SlideShare uma empresa Scribd logo
+55 11 5583-0033
contingencia@strohlbrasil.com.br
www.strohlbrasil.com.br
STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 1 de 5
Copyright © 2016
30/05/2017
CONTINUIDADE DE NEGÓCIOS
O seu seguro contra as indisponibilidades de TI ou de SI
O recente ataque global do ransomware “WannaCry” expôs as
vulnerabilidades de segurança da informação de muitas organizações.
Uma falha, inicialmente atribuída a uma pane elétrica, nos sistemas
informatizados da British Airways que se prolongou por mais de dois dias
num final de semana de feriado bancário, expôs as fragilidades da
recuperação da infraestrutura de TI de forma a atender às necessidades
do negócio e de seus clientes.
Estes são somente dois exemplos recentes de incidentes, um de
segurança da informação e o outro, a princípio, de infraestrutura de TI.
Você realmente acredita que estes casos são únicos e não acontecerão na sua organização?
O recente relatório sobre “Cyber Resilience” divulgado pela empresa de
consultoria Ernst&Young expõe, claramente, o que muitos profissionais de
continuidade de negócios, eu dentre eles, vem alertando: “quando todos
os seus mecanismos de controles falharem, sejam de TI – Tecnologia
da Informação ou de SI – Segurança da Informação, a sua última
esperança é a Continuidade de Negócios”.
Vamos analisar algumas destas respostas, lembrando que este relatório é
influenciado pelas respostas das grandes organizações mundiais, mais
maduras que as empresas brasileiras em geral:
87% dos executivos das grandes organizações do mundo não confiam
que suas organizações estejam adequadamente preparadas para
enfrentar um cyber ataque.
Ainda assim, os executivos não pretendem, ou conseguem, aumentar os
investimentos em segurança da informação em geral.
44% das organizações participantes não tem o SOC – Security Information
Center formalmente implantado para identificar, tratar e responder adequada e
rapidamente a um cyber ataque ou mesmo a um incidente de segurança da
informação em larga escala.
+55 11 5583-0033
contingencia@strohlbrasil.com.br
www.strohlbrasil.com.br
STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 2 de 5
Copyright © 2016
Apesar dos últimos acontecimentos, 62% dos executivos afirmaram que não
pretendem investir mais em segurança da informação.
Investir mais não significa que o nível de proteção aumentará proporcionalmente,
e ficará, sempre, um risco residual de muito baixa probabilidade, mas de altíssimo
impacto que deve ser tratado adequadamente.
Esta resposta é alarmante, 86% dos participantes concordam que seus
investimentos em segurança da informação não atendem às necessidades da
empresa e ainda assim afirmaram na pergunta anterior que não estão dispostos,
ou não conseguem, investir mais em segurança da informação.
Será que esta decisão foi compartilhada com o CRO – Chief Risk Officer ou
referendada pela Alta Direção ou pelo Conselho de Administração? O CIO/CSO
pode tomar esta decisão e assumir estes riscos sozinho?
Se a resposta anterior já era alarmante, esta é “catastrófica”. Mais da metade dos participantes reportaram terem
vivenciado incidentes de “cybersecurity” num passado recente.
As limitantes para melhorar a eficácia da “cybersecurity” são: restrições orçamentárias (61%); falta de pessoal
qualificado (56%) e falta de conscientização ou apoio executivo (32%). Ou seja, o que se investe não é o
suficiente, é ineficiente e a percepção executiva é de um investimento inadequado uma vez que os incidentes
continuam ocorrendo.
Para os profissionais de Continuidade de Negócios as próximas duas respostas são devastadoras:
49% dos participantes afirmaram não saber
quais seriam os impactos financeiros de um
cyber ataque, sem falar dos demais tipos de
impactos (danos à imagem, perda de
mercado, regulatórios etc.) e 89% não
avaliaram os impactos decorrentes dos
últimos incidentes de segurança da
informação.
Isto comprova um total desalinhamento entre os sistemas de gestão de riscos corporativos, de segurança da
informação e de continuidade de negócios. Uma BIA (Análise de Impacto nos Negócios) adequadamente
conduzida responderia facilmente a estas e outras perguntas, contribuiria para o aumento da conscientização e na
justificativa de revisão dos investimentos em prevenção, resposta e contenção.
E na hora que um incidente de interrupção ocorrer, seja de segurança da
informação ou não, 57% das organizações classificaram seu Programa de
Continuidade de Negócios como altamente prioritário em conjunto com outras
