A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações

1
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Consultoria ı Ferramentas ı Capacitação
A Continuidade de
Negócios Alinhada ao
Planejamento Estratégico
das Organizações
Maio/2014

2
STROHL Brasil
Sidney R. Modenesi
• Gerente da STROHL Brasil;
• ISO 22301 BSI Technical
Expert, 2013;
• Certificado MBCI pelo BCI em
2006;
• Mais de 25 anos de
experiência em DRP/BCM;
• Instrutor internacional de BCM
(ISO 22301, 22313 & outras);
• Representante do BCI -
Business Continuity Institute
no Brasil.
STROHL Brasil
• Empresa brasileira;
• Mais de 12 anos
exclusivamente dedicada à
GCN;
• Certificação internacional –
BCI;
• Experiência comprovada;
• Consultoria, treinamento e
software para BCMS;
• Representante Autorizada da
Sungard Availability Service
22

3
Agenda do Fórum
3

4
O que é Continuidade de Negócios?
conforme ABNT NBR ISO 22301:2013
Processo abrangente* de gestão que identifica ameaças
potenciais para uma organização e os possíveis impactos nas
operações de negócio caso estas ameaças se concretizem.
Este processo fornece uma estrutura para que se desenvolva
uma resiliência organizacional que seja capaz de responder
eficazmente e salvaguardar os interesses das partes
interessadas, a reputação e a marca da organização e suas
atividades de valor agregado.
* No original inglês o termo utilizado é holístico - adj. Relativo a
holismo, que busca tudo abranger, que é totalizante.
4

5
Tipos de Ameaças Potenciais
5
Naturais
Mudanças climáticas: calor, frio, chuva ou seca
intensa; terremoto, vulcão, furacão ...
Físicas
Incêndio ou outras emergências, vazamento
tóxico no sítio ou nas proximidades, segurança
de acesso, invasões, terrorismo ...
Humanas
Absenteísmo: greve, pandemia, epidemia;
terrorismo, atentado, manifestação ...
Segurança da
Informação
Invasões, roubo ou vazamento de informações,
hackers, vírus, trojan ...
Combinação
de várias
Naturais e/ou físicas e/ou humanas e/ou de
segurança da informação na organização ou na
sua cadeia de fornecedores

6
Modelo PDCA da ISO 22301
6

7
EXEMPLOS DE AMEAÇAS
POTENCIAIS DE SEGURANÇA DA
INFORMAÇÃO

8
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. 8
I can´t allow the US
government to
destroy privacy
and basic liberties
Edward Joseph Snowden1 (Elizabeth City, 21 de junho de 1983) é
um analista de sistemas, 2 ex-funcionário da (CIA) e ex-contratado
da (NSA) 3 que tornou público detalhes de vários programas que
constituem o sistema de vigilância global da NSA americana e fotos
comprometedoras do presidente americano, Barack Obama.
http://pt.wikipedia.org/wiki/Edward_Snowden

9
Alguns Exemplos
9

10
Alguns Exemplos
10

11
Mais Exemplos
11

12
O que você diria ao CEO?
Executives should understand 4 basic
points about security:
1.A well-executed data breach is
potentially more dangerous to your
business than a recession.
2.Cybercrime isn’t someone else’s
problem; it’s your problem.
3.There’s a reason for the deafening
silence. Just because you haven’t heard
your C-suite peers at other firms talk of
security breaches doesn’t mean they’re
not happening, nor does the fact that
you haven’t found anything in your
systems mean you’re safe.
4.You probably don’t understand where
your data is.
12

13
O que o CEO responderia?
http://bcove.me/2jhek4n8
http://www.deloitte.com/view/pt_BR/br/servicos/consultoria-empresarial/riscoseaspectosregulatorios/be3c68a3b4a59310VgnVCM2000001b56f00aRCRD.htm#.U24wLIFdVgE
O conteúdo deste website é de propriedade da © 2014 Deloitte Global Services Limited, ou uma firma-membro da Deloitte
Touche Tohmatsu Limited, ou uma de suas afiliadas. Para mais informações sobre direitos de propriedade intelectual ou outras
informações legais, consulte a seção Legal.
13

14
Institute of Risk Management
www.theirm.org/documents/Final_IRM_CyberRisk_ExecS
umm_A5_low-res.pdf
Verizon's 2024 Data Breach Report
www.verizonenterprise.com/DBIR/2014/reports/rp_Verizon-
DBIR-2014_en_xg.pdf
14

15
CONTINUIDADE DE NEGÓCIOS E
SEGURANÇA DA INFORMAÇÃO

16
Continuidade de Negócios e
Segurança da Informação
Segurança da informação  Ameaça potencial
Ameaça potencial  Impactos nas operações
Impactos  financeiros, operacionais, imagem,
regulatórios, credibilidade ...
16

17
Cenários de Ameaças Potenciais
Sede 1
Provedor de serviços de TIC
17
Xxx colaboradores
Centrais de Atend.,
Varias áreas de
negócio
Data Center local
Sede 2
X X
X
PABX
Centrais de
atendimento
Áreas de negócio
Data Center local
Zzz colaboradores
Centrais de Atend.,
Outras áreas de
negócios
XX

18
Mudanças Contínuas
• Mercado;
• Legislação e/ou regulamentação;
• Tecnologia;
• Processos;
• Ameaças potenciais Riscos;
• Oportunidades;
18
“Hoje, a única certeza, é a certeza da mudança”
Dr. José Arnaldo Deutscher, economista pela UFRJ

19
tempo
IMPACTOSCAPEX e OPEX
R$
t0
t1< t0
< Apetite ao Risco
t2 > t0
> Apetite ao Risco
R$
Apetite ao Risco
(Depende do Cenário de Ameaça Potencial)
19
•Perda de receita
•Multas e
penalidades,
•Imagem da
empresa,
•Itens
regulatórios:
Código Civil,
Lei do SAC,
Compliance com
órgãos
reguladores
•...
• Espaço físico
• Mesas, cadeiras
• Telefones, fax
• Micros
• PAs
• Registros vitais
• ...
• Infraestrutura:
• links
•energia elétrica
• ar condicionado
• suprimentos
• ...

