SlideShare uma empresa Scribd logo
1 de 32
Baixar para ler offline
DRP ALINHADO ÀS NECESSIDADES DO NEGÓCIO
Faça certo da primeira vez
Sidney R. Modenesi, MCBCC, MBCI, LDRM
ISO 22301 BSITechnical Expert
Introdução
DRP Alinhado às necessidades do negócio
A implantação ou adequação do DRP – Disaster Recovery Plan com a utilização
de técnicas de planejamento, estratégias consagradas, trabalho em equipe,
conhecimento de negócios e de TIC reduz os riscos do produto final – o DRP –
não estar alinhado às necessidades do negócio, o objetivo primário.
Neste e-book apresento, de forma holística e sintética, como desenvolver e
implantar, ou caso você já tenha, a aperfeiçoar, o DRP.
Para isto utilizo os meus mais de: 20 anos de experiência em CN - Continuidade
de Negócios, 30 anos em DRP - Disaster Recovery Plan e 40 anos em TIC -
Tecnologia da Informação e Comunicação.
Um projeto de DRP normalmente requer investimentos significativos, além de
aumentar as despesas administrativas da área de TIC da organização com outro
conjunto de equipamentos, licenças de software, links de comunicação e mão
de obra qualificada. De forma que, otimizar todos estes custos e atender às
necessidades do negócio é fundamental para o sucesso do projeto.
Espero que você goste.
Sidney R. Modenesi, MCBCC, MBCI, LDRM
ISO 22301 BSI Techinical Expert
2
Índice
3
DRP Alinhado às necessidades do negócio
Introdução 2
Conceitos iniciais 4
O Projeto de DRP 7
O Ciclo de Vida do DRP 8
Avaliação de Riscos 9
Análise de Impacto nos Negócios 11
Estratégia de Recuperação 20
Desenvolvimento dos Planos 26
Exercícios e Melhoria Contínua - PDCA 29
Sidney R. Modenesi 30
STROHL Brasil 31
Conceitos Iniciais
Recuperação de desastre (RD), do inglês Disaster Recovery (DR), envolve um
conjunto de políticas e procedimentos para permitir a recuperação ou
continuação da infraestrutura de tecnologia e sistemas vitais na sequência de
um desastre natural ou provocado pelo homem. A recuperação de desastre
foca na TI ou sistemas de tecnologia que suportam funções de negócio
críticas, em oposição à continuidade do negócio, que envolve manter todos os
aspectos essenciais de um negócio em funcionamento apesar de eventos
disruptivos significantes. A recuperação de desastre é, portanto, um
subconjunto da continuidade do negócio.
O plano de recuperação de desastres é composto por cenários e
procedimentos, que deverão ser aplicados sempre que ocorrer uma falha
devido a alguma inconsistência provocada em virtude de ameaças como
incêndios, inundações, vandalismo, sabotagem ou falhas de tecnologia.
Conhecido como DRP - Disaster Recovery Plan, os planos normalmente são
desenvolvidos pelos gestores de ativos, muitas vezes por exigências de
regulamentações internacionais como a lei Sarbanes-Oxley, Regulamentações
do Banco Central do Brasil – BACEN e da Superintendência de Seguros Privados
- SUSEP, ou ainda devido a exigências de acionistas ou do próprio negócio.
(Fonte Wikipedia)
Estas atividades hoje estão normatizadas num extenso conjunto de normas ISO
das famílias 22300 e 27000, dentre outras, além de Boas Práticas de mercado.
4
DRP Alinhado às necessidades do negócio
O impacto da “nuvem” no DRP
Muitos executivos (nível C da organização) tendem a acreditar que com a
contratação de determinados serviços na “nuvem” não há necessidade de DRP.
Infelizmente este entendimento é totalmente equivocado, pois este serviço está
hospedado em algum local e este Data Center também está sujeito a desastres,
da mesma forma que os Data Centers tradicionais das empresas.
Alguns provedores de serviços na “nuvem” também oferecem o serviço de DRP
mas, em geral, esta contratação é facultada ao cliente. Ou seja, ter serviços na
“nuvem” não elimina a necessidade do DRP.
5
DRP Alinhado às necessidades do negócio
Do empirismo à abordagem estruturada
No início da prática do DRP, do final da década de 1950 até recentemente,
embora ainda possa ser praticado em algumas empresas, o DRP era
especificado pelo CIO e seus assessores diretos, coordenadores e analistas
sêniores definindo quais aplicações seriam recuperadas e em qual tempo.
Isto aconteceu comigo em 1986 quando trabalhava na Credicard e recebi o
desafio de implantar e testar o DRP. Foi definido pelo CIO, seus gerentes e o
CFO que somente o sistema de faturamento seria recuperado. Todo o
transacional ficaria de fora! Isto já era inaceitável naqueles dias e hoje seria
absolutamente inaceitável, um desserviço sem tamanho.
Hoje temos normas que nos auxiliam em todo o ciclo de vida do DRP. Abaixo o
desenho esquemático da norma ISO 22301:2012 Societal security -- Business
continuity management systems --- Requirements.
6
DRP Alinhado às necessidades do negócio
O Projeto de DRP
Para o desenvolvimento do projeto DRP de forma estruturada utilizaremos
partes da norma ABNT NBR ISO 22301:2013 Segurança da sociedade —
Sistema de gestão de continuidade de negócios — Requisitos, os capítulos 8 –
Operação, 9 – Avaliação de Desempenho e 10 – Melhoria.
Os demais capítulos também são importantes e serão abordados em outro e-
book, a fim de mantermos o foco deste e-book no projeto de DRP.
É conveniente utilizar também o manual de boas práticas “Good Practice
Guidelines 2013” desenvolvido pelo “The Business Continuity Institute“ em
conformidade com as normas ISO 22301/22313. A utilização deste manual é
recomendada uma vez que normas definem o que deve ser feito enquanto
manuais de boas práticas descrevem, em geral, o que ou como fazer.
Ainda, é conveniente a utilização de outras práticas normatizadas, ou
constantes em boas práticas, tais como: Mapeamento de processos (parte da
norma ISO 9000), CMDB (Configuration Management Data Base) completo e
atualizado (ISO 20000/ITIL), Sistema de Gestão de Riscos Corporativos (ISO
31000), COBIT, COSO dentre outras.
7
DRP Alinhado às necessidades do negócio
O Ciclo deVida do DRP
Abaixo um desenho esquemático dos capítulos 8 – Operação, 9 – Avaliação de
Desempenho e 10 – Melhoria das normas ISO 22301/22313.
8
DRP Alinhado às necessidades do negócio
Avaliação de Riscos
9
DRP Alinhado às necessidades do negócio
Avaliação de Riscos
A organização deve estabelecer, implementar e manter um processo
documentado para avaliação de riscos que sistematicamente identifique, analise e
avalie os riscos de uma interrupção à organização.
Nesta etapa do projeto riscos devem ser identificados e mitigados de alguma
forma, mediante a implantação de controles ou conjuntos de controles, que
exigirão projetos e investimentos de implantação e despesas operacionais
recorrentes para a sua manutenção e operacionalização.
Sabemos que não é possível, nem viável, a mitigação de 100% dos riscos, ficando
sempre um risco residual. O DRP é o controle do risco residual da materialização