ações de prevenção a perda ou vazamento de dados.
Um desafio que por natureza não é simples agora é enorme! Implantar um
Programa de Continuidade de Negócios que atenda aos objetivos do Risco
Corporativo e aos incidentes de Segurança e de Tecnologia da Informação com
todos estes gaps admitidos e reportados pelos seus principais gestores.
+55 11 5583-0033
contingencia@strohlbrasil.com.br
www.strohlbrasil.com.br
STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 3 de 5
Copyright © 2016
A seguir relaciono alguns destes desafios, que podem variar de organização para organização, principalmente em
função da maturidade de cada organização com os vários sistemas de gestão necessários: Riscos Corporativos,
Segurança da Informação, Serviços de TI e Continuidade de Negócios.
1. Análise de Impacto nos Negócios (BIA): uma BIA bem
conduzida e com a participação dos gestores adequados deve
quantificar quatro variáveis fundamentais: MTPD, MBCO, RTO
e RPO (assista ao vídeo explicativo) para os produtos e
serviços da organização. Deve, ainda, quantificar
adequadamente os impactos decorrentes da indisponibilidade
destes produtos e serviços ao longo do tempo, nos cenários
estabelecidos.
Temos, hoje, no mínimo dois cenários bem distintos:
a. Indisponibilidade do local de trabalho: neste caso a prioridade é relocar rapidamente pessoas e
reiniciar produtos e serviços críticos num local alternativo e
b. Indisponibilidade dos serviços de TI: decorrentes de falhas na infraestrutura, aplicações, ativos, itens
de configuração ou incidentes de segurança da informação como o ransomware “WannaCry” ou a
indisponibilidade da British Airways. Neste caso, a prioridade é recuperar os serviços de TI
possivelmente no site de produção.
Portanto, com uma BIA razoavelmente atualizada, visto ser uma atividade realizada a cada 12 – 18 meses, é
possível estimar os impactos de um incidente de interrupção decorrente de um cyber ataque, de segurança da
informação ou outro. Assim, as respostas acima nos levam a concluir que: ou as organizações não têm BIAs
atualizados, ou as BIAs não tem as informações necessárias, ou as informações obtidas nas BIAs não tem
credibilidade, ou não refletem a realidade da organização, ou, a pior de todas, as organizações não têm BIAs!
2. Mapeamento de processos: uma vez identificados os produtos e serviços críticos da organização através da
BIA, há a necessidade de identificar os processos de negócio que os sustentam. O que vemos, em geral, é um
entendimento confuso entre macroprocessos, processos e atividades de negócio, isto quando existe algum
mapeamento. É vital que o mapeamento de
processos utilizado esteja completo, atualizado e
reflita adequadamente as operações da
organização.
3. Catálogo de Serviços de TI: uma vez mapeados
os processos de negócio críticos agora é chegado
o momento de mapear os itens de configuração
(ICs) que suportam estes processos. Estas informações estão, normalmente, no CMDB (Configuration
Management Data Base) que, da mesma forma que o mapeamento de processos acima, também deve estar
completo, atualizado e refletir adequadamente as operações de TI da organização.
4. Estratégias de Recuperação: uma vez realizada a BIA, os produtos, serviços e processos críticos e seus
respectivos MTPDs, MBCOs, RTOs e RPOs foram dimensionados. Com o auxílio do catálogo de serviços de
+55 11 5583-0033
contingencia@strohlbrasil.com.br
www.strohlbrasil.com.br
STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 4 de 5
Copyright © 2016
TI estas variáveis e respectivos impactos devem ser propagados aos ICs que suportam os produtos, serviços e
processos críticos. Algo semelhante ao que era solicitado na antiga versão da ISO 27002, mas agora partindo
do negócio (BIA) para o IC.
Feito isto, deve ser avaliado, no cenário de pior caso, e com a
infraestrutura disponível, se os produtos, serviços e processos críticos
poderão, efetivamente, serem recuperados respeitando os MTPDs,
MBCOs, RTOs e RPOs estabelecidos. Não podemos descartar a
hipótese, num cenário de pior caso, de haver a necessidade da
restauração de uma ou mais bases de dados de muitos petabytes de
tamanho, atividades que demandarão, seguramente, muito tempo.
Ainda, como alternativas a serem avaliadas na recuperação dos dados críticos devem ser consideradas:
recovery forward (um arquivo base mais logs) ou recovery backward (desfazer as últimas transações feitas até
um determinado ponto de consistência conhecido), normalmente muito lento.
Os tempos são consistentes? Ótimo.
Não são? Então serão necessários ajustes nas estratégias de prevenção, resposta, contenção e recuperação,
