BUSINESS CONTINUITY:

UMA APOSTA SEGURA!

B U S I N E S S C O N T I NU I T Y MA NA G E ME N T SY ST E MS
Paulo Borges
1
31 MARO 2014
BSI ISO/IEC Accredited ISMS Implementer
BSI ISO/IEC 27001 Lead Auditor
PECB ISO/IEC 22301 Lead Auditor
PECB (pending) ISO/IEC 20000 Lead Auditor
Auditor do Gabinete Nacional de Segurana
Auditor Qualificado pela APCER para ISO 27001
Accredited Tier Specialist pelo UpTime Institute
Consultor/Auditor em Segurana da Informao
Consultor/Auditor em Anlise do Risco
Consultor/Auditor de Continuidade de Negcio
Consultor/Auditor em Gesto de Servios IT
Consultor/Auditor de Datacenters
Quem apresenta?
paulo.borges@segurti.pt
2
3
AGENDA
1 . B U S I N E S S C O N T I N U I T Y V E R S U S D I S A S T E R R E C O V E R Y
2 . P O R Q U I N V E S T I R E M B U S I N E S S C O N T I N U I T Y ?
3 . A B O R D A G E N S N O R M AT I VA S PA R A B U S I N E S S C O N T I N U I T Y
4 . O Q U E U M B C M S ? - I N T E R P R E T A O D A N O R M A I S O 2 2 3 0 1
5 . I M P L E M E N T A O D E U M B C M S
6 . A U D I T O R I A D E U M B C M S
7 . C E R T I F I C A O D O B C M S
8 . P E R G U N T A S E R E S P O S T A S
9 . I D E I A S F I N A I S
ABORDAGEM
BUSINESS CONTINUITY VERSUS DISASTER RECOVERY
4
ABORDAGEM
BUSINESS CONTINUITY VERSUS DISASTER RECOVERY
Definies:
5
ABORDAGEM
BUSINESS CONTINUITY VERSUS DISASTER RECOVERY
Definies:
6
PORQU INVESTIR EM BUSINESS CONTINUITY ?
PONTOS A RETER:
Focalizao em atividades de negcio, produtos e servios
nfase na proteo das atividades crticas de negcio
Definir o risco, gerir risco, tratar o risco como cenrios admissveis de incidente
Focalizao na resposta ao incidente disruptivo de qualquer origem
Demonstrar a recuperao num perodo de tempo pr-definido
Regresso atividade em modo normal e com o menor impacto
Evitar o assumir de uma falha com consequncias danosas para o negcio
Minimizar os danos na imagem da empresa
7
8
NORMAS PARA GESTO DA CONTINUIDADE DE NEGCIO
GESTO DA CONTINUIDADE DE NEGCIO
9
BCMS Business Continuity Management System
FRASES CHAVE:
Estrutura organizativa dentro da empresa
Definio de Poltica(s)
Planeamento de atividades
Funes e Responsabilidades
Prticas definidas, treinadas, maduras e auditveis
Processos de gesto (risco, formao, outsourcing, etc)
Procedimentos de atuao e resposta a incidentes
Recursos a utilizar (tcnicos e humanos)
Interao e comunicao na organizao interna e com terceiros
GESTO DA CONTINUIDADE DE NEGCIO
BCMS Business Continuity Management System
TEM de incluir as seguintes componentes:
Poltica de topo, onde se encontra a definio de objetivos
Documento de identificao de funes e responsabilidades
Processos de gesto e recursos associados, incluindo:
Politicas complementares necessrias
Planeamento de implementao da CN
Procedimentos de operao
Gesto da eficcia do BCMS
Comunicao interna e externa em caso de incidente
Reviso pela gesto da empresa
Garantia de melhoria contnua
Documentao que produza evidncias auditveis
Outros temas de gesto relevantes na organizao
10
GESTO DA CONTINUIDADE DE NEGCIO
BCMS Business Continuity Management System
11
SIGNIFICADO DO PDCA EM BCMS
Ciclo PDCA
DEZ 2013
ISO 22301 - BUSINESS CONTINUITY MANAGEMENT SYSTEMS
12
SIGNIFICADO DO PDCA EM BCMS
Interested parties (ISO 22313):
13
1. PLANEAR
Iniciao do
projeto BCMS
Compreenso da
organizao
Anlise do(s)
sistema(s)
existente(s)
Liderana e
aprovao do
projeto
mbito
Politica de
Continuidade de
Negcio
BIA -Business
Impact Analysis
Avaliao do
Risco
2. EXECUTAR
Estratgia de
Continuidade de
Negcio
Estrutura
Organizativa
Gesto
Documental
Medidas de
mitigao e
proteo
Plano e
procedimentos de
Continuidade de
Negcio
Comunicao
Sensibilizao e
Treino
Exerccio(s) e
Teste(s)
3. VERIFICAR
Monitorizao,
Medida, Anlise e
Avaliao
