O documento discute a importância de um Plano de Recuperação de Desastres (DRP) alinhado às necessidades do negócio. Ele enfatiza que o DRP deve ser desenvolvido após uma Análise de Impacto nos Negócios (BIA) que considera variáveis como o tempo máximo tolerável de interrupção e os objetivos mínimos de continuidade do negócio. Além disso, o documento descreve o ciclo de vida do DRP, incluindo a avaliação de riscos, desenvolvimento de planos, exercícios e manutenção
3. Apresentações
Sidney R. Modenesi
• Gerente da STROHL Brasil;
• Certificado MBCI pelo BCI em
2006;
• ISO 22301 BSI Technical
Expert, 2013;
• Certificado LDRM pelo PECB
em 2017;
• Mais de 25 anos de
experiência em DRP/BCM;
• Consultor e instrutor
internacional de BCM (ISO
22301, 22313 & outras).
STROHL Brasil
• Empresa brasileira;
• Mais de 15 anos dedicada
exclusivamente à GCN, DRP e
à resiliência;
• Certificação internacional –
BCI;
• Experiência comprovada em
vários segmentos de
negócios;
• Consultoria e treinamento em
Gestão da Continuidade de
Negócios (BCM) e agregados.
3
3
6. VAMOS RECUPERAR
O FATURAMENTO, O
CONTAS A
RECEBER, A FOLHA
DE PAGAMENTOS (É
CLARO!), E O SAC
DECRETO, ISTO
DEVE SER
SUFICIENTE!
O QUE VOCÊS
ACHAM?
6
7. FALTOU O
E-MAIL E O
PAGNET. ACHO
QUE É SÓ.
PESSOAL,
PRECISO DA
LISTA DE
APLICAÇÕES
ANTES QUE
CORTEM NOSSA
VERBA!
7
8. Críticas Aplicações
NÃO SÃO
• Faturamento: 0,25% a.d.
empresa não ter, quebrada
está;
• Contas a receber:
faturamento igual é;
• Folha de pagamento:
pagar até quinto dia
útil pode, pagamento
antecipar pode,
repetir mês anterior
pode.
SÃO
• SAC Decreto: regulatório é,
24x7x365. 3MMs UFIRs
multa chegar;
• PAGNET: front-end
serviço é, demais
serviços de suporte
operando precisa;
• Front-end de clientes
importante são: chamados
abrir, serviços solicitar;
• Nota fiscal: CRÍTICO É.
8
10. Continuidade de Negócios - DRP
• É um sistema de gestão normatizado desde 2006 com a
norma inglesa “BS 25999-1:2006 Business Continuity
Management. Code of Practice”;
• Posteriormente substituída pela norma “ISO
22301:2012 Societal security -- Business continuity
management systems --- Requirements”;
• Esta norma está disponível no Brasil como ABNT NBR
ISO 22301:2013 Segurança da sociedade — Sistema de
gestão de continuidade de negócios — Requisitos;
• É utilizada pelos órgãos reguladores (BACEN, SUSEP
etc.) nas suas inspeções e auditorias.
10
11. Ciclo de Vida
•Infraestrutura
•TIC
•Seg. infor.
•Humanos
•Fornecedores
Aval. de Riscos
•Financeiros
•Operacionais
•Regulatórios
Anal. Impacto
nos Negócios •Apetite a Risco
•Cont. de Negócios
•DRP - TIC
Estratégia de
Recuperação
•Resp. Incidentes
•PCNs
•DRP
Desenv. Planos
•Resp. Incidentes
•De mesa
•Blocos
•Integrados
Exercícios
Plan
Do
Check
Act
11
13. Variáveis Fundamentais - MTPD
MTPD (Maximum Tolerable Period of Disruption): tempo
necessário para que os impactos adversos tornem-se inaceitáveis,
que pode surgir como resultado de não fornecer um produto/serviço
ou realizar uma atividade
13
14. Variáveis Fundamentais - MBCO
MBCO (Minimum Business Continuity Objective): níveis
mínimos aceitáveis de serviços e/ou produtos para a organização
alcançar seus objetivos de negócios durante uma interrupção
14
15. Variáveis Fundamentais - RTO
RTO (Recovery Time Objective): período de tempo após
um incidente em que: o produto ou serviço deve ser
retomado,ou a atividade deve ser retomada, ou os
recursos devem ser recuperados
15
16. Variáveis Fundamentais - RPO
RPO (Recovery Point Objective): ponto em que a
informação usada por uma atividade deve ser restaurada
para permitir a operação da atividade na retomada
16
17. Variáveis Fundamentais
• MTPD, MBCO, RTO e RPO
• São quantificadas na etapa de
BIA – Análise de Impacto nos Negócios
• Devem ser validadas e deliberadas pela
Diretoria Executiva
• Em função do APETITE A RISCO
• E alinhadas com o
Planejamento Estratégico.
17
18. Estratégia de Recuperação - DRP
BIA
•Produtos
•Serviços
•Processos
MTPD
MBCO
RTO
RPO
Apetite a
Risco
Alinhamento
ao
planejamento
estratégico
18
19. BIA – Análise de Impacto nos Negócios
• Não é aceitar tudo o que o gestor quer.
− 100% de disponibilidade a custo ZERO.