de um risco de muito baixa probabilidade mas de muito alto impacto.
10
DRP Alinhado às necessidades do negócio
Análise de Impacto nos Negócios
11
DRP Alinhado às necessidades do negócio
Análise de Impacto nos Negócios
Esta etapa do projeto é uma das mais importantes, senão a mais importante, para
o sucesso do Projeto de DRP merecendo, portanto, um texto mais longo.
A organização deve estabelecer, implementar e manter um processo de avaliação
formal e documentado para determinar prioridades de continuidade e
recuperação, com objetivos e metas. Este processo deve incluir a avalição dos
impactos de interrupção que suportam os produtos e serviços da organização.
É nesta etapa que serão estimados e quantificados os impactos decorrentes da
materialização dos riscos identificados na etapa anterior de Avaliação de Riscos
que provoquem um incidente de interrupção.
12
DRP Alinhado às necessidades do negócio
Análise de Impacto nos Negócios
Impactos podem ser de três categorias:
• Financeiros: objetivos e potencialmente muito bem quantificáveis. Nesta
categoria incluem-se perdas de receitas, multas ou penalidades financeiras,
impactos no fluxo de caixa etc.
• Operacionais: subjetivos e normalmente de difícil quantificação. Nesta
categoria incluem-se: danos a imagem, perda de mercado, desvalorização no
valor das ações etc.
• Regulatórios: todos os itens legais, regulatórios ou contratuais que a
organização é obrigada a atender e cujo descumprimento pode implicar em
severas penalidades, financeiras ou não.
13
DRP Alinhado às necessidades do negócio
Análise de Impacto nos Negócios
O resultado desta etapa suportará todas as discussões com aAlta Direção para a
definição da Estratégia de Recuperação alinhada aoApetite a Risco da
Organização.
Esta análise deve levar em conta os possíveis cenários de interrupção. Por
exemplo, se o Data Center está localizado no mesmo local que o restante da
organização, temos um único cenário.
Se a organização tem ou utiliza um Data Center num outro local, então teremos
pelo menos dois cenários, aumentando com a quantidade de Data Centers
utilizados, uma vez que os impactos de indisponibilidade de cada um deles é
diferente.
14
DRP Alinhado às necessidades do negócio
Análise de Impacto nos Negócios
As informações compiladas na Análise de Impacto nos Negócios são obtidas com
a utilização de um questionário, composto de várias perguntas e vários intervalos
de tempo, aplicados aos gestores das áreas de negócios, devidamente
identificados e qualificados a fornecerem as respostas desejadas.
Estes gestores devem ser desafiados a pensarem fora da caixa nos cenários de
indisponibilidade e a estimarem os impactos decorrentes. BIA não é perguntar e
anotar o que os gestores desejam.
Algumas variáveis vitais para as próximas etapas do Projeto de DRP devem ser
obtidas e consistidas nesta etapa. São elas: MTPD, MBCO, RTO e RPO.
15
DRP Alinhado às necessidades do negócio
MTPD – Maximum Tolerable Period of Disruption
Ou período máximo de interrupção tolerável.
É tempo necessário para que os impactos adversos decorrentes de um incidente
de interrupção tornem-se inaceitáveis, que pode surgir como resultado de não
fornecer um produto/serviço ou realizar uma atividade.
A medida que o tempo passa, os impactos vão aumentando até um momento em
que passam a ser inaceitáveis. Esta decisão (aceitável x inaceitável) não é
pragmática sendo deliberada pelaAlta Direção em função ao Apetite a Risco que a
organização está disposta a correr naquele momento.
É muito possível que os gestores das áreas de negócios não tenham esta
informação, ou tenham uma visão muito operacional e forneçam MTPDs
inferiores ao apetite a risco corporativo. Daí a importância de desafiar os gestores
nas entrevistas de BIA.
16
DRP Alinhado às necessidades do negócio
MBCO – Minimum Business Continuity Objective
Ou objetivo mínimo de continuidade de negócios.
São os níveis mínimos aceitáveis de serviços e/ou produtos para a organização
alcançar seus objetivos de negócios durante uma interrupção.
É intuitivo considerar que quanto maior o MBCO maior a necessidade de recursos,
portanto maiores serão os investimentos e as despesas operacionais recorrentes.
Assim como o MTPD, é muito possível que os gestores das áreas de negócios não
tenham esta percepção, ou tenham uma visão muito operacional e forneçam
MBCOs superiores ao apetite a risco corporativo. Daí a importância de desafiar os
gestores nas entrevistas de BIA.
17
DRP Alinhado às necessidades do negócio
RTO – RecoveryTime Objective
Ou tempo objetivado de recuperação.
É o período de tempo após um incidente em que:
• o produto ou serviço deve ser retomado, ou
• a atividade deve ser retomada, ou
• os recursos devem ser recuperados.
Portanto, obrigatoriamente, o RTO deve ser menor que o MTPD.
No contexto do Projeto de DRP a somatória dos RTOs para recuperar itens de
infraestrutura que suportam um determinado produto, serviço ou processo crítico
deve ser menor que o MTPD ou RTO deste produto, serviço ou processo crítico.
18
DRP Alinhado às necessidades do negócio
RPO – Recovery Point Objective
Ou ponto objetivado de recuperação.
É ponto em que a informação usada por uma atividade deve ser restaurada para
permitir a operação da atividade na retomada.
Sinteticamente, quanta informação eletrônica e não eletrônica a operação da
atividade pode ser recuperada. Esta informação afetará diretamente a estratégia
de duplicação dos dados do Projeto de DRP. Por exemplo perda de dados zero
implicará em duplicação de dados em tempo real, enquanto que para perda de
dados de vários dias, estratégias de backup e restore possam ser utilizadas. Neste
caso deve-se levar em conta o tamanho das bases de dados a serem recuperadas.
19
DRP Alinhado às necessidades do negócio
Estratégia de Recuperação
20
DRP Alinhado às necessidades do negócio
Estratégia de Recuperação
Quantificados os impactos, MTPDs, MBCOs, RTOs e RPOs ainda temos muito
trabalho pela frente até podermos apresentar àAlta Direção propostas de
estratégias de recuperação, seus investimentos, despesas, vantagens e
desvantagens.
Estas apresentações tem, normalmente, uma duração curta de forma que o
conteúdo final deve ser sintético enquanto completo e deve ter todo o
detalhamento necessário caso hajam questionamentos.
É comum nestas apresentações surgirem novas alternativas de estratégias que
podem demandar novos estudos até serem apresentadas e finalmente
deliberadas.
21
DRP Alinhado às necessidades do negócio
Mapeamento dos Itens de Configuração
Identificados os produtos e serviços críticos o próximo passo é mapear os
processos de negócios que os sustentam.
Na sequência devem ser mapeadas as aplicações que sustentam estes processos,
os servidores, sistemas operacionais e softwares de apoio que processam estas
