requisitos da continuidade(dos negócios)na segurança da informação

www.datacenterdynamics.com 1

Requisitos da continuidade(dos negócios)

na segurança da informação

Sidney R. Modenesi, MBCI, ISO 22301 BSI Technical ExpertForum Leader Brasil

BCI – The Business Continuity Institutewww.thebci.org

São Paulo, 05 de Novembro de 2014

http://www.thebci.org/

www.datacenterdynamics.com

Apresentações

Sidney R. Modenesi• Gerente da STROHL Brasil;

• ISO 22301 BSI Technical Expert, 2013;

• Certificado MBCI pelo BCI em 2006;

• Mais de 25 anos de experiência em DRP/BCM;

• Instrutor internacional de BCM (ISO 22301, 22313 & outras);

• Representante do BCI - Business Continuity Institute no Brasil.

br.linkedin.com/in/sidneymodenesimbci/

BCI – Business Continuity Institute• Instituto inglês, sem fins

lucrativos;

• Promove a arte e a ciência da Continuidade de Negócios pelo mundo;

• Colabora no desenvolvimento de normas e boas praticas de Continuidade de Negócios;

• Tem um programa capacitação e certificação profissional.

www.thebci.org

22






Requisitos da continuidade na

segurança dainformação


Controles eObjetivos de controle – A17

4


Objetivo

Assegurar que a continuidade dasegurança da informaçãoesteja (DEVE) inserida no

Sistema de Gestão daContinuidade de Negócios

da organização.

Ou seja, mesmo numa contingência reala segurança da informação DEVE estar operando.

5


Sistema de Gestão daContinuidade de Negócios

Processo abrangente de gestão queidentifica ameaças potenciais para uma organização e

os possíveis impactos nas operações de negóciocaso estas ameaças se concretizem.

Este processo fornece uma estrutura para quese desenvolva uma resiliência organizacional que

seja capaz de responder eficazmente esalvaguardar os interesses das partes interessadas,

a reputação e a marca da organização esuas atividades de valor agregado.

ABNT NBR/ISO 22301:2012 Segurança da sociedade — Sistema de gestão de continuidade de negócios — Requisitos


PDCA model applied to BCMS processes - ISO 22301:20127

Ciclo de vida daISO 22301:2012


Leis e RegulamentaçõesNormas e Boas PráticasLeis e Regulamentações• Resolução 3380:2006 – BACEN - Dispõe sobre a implementação de

estrutura de gerenciamento do risco operacional• Circular 285:2005 – SUSEP - Estabelece cadastro de recursos e

mapa de saldos, referentes às áreas de tecnologia da informação e contábil ...

• DECRETO Nº 6.523:2008 – Regulamenta a Lei no 8.078, de 11 de setembro de 1990, para fixar normas gerais sobre o Serviço de Atendimento ao Consumidor - SAC.

• Lei Sarbanes-Oxley, JSOX ...• ISO 22301- 4.2.2 Requisitos legais e regulatórios - Cada empresa

deve sistematicamente revisar e avaliar todas as leis, normas, regulamentações ou itens regulatórios a que está sujeita.


Leis e RegulamentaçõesNormas e Boas PráticasNormas e Boas Práticas• ABNT NBR/ISO 22301:2013 - Segurança da sociedade —

Sistema de gestão de continuidade de negócios — Requisitos• ISO 22313:2012 - Societal security — Business continuity

management systems — Guidance• ISO 22398:2013 - Societal security — Guidelines for exercises• ISO 31000:2009 - Risk management — Principles and

guidelines• BS 11200:2014 - Crisis management – Guidance and good

practice• ISO 20000 partes 1 e 2 - Information technology — Service

management• ISO 27001 e 27002 - Tecnologia da informação — Técnicas de

segurança — Sistemas de gestão da segurança da informação


Tipos de Ameaças Potenciais

10

Naturais Mudanças climáticas: calor, frio, chuva ou seca intensa; terremoto, vulcão, furacão ...

FísicasIncêndio ou outras emergências, vazamento tóxico no sítio ou nas proximidades, segurança de acesso, invasões, terrorismo ...

Humanas Absenteísmo: greve, pandemia, epidemia; terrorismo, atentado, manifestação ...

Segurança da Informação

Invasões, roubo ou vazamento de informações, hackers, vírus, trojan ...