• É desafiar o gestor a;
− Pensar fora da caixa,
− Aceitar indisponibilidades,
− Quantificar impactos,
− SOBREVIVER NUM DESASTRE.
• NÃO É DIA A DIA. 19
20. Apetite a Risco
A empresa hoje
Os que os gestores
pediram O que os executivos
estão dispostos a
investir
O DRP sem BIA
O DRP com BIA e alinhado
ao APETITE A RISCO 20
21. Mapeamentos
Produtos &
Serviços
Críticos
Processo 1 Processo 2
Aplicação
1
Aplicação
2
Servidor 1 Servidor 2
Base de
Dados 1
Base de
Dados
...
Base de
Dados N
... Servidor N
...
Aplicação
N
Processo N MTPD
MBCO
RTO
RPO
21
22. É desejável ter ...
• Mapeamento de processos (ISO 9000);
• CMDB (Configuration Management Data
Base) completo e atualizado (ISO
20000/ITIL);
• Sistema de Gestão de Riscos
Corporativos (ISO 31000)
22
23. Desenvolvimento dos Planos
Após a definição da
estratégia de recuperação
vários projetos são iniciados:
• Seleção ou adequação do Data
Center do DRP;
• Contratação dos servidores,
links, licenças ...;
• Alterações no Data Center de
produção para viabilizar o DRP;
• ...
• DOCUMENTAÇÃO DOS PLANOS.
24. Desenvolvimento dos Planos
Planos a serem desenvolvidos, testados, mantidos
atualizados, equipes treinadas e prontos para uso:
• De resposta a incidentes - Da percepção do incidente à declaração
da contingência;
• De aviso e comunicação - Todas as partes interessadas internas e
externas, durante todo o ciclo da contingência;
• De continuidade de negócios - O que e como as áreas de negócios
irão operar durante e após a ativação do DRP;
• E como os itens de configuração serão ativados no DRP:
• Sequências de ativação e desativação, validações etc.
• Qualificações dos executores, se um profissional sênior ou um júnior.
Ver ISO 22301, capítulo 8.4
27. Como exercitar/testar?
• De cenários controlados e menos
desafiadores para cenários cada vez mais
complexos e realistas;
• Comece por blocos pequenos e
autônomos;
• Vá agregando os blocos já exercitados;
• Inclua os usuários finais no aceite;
• Conforme definido nas políticas.
27
28. E como manter o DRP atualizado?
• Implante a Política de DRP;
− Preferencialmente integrada à Política de
Gestão da Continuidade de Negócios;
− E a de Gestão de Riscos Corporativos.
• Implante o Sistema de Controle de
Mudanças (agora serão 2 ambientes
parecidos, mas não iguais);
• Implante o Programa de Exercícios e
Testes (ISO 22398:2015) 28
29. E no dia do desastre o que fazer?
• Utilize o sistema de Resposta a
Incidentes (ISO 22320 e/ou ISO 22000);
• Implante o Sistema de Gestão de Crises
(BS 11200:2014);
• Tenha pronto os Centros de Comando;
• PRATIQUE O QUE VOCÊ EXERCITOU!!!
29
30. Ciclo de Vida
•Infraestrutura
•TIC
•Seg. infor.
•Humanos
•Fornecedores
Anál. de
Riscos
•Financeiros
•Operacionais
•Regulatórios
Anal. Impacto
nos Negócios •Apetite a Risco
•Cont. de Negócios
•DRP - TIC
Estratégia de
Recuperação
•Resp. Incidentes
•PCNs
•DRP
Desenv. Planos
•Resp. Incidentes
•De mesa
•Blocos
•Integrados
Exercícios
Plan
Do
Check
Act
30
32. STROHL Brasil
Consultoria especializada em
Continuidade de Negócios:
• Análise de riscos;
• Análise de impacto nos
negócios;
• Definição de estratégias de
recuperação (GCN ou DRP);
• Desenvolvimento das políticas,
planos de resposta a incidentes,
de gestão de crises, de
continuidade de negócios ou de
DRP
• Programa de exercícios e
testes;
• E outros customizados.
Capacitação em Continuidade de
Negócios:
• Introdução à Gestão da
Continuidade de Negócios,
• Imersão na Gestão da
Continuidade de Negócios;
• Resposta a emergências e gestão
de crises;
• Planejamento, execução e
avaliação de exercícios e testes;
• A arte, a ciência e a Experiência
na Análise de Impacto nos
Negócios;
• E outros customizados.
32
34. Encerramento
Sidney R. Modenesi
MCBCC, MBCI, LDRM, BSI ISO 22301
Technical Expert
sidney_modenesi@strohlbrasil.com.br
+55 11 5583-0033
br.linkedin.com/in/sidneymodenesimbci
34
e-book disponível em:
https://www.strohlbrasil.com.br/blog/DRP_Alinhado_ao_Negocio/
As imagens utilizadas nesta apresentação foram obtidas em www.depositphotos.com
ou obtidas na Internet após verificação, até onde possível, da existência de direitos autorais.
As imagens de Star Wars foram obtidas de ReadComicOnline e os textos adaptados pela STROHL Brasil.
O conteúdo desta apresentação, vídeo e e-book pode ser compartilhado desde que sempre citando a sua fonte.