aplicações e as bases de dados que armazenam estas informações.
Daí, a existência de um CMDB (Configuration Management Data Base) completo e
atualizado facilitará bastante o nosso trabalho.
Ainda, serão necessários vários equipamentos e links de comunicação, uma vez
que os locais de nossa organização deverão ter acesso aos dois Data Centers, o
principal e o DRP.
22
DRP Alinhado às necessidades do negócio
Múltiplos MTPDs, MBCOs, RTOs e RPOs
É comum identificarmos após a BIA múltiplos MTPDs, MBCOs, RTOs e RPOs, uma
vez que os tempos de impacto severos, níveis de serviço e perda de dados podem
ser diferentes para produtos, serviços, processos ou áreas de negócios distintas.
Neste caso as seguintes regras devem ser aplicadas para cada Item de
Configuração, podendo requerer ainda alguma conciliação posterior:
• MTPD  o menor deles,
• MBCO  o maior deles,
• RTO  o menor deles,
• RPO  o menor deles.
23
DRP Alinhado às necessidades do negócio
MTPD
MBCO
RTO
RPO
MTPD
MBCO
RTO
RPO
MTPD
MBCO
RTO
RPO
MTPD
MBCO
RTO
RPO
MTPD
MBCO
RTO
RPO
Quantificação Inicial dos Investimentos e Despesas
Com todas estas informações obtidas é hora de estimar os investimentos e
despesas recorrentes do Projeto DRP.
Uma boa fonte de informação são os investimentos e despesas do Data Center
atual da organização que poderão necessitar de complementação ou atualização
com valores atuais de mercado a serem obtidos mediante RFQs – “Request for
Quotations”.
Compile e sumarize todas estas informações e coloque os prós e contras de cada
uma das alternativas a serem apresentadas àAlta Direção.
24
DRP Alinhado às necessidades do negócio
Chegou o Dia da Apresentação
REVISE! REVISE! REVISE!
Não pode haver nenhum erro, você pode não ter outra chance!
Treine bastante para fazer a apresentação com segurança.
Você construirá esta segurança com seu tom de voz e postura desde o primeiro
slide.
Treine para perguntas difíceis, você será DESAFIADO. Por exemplo, ao
apresentar um determinado impacto financeiro o que você responderia ao CFO
que te diz: “Adoraria perder este monte de dinheiro aí. Não ganho isto hoje.”
25
DRP Alinhado às necessidades do negócio
Desenvolvimento dos Planos
26
DRP Alinhado às necessidades do negócio
Desenvolvimento dos Planos
Assumindo que uma determinada estratégia de DRP tenha sido aprovada pela
Alta Direção vários projetos serão iniciados, com várias equipes, esforços e
necessidades distintas mas que, ao final, devem entregar o DRP com os MTPDs,
MBCOs, RTOs e RPOs estabelecidos.
Uma outra frente a ser desenvolvida e posteriormente mantida atualizada é a
documentação de como o DRP será ativado, desativado, exercitado e mantido
atualizado.
Serão necessários vários conjuntos de planos:
• de resposta a incidentes: como incidentes serão identificados, tratados e
escalados até levarem a ativação do DRP;
• de aviso e comunicação: como todas as partes interessadas, internas e
externas, serão avisadas e comunicadas do incidente de interrupção, da
ativação do DRP, do desenrolar dos acontecimentos e dos eventuais problemas
que venham a ocorrer;
• de continuidade de negócios: o que as áreas de negócios farão enquanto o DRP
não estiver operacional, como os dados perdidos (RPOs) serão recuperados e
como as áreas de negócios irão operar caso haja alterações nas práticas
operacionais informatizadas;
• e é claro, como os itens de configuração serão ativados no DRP, incluindo
sequências de ativação e desativação, validações etc. Estes planos devem
considerar as qualificações de quem os executará, se um profissional sênior ou
um júnior.
De forma a estar em conformidade com a norma NBR ISO 22301:2013 Segurança
da sociedade — Sistema de gestão de continuidade de negócios — Requisitos,
uma norma certificável, os planos devem ter certas informações mínimas
descritas no capítulo 8.4.
27
DRP Alinhado às necessidades do negócio
Exercícios e Melhoria Contínua
28
DRP Alinhado às necessidades do negócio
Exercícios e Melhoria Contínua - PDCA
Toda esta infraestrutura deTIC, infraestrutura operacional e respectiva
documentação deve ser validada, testada, aperfeiçoada e mantida atualizada e
pronta para uso à medida que mudanças ocorram na organização.
Exercícios e testem devem seguir um modelo evolutivo começando por cenários
controlados e menos desafiadores evoluindo para cenários cada vez mais realistas
e desafiadores sem, entretanto, colocar a empresa em risco. Você pode utilizar a
norma ISO 22398:2015 como framework do programa evolutivo de exercícios e
testes.
A cada novo exercício ou teste as não conformidades identificadas devem ser
resolvidas mediante planos de ação num processo de melhoria contínua.
Mudanças em todo ambiente devem ser identificadas, tratadas e aplicadas no
DRP mediante uma sistemática de Controle de Mudanças, nos dois ambientes,
parecidos, mas não necessariamente iguais.
29
DRP Alinhado às necessidades do negócio
Sidney R. Modenesi
Bacharel em Ciências daComputação pela
Universidade de São Paulo em 1976;
Pós graduado em Empreendedorismo pelo
Universidade de São Paulo em 1986;
Entusiasta em resiliência organizacional e das
sociedades, em continuidade de negócios
(business continuity) e recuperação de desastres
(disaster recovery).
Certificações:
• MCBCC – Master Certified Business Continuity
Coordinator pela Strohl Systems em 2000;
• MBCI – Member of the BCI,The Business
Continuity Institute em 2006;
• ISO 22301 BSITechnical Expert pelo BSI British
Standards Institute em 2013;
• LDRM – Lead Disaster Recovery Manager pelo
PECB - Professional Evaluation and
Certification Board em 2017.
30
DRP Alinhado às necessidades do negócio
STROHL Brasil
Empresa brasileira, fundada em 2000 que tem Sidney R. Modenesi como um de
seus sócios fundadores, especializa em consultoria e treinamento especializado
em Continuidade de Negócios, Recuperação de Desastres e temas agregados.
A linha de serviços de consultoria inclui:
• Análise de riscos;
• Análise de impacto nos negócios;
• Definição de estratégias de recuperação (GCN ou DRP);
• Desenvolvimento das políticas, planos de resposta a incidentes, de gestão de
crises, de continuidade de negócios ou de DRP
• Programa de exercícios e testes;
• E outros customizados.
A linha de capacitação inclui:
• Introdução à Gestão daContinuidade de Negócios,
• Imersão na Gestão daContinuidade de Negócios;
• Resposta a emergências e gestão de crises;
• Planejamento, execução e avaliação de exercícios e testes;
• A arte, a ciência e a Experiência na Análise de Impacto nos Negócios;
• E outros customizados.
https://www.facebook.com/strohlbrasil/
https://www.linkedin.com/in/strohlbrasil/
https://www.strohlbrasil.com.br
31
DRP Alinhado às necessidades do negócio
e-book DRP Alinhado às Necessidades do Negócio

