Gesto daContinuidade deNegcioseas

Normas ABNTNBR159991:2007e
BS259992:2007

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 Termo de Iseno de Responsabilidade

A TI Safe, seus colaboradores e executivos, no se responsabilizam

pelo mal uso das informaes aqui prestadas.

Aproveite esta apresentao para ampliar seus conhecimentos em

Segurana da Informao. Use com responsabilidade.

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 Sobre a TI Safe
Misso
Fornecer produtos e servios de
qualidade para a Segurana da
Informao
Viso
Ser referncia de excelncia em
servios de Segurana da
Informao
Equipe tcnica altamente qualificada
Apoio de grandes marcas do mercado

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 No precisa copiar...

www.tisafe.com/ppt

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 Agenda
Motivadores
ImportnciadasNormas
ABNTNBR159991:2007(BS259991:2006) GestodaContinuidadede
Negcios CdigodePrtica
BS259992:2007 GestodaContinuidadedeNegcios Especificao

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 Motivadores
9 OsmotivadoresdeumProcessodeGCNso,basicamente:
9 Elementosdeestratgiadenegcio;
9 RegulamentaesqueexijamContingncia
9 Necessidadedesobrevivernomercado,mesmoemsituaodecrise

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 OndeseAplica?

26/06/06 Vazamento de Gs inflam

inflamvel Marginal Pinheiros So Paulo

17/08/06 Caxias do Sul - Granizo

24/05/06 PCC e conseq

conseqente
caos no Trnsito de So Paulo

30/11/06 - Chuva provoca 22 pontos de

alagamento na cidade de SP 09/01/07 - Incndio Justi
Justia Federal - Av. Paulista

So Paulo 08/03/07 -Manifestaes Av.

Paulita Visita Bush
07/01/07 Desmoronamento causado pela chuva 12/01/07 Acidente Metr - SP

16/11/06 Incndio Sadia Toledo-

Toledo-PR

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 AmudanadasAmeaas
Historicamente: Hoje:

Incndios CybercrimeeQueda noServio

Furaces AtaquesTerroristas
Tornados Invaso por equipamentos Wireless
Terremotos Conectidade deparceiros deNegcios
Inundaes Preocupao comInfraestrutura pblica
Apages (telecom,aeroportos,entreoutros)
Proteo deCapitalHumano (Epidemias)
NaVerdade:Qualquer coisa possvel

Caractersticas: Caractersticas:
Estatsticamente previsto, Intencional, difcil de quantificar, no h
quantificvel, assegurvel e limite de fronteiras para sua origem, no
compreensvel; h como dimensionar aconfiabilidade;

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 Frameworks

9 ISO27001,ISO27002(Cap.14)
9 ITIL/ISO20000(6.3Servicecontinuityandavailabilitymanagement)
9 Cobit (DS4)
9 Coso(atendimento regulamentaes)
9 ISO15408
9 Entreoutros...

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 RegulamentaeseLegislaes

SegmentoFinanceiro
9 ResoluesBancoCentral(SPB,3380,
2554,2817,..)
9Exemplo:3380 RiscoOperacional
Art.3 Aestruturadegerenciamentodorisco
operacionaldeveprever:
VI existnciadeplanodecontingnciacontendoas
estratgiasaseremadotadasparaassegurar
condiesdecontinuidadedasatividadesepara
limitargravesperdasdecorrentesderisco
operacional;
9 BasiliaII
9 BM&F/PQO
9 PCI/DSS
9 BITS

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 RegulamentaeseLegislaes

9MercadodeCapitais
9CVM,SEX/SOx
9SegmentoTelecom
9CONTRATODASTELECOMS
9SegurosePrevidncia
9SUSEP,SPC/CGPC13
9TCU MelhoresPrticasemSeguranadaInformao
9NovoCdigoCivil

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 ImportnciadasNormas

Porqueumpadro?

9 Umconsensoplenodetodasaspartesinteressadas,deforma
noimposta(incluigovernos,empresas,comrcio,ONG's e
profissionaisdasreas);

9 Atualizadoaumcicloregular;

9 Asmelhoresprticasnosoumaprticageneralizada,
emboraaspirem...

9 FacilitaprocessosdeAuditoriaeCertificao,casonecessrios

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.
ABNTNBR159991:2007 CdigodePrtica

A NBR 15999 uma norma, orientada ao negcio, que visa subsidiar a

implementaodeumSGCN SistemadeGerenciamentodaContinuidadede
Negcios.

