SlideShare uma empresa Scribd logo
1 de 34
DRP Alinhado às Necessidades do Negócio
Faça certo da primeira vez
Sidney R. Modenesi, MCBCC, MBCI, LDRM,
ISO 22301 BSI Technical Expert
2
Apresentações
Sidney R. Modenesi
• Gerente da STROHL Brasil;
• Certificado MBCI pelo BCI em
2006;
• ISO 22301 BSI Technical
Expert, 2013;
• Certificado LDRM pelo PECB
em 2017;
• Mais de 25 anos de
experiência em DRP/BCM;
• Consultor e instrutor
internacional de BCM (ISO
22301, 22313 & outras).
STROHL Brasil
• Empresa brasileira;
• Mais de 15 anos dedicada
exclusivamente à GCN, DRP e
à resiliência;
• Certificação internacional –
BCI;
• Experiência comprovada em
vários segmentos de
negócios;
• Consultoria e treinamento em
Gestão da Continuidade de
Negócios (BCM) e agregados.
3
3
CHAME NOSSOS
ANALISTAS
PARA VALIDAR-
MOS A LISTA.
QUER DIZER QUE FINALMENTE VAMOS
FAZER O DRP? O SENHOR SABE O QUE É
IMPORTANTE PARA A EMPRESA?
5
VAMOS RECUPERAR
O FATURAMENTO, O
CONTAS A
RECEBER, A FOLHA
DE PAGAMENTOS (É
CLARO!), E O SAC
DECRETO, ISTO
DEVE SER
SUFICIENTE!
O QUE VOCÊS
ACHAM?
6
FALTOU O
E-MAIL E O
PAGNET. ACHO
QUE É SÓ.
PESSOAL,
PRECISO DA
LISTA DE
APLICAÇÕES
ANTES QUE
CORTEM NOSSA
VERBA!
7
Críticas Aplicações
NÃO SÃO
• Faturamento: 0,25% a.d.
empresa não ter, quebrada
está;
• Contas a receber:
faturamento igual é;
• Folha de pagamento:
pagar até quinto dia
útil pode, pagamento
antecipar pode,
repetir mês anterior
pode.
SÃO
• SAC Decreto: regulatório é,
24x7x365. 3MMs UFIRs
multa chegar;
• PAGNET: front-end
serviço é, demais
serviços de suporte
operando precisa;
• Front-end de clientes
importante são: chamados
abrir, serviços solicitar;
• Nota fiscal: CRÍTICO É.
8
9
Continuidade de Negócios - DRP
• É um sistema de gestão normatizado desde 2006 com a
norma inglesa “BS 25999-1:2006 Business Continuity
Management. Code of Practice”;
• Posteriormente substituída pela norma “ISO
22301:2012 Societal security -- Business continuity
management systems --- Requirements”;
• Esta norma está disponível no Brasil como ABNT NBR
ISO 22301:2013 Segurança da sociedade — Sistema de
gestão de continuidade de negócios — Requisitos;
• É utilizada pelos órgãos reguladores (BACEN, SUSEP
etc.) nas suas inspeções e auditorias.
10
Ciclo de Vida
•Infraestrutura
•TIC
•Seg. infor.
•Humanos
•Fornecedores
Aval. de Riscos
•Financeiros
•Operacionais
•Regulatórios
Anal. Impacto
nos Negócios •Apetite a Risco
•Cont. de Negócios
•DRP - TIC
Estratégia de
Recuperação
•Resp. Incidentes
•PCNs
•DRP
Desenv. Planos
•Resp. Incidentes
•De mesa
•Blocos
•Integrados
Exercícios
Plan
Do
Check
Act
11
Variáveis Fundamentais
MTPD
MBCO
RTO
RPO
12
Variáveis Fundamentais - MTPD
MTPD (Maximum Tolerable Period of Disruption): tempo
necessário para que os impactos adversos tornem-se inaceitáveis,
que pode surgir como resultado de não fornecer um produto/serviço