Mais conteúdo relacionado

Mais procurados

Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de Negocios
Grupo Treinar
 
Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de Negocios
Grupo Treinar
 

Mais procurados (20)

Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de Negócios
 
GCN - Gestão de Continuidade de Negócios
GCN - Gestão de Continuidade de NegóciosGCN - Gestão de Continuidade de Negócios
GCN - Gestão de Continuidade de Negócios
 
Plano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TIPlano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TI
 
Sistema de Gestão de Continuidade de Negócio (SGCN)
Sistema de Gestão de Continuidade de Negócio (SGCN)Sistema de Gestão de Continuidade de Negócio (SGCN)
Sistema de Gestão de Continuidade de Negócio (SGCN)
 
Exemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiExemplo de plano de continuidade de ti
Exemplo de plano de continuidade de ti
 
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
 
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
 
Gestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta EstratégicaGestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta Estratégica
 
Plano contigencia-ti-reagir-desastres
Plano contigencia-ti-reagir-desastresPlano contigencia-ti-reagir-desastres
Plano contigencia-ti-reagir-desastres
 
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
 
Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de Negocios
 
WannaCry 3.0
WannaCry 3.0WannaCry 3.0
WannaCry 3.0
 
Plano contigência
Plano contigênciaPlano contigência
Plano contigência
 
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios noData Center do FuturoEscalabilidade, Resiliência e Continuidade de Negócios noData Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
 
Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de Negocios
 
Estrutura do plano de contingência para suporte de crise
Estrutura do plano de contingência para suporte de criseEstrutura do plano de contingência para suporte de crise
Estrutura do plano de contingência para suporte de crise
 
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
 
Consultoria em BCP
Consultoria em BCPConsultoria em BCP
Consultoria em BCP
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade(dos negócios)na segurança da informaçãoRequisitos da continuidade(dos negócios)na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
 

Semelhante a e-book DRP Alinhado às Necessidades do Negócio

Planejamento Estratégico Em Ti
Planejamento Estratégico Em TiPlanejamento Estratégico Em Ti
Planejamento Estratégico Em Ti
luizmaster
 
Caso-de-estudo-bongas-sagex3
Caso-de-estudo-bongas-sagex3Caso-de-estudo-bongas-sagex3
Caso-de-estudo-bongas-sagex3
Marco Leite
 
Ppra uma abordagem sistêmica
Ppra   uma abordagem sistêmicaPpra   uma abordagem sistêmica
Ppra uma abordagem sistêmica
Luis Araujo
 
Ppra uma abordagem sistêmica - pdf
Ppra   uma abordagem sistêmica - pdfPpra   uma abordagem sistêmica - pdf
Ppra uma abordagem sistêmica - pdf
Dalton Figueiredo
 
Gonooesdeplaneamento 090628114402-phpapp01
Gonooesdeplaneamento 090628114402-phpapp01Gonooesdeplaneamento 090628114402-phpapp01
Gonooesdeplaneamento 090628114402-phpapp01
Daniel Moura
 

Semelhante a e-book DRP Alinhado às Necessidades do Negócio (20)

dokumen.tips_aula-4-plano-de-continuidade-de-negocios-pcn.ppt
dokumen.tips_aula-4-plano-de-continuidade-de-negocios-pcn.pptdokumen.tips_aula-4-plano-de-continuidade-de-negocios-pcn.ppt
dokumen.tips_aula-4-plano-de-continuidade-de-negocios-pcn.ppt
 
Planejamento Estratégico Em Ti
Planejamento Estratégico Em TiPlanejamento Estratégico Em Ti
Planejamento Estratégico Em Ti
 
Aula 5 semana
Aula 5 semanaAula 5 semana
Aula 5 semana
 
14987568107 coisas-software-gestao-projetos
14987568107 coisas-software-gestao-projetos14987568107 coisas-software-gestao-projetos
14987568107 coisas-software-gestao-projetos
 
Noções de Planeamento
Noções de PlaneamentoNoções de Planeamento
Noções de Planeamento
 
Pim III e IV - UNIP - Gestão de Tecnologia da Informação
Pim III e IV - UNIP - Gestão de Tecnologia da InformaçãoPim III e IV - UNIP - Gestão de Tecnologia da Informação
Pim III e IV - UNIP - Gestão de Tecnologia da Informação
 
Caso-de-estudo-bongas-sagex3
Caso-de-estudo-bongas-sagex3Caso-de-estudo-bongas-sagex3
Caso-de-estudo-bongas-sagex3
 
Manutenção Lean
Manutenção LeanManutenção Lean
Manutenção Lean
 
Estudo sobre recuperação de desastre
Estudo sobre recuperação de desastreEstudo sobre recuperação de desastre
Estudo sobre recuperação de desastre
 
Ppra uma abordagem sistêmica
Ppra   uma abordagem sistêmicaPpra   uma abordagem sistêmica
Ppra uma abordagem sistêmica
 
Ebook | Como elaborar o PPRA?
Ebook | Como elaborar o PPRA?Ebook | Como elaborar o PPRA?
Ebook | Como elaborar o PPRA?
 
Artigo asap - metodologia de gestão de projetos para implementação de pacot...
Artigo   asap - metodologia de gestão de projetos para implementação de pacot...Artigo   asap - metodologia de gestão de projetos para implementação de pacot...
Artigo asap - metodologia de gestão de projetos para implementação de pacot...
 
Pmi Global 2008 Portfolio
Pmi Global 2008 PortfolioPmi Global 2008 Portfolio
Pmi Global 2008 Portfolio
 
Book WCM.pdf
Book WCM.pdfBook WCM.pdf
Book WCM.pdf
 
Ppra uma abordagem sistêmica - pdf
Ppra   uma abordagem sistêmica - pdfPpra   uma abordagem sistêmica - pdf
Ppra uma abordagem sistêmica - pdf
 
Apresentação TCC I - IES/SC 2013
Apresentação TCC I - IES/SC 2013Apresentação TCC I - IES/SC 2013
Apresentação TCC I - IES/SC 2013
 
Tecnologia e Sustentabilidade
Tecnologia e Sustentabilidade Tecnologia e Sustentabilidade
Tecnologia e Sustentabilidade
 
Gonooesdeplaneamento 090628114402-phpapp01
Gonooesdeplaneamento 090628114402-phpapp01Gonooesdeplaneamento 090628114402-phpapp01
Gonooesdeplaneamento 090628114402-phpapp01
 
Isa 95-slide
Isa 95-slideIsa 95-slide
Isa 95-slide
 
[Gestão da TI] Governança de TI: Modelos, certificações e "melhores práticas"
[Gestão da TI] Governança de TI: Modelos, certificações e "melhores práticas"[Gestão da TI] Governança de TI: Modelos, certificações e "melhores práticas"
[Gestão da TI] Governança de TI: Modelos, certificações e "melhores práticas"
 

Mais de Sidney Modenesi, MBCI

Mais de Sidney Modenesi, MBCI (20)

Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313
 
Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313
 
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
 
A continuidade da nossa vida profissional
A continuidade da nossa vida profissionalA continuidade da nossa vida profissional
A continuidade da nossa vida profissional
 
O Brasil precisa de continuidade (de negócios)?
O Brasil precisa de continuidade (de negócios)?O Brasil precisa de continuidade (de negócios)?
O Brasil precisa de continuidade (de negócios)?
 
BCAW - Business Continuity Awareness Week 2016
BCAW - Business Continuity Awareness Week 2016BCAW - Business Continuity Awareness Week 2016
BCAW - Business Continuity Awareness Week 2016
 
Programa de Capacitação - 2016
Programa de Capacitação - 2016Programa de Capacitação - 2016
Programa de Capacitação - 2016
 
Data Center and Business Continuity in 2040
Data Center and Business Continuity in 2040Data Center and Business Continuity in 2040
Data Center and Business Continuity in 2040
 
ISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practicesISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practices
 
Business Continuity or Survival of Business?
Business Continuity or Survival of Business?Business Continuity or Survival of Business?
Business Continuity or Survival of Business?
 
Palestra sobre as relações entre Compliance e Continuidade de Negócios
Palestra sobre as relações entre Compliance e Continuidade de NegóciosPalestra sobre as relações entre Compliance e Continuidade de Negócios
Palestra sobre as relações entre Compliance e Continuidade de Negócios
 
A continuidade da nossa vida profissional
A continuidade da nossa vida profissionalA continuidade da nossa vida profissional
A continuidade da nossa vida profissional
 
A Crise Energética e seus impactos nos Data Centers
A Crise Energética e seus impactos nos Data CentersA Crise Energética e seus impactos nos Data Centers
A Crise Energética e seus impactos nos Data Centers
 
A Crise Energética Brasileira e seu Impacto nos Data Centers
A Crise Energética Brasileira e seu Impacto nos Data CentersA Crise Energética Brasileira e seu Impacto nos Data Centers
A Crise Energética Brasileira e seu Impacto nos Data Centers
 
Uma vida em continuidade - A life in continuity
Uma vida em continuidade - A life in continuityUma vida em continuidade - A life in continuity
Uma vida em continuidade - A life in continuity
 
A Copa do Mundo e a GCN
A Copa do Mundo e a GCNA Copa do Mundo e a GCN
A Copa do Mundo e a GCN
 
Implementing your BC program in conformity with ISO 22301
Implementing your BC program in conformity with ISO 22301Implementing your BC program in conformity with ISO 22301
Implementing your BC program in conformity with ISO 22301
 
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das OrganizaçõesA Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
 
Scoping, implementing and Improving the BCMS
Scoping, implementing and Improving the BCMSScoping, implementing and Improving the BCMS
Scoping, implementing and Improving the BCMS
 
BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?
 

Último

Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Dirceu Resende
 

Último (6)

Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
 
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdfFrom_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
 
Apresentação Comercial VITAL DATA 2024.pdf
Apresentação Comercial VITAL DATA 2024.pdfApresentação Comercial VITAL DATA 2024.pdf
Apresentação Comercial VITAL DATA 2024.pdf
 
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIAEAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
 
Certificado - Data Analytics - CoderHouse.pdf
Certificado - Data Analytics - CoderHouse.pdfCertificado - Data Analytics - CoderHouse.pdf
Certificado - Data Analytics - CoderHouse.pdf
 
