Este documento discute a importância da continuidade de negócios para organizações enfrentarem interrupções causadas por ataques cibernéticos ou falhas técnicas. Relatórios mostram que a maioria das empresas não está adequadamente preparada para incidentes e não consegue investir o suficiente em segurança da informação. Implementar um programa de continuidade de negócios eficaz requer análises de impacto, mapeamento de processos e serviços de TI, além de estratégias e planos de recuperação bem desenvolvidos

1. +55 11 5583-0033
contingencia@strohlbrasil.com.br
www.strohlbrasil.com.br
STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 1 de 5
Copyright © 2016
30/05/2017
CONTINUIDADE DE NEGÓCIOS
O seu seguro contra as indisponibilidades de TI ou de SI
O recente ataque global do ransomware “WannaCry” expôs as
vulnerabilidades de segurança da informação de muitas organizações.
Uma falha, inicialmente atribuída a uma pane elétrica, nos sistemas
informatizados da British Airways que se prolongou por mais de dois dias
num final de semana de feriado bancário, expôs as fragilidades da
recuperação da infraestrutura de TI de forma a atender às necessidades
do negócio e de seus clientes.
Estes são somente dois exemplos recentes de incidentes, um de
segurança da informação e o outro, a princípio, de infraestrutura de TI.
Você realmente acredita que estes casos são únicos e não acontecerão na sua organização?
O recente relatório sobre “Cyber Resilience” divulgado pela empresa de
consultoria Ernst&Young expõe, claramente, o que muitos profissionais de
continuidade de negócios, eu dentre eles, vem alertando: “quando todos
os seus mecanismos de controles falharem, sejam de TI – Tecnologia
da Informação ou de SI – Segurança da Informação, a sua última
esperança é a Continuidade de Negócios”.
Vamos analisar algumas destas respostas, lembrando que este relatório é
influenciado pelas respostas das grandes organizações mundiais, mais
maduras que as empresas brasileiras em geral:
87% dos executivos das grandes organizações do mundo não confiam
que suas organizações estejam adequadamente preparadas para
enfrentar um cyber ataque.
Ainda assim, os executivos não pretendem, ou conseguem, aumentar os
investimentos em segurança da informação em geral.
44% das organizações participantes não tem o SOC – Security Information
Center formalmente implantado para identificar, tratar e responder adequada e
rapidamente a um cyber ataque ou mesmo a um incidente de segurança da
informação em larga escala.

2. +55 11 5583-0033
contingencia@strohlbrasil.com.br
www.strohlbrasil.com.br
STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 2 de 5
Copyright © 2016
Apesar dos últimos acontecimentos, 62% dos executivos afirmaram que não
pretendem investir mais em segurança da informação.
Investir mais não significa que o nível de proteção aumentará proporcionalmente,
e ficará, sempre, um risco residual de muito baixa probabilidade, mas de altíssimo
impacto que deve ser tratado adequadamente.
Esta resposta é alarmante, 86% dos participantes concordam que seus
investimentos em segurança da informação não atendem às necessidades da
empresa e ainda assim afirmaram na pergunta anterior que não estão dispostos,
ou não conseguem, investir mais em segurança da informação.
Será que esta decisão foi compartilhada com o CRO – Chief Risk Officer ou
referendada pela Alta Direção ou pelo Conselho de Administração? O CIO/CSO
pode tomar esta decisão e assumir estes riscos sozinho?
Se a resposta anterior já era alarmante, esta é “catastrófica”. Mais da metade dos participantes reportaram terem
vivenciado incidentes de “cybersecurity” num passado recente.
As limitantes para melhorar a eficácia da “cybersecurity” são: restrições orçamentárias (61%); falta de pessoal
qualificado (56%) e falta de conscientização ou apoio executivo (32%). Ou seja, o que se investe não é o
suficiente, é ineficiente e a percepção executiva é de um investimento inadequado uma vez que os incidentes
continuam ocorrendo.
Para os profissionais de Continuidade de Negócios as próximas duas respostas são devastadoras:
49% dos participantes afirmaram não saber
quais seriam os impactos financeiros de um
cyber ataque, sem falar dos demais tipos de
impactos (danos à imagem, perda de
mercado, regulatórios etc.) e 89% não
avaliaram os impactos decorrentes dos
últimos incidentes de segurança da
informação.
Isto comprova um total desalinhamento entre os sistemas de gestão de riscos corporativos, de segurança da
informação e de continuidade de negócios. Uma BIA (Análise de Impacto nos Negócios) adequadamente
conduzida responderia facilmente a estas e outras perguntas, contribuiria para o aumento da conscientização e na
justificativa de revisão dos investimentos em prevenção, resposta e contenção.
E na hora que um incidente de interrupção ocorrer, seja de segurança da
informação ou não, 57% das organizações classificaram seu Programa de
Continuidade de Negócios como altamente prioritário em conjunto com outras
ações de prevenção a perda ou vazamento de dados.
Um desafio que por natureza não é simples agora é enorme! Implantar um
Programa de Continuidade de Negócios que atenda aos objetivos do Risco
Corporativo e aos incidentes de Segurança e de Tecnologia da Informação com
todos estes gaps admitidos e reportados pelos seus principais gestores.