ou realizar uma atividade
13
Variáveis Fundamentais - MBCO
MBCO (Minimum Business Continuity Objective): níveis
mínimos aceitáveis de serviços e/ou produtos para a organização
alcançar seus objetivos de negócios durante uma interrupção
14
Variáveis Fundamentais - RTO
RTO (Recovery Time Objective): período de tempo após
um incidente em que: o produto ou serviço deve ser
retomado,ou a atividade deve ser retomada, ou os
recursos devem ser recuperados
15
Variáveis Fundamentais - RPO
RPO (Recovery Point Objective): ponto em que a
informação usada por uma atividade deve ser restaurada
para permitir a operação da atividade na retomada
16
Variáveis Fundamentais
• MTPD, MBCO, RTO e RPO
• São quantificadas na etapa de
BIA – Análise de Impacto nos Negócios
• Devem ser validadas e deliberadas pela
Diretoria Executiva
• Em função do APETITE A RISCO
• E alinhadas com o
Planejamento Estratégico.
17
Estratégia de Recuperação - DRP
BIA
•Produtos
•Serviços
•Processos
MTPD
MBCO
RTO
RPO
Apetite a
Risco
Alinhamento
ao
planejamento
estratégico
18
BIA – Análise de Impacto nos Negócios
• Não é aceitar tudo o que o gestor quer.
− 100% de disponibilidade a custo ZERO.
• É desafiar o gestor a;
− Pensar fora da caixa,
− Aceitar indisponibilidades,
− Quantificar impactos,
− SOBREVIVER NUM DESASTRE.
• NÃO É DIA A DIA. 19
Apetite a Risco
A empresa hoje
Os que os gestores
pediram O que os executivos
estão dispostos a
investir
O DRP sem BIA
O DRP com BIA e alinhado
ao APETITE A RISCO 20
Mapeamentos
Produtos &
Serviços
Críticos
Processo 1 Processo 2
Aplicação
1
Aplicação
2
Servidor 1 Servidor 2
Base de
Dados 1
Base de
Dados
...
Base de
Dados N
... Servidor N
...
Aplicação
N
Processo N MTPD
MBCO
RTO
RPO
21
É desejável ter ...
• Mapeamento de processos (ISO 9000);
• CMDB (Configuration Management Data
Base) completo e atualizado (ISO
20000/ITIL);
• Sistema de Gestão de Riscos
Corporativos (ISO 31000)
22
Desenvolvimento dos Planos
Após a definição da
estratégia de recuperação
vários projetos são iniciados:
• Seleção ou adequação do Data
Center do DRP;
• Contratação dos servidores,
links, licenças ...;
• Alterações no Data Center de
produção para viabilizar o DRP;
• ...
• DOCUMENTAÇÃO DOS PLANOS.
Desenvolvimento dos Planos
Planos a serem desenvolvidos, testados, mantidos
atualizados, equipes treinadas e prontos para uso:
• De resposta a incidentes - Da percepção do incidente à declaração
da contingência;
• De aviso e comunicação - Todas as partes interessadas internas e
externas, durante todo o ciclo da contingência;
• De continuidade de negócios - O que e como as áreas de negócios
irão operar durante e após a ativação do DRP;
• E como os itens de configuração serão ativados no DRP:
• Sequências de ativação e desativação, validações etc.
• Qualificações dos executores, se um profissional sênior ou um júnior.
