Vous êtes sur la page 1sur 44

Gestão da Continuidade de Negócios e as 

Normas ABNT NBR 15999‐1:2007 e 
BS 25999‐2:2007

TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Termo de Isenção de Responsabilidade

A TI Safe, seus colaboradores e executivos, não se responsabilizam


pelo mal uso das informações aqui prestadas.

Aproveite esta apresentação para ampliar seus conhecimentos em


Segurança da Informação. Use com responsabilidade.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Sobre a TI Safe
• Missão
– Fornecer produtos e serviços de
qualidade para a Segurança da
Informação
• Visão
– Ser referência de excelência em
serviços de Segurança da
Informação
• Equipe técnica altamente qualificada
• Apoio de grandes marcas do mercado

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Não precisa copiar...

www.tisafe.com/ppt

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Agenda
• Motivadores
• Importância das Normas
• ABNT NBR 15999‐1:2007 (BS 25999‐1:2006) – Gestão da Continuidade de 
Negócios – Código de Prática
• BS 25999‐2:2007 – Gestão da Continuidade de Negócios ‐ Especificação

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Motivadores
9 Os motivadores de um Processo de GCN são, basicamente:
9 Elementos de estratégia de negócio;
9 Regulamentações que exijam Contingência
9 Necessidade de sobreviver no mercado, mesmo em situação de crise

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Onde se Aplica?

26/06/06 Vazamento de Gás inflamá


inflamável Marginal Pinheiros – São Paulo

17/08/06 Caxias do Sul - Granizo

24/05/06 – PCC e conseqü


conseqüente
caos no Trânsito de São Paulo

30/11/06 - Chuva provoca 22 pontos de


alagamento na cidade de SP 09/01/07 - Incêndio Justiç
Justiça Federal - Av. Paulista

São Paulo – 08/03/07 -Manifestações Av.


Paulita – Visita Bush
07/01/07 – Desmoronamento causado pela chuva 12/01/07 – Acidente Metrô - SP

16/11/06 – Incêndio Sadia –Toledo-


Toledo-PR

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


A mudança das Ameaças
Historicamente: Hoje:

– Incêndios – Cybercrime e Queda no Serviço


– Furacões – AtaquesTerroristas
– Tornados – Invasão por equipamentos Wireless
– Terremotos – Conectidade de parceiros de Negócios 
– Inundações – Preocupação com Infra‐estrutura pública
– Apagões (telecom, aeroportos, entre outros)
– Proteção de Capital Humano (Epidemias)
– Na Verdade: Qualquer coisa possível

Características: Características:
Estatísticamente previsto,  Intencional,  difícil de  quantificar,  não há
quantificável,  assegurável e  limite de  fronteiras para sua origem,  não
compreensível; há como dimensionar a confiabilidade;

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Frameworks

9 ISO 27001, ISO 27002 (Cap. 14)
9 ITIL / ISO 20000 (6.3 Service continuity and availability management)
9 Cobit (DS4)
9 Coso (atendimento à regulamentações)
9 ISO 15408
9 Entre outros...

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Regulamentações e Legislações

Segmento Financeiro
9 Resoluções Banco Central (SPB, 3380, 
2554, 2817,..)
9Exemplo: 3380 – Risco Operacional
Art. 3º ‐ A estrutura de gerenciamento do risco 
operacional deve prever: 
VI ‐ existência de plano de contingência contendo as 
estratégias a serem adotadas para assegurar 
condições de continuidade das atividades e para 
limitar graves perdas decorrentes de risco 
operacional; 
9 Basiléia II
9 BM&F/PQO
9 PCI/DSS
9 BITS

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Regulamentações e Legislações

9Mercado de Capitais
9CVM, SEX/SOx
9Segmento Telecom
9CONTRATO DAS TELECOM’S
9Seguros e Previdência
9SUSEP, SPC/CGPC 13
9TCU ‐ Melhores Práticas em Segurança da Informação
9Novo Código Civil

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Importância das Normas

Por que um padrão? 

9 Um consenso pleno de todas as partes interessadas, de forma 
não imposta (inclui governos, empresas, comércio, ONG's e 
profissionais das áreas) ;

9 Atualizado a um ciclo regular ;

9 As melhores práticas não são uma prática generalizada, 
embora aspirem...

9 Facilita processos de Auditoria e Certificação, caso necessários

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
ABNT NBR 15999‐1:2007 – Código de Prática

A  NBR  15999  é uma  norma,  orientada  ao  negócio,    que  visa  subsidiar  a 
implementação de um SGCN ‐ Sistema de Gerenciamento da Continuidade de 
Negócios. 