Auditoria Interna
Reviso pela
Gesto
4. ATUAR
Tratamento de
no
conformidades
Melhoria contnua
SIGNIFICADO DO PDCA EM BCMS
Ciclo PDCA e atividades BCMS em ISO 22301:
14
A NORMA ISO/IEC 22301
15
Performance Evaluation
Support
Context of the Organisation
Planning
Operation
Leadership
Improvement
4
5
6
7
8
9
10
Scope, References, Definitions
1
2
3
A NORMA ISO/IEC 22301
Clusulas da norma ISO/IEC 22301
16
FASES PARA A IMPLEMENTAO DO BCMS
17
1
Entender a organizao e o seu contexto
2
Identificar necessidades e requisitos para o BCMS
3
Operacionalizar e gerir o BCMS
CONTEXTO DA ORGANIZAO
ISO 22301 Clusula 4:
18
Atividades, funes, servios, produtos, parcerias, cadeias de valor, relaes
estabelecidas com partes interessadas
Objetivos da empresa, objetivos de Continuidade de Negcio, objetivos do
BCMS, assim como o relacionamento com outros sistemas de gesto
Identificar o Risk Appetite e os critrios de risco da organizao
Identificar potenciais impactos de incidentes disruptivos
Entender a
organizao e o
seu contexto
Identificar quais as partes interessadas a considerar
As necessidades das partes interessadas
Os requisitos das partes interessadas
Requisitos legais e regulamentares aplicveis
Entender as
necessidades e
expetativas de
partes
interessadas
Determinar a aplicabilidade de um possvel BCMS
Identificar as suas fronteiras
Validar a incluso de requisitos aplicveis
Determinar o
mbito para o
BCMS
DEFINIO DO MBITO DO BCMS
ISO 22301 Clusula 4.3.2 Scope of the BCMS
O mbito do BCMS uma componente documentada que descreve as incluses e excluses de
processos de negcio, assimcomo as fronteiras correspondentes.
A exemplo da norma ISO 27001, boa prtica dar origema umSOA Statement of Applicability.
A sua definio formal DEVE incluir:
As caractersticas principais da organizao, as definies de criticidade e das
necessidades em matrias de continuidade de negcio
O critrio para a identificao de processos crticos
Os processos crticos de negcio includos
As fronteiras de controlo com processos de suporte
Lista de produtos e servios e atividades relacionadas includas no mbito
Lista dos recursos tcnicos e humanos envolvidos
Lista das localizaes geogrficas envolvidas
SOA, incluindo a justificao para a no incluso
19
ISO 22301 Clusula 5 - Leadership
O BCMS tem de ser liderado por um colaborador da empresa ao nvel do TOP MANAGEMENT da
organizao BCMS Top Leader
ORGNICA DE GESTO DO BCMS
20
Assegurar compatibilidade do BCMS para com as estratgias de
negcio
Integrar os requisitos dos processos de negcio
Definir os objetivos do BCMS
Definir a metodologia para gesto do risco
Definies
estratgicas
Identificar e providenciar os recursos necessrios para a
implementao e operacionalizao do BCMS
Criao, publicao e divulgao da politica de BCM
Equipa de Continuidade de Negcio
Auditorias internas
Disponibilizao de
recursos
A importncia da Continuidade de Negcio, da sua eficcia e
integrao na estratgia da empresa
Atravs de procedimentos internos e externos
Decises sobre aes de melhoria contnua
Comunicao
Identificar oportunidades de negcio
Identificar potenciais fontes de risco para novas oportunidades e
para os processos existentes
Identificar riscos associados eficincia e eficcia do BCMS em
face dos compromissos de conformidade para comos requisitos
Aes para gerir riscos
Assegurar consistncia para com a Politica de Continuidade de Negcio e
os requisitos de BCM
Identificar e validar o significado de mnimo nvel de produtos e servios
que so requeridos em modo normal e em resposta a incidente
Assegurar que o BCMS mesurvel em eficincia e eficcia
Objetivos de BCM e
medidas para a sua
eficcia e eficincia
PLANEAMENTO DO BCMS
ISO 22301 Clusula 6 Planning
21
Plano de implementao do BCMS, incluindo:
Quem faz o qu?
