BUSINESS CONTINUITY: UMA APOSTA SEGURA!

Transcrição

1 BUSINESS CONTINUITY: UMA APOSTA SEGURA! B U S I N E S S C O N T I N U I T Y M A N A G E M E N T S Y S T E M S 31 MARÇO 2014 Paulo Borges 1

2 Quem apresenta? BSI ISO/IEC Accredited ISMS Implementer BSI ISO/IEC Lead Auditor PECB ISO/IEC Lead Auditor PECB (pending) ISO/IEC Lead Auditor Auditor do Gabinete Nacional de Segurança Auditor Qualificado pela APCER para ISO Accredited Tier Specialist pelo UpTime Institute Consultor/Auditor em Segurança da Informação Consultor/Auditor em Análise do Risco Consultor/Auditor de Continuidade de Negócio Consultor/Auditor em Gestão de Serviços IT Consultor/Auditor de Datacenters 2

3 AGENDA 1. B U S I N E S S C O N T I N U I T Y V E R S U S D I S A S T E R R E C O V E R Y 2. P O R Q U Ê I N V E S T I R E M B U S I N E S S C O N T I N U I T Y? 3. A B O R D A G E N S N O R M A T I V A S P A R A B U S I N E S S C O N T I N U I T Y 4. O Q U E É U M B C M S? - I N T E R P R E T A Ç Ã O D A N O R M A I S O I M P L E M E N T A Ç Ã O D E U M B C M S 6. A U D I T O R I A D E U M B C M S 7. C E R T I F I C A Ç Ã O D O B C M S 8. P E R G U N T A S E R E S P O S T A S 9. I D E I A S F I N A I S 3

4 ABORDAGEM BUSINESS CONTINUITY VERSUS DISASTER RECOVERY 4

5 ABORDAGEM BUSINESS CONTINUITY VERSUS DISASTER RECOVERY Definições: 5

6 ABORDAGEM BUSINESS CONTINUITY VERSUS DISASTER RECOVERY Definições: 6

7 PORQUÊ INVESTIR EM BUSINESS CONTINUITY? PONTOS A RETER: Focalização em atividades de negócio, produtos e serviços Ênfase na proteção das atividades críticas de negócio Definir o risco, gerir risco, tratar o risco como cenários admissíveis de incidente Focalização na resposta ao incidente disruptivo de qualquer origem Demonstrar a recuperação num período de tempo pré-definido Regresso à atividade em modo normal e com o menor impacto Evitar o assumir de uma falha com consequências danosas para o negócio Minimizar os danos na imagem da empresa 7

8 NORMAS PARA GESTÃO DA CONTINUIDADE DE NEGÓCIO 8

9 BCMS Business Continuity Management System GESTÃO DA CONTINUIDADE DE NEGÓCIO FRASES CHAVE: Estrutura organizativa dentro da empresa Definição de Política(s) Planeamento de atividades Funções e Responsabilidades Práticas definidas, treinadas, maduras e auditáveis Processos de gestão (risco, formação, outsourcing, etc ) Procedimentos de atuação e resposta a incidentes Recursos a utilizar (técnicos e humanos) Interação e comunicação na organização interna e com terceiros 9

10 GESTÃO DA CONTINUIDADE DE NEGÓCIO BCMS Business Continuity Management System TEM de incluir as seguintes componentes: Política de topo, onde se encontra a definição de objetivos Documento de identificação de funções e responsabilidades Processos de gestão e recursos associados, incluindo: Politicas complementares necessárias Planeamento de implementação da CN Procedimentos de operação Gestão da eficácia do BCMS Comunicação interna e externa em caso de incidente Revisão pela gestão da empresa Garantia de melhoria contínua Documentação que produza evidências auditáveis Outros temas de gestão relevantes na organização 10

