gestão da continuidade de negócios e as normas abnt nbr 15999-1:2007 e bs 25999-2:2007
TRANSCRIPT
![Page 1: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/1.jpg)
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
GestãoGestão da da ContinuidadeContinuidade de Negde Negóócios e as cios e as NormasNormas ABNT NBR 15999ABNT NBR 15999‐‐1:2007 e 1:2007 e
BS 25999BS 25999‐‐2:20072:2007
![Page 2: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/2.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Termo de Isenção de Responsabilidade
A TI Safe, seus colaboradores e executivos, não se responsabilizam
pelo mal uso das informações aqui prestadas.
Aproveite esta apresentação para ampliar seus conhecimentos em
Segurança da Informação. Use com responsabilidade.
![Page 3: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/3.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Sobre a TI Safe
• Missão
– Fornecer produtos e serviços de
qualidade para a Segurança da
Informação
• Visão
– Ser referência de excelência em
serviços de Segurança da
Informação
• Equipe técnica altamente qualificada
• Apoio de grandes marcas do mercado
![Page 4: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/4.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Não precisa copiar...
www.tisafe.com/ppt
![Page 5: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/5.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
AgendaAgenda
• Motivadores
• Importância das Normas
• ABNT NBR 15999‐1:2007 (BS 25999‐1:2006) – Gestão da Continuidade de Negócios – Código de Prática
• BS 25999‐2:2007 – Gestão da Continuidade de Negócios ‐ Especificação
![Page 6: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/6.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
MotivadoresMotivadores
Os motivadores de um Processo de GCN são, basicamente:
Elementos de estratégia de negócio;
Regulamentações que exijam Contingência
Necessidade de sobreviver no mercado, mesmo em situação de crise
![Page 7: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/7.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
17/08/06 Caxias do Sul 17/08/06 Caxias do Sul -- GranizoGranizo
16/11/06 16/11/06 –– IncêndioIncêndio SadiaSadia ––ToledoToledo--PRPR
26/06/06 26/06/06 VazamentoVazamento de de GGááss inflaminflamáávelvel Marginal Marginal PinheirosPinheiros –– São PauloSão Paulo
24/05/06 24/05/06 –– PCC e PCC e conseqconseqüüenteentecaoscaos no no TrânsitoTrânsito de São Paulode São Paulo
30/11/06 - Chuva provoca 22 pontos dealagamento na cidade de SP
São Paulo – 08/03/07 -Manifestações Av. Paulita – Visita Bush
09/01/07 09/01/07 -- IncêndioIncêndio JustiJustiççaa Federal Federal -- Av. Av. PaulistaPaulista
07/01/07 – Desmoronamento causado pela chuva 12/01/07 – Acidente Metrô - SP
Onde se Aplica?Onde se Aplica?
![Page 8: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/8.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Historicamente:
– Incêndios– Furacões– Tornados– Terremotos– Inundações– Apagões
Hoje:
– Cybercrime e Queda no Serviço– AtaquesTerroristas– Invasão por equipamentos Wireless– Conectidade de parceiros de Negócios – Preocupação com Infra‐estrutura pública(telecom, aeroportos, entre outros)
– Proteção de Capital Humano (Epidemias)– Na Verdade: Qualquer coisa possível
Características:Estatísticamente previsto, quantificável, assegurável e compreensível;
Características:Intencional, difícil de quantificar, não hálimite de fronteiras para sua origem, nãohá como dimensionar a confiabilidade;
A mudanA mudançça das Ameaa das Ameaççasas
![Page 9: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/9.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
FrameworksFrameworks
ISO 27001, ISO 27002 (Cap. 14)
ITIL / ISO 20000 (6.3 Service continuity and availability management)
Cobit (DS4)
Coso (atendimento à regulamentações)
ISO 15408
Entre outros...
![Page 10: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/10.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
RegulamentaRegulamentaçções e Legislaões e Legislaççõesões
Segmento Financeiro
Resoluções Banco Central (SPB, 3380, 2554, 2817,..)
