de muitas organizações. Uma falha, inicialmente atribuída a uma pane elétrica, nos sistemas informatizados da British Airways que se prolongou por mais de dois dias num final de semana de feriado bancário, expôs as fragilidades da recuperação da infraestrutura de TI de forma a atender às necessidades do negócio e de seus clientes. Estes são somente dois exemplos recentes de incidentes, um de segurança da informação e o outro, a princípio, de infraestrutura de TI. Você realmente acredita que estes casos são únicos e não acontecerão na sua organização? O recente relatório sobre “Cyber Resilience” divulgado pela empresa de consultoria Ernst&Young expõe, claramente, o que muitos profissionais de continuidade de negócios, eu dentre eles, vem alertando: “quando todos os seus mecanismos de controles falharem, sejam de TI – Tecnologia da Informação ou de SI – Segurança da Informação, a sua última esperança é a Continuidade de Negócios”. Vamos analisar algumas destas respostas, lembrando que este relatório é influenciado pelas respostas das grandes organizações mundiais, mais maduras que as empresas brasileiras em geral: 87% dos executivos das grandes organizações do mundo não confiam que suas organizações estejam adequadamente preparadas para enfrentar um cyber ataque. Ainda assim, os executivos não pretendem, ou conseguem, aumentar os investimentos em segurança da informação em geral. 44% das organizações participantes não tem o SOC – Security Information Center formalmente implantado para identificar, tratar e responder adequada e rapidamente a um cyber ataque ou mesmo a um incidente de segurança da informação em larga escala.
  • 2. +55 11 5583-0033 contingencia@strohlbrasil.com.br www.strohlbrasil.com.br STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 2 de 5 Copyright © 2016 Apesar dos últimos acontecimentos, 62% dos executivos afirmaram que não pretendem investir mais em segurança da informação. Investir mais não significa que o nível de proteção aumentará proporcionalmente, e ficará, sempre, um risco residual de muito baixa probabilidade, mas de altíssimo impacto que deve ser tratado adequadamente. Esta resposta é alarmante, 86% dos participantes concordam que seus investimentos em segurança da informação não atendem às necessidades da empresa e ainda assim afirmaram na pergunta anterior que não estão dispostos, ou não conseguem, investir mais em segurança da informação. Será que esta decisão foi compartilhada com o CRO – Chief Risk Officer ou referendada pela Alta Direção ou pelo Conselho de Administração? O CIO/CSO pode tomar esta decisão e assumir estes riscos sozinho? Se a resposta anterior já era alarmante, esta é “catastrófica”. Mais da metade dos participantes reportaram terem vivenciado incidentes de “cybersecurity” num passado recente. As limitantes para melhorar a eficácia da “cybersecurity” são: restrições orçamentárias (61%); falta de pessoal qualificado (56%) e falta de conscientização ou apoio executivo (32%). Ou seja, o que se investe não é o suficiente, é ineficiente e a percepção executiva é de um investimento inadequado uma vez que os incidentes continuam ocorrendo. Para os profissionais de Continuidade de Negócios as próximas duas respostas são devastadoras: 49% dos participantes afirmaram não saber quais seriam os impactos financeiros de um cyber ataque, sem falar dos demais tipos de impactos (danos à imagem, perda de mercado, regulatórios etc.) e 89% não avaliaram os impactos decorrentes dos últimos incidentes de segurança da informação. Isto comprova um total desalinhamento entre os sistemas de gestão de riscos corporativos, de segurança da informação e de continuidade de negócios. Uma BIA (Análise de Impacto nos Negócios) adequadamente conduzida responderia facilmente a estas e outras perguntas, contribuiria para o aumento da conscientização e na justificativa de revisão dos investimentos em prevenção, resposta e contenção. E na hora que um incidente de interrupção ocorrer, seja de segurança da informação ou não, 57% das organizações classificaram seu Programa de Continuidade de Negócios como altamente prioritário em conjunto com outras ações de prevenção a perda ou vazamento de dados. Um desafio que por natureza não é simples agora é enorme! Implantar um Programa de Continuidade de Negócios que atenda aos objetivos do Risco Corporativo e aos incidentes de Segurança e de Tecnologia da Informação com todos estes gaps admitidos e reportados pelos seus principais gestores.