3. +55 11 5583-0033
contingencia@strohlbrasil.com.br
www.strohlbrasil.com.br
STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 3 de 5
Copyright © 2016
A seguir relaciono alguns destes desafios, que podem variar de organização para organização, principalmente em
função da maturidade de cada organização com os vários sistemas de gestão necessários: Riscos Corporativos,
Segurança da Informação, Serviços de TI e Continuidade de Negócios.
1. Análise de Impacto nos Negócios (BIA): uma BIA bem
conduzida e com a participação dos gestores adequados deve
quantificar quatro variáveis fundamentais: MTPD, MBCO, RTO
e RPO (assista ao vídeo explicativo) para os produtos e
serviços da organização. Deve, ainda, quantificar
adequadamente os impactos decorrentes da indisponibilidade
destes produtos e serviços ao longo do tempo, nos cenários
estabelecidos.
Temos, hoje, no mínimo dois cenários bem distintos:
a. Indisponibilidade do local de trabalho: neste caso a prioridade é relocar rapidamente pessoas e
reiniciar produtos e serviços críticos num local alternativo e
b. Indisponibilidade dos serviços de TI: decorrentes de falhas na infraestrutura, aplicações, ativos, itens
de configuração ou incidentes de segurança da informação como o ransomware “WannaCry” ou a
indisponibilidade da British Airways. Neste caso, a prioridade é recuperar os serviços de TI
possivelmente no site de produção.
Portanto, com uma BIA razoavelmente atualizada, visto ser uma atividade realizada a cada 12 – 18 meses, é
possível estimar os impactos de um incidente de interrupção decorrente de um cyber ataque, de segurança da
informação ou outro. Assim, as respostas acima nos levam a concluir que: ou as organizações não têm BIAs
atualizados, ou as BIAs não tem as informações necessárias, ou as informações obtidas nas BIAs não tem
credibilidade, ou não refletem a realidade da organização, ou, a pior de todas, as organizações não têm BIAs!
2. Mapeamento de processos: uma vez identificados os produtos e serviços críticos da organização através da
BIA, há a necessidade de identificar os processos de negócio que os sustentam. O que vemos, em geral, é um
entendimento confuso entre macroprocessos, processos e atividades de negócio, isto quando existe algum
mapeamento. É vital que o mapeamento de
processos utilizado esteja completo, atualizado e
reflita adequadamente as operações da
organização.
3. Catálogo de Serviços de TI: uma vez mapeados
os processos de negócio críticos agora é chegado
o momento de mapear os itens de configuração
(ICs) que suportam estes processos. Estas informações estão, normalmente, no CMDB (Configuration
Management Data Base) que, da mesma forma que o mapeamento de processos acima, também deve estar
completo, atualizado e refletir adequadamente as operações de TI da organização.
4. Estratégias de Recuperação: uma vez realizada a BIA, os produtos, serviços e processos críticos e seus
respectivos MTPDs, MBCOs, RTOs e RPOs foram dimensionados. Com o auxílio do catálogo de serviços de