11 GESTÃO DA CONTINUIDADE DE NEGÓCIO BCMS Business Continuity Management System 11

12 Ciclo PDCA SIGNIFICADO DO PDCA EM BCMS DEZ 2013 ISO BUSINESS CONTINUITY MANAGEMENT SYSTEMS 12

13 SIGNIFICADO DO PDCA EM BCMS Interested parties (ISO 22313): 13

14 SIGNIFICADO DO PDCA EM BCMS Ciclo PDCA e atividades BCMS em ISO 22301: 1. PLANEAR 2. EXECUTAR 3. VERIFICAR 4. ATUAR Iniciação do projeto BCMS Compreensão da organização Análise do(s) sistema(s) existente(s) Liderança e aprovação do projeto Âmbito Politica de Continuidade de Negócio BIA -Business Impact Analysis Avaliação do Risco Estratégia de Continuidade de Negócio Estrutura Organizativa Gestão Documental Medidas de mitigação e proteção Plano e procedimentos de Continuidade de Negócio Comunicação Sensibilização e Treino Exercício(s) e Teste(s) Monitorização, Medida, Análise e Avaliação Auditoria Interna Revisão pela Gestão Tratamento de não conformidades Melhoria contínua 14

15 A NORMA ISO/IEC Scope, References, Definitions 7 Support 4 Context of the Organisation 8 Operation 5 Leadership 9 Performance Evaluation 6 Planning 10 Improvement 15

16 Cláusulas da norma ISO/IEC A NORMA ISO/IEC

17 FASES PARA A IMPLEMENTAÇÃO DO BCMS 1º 2º 3º Entender a organização e o seu contexto Identificar necessidades e requisitos para o BCMS Operacionalizar e gerir o BCMS 17

18 ISO Cláusula 4: Entender a organização e o seu contexto CONTEXTO DA ORGANIZAÇÃO Atividades, funções, serviços, produtos, parcerias, cadeias de valor, relações estabelecidas com partes interessadas Objetivos da empresa, objetivos de Continuidade de Negócio, objetivos do BCMS, assim como o relacionamento com outros sistemas de gestão Identificar o Risk Appetite e os critérios de risco da organização Identificar potenciais impactos de incidentes disruptivos Entender as necessidades e expetativas de partes interessadas Identificar quais as partes interessadas a considerar As necessidades das partes interessadas Os requisitos das partes interessadas Requisitos legais e regulamentares aplicáveis Determinar o âmbito para o BCMS Determinar a aplicabilidade de um possível BCMS Identificar as suas fronteiras Validar a inclusão de requisitos aplicáveis 18

19 ISO Cláusula Scope of the BCMS DEFINIÇÃO DO ÂMBITO DO BCMS O âmbito do BCMS é uma componente documentada que descreve as inclusões e exclusões de processos de negócio, assim como as fronteiras correspondentes. A exemplo da norma ISO 27001, é boa prática dar origem a um SOA Statement of Applicability. A sua definição formal DEVE incluir: As características principais da organização, as definições de criticidade e das necessidades em matérias de continuidade de negócio O critério para a identificação de processos críticos Os processos críticos de negócio incluídos As fronteiras de controlo com processos de suporte Lista de produtos e serviços e atividades relacionadas incluídas no âmbito Lista dos recursos técnicos e humanos envolvidos Lista das localizações geográficas envolvidas SOA, incluindo a justificação para a não inclusão 19

20 ORGÂNICA DE GESTÃO DO BCMS ISO Cláusula 5 - Leadership O BCMS tem de ser liderado por um colaborador da empresa ao nível do TOP MANAGEMENT da organização BCMS Top Leader Definições estratégicas Disponibilização de recursos Comunicação Assegurar compatibilidade do BCMS para com as estratégias de negócio Integrar os requisitos dos processos de negócio Definir os objetivos do BCMS Definir a metodologia para gestão do risco Identificar e providenciar os recursos necessários para a implementação e operacionalização do BCMS Criação, publicação e divulgação da politica de BCM Equipa de Continuidade de Negócio Auditorias internas A importância da Continuidade de Negócio, da sua eficácia e integração na estratégia da empresa Através de procedimentos internos e externos Decisões sobre ações de melhoria contínua 20