o que pode implicar em maiores investimentos e despesas operacionais recorrentes ou então o Apetite a Risco
da organização deve ser revisto.
5. Planos de Recuperação: as estratégias de recuperação, devidamente revisadas e alinhadas ao Apetite a Risco
corporativo - insisto, devem ser materializadas em procedimentos operacionais desde a identificação, resposta e
contenção de um incidente, seja no SOC ou em outras centrais de monitoração e operação, até os planos de
recuperação dos ICs de TI (DRP) e das áreas de negócios (Continuidade de Negócios).
Simples?
Claro que não. Vamos analisar os desafios operacionais de uma ameaça típica de segurança da informação
que pode ser um ransomware, vírus ou outra. (assista ao webinar WannaCry 3.0)
1. Muitas das ameaças são velhas conhecidas recentemente maquiadas e estão ocorrendo o tempo todo;
2. A maioria das ameaças surgem rapidamente após a liberação do boletim de correção da vulnerabilidade pelo
fabricante ou alguma outra forma de divulgação e propagação. Ou seja, saiu uma correção, podemos nos
preparar que rapidamente surgirá uma ameaça explorando aquela vulnerabilidade recém corrigida;
3. Entre a data da liberação de uma correção
até a data da sua aplicação no ambiente de
produção da organização pode levar um
certo tempo, período no qual a organização
ficará vulnerável a esta ameaça, até que a
nova correção seja devidamente
homologada para aplicação (“patching”);
+55 11 5583-0033
contingencia@strohlbrasil.com.br
www.strohlbrasil.com.br
STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 5 de 5
Copyright © 2016
4. O “patching” não é uma atividade tão simples como vem sendo divulgada nas mídias após o “WannaCry” –
“mantenha o seu sistema atualizado”. Se estamos falando de uma ou poucas estações, o problema pode ser
simples. Se estamos falando de centenas, milhares de estações o “patching” deve ser planejado e programado
para assegurar que as aplicações legadas continuarão operacionais (o mundo 100% cloud ainda está distante),
e que não haverá sacrifícios no tempo de resposta da rede pela atualização simultânea de muitas estações ao
mesmo tempo. Ainda, devemos considerar que uma correção pode implicar em investimentos significativos em
novas licenças de versões de software de forma a manter a compatibilidade com as correções aplicadas.
É de conhecimento público que várias organizações desligaram as estações na sexta-feira devido o “WannaCry”
e aplicaram correções maciçamente no final de semana. Na segunda-feira muitas organizações continuavam
paradas por problemas de compatibilidade entre as correções aplicadas e os aplicativos instalados.
Claramente não haviam estratégias coordenadas para tratar um incidente desta natureza e dimensão.
5. Backup/Restore: a política de backup/restore deve ser revista vis a vis os MTPDs, MBCOs, RTOs e RPOs
estabelecidos. Dados de mercado indicam que 80% dos backups feitos nunca foram testados. Numa crise
não é o momento adequado para se descobrir que um determinado backup não atende às expectativas. Se os
tempos de restore não atenderem os objetivos do negócio, a política de backup/restore deve ser revista.
6. Infelizmente aconteceu – A ORGANIZAÇÃO FOI ATINGIDA. Hora de pôr todos os procedimentos e planos
previamente desenvolvidos e testados em operação de maneira coordenada: ativando o Centro de Comando de
Crise, escalando o incidente aos executivos, acionando a comunicação interna e externa, tratando
adequadamente o incidente e preservando as evidências para realimentar o PDCA dos sistemas de gestão.
O que recuperar primeiro?
Simples, as estações, aplicações, ICs etc. a serem recuperados primeiro são aquelas que suportam os
produtos, serviços e processos de negócio críticos identificados na BIA, em conformidade com os MTPDs,
MBCOs, RTOs e RPOs estabelecidos.
Concluindo, a BIA é o processo central de levantamento de informações para suporte a tomada de decisões pela
alta direção alinhadas ao apetite a risco da organização.
SUA ORGANIZAÇÃO NÃO TEM UMA BIA CONFIÁVEL? Consulte-nos e nós te auxiliaremos a fazer uma
rapidamente. O WannaCry 3.0 poderá não ter a chave liga/desliga como o anterior.
Sidney R. Modenesi, MCBCC, MBCI, LDRM
ISO 22301 BSI Technical Expert
Entusiasta em Resiliência, bacharel em Ciências da Computação pela USP, pós-graduado em
Empreendedorismo pela USP, profissional certificado em Continuidade de Negócios pelo BCI, em Recuperação
de Desastres (DRP) pelo PECB e na norma ISO 22301 de Continuidade de Negócios pelo BSI.

