requisitos da continuidade(dos negócios)na segurança da informação
DESCRIPTION
Integração dos requisitos de continuidade da Segurança da Informação com a Continuidade de NegóciosTRANSCRIPT
www.datacenterdynamics.com 1
Requisitos da continuidade(dos negócios)
na segurança da informação
Sidney R. Modenesi, MBCI, ISO 22301 BSI Technical ExpertForum Leader Brasil
BCI – The Business Continuity Institutewww.thebci.org
São Paulo, 05 de Novembro de 2014
www.datacenterdynamics.com
Apresentações
Sidney R. Modenesi• Gerente da STROHL Brasil;
• ISO 22301 BSI Technical Expert, 2013;
• Certificado MBCI pelo BCI em 2006;
• Mais de 25 anos de experiência em DRP/BCM;
• Instrutor internacional de BCM (ISO 22301, 22313 & outras);
• Representante do BCI - Business Continuity Institute no Brasil.
br.linkedin.com/in/sidneymodenesimbci/
BCI – Business Continuity Institute• Instituto inglês, sem fins
lucrativos;
• Promove a arte e a ciência da Continuidade de Negócios pelo mundo;
• Colabora no desenvolvimento de normas e boas praticas de Continuidade de Negócios;
• Tem um programa capacitação e certificação profissional.
www.thebci.org
22
www.datacenterdynamics.com
Requisitos da continuidade na
segurança dainformação
www.datacenterdynamics.com
Controles eObjetivos de controle – A17
4
www.datacenterdynamics.com
Objetivo
Assegurar que a continuidade dasegurança da informaçãoesteja (DEVE) inserida no
Sistema de Gestão daContinuidade de Negócios
da organização.
Ou seja, mesmo numa contingência reala segurança da informação DEVE estar operando.
5
www.datacenterdynamics.com 6
Sistema de Gestão daContinuidade de Negócios
Processo abrangente de gestão queidentifica ameaças potenciais para uma organização e
os possíveis impactos nas operações de negóciocaso estas ameaças se concretizem.
Este processo fornece uma estrutura para quese desenvolva uma resiliência organizacional que
seja capaz de responder eficazmente esalvaguardar os interesses das partes interessadas,
a reputação e a marca da organização esuas atividades de valor agregado.
ABNT NBR/ISO 22301:2012 Segurança da sociedade — Sistema de gestão de continuidade de negócios — Requisitos
www.datacenterdynamics.com
PDCA model applied to BCMS processes - ISO 22301:20127
Ciclo de vida daISO 22301:2012
www.datacenterdynamics.com
Leis e RegulamentaçõesNormas e Boas PráticasLeis e Regulamentações• Resolução 3380:2006 – BACEN - Dispõe sobre a implementação de
estrutura de gerenciamento do risco operacional• Circular 285:2005 – SUSEP - Estabelece cadastro de recursos e
mapa de saldos, referentes às áreas de tecnologia da informação e contábil ...
• DECRETO Nº 6.523:2008 – Regulamenta a Lei no 8.078, de 11 de setembro de 1990, para fixar normas gerais sobre o Serviço de Atendimento ao Consumidor - SAC.
• Lei Sarbanes-Oxley, JSOX ...• ISO 22301- 4.2.2 Requisitos legais e regulatórios - Cada empresa
deve sistematicamente revisar e avaliar todas as leis, normas, regulamentações ou itens regulatórios a que está sujeita.
www.datacenterdynamics.com
Leis e RegulamentaçõesNormas e Boas PráticasNormas e Boas Práticas• ABNT NBR/ISO 22301:2013 - Segurança da sociedade —
Sistema de gestão de continuidade de negócios — Requisitos• ISO 22313:2012 - Societal security — Business continuity
management systems — Guidance• ISO 22398:2013 - Societal security — Guidelines for exercises• ISO 31000:2009 - Risk management — Principles and
guidelines• BS 11200:2014 - Crisis management – Guidance and good
practice• ISO 20000 partes 1 e 2 - Information technology — Service
management• ISO 27001 e 27002 - Tecnologia da informação — Técnicas de
segurança — Sistemas de gestão da segurança da informação
www.datacenterdynamics.com
Tipos de Ameaças Potenciais
10
Naturais Mudanças climáticas: calor, frio, chuva ou seca intensa; terremoto, vulcão, furacão ...
