Este documento apresenta os principais pontos de uma palestra sobre continuidade de negócios e segurança da informação. A apresentação discute o que é continuidade de negócios segundo a norma ISO 22301, tipos de ameaças potenciais, o modelo PDCA da ISO 22301 e exemplos de ameaças à segurança da informação. Também aborda a relação entre continuidade de negócios e segurança da informação, cenários de ameaças potenciais, mudanças contínuas que as organizações enfrentam e os impactos financeiros e oper
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
1. 1
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Consultoria ı Ferramentas ı Capacitação
A Continuidade de
Negócios Alinhada ao
Planejamento Estratégico
das Organizações
Maio/2014
2. 2
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
STROHL Brasil
Sidney R. Modenesi
• Gerente da STROHL Brasil;
• ISO 22301 BSI Technical
Expert, 2013;
• Certificado MBCI pelo BCI em
2006;
• Mais de 25 anos de
experiência em DRP/BCM;
• Instrutor internacional de BCM
(ISO 22301, 22313 & outras);
• Representante do BCI -
Business Continuity Institute
no Brasil.
STROHL Brasil
• Empresa brasileira;
• Mais de 12 anos
exclusivamente dedicada à
GCN;
• Certificação internacional –
BCI;
• Experiência comprovada;
• Consultoria, treinamento e
software para BCMS;
• Representante Autorizada da
Sungard Availability Service
22
3. 3
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Agenda do Fórum
3
4. 4
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
O que é Continuidade de Negócios?
conforme ABNT NBR ISO 22301:2013
Processo abrangente* de gestão que identifica ameaças
potenciais para uma organização e os possíveis impactos nas
operações de negócio caso estas ameaças se concretizem.
Este processo fornece uma estrutura para que se desenvolva
uma resiliência organizacional que seja capaz de responder
eficazmente e salvaguardar os interesses das partes
interessadas, a reputação e a marca da organização e suas
atividades de valor agregado.
* No original inglês o termo utilizado é holístico - adj. Relativo a
holismo, que busca tudo abranger, que é totalizante.
4
5. 5
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Tipos de Ameaças Potenciais
5
Naturais
Mudanças climáticas: calor, frio, chuva ou seca
intensa; terremoto, vulcão, furacão ...
Físicas
Incêndio ou outras emergências, vazamento
tóxico no sítio ou nas proximidades, segurança
de acesso, invasões, terrorismo ...
Humanas
Absenteísmo: greve, pandemia, epidemia;
terrorismo, atentado, manifestação ...
Segurança da
Informação
Invasões, roubo ou vazamento de informações,
hackers, vírus, trojan ...
Combinação
de várias
Naturais e/ou físicas e/ou humanas e/ou de
segurança da informação na organização ou na
sua cadeia de fornecedores
6. 6
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Modelo PDCA da ISO 22301
6
7. 7
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
EXEMPLOS DE AMEAÇAS
POTENCIAIS DE SEGURANÇA DA
INFORMAÇÃO
8. 8
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. 8
I can´t allow the US
government to
destroy privacy
and basic liberties
Edward Joseph Snowden1 (Elizabeth City, 21 de junho de 1983) é
um analista de sistemas, 2 ex-funcionário da (CIA) e ex-contratado
da (NSA) 3 que tornou público detalhes de vários programas que
constituem o sistema de vigilância global da NSA americana e fotos
comprometedoras do presidente americano, Barack Obama.
http://pt.wikipedia.org/wiki/Edward_Snowden
9. 9
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Alguns Exemplos
9
10. 10
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Alguns Exemplos
10
11. 11
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Mais Exemplos
11
12. 12
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
O que você diria ao CEO?
Executives should understand 4 basic
points about security:
1.A well-executed data breach is
potentially more dangerous to your
business than a recession.
2.Cybercrime isn’t someone else’s
problem; it’s your problem.
3.There’s a reason for the deafening
silence. Just because you haven’t heard
your C-suite peers at other firms talk of
security breaches doesn’t mean they’re
not happening, nor does the fact that
you haven’t found anything in your
systems mean you’re safe.
4.You probably don’t understand where
your data is.
12
14. 14
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Institute of Risk Management
www.theirm.org/documents/Final_IRM_CyberRisk_ExecS
umm_A5_low-res.pdf
Verizon's 2024 Data Breach Report
www.verizonenterprise.com/DBIR/2014/reports/rp_Verizon-
DBIR-2014_en_xg.pdf
14
15. 15
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
CONTINUIDADE DE NEGÓCIOS E
SEGURANÇA DA INFORMAÇÃO
16. 16
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Continuidade de Negócios e
Segurança da Informação
Segurança da informação Ameaça potencial
Ameaça potencial Impactos nas operações
Impactos financeiros, operacionais, imagem,
regulatórios, credibilidade ...
16
17. 17
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Cenários de Ameaças Potenciais
Sede 1
Provedor de serviços de TIC
17
Xxx colaboradores
Centrais de Atend.,
Varias áreas de
negócio
Data Center local
Sede 2
X X
X
PABX
Centrais de
atendimento
Áreas de negócio
Data Center local
Zzz colaboradores
Centrais de Atend.,
Outras áreas de
negócios
XX
18. 18
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Mudanças Contínuas
• Mercado;
• Legislação e/ou regulamentação;
• Tecnologia;
• Processos;
• Ameaças potenciais Riscos;
• Oportunidades;
18
“Hoje, a única certeza, é a certeza da mudança”
Dr. José Arnaldo Deutscher, economista pela UFRJ
19. 19
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
tempo
IMPACTOSCAPEX e OPEX
R$
t0
t1< t0
< Apetite ao Risco
t2 > t0
> Apetite ao Risco
R$
Apetite ao Risco
(Depende do Cenário de Ameaça Potencial)
19
•Perda de receita
•Multas e
penalidades,
•Imagem da
empresa,
•Itens
regulatórios:
Código Civil,
Lei do SAC,
Compliance com
órgãos
reguladores
•...