4. +55 11 5583-0033
contingencia@strohlbrasil.com.br
www.strohlbrasil.com.br
STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 4 de 5
Copyright © 2016
TI estas variáveis e respectivos impactos devem ser propagados aos ICs que suportam os produtos, serviços e
processos críticos. Algo semelhante ao que era solicitado na antiga versão da ISO 27002, mas agora partindo
do negócio (BIA) para o IC.
Feito isto, deve ser avaliado, no cenário de pior caso, e com a
infraestrutura disponível, se os produtos, serviços e processos críticos
poderão, efetivamente, serem recuperados respeitando os MTPDs,
MBCOs, RTOs e RPOs estabelecidos. Não podemos descartar a
hipótese, num cenário de pior caso, de haver a necessidade da
restauração de uma ou mais bases de dados de muitos petabytes de
tamanho, atividades que demandarão, seguramente, muito tempo.
Ainda, como alternativas a serem avaliadas na recuperação dos dados críticos devem ser consideradas:
recovery forward (um arquivo base mais logs) ou recovery backward (desfazer as últimas transações feitas até
um determinado ponto de consistência conhecido), normalmente muito lento.
Os tempos são consistentes? Ótimo.
Não são? Então serão necessários ajustes nas estratégias de prevenção, resposta, contenção e recuperação,
o que pode implicar em maiores investimentos e despesas operacionais recorrentes ou então o Apetite a Risco
da organização deve ser revisto.
5. Planos de Recuperação: as estratégias de recuperação, devidamente revisadas e alinhadas ao Apetite a Risco
corporativo - insisto, devem ser materializadas em procedimentos operacionais desde a identificação, resposta e
contenção de um incidente, seja no SOC ou em outras centrais de monitoração e operação, até os planos de
recuperação dos ICs de TI (DRP) e das áreas de negócios (Continuidade de Negócios).
Simples?
Claro que não. Vamos analisar os desafios operacionais de uma ameaça típica de segurança da informação
que pode ser um ransomware, vírus ou outra. (assista ao webinar WannaCry 3.0)
1. Muitas das ameaças são velhas conhecidas recentemente maquiadas e estão ocorrendo o tempo todo;
2. A maioria das ameaças surgem rapidamente após a liberação do boletim de correção da vulnerabilidade pelo
fabricante ou alguma outra forma de divulgação e propagação. Ou seja, saiu uma correção, podemos nos
preparar que rapidamente surgirá uma ameaça explorando aquela vulnerabilidade recém corrigida;
3. Entre a data da liberação de uma correção
até a data da sua aplicação no ambiente de
produção da organização pode levar um
certo tempo, período no qual a organização
ficará vulnerável a esta ameaça, até que a
nova correção seja devidamente
homologada para aplicação (“patching”);

5. +55 11 5583-0033
contingencia@strohlbrasil.com.br
www.strohlbrasil.com.br
STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 5 de 5
Copyright © 2016
4. O “patching” não é uma atividade tão simples como vem sendo divulgada nas mídias após o “WannaCry” –
“mantenha o seu sistema atualizado”. Se estamos falando de uma ou poucas estações, o problema pode ser
simples. Se estamos falando de centenas, milhares de estações o “patching” deve ser planejado e programado
para assegurar que as aplicações legadas continuarão operacionais (o mundo 100% cloud ainda está distante),
e que não haverá sacrifícios no tempo de resposta da rede pela atualização simultânea de muitas estações ao
mesmo tempo. Ainda, devemos considerar que uma correção pode implicar em investimentos significativos em
novas licenças de versões de software de forma a manter a compatibilidade com as correções aplicadas.
É de conhecimento público que várias organizações desligaram as estações na sexta-feira devido o “WannaCry”
e aplicaram correções maciçamente no final de semana. Na segunda-feira muitas organizações continuavam
paradas por problemas de compatibilidade entre as correções aplicadas e os aplicativos instalados.
Claramente não haviam estratégias coordenadas para tratar um incidente desta natureza e dimensão.
5. Backup/Restore: a política de backup/restore deve ser revista vis a vis os MTPDs, MBCOs, RTOs e RPOs
estabelecidos. Dados de mercado indicam que 80% dos backups feitos nunca foram testados. Numa crise
não é o momento adequado para se descobrir que um determinado backup não atende às expectativas. Se os
tempos de restore não atenderem os objetivos do negócio, a política de backup/restore deve ser revista.
6. Infelizmente aconteceu – A ORGANIZAÇÃO FOI ATINGIDA. Hora de pôr todos os procedimentos e planos
previamente desenvolvidos e testados em operação de maneira coordenada: ativando o Centro de Comando de
Crise, escalando o incidente aos executivos, acionando a comunicação interna e externa, tratando
adequadamente o incidente e preservando as evidências para realimentar o PDCA dos sistemas de gestão.
O que recuperar primeiro?
Simples, as estações, aplicações, ICs etc. a serem recuperados primeiro são aquelas que suportam os
produtos, serviços e processos de negócio críticos identificados na BIA, em conformidade com os MTPDs,
MBCOs, RTOs e RPOs estabelecidos.
Concluindo, a BIA é o processo central de levantamento de informações para suporte a tomada de decisões pela
alta direção alinhadas ao apetite a risco da organização.
SUA ORGANIZAÇÃO NÃO TEM UMA BIA CONFIÁVEL? Consulte-nos e nós te auxiliaremos a fazer uma
rapidamente. O WannaCry 3.0 poderá não ter a chave liga/desliga como o anterior.
Sidney R. Modenesi, MCBCC, MBCI, LDRM
ISO 22301 BSI Technical Expert
Entusiasta em Resiliência, bacharel em Ciências da Computação pela USP, pós-graduado em
Empreendedorismo pela USP, profissional certificado em Continuidade de Negócios pelo BCI, em Recuperação
de Desastres (DRP) pelo PECB e na norma ISO 22301 de Continuidade de Negócios pelo BSI.