9 Umaaproximaodagernciaderisco continuidadedonegcio;
9 Umaaproximaodagernciaderisco continuidadedonegcio;
9 Acontinuidadedonegcio agoraumadasdiscussesmaisimportantes
9 Acontinuidadedonegcio agoraumadasdiscussesmaisimportantes
do risco que concerne s organizaes. Ter planos de continuidade do
do risco que concerne s organizaes. Ter planos de continuidade do
negcio significa no somente possuir cpias de segurana de sistemas de
negcio significa no somente possuir cpias de segurana de sistemas de
informaoeequipamentodacontingncia muitomaiscomplexo:
informaoeequipamentodacontingncia muitomaiscomplexo:
9 No mais um modismo, mas parte integrante da gesto dos
9 No mais um modismo, mas parte integrante da gesto dos
negcios;
negcios;
9 Deveserintegradoatravsdetodasasfunesdonegcio;
9 Deveserintegradoatravsdetodasasfunesdonegcio;
9 No maisvistacomoespecialidadedeTI.
9 No maisvistacomoespecialidadedeTI.

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

ABNTNBR159991:2007 CdigodePrtica

9 Estabelece o processo, os princpios e a terminologia da Gesto da

ContinuidadedeNegcios(GCN).

9 Fornece uma base para entendimento, desenvolvimento e

implementaodaCNemumaorganizao.

9 PermiteumaavaliaodacapacidadedeGCNdemaneiraconsistente
ereconhecida.

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 Oque aGCN?

Um processo da organizao que estabelece uma estrutura estratgica e

operacionaladequadapara:

9 Melhorarproativamentearesilincia daorganizaocontrapossveis
interrupes.

9 Prover uma prtica para restabelecer a capacidade de fornecimento

deprodutoseservios.

9 Obter reconhecida capacidade de gerenciar uma interrupo no

negcio,protegendomarcaereputao.

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 CiclodeVidadaGCN

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 NBR15999 CiclodeVida
GestodoProgramadeGCN 9 Atribuio deresponsabilidades;
9 Implementao dacontinuidade
denegciosnaorganizao;
Gesto 9 Gesto contnuadaContinuidade
do deNegcios.
Programa
de GCN

A participao da alta direo fundamental para

garantir que o processo de GCN seja corretamente
introduzido, suportado e estabelecido como parte da
culturadaorganizao.

CriaodeumaPolticadeGCN.

DefineseoEscopodaGCN

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 NBR15999 CiclodeVida
EntendendoaOrganizao 9AnlisedeImpactonoNegcio(BIA):
9 atividadescrticas
9 impactos;
9 tempoobjetivadode
Entendendo a
recuperao;
Organizao
9 recursosnecessrios(pessoal,
ambiente,tecnologia).
9AvaliaodeRiscos:
9 ameaas;
9 vulnerabilidades;
9 riscos.
Compreensodaorganizaopormeioda
identificao de seus produtos e servios
fundamentais e das atividades crticas e dos
recursosqueasuportam.

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 NBR15999 CiclodeVida
DefinindoaEstratgiadeContinuidadedeNegcios

9Opes:
9 perodomximode
interrupo;
9 custosdeimplementaoda(s)
Determinando a estratgia(s);
9 conseqnciasdenoseagir.
Estratgia de
CN

9Recursosaconsiderar:
9 pessoas;
9 instalaes;
A organizao estar numa posio 9 tecnologia;
apropriada para efetuar a escolha das 9 informao;
estratgias de continuidade dos negcios 9 suprimentos;
apropriadas ao alcance de seus objetivos 9 partesinteressadas.
bemcomoasuarecuperao.

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 NBR15999 CiclodeVida
DesenvolvendoeImplementandoumarespostadeGCN

9Planos:
9 RespostaaIncidentes;
9 GerenciamentodeIncidentes;
Desenvolvendo
e 9 ContinuidadedeNegcios;
Implementando
uma resposta 9 Recuperao;
de GCN
9 Comunicao(mdia,partes
interessadas).

9Contedo:
9 Papiseresponsabilidades;
Desenvolvimento e implementao dos 9 Ativao;
planos apropriados e dos preparativos 9 Contatos(internoseexternos);
9 Procedimentos(atividades);
realizados, de forma a garantir a
9 Recursos.
continuidade das atividades crticas e o
gerenciamentodosincidentes.

