Ps Graduao

Segurana de Rede
Plano de Continuidade de Negcios e
Recuperao de Falhas
Prof. Fbio Mendona
fabiomendonca.facitec@gmail.com
fev/ 16

Plano de Continuidade de Negocio

O que seria Plano de Continuidade de Negocio?
Possibilitar o funcionamento da organizao em
um nvel aceitvel nas situaes de
contingncia onde ha indisponibilidade dos
recursos de informao.

Plano de Continuidade de Negocio

Objetivo
Assegurar a continuidade das operaes da
organizao na eventualidade de uma
indisponibilidade prolongada dos recursos que
do suporte realizao dessas operaes
(equipamentos, sistemas de informao,
instalaes, pessoal e informaes).

Sobre a Gesto de Continuidade de

Negcio (GCN)
A GCN estabelece uma estrutura estratgica e operacional
adequada para:
Melhorar pro ativamente a resilincia da organizao, mitigando os
riscos de interrupes e diminuindo o tempo de resposta a possveis
incidentes;,
Recuperar a operacionalizao por meio de um mtodo sistemtico
para retorno e um tempo aceitvel dos servios crticos aps um
incidente;
Obter capacidade de gerenciar uma interrupo no negcio de forma a
evitar impactos para o mercado, protegendo a reputao da
organizao.

Plano de Continuidade de Negocio

Ciclo de vida da GCN

Fixar GCN na cultura organizacional

Levantamento de novos processos

(lies aprendidas)

Acompanhamento de mudanas
em TI
Alinhamento com polticas e
procedimentos

Identificao de Ativos e Recursos

Novos incidentes
Pessoas

Exerccios, simulaes e
testes (treinamento)

Processos

Definio de resposta
a incidentes de TI

Elaborao de Planos

Plano de ao para mitigar riscos fsicos

Plano de ao para mitigar riscos nos ativos de TI

Metodologia

Identificao e avaliao
de ameaas

Anlise de Estratgia
de Recuperao

Anlise de Riscos

Anlise de Impacto no Negcio - BIA

Relatrio de Inspeo Fsica - RIF

A importncia de um PCN
Toda atividade de negcio est sujeita a interrupes; ter um PCN fornece a capacidade de
reagir adequadamente s interrupes operacionais enquanto preserva a vida e protege o
bem estar e a segurana.
Ameaas
Falhas
sistmicas

Pandemias

Terrorismo /
Sabotagem

Catstrofes
Naturais

Danos para a organizao

Perda de pessoal
Interrupo no
Danos na infraestrutura fornecimento de itens
Perda de ativos
primrios (gua, energia,
Perda de reputao
comunicao)

Incndio

Fraudes

Stakeholders impactados
Governo
Leis, normas e
regulamentos
ANEEL

Mercado
Agentes

Afetar o cumprimento dos objetivos estratgicos da CCEE

Nveis de Ruptura - Tipologia

Recursos de Tecnologia

Instalaes Fsicas

Durao do Evento de Ruptura

I - Leve

II - Moderado

III - Alto

IV - Severo

Evento de ruptura
que afeta
parcialmente os
recursos de
tecnologia e no
afeta as operaes
da CCEE

Evento de ruptura
que considera a
indisponibilidade
parcial das
instalaes fsicas e
no afeta as
operaes da CCEE

Evento de ruptura
que considera a
indisponibilidade de
acesso s
informaes
armazenadas nos
sistemas da CCEE por
at 5 dias teis

Evento de ruptura
que considera a
indisponibilidade
acesso s
informaes
armazenadas nos
sistemas da CCEE por
mais de 5 dias teis

Procedimento
Operacional
Normal

Pr-Crise

Incidente

Atuando em Contingncia
Procedimento Operacional em Contingncia

Durante a crise...

...Recuperao

Linha do Tempo

Caso um incidente provoque a parada dos processos de

negcio da CCEE, necessrio realizar atividades que
recuperem as principais informaes em um ambiente de
contingncia para manter os prazos de entregas dos servios e
produtos.

Procedimento
Operacional
Normalizado

Ps-Crise

Atuando em Contingncia
O sucesso de um programa de
Continuidade de Negcio
depende principalmente de
Pessoas

Uso dos Planos

Durante a resposta de um evento de
crise, o Lder /Sub-Lder do Comit de
Crises vo analisar a situao e decidir
sobre a necessidade de ativar a
Contingncia.

Os planos esto estruturados de forma a conter as

informaes necessrias para que as pessoas-chave
possam dar continuidade s operaes crticas da
organizao em caso de contingncia.

Aps ativao, os contatos crticos de cada

rea sero informados para acionar os seus
respectivos planos.