  • 3. +55 11 5583-0033 contingencia@strohlbrasil.com.br www.strohlbrasil.com.br STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 3 de 5 Copyright © 2016 A seguir relaciono alguns destes desafios, que podem variar de organização para organização, principalmente em função da maturidade de cada organização com os vários sistemas de gestão necessários: Riscos Corporativos, Segurança da Informação, Serviços de TI e Continuidade de Negócios. 1. Análise de Impacto nos Negócios (BIA): uma BIA bem conduzida e com a participação dos gestores adequados deve quantificar quatro variáveis fundamentais: MTPD, MBCO, RTO e RPO (assista ao vídeo explicativo) para os produtos e serviços da organização. Deve, ainda, quantificar adequadamente os impactos decorrentes da indisponibilidade destes produtos e serviços ao longo do tempo, nos cenários estabelecidos. Temos, hoje, no mínimo dois cenários bem distintos: a. Indisponibilidade do local de trabalho: neste caso a prioridade é relocar rapidamente pessoas e reiniciar produtos e serviços críticos num local alternativo e b. Indisponibilidade dos serviços de TI: decorrentes de falhas na infraestrutura, aplicações, ativos, itens de configuração ou incidentes de segurança da informação como o ransomware “WannaCry” ou a indisponibilidade da British Airways. Neste caso, a prioridade é recuperar os serviços de TI possivelmente no site de produção. Portanto, com uma BIA razoavelmente atualizada, visto ser uma atividade realizada a cada 12 – 18 meses, é possível estimar os impactos de um incidente de interrupção decorrente de um cyber ataque, de segurança da informação ou outro. Assim, as respostas acima nos levam a concluir que: ou as organizações não têm BIAs atualizados, ou as BIAs não tem as informações necessárias, ou as informações obtidas nas BIAs não tem credibilidade, ou não refletem a realidade da organização, ou, a pior de todas, as organizações não têm BIAs! 2. Mapeamento de processos: uma vez identificados os produtos e serviços críticos da organização através da BIA, há a necessidade de identificar os processos de negócio que os sustentam. O que vemos, em geral, é um entendimento confuso entre macroprocessos, processos e atividades de negócio, isto quando existe algum mapeamento. É vital que o mapeamento de processos utilizado esteja completo, atualizado e reflita adequadamente as operações da organização. 3. Catálogo de Serviços de TI: uma vez mapeados os processos de negócio críticos agora é chegado o momento de mapear os itens de configuração (ICs) que suportam estes processos. Estas informações estão, normalmente, no CMDB (Configuration Management Data Base) que, da mesma forma que o mapeamento de processos acima, também deve estar completo, atualizado e refletir adequadamente as operações de TI da organização. 4. Estratégias de Recuperação: uma vez realizada a BIA, os produtos, serviços e processos críticos e seus respectivos MTPDs, MBCOs, RTOs e RPOs foram dimensionados. Com o auxílio do catálogo de serviços de
  • 4. +55 11 5583-0033 contingencia@strohlbrasil.com.br www.strohlbrasil.com.br STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 4 de 5 Copyright © 2016 TI estas variáveis e respectivos impactos devem ser propagados aos ICs que suportam os produtos, serviços e processos críticos. Algo semelhante ao que era solicitado na antiga versão da ISO 27002, mas agora partindo do negócio (BIA) para o IC. Feito isto, deve ser avaliado, no cenário de pior caso, e com a infraestrutura disponível, se os produtos, serviços e processos críticos poderão, efetivamente, serem recuperados respeitando os MTPDs, MBCOs, RTOs e RPOs estabelecidos. Não podemos descartar a hipótese, num cenário de pior caso, de haver a necessidade da restauração de uma ou mais bases de dados de muitos petabytes de tamanho, atividades que demandarão, seguramente, muito tempo. Ainda, como alternativas a serem avaliadas na recuperação dos dados críticos devem ser consideradas: recovery forward (um arquivo base mais logs) ou recovery backward (desfazer as últimas transações feitas até um determinado ponto de consistência conhecido), normalmente muito lento. Os tempos são consistentes? Ótimo. Não são? Então serão necessários ajustes nas estratégias de prevenção, resposta, contenção e recuperação, o que pode implicar em maiores investimentos e despesas operacionais recorrentes ou então o Apetite a Risco da organização deve ser revisto. 