Ver ISO 22301, capítulo 8.4
E depois do DRP montado?
25
Como exercitar/testar?
26
Como exercitar/testar?
• De cenários controlados e menos
desafiadores para cenários cada vez mais
complexos e realistas;
• Comece por blocos pequenos e
autônomos;
• Vá agregando os blocos já exercitados;
• Inclua os usuários finais no aceite;
• Conforme definido nas políticas.
27
E como manter o DRP atualizado?
• Implante a Política de DRP;
− Preferencialmente integrada à Política de
Gestão da Continuidade de Negócios;
− E a de Gestão de Riscos Corporativos.
• Implante o Sistema de Controle de
Mudanças (agora serão 2 ambientes
parecidos, mas não iguais);
• Implante o Programa de Exercícios e
Testes (ISO 22398:2015) 28
E no dia do desastre o que fazer?
• Utilize o sistema de Resposta a
Incidentes (ISO 22320 e/ou ISO 22000);
• Implante o Sistema de Gestão de Crises
(BS 11200:2014);
• Tenha pronto os Centros de Comando;
• PRATIQUE O QUE VOCÊ EXERCITOU!!!
29
Ciclo de Vida
•Infraestrutura
•TIC
•Seg. infor.
•Humanos
•Fornecedores
Anál. de
Riscos
•Financeiros
•Operacionais
•Regulatórios
Anal. Impacto
nos Negócios •Apetite a Risco
•Cont. de Negócios
•DRP - TIC
Estratégia de
Recuperação
•Resp. Incidentes
•PCNs
•DRP
Desenv. Planos
•Resp. Incidentes
•De mesa
•Blocos
•Integrados
Exercícios
Plan
Do
Check
Act
30
Encerramento
Planejamento
+
Estratégia consagrada
+
Trabalho em equipe
+
Conhecimento de negócios e TI
=
DRP alinhado às necessidades
do negócio 31
STROHL Brasil
Consultoria especializada em
Continuidade de Negócios:
• Análise de riscos;
• Análise de impacto nos
negócios;
• Definição de estratégias de
recuperação (GCN ou DRP);
• Desenvolvimento das políticas,
planos de resposta a incidentes,
de gestão de crises, de
continuidade de negócios ou de
DRP
• Programa de exercícios e
testes;
• E outros customizados.
Capacitação em Continuidade de
Negócios:
• Introdução à Gestão da
Continuidade de Negócios,
• Imersão na Gestão da
Continuidade de Negócios;
• Resposta a emergências e gestão
de crises;
• Planejamento, execução e
avaliação de exercícios e testes;
• A arte, a ciência e a Experiência
na Análise de Impacto nos
Negócios;
• E outros customizados.
32
33
Encerramento
Sidney R. Modenesi
MCBCC, MBCI, LDRM, BSI ISO 22301
Technical Expert
sidney_modenesi@strohlbrasil.com.br
+55 11 5583-0033
br.linkedin.com/in/sidneymodenesimbci
34
e-book disponível em:
https://www.strohlbrasil.com.br/blog/DRP_Alinhado_ao_Negocio/
As imagens utilizadas nesta apresentação foram obtidas em www.depositphotos.com
ou obtidas na Internet após verificação, até onde possível, da existência de direitos autorais.
As imagens de Star Wars foram obtidas de ReadComicOnline e os textos adaptados pela STROHL Brasil.
O conteúdo desta apresentação, vídeo e e-book pode ser compartilhado desde que sempre citando a sua fonte.

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
 
BIA - Business Impact Analysis
BIA - Business Impact AnalysisBIA - Business Impact Analysis
BIA - Business Impact Analysis
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
 
Plano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TIPlano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TI
 
Exemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiExemplo de plano de continuidade de ti
Exemplo de plano de continuidade de ti
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de Negócios
 
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)
Resumo do Planejamento para fazer Plano de Continuidade de Negócio (PCN)
 
GCN - Gestão de Continuidade de Negócios
GCN - Gestão de Continuidade de NegóciosGCN - Gestão de Continuidade de Negócios
GCN - Gestão de Continuidade de Negócios
 
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
 
Gestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta EstratégicaGestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta Estratégica
 
Plano de continuidade de negocios
Plano de continuidade de negociosPlano de continuidade de negocios
Plano de continuidade de negocios
 
Gestão da Continuidade de Negócios - mini curso
Gestão da Continuidade de Negócios - mini cursoGestão da Continuidade de Negócios - mini curso
Gestão da Continuidade de Negócios - mini curso
 
Nbr iso27005 consulta_abnt1
Nbr iso27005 consulta_abnt1Nbr iso27005 consulta_abnt1
Nbr iso27005 consulta_abnt1
 
Plano contigencia-ti-reagir-desastres
Plano contigencia-ti-reagir-desastresPlano contigencia-ti-reagir-desastres
Plano contigencia-ti-reagir-desastres
 
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das OrganizaçõesA Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04
 
Sistema de Gestão de Continuidade de Negócio (SGCN)
Sistema de Gestão de Continuidade de Negócio (SGCN)Sistema de Gestão de Continuidade de Negócio (SGCN)
Sistema de Gestão de Continuidade de Negócio (SGCN)
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Material Oficial Completo do Curso ITMP - EXIN
Material Oficial Completo do Curso ITMP - EXINMaterial Oficial Completo do Curso ITMP - EXIN
Material Oficial Completo do Curso ITMP - EXIN
 

Semelhante a Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio

Apresentação no congresso Gestão por Processos
Apresentação no congresso Gestão por ProcessosApresentação no congresso Gestão por Processos
Apresentação no congresso Gestão por Processos
Leo Madeira
 
Apresentação do congresso Gestão por Processos IQPC
Apresentação do congresso Gestão por Processos IQPCApresentação do congresso Gestão por Processos IQPC
Apresentação do congresso Gestão por Processos IQPC
Leo Madeira
 
Modelos E Ferramentas Para A GovernançA Em Tic
Modelos E Ferramentas Para A GovernançA Em TicModelos E Ferramentas Para A GovernançA Em Tic
Modelos E Ferramentas Para A GovernançA Em Tic
guest10d13ab
 

Semelhante a Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio (20)

BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?
 
1 curso iso 9001_2015_up_grade_rqr 06_03_2018
1 curso iso 9001_2015_up_grade_rqr 06_03_20181 curso iso 9001_2015_up_grade_rqr 06_03_2018
1 curso iso 9001_2015_up_grade_rqr 06_03_2018
 
Consultoria em BCP
Consultoria em BCPConsultoria em BCP
Consultoria em BCP
 
TPM_2004.ppt
TPM_2004.pptTPM_2004.ppt
TPM_2004.ppt
 
RDC 48/2013 Anvisa
RDC 48/2013 AnvisaRDC 48/2013 Anvisa
RDC 48/2013 Anvisa
 
SIC 2008 - Simpósio Internacional de Confiabilidade
SIC 2008 - Simpósio Internacional de ConfiabilidadeSIC 2008 - Simpósio Internacional de Confiabilidade
SIC 2008 - Simpósio Internacional de Confiabilidade
 
Apresentação Comercial Smart
Apresentação Comercial SmartApresentação Comercial Smart
Apresentação Comercial Smart
 
Apresentação no congresso Gestão por Processos
Apresentação no congresso Gestão por ProcessosApresentação no congresso Gestão por Processos
Apresentação no congresso Gestão por Processos
 
Apresentação do congresso Gestão por Processos IQPC
Apresentação do congresso Gestão por Processos IQPCApresentação do congresso Gestão por Processos IQPC
Apresentação do congresso Gestão por Processos IQPC
 
Modelos E Ferramentas Para A GovernançA Em Tic
Modelos E Ferramentas Para A GovernançA Em TicModelos E Ferramentas Para A GovernançA Em Tic
Modelos E Ferramentas Para A GovernançA Em Tic
 
Caso de Sucesso: Rational Team Concert + Kanban na CNU
Caso de Sucesso: Rational Team Concert + Kanban na CNUCaso de Sucesso: Rational Team Concert + Kanban na CNU
Caso de Sucesso: Rational Team Concert + Kanban na CNU
 
[XConf Brasil 2020] Escalando uma das principais startups de Insurtech da Ásia
[XConf Brasil 2020] Escalando uma das principais startups de Insurtech da Ásia[XConf Brasil 2020] Escalando uma das principais startups de Insurtech da Ásia
[XConf Brasil 2020] Escalando uma das principais startups de Insurtech da Ásia
 