20
ISO 22301 e 27001
ISO 22301
5.1 Liderança e
comprometimento
Os membros da Alta Direção e
demais gestores com papéis
relevantes dentro da organização
devem demonstrar liderança em
relação ao SGCN.
5.2 Comprometimento da
Direção
... garantir que políticas e
objetivos sejam estabelecidos
para o SGCN e que sejam
compatíveis com as diretrizes
estratégicas da organização
ISO 27001
5.1 Liderança e
comprometimento
A Alta Direção deve demonstrar
comprometimento em relação ao
sistema de gestão da segurança
da informação pelos seguintes
meios:
a) assegurando que a política de
segurança da informação e os
objetivos de segurança da
informação estão estabelecidos e
são compatíveis com a direção
estratégica da organização
20

21
ISO 22301 e 27001
ISO 22301
6.1 Ações para direcionar
riscos e oportunidades
Ao planejar o SGCN, a
organização deve considerar as
questões citadas em
4.1(Entendo a organização e seu
contexto) e os requisitos
mencionados em
4.2 (Entendendo as necessidades
e as expectativas das partes
interessadas) além de
determinar os riscos e
oportunidades que devem ser
avaliados para ...
ISO 27001
6.1 Ações para contemplar
riscos e oportunidades
Quando do planejamento do
sistema de gestão de segurança
da informação, a organização
deve considerar as questões
referenciadas em
4.1 (Entendo a organização e seu
contexto) e os requisitos descritos
em
4.2 (Entendendo as necessidades
e as expectativas das partes
interessadas) e determinar os
riscos e oportunidades que
precisam ser consideradas ...
21

22
A Organização Conhece?
• O seu apetite ao risco?
 Riscos e oportunidades
• Seu contexto e sua
organização?
• Suas necessidades
internas e externas?
• As expectativas das partes
interessadas?
 Níveis de serviço por
exemplo;
• As leis e regulamentações
a serem cumpridas?
22

23
RECEITA TRADICIONAL

24
Ingredientes
• Use, ingredientes de boa qualidade;
• CRO – Chief Risk Officer - ISO 31000 e 31010;
• BCC – Business Continuity
Coordinator – ISO 22301 e 22313;
• CIO – ISO 20000, ITIL;
• CSO – Chief Security Officer –
ISO 27001 e 27002;
• Processos – ISO 9000;
• Adicione na medida do necessário: leis,
regulamentações, COBIT, COSO, TOGAF,
6 Sigma …
24

25
Modo de Preparo
25
1. Faça uma boa Análise
de Riscos no contexto do
programa (Continuidade
de Negócios ou
Segurança da
Informação) e reserve;
2. Alinhe os resultados da
Análise de Riscos com a
Análise de Riscos
Corporativos – CRO e
reserve;

26
Modo de Preparo
3. Faça uma boa Análise
(Executiva/Estratégica) de
Impacto nos Negócios no
contexto do programa e
reserve;
 pode ter múltiplos cenários;
4. Estime os investimentos,
despesas recorrentes,
recursos necessários, gaps e
prazos realistas de
implantação do programa e
reserve.
26

27
• Desenvolva uma excelente apresentação
executiva e respectivo relatório de apoio;
 Tenha pronto o detalhamento (racional);
  Modo de Preparo;
• APETITE AO RISCO – DECISÃO
• Faça os ajustes no
Programa/Projeto x Apetite ao Risco aprovado;
• Servir a gosto  Execute como definido!
Modo de Preparo
27

28
Riscos e Oportunidades do Programa
http://proatividademercado.com.br/o-conceito
28

29
A Organização será Proativa
(continuidade de negócios e segurança da informação)
• O nível C está alinhado, o Apetite
ao Risco está definido e
divulgado;
• Os programas de Continuidade
de Negócios e de Segurança da
Informação estão alinhados com
o Planejamento Estratégico
antecipando Riscos e
Oportunidades;
• Estes objetivos estão
estabelecidos, divulgados e
praticados por todos.
http://oglobo.globo.com/blogs/arquivos_upload/2011/
11/102_1028-blogperigo.jpg
29

30
Qual o Caminho Certo?
Este? Ou este?
30
Isto é assunto para outra palestra!

31
Sidney R. Modenesi
MBCI, BSI ISO 22301 Technical Expert
sidney_modenesi@strohlbrasil.com.br
sidneymd@thebci.com.br
+55 11 5583-0033
br.linkedin.com/in/sidneymodenesimbci
31

32
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.Consultoria ı Ferramentas ı Capacitação
Contatos:
Tel. 11 5583-0033
contingencia@strohlbrasil.com.br
www.strohlbrasil.com.br

A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações

Semelhante a A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações (20)

Mais de Sidney Modenesi, MBCI

Mais de Sidney Modenesi, MBCI (17)

A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações