Escolar Documentos
Profissional Documentos
Cultura Documentos
Edinaldo Cardoso
Felipe Tadeu
Fernando dos Santos
Gustavo Gonçalves
Renato Souza
Rodrigo Foltran
Fonte:
http://www.sobreadministracao.com/wp-
content/uploads/2006/10/grupo3.jpg
09/12/21 2
Introdução; Modelo de Processo de
Por que GCSTI? GCN;
O que GCSTI abrange? Invocando o Plano de
O que GCSTI não abrange? Continuidade;
Vídeo – Plano de
Funções;
Contingência do Negócio; IPDs;
Regulamentação e ROI;
Legislação; Vídeo–Exemplos Negativos;
Objetivos; Conclusão;
Responsabilidades; Referências Bibliográficas.
09/12/21 3
O Gerenciamento da Continuidade dos Serviços
de TI é um dos 26 processos presentes na ITIL
v3. Seu foco é gerenciar os riscos relacionados
a infra-estrutura de TI e desenvolver um plano
de contingência.
Continuidade de Negócios trata do estudo de
identificação dos processos que dão vida a uma
empresa, ou seja, aqueles mais críticos e
impactantes. Traduzindo: o core business. A
partir dessa identificação são mapeadas as
ameaças e vulnerabilidades existentes.
09/12/21 4
Vantagem competitiva;
Atender a requerimentos regulatórios;
Negociação dos prêmios com as seguradoras;
Exigência inerente de determinados
Negócios;
Necessidade do Negócio de continuar a
09/12/21 5
Serviços de TI que dão suporte a processos
de negócios críticos. Isto inclui:
Sistemas e Aplicativos;
Rede;
Telecom;
Suporte técnico;
Central de Serviços.
Identificação e minimização de impacto;
Acordo para fornecer o nível mínimo de
09/12/21 6
Não abrange diretamente os riscos do
negócio de longo prazo;
09/12/21 7
http://www.youtube.com/watch?v=bq-PjPyHPRI
09/12/21 8
Norma NBR ISSO/IEC 17799;
Decreto 3505;
Acordo da Basiléia;
Lei Sarbanes-Oxley.
09/12/21 9
Título: Tecnologia da Informação Código de
Prática para a Gestão da Segurança da
Informação.
Somente a parte 1 – Melhores Práticas.
Cap. 11: Gestão da Continuidade do
estratégias de recuperação;
desenvolvimento, testes e manutenção dos
planos.
09/12/21 10
Trata da Política de Segurança da
Informação no âmbito federal.
09/12/21 11
Trata basicamente de “Gestão de Riscos
Operacionais” em bancos.
“Instituições financeiras deverão demonstrar
09/12/21 12
Princípio 7:
“Bancos deverão ter planos de contingência e
09/12/21 13
Válida para as empresas americanas –
15/06/2004.
Empresas estrangeiras que operam no
09/12/21 14
COBIT®
CVM e SEC
IAS 2005, semelhante à SOAX, na Europa
ITIL – “IT Infrastructure Library”, conjunto de
melhores práticas
Complementa a BS 15000 (ISSO 15000?)
Capítulo de Disponibilidade e Continuidade
MOF e MSF da Microsoft
NBR ISSO/IEC 17799 – parte 2
Regulamentações do BACEN
09/12/21 15
Assegurar a sobrevivência do negócio reduzindo
o impacto do desastre ou falha grave;
Reduzir a vulnerabilidade e o risco para o
negócio através de uma análise de riscos eficaz e
um gerenciamento de riscos. Isto tudo a um
custo justificável;
Transferir o risco para um terceiro;
Produzir planos de recuperação para TI que serão
integrados e darão suporte completo ao Plano de
Gerenciamento da Continuidade de Negócio
(GCN);
Prevenir perda de segurança para o Cliente e
Usuário.
09/12/21 16
São distribuídas entre:
Gerenciamento da
Continuidade do Negócio
(GCN);
Gerenciamento da
Continuidade do Serviços
de TI (GCSTI).