Balanced scorecard(pg gest_man_zfev2011)_by_rui_marques
Balanced scorecard(pg gest_man_zfev2011)_by_rui_marquesBalanced scorecard(pg gest_man_zfev2011)_by_rui_marques
Balanced scorecard(pg gest_man_zfev2011)_by_rui_marques
 
Evento InfoPLD - Outubro de 2013 - Tema extra
Evento InfoPLD - Outubro de 2013 - Tema extraEvento InfoPLD - Outubro de 2013 - Tema extra
Evento InfoPLD - Outubro de 2013 - Tema extra
 
TDC2016SP - Agile sem indicadores globais funciona?
TDC2016SP - Agile sem indicadores globais funciona?TDC2016SP - Agile sem indicadores globais funciona?
TDC2016SP - Agile sem indicadores globais funciona?
 
Ferramentas de gestão no sector das Tecnologias de Informação
Ferramentas de gestão no sector das Tecnologias de InformaçãoFerramentas de gestão no sector das Tecnologias de Informação
Ferramentas de gestão no sector das Tecnologias de Informação
 
Lubrificantes Fenix
Lubrificantes FenixLubrificantes Fenix
Lubrificantes Fenix
 
132 slides engenharia da qualidade sistema de manufatura
132 slides engenharia da qualidade  sistema  de  manufatura  132 slides engenharia da qualidade  sistema  de  manufatura
132 slides engenharia da qualidade sistema de manufatura
 
Ciclo de Vida Ágil em TI
Ciclo de Vida Ágil em TICiclo de Vida Ágil em TI
Ciclo de Vida Ágil em TI
 
Website
WebsiteWebsite
Website
 

Mais de Sidney Modenesi, MBCI

Mais de Sidney Modenesi, MBCI (19)

Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313
 
Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313
 
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
 
A continuidade da nossa vida profissional
A continuidade da nossa vida profissionalA continuidade da nossa vida profissional
A continuidade da nossa vida profissional
 
O Brasil precisa de continuidade (de negócios)?
O Brasil precisa de continuidade (de negócios)?O Brasil precisa de continuidade (de negócios)?
O Brasil precisa de continuidade (de negócios)?
 
BCAW - Business Continuity Awareness Week 2016
BCAW - Business Continuity Awareness Week 2016BCAW - Business Continuity Awareness Week 2016
BCAW - Business Continuity Awareness Week 2016
 
Programa de Capacitação - 2016
Programa de Capacitação - 2016Programa de Capacitação - 2016
Programa de Capacitação - 2016
 
Data Center and Business Continuity in 2040
Data Center and Business Continuity in 2040Data Center and Business Continuity in 2040
Data Center and Business Continuity in 2040
 
ISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practicesISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practices
 
Business Continuity or Survival of Business?
Business Continuity or Survival of Business?Business Continuity or Survival of Business?
Business Continuity or Survival of Business?
 
Palestra sobre as relações entre Compliance e Continuidade de Negócios
Palestra sobre as relações entre Compliance e Continuidade de NegóciosPalestra sobre as relações entre Compliance e Continuidade de Negócios
Palestra sobre as relações entre Compliance e Continuidade de Negócios
 
A continuidade da nossa vida profissional
A continuidade da nossa vida profissionalA continuidade da nossa vida profissional
A continuidade da nossa vida profissional
 
A Crise Energética e seus impactos nos Data Centers
A Crise Energética e seus impactos nos Data CentersA Crise Energética e seus impactos nos Data Centers
A Crise Energética e seus impactos nos Data Centers
 
A Crise Energética Brasileira e seu Impacto nos Data Centers
A Crise Energética Brasileira e seu Impacto nos Data CentersA Crise Energética Brasileira e seu Impacto nos Data Centers
A Crise Energética Brasileira e seu Impacto nos Data Centers
 