Exemplo: 3380 – Risco OperacionalArt. 3Art. 3ºº ‐‐ A estrutura de gerenciamento do risco A estrutura de gerenciamento do risco
operacional deve prever: operacional deve prever:
VI VI ‐‐ existência de plano de contingência contendo as existência de plano de contingência contendo as estratestratéégias a serem adotadas para assegurar gias a serem adotadas para assegurar condicondiçções de continuidade das atividades e para ões de continuidade das atividades e para limitar graves perdas decorrentes de risco limitar graves perdas decorrentes de risco operacional; operacional;
Basiléia II
BM&F/PQO
PCI/DSS
BITS
![Page 11: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/11.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
RegulamentaRegulamentaçções e Legislaões e Legislaççõesões
Mercado de Capitais
CVM, SEX/SOx
Segmento Telecom
CONTRATO DAS TELECOM’S
Seguros e Previdência
SUSEP, SPC/CGPC 13
TCU ‐Melhores Práticas em Segurança da Informação
Novo Código Civil
![Page 12: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/12.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Importância das NormasImportância das Normas
Por que um padrão?
Um consenso pleno de todas as partes interessadas, de forma não imposta (inclui governos, empresas, comércio, ONG's e profissionais das áreas) ;
Atualizado a um ciclo regular ;
As melhores práticas não são uma prática generalizada, embora aspirem...
Facilita processos de Auditoria e Certificação, caso necessários
![Page 13: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/13.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
![Page 14: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/14.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
ABNT NBR 15999ABNT NBR 15999‐‐1:2007 1:2007 –– CCóódigo de Prdigo de Prááticatica
Uma aproximação da gerência de risco à continuidade do negócio;
A continuidade do negócio é agora uma das discussões mais importantes do risco que concerne às organizações. Ter planos de continuidade do negócio significa não somente possuir cópias de segurança de sistemas de informação e equipamento da contingência ‐ é muito mais complexo:
Não é mais um modismo, mas parte integrante da gestão dos negócios;
Deve ser integrado através de todas as funções do negócio; Não é mais vista como especialidade de TI.
Uma aproximação da gerência de risco à continuidade do negócio;
A continuidade do negócio é agora uma das discussões mais importantes do risco que concerne às organizações. Ter planos de continuidade do negócio significa não somente possuir cópias de segurança de sistemas de informação e equipamento da contingência ‐ é muito mais complexo:
Não é mais um modismo, mas parte integrante da gestão dos negócios;
Deve ser integrado através de todas as funções do negócio; Não é mais vista como especialidade de TI.
A NBR 15999 é uma norma, orientada ao negócio, que visa subsidiar a
implementação de um SGCN ‐ Sistema de Gerenciamento da Continuidade de
Negócios.
![Page 15: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/15.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
ABNT NBR 15999ABNT NBR 15999‐‐1:2007 1:2007 –– CCóódigo de Prdigo de Prááticatica
Estabelece o processo, os princípios e a terminologia da Gestão da Continuidade de Negócios (GCN).
Fornece uma base para entendimento, desenvolvimento e implementação da CN em uma organização.
Permite uma avaliação da capacidade de GCN de maneira consistente e reconhecida.
![Page 16: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/16.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O que O que éé a GCN?a GCN?
Um processo da organização que estabelece uma estrutura estratégica e operacional adequada para:
Melhorar proativamente a resiliência da organização contra possíveis interrupções.
Prover uma prática para restabelecer a capacidade de fornecimento de produtos e serviços.
Obter reconhecida capacidade de gerenciar uma interrupção no negócio, protegendo marca e reputação.
![Page 17: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/17.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Ciclo de Vida da GCNCiclo de Vida da GCN
![Page 18: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/18.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
NBR 15999 NBR 15999 –– Ciclo de VidaCiclo de Vida
• Gestão do Programa de GCN Atribuição de responsabilidades;Implementação da continuidade de negócios na organização;Gestão contínua da Continuidade de Negócios.