Combinação de várias

Naturais e/ou físicas e/ou humanas e/ou de segurança da informação na organização ou na sua cadeia de fornecedores


EXEMPLOS DE AMEAÇAS POTENCIAIS DE SEGURANÇA DA INFORMAÇÃO


I can´t allow the US

government to

destroy privacy

and basic libertiesEdward Joseph Snowden1 (Elizabeth City, 21 de junho de 1983) é um analista de sistemas, 2 ex-funcionário da (CIA) e ex-contratado da (NSA) 3 que tornou público detalhes de vários programas que constituem o sistema de vigilância global da NSA americana e fotos comprometedoras do presidente americano, Barack Obama.http://pt.wikipedia.org/wiki/Edward_Snowden

http://pt.wikipedia.org/wiki/Edward_Snowden

http://pt.wikipedia.org/wiki/Elizabeth_City

http://pt.wikipedia.org/wiki/21_de_junho

http://pt.wikipedia.org/wiki/1983

http://pt.wikipedia.org/wiki/An%C3%A1lise_de_sistemas


http://pt.wikipedia.org/wiki/Ag%C3%AAncia_Central_de_Intelig%C3%AAncia

http://pt.wikipedia.org/wiki/Ag%C3%AAncia_de_Seguran%C3%A7a_Nacional




http://pt.wikipedia.org/w/index.php?title=Vigil%C3%A2ncia_global&action=edit&redlink=1


http://pt.wikipedia.org/w/index.php?title=Vigil%C3%A2ncia_global&action=edit&redlink=1


Mais Exemplos

14


Mais Exemplos

15


Executives should understand 4 basic points about security:1.A well-executed data breach is potentially

more dangerous to your business than a recession.

2.Cybercrime isn’t someone else’s problem; it’s your problem.

3.There’s a reason for the deafening silence. Just because you haven’t heard your C-suite peers at other firms talk of security breaches doesn’t mean they’re not happening, nor does the fact that you haven’t found anything in your systems mean you’re safe.

4.You probably don’t understand where your data is.

16

Responsabilidades

http://bits.blogs.nytimes.com/2013/05/28/lulzsec-hacker-pleads-guilty/


Institute of Risk Managementwww.theirm.org/documents/Final_IRM_CyberRisk_ExecSumm_A5_low-res.pdf

Verizon's 2024 Data Breach Reportwww.verizonenterprise.com/DBIR/2014/reports/rp_Verizon-DBIR-2014_en_xg.pdf

17

http://www.theirm.org/documents/Final_IRM_CyberRisk_ExecSumm_A5_low-res.pdf

http://www.theirm.org/documents/Final_IRM_CyberRisk_ExecSumm_A5_low-res.pdf

http://www.verizonenterprise.com/DBIR/2014/reports/rp_Verizon-DBIR-2014_en_xg.pdf

http://www.verizonenterprise.com/DBIR/2014/reports/rp_Verizon-DBIR-2014_en_xg.pdf


SEGURANÇA DA INFORMAÇÃO E CONTINUIDADE DE NEGÓCIOS


Segurança da Informação eContinuidade de Negócios

Segurança da informação Ameaça potencial

Ameaça potencial Impactos nas operações

Impactos financeiros, operacionais, imagem, regulatórios, credibilidade ...

19


Análise de Riscos

Análise de Impacto nos

Negócios

Estratégias de Recuperação

Desenvolvimento dos Planos de Contingência

Exercícios e Testes Evolutivos

20

Riscos:•Infraestrutura•TIC•Segurança da Informação•Recursos humanos

Impactos:•financeiros•operacionais•MTPD, MBCO•RTO, RPO

Apetite ao RiscoCAPEX, OPEX

vs.Impactos

PlanosResposta a

IncidentesGerenc. de CriseComunicaçãode TIC DRPde Negócios

Programa evolutivoassegurar às partes interessadas que tudo funcionará no pior cenário a qualquer tempo

C.N. – PlanejamentoVisão Simplificada


Cenários de Ameaças Potenciais

Sede 1

Provedor de serviços de TIC

Xxx colaboradoresCentrais de Atend.,Varias áreas de negócioData Center local

Sede 2

X X

X

PABXCentrais de

atendimentoÁreas de negócioData Center local

Zzz colaboradoresCentrais de Atend.,Outras áreas de negócios

XX21


Mudanças Contínuas

• Mercado;• Legislação e/ou regulamentação;• Tecnologia;• Processos;• Ameaças potenciais Riscos; • Oportunidades;

22

“Hoje, a única certeza, é a certeza da mudança”Dr. José Arnaldo Deutscher, economista pela UFRJ


tempo

IMPACTOSCAPEX e OPEXR$

t0t1< t0

< Apetite ao Risco

t2 > t0

> Apetite ao Risco

R$

Apetite ao Risco(Depende do Cenário de Ameaça Potencial)

23

•Perda de receita•Multas e penalidades,•Imagem da empresa,•Itens regulatórios: Código Civil, Lei do SAC, Compliance com órgãos reguladores•...