Roadmap de evoluo do PCN da

CCEE

Capacitao de
Pessoas-chave
(simulaes)

Adoo
/manuteno
de soluo de
Disaster
Recovery

Benchmarking
e estudo para
Certificao

Acesso Remoto e
implementao
de site
alternativo
Grupo de Estudo
(comit), BIA e
Planos

Estruturao (2012-2013)

Consolidao (2014-2015)

Evoluo (2016-1017)

Plano de Continuidade de Negocio

Porque usar?
O plano deve ser elaborado aps a realizao
de uma analise de impacto no negcio e
especificar as ameaas e riscos identificados
na organizao.

Plano de Continuidade de Negocio

Quando usar?
A impossibilidade de realizar as suas operaes
traz srios impactos financeiros, operacionais e
de imagem.

Plano de Continuidade de Negocio

Quem deve participar?
A direo e os demais interessados na
organizao devem conhecer todas as partes e
fases do desenvolvimento do plano de
continuidade de negcios e aprovar as
ameaas e os riscos que podem afetar os
ativos de informao, mas que esto de fora do
plano.

Plano de Continuidade de Negocio

Segundo a ABNT ISSO/TEC Guia 73:2005
Risco e a combinao da probabilidade de
um evento e de suas consequncias.
Sendo que o evento e uma relao entre as
ameaas, vulnerabilidades e os possveis
danos causados, ou seja, as consequncias.

Plano de Continuidade de Negocio

Probabilidade: e o grau de possibilidade de que um evento
ocorra.

Evento: e a ocorrncia identificada de um sistema, servio ou

rede que indica uma possvel violao da segurana da
informao, ou uma situao desconhecida, que passa a ser
relevante para a segurana dos ativos.
Consequncia: e o resultado de um evento, podendo ser
positivo ou negativo. Pode haver mais de uma consequncia
de um evento.
Ativo: qualquer coisa que tenha valor para a organizao.

Plano de Continuidade de Negocio

Ameaas: e uma causa potencial de um incidente indesejado
resultar em um dano para o sistema ou organizao (ABNT
NBR ISO /IEC 27002, 2007).
Vulnerabilidades: sao definidas como a fragilidade de um ativo
ou grupo de ativos que pode ser explorada por uma ou mais
ameaas (ABNT NBR ISO /IEC 27002, 2007).
Incidente: qualquer evento que no faz parte da operao
normal de um servio e que pode causar, ou causa, uma
interrupo do servio ou uma reduo de sua qualidade.

Plano de Continuidade de Negocio

Para tudo isso existe o processo de melhoria continua
conhecido como PDCA (Plan - Do - Check Act)
um ciclo de anlise e melhoria dos processos gerenciais
necessrios para o sucesso da organizao e para a rea
de segurana da informao.
O PDCA deve ser utilizado para estruturar os processos do
Sistema de Gesto da Segurana da Informao (SGSI) e
alinhar os processos de gesto de risco.

Plano de Continuidade de Negocio

Etapas do Processo:
A primeira etapa do processo (Planejar) inicia com a
definio das estratgias e a forma como elas vo ser
alcanadas, ou seja, a definio de politicas, controles e
procedimentos para garantir a segurana das
informaes.
Na segunda etapa (Executar), os processos definidos
so implementados e executados. Tambm e
necessria a coleta de informaes para utilizao na
prxima etapa. Alinhando com a norma ISO 27005 e
implementado o plano de Tratamento do Risco.

Plano de Continuidade de Negocio

Etapas do Processo:
Na terceira etapa (Checar) e feita a avaliao dos
processos implementados para verificar se o planejado foi
realmente executado de forma adequada para alcanar as
metas.
Na quarta etapa (Agir) so realizadas aes corretivas e
preventivas baseadas na identificao de desvios de
execuo e nas consideraes apresentadas pela direo
da organizao.

Business Impact Analysis (BIA)

O que ?
BIA o nome em ingls de um relatrio executivo
chamado Anlise de Impactos no Negcio. Este tem por
finalidade apresentar todos os provveis impactos de
forma Qualitativa e Quantitativamente dos principais
processos de negcios mapeados e entendidos na
organizao, no caso de interrupo dos mesmos.
o corao do Plano ou Programa de Continuidade de
Negcios, pois, norteia todos os esforos e a tomada de
decises para a implementao da Continuidade de
Negcios.

Business Impact Analysis (BIA)

Deve ser redigido em uma linguagem executiva
apresentando uma lista classificatria (ranking) dos
processsos mais impactantes ao negcio.
Em toda a anlise para conceber a BIA, so efetuadas
entrevistas com os gestores de processos de negcios e
anlises adicionais para se identificar: os tempos de
interrupo permitidos pelo negcio, impactos financeiros,
institucionais, regulatrios e de imagem de cada um em
caso de interrupo. Principalmente, qual o objetivo de
retorno (RTO) que cada um possui.