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 NBR15999 CiclodeVida
Testando,mantendoeanalisandocriticamenteospreparativosdeGCN

Testando,
Mantendo e
Analisando
criticamente os
preparativos de
GCN
Garante que os preparativos para a GCN
da organizao estejam validados por
testes e anlises crticas e que sejam
mantidasatualizadas.
9Programadetestes;
9ManutenodosPreparativos:
9 Novosprodutos,servios,
atividadesdependentes,pessoas.
9AnlisecrticadacapacidadedeGCN
daorganizao:
9 PolticadeGCNem
conformidadecomasleis,
estratgias;
9 Resultadodetestes;
9 Necessidadesdaspartes
interessadas.
9 Auditoria(internaouexternaou
autoavaliaes)

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 NBR15999 CiclodeVida
IncluindoaGCNnaculturadaorganizao

9Conscientizao:
9 informativos;
9 publicaointranet;
9 CDD;
9 visitasainstalaes
alternativas;
9Treinamento:
9 execuodeBIA;
9 execuodeAR;
9 desenvolvimentode
planos;
O desenvolvimento, promoo e 9 testesdeplanos.
incorporao da cultura de GCN na
organizao garantem que a GCN se
tornar parte dos valores bsicos e da
gestodaorganizao.

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 O GCN envolve toda a organizao
A Gesto de Continuidade de Negcio (GCN) permite uma
compreenso mais clara de como a organizao inteira trabalha
podendoidentificaroportunidadesdemelhoria.

Clientes

reas de
Administrao
Negcios

GCN - Gesto da
Pares Continuidade do Fornecedores
Negcio

Tcnicos
Usurios

Regulamentao

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 BS259992:2007 Especificao

Estanormaespecificaosrequisitosparaestabeleceregerenciar umSGCN
eficazdefinidoporumprogramadeGCN.

Issoreforaaimportnciade:

9Entenderasnecessidadesdecontinuidadedenegciosedeestabelecimento
deumapolticaeobjetivosparaacontinuidadedenegcios;

9Implementareoperaroscontrolesemedidasparagerenciardeforma
abrangenteosriscosdacontinuidadedenegciosdaorganizao;

9MonitorareanalisarcriticamenteaperformanceeeficciadoSGCN;e

9Melhoriacontnuabaseadanamedidadosobjetivos.

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 SGCN
Umsistemadegerenciamentodecontinuidadedenegcios,comoqualquer
outrosistema,temosseguintescomponenteschave:

9 Umapoltica;
9 Pessoascomresponsabilidadesdefinidas;
9 Processosdegerenciamentorelativosa:
a. poltica;
b. planejamento;
c. implementaoeoperao;
d. anlisedeperformance;
e. anlisecrticadogerenciamento;
f. melhorias;
9 Conjuntodedocumentaofornecendoevidnciasauditveis;e
9 Processosdetpicosespecficosrelativosaotema,nocaso,continuidade
denegcios,taiscomoAnlisedeImpactonosNegcios(BIA)e
desenvolvimentodeplanodecontinuidadedenegcios.

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.
Estabelecer(Plan)

EstabelecendoeGerenciandooSGCN
DefiniroslimitesdeumSGCNegarantirqueosobjetivosestoclaramente
definidos, entendidos e comunicados, o comprometimento demonstrado
da alta direo com a GCN, recursos so alocados e aqueles com
responsabilidadescomaGCNsocompetentesparaexecutarseuspapis.

9EscopoGeral
9PolticadeGCN
9ProvisodeRecursos Gesto
9HabilidadesdaequipedeGCN do
Programa
de GCN

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 Estabelecer(Plan)

IncluindoaGCNnaculturadaOrganizao

Garantir que a organizao implante a continuidade de negcios dentro de suas

operaesderotinaegestodeprocessos,independentedoseutamanho ousetor
dentrodoqualelaatua.

DocumentaoeRegistrosdoSGCN
Fornecerclaraevidnciadaoperaoeficazdo
SGCNeaimplementaodaGCNnaorganizao.

9DocumentaodoSGCN
9ControledeDocumentos
9Procedimentos
9ControledosregistrosdoSGCN
9ControledosdocumentosdoSGCN

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 ImplementaoeOperao(Do)

EntendendoaOrganizao
Permitir que a organizao identifique as atividades crticas e recursos
necessrios para dar suporte aos principais produtos e servios, entender
suasameaaseescolherotratamentoderiscoadequado.

9AnlisedeImpactonoNegcio(BIA)
9Anlise(avaliao)deRiscos Entendendo a
Organizao

9DeterminandoOpes

DeterminandoaEstratgiadeContinuidadedeNegcios
IdentificarosacordosdeGCNquepermitiroaorganizaorecuperarsuas
atividadescrticasdentrodeseustemposobjetivadosderecuperao.