O que ser realizado
Que recursos sero necessrios e disponibilizados
Quando sero realizadas etapas?
Como os resultados da implementao sero medidos?
SUPORTES DO BCMS
ISO 22301 Clusula 7 Support
22
R
E
C
U
R
S
O
S
Humanos
Tcnicos
Locais Fsicos
Sistemas de
Informao
Dados
Legislao
Normas
Contratos
Recursos
alternativos
Transportes
Financeiros
Parceiros
etc
C
O
M
P
E
T

N
C
I
A
S
Formao
Credenciais
Especialidades
Experincia
Evidncias
Comprovativos
Confirmao
Requisitos de
funes
Necessidades de
formao
Auditoria
interna
S
E
N
S
I
B
I
L
I
Z
A

O
Aes internas
Plano de Formao
Mandatrias para todos os
envolvidos em BCMS
Estrutura do BCMS
Polticas
Processos
Procedimentos
Funes e
responsabilidades
Respostas a incidentes
Boas Prticas
Comportamento em crise
Gesto da Mudana
C
O
M
U
N
I
C
A

O
Porta Voz
Procedimentos
Ensaios
Mensagens a
comunicar
Psicologia
laboral
Gesto de
crises
D
O
C
U
M
E
N
T
A

O
Gesto
Documental
Arquivo
Fluxos e
aprovaes
Divulgao
Publicao
SUPORTES DO BCMS
ISO 22301 Clusula 7.4 Communication
23
O qu? Quando?
A quem? ONDE?
Politica de comunicao
Processo de gesto
Procedimentos
Eleio de destinatrios
Tipos de mensagens
Disponibilidade dos
meios para
comunicao
Escolha de locais para
comunicao
Preparao psicolgica
Preparao legal
nfase na recuperao
da organizao
OPERAO DO BCMS
ISO 22301 Clusula 8 - Operation
24
Definio de critrios para desenho de processos
Implementao de controlos decorrentes de tais critrios
Assegurar documentao adequada eficcia dos processos
Gerir alteraes aos processos de gesto de BCMS
Planeamento e Controlo de
Operaes
Business Impact Analysis BIA
Avaliao do risco Risk Management
Avaliao do risco e anlise
do impacto nos processos
de negcio
Determinao de opes e critrios para seleo
Recursos necessrios
Proteo e mitigao de cenrios de risco
Estratgia para
Continuidade de Negcio
Estrutura de resposta a incidentes
Comunicao
Plano(s) de Continuidade de Negcio
Recuperao e incidentes
Definio e Implementao
de procedimentos de
Continuidade de Negcio
Plano de Ensaios
Auditoria Interna
Lies aprendidas
Exerccios e Testes
Especial
ateno aos
processos em
outsourcing !
Ligao
melhoria
contnua !
BIA E GESTO DO RISCO
ISO 22301 Clusulas 8.2.2 e 8.2.3. Business Impact Analysis / Risk Assessement
DEZ 2013 25
BIA E GESTO DO RISCO
Integrao BIA RISK ASSESSMENT RISK APPETITE
26
Business
Impact
Analysis
Risk
Assessment
BIA E GESTO DO RISCO
RISK APPETITE (RA) ORIGENS e GESTO
Vrios nveis devemser considerados para identificao de RA:
Estratgico orientado para o contexto do negcio
Ttico orientado para a estratgia da organizao
Operacional orientado para os processos de negcio a proteger
Sistemas emfuno do sistema de gesto que est a ser implementado
Cultura emfuno das prticas correntes e compromissos da organizao
A gesto do Risk Appetite TEM DE FAZER parte da metodologia de Gesto do Risco da
Organizao.