A participação da alta direção é fundamental para garantir que o processo de GCN seja corretamente introduzido, suportado e estabelecido como parte da cultura da organização.
Criação de uma Política de GCN.
Define‐se o Escopo da GCN
Gestão do
Programa de GCN
![Page 19: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/19.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
NBR 15999 NBR 15999 –– Ciclo de VidaCiclo de Vida
• Entendendo a Organização Análise de Impacto no Negócio (BIA):atividades críticas impactos;tempo objetivado de
recuperação;recursos necessários (pessoal,
ambiente, tecnologia).Avaliação de Riscos:
ameaças;vulnerabilidades;riscos.
Compreensão da organização por meio daidentificação de seus produtos e serviços fundamentais e das atividades críticas e dos recursos que a suportam.
Entendendo a Organização
![Page 20: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/20.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
NBR 15999 NBR 15999 –– Ciclo de VidaCiclo de Vida
• Definindo a Estratégia de Continuidade de Negócios
Opções:período máximo de
interrupção; custos de implementação da(s)
estratégia(s);conseqüências de não se agir.
Recursos a considerar:pessoas;instalações;tecnologia;informação;suprimentos;partes interessadas.
A organização estará numa posição apropriada para efetuar a escolha das estratégias de continuidade dos negócios apropriadas ao alcance de seus objetivos bem como a sua recuperação.
Determinando a Estratégia de
CN
![Page 21: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/21.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
NBR 15999 NBR 15999 –– Ciclo de VidaCiclo de Vida
• Desenvolvendo e Implementando uma resposta de GCN
Planos: Resposta a Incidentes;Gerenciamento de Incidentes;Continuidade de Negócios;Recuperação;Comunicação (mídia, partes
interessadas).
Conteúdo:Papéis e responsabilidades;Ativação;Contatos (internos e externos);Procedimentos (atividades); Recursos.
Desenvolvimento e implementação dos planos apropriados e dos preparativos realizados, de forma a garantir a continuidade das atividades críticas e o gerenciamento dos incidentes.
Desenvolvendo e
Implementando uma resposta
de GCN
![Page 22: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/22.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
NBR 15999 NBR 15999 –– Ciclo de VidaCiclo de Vida
• Testando, mantendo e analisando criticamente os preparativos de GCN
Programa de testes; Manutenção dos Preparativos:
Novos produtos, serviços, atividades dependentes, pessoas.
Análise crítica da capacidade de GCN da organização:
Política de GCN em conformidade com as leis, estratégias; Resultado de testes;Necessidades das partes
interessadas.Auditoria (interna ou externa ou auto‐avaliações)
Garante que os preparativos para a GCN da organização estejam validados por testes e análises críticas e que sejam mantidas atualizadas.
Testando, Mantendo e Analisando
criticamente os preparativos de
GCN
![Page 23: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/23.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
NBR 15999 NBR 15999 –– Ciclo de VidaCiclo de Vida
• Incluindo a GCN na cultura da organização
Conscientização:informativos;publicação intranet;CDD;visitas a instalações
alternativas;Treinamento:
execução de BIA;execução de AR;desenvolvimento de
planos;testes de planos.O desenvolvimento, promoção e
incorporação da cultura de GCN na organização garantem que a GCN se tornará parte dos valores básicos e da gestão da organização.
![Page 24: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/24.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O GCN envolve toda a organizaO GCN envolve toda a organizaççãoão• A Gestão de Continuidade de Negócio (GCN) permite uma
compreensão mais clara de como a organização inteira trabalha podendo identificar oportunidades de melhoria.
Usuários
FornecedoresPares
Áreas de Negócios Administração
Técnicos
GCN - Gestão da Continuidade do
Negócio
Clientes
Regulamentação
![Page 25: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/25.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
BS 25999BS 25999‐‐2:2007 2:2007 –– EspecificaEspecificaççãoão
Esta norma especifica os requisitos para estabelecer e gerenciar um SGCN eficaz definido por um programa de GCN.