Mais conteúdo relacionado

Mais procurados

Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de Negócios
InformaGroup
 

Mais procurados (19)

Palestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosPalestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de Negócios
 
Exemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiExemplo de plano de continuidade de ti
Exemplo de plano de continuidade de ti
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de Negócios
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de Negócios
 
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)
 
e-book DRP Alinhado às Necessidades do Negócio
e-book DRP Alinhado às Necessidades do Negócioe-book DRP Alinhado às Necessidades do Negócio
e-book DRP Alinhado às Necessidades do Negócio
 
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
 
Gestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta EstratégicaGestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta Estratégica
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de Riscos
 
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das OrganizaçõesA Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Plano de continuidade de negocios
Plano de continuidade de negociosPlano de continuidade de negocios
Plano de continuidade de negocios
 
Plano contigencia-ti-reagir-desastres
Plano contigencia-ti-reagir-desastresPlano contigencia-ti-reagir-desastres
Plano contigencia-ti-reagir-desastres
 
GCN - Gestão de Continuidade de Negócios
GCN - Gestão de Continuidade de NegóciosGCN - Gestão de Continuidade de Negócios
GCN - Gestão de Continuidade de Negócios
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018
 
Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)
Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)
Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)
 
Gestão da Continuidade de Negócios - mini curso
Gestão da Continuidade de Negócios - mini cursoGestão da Continuidade de Negócios - mini curso
Gestão da Continuidade de Negócios - mini curso
 
Plano de continuidade dos negócios
Plano de continuidade dos negóciosPlano de continuidade dos negócios
Plano de continuidade dos negócios
 

Semelhante a A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tecnologia da Informação

Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de Negocios
Grupo Treinar
 
Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...
Leonardo Couto
 
Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de Negocios
Grupo Treinar
 
Caso-de-estudo-bongas-sagex3
Caso-de-estudo-bongas-sagex3Caso-de-estudo-bongas-sagex3
Caso-de-estudo-bongas-sagex3
Marco Leite
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativos
rcmenezes
 

Semelhante a A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tecnologia da Informação (20)

Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de Negocios
 
Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...
 
Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de Negocios
 
Caso-de-estudo-bongas-sagex3
Caso-de-estudo-bongas-sagex3Caso-de-estudo-bongas-sagex3
Caso-de-estudo-bongas-sagex3
 
Silva, w. lopes da jesus
Silva, w. lopes da   jesusSilva, w. lopes da   jesus
Silva, w. lopes da jesus
 
Itil X Cobit
Itil X CobitItil X Cobit
Itil X Cobit
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
 
WebGoat Project
WebGoat ProjectWebGoat Project
WebGoat Project
 
Consultoria em BCP
Consultoria em BCPConsultoria em BCP
Consultoria em BCP
 
Whitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-ptWhitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-pt
 
FULLCOVER
FULLCOVERFULLCOVER
FULLCOVER
 
Terceirização de Desenvolvimento de Software em Body Shop: uma Proposta para ...
Terceirização de Desenvolvimento de Software em Body Shop: uma Proposta para ...Terceirização de Desenvolvimento de Software em Body Shop: uma Proposta para ...
Terceirização de Desenvolvimento de Software em Body Shop: uma Proposta para ...
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativos
 