Uma vida em continuidade - A life in continuity
Uma vida em continuidade - A life in continuityUma vida em continuidade - A life in continuity
Uma vida em continuidade - A life in continuity
 
A Copa do Mundo e a GCN
A Copa do Mundo e a GCNA Copa do Mundo e a GCN
A Copa do Mundo e a GCN
 
Implementing your BC program in conformity with ISO 22301
Implementing your BC program in conformity with ISO 22301Implementing your BC program in conformity with ISO 22301
Implementing your BC program in conformity with ISO 22301
 
Scoping, implementing and Improving the BCMS
Scoping, implementing and Improving the BCMSScoping, implementing and Improving the BCMS
Scoping, implementing and Improving the BCMS
 
BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?
 

Último

Último (9)

ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docxATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
 
Entrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo PagliusiEntrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo Pagliusi
 
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo PagliusiPalestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
 
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docxATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
 
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIAEAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
 
Aula 01 - Introducao a Processamento de Frutos e Hortalicas.pdf
Aula 01 - Introducao a Processamento de Frutos e Hortalicas.pdfAula 01 - Introducao a Processamento de Frutos e Hortalicas.pdf
Aula 01 - Introducao a Processamento de Frutos e Hortalicas.pdf
 
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINASCOI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
 
Convergência TO e TI nas Usinas - Setor Sucroenergético
Convergência TO e TI nas Usinas - Setor SucroenergéticoConvergência TO e TI nas Usinas - Setor Sucroenergético
Convergência TO e TI nas Usinas - Setor Sucroenergético
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 

Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio

  • 1. DRP Alinhado às Necessidades do Negócio Faça certo da primeira vez Sidney R. Modenesi, MCBCC, MBCI, LDRM, ISO 22301 BSI Technical Expert
  • 2. 2
  • 3. Apresentações Sidney R. Modenesi • Gerente da STROHL Brasil; • Certificado MBCI pelo BCI em 2006; • ISO 22301 BSI Technical Expert, 2013; • Certificado LDRM pelo PECB em 2017; • Mais de 25 anos de experiência em DRP/BCM; • Consultor e instrutor internacional de BCM (ISO 22301, 22313 & outras). STROHL Brasil • Empresa brasileira; • Mais de 15 anos dedicada exclusivamente à GCN, DRP e à resiliência; • Certificação internacional – BCI; • Experiência comprovada em vários segmentos de negócios; • Consultoria e treinamento em Gestão da Continuidade de Negócios (BCM) e agregados. 3 3
  • 4.
  • 5. CHAME NOSSOS ANALISTAS PARA VALIDAR- MOS A LISTA. QUER DIZER QUE FINALMENTE VAMOS FAZER O DRP? O SENHOR SABE O QUE É IMPORTANTE PARA A EMPRESA? 5
  • 6. VAMOS RECUPERAR O FATURAMENTO, O CONTAS A RECEBER, A FOLHA DE PAGAMENTOS (É CLARO!), E O SAC DECRETO, ISTO DEVE SER SUFICIENTE! O QUE VOCÊS ACHAM? 6
  • 7. FALTOU O E-MAIL E O PAGNET. ACHO QUE É SÓ. PESSOAL, PRECISO DA LISTA DE APLICAÇÕES ANTES QUE CORTEM NOSSA VERBA! 7
  • 8. Críticas Aplicações NÃO SÃO • Faturamento: 0,25% a.d. empresa não ter, quebrada está; • Contas a receber: faturamento igual é; • Folha de pagamento: pagar até quinto dia útil pode, pagamento antecipar pode, repetir mês anterior pode. SÃO • SAC Decreto: regulatório é, 24x7x365. 3MMs UFIRs multa chegar; • PAGNET: front-end serviço é, demais serviços de suporte operando precisa; • Front-end de clientes importante são: chamados abrir, serviços solicitar; • Nota fiscal: CRÍTICO É. 8
  • 9. 9
  • 10. Continuidade de Negócios - DRP • É um sistema de gestão normatizado desde 2006 com a norma inglesa “BS 25999-1:2006 Business Continuity Management. Code of Practice”; • Posteriormente substituída pela norma “ISO 22301:2012 Societal security -- Business continuity management systems --- Requirements”; • Esta norma está disponível no Brasil como ABNT NBR ISO 22301:2013 Segurança da sociedade — Sistema de gestão de continuidade de negócios — Requisitos; • É utilizada pelos órgãos reguladores (BACEN, SUSEP etc.) nas suas inspeções e auditorias. 10
  • 11. Ciclo de Vida •Infraestrutura •TIC •Seg. infor. •Humanos •Fornecedores Aval. de Riscos •Financeiros •Operacionais •Regulatórios Anal. Impacto nos Negócios •Apetite a Risco •Cont. de Negócios •DRP - TIC Estratégia de Recuperação •Resp. Incidentes •PCNs •DRP Desenv. Planos •Resp. Incidentes •De mesa •Blocos •Integrados Exercícios Plan Do Check Act 11
  • 13. Variáveis Fundamentais - MTPD MTPD (Maximum Tolerable Period of Disruption): tempo necessário para que os impactos adversos tornem-se inaceitáveis, que pode surgir como resultado de não fornecer um produto/serviço ou realizar uma atividade 13
  • 14. Variáveis Fundamentais - MBCO MBCO (Minimum Business Continuity Objective): níveis mínimos aceitáveis de serviços e/ou produtos para a organização alcançar seus objetivos de negócios durante uma interrupção 14
  • 15. Variáveis Fundamentais - RTO RTO (Recovery Time Objective): período de tempo após um incidente em que: o produto ou serviço deve ser retomado,ou a atividade deve ser retomada, ou os recursos devem ser recuperados 15
  • 16. Variáveis Fundamentais - RPO RPO (Recovery Point Objective): ponto em que a informação usada por uma atividade deve ser restaurada para permitir a operação da atividade na retomada 16
  • 17. Variáveis Fundamentais • MTPD, MBCO, RTO e RPO • São quantificadas na etapa de BIA – Análise de Impacto nos Negócios • Devem ser validadas e deliberadas pela Diretoria Executiva • Em função do APETITE A RISCO • E alinhadas com o Planejamento Estratégico. 17
  • 18. Estratégia de Recuperação - DRP BIA •Produtos •Serviços •Processos MTPD MBCO RTO RPO Apetite a Risco Alinhamento ao planejamento estratégico 18
  • 19. BIA – Análise de Impacto nos Negócios • Não é aceitar tudo o que o gestor quer. − 100% de disponibilidade a custo ZERO. • É desafiar o gestor a; − Pensar fora da caixa, − Aceitar indisponibilidades, − Quantificar impactos, − SOBREVIVER NUM DESASTRE. • NÃO É DIA A DIA. 19