• Espaço físico• Mesas, cadeiras• Telefones, fax• Micros• PAs• Registros vitais• ...• Infraestrutura:• links•energia elétrica• ar condicionado• suprimentos• ...


ISO 27001 e 22301

ISO 223015.1 Liderança e comprometimentoOs membros da Alta Direção e demais gestores com papéis relevantes dentro da organização devem demonstrar liderança em relação ao SGCN.

5.2 Comprometimento da Direção... garantir que políticas e objetivos sejam estabelecidos para o SGCN e que sejam compatíveis com as diretrizes estratégicas da organização.

24

ISO 270015.1 Liderança e comprometimentoA Alta Direção deve demonstrar comprometimento em relação ao sistema de gestão da segurança da informação pelos seguintes meios:

a) assegurando que a política de segurança da informação e os objetivos de segurança da informação estão estabelecidos e são compatíveis com a direção estratégica da organização


A Organização Conhece?

• O seu apetite ao risco?– Riscos e oportunidades

• Seu contexto e sua organização?

• Suas necessidades internas e externas?

• As expectativas das partes interessadas?– Níveis de serviço por exemplo;

• As leis e regulamentações a serem cumpridas?

25


RECEITA TRADICIONAL


Ingredientes

• Use, ingredientes de boa qualidade;• CRO – Chief Risk Officer - ISO 31000 e

31010;• BCC – Business Continuity

Coordinator – ISO 22301 e 22313;• CIO – ISO 20000, ITIL;• CSO – Chief Security Officer –

ISO 27001 e 27002;• Processos – ISO 9000;• Adicione na medida do necessário: leis,

regulamentações, COBIT, COSO, TOGAF, 6 Sigma …

27


Modo de Preparo

28

1. Faça uma boa Análise de Riscos no contexto do programa (Continuidade de Negócios ou Segurança da Informação) e reserve;

2. Alinhe os resultados da Análise de Riscos com a Análise de Riscos Corporativos – CRO e reserve;


Modo de Preparo

3. Faça uma boa Análise (Executiva/Estratégica) de Impacto nos Negócios no contexto do programa e reserve;– pode ter múltiplos cenários;

4. Estime os investimentos, despesas recorrentes, recursos necessários, gaps e prazos realistas de implantação do programa e reserve.

29


• Desenvolva uma excelente apresentação executiva e respectivo relatório de apoio;– Tenha pronto o detalhamento (racional);– Modo de Preparo;

• APETITE AO RISCO – DECISÃO• Faça os ajustes no

Programa/Projeto x Apetite ao Risco aprovado;

• Servir a gosto Execute como definido!

Modo de Preparo

30


Riscos e Oportunidades do Programa

http://proatividademercado.com.br/o-conceito 31

http://proatividademercado.com.br/o-conceito


A Organização será Proativa(continuidade de negócios esegurança da informação)

• O nível C está alinhado, o Apetite ao Risco está definido e divulgado;

• Os programas de Continuidade de Negócios e de Segurança da Informação estão alinhados com o Planejamento Estratégico antecipando Riscos e Oportunidades;

• Estes objetivos estão estabelecidos, divulgados e praticados por todos.

http://oglobo.globo.com/blogs/arquivos_upload/2011/11/102_1028-blogperigo.jpg

32





Sistema Integrado de Gestão

Gestão de Riscos

ISO 31000

Seg. da InformaçãoISO 27001

Cont. de NegóciosISO 22301

Serviços de TIC

ISO 20000ProcessosISO 9000

COBIT, COSO, TOGAF

6 Sigma …

33


Qual o Caminho Certo?

Este? Ou este?

34

Isto é assunto para outra palestra!


Sidney R. ModenesiMBCI, BSI ISO 22301 Technical [email protected]+55 11 5583-0033br.linkedin.com/in/sidneymodenesimbci

35

Esta apresentação estará disponível no site da DatacenterDynamics e também no meu Linkedin via Slideshare.

mailto:[email protected]

mailto:[email protected]

requisitos da continuidade(dos negócios)na segurança da informação

Technology