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
 

e-book DRP Alinhado às Necessidades do Negócio

  • 1. DRP ALINHADO ÀS NECESSIDADES DO NEGÓCIO Faça certo da primeira vez Sidney R. Modenesi, MCBCC, MBCI, LDRM ISO 22301 BSITechnical Expert
  • 2. Introdução DRP Alinhado às necessidades do negócio A implantação ou adequação do DRP – Disaster Recovery Plan com a utilização de técnicas de planejamento, estratégias consagradas, trabalho em equipe, conhecimento de negócios e de TIC reduz os riscos do produto final – o DRP – não estar alinhado às necessidades do negócio, o objetivo primário. Neste e-book apresento, de forma holística e sintética, como desenvolver e implantar, ou caso você já tenha, a aperfeiçoar, o DRP. Para isto utilizo os meus mais de: 20 anos de experiência em CN - Continuidade de Negócios, 30 anos em DRP - Disaster Recovery Plan e 40 anos em TIC - Tecnologia da Informação e Comunicação. Um projeto de DRP normalmente requer investimentos significativos, além de aumentar as despesas administrativas da área de TIC da organização com outro conjunto de equipamentos, licenças de software, links de comunicação e mão de obra qualificada. De forma que, otimizar todos estes custos e atender às necessidades do negócio é fundamental para o sucesso do projeto. Espero que você goste. Sidney R. Modenesi, MCBCC, MBCI, LDRM ISO 22301 BSI Techinical Expert 2
  • 3. Índice 3 DRP Alinhado às necessidades do negócio Introdução 2 Conceitos iniciais 4 O Projeto de DRP 7 O Ciclo de Vida do DRP 8 Avaliação de Riscos 9 Análise de Impacto nos Negócios 11 Estratégia de Recuperação 20 Desenvolvimento dos Planos 26 Exercícios e Melhoria Contínua - PDCA 29 Sidney R. Modenesi 30 STROHL Brasil 31
  • 4. Conceitos Iniciais Recuperação de desastre (RD), do inglês Disaster Recovery (DR), envolve um conjunto de políticas e procedimentos para permitir a recuperação ou continuação da infraestrutura de tecnologia e sistemas vitais na sequência de um desastre natural ou provocado pelo homem. A recuperação de desastre foca na TI ou sistemas de tecnologia que suportam funções de negócio críticas, em oposição à continuidade do negócio, que envolve manter todos os aspectos essenciais de um negócio em funcionamento apesar de eventos disruptivos significantes. A recuperação de desastre é, portanto, um subconjunto da continuidade do negócio. O plano de recuperação de desastres é composto por cenários e procedimentos, que deverão ser aplicados sempre que ocorrer uma falha devido a alguma inconsistência provocada em virtude de ameaças como incêndios, inundações, vandalismo, sabotagem ou falhas de tecnologia. Conhecido como DRP - Disaster Recovery Plan, os planos normalmente são desenvolvidos pelos gestores de ativos, muitas vezes por exigências de regulamentações internacionais como a lei Sarbanes-Oxley, Regulamentações do Banco Central do Brasil – BACEN e da Superintendência de Seguros Privados - SUSEP, ou ainda devido a exigências de acionistas ou do próprio negócio. (Fonte Wikipedia) Estas atividades hoje estão normatizadas num extenso conjunto de normas ISO das famílias 22300 e 27000, dentre outras, além de Boas Práticas de mercado. 4 DRP Alinhado às necessidades do negócio
  • 5. O impacto da “nuvem” no DRP Muitos executivos (nível C da organização) tendem a acreditar que com a contratação de determinados serviços na “nuvem” não há necessidade de DRP. Infelizmente este entendimento é totalmente equivocado, pois este serviço está hospedado em algum local e este Data Center também está sujeito a desastres, da mesma forma que os Data Centers tradicionais das empresas. Alguns provedores de serviços na “nuvem” também oferecem o serviço de DRP mas, em geral, esta contratação é facultada ao cliente. Ou seja, ter serviços na “nuvem” não elimina a necessidade do DRP. 5 DRP Alinhado às necessidades do negócio
  • 6. Do empirismo à abordagem estruturada No início da prática do DRP, do final da década de 1950 até recentemente, embora ainda possa ser praticado em algumas empresas, o DRP era especificado pelo CIO e seus assessores diretos, coordenadores e analistas sêniores definindo quais aplicações seriam recuperadas e em qual tempo. Isto aconteceu comigo em 1986 quando trabalhava na Credicard e recebi o desafio de implantar e testar o DRP. Foi definido pelo CIO, seus gerentes e o CFO que somente o sistema de faturamento seria recuperado. Todo o transacional ficaria de fora! Isto já era inaceitável naqueles dias e hoje seria absolutamente inaceitável, um desserviço sem tamanho. Hoje temos normas que nos auxiliam em todo o ciclo de vida do DRP. Abaixo o desenho esquemático da norma ISO 22301:2012 Societal security -- Business continuity management systems --- Requirements. 6 DRP Alinhado às necessidades do negócio
  • 7. O Projeto de DRP Para o desenvolvimento do projeto DRP de forma estruturada utilizaremos partes da norma ABNT NBR ISO 22301:2013 Segurança da sociedade — Sistema de gestão de continuidade de negócios — Requisitos, os capítulos 8 – Operação, 9 – Avaliação de Desempenho e 10 – Melhoria. Os demais capítulos também são importantes e serão abordados em outro e- book, a fim de mantermos o foco deste e-book no projeto de DRP. É conveniente utilizar também o manual de boas práticas “Good Practice Guidelines 2013” desenvolvido pelo “The Business Continuity Institute“ em conformidade com as normas ISO 22301/22313. A utilização deste manual é recomendada uma vez que normas definem o que deve ser feito enquanto manuais de boas práticas descrevem, em geral, o que ou como fazer. Ainda, é conveniente a utilização de outras práticas normatizadas, ou constantes em boas práticas, tais como: Mapeamento de processos (parte da norma ISO 9000), CMDB (Configuration Management Data Base) completo e atualizado (ISO 20000/ITIL), Sistema de Gestão de Riscos Corporativos (ISO 31000), COBIT, COSO dentre outras. 7 DRP Alinhado às necessidades do negócio
  • 8. O Ciclo deVida do DRP Abaixo um desenho esquemático dos capítulos 8 – Operação, 9 – Avaliação de Desempenho e 10 – Melhoria das normas ISO 22301/22313. 8 DRP Alinhado às necessidades do negócio
  • 9. Avaliação de Riscos 9 DRP Alinhado às necessidades do negócio
  • 10. Avaliação de Riscos A organização deve estabelecer, implementar e manter um processo documentado para avaliação de riscos que sistematicamente identifique, analise e avalie os riscos de uma interrupção à organização. Nesta etapa do projeto riscos devem ser identificados e mitigados de alguma forma, mediante a implantação de controles ou conjuntos de controles, que exigirão projetos e investimentos de implantação e despesas operacionais recorrentes para a sua manutenção e operacionalização. Sabemos que não é possível, nem viável, a mitigação de 100% dos riscos, ficando sempre um risco residual. O DRP é o controle do risco residual da materialização de um risco de muito baixa probabilidade mas de muito alto impacto. 10 DRP Alinhado às necessidades do negócio