Estudo sobre recuperação de desastre
Estudo sobre recuperação de desastreEstudo sobre recuperação de desastre
Estudo sobre recuperação de desastre
 
Pim v
Pim vPim v
Pim v
 
WebGoat Project
WebGoat ProjectWebGoat Project
WebGoat Project
 
Sistema de Gestão de Continuidade de Negócio (SGCN)
Sistema de Gestão de Continuidade de Negócio (SGCN)Sistema de Gestão de Continuidade de Negócio (SGCN)
Sistema de Gestão de Continuidade de Negócio (SGCN)
 

Mais de Sidney Modenesi, MBCI

Mais de Sidney Modenesi, MBCI (20)

Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313
 
Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313
 
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
 
A continuidade da nossa vida profissional
A continuidade da nossa vida profissionalA continuidade da nossa vida profissional
A continuidade da nossa vida profissional
 
O Brasil precisa de continuidade (de negócios)?
O Brasil precisa de continuidade (de negócios)?O Brasil precisa de continuidade (de negócios)?
O Brasil precisa de continuidade (de negócios)?
 
BCAW - Business Continuity Awareness Week 2016
BCAW - Business Continuity Awareness Week 2016BCAW - Business Continuity Awareness Week 2016
BCAW - Business Continuity Awareness Week 2016
 
Programa de Capacitação - 2016
Programa de Capacitação - 2016Programa de Capacitação - 2016
Programa de Capacitação - 2016
 
Data Center and Business Continuity in 2040
Data Center and Business Continuity in 2040Data Center and Business Continuity in 2040
Data Center and Business Continuity in 2040
 
ISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practicesISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practices
 
Business Continuity or Survival of Business?
Business Continuity or Survival of Business?Business Continuity or Survival of Business?
Business Continuity or Survival of Business?
 
Palestra sobre as relações entre Compliance e Continuidade de Negócios
Palestra sobre as relações entre Compliance e Continuidade de NegóciosPalestra sobre as relações entre Compliance e Continuidade de Negócios
Palestra sobre as relações entre Compliance e Continuidade de Negócios
 
A continuidade da nossa vida profissional
A continuidade da nossa vida profissionalA continuidade da nossa vida profissional
A continuidade da nossa vida profissional
 
A Crise Energética e seus impactos nos Data Centers
A Crise Energética e seus impactos nos Data CentersA Crise Energética e seus impactos nos Data Centers
A Crise Energética e seus impactos nos Data Centers
 
A Crise Energética Brasileira e seu Impacto nos Data Centers
A Crise Energética Brasileira e seu Impacto nos Data CentersA Crise Energética Brasileira e seu Impacto nos Data Centers
A Crise Energética Brasileira e seu Impacto nos Data Centers
 
Uma vida em continuidade - A life in continuity
Uma vida em continuidade - A life in continuityUma vida em continuidade - A life in continuity
Uma vida em continuidade - A life in continuity
 
A Copa do Mundo e a GCN
A Copa do Mundo e a GCNA Copa do Mundo e a GCN
A Copa do Mundo e a GCN
 
Implementing your BC program in conformity with ISO 22301
Implementing your BC program in conformity with ISO 22301Implementing your BC program in conformity with ISO 22301
Implementing your BC program in conformity with ISO 22301
 
Scoping, implementing and Improving the BCMS
Scoping, implementing and Improving the BCMSScoping, implementing and Improving the BCMS
Scoping, implementing and Improving the BCMS
 
BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?
 
BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?
 

A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tecnologia da Informação

  • 1. +55 11 5583-0033 contingencia@strohlbrasil.com.br www.strohlbrasil.com.br STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 1 de 5 Copyright © 2016 30/05/2017 CONTINUIDADE DE NEGÓCIOS O seu seguro contra as indisponibilidades de TI ou de SI O recente ataque global do ransomware “WannaCry” expôs as vulnerabilidades de segurança da informação de muitas organizações. Uma falha, inicialmente atribuída a uma pane elétrica, nos sistemas informatizados da British Airways que se prolongou por mais de dois dias num final de semana de feriado bancário, expôs as fragilidades da recuperação da infraestrutura de TI de forma a atender às necessidades do negócio e de seus clientes. Estes são somente dois exemplos recentes de incidentes, um de segurança da informação e o outro, a princípio, de infraestrutura de TI. Você realmente acredita que estes casos são únicos e não acontecerão na sua organização? O recente relatório sobre “Cyber Resilience” divulgado pela empresa de consultoria Ernst&Young expõe, claramente, o que muitos profissionais de continuidade de negócios, eu dentre eles, vem alertando: “quando todos os seus mecanismos de controles falharem, sejam de TI – Tecnologia da Informação ou de SI – Segurança da Informação, a sua última esperança é a Continuidade de Negócios”. Vamos analisar algumas destas respostas, lembrando que este relatório é influenciado pelas respostas das grandes organizações mundiais, mais maduras que as empresas brasileiras em geral: 87% dos executivos das grandes organizações do mundo não confiam que suas organizações estejam adequadamente preparadas para enfrentar um cyber ataque. Ainda assim, os executivos não pretendem, ou conseguem, aumentar os investimentos em segurança da informação em geral. 44% das organizações participantes não tem o SOC – Security Information Center formalmente implantado para identificar, tratar e responder adequada e rapidamente a um cyber ataque ou mesmo a um incidente de segurança da informação em larga escala.
  • 2. +55 11 5583-0033 contingencia@strohlbrasil.com.br www.strohlbrasil.com.br STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 2 de 5 Copyright © 2016 Apesar dos últimos acontecimentos, 62% dos executivos afirmaram que não pretendem investir mais em segurança da informação. Investir mais não significa que o nível de proteção aumentará proporcionalmente, e ficará, sempre, um risco residual de muito baixa probabilidade, mas de altíssimo impacto que deve ser tratado adequadamente. Esta resposta é alarmante, 86% dos participantes concordam que seus investimentos em segurança da informação não atendem às necessidades da empresa e ainda assim afirmaram na pergunta anterior que não estão dispostos, ou não conseguem, investir mais em segurança da informação. Será que esta decisão foi compartilhada com o CRO – Chief Risk Officer ou referendada pela Alta Direção ou pelo Conselho de Administração? O CIO/CSO pode tomar esta decisão e assumir estes riscos sozinho? Se a resposta anterior já era alarmante, esta é “catastrófica”. Mais da metade dos participantes reportaram terem vivenciado incidentes de “cybersecurity” num passado recente. As limitantes para melhorar a eficácia da “cybersecurity” são: restrições orçamentárias (61%); falta de pessoal qualificado (56%) e falta de conscientização ou apoio executivo (32%). Ou seja, o que se investe não é o suficiente, é ineficiente e a percepção executiva é de um investimento inadequado uma vez que os incidentes continuam ocorrendo. Para os profissionais de Continuidade de Negócios as próximas duas respostas são devastadoras: 49% dos participantes afirmaram não saber quais seriam os impactos financeiros de um cyber ataque, sem falar dos demais tipos de impactos (danos à imagem, perda de mercado, regulatórios etc.) e 89% não avaliaram os impactos decorrentes dos últimos incidentes de segurança da informação. Isto comprova um total desalinhamento entre os sistemas de gestão de riscos corporativos, de segurança da informação e de continuidade de negócios. Uma BIA (Análise de Impacto nos Negócios) adequadamente conduzida responderia facilmente a estas e outras perguntas, contribuiria para o aumento da conscientização e na justificativa de revisão dos investimentos em prevenção, resposta e contenção. E na hora que um incidente de interrupção ocorrer, seja de segurança da informação ou não, 57% das organizações classificaram seu Programa de Continuidade de Negócios como altamente prioritário em conjunto com outras ações de prevenção a perda ou vazamento de dados. Um desafio que por natureza não é simples agora é enorme! Implantar um Programa de Continuidade de Negócios que atenda aos objetivos do Risco Corporativo e aos incidentes de Segurança e de Tecnologia da Informação com todos estes gaps admitidos e reportados pelos seus principais gestores.