Isso reforça a importância de:
Entender as necessidades de continuidade de negócios e de estabelecimento de uma política e objetivos para a continuidade de negócios;
Implementar e operar os controles e medidas para gerenciar de forma abrangente os riscos da continuidade de negócios da organização;
Monitorar e analisar criticamente a performance e eficácia do SGCN; e
Melhoria contínua baseada na medida dos objetivos.
![Page 26: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/26.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
SGCNSGCNUm sistema de gerenciamento de continuidade de negócios, como qualquer outro sistema, tem os seguintes componentes chave:
Uma política;Pessoas com responsabilidades definidas;
Processos de gerenciamento relativos a:a. política;b. planejamento;c. implementação e operação;d. análise de performance;e. análise crítica do gerenciamento;f. melhorias;
Conjunto de documentação fornecendo evidências auditáveis; eProcessos de tópicos específicos relativos ao tema, no caso, continuidade de negócios, tais como Análise de Impacto nos Negócios (BIA) e desenvolvimento de plano de continuidade de negócios.
![Page 27: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/27.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
![Page 28: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/28.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Estabelecer (Estabelecer (PlanPlan))
Estabelecendo e Gerenciando o SGCN
Definir os limites de um SGCN e garantir que os objetivos estão claramente definidos, entendidos e comunicados, o comprometimento demonstrado da alta direção com a GCN, recursos são alocados e aqueles com responsabilidades com a GCN são competentes para executar seus papéis.
Escopo GeralPolítica de GCNProvisão de RecursosHabilidades da equipe de GCN
Gestão do
Programa de GCN
![Page 29: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/29.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Estabelecer (Estabelecer (PlanPlan))
Incluindo a GCN na cultura da Organização
Garantir que a organização implante a continuidade de negócios dentro de suas operações de rotina e gestão de processos, independente do seu tamanho ou setor dentro do qual ela atua.
Documentação e Registros do SGCN
Fornecer clara evidência da operação eficaz doSGCN e a implementação da GCN na organização.
Documentação do SGCNControle de DocumentosProcedimentosControle dos registros do SGCNControle dos documentos do SGCN
![Page 30: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/30.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
ImplementaImplementaçção e Operaão e Operaçção (Do)ão (Do)
Entendendo a Organização
Permitir que a organização identifique as atividades críticas e recursos necessários para dar suporte aos principais produtos e serviços, entender suas ameaças e escolher o tratamento de risco adequado.
Análise de Impacto no Negócio (BIA)Análise (avaliação) de RiscosDeterminando Opções
Determinando a Estratégia de Continuidade de Negócios
Identificar os acordos de GCN que permitirão a organização recuperar suas atividades críticas dentro de seus tempos objetivados de recuperação.
Entendendo a Organização
Determinando a Estratégia de
CN
![Page 31: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/31.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
ImplementaImplementaçção e Operaão e Operaçção (Do)ão (Do)
Desenvolvendo e Implementando uma resposta de GCN
Permitir que a organização desenvolva e implemente acordos e planos apropriados de GCN para gerenciar qualquer incidente e continuar suas atividades críticas.
Considerações GeraisEstrutura de Resposta a IncidentesPlanos de Continuidade e Gerenciamento de Incidentes
Testando, Mantendo e Analisando Criticamente os Preparativos de GCN
Verificar a contínua eficácia das providências da GCN e dar maior garantia após um incidente de que as atividades críticas serão recuperadas como definido.
Testes (Exercícios) de GCNMantendo e Revisando os arranjos da GCN
Desenvolvendo e
Implementando uma resposta
de GCN
Testando, Mantendo e Analisando
criticamente os preparativos de
GCN
![Page 32: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/32.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Monitoramento e Revisão do SGCN (CHECK)Monitoramento e Revisão do SGCN (CHECK)
Monitoração e Análise Crítica do SGCN
Garantir que a monitoração do gerenciamento, eficiência e eficácia da análise crítica do SGCN seja conveniente para: a política de continuidade de negócios; os objetivos e o escopo; e, para determinar ações de correção e melhoria.