9 Uma aproximação da gerência de risco à continuidade do negócio; 
9 Uma aproximação da gerência de risco à continuidade do negócio; 
9 A continuidade do negócio é agora uma das discussões mais importantes 
9 A continuidade do negócio é agora uma das discussões mais importantes 
do  risco  que  concerne  às  organizações.  Ter  planos  de  continuidade  do 
do  risco  que  concerne  às  organizações.  Ter  planos  de  continuidade  do 
negócio  significa  não  somente  possuir  cópias  de  segurança  de  sistemas  de 
negócio  significa  não  somente  possuir  cópias  de  segurança  de  sistemas  de 
informação e equipamento da contingência ‐ é muito mais complexo:
informação e equipamento da contingência ‐ é muito mais complexo:
9 Não  é mais  um  modismo,  mas  parte  integrante  da  gestão  dos 
9 Não  é mais  um  modismo,  mas  parte  integrante  da  gestão  dos 
negócios; 
negócios; 
9 Deve ser integrado através de todas as funções do negócio; 
9 Deve ser integrado através de todas as funções do negócio; 
9 Não é mais vista como especialidade de TI. 
9 Não é mais vista como especialidade de TI. 

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


ABNT NBR 15999‐1:2007 – Código de Prática

9 Estabelece  o  processo,  os  princípios  e  a  terminologia  da  Gestão  da 


Continuidade de Negócios (GCN).

9 Fornece  uma  base  para  entendimento,  desenvolvimento  e 


implementação da CN em uma organização.

9 Permite uma avaliação da capacidade de GCN de maneira consistente 
e reconhecida.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


O que é a GCN?

Um  processo  da  organização  que  estabelece  uma  estrutura  estratégica  e 


operacional adequada para:

9 Melhorar proativamente a resiliência da organização contra possíveis 
interrupções.

9 Prover  uma  prática  para  restabelecer  a  capacidade  de  fornecimento 


de produtos e serviços.

9 Obter  reconhecida  capacidade  de  gerenciar  uma  interrupção  no 


negócio, protegendo marca e reputação.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Ciclo de Vida da GCN

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


NBR 15999 – Ciclo de Vida
• Gestão do Programa de GCN 9 Atribuição de responsabilidades;
9 Implementação da continuidade 
de negócios na organização;
Gestão 9 Gestão contínua da Continuidade 
do de Negócios.
Programa
de GCN

A  participação  da  alta  direção  é fundamental  para 


garantir  que  o  processo  de  GCN  seja  corretamente 
introduzido,  suportado  e  estabelecido  como  parte  da 
cultura da organização.

Criação de uma Política de GCN.

Define‐se o Escopo da GCN

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


NBR 15999 – Ciclo de Vida
• Entendendo a Organização 9Análise de Impacto no Negócio (BIA):
9 atividades críticas 
9 impactos;
9 tempo objetivado de 
Entendendo a
recuperação;
Organização
9 recursos necessários (pessoal, 
ambiente, tecnologia).
9Avaliação de Riscos:
9 ameaças;
9 vulnerabilidades;
9 riscos.
Compreensão da organização por meio da
identificação  de  seus  produtos  e  serviços 
fundamentais  e  das  atividades  críticas  e  dos 
recursos que a suportam.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


NBR 15999 – Ciclo de Vida
• Definindo a Estratégia de Continuidade de Negócios

9Opções:
9 período máximo de 
interrupção; 
9 custos de implementação da(s) 
Determinando a estratégia(s);
9 conseqüências de não se agir.
Estratégia de
CN

9Recursos a considerar:
9 pessoas;
9 instalações;
A  organização  estará numa  posição  9 tecnologia;
apropriada  para  efetuar  a  escolha  das  9 informação;
estratégias  de  continuidade  dos  negócios  9 suprimentos;
apropriadas  ao  alcance  de  seus  objetivos  9 partes interessadas.
bem como a sua recuperação.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


NBR 15999 – Ciclo de Vida
• Desenvolvendo e Implementando uma resposta de GCN

9Planos: 
9 Resposta a Incidentes;
9 Gerenciamento de Incidentes;
Desenvolvendo
e 9 Continuidade de Negócios;
Implementando
uma resposta 9 Recuperação;
de GCN
9 Comunicação (mídia, partes 
interessadas).