  • 11. Análise de Impacto nos Negócios 11 DRP Alinhado às necessidades do negócio
  • 12. Análise de Impacto nos Negócios Esta etapa do projeto é uma das mais importantes, senão a mais importante, para o sucesso do Projeto de DRP merecendo, portanto, um texto mais longo. A organização deve estabelecer, implementar e manter um processo de avaliação formal e documentado para determinar prioridades de continuidade e recuperação, com objetivos e metas. Este processo deve incluir a avalição dos impactos de interrupção que suportam os produtos e serviços da organização. É nesta etapa que serão estimados e quantificados os impactos decorrentes da materialização dos riscos identificados na etapa anterior de Avaliação de Riscos que provoquem um incidente de interrupção. 12 DRP Alinhado às necessidades do negócio
  • 13. Análise de Impacto nos Negócios Impactos podem ser de três categorias: • Financeiros: objetivos e potencialmente muito bem quantificáveis. Nesta categoria incluem-se perdas de receitas, multas ou penalidades financeiras, impactos no fluxo de caixa etc. • Operacionais: subjetivos e normalmente de difícil quantificação. Nesta categoria incluem-se: danos a imagem, perda de mercado, desvalorização no valor das ações etc. • Regulatórios: todos os itens legais, regulatórios ou contratuais que a organização é obrigada a atender e cujo descumprimento pode implicar em severas penalidades, financeiras ou não. 13 DRP Alinhado às necessidades do negócio
  • 14. Análise de Impacto nos Negócios O resultado desta etapa suportará todas as discussões com aAlta Direção para a definição da Estratégia de Recuperação alinhada aoApetite a Risco da Organização. Esta análise deve levar em conta os possíveis cenários de interrupção. Por exemplo, se o Data Center está localizado no mesmo local que o restante da organização, temos um único cenário. Se a organização tem ou utiliza um Data Center num outro local, então teremos pelo menos dois cenários, aumentando com a quantidade de Data Centers utilizados, uma vez que os impactos de indisponibilidade de cada um deles é diferente. 14 DRP Alinhado às necessidades do negócio
  • 15. Análise de Impacto nos Negócios As informações compiladas na Análise de Impacto nos Negócios são obtidas com a utilização de um questionário, composto de várias perguntas e vários intervalos de tempo, aplicados aos gestores das áreas de negócios, devidamente identificados e qualificados a fornecerem as respostas desejadas. Estes gestores devem ser desafiados a pensarem fora da caixa nos cenários de indisponibilidade e a estimarem os impactos decorrentes. BIA não é perguntar e anotar o que os gestores desejam. Algumas variáveis vitais para as próximas etapas do Projeto de DRP devem ser obtidas e consistidas nesta etapa. São elas: MTPD, MBCO, RTO e RPO. 15 DRP Alinhado às necessidades do negócio
  • 16. MTPD – Maximum Tolerable Period of Disruption Ou período máximo de interrupção tolerável. É tempo necessário para que os impactos adversos decorrentes de um incidente de interrupção tornem-se inaceitáveis, que pode surgir como resultado de não fornecer um produto/serviço ou realizar uma atividade. A medida que o tempo passa, os impactos vão aumentando até um momento em que passam a ser inaceitáveis. Esta decisão (aceitável x inaceitável) não é pragmática sendo deliberada pelaAlta Direção em função ao Apetite a Risco que a organização está disposta a correr naquele momento. É muito possível que os gestores das áreas de negócios não tenham esta informação, ou tenham uma visão muito operacional e forneçam MTPDs inferiores ao apetite a risco corporativo. Daí a importância de desafiar os gestores nas entrevistas de BIA. 16 DRP Alinhado às necessidades do negócio
  • 17. MBCO – Minimum Business Continuity Objective Ou objetivo mínimo de continuidade de negócios. São os níveis mínimos aceitáveis de serviços e/ou produtos para a organização alcançar seus objetivos de negócios durante uma interrupção. É intuitivo considerar que quanto maior o MBCO maior a necessidade de recursos, portanto maiores serão os investimentos e as despesas operacionais recorrentes. Assim como o MTPD, é muito possível que os gestores das áreas de negócios não tenham esta percepção, ou tenham uma visão muito operacional e forneçam MBCOs superiores ao apetite a risco corporativo. Daí a importância de desafiar os gestores nas entrevistas de BIA. 17 DRP Alinhado às necessidades do negócio
  • 18. RTO – RecoveryTime Objective Ou tempo objetivado de recuperação. É o período de tempo após um incidente em que: • o produto ou serviço deve ser retomado, ou • a atividade deve ser retomada, ou • os recursos devem ser recuperados. Portanto, obrigatoriamente, o RTO deve ser menor que o MTPD. No contexto do Projeto de DRP a somatória dos RTOs para recuperar itens de infraestrutura que suportam um determinado produto, serviço ou processo crítico deve ser menor que o MTPD ou RTO deste produto, serviço ou processo crítico. 18 DRP Alinhado às necessidades do negócio
  • 19. RPO – Recovery Point Objective Ou ponto objetivado de recuperação. É ponto em que a informação usada por uma atividade deve ser restaurada para permitir a operação da atividade na retomada. Sinteticamente, quanta informação eletrônica e não eletrônica a operação da atividade pode ser recuperada. Esta informação afetará diretamente a estratégia de duplicação dos dados do Projeto de DRP. Por exemplo perda de dados zero implicará em duplicação de dados em tempo real, enquanto que para perda de dados de vários dias, estratégias de backup e restore possam ser utilizadas. Neste caso deve-se levar em conta o tamanho das bases de dados a serem recuperadas. 19 DRP Alinhado às necessidades do negócio
  • 20. Estratégia de Recuperação 20 DRP Alinhado às necessidades do negócio
  • 21. Estratégia de Recuperação Quantificados os impactos, MTPDs, MBCOs, RTOs e RPOs ainda temos muito trabalho pela frente até podermos apresentar àAlta Direção propostas de estratégias de recuperação, seus investimentos, despesas, vantagens e desvantagens. Estas apresentações tem, normalmente, uma duração curta de forma que o conteúdo final deve ser sintético enquanto completo e deve ter todo o detalhamento necessário caso hajam questionamentos. É comum nestas apresentações surgirem novas alternativas de estratégias que podem demandar novos estudos até serem apresentadas e finalmente deliberadas. 21 DRP Alinhado às necessidades do negócio