FísicasIncêndio ou outras emergências, vazamento tóxico no sítio ou nas proximidades, segurança de acesso, invasões, terrorismo ...
Humanas Absenteísmo: greve, pandemia, epidemia; terrorismo, atentado, manifestação ...
Segurança da Informação
Invasões, roubo ou vazamento de informações, hackers, vírus, trojan ...
Combinação de várias
Naturais e/ou físicas e/ou humanas e/ou de segurança da informação na organização ou na sua cadeia de fornecedores
www.datacenterdynamics.com
EXEMPLOS DE AMEAÇAS POTENCIAIS DE SEGURANÇA DA INFORMAÇÃO
www.datacenterdynamics.com 12
I can´t allow the US
government to
destroy privacy
and basic libertiesEdward Joseph Snowden1 (Elizabeth City, 21 de junho de 1983) é um analista de sistemas, 2 ex-funcionário da (CIA) e ex-contratado da (NSA) 3 que tornou público detalhes de vários programas que constituem o sistema de vigilância global da NSA americana e fotos comprometedoras do presidente americano, Barack Obama.http://pt.wikipedia.org/wiki/Edward_Snowden
www.datacenterdynamics.com 13
www.datacenterdynamics.com
Mais Exemplos
14
www.datacenterdynamics.com
Mais Exemplos
15
www.datacenterdynamics.com
Executives should understand 4 basic points about security:1.A well-executed data breach is potentially
more dangerous to your business than a recession.
2.Cybercrime isn’t someone else’s problem; it’s your problem.
3.There’s a reason for the deafening silence. Just because you haven’t heard your C-suite peers at other firms talk of security breaches doesn’t mean they’re not happening, nor does the fact that you haven’t found anything in your systems mean you’re safe.
4.You probably don’t understand where your data is.
16
Responsabilidades
www.datacenterdynamics.com
Institute of Risk Managementwww.theirm.org/documents/Final_IRM_CyberRisk_ExecSumm_A5_low-res.pdf
Verizon's 2024 Data Breach Reportwww.verizonenterprise.com/DBIR/2014/reports/rp_Verizon-DBIR-2014_en_xg.pdf
17
www.datacenterdynamics.com
SEGURANÇA DA INFORMAÇÃO E CONTINUIDADE DE NEGÓCIOS
www.datacenterdynamics.com
Segurança da Informação eContinuidade de Negócios
Segurança da informação Ameaça potencial
Ameaça potencial Impactos nas operações
Impactos financeiros, operacionais, imagem, regulatórios, credibilidade ...
19
www.datacenterdynamics.com
Análise de Riscos
Análise de Impacto nos
Negócios
Estratégias de Recuperação
Desenvolvimento dos Planos de Contingência
Exercícios e Testes Evolutivos
20
Riscos:•Infraestrutura•TIC•Segurança da Informação•Recursos humanos
Impactos:•financeiros•operacionais•MTPD, MBCO•RTO, RPO
Apetite ao RiscoCAPEX, OPEX
vs.Impactos
PlanosResposta a
IncidentesGerenc. de CriseComunicaçãode TIC DRPde Negócios
Programa evolutivoassegurar às partes interessadas que tudo funcionará no pior cenário a qualquer tempo
C.N. – PlanejamentoVisão Simplificada
www.datacenterdynamics.com
Cenários de Ameaças Potenciais
Sede 1
Provedor de serviços de TIC
Xxx colaboradoresCentrais de Atend.,Varias áreas de negócioData Center local
Sede 2
X X
X
PABXCentrais de
atendimentoÁreas de negócioData Center local
Zzz colaboradoresCentrais de Atend.,Outras áreas de negócios
XX21
www.datacenterdynamics.com
Mudanças Contínuas
• Mercado;• Legislação e/ou regulamentação;• Tecnologia;• Processos;• Ameaças potenciais Riscos; • Oportunidades;
22
“Hoje, a única certeza, é a certeza da mudança”Dr. José Arnaldo Deutscher, economista pela UFRJ
www.datacenterdynamics.com
tempo
IMPACTOSCAPEX e OPEXR$
t0t1< t0
< Apetite ao Risco
t2 > t0
> Apetite ao Risco
R$
Apetite ao Risco(Depende do Cenário de Ameaça Potencial)
23
•Perda de receita•Multas e penalidades,•Imagem da empresa,•Itens regulatórios: Código Civil, Lei do SAC, Compliance com órgãos reguladores•...