9Conteúdo:
9 Papéis e responsabilidades;
Desenvolvimento  e  implementação  dos  9 Ativação;
planos  apropriados  e  dos  preparativos  9 Contatos (internos e externos);
9 Procedimentos (atividades); 
realizados,  de  forma  a  garantir  a 
9 Recursos.
continuidade  das  atividades  críticas  e  o 
gerenciamento dos incidentes.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


NBR 15999 – Ciclo de Vida
• Testando, mantendo e analisando criticamente os preparativos de GCN

9Programa de testes; 
9Manutenção dos Preparativos:
Testando, 9 Novos produtos, serviços, 
Mantendo e
Analisando atividades dependentes, pessoas.
criticamente os
preparativos de 9Análise crítica da capacidade de GCN 
GCN
da organização:
9 Política de GCN em 
conformidade com as leis, 
estratégias; 
9 Resultado de testes;
9 Necessidades das partes 
Garante  que  os  preparativos  para  a  GCN  interessadas.
da  organização  estejam  validados  por  9 Auditoria (interna ou externa ou 
testes  e  análises  críticas  e  que  sejam  auto‐avaliações)
mantidas atualizadas.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


NBR 15999 – Ciclo de Vida
• Incluindo a GCN na cultura da organização

9Conscientização:
9 informativos;
9 publicação intranet;
9 CDD;
9 visitas a instalações 
alternativas;
9Treinamento:
9 execução de BIA;
9 execução de AR;
9 desenvolvimento de 
planos;
O  desenvolvimento,  promoção  e  9 testes de planos.
incorporação  da  cultura  de  GCN  na 
organização  garantem  que  a  GCN  se 
tornará parte  dos  valores  básicos  e  da 
gestão da organização.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


O GCN envolve toda a organização
• A  Gestão  de  Continuidade  de  Negócio  (GCN)  permite  uma 
compreensão  mais  clara  de  como  a  organização  inteira  trabalha 
podendo identificar oportunidades de melhoria.

Clientes

Áreas de
Administração
Negócios

GCN - Gestão da
Pares Continuidade do Fornecedores
Negócio

Técnicos
Usuários

Regulamentação

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


BS 25999‐2:2007 – Especificação

Esta norma especifica os requisitos para estabelecer e gerenciar um SGCN 
eficaz definido por um programa de GCN.

Isso reforça a importância de:

9Entender as necessidades de continuidade de negócios e de estabelecimento 
de uma política e objetivos para a continuidade de negócios;

9Implementar e operar os controles e medidas para gerenciar de forma 
abrangente os riscos da continuidade de negócios da organização;

9Monitorar e analisar criticamente a performance e eficácia do SGCN; e

9Melhoria contínua baseada na medida dos objetivos.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


SGCN
Um sistema de gerenciamento de continuidade de negócios, como qualquer 
outro sistema, tem os seguintes componentes chave:

9 Uma política;
9 Pessoas com responsabilidades definidas;
9 Processos de gerenciamento relativos a:
a. política;
b. planejamento;
c. implementação e operação;
d. análise de performance;
e. análise crítica do gerenciamento;
f. melhorias;
9 Conjunto de documentação fornecendo evidências auditáveis; e
9 Processos de tópicos específicos relativos ao tema, no caso, continuidade 
de negócios, tais como Análise de Impacto nos Negócios (BIA) e 
desenvolvimento de plano de continuidade de negócios.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Estabelecer (Plan)

Estabelecendo e Gerenciando o SGCN
Definir os limites de um SGCN e garantir que os objetivos estão claramente 
definidos,  entendidos  e  comunicados,  o  comprometimento  demonstrado 
da  alta  direção  com  a  GCN,  recursos  são  alocados  e  aqueles  com 
responsabilidades com a GCN são competentes para executar seus papéis.

9Escopo Geral
9Política de GCN
9Provisão de Recursos Gestão
9Habilidades da equipe de GCN do
Programa
de GCN

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Estabelecer (Plan)

Incluindo a GCN na cultura da Organização

Garantir  que  a  organização  implante  a  continuidade  de  negócios  dentro  de  suas 
operações de rotina e gestão de processos, independente do seu tamanho ou setor 
dentro do qual ela atua.

Documentação e Registros do SGCN
Fornecer clara evidência da operação eficaz do
SGCN e a implementação da GCN na organização.

9Documentação do SGCN
9Controle de Documentos
9Procedimentos
9Controle dos registros do SGCN
9Controle dos documentos do SGCN

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Implementação e Operação (Do)

Entendendo a Organização
Permitir  que  a  organização  identifique  as  atividades  críticas  e  recursos 
necessários  para  dar  suporte  aos  principais  produtos  e  serviços,  entender 
suas ameaças e escolher o tratamento de risco adequado.

9Análise de Impacto no Negócio (BIA)
9Análise (avaliação) de Riscos Entendendo a
Organização

9Determinando Opções

Determinando a Estratégia de Continuidade de Negócios
Identificar os acordos de GCN que permitirão a organização recuperar suas 
atividades críticas dentro de seus tempos objetivados de recuperação.