Anlise de Impacto no Negocio (BIA)

Fatores Crticos de Sucesso:
Ter total apoio da diretoria da empresa.
Ter definifo o escopo na Poltica de Gesto da
Continuidade de Negcios.
Para cada atividade, processo ou servio:
Documentar os impactos ao longo do tempo, dos
quais resultariam em perda ou interrupo.
A gesto ja ter definifo o MTPD.
Identificar dependncias internas e externas, que so
necessrias para que atividades operem de forma
eficaz.

Anlise de Impacto no Negocio (BIA)

Como estabelecer um BIA:

Identificar atividades empresariais em toda a organizao

qualquer que seja o setor e os gestores desses processos.

Identificar o pessoal adequado, para buscar informao

sobre os processos de negcios.

Identificar os impactos que possam resultar em danos

reputao da organizao, seus bens ou financeiramente.

Quantificar o tempo dentro do qual a interrupo de cada

atividade de negcios torna-se inaceitvel para a
organizao.

Anlise de Impacto no Negocio (BIA)

Mtodos, ferramentas e tcnicas para realizar anlise de
impacto no negcio incluem:

Workshops

uma

oportunidade

para

Questionarios

Fornecem resultados rpidos

envolvimento com o programa.

Fornecem grandes quantidades de dados, mas a qualidade da

informao pode ser muito questionvel se no for completado com
consistncia.

Entrevistas

Podem fornecer informaes muito boas, mas so demoradas e de

sada podem variar no formato e detalhes.

Plano de Continuidade de Negocio

08. Gerenciamento de continuidade do negcio.
8.1 - Processo de Gesto da Continuidade do Negcio
8.1.1 - Existe um processo de gesto da continuidade do negcio em seu rgo/entidade, conforme disposto na Norma Complementar
06/IN01/DSIC/GSI/PR?
___ No se aplica. Ex: no existe processo, pois no h em seu rgo/entidade a responsabilidade para sua execuo.
___ No adota. Ex: no existe processo, apesar de seu rgo/entidade ter responsabilidade de gerir a continuidade do negcio.
___ Iniciou plano para implantar o processo de gesto de continuidade do negcio. Ex: no existe, ainda, um processo formalmente
estabelecido, porm, reconhecida a importncia de sua implantao.
___ Adota parcialmente. Ex: existe processo formalmente estabelecido, com atendimento parcial das diretrizes estabelecidas na
NC06/IN01/DSIC/GSI/PR.
___ Adota integralmente. Ex: existe processo formalmente estabelecido, com atendimento integral das diretrizes estabelecidas na
NC06/IN01/DSIC/GSI/PR.
8.1.2 - E com relao do processo de gesto da continuidade do negcio, marque a(s) opo(es) que mais se aproxima(m) da
realidade de seu rgo/entidade:
___ Existe um Gestor exclusivamente designado para atuar na Gesto da Continuidade do Negcio
___ O Gestor de SIC atua como Gestor da Continuidade do Negcio.
___ O Gestor de TIC atua como Gestor da Continuidade do Negcio.
___ O Gestor de SIC prope as diretrizes estratgicas do Programa de Gesto da Continuidade do Negcio.
___ O Gestor de SIC realiza periodicamente a Anlise de Impacto nos Negcios (AIN).
___ O Gestor de SIC capacita em SIC as equipes envolvidas com os processos de continuidade.
___ A gesto de continuidade do negcio envolvida no processo de mudanas nos aspectos relativos SIC.
___ O Gestor de SIC supervisiona a elaborao, implementao, testes e atualizao dos Planos.

Plano de Continuidade de Negocio

8.1.3 - Marque a(s) opo(es) que representa(m) a abrangncia do seu processo de gesto da continuidade do negcio:
___ Pessoas
___ Infraestrutura
___ Recursos tecnolgicos e de comunicaes
___ Atividades operacionais

8.2.1 - Como se d a realizao de Anlise de Impacto nos Negcios (AIN) em seu rgo/entidade:
___ No se aplica. Ex No h em seu rgo/entidade a responsabilidade para sua execuo.
___ No adota. Ex: no realizada anlise de impacto nos negcios.
___ Iniciou plano para adotar. Ex: no existe, ainda, uma metodologia formalmente estabelecida, porm, reconhecida a importncia de
sua implantao.
8.2 - Anlise de Impacto nos Negcios (AIN)
___ Adota integralmente. Ex: existe processo formalmente estabelecido, que abrange a definio de atividades crticas, a avaliao dos
riscos a que estas atividades esto expostas e a definio de estratgias para a continuidade dessas atividades.

Atividade
Temos 8 empresas de ramos diferentes, a tarefa
realizar um estudo e um levantamento de requistos
de Plano de Contingncia de Negocio e uma Analise
de Impacto de Negocio.

Escritrio de Advocacia (Priscilla)

Empresa de Telecomunicaes (Leandro)
Supermercado (Fernando)
Empresa de Carto de Credito (Leonardo Jorge)
Telemarketing (walas)
Instituio de Ensino (Fanor)
Clinica Mdica (Pedro)
Rede de Restaurantes (Jorge)

Dvidas?