  • 3. +55 11 5583-0033 contingencia@strohlbrasil.com.br www.strohlbrasil.com.br STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 3 de 5 Copyright © 2016 A seguir relaciono alguns destes desafios, que podem variar de organização para organização, principalmente em função da maturidade de cada organização com os vários sistemas de gestão necessários: Riscos Corporativos, Segurança da Informação, Serviços de TI e Continuidade de Negócios. 1. Análise de Impacto nos Negócios (BIA): uma BIA bem conduzida e com a participação dos gestores adequados deve quantificar quatro variáveis fundamentais: MTPD, MBCO, RTO e RPO (assista ao vídeo explicativo) para os produtos e serviços da organização. Deve, ainda, quantificar adequadamente os impactos decorrentes da indisponibilidade destes produtos e serviços ao longo do tempo, nos cenários estabelecidos. Temos, hoje, no mínimo dois cenários bem distintos: a. Indisponibilidade do local de trabalho: neste caso a prioridade é relocar rapidamente pessoas e reiniciar produtos e serviços críticos num local alternativo e b. Indisponibilidade dos serviços de TI: decorrentes de falhas na infraestrutura, aplicações, ativos, itens de configuração ou incidentes de segurança da informação como o ransomware “WannaCry” ou a indisponibilidade da British Airways. Neste caso, a prioridade é recuperar os serviços de TI possivelmente no site de produção. Portanto, com uma BIA razoavelmente atualizada, visto ser uma atividade realizada a cada 12 – 18 meses, é possível estimar os impactos de um incidente de interrupção decorrente de um cyber ataque, de segurança da informação ou outro. Assim, as respostas acima nos levam a concluir que: ou as organizações não têm BIAs atualizados, ou as BIAs não tem as informações necessárias, ou as informações obtidas nas BIAs não tem credibilidade, ou não refletem a realidade da organização, ou, a pior de todas, as organizações não têm BIAs! 2. Mapeamento de processos: uma vez identificados os produtos e serviços críticos da organização através da BIA, há a necessidade de identificar os processos de negócio que os sustentam. O que vemos, em geral, é um entendimento confuso entre macroprocessos, processos e atividades de negócio, isto quando existe algum mapeamento. É vital que o mapeamento de processos utilizado esteja completo, atualizado e reflita adequadamente as operações da organização. 3. Catálogo de Serviços de TI: uma vez mapeados os processos de negócio críticos agora é chegado o momento de mapear os itens de configuração (ICs) que suportam estes processos. Estas informações estão, normalmente, no CMDB (Configuration Management Data Base) que, da mesma forma que o mapeamento de processos acima, também deve estar completo, atualizado e refletir adequadamente as operações de TI da organização. 4. Estratégias de Recuperação: uma vez realizada a BIA, os produtos, serviços e processos críticos e seus respectivos MTPDs, MBCOs, RTOs e RPOs foram dimensionados. Com o auxílio do catálogo de serviços de
  • 4. +55 11 5583-0033 contingencia@strohlbrasil.com.br www.strohlbrasil.com.br STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 4 de 5 Copyright © 2016 TI estas variáveis e respectivos impactos devem ser propagados aos ICs que suportam os produtos, serviços e processos críticos. Algo semelhante ao que era solicitado na antiga versão da ISO 27002, mas agora partindo do negócio (BIA) para o IC. Feito isto, deve ser avaliado, no cenário de pior caso, e com a infraestrutura disponível, se os produtos, serviços e processos críticos poderão, efetivamente, serem recuperados respeitando os MTPDs, MBCOs, RTOs e RPOs estabelecidos. Não podemos descartar a hipótese, num cenário de pior caso, de haver a necessidade da restauração de uma ou mais bases de dados de muitos petabytes de tamanho, atividades que demandarão, seguramente, muito tempo. Ainda, como alternativas a serem avaliadas na recuperação dos dados críticos devem ser consideradas: recovery forward (um arquivo base mais logs) ou recovery backward (desfazer as últimas transações feitas até um determinado ponto de consistência conhecido), normalmente muito lento. Os tempos são consistentes? Ótimo. Não são? Então serão necessários ajustes nas estratégias de prevenção, resposta, contenção e recuperação, o que pode implicar em maiores investimentos e despesas operacionais recorrentes ou então o Apetite a Risco da organização deve ser revisto. 