  • 22. Mapeamento dos Itens de Configuração Identificados os produtos e serviços críticos o próximo passo é mapear os processos de negócios que os sustentam. Na sequência devem ser mapeadas as aplicações que sustentam estes processos, os servidores, sistemas operacionais e softwares de apoio que processam estas aplicações e as bases de dados que armazenam estas informações. Daí, a existência de um CMDB (Configuration Management Data Base) completo e atualizado facilitará bastante o nosso trabalho. Ainda, serão necessários vários equipamentos e links de comunicação, uma vez que os locais de nossa organização deverão ter acesso aos dois Data Centers, o principal e o DRP. 22 DRP Alinhado às necessidades do negócio
  • 23. Múltiplos MTPDs, MBCOs, RTOs e RPOs É comum identificarmos após a BIA múltiplos MTPDs, MBCOs, RTOs e RPOs, uma vez que os tempos de impacto severos, níveis de serviço e perda de dados podem ser diferentes para produtos, serviços, processos ou áreas de negócios distintas. Neste caso as seguintes regras devem ser aplicadas para cada Item de Configuração, podendo requerer ainda alguma conciliação posterior: • MTPD  o menor deles, • MBCO  o maior deles, • RTO  o menor deles, • RPO  o menor deles. 23 DRP Alinhado às necessidades do negócio MTPD MBCO RTO RPO MTPD MBCO RTO RPO MTPD MBCO RTO RPO MTPD MBCO RTO RPO MTPD MBCO RTO RPO
  • 24. Quantificação Inicial dos Investimentos e Despesas Com todas estas informações obtidas é hora de estimar os investimentos e despesas recorrentes do Projeto DRP. Uma boa fonte de informação são os investimentos e despesas do Data Center atual da organização que poderão necessitar de complementação ou atualização com valores atuais de mercado a serem obtidos mediante RFQs – “Request for Quotations”. Compile e sumarize todas estas informações e coloque os prós e contras de cada uma das alternativas a serem apresentadas àAlta Direção. 24 DRP Alinhado às necessidades do negócio
  • 25. Chegou o Dia da Apresentação REVISE! REVISE! REVISE! Não pode haver nenhum erro, você pode não ter outra chance! Treine bastante para fazer a apresentação com segurança. Você construirá esta segurança com seu tom de voz e postura desde o primeiro slide. Treine para perguntas difíceis, você será DESAFIADO. Por exemplo, ao apresentar um determinado impacto financeiro o que você responderia ao CFO que te diz: “Adoraria perder este monte de dinheiro aí. Não ganho isto hoje.” 25 DRP Alinhado às necessidades do negócio
  • 26. Desenvolvimento dos Planos 26 DRP Alinhado às necessidades do negócio
  • 27. Desenvolvimento dos Planos Assumindo que uma determinada estratégia de DRP tenha sido aprovada pela Alta Direção vários projetos serão iniciados, com várias equipes, esforços e necessidades distintas mas que, ao final, devem entregar o DRP com os MTPDs, MBCOs, RTOs e RPOs estabelecidos. Uma outra frente a ser desenvolvida e posteriormente mantida atualizada é a documentação de como o DRP será ativado, desativado, exercitado e mantido atualizado. Serão necessários vários conjuntos de planos: • de resposta a incidentes: como incidentes serão identificados, tratados e escalados até levarem a ativação do DRP; • de aviso e comunicação: como todas as partes interessadas, internas e externas, serão avisadas e comunicadas do incidente de interrupção, da ativação do DRP, do desenrolar dos acontecimentos e dos eventuais problemas que venham a ocorrer; • de continuidade de negócios: o que as áreas de negócios farão enquanto o DRP não estiver operacional, como os dados perdidos (RPOs) serão recuperados e como as áreas de negócios irão operar caso haja alterações nas práticas operacionais informatizadas; • e é claro, como os itens de configuração serão ativados no DRP, incluindo sequências de ativação e desativação, validações etc. Estes planos devem considerar as qualificações de quem os executará, se um profissional sênior ou um júnior. De forma a estar em conformidade com a norma NBR ISO 22301:2013 Segurança da sociedade — Sistema de gestão de continuidade de negócios — Requisitos, uma norma certificável, os planos devem ter certas informações mínimas descritas no capítulo 8.4. 27 DRP Alinhado às necessidades do negócio
  • 28. Exercícios e Melhoria Contínua 28 DRP Alinhado às necessidades do negócio
  • 29. Exercícios e Melhoria Contínua - PDCA Toda esta infraestrutura deTIC, infraestrutura operacional e respectiva documentação deve ser validada, testada, aperfeiçoada e mantida atualizada e pronta para uso à medida que mudanças ocorram na organização. Exercícios e testem devem seguir um modelo evolutivo começando por cenários controlados e menos desafiadores evoluindo para cenários cada vez mais realistas e desafiadores sem, entretanto, colocar a empresa em risco. Você pode utilizar a norma ISO 22398:2015 como framework do programa evolutivo de exercícios e testes. A cada novo exercício ou teste as não conformidades identificadas devem ser resolvidas mediante planos de ação num processo de melhoria contínua. Mudanças em todo ambiente devem ser identificadas, tratadas e aplicadas no DRP mediante uma sistemática de Controle de Mudanças, nos dois ambientes, parecidos, mas não necessariamente iguais. 29 DRP Alinhado às necessidades do negócio
  • 30. Sidney R. Modenesi Bacharel em Ciências daComputação pela Universidade de São Paulo em 1976; Pós graduado em Empreendedorismo pelo Universidade de São Paulo em 1986; Entusiasta em resiliência organizacional e das sociedades, em continuidade de negócios (business continuity) e recuperação de desastres (disaster recovery). Certificações: • MCBCC – Master Certified Business Continuity Coordinator pela Strohl Systems em 2000; • MBCI – Member of the BCI,The Business Continuity Institute em 2006; • ISO 22301 BSITechnical Expert pelo BSI British Standards Institute em 2013; • LDRM – Lead Disaster Recovery Manager pelo PECB - Professional Evaluation and Certification Board em 2017. 30 DRP Alinhado às necessidades do negócio
  • 31. STROHL Brasil Empresa brasileira, fundada em 2000 que tem Sidney R. Modenesi como um de seus sócios fundadores, especializa em consultoria e treinamento especializado em Continuidade de Negócios, Recuperação de Desastres e temas agregados. A linha de serviços de consultoria inclui: • Análise de riscos; • Análise de impacto nos negócios; • Definição de estratégias de recuperação (GCN ou DRP); • Desenvolvimento das políticas, planos de resposta a incidentes, de gestão de crises, de continuidade de negócios ou de DRP • Programa de exercícios e testes; • E outros customizados. A linha de capacitação inclui: • Introdução à Gestão daContinuidade de Negócios, • Imersão na Gestão daContinuidade de Negócios; • Resposta a emergências e gestão de crises; • Planejamento, execução e avaliação de exercícios e testes; • A arte, a ciência e a Experiência na Análise de Impacto nos Negócios; • E outros customizados. https://www.facebook.com/strohlbrasil/ https://www.linkedin.com/in/strohlbrasil/ https://www.strohlbrasil.com.br 31 DRP Alinhado às necessidades do negócio