• Espaço físico• Mesas, cadeiras• Telefones, fax• Micros• PAs• Registros vitais• ...• Infraestrutura:• links•energia elétrica• ar condicionado• suprimentos• ...
www.datacenterdynamics.com
ISO 27001 e 22301
ISO 223015.1 Liderança e comprometimentoOs membros da Alta Direção e demais gestores com papéis relevantes dentro da organização devem demonstrar liderança em relação ao SGCN.
5.2 Comprometimento da Direção... garantir que políticas e objetivos sejam estabelecidos para o SGCN e que sejam compatíveis com as diretrizes estratégicas da organização.
24
ISO 270015.1 Liderança e comprometimentoA Alta Direção deve demonstrar comprometimento em relação ao sistema de gestão da segurança da informação pelos seguintes meios:
a) assegurando que a política de segurança da informação e os objetivos de segurança da informação estão estabelecidos e são compatíveis com a direção estratégica da organização
www.datacenterdynamics.com
A Organização Conhece?
• O seu apetite ao risco?– Riscos e oportunidades
• Seu contexto e sua organização?
• Suas necessidades internas e externas?
• As expectativas das partes interessadas?– Níveis de serviço por exemplo;
• As leis e regulamentações a serem cumpridas?
25
www.datacenterdynamics.com
RECEITA TRADICIONAL
www.datacenterdynamics.com
Ingredientes
• Use, ingredientes de boa qualidade;• CRO – Chief Risk Officer - ISO 31000 e
31010;• BCC – Business Continuity
Coordinator – ISO 22301 e 22313;• CIO – ISO 20000, ITIL;• CSO – Chief Security Officer –
ISO 27001 e 27002;• Processos – ISO 9000;• Adicione na medida do necessário: leis,
regulamentações, COBIT, COSO, TOGAF, 6 Sigma …
27
www.datacenterdynamics.com
Modo de Preparo
28
1. Faça uma boa Análise de Riscos no contexto do programa (Continuidade de Negócios ou Segurança da Informação) e reserve;
2. Alinhe os resultados da Análise de Riscos com a Análise de Riscos Corporativos – CRO e reserve;
www.datacenterdynamics.com
Modo de Preparo
3. Faça uma boa Análise (Executiva/Estratégica) de Impacto nos Negócios no contexto do programa e reserve;– pode ter múltiplos cenários;
4. Estime os investimentos, despesas recorrentes, recursos necessários, gaps e prazos realistas de implantação do programa e reserve.
29
www.datacenterdynamics.com
• Desenvolva uma excelente apresentação executiva e respectivo relatório de apoio;– Tenha pronto o detalhamento (racional);– Modo de Preparo;
• APETITE AO RISCO – DECISÃO• Faça os ajustes no
Programa/Projeto x Apetite ao Risco aprovado;
• Servir a gosto Execute como definido!
Modo de Preparo
30
www.datacenterdynamics.com
Riscos e Oportunidades do Programa
http://proatividademercado.com.br/o-conceito 31
www.datacenterdynamics.com
A Organização será Proativa(continuidade de negócios esegurança da informação)
• O nível C está alinhado, o Apetite ao Risco está definido e divulgado;
• Os programas de Continuidade de Negócios e de Segurança da Informação estão alinhados com o Planejamento Estratégico antecipando Riscos e Oportunidades;
• Estes objetivos estão estabelecidos, divulgados e praticados por todos.
http://oglobo.globo.com/blogs/arquivos_upload/2011/11/102_1028-blogperigo.jpg
32
www.datacenterdynamics.com
Sistema Integrado de Gestão
Gestão de Riscos
ISO 31000
Seg. da InformaçãoISO 27001
Cont. de NegóciosISO 22301
Serviços de TIC
ISO 20000ProcessosISO 9000
COBIT, COSO, TOGAF
6 Sigma …
33
www.datacenterdynamics.com
Qual o Caminho Certo?
Este? Ou este?
34
Isto é assunto para outra palestra!
www.datacenterdynamics.com
Sidney R. ModenesiMBCI, BSI ISO 22301 Technical [email protected]+55 11 5583-0033br.linkedin.com/in/sidneymodenesimbci
35
Esta apresentação estará disponível no site da DatacenterDynamics e também no meu Linkedin via Slideshare.