09/12/21 17
Gerenciamento da Continuidade do Negócio
(GCN) se preocupa em gerenciar riscos,
garantindo que a organização continue a
operar pelo menos no mínimo nível pré-
determinado. O GCN envolve:
Redução de riscos aceitáveis;
Plano para a recuperação dos processos do
09/12/21 18
Gerenciamento da Continuidade do Serviços
de TI (GCSTI) é parte do processo de GCN e
depende da informação vinda dele. Ele foca
na continuidade dos serviços de TI para o
negócio.
09/12/21 19
09/12/21 20
Definição de Políticas;
Termos específicos da referência e escopo;
Alocação de recursos;
Definição do projeto e estrutura de controle;
Acordo dos planos de projeto.
09/12/21 21
Análise de Impacto do negócio (AIN);
Avaliação de Riscos;
Estratégia de Continuidade do Negócio.
09/12/21 22
Esta análise deve:
Identificar os serviços críticos ao negócio;
Determinar os efeitos da indisponibilidade;
Avaliar cenários de impacto;
Obrigações legais que a empresa deve cumprir;
Analisar quanto tempo a empresa aguenta sem
os serviços de TI;
Avaliar os requerimentos mínimos de
recuperação (pessoas, facilidades e serviços) para
manter os processos críticos para o negócio;
Determinar o tempo mínimo e máximo dos níveis
de serviços a serem recuperados;
Determinar quais processos de negócio devem
ser recuperados por completo.
09/12/21 23
Entendimento da probabilidade que um
desastre ou outra interrupção no serviço irá
de fato ocorrer. A avaliação de risco
identifica:
Riscos a um serviço em particular ou processos;
Níveis de ameaças e vulnerabilidades;
Níveis de risco;
Medidas iniciais de redução de riscos.
A falha na avaliação de todos os riscos
relevantes deixa a organização aberta a
possíveis interrupções.
09/12/21 24
Para integrar a análise com o gerenciamento de
riscos, o método mais utilizado é o CRAMM (CCTA
Risk Analysis and Management Method)
09/12/21 25
09/12/21 26
Definir as medidas de redução de riscos
apropriadas e o plano de continuidade das
operações;
Decidir sobre as estratégias de recuperação
09/12/21 27
Usar os dados do Gerenciamento de
Disponibilidade para maximizar a
disponibilidade;
Eliminar os pontos únicos de falha;
Aplicar o backup para as aplicações;
Implementar ferramentas e metodologias;
Considerar outsourcing de serviços para mais
de um fornecedor;
Melhorar os controles de segurança.
09/12/21 28
09/12/21 29
Organização e implementação do plano;
Implementação;
Arranjos
Plano de Recuperação
Medidas de redução de riscos
Desenvolvimento de Procedimentos;
Testes.
09/12/21 30
Um plano de Continuidade deve ter 7 seções:
Administração;
Infra-estrutura de TI;
Infra-estrutura de TI e procedimentos de
operação;
Equipe técnica;
Segurança;
Site de Contingência;
Retorno a operação normal.
09/12/21 31
Educação, treinamento e conscientização;
Revisão e auditoria;
Testes;
Gerenciamento de Mudança;
Garantia.
09/12/21 32
É feita pela equipe do gerenciamento de crise.
A decisão de invocar necessita levar em conta
um número de fatores:
A extensão do dano e o escopo da interrupção;
A extensão provável da interrupção e a
indisponibilidade de instalações e/ou serviços;
O horário do dia/mês/ano e o impacto potencial
no negócio;
Requisitos específicos do negócio dependendo
do trabalho que está sendo realizado no
momento.
09/12/21 33
O plano de GCSTI deve incluir detalhes das
atividades que necessitam ser realizadas,
incluindo:
Recuperação de fitas de backup ou uso de cofre de
dados para recuperar dados;
Recuperação de documentação essencial,
procedimentos, imagens de workstation, etc,
armazenadas off-site;
Mobilização de pessoal técnico apropriado;
Entrar em contato e deixar em alerta fornecedores de
telecomunicações, serviços;
de suporte, distribuidores de aplicativos, etc.