5. Planos de Recuperação: as estratégias de recuperação, devidamente revisadas e alinhadas ao Apetite a Risco corporativo - insisto, devem ser materializadas em procedimentos operacionais desde a identificação, resposta e contenção de um incidente, seja no SOC ou em outras centrais de monitoração e operação, até os planos de recuperação dos ICs de TI (DRP) e das áreas de negócios (Continuidade de Negócios). Simples? Claro que não. Vamos analisar os desafios operacionais de uma ameaça típica de segurança da informação que pode ser um ransomware, vírus ou outra. (assista ao webinar WannaCry 3.0) 1. Muitas das ameaças são velhas conhecidas recentemente maquiadas e estão ocorrendo o tempo todo; 2. A maioria das ameaças surgem rapidamente após a liberação do boletim de correção da vulnerabilidade pelo fabricante ou alguma outra forma de divulgação e propagação. Ou seja, saiu uma correção, podemos nos preparar que rapidamente surgirá uma ameaça explorando aquela vulnerabilidade recém corrigida; 3. Entre a data da liberação de uma correção até a data da sua aplicação no ambiente de produção da organização pode levar um certo tempo, período no qual a organização ficará vulnerável a esta ameaça, até que a nova correção seja devidamente homologada para aplicação (“patching”);
  • 5. +55 11 5583-0033 contingencia@strohlbrasil.com.br www.strohlbrasil.com.br STROHL Brasil e STROHL Brasil Serviços Educacionais Pág. 5 de 5 Copyright © 2016 4. O “patching” não é uma atividade tão simples como vem sendo divulgada nas mídias após o “WannaCry” – “mantenha o seu sistema atualizado”. Se estamos falando de uma ou poucas estações, o problema pode ser simples. Se estamos falando de centenas, milhares de estações o “patching” deve ser planejado e programado para assegurar que as aplicações legadas continuarão operacionais (o mundo 100% cloud ainda está distante), e que não haverá sacrifícios no tempo de resposta da rede pela atualização simultânea de muitas estações ao mesmo tempo. Ainda, devemos considerar que uma correção pode implicar em investimentos significativos em novas licenças de versões de software de forma a manter a compatibilidade com as correções aplicadas. É de conhecimento público que várias organizações desligaram as estações na sexta-feira devido o “WannaCry” e aplicaram correções maciçamente no final de semana. Na segunda-feira muitas organizações continuavam paradas por problemas de compatibilidade entre as correções aplicadas e os aplicativos instalados. Claramente não haviam estratégias coordenadas para tratar um incidente desta natureza e dimensão. 5. Backup/Restore: a política de backup/restore deve ser revista vis a vis os MTPDs, MBCOs, RTOs e RPOs estabelecidos. Dados de mercado indicam que 80% dos backups feitos nunca foram testados. Numa crise não é o momento adequado para se descobrir que um determinado backup não atende às expectativas. Se os tempos de restore não atenderem os objetivos do negócio, a política de backup/restore deve ser revista. 6. Infelizmente aconteceu – A ORGANIZAÇÃO FOI ATINGIDA. Hora de pôr todos os procedimentos e planos previamente desenvolvidos e testados em operação de maneira coordenada: ativando o Centro de Comando de Crise, escalando o incidente aos executivos, acionando a comunicação interna e externa, tratando adequadamente o incidente e preservando as evidências para realimentar o PDCA dos sistemas de gestão. O que recuperar primeiro? Simples, as estações, aplicações, ICs etc. a serem recuperados primeiro são aquelas que suportam os produtos, serviços e processos de negócio críticos identificados na BIA, em conformidade com os MTPDs, MBCOs, RTOs e RPOs estabelecidos. Concluindo, a BIA é o processo central de levantamento de informações para suporte a tomada de decisões pela alta direção alinhadas ao apetite a risco da organização. SUA ORGANIZAÇÃO NÃO TEM UMA BIA CONFIÁVEL? Consulte-nos e nós te auxiliaremos a fazer uma rapidamente. O WannaCry 3.0 poderá não ter a chave liga/desliga como o anterior. Sidney R. Modenesi, MCBCC, MBCI, LDRM ISO 22301 BSI Technical Expert Entusiasta em Resiliência, bacharel em Ciências da Computação pela USP, pós-graduado em Empreendedorismo pela USP, profissional certificado em Continuidade de Negócios pelo BCI, em Recuperação de Desastres (DRP) pelo PECB e na norma ISO 22301 de Continuidade de Negócios pelo BSI.