• Espaço físico
• Mesas, cadeiras
• Telefones, fax
• Micros
• PAs
• Registros vitais
• ...
• Infraestrutura:
• links
•energia elétrica
• ar condicionado
• suprimentos
• ...
20. 20
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
ISO 22301 e 27001
ISO 22301
5.1 Liderança e
comprometimento
Os membros da Alta Direção e
demais gestores com papéis
relevantes dentro da organização
devem demonstrar liderança em
relação ao SGCN.
5.2 Comprometimento da
Direção
... garantir que políticas e
objetivos sejam estabelecidos
para o SGCN e que sejam
compatíveis com as diretrizes
estratégicas da organização
ISO 27001
5.1 Liderança e
comprometimento
A Alta Direção deve demonstrar
comprometimento em relação ao
sistema de gestão da segurança
da informação pelos seguintes
meios:
a) assegurando que a política de
segurança da informação e os
objetivos de segurança da
informação estão estabelecidos e
são compatíveis com a direção
estratégica da organização
20
21. 21
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
ISO 22301 e 27001
ISO 22301
6.1 Ações para direcionar
riscos e oportunidades
Ao planejar o SGCN, a
organização deve considerar as
questões citadas em
4.1(Entendo a organização e seu
contexto) e os requisitos
mencionados em
4.2 (Entendendo as necessidades
e as expectativas das partes
interessadas) além de
determinar os riscos e
oportunidades que devem ser
avaliados para ...
ISO 27001
6.1 Ações para contemplar
riscos e oportunidades
Quando do planejamento do
sistema de gestão de segurança
da informação, a organização
deve considerar as questões
referenciadas em
4.1 (Entendo a organização e seu
contexto) e os requisitos descritos
em
4.2 (Entendendo as necessidades
e as expectativas das partes
interessadas) e determinar os
riscos e oportunidades que
precisam ser consideradas ...
21
22. 22
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
A Organização Conhece?
• O seu apetite ao risco?
Riscos e oportunidades
• Seu contexto e sua
organização?
• Suas necessidades
internas e externas?
• As expectativas das partes
interessadas?
Níveis de serviço por
exemplo;
• As leis e regulamentações
a serem cumpridas?
22
23. 23
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
RECEITA TRADICIONAL
24. 24
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Ingredientes
• Use, ingredientes de boa qualidade;
• CRO – Chief Risk Officer - ISO 31000 e 31010;
• BCC – Business Continuity
Coordinator – ISO 22301 e 22313;
• CIO – ISO 20000, ITIL;
• CSO – Chief Security Officer –
ISO 27001 e 27002;
• Processos – ISO 9000;
• Adicione na medida do necessário: leis,
regulamentações, COBIT, COSO, TOGAF,
6 Sigma …
24
25. 25
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Modo de Preparo
25
1. Faça uma boa Análise
de Riscos no contexto do
programa (Continuidade
de Negócios ou
Segurança da
Informação) e reserve;
2. Alinhe os resultados da
Análise de Riscos com a
Análise de Riscos
Corporativos – CRO e
reserve;
26. 26
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Modo de Preparo
3. Faça uma boa Análise
(Executiva/Estratégica) de
Impacto nos Negócios no
contexto do programa e
reserve;
pode ter múltiplos cenários;
4. Estime os investimentos,
despesas recorrentes,
recursos necessários, gaps e
prazos realistas de
implantação do programa e
reserve.
26
27. 27
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
• Desenvolva uma excelente apresentação
executiva e respectivo relatório de apoio;
Tenha pronto o detalhamento (racional);
Modo de Preparo;
• APETITE AO RISCO – DECISÃO
• Faça os ajustes no
Programa/Projeto x Apetite ao Risco aprovado;
• Servir a gosto Execute como definido!
Modo de Preparo
27
28. 28
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Riscos e Oportunidades do Programa
http://proatividademercado.com.br/o-conceito
28
29. 29
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
A Organização será Proativa
(continuidade de negócios e segurança da informação)
• O nível C está alinhado, o Apetite
ao Risco está definido e
divulgado;
• Os programas de Continuidade
de Negócios e de Segurança da
Informação estão alinhados com
o Planejamento Estratégico
antecipando Riscos e
Oportunidades;
• Estes objetivos estão
estabelecidos, divulgados e
praticados por todos.
http://oglobo.globo.com/blogs/arquivos_upload/2011/
11/102_1028-blogperigo.jpg
29
30. 30
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Qual o Caminho Certo?
Este? Ou este?
30
Isto é assunto para outra palestra!
31. 31
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Sidney R. Modenesi
MBCI, BSI ISO 22301 Technical Expert
sidney_modenesi@strohlbrasil.com.br
sidneymd@thebci.com.br
+55 11 5583-0033
br.linkedin.com/in/sidneymodenesimbci
31
32. 32
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.Consultoria ı Ferramentas ı Capacitação
Contatos:
Tel. 11 5583-0033
contingencia@strohlbrasil.com.br
www.strohlbrasil.com.br