Determinando a
Estratégia de
CN

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Implementação e Operação (Do)

Desenvolvendo e Implementando uma resposta de GCN
Permitir que a organização desenvolva e implemente acordos e planos 
apropriados de GCN para gerenciar qualquer incidente e continuar suas 
atividades críticas.
Desenvolvendo
e
Implementando
9Considerações Gerais uma resposta
de GCN
9Estrutura de Resposta a Incidentes
9Planos de Continuidade e Gerenciamento de Incidentes

Testando, Mantendo e Analisando Criticamente os Preparativos de GCN
Verificar a contínua eficácia das providências da GCN e dar maior 
garantia após um incidente de que as atividades críticas serão 
Testando,
recuperadas como definido. Mantendo e
Analisando
criticamente os
preparativos de
9Testes (Exercícios) de GCN GCN

9Mantendo e Revisando os arranjos da GCN 

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Monitoramento e Revisão do SGCN (CHECK)

Monitoração e Análise Crítica do SGCN
Garantir  que  a  monitoração  do  gerenciamento,  eficiência  e  eficácia  da 
análise crítica do SGCN seja conveniente para: a política de continuidade 
de  negócios;  os  objetivos  e  o  escopo;  e,  para  determinar  ações  de 
correção e melhoria.

9Auditoria Interna
9Revisão Gerencial (Análise Crítica):
9Revisão de Entradas
9Revisão de Saídas

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Manutenção e Melhoria do SGCN (ACT)

Manutenção e Melhoria do SGCN
Manter e melhorar a eficiência e eficácia do SGCN através de ações 
corretivas e preventivas, quando determinado pela análise crítica do 
gerenciamento.

9Ações Preventivas e Corretivas
9Melhoria Contínua 

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


BS 25999 – Certificação

9 BS 25999‐2: 2007
Gerenciamento da Continuidade de Negócios. Parte 2: Especificação; é a BS 
certificável.

9 Estabelece  o  SGCN  – Sistema  de  Gerenciamento  da  Continuidade  de 


Negócios
9 Modelo PDCA aplicado aos processos da GCN

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Benefícios da Certificação na BS 25999
9A certificação permite à companhia: 
9A certificação permite à companhia: 

9 atrair e assegurar clientes, protegendo e realçando sua reputação e    marca
9 atrair e assegurar clientes, protegendo e realçando sua reputação e    marca
9 demonstrar liderança do mercado;
9 demonstrar liderança do mercado;
9 criar vantagem competitiva;
9 criar vantagem competitiva;
9 desenvolver e manter as melhores práticas.
9 desenvolver e manter as melhores práticas.

9Abre novos mercados e ajuda a obter novos negócios;
9Abre novos mercados e ajuda a obter novos negócios;

9Demonstra que as leis e regulamentos aplicáveis estão sendo observados;
9Demonstra que as leis e regulamentos aplicáveis estão sendo observados;

9Cria uma oportunidade para redução de encargos de auditorias internas e externas de 
9Cria uma oportunidade para redução de encargos de auditorias internas e externas de 
GCN e pode reduzir prêmios de seguro sobre a interrupção do negócio. 
GCN e pode reduzir prêmios de seguro sobre a interrupção do negócio. 

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


http://www.saopaulo.sp.gov.br/sis/lenoticia.php?id=94006

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


http://www.bsi-global.com

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Conclusões

9 É um processo robusto
9 É praticado e testado
9 Pode ser validado
9 É a BS 25999 (NBR 15999)

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Sua empresa está preparada?

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Os Fatos

Depois de um grande incidente quantas


organizações sem um plano:
– Nunca reabrem? 
– Reabrem mas fecham em 18 meses? 
– Reabrem mas fecham em 5 anos? 
– Sobrevivem?

Safetynet / Guardian IT

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Os Fatos

Depois de um grande incidente quantas


organizações sem um plano:
– Nunca reabrem? 40%
– Reabrem mas fecham em 18 meses? 40%
– Reabrem mas fecham em 5 anos? 12%
– Sobrevivem? 8%

Safetynet / Guardian IT

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


“As empresas mais bem
sucedidas são aquelas que
sempre possuem um plano B.”
James Yorke,
mathematician, on chaos theory in The New Scientist

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Participe do nosso fórum de segurança

• Acesse www.tisafe.com/forum e cadastre-se

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Contato

• Eletrônico
– www.tisafe.com
– contato@tisafe.com
– Skype: ti-safe (somente voz)

• Telefones
– Rio de Janeiro: (21) 3005-4318 / (21) 2577-0658
– São Paulo: (11) 2122-4236
– Florianópolis: (48) 4062-0172
– Belo Horizonte: (31) 2626-4319
– Porto Alegre: (51) 2626-1253

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.