As definies e mtodos de identificao esto alinhados coma ISO 31000.
Deve ser implementado umprocesso de gesto dedicado ao RA
27
BIA E GESTO DO RISCO
RISK APPETITE (RA) Fontes para identificao
28
BIA E GESTO DO RISCO
RISK APPETITE (RA) Fontes para identificao
29
BIA E GESTO DO RISCO
RISK APPETITE (RA) Caso prtico de ligao BIA
30
BIA E GESTO DO RISCO
RISK MANAGEMENT (RM) Norma ISO 31000:2009
Risk management Guidelines on principles and implementation of risk management
31
Genrica na aplicao
Bem orientada para RA
Boa definio para a estrutura de
Risk Treatment Plans
Deixa ao critrio da organizao a
definio do Risk Criteria:
Fator P - Define a
probabilidade de ocorrncia
Fator C - Define a
consequncia da sua
ocorrncia
Faz referncia no Risk Analysis
a nveis de risco mas no os
quantifica
BIA E GESTO DO RISCO
RISK MANAGEMENT (RM) Norma ISO 27005:2011
32
BIA E GESTO DO RISCO
RISK MANAGEMENT (RM) Norma ISO 27005 e as medidas de tratamento
33
BIA E GESTO DO RISCO
RISK MANAGEMENT (RM) FERMA:2003
Integra os esforos dos seguintes organismos:
IRM Institute of Risk Management
AIRMIC The Association of Insurance and Risk Managers
ALARM The National Forum for the Risk Management in the Public Sector
Direcionada para o Sector Pblico, Seguros e Mercados Financeiros e particionada pela EU
Usa uma abordagem de terminologia ISO 73 Guide for Risk Management (tambm usada pelo ISO
31000 e ISO 27005)
O processo de gesto foi adotado na ntegra pela ISO 27005, pelo que inclui j o tratamento de risco
residual
A abordagem das consequncias do incidente dirigida para valores financeiros, com 3 nveis
definidos
Abordagem semelhante para a probabilidade, mas apenas com3 nveis
Divide a ocorrncia das ameaas das ocorrncias das oportunidades, pelo que est mais prxima da
ISO 22301. A ISO 31000 temuma abordagem similar mas mais tenuemente definida
A definio de nveis de risco pela juno das duas componentes Probabilidade e Consequncia
34
ESTRATGIA PARA CONTINUIDADE DE NEGCIO
ISO 22301 Clusula 8.3.1 Determination and selection
35
B
I
A
Proteger atividades
prioritrias
Estabilizar e recuperar
atividades prioritrias
Mitigar impacto de incidentes
Definies aprovadas para tempos
admissveis para reposio de
atividades
Evidncias de prontido de
prestadores de servios para
suporte da estratgia de
Continuidade de Negcio
Assegurar life safety as the first
priority segundo 8.4.2 Incident
Response Structure
R
i
s
k
T
r
e
a
t
m
e
n
t
P
l
a
n
s
Reduo da
probabilidade do
incidente
Reduzir o perodo de
disrupo
Limitar o impacto da
disrupo
ESTRATGIA PARA CONTINUIDADE DE NEGCIO
ISO 22301 Clusula 8.3.3 Protection and Mitigation
36
Associar os critrios de reduo de
perodo e impacto de uma
disrupo justificao para a
medida de tratamento do risco
Assegurar abordagem de medidas
de tratamento do risco
preventivas, de deteo de
incidentes e de correo das
consequncia do impacto
ESTRATGIA PARA CONTINUIDADE DE NEGCIO
ISO 22301 Clusula 8.3.3 Protection and Mitigation
37
INCIDENTE INCIDENTE
Medidas
Preventivas
Medidas
Preventivas
Medidas
Corretivas
Medidas
Corretivas
Medidas
de deteo
Medidas
de deteo
ESTABELECER PROCEDIMENTOS GESTO DE INCIDENTES
ISO 22301 Clusula 8.4.1 General
Exemplos de procedimentos para reao a um incidente:
38
Diagnstico, resoluo e
aprendizagem
Gesto de Crises
Gesto de Contingncias
Proteo e mitigao do impacto