5. Planos de Recuperação: as estratégias de recuperação, devidamente revisadas e alinhadas ao Apetite a Risco corporativo - insisto, devem ser materializadas em procedimentos operacionais desde a identificação, resposta e contenção de um incidente, seja no SOC ou em outras centrais de monitoração e operação, até os planos de recuperação dos ICs de TI (DRP) e das áreas de negócios (Continuidade de Negócios). Simples? Claro que não. Vamos analisar os desafios operacionais de uma ameaça típica de segurança da informação que pode ser um ransomware, vírus ou outra. (assista ao webinar WannaCry 3.0) 1. Muitas das ameaças são velhas conhecidas recentemente maquiadas e estão ocorrendo o tempo todo; 2. A maioria das ameaças surgem rapidamente após a liberação do boletim de correção da vulnerabilidade pelo fabricante ou alguma outra forma de divulgação e propagação. Ou seja, saiu uma correção, podemos nos preparar que rapidamente surgirá uma ameaça explorando aquela vulnerabilidade recém corrigida; 3. Entre a data da liberação de uma correção até a data da sua aplicação no ambiente de produção da organização pode levar um certo tempo, período no qual a organização ficará vulnerável a esta ameaça, até que a nova correção seja devidamente homologada para aplicação (“patching”);
  • 5. +55 11 5583-0033 contingencia@strohlbrasil.com.br www.strohlbrasil.com.br STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 5 de 5 Copyright © 2016 4. O “patching” não é uma atividade tão simples como vem sendo divulgada nas mídias após o “WannaCry” – “mantenha o seu sistema atualizado”. Se estamos falando de uma ou poucas estações, o problema pode ser simples. Se estamos falando de centenas, milhares de estações o “patching” deve ser planejado e programado para assegurar que as aplicações legadas continuarão operacionais (o mundo 100% cloud ainda está distante), e que não haverá sacrifícios no tempo de resposta da rede pela atualização simultânea de muitas estações ao mesmo tempo. Ainda, devemos considerar que uma correção pode implicar em investimentos significativos em novas licenças de versões de software de forma a manter a compatibilidade com as correções aplicadas. É de conhecimento público que várias organizações desligaram as estações na sexta-feira devido o “WannaCry” e aplicaram correções maciçamente no final de semana. Na segunda-feira muitas organizações continuavam paradas por problemas de compatibilidade entre as correções aplicadas e os aplicativos instalados. Claramente não haviam estratégias coordenadas para tratar um incidente desta natureza e dimensão. 5. Backup/Restore: a política de backup/restore deve ser revista vis a vis os MTPDs, MBCOs, RTOs e RPOs estabelecidos. Dados de mercado indicam que 80% dos backups feitos nunca foram testados. Numa crise não é o momento adequado para se descobrir que um determinado backup não atende às expectativas. Se os tempos de restore não atenderem os objetivos do negócio, a política de backup/restore deve ser revista. 6. Infelizmente aconteceu – A ORGANIZAÇÃO FOI ATINGIDA. Hora de pôr todos os procedimentos e planos previamente desenvolvidos e testados em operação de maneira coordenada: ativando o Centro de Comando de Crise, escalando o incidente aos executivos, acionando a comunicação interna e externa, tratando adequadamente o incidente e preservando as evidências para realimentar o PDCA dos sistemas de gestão. O que recuperar primeiro? Simples, as estações, aplicações, ICs etc. a serem recuperados primeiro são aquelas que suportam os produtos, serviços e processos de negócio críticos identificados na BIA, em conformidade com os MTPDs, MBCOs, RTOs e RPOs estabelecidos. Concluindo, a BIA é o processo central de levantamento de informações para suporte a tomada de decisões pela alta direção alinhadas ao apetite a risco da organização. SUA ORGANIZAÇÃO NÃO TEM UMA BIA CONFIÁVEL? Consulte-nos e nós te auxiliaremos a fazer uma rapidamente. O WannaCry 3.0 poderá não ter a chave liga/desliga como o anterior. Sidney R. Modenesi, MCBCC, MBCI, LDRM ISO 22301 BSI Technical Expert Entusiasta em Resiliência, bacharel em Ciências da Computação pela USP, pós-graduado em Empreendedorismo pela USP, profissional certificado em Continuidade de Negócios pelo BCI, em Recuperação de Desastres (DRP) pelo PECB e na norma ISO 22301 de Continuidade de Negócios pelo BSI.