Auditoria InternaRevisão Gerencial (Análise Crítica):
Revisão de EntradasRevisão de Saídas
![Page 33: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/33.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
ManutenManutençção e Melhoria do SGCN (ACT)ão e Melhoria do SGCN (ACT)
Manutenção e Melhoria do SGCN
Manter e melhorar a eficiência e eficácia do SGCN através de ações corretivas e preventivas, quando determinado pela análise crítica do gerenciamento.
Ações Preventivas e CorretivasMelhoria Contínua
![Page 34: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/34.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
BS 25999 BS 25999 –– CertificaCertificaççãoão
BS 25999‐2: 2007
Gerenciamento da Continuidade de Negócios. Parte 2: Especificação; é a BS certificável.
Estabelece o SGCN – Sistema de Gerenciamento da Continuidade de Negócios
Modelo PDCA aplicado aos processos da GCN
![Page 35: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/35.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
BenefBenefíícios da Certificacios da Certificaçção na BS 25999ão na BS 25999
A certificação permite à companhia:
atrair e assegurar clientes, protegendo e realçando sua reputação e marca
demonstrar liderança do mercado;
criar vantagem competitiva;
desenvolver e manter as melhores práticas.
Abre novos mercados e ajuda a obter novos negócios;
Demonstra que as leis e regulamentos aplicáveis estão sendo observados;
Cria uma oportunidade para redução de encargos de auditorias internas e externas de GCN e pode reduzir prêmios de seguro sobre a interrupção do negócio.
A certificação permite à companhia:
atrair e assegurar clientes, protegendo e realçando sua reputação e marca
demonstrar liderança do mercado;
criar vantagem competitiva;
desenvolver e manter as melhores práticas.
Abre novos mercados e ajuda a obter novos negócios;
Demonstra que as leis e regulamentos aplicáveis estão sendo observados;
Cria uma oportunidade para redução de encargos de auditorias internas e externas de GCN e pode reduzir prêmios de seguro sobre a interrupção do negócio.
![Page 36: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/36.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
http://www.saopaulo.sp.gov.br/sis/lenoticia.php?id=94006
![Page 37: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/37.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
http://www.bsi-global.com
![Page 38: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/38.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
ConclusõesConclusões
É um processo robusto
É praticado e testado
Pode ser validado
É a BS 25999 (NBR 15999)
![Page 39: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/39.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Sua empresa estSua empresa estáá preparada?preparada?
![Page 40: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/40.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Os Os FatosFatos
Depois de um grande incidente quantasorganizações sem um plano:– Nunca reabrem?
– Reabrem mas fecham em 18 meses?
– Reabrem mas fecham em 5 anos?
– Sobrevivem?
Safetynet / Guardian IT
![Page 41: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/41.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Os Os FatosFatos
Depois de um grande incidente quantasorganizações sem um plano:– Nunca reabrem? 40%
– Reabrem mas fecham em 18 meses? 40%
– Reabrem mas fecham em 5 anos? 12%
– Sobrevivem? 8%
Safetynet / Guardian IT
![Page 42: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/42.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
““As As empresasempresas maismais bembemsucedidassucedidas sãosão aquelasaquelas quequesempresempre possuempossuem um um planoplano B.B.””
James Yorke, mathematician, on chaos theory in The New Scientist
![Page 43: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/43.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Participe do nosso fórum de segurança
• Acesse www.tisafe.com/forum e cadastre-se
![Page 44: Gestão da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-2:2007](https://reader036.vdocuments.net/reader036/viewer/2022081718/5571f2b949795947648cf336/html5/thumbnails/44.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Contato
• Eletrônico– www.tisafe.com
– Skype: ti-safe (somente voz)
• Telefones– Rio de Janeiro: (21) 3005-4318 / (21) 2577-0658
– São Paulo: (11) 2122-4236
– Florianópolis: (48) 4062-0172
– Belo Horizonte: (31) 2626-4319
– Porto Alegre: (51) 2626-1253