Determinando a
Estratgia de
CN

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 ImplementaoeOperao(Do)

DesenvolvendoeImplementandoumarespostadeGCN
Permitirqueaorganizaodesenvolvaeimplementeacordoseplanos
apropriadosdeGCNparagerenciarqualquerincidenteecontinuar suas
atividadescrticas.
Desenvolvendo
e
Implementando
9ConsideraesGerais uma resposta
de GCN
9EstruturadeRespostaaIncidentes
9PlanosdeContinuidadeeGerenciamentodeIncidentes

Testando,MantendoeAnalisandoCriticamenteosPreparativosdeGCN
VerificaracontnuaeficciadasprovidnciasdaGCNedarmaior
garantiaapsumincidentedequeasatividadescrticassero
Testando,
recuperadascomodefinido. Mantendo e
Analisando
criticamente os
preparativos de
9Testes(Exerccios)deGCN GCN

9MantendoeRevisandoosarranjosdaGCN

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 MonitoramentoeRevisodoSGCN(CHECK)

MonitoraoeAnliseCrticadoSGCN
Garantir que a monitorao do gerenciamento, eficincia e eficcia da
anlisecrticadoSGCNsejaconvenientepara:apolticadecontinuidade
de negcios; os objetivos e o escopo; e, para determinar aes de
correoemelhoria.

9AuditoriaInterna
9RevisoGerencial(AnliseCrtica):
9RevisodeEntradas
9RevisodeSadas

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 ManutenoeMelhoriadoSGCN(ACT)

ManutenoeMelhoriadoSGCN
ManteremelhoraraeficinciaeeficciadoSGCNatravsdeaes
corretivasepreventivas,quandodeterminadopelaanlisecrticado
gerenciamento.

9AesPreventivaseCorretivas
9MelhoriaContnua

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 BS25999 Certificao

9 BS259992:2007
GerenciamentodaContinuidadedeNegcios.Parte2:Especificao; aBS
certificvel.

9 Estabelece o SGCN Sistema de Gerenciamento da Continuidade de

Negcios
9 ModeloPDCAaplicadoaosprocessosdaGCN

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

BenefciosdaCertificaonaBS25999
9Acertificaopermite companhia:
9Acertificaopermite companhia:

9 atraireassegurarclientes,protegendoerealandosuareputaoe marca
9 atraireassegurarclientes,protegendoerealandosuareputaoe marca
9 demonstrarlideranadomercado;
9 demonstrarlideranadomercado;
9 criarvantagemcompetitiva;
9 criarvantagemcompetitiva;
9 desenvolveremanterasmelhoresprticas.
9 desenvolveremanterasmelhoresprticas.

9Abrenovosmercadoseajudaaobternovosnegcios;
9Abrenovosmercadoseajudaaobternovosnegcios;

9Demonstraqueasleiseregulamentosaplicveisestosendoobservados;
9Demonstraqueasleiseregulamentosaplicveisestosendoobservados;

9Criaumaoportunidadeparareduodeencargosdeauditoriasinternaseexternasde
9Criaumaoportunidadeparareduodeencargosdeauditoriasinternaseexternasde
GCNepodereduzirprmiosdesegurosobreainterrupodonegcio.
GCNepodereduzirprmiosdesegurosobreainterrupodonegcio.

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 http://www.saopaulo.sp.gov.br/sis/lenoticia.php?id=94006

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 http://www.bsi-global.com

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 Concluses

9 umprocesso robusto
9 praticado etestado
9 Pode servalidado
9 aBS25999(NBR15999)

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 Suaempresaest preparada?

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 OsFatos

Depois deumgrande incidente quantas

organizaes sem umplano:
Nunca reabrem?
Reabrem mas fecham em 18meses?
Reabrem mas fecham em 5anos?
Sobrevivem?

Safetynet / Guardian IT

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 OsFatos

Depois deumgrande incidente quantas

organizaes sem umplano:
Nunca reabrem?40%
Reabrem mas fecham em 18meses?40%
Reabrem mas fecham em 5anos?12%
Sobrevivem?8%

Safetynet / Guardian IT

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 As empresas mais bem
sucedidas so aquelas que
sempre possuem um plano B.
James Yorke,
mathematician, on chaos theory in The New Scientist

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 Participe do nosso frum de segurana

Acesse www.tisafe.com/forum e cadastre-se

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

 Contato

Eletrnico
www.tisafe.com
contato@tisafe.com
Skype: ti-safe (somente voz)

Telefones
Rio de Janeiro: (21) 3005-4318 / (21) 2577-0658
So Paulo: (11) 2122-4236
Florianpolis: (48) 4062-0172
Belo Horizonte: (31) 2626-4319
Porto Alegre: (51) 2626-1253

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.