21 PLANEAMENTO DO BCMS ISO Cláusula 6 Planning Ações para gerir riscos Identificar oportunidades de negócio Identificar potenciais fontes de risco para novas oportunidades e para os processos existentes Identificar riscos associados à eficiência e eficácia do BCMS em face dos compromissos de conformidade para com os requisitos Objetivos de BCM e medidas para a sua eficácia e eficiência Assegurar consistência para com a Politica de Continuidade de Negócio e os requisitos de BCM Identificar e validar o significado de mínimo nível de produtos e serviços que são requeridos em modo normal e em resposta a incidente Assegurar que o BCMS é mesurável em eficiência e eficácia Plano de implementação do BCMS, incluindo: Quem faz o quê? O que será realizado Que recursos serão necessários e disponibilizados Quando serão realizadas etapas? Como os resultados da implementação serão medidos? 21

22 RECURSOS COMPETÊNCIAS SENSIBILIZAÇÂO COMUNICAÇÃO DOCUMENTAÇÃO SUPORTES DO BCMS ISO Cláusula 7 Support Humanos Técnicos Locais Físicos Sistemas de Informação Dados Legislação Normas Contratos Recursos alternativos Transportes Financeiros Parceiros etc Formação Credenciais Especialidades Experiência Evidências Comprovativos Confirmação Requisitos de funções Necessidades de formação Auditoria interna Ações internas Plano de Formação Mandatórias para todos os envolvidos em BCMS Estrutura do BCMS Políticas Processos Procedimentos Funções e responsabilidades Respostas a incidentes Boas Práticas Comportamento em crise Gestão da Mudança Porta Voz Procedimentos Ensaios Mensagens a comunicar Psicologia laboral Gestão de crises Gestão Documental Arquivo Fluxos e aprovações Divulgação Publicação 22

23 SUPORTES DO BCMS ISO Cláusula 7.4 Communication O quê? A quem? Quando? ONDE? Politica de comunicação Processo de gestão Procedimentos Eleição de destinatários Tipos de mensagens Disponibilidade dos meios para comunicação Escolha de locais para comunicação Preparação psicológica Preparação legal Ênfase na recuperação da organização 23

24 ISO Cláusula 8 - Operation Planeamento e Controlo de Operações OPERAÇÃO DO BCMS Especial atenção aos processos em Definição de critérios para desenho de processos outsourcing! Implementação de controlos decorrentes de tais critérios Assegurar documentação adequada à eficácia dos processos Gerir alterações aos processos de gestão de BCMS Avaliação do risco e análise do impacto nos processos de negócio Business Impact Analysis BIA Avaliação do risco Risk Management Estratégia para Continuidade de Negócio Determinação de opções e critérios para seleção Recursos necessários Proteção e mitigação de cenários de risco Definição e Implementação de procedimentos de Continuidade de Negócio Exercícios e Testes Estrutura de resposta a incidentes Comunicação Plano(s) de Continuidade de Negócio Recuperação e incidentes Plano de Ensaios Auditoria Interna Lições aprendidas Ligação à melhoria contínua! 24

25 BIA E GESTÃO DO RISCO ISO Cláusulas e Business Impact Analysis / Risk Assessement DEZ

26 Integração BIA RISK ASSESSMENT RISK APPETITE BIA E GESTÃO DO RISCO Business Impact Analysis Risk Assessment 26

27 RISK APPETITE (RA) ORIGENS e GESTÃO BIA E GESTÃO DO RISCO Vários níveis devem ser considerados para identificação dera: Estratégico orientado para o contexto do negócio Tático orientado para a estratégia da organização Operacional orientado para os processos de negócio a proteger Sistemas em função do sistema de gestão que está a ser implementado Cultura em função das práticas correntes e compromissos da organização A gestão do Risk Appetite TEM DE FAZER parte da metodologia de Gestão do Risco da Organização. As definições e métodos de identificação estão alinhados com a ISO Deve ser implementado um processo de gestão dedicado ao RA 27

28 RISK APPETITE (RA) Fontes para identificação BIA E GESTÃO DO RISCO 28

29 BIA E GESTÃO DO RISCO RISK APPETITE (RA) Fontes para identificação 29

30 RISK APPETITE (RA) Caso prático de ligação à BIA BIA E GESTÃO DO RISCO 30

31 BIA E GESTÃO DO RISCO RISK MANAGEMENT (RM) Norma ISO 31000:2009 Risk management Guidelines on principles and implementation of risk management Genérica na aplicação Bem orientada para RA Boa definição para a estrutura de Risk Treatment Plans Deixa ao critério da organização a definição do Risk Criteria : Fator P - Define a probabilidade de ocorrência Fator C - Define a consequência da sua ocorrência Faz referência no Risk Analysis a níveis de risco mas não os quantifica 31