Treino e Sensibilizao
Comunicao interna e externa
INCIDENTE INCIDENTE
GESTO DE INCIDENTES - ABORDAGENS
ITIL verso 3 Processo de Gesto de Incidentes
39
GESTO DE INCIDENTES - ABORDAGENS
ISO 27035 Information Security Incident Management
40
Evoluo de um incidente:
41
CLASSIFICAO DE UM INCIDENTE
ESTRUTURA DE RESPOSTA A INCIDENTES
ISO 22301 Clusula 8.4.2 Incident Response Structure
REQUISITOS:
Assegurar identificao de impacto antes de ativao
Evidenciar critrios de deciso para seleo do procedimento de resposta
Ativar procedimento(s) paralelo(s) para comunicao
Monitorizar a evoluo do incidente
Antecipar disponibilidade de recursos para procedimento(s)
alternativo(s) em funo do escalar do incidente 42
Definir
resposta
Documentar Implementar
INCIDENTE
DISRUPTIVO
INCIDENTE
DISRUPTIVO
Responsabilidade
Autoridade
Competncia
COMUNICAO ASPETOS OPERACIONAIS
ISO 22301 Clusula 8.4.3 Warning and Communication
REQUISITOS:
Utilizao de recursos prprios para os procedimentos de comunicao
Incluso de testes e ensaios dos procedimentos de comunicao
Auditoria de desempenho do processo de gesto da comunicao
43
INCIDENTE
DISRUPTIVO
INCIDENTE
DISRUPTIVO
Colaboradores
Prestadores de servios externos
Outsourcing
Locais alternativos
Interna
Parceiros de negcio
Entidades Reguladoras
Media
Servios de Emergncia Pblica
Externa
PLANO(S) DE CONTINUIDADE DE NEGCIO
ISO 22301 Clusula 8.4.4 Business Continuity Plans
Requisitos mnimos:
44
Item
1 mbito de aplicao
2 Objetivos
3 Critrios de ativao e procedimentos
4 Procedimentos de resposta a incidentes
5 Funes, Responsabilidades e Autoridades
6 Requisitos e procedimentos de
comunicao
7 Identificao de dependncias externas
e internas de recursos e atividades
8 Recursos requeridos
9 Fluxo de aprovao e distribuio
RESPOSTA AO INCIDENTE DISRUPTIVO - OBJETIVOS DE RECUPERAO
Definies
45
OBJETIVOS DE RECUPERAO
Definies
46
OBJETIVOS DE RECUPERAO
RTO e RPO viso sobre um eixo temporal
47
OBJETIVOS DE RECUPERAO
Abordagem ao RTO
Alta Disponibilidade?
Clustering?
Failover?
Load Balancing?
Hot Backup?
Full backup?
Cloud?
99.99%?
Que Datacenter?
?
48
INFRAESTRUTURAS DE DATACENTER
Impacto na seleo para um RTO:
49
Tier
Level
Nvel
Disponibilidade
Interrupo
mxima por
incidente
I 99,67 % 28,8 h anuais
II 99,75 % 22 h anuais
III 99,98 % 1,6 h anuais
IV 99,99 % 0,8 h anuais
Relevante para as definio
de resposta e recuperao
de incidentes!
OBJETIVOS DE RECUPERAO
RTO e RPO Nveis para definio de classes
50
Tabela Reposio - RPO
NVEL Descritivo
1 > 8h
2 > 4h e 8h
3 > 1h e 4h
4 1h
5 No pode haver desfasamento
OBJETIVOS DE RECUPERAO
MAO Significado prtico
Representa o mximo tempo oficialmente aceite para interrupo de servio de uma
atividade crtica e apoia a identificao do:
Mtodo de recuperao ao modo normal de operao
Detalhe de definio de recursos/tarefas para o procedimento de recuperao
51
OBJETIVOS DE RECUPERAO
Anlise da linha temporal de um incidente disruptivo
52
- PONTOS DE DECISO
OBJETIVOS DE RECUPERAO
Anlise da linha temporal de um incidente disruptivo
53
OBJETIVOS DE RECUPERAO
ISO 22301 Clusula 8.4.5 - Recovery
A organizao deve ter procedimentos
documentados para restaurar e regressar as suas
atividades crticas de negcio ao modo normal de
operao, aps a aplicao de medidas temporrias
adotadas para suportar os requisitos de negcio
aps um incidente.
54
ENSAIOS E TESTES
ISO 22301 Clusula 8.5 Exercising and Testing
No disruptivos!
Incluir sesses tericas e prticas
Realizados em intervalos regulares
Envolver todas as partes interessadas
Gerao de relatrios de auditoria
Evidncias de lies aprendidas para suporte de melhoria contnua
55
ENSAIOS E TESTES
ISO 22301 Clusula 8.5 Exercising and Testing
56
MONITORIZAO E AVALIAO DO BCMS
ISO 22301 Clusula 9 Performing Evaluation
57
MONITORIZAO E AVALIAO DO BCMS
ISO 22301 Clusula 9.1.2 Evaluating of business continuity procedures
Mtricas definidas pelo Top Management do BCMS
Realizao percentual ou em nveis de conforto na concretizao
Acompanhadas pela Auditoria Interna
Avaliadas em conjunto com o Top Management do BCMS
Publicadas como dashboards do BCMS em portal interno
58
AUDITORIA DO BCMS
ISO 22301 Clusula 9.2 Internal Audit
Outros pontos a ter em conta:
Participao ativa do BCMS Top Leader
Plano de Auditoria integrado
Definio de critrios de auditoria pela Gesto de Topo do BCMS
Seleo de auditores e verificao/evidncia da sua imparcialidade
Conduzidas por check list por auditores da organizao
Conduzidas por entrevistas por auditores contratados
nfase na preparao e prontido do elemento humano
Considerar recursos crticos os resultados de auditoria
59
3.7 auditado:
Organizao
a ser
auditada
REVISO PELA GESTO
ISO 22301 Clusula 9.3 Management Review
60
CERTIFICAO DO BCMS
ELEMENTOS DE MOTIVAO:
1. Exigncias contratuais
2. Regulamentao e Legislao
3. Abertura a mercados internacionais
4. Credibilidade no setor de atividade
5. Demonstrao de boas prticas de gesto
61
CERTIFICAO DO BCMS
PREPARAO PARA CERTIFICAO DO BCMS
62
Destina-se a receber aconselhamento e
recomendaes de conformidade
Realizada por consultores
A entidade certificadora no pode realizar esta
auditoria
Opinion Audit
Destina-se a preparar a certificao
Resulta numa declarao de prontido
Realizada pela equipa da entidade certificadora
Pre-Assessment
Audit
Destina-se a emitir a recomendao para
certificao
Realizada pela equipa da entidade certificadora
Certification
Audit
AUDITORIA DE OPINIO
Preparao do impacto do BCMS na organizao:
Tempo necessrio para os compromissos
Sobreposio de funes e responsabilidades
Aspetos intrusivos nos processos e atividades
Necessidade de novos recursos
Credibilidade da gesto do projeto
Credibilidade na operacionalizao do BCMS
Falhas de documentao
Falhas de treino e formao e de informao
Assegurar a eficincia e eficcia do ELEMENTO HUMANO
Esforo a realizar pela empresa nos vrios requisitos
63
CERTIFICAO DO BCMS
ROAD MAP PARA CERTIFICAO DO BCMS
64
CERTIFICAO DO BCMS
ESTADO ATUAL DO QUADRO DE CERTIFICAES ISO 22301:
65
Norma recente no mercado
Falta de coordenao dos registos internacionais
Em Portugal? . H pelo menos uma! Mas mais esto a caminho!
PERGUNTAS E RESPOSTAS
66
IDEIAS FINAIS
RESUMO DE BOAS PRTICAS:
KEEP IT SIMPLE!
Definir e gerir uma zona de conforto nas decises
Manter-se fiel interpretao da norma
Escolher bem os recursos humanos e as partes interessadas
No permitir paragens prolongadas na implementao do projeto
Auditoria interna a chave das mtricas de eficcia e eficincia
Assegurar disponibilidade financeira
Em caso de dvida, recorrer a normas complementares
Recorrer a apoio externo sempre que necessrio
Avaliar muito bem a gesto da mudana
67
68