  • 20. Apetite a Risco A empresa hoje Os que os gestores pediram O que os executivos estão dispostos a investir O DRP sem BIA O DRP com BIA e alinhado ao APETITE A RISCO 20
  • 21. Mapeamentos Produtos & Serviços Críticos Processo 1 Processo 2 Aplicação 1 Aplicação 2 Servidor 1 Servidor 2 Base de Dados 1 Base de Dados ... Base de Dados N ... Servidor N ... Aplicação N Processo N MTPD MBCO RTO RPO 21
  • 22. É desejável ter ... • Mapeamento de processos (ISO 9000); • CMDB (Configuration Management Data Base) completo e atualizado (ISO 20000/ITIL); • Sistema de Gestão de Riscos Corporativos (ISO 31000) 22
  • 23. Desenvolvimento dos Planos Após a definição da estratégia de recuperação vários projetos são iniciados: • Seleção ou adequação do Data Center do DRP; • Contratação dos servidores, links, licenças ...; • Alterações no Data Center de produção para viabilizar o DRP; • ... • DOCUMENTAÇÃO DOS PLANOS.
  • 24. Desenvolvimento dos Planos Planos a serem desenvolvidos, testados, mantidos atualizados, equipes treinadas e prontos para uso: • De resposta a incidentes - Da percepção do incidente à declaração da contingência; • De aviso e comunicação - Todas as partes interessadas internas e externas, durante todo o ciclo da contingência; • De continuidade de negócios - O que e como as áreas de negócios irão operar durante e após a ativação do DRP; • E como os itens de configuração serão ativados no DRP: • Sequências de ativação e desativação, validações etc. • Qualificações dos executores, se um profissional sênior ou um júnior. Ver ISO 22301, capítulo 8.4
  • 25. E depois do DRP montado? 25
  • 27. Como exercitar/testar? • De cenários controlados e menos desafiadores para cenários cada vez mais complexos e realistas; • Comece por blocos pequenos e autônomos; • Vá agregando os blocos já exercitados; • Inclua os usuários finais no aceite; • Conforme definido nas políticas. 27
  • 28. E como manter o DRP atualizado? • Implante a Política de DRP; − Preferencialmente integrada à Política de Gestão da Continuidade de Negócios; − E a de Gestão de Riscos Corporativos. • Implante o Sistema de Controle de Mudanças (agora serão 2 ambientes parecidos, mas não iguais); • Implante o Programa de Exercícios e Testes (ISO 22398:2015) 28
  • 29. E no dia do desastre o que fazer? • Utilize o sistema de Resposta a Incidentes (ISO 22320 e/ou ISO 22000); • Implante o Sistema de Gestão de Crises (BS 11200:2014); • Tenha pronto os Centros de Comando; • PRATIQUE O QUE VOCÊ EXERCITOU!!! 29
  • 30. Ciclo de Vida •Infraestrutura •TIC •Seg. infor. •Humanos •Fornecedores Anál. de Riscos •Financeiros •Operacionais •Regulatórios Anal. Impacto nos Negócios •Apetite a Risco •Cont. de Negócios •DRP - TIC Estratégia de Recuperação •Resp. Incidentes •PCNs •DRP Desenv. Planos •Resp. Incidentes •De mesa •Blocos •Integrados Exercícios Plan Do Check Act 30
  • 31. Encerramento Planejamento + Estratégia consagrada + Trabalho em equipe + Conhecimento de negócios e TI = DRP alinhado às necessidades do negócio 31
  • 32. STROHL Brasil Consultoria especializada em Continuidade de Negócios: • Análise de riscos; • Análise de impacto nos negócios; • Definição de estratégias de recuperação (GCN ou DRP); • Desenvolvimento das políticas, planos de resposta a incidentes, de gestão de crises, de continuidade de negócios ou de DRP • Programa de exercícios e testes; • E outros customizados. Capacitação em Continuidade de Negócios: • Introdução à Gestão da Continuidade de Negócios, • Imersão na Gestão da Continuidade de Negócios; • Resposta a emergências e gestão de crises; • Planejamento, execução e avaliação de exercícios e testes; • A arte, a ciência e a Experiência na Análise de Impacto nos Negócios; • E outros customizados. 32
  • 33. 33
  • 34. Encerramento Sidney R. Modenesi MCBCC, MBCI, LDRM, BSI ISO 22301 Technical Expert sidney_modenesi@strohlbrasil.com.br +55 11 5583-0033 br.linkedin.com/in/sidneymodenesimbci 34 e-book disponível em: https://www.strohlbrasil.com.br/blog/DRP_Alinhado_ao_Negocio/ As imagens utilizadas nesta apresentação foram obtidas em www.depositphotos.com ou obtidas na Internet após verificação, até onde possível, da existência de direitos autorais. As imagens de Star Wars foram obtidas de ReadComicOnline e os textos adaptados pela STROHL Brasil. O conteúdo desta apresentação, vídeo e e-book pode ser compartilhado desde que sempre citando a sua fonte.