32 BIA E GESTÃO DO RISCO RISK MANAGEMENT (RM) Norma ISO 27005:

33 BIA E GESTÃO DO RISCO RISK MANAGEMENT (RM) Norma ISO e as medidas de tratamento 33

34 BIA E GESTÃO DO RISCO RISK MANAGEMENT (RM) FERMA:2003 Integra os esforços dos seguintes organismos: IRM Institute of Risk Management AIRMIC The Association of Insurance and Risk Managers ALARM The National Forum for the Risk Management in the Public Sector Direcionada para o Sector Público, Seguros e Mercados Financeiros e particionada pela EU Usa uma abordagem de terminologia ISO 73 Guide for Risk Management (também usada pelo ISO e ISO 27005) O processo de gestão foi adotado na íntegra pela ISO 27005, pelo que inclui já o tratamento de risco residual A abordagem das consequências do incidente é dirigida para valores financeiros, com 3 níveis definidos Abordagem semelhante para a probabilidade, mas apenas com 3 níveis Divide a ocorrência das ameaças das ocorrências das oportunidades, pelo que está mais próxima da ISO A ISO tem uma abordagem similar mas mais tenuemente definida A definição de níveis de risco pela junção das duas componentes Probabilidade e Consequência 34

35 BIA ESTRATÉGIA PARA CONTINUIDADE DE NEGÓCIO ISO Cláusula Determination and selection Proteger atividades prioritárias Estabilizar e recuperar atividades prioritárias Mitigar impacto de incidentes Definições aprovadas para tempos admissíveis para reposição de atividades Evidências de prontidão de prestadores de serviços para suporte da estratégia de Continuidade de Negócio Assegurar life safety as the first priority segundo Incident Response Structure 35

36 Risk Treatment Plans ESTRATÉGIA PARA CONTINUIDADE DE NEGÓCIO ISO Cláusula Protection and Mitigation Redução da probabilidade do incidente Reduzir o período de disrupção Limitar o impacto da disrupção Associar os critérios de redução de período e impacto de uma disrupção à justificação para a medida de tratamento do risco Assegurar abordagem de medidas de tratamento do risco preventivas, de deteção de incidentes e de correção das consequência do impacto 36

37 ESTRATÉGIA PARA CONTINUIDADE DE NEGÓCIO ISO Cláusula Protection and Mitigation Medidas Preventivas Medidas de deteção Medidas Corretivas INCIDENTE 37

38 ESTABELECER PROCEDIMENTOS GESTÃO DE INCIDENTES ISO Cláusula General Exemplos de procedimentos para reação a um incidente: Diagnóstico, resolução e aprendizagem Gestão de Crises Gestão de Contingências Proteção e mitigação do impacto INCIDENTE Treino e Sensibilização Comunicação interna e externa 38

39 ITIL versão 3 Processo de Gestão de Incidentes GESTÃO DE INCIDENTES - ABORDAGENS 39

40 GESTÃO DE INCIDENTES - ABORDAGENS ISO Information Security Incident Management 40

41 CLASSIFICAÇÃO DE UM INCIDENTE Evolução de um incidente: 41

42 ESTRUTURA DE RESPOSTA A INCIDENTES ISO Cláusula Incident Response Structure INCIDENTE DISRUPTIVO Definir resposta Documentar Implementar REQUISITOS: Assegurar identificação de impacto antes de ativação Evidenciar critérios de decisão para seleção do procedimento de resposta Ativar procedimento(s) paralelo(s) para comunicação Monitorizar a evolução do incidente Antecipar disponibilidade de recursos para procedimento(s) Responsabilidade Autoridade Competência alternativo(s) em função do escalar do incidente 42

43 COMUNICAÇÃO ASPETOS OPERACIONAIS ISO Cláusula Warning and Communication INCIDENTE DISRUPTIVO Interna Colaboradores Prestadores de serviços externos Outsourcing Locais alternativos Externa Parceiros