09/12/21 34
A distinção pode ser feita nas funções e
responsabilidades dentro e fora dos períodos
de crise. Diferentes níveis dentro deste
processo podem ser definidos, começando
pelo Presidente, Diretores, Gerentes,
Supervisores e Equipe. É vital documentar as
responsabilidades e funções de cada um.
09/12/21 35
09/12/21 36
O gerente de continuidade deve ter as seguintes
habilidades:
Estar ciente sobre os níveis de serviços acordados;
Experiência em GCSTI;
Conhecimento e experiência em gestão de contratos;
Habilidade de transcrever os requerimentos de
recuperação do negócio em requerimentos técnicos;
Bons conhecimentos técnicos de TI para capacitar a
assistência de qualidade nos procedimentos;
Habilidade de se comunicar com todos os níveis da
organização.
09/12/21 37
09/12/21 38
Alguns problemas podem ser encontrados ao
implementar o processo de GCSTI:
Não há recursos suficientes para implementar o processo;
O GCSTI não é baseado no GCN;
Falta de comprometimento do Gerente de TI e gerentes de
negócio;
Análise superficial dos componentes críticos causando má
interpretação nos impactos do negócio;
A recuperação não funciona como deveria por falta de testes;
Falta de conscientização e suporte dos usuários e equipe de
TI fazendo com que o processo falhe quando ocorrer o
desastre.
09/12/21 39
Gerenciamento de riscos e conseqüente redução do impacto
da falha;
Redução possível no prêmio do seguro;
Melhora no relacionamento entre o Negócio e TI, fazendo
com que a TI tenha consciência dos impactos e prioridades
que os serviços de TI tem para o negócio;
Conformidade com requisitos regulatórios (Basileia II, SOX);
Reduz a interrupção do negócio durante um incidente com a
habilidade de recuperar os serviços de forma eficiente para o
negócio;
Aumenta a confiança do cliente;
Gasto anual com GCSTI pode ser controlado;
As medidas de riscos serão a um custo justificável.
09/12/21 40
Quantidade de funções críticas cobertas pelo
Plano de Continuidade.
Número e freqüência dos testes de
simulações;
Quantidade de vezes que o Plano de
09/12/21 41
A implantação deste processo garantirá a
continuidade dos Serviços de TI,
independente de acidentes que venham a
ocorrer.
Exemplo do Benefício:
09/12/21 42
Gerencia de Risco - Alteração nos requisitos
http://www.youtube.com/watch?v=e_QgCSDuhu4
09/12/21 43
Continuidade e Contingência do Negócio busca informar
como os gestores deverão proceder em caso de um incidente,
ação por ação, explicando o que fazer, quem deve fazer,
quando fazer, como fazer, quais são os pontos críticos e o
tempo das ações para uma recuperação dos processos mais
importantes e vitais para o negócio, seja de uma pequena
média ou grande empresa.
Para isso é essencial o comprometimento das pessoas, pois
em todos os estágios e no momento da ação dos
procedimentos elas serão as responsáveis.
Em um cenário mundial de alto risco e negócios cada vez
mais interconectados e dependentes, identificar no curto
prazo qual é o valor real do risco e definir o escopo com
maior precisão é, sem dúvida alguma, a maior justificativa
para se realizar um Plano de Continuidade de Negócios.
09/12/21 44
http://pt.wikipedia.org/wiki/ITILv3#Processos
Aula2_ASSI_1s2011.ppt - Professor Ricardo Crepalde.
http://www.best-management-
practice.com/gempdf/ITILV3_Glossary_Brazilian_Portuguese_
v3.1.24.pdf
http://www.timaster.com.br/revista/artigos/main_artigo.asp?
codigo=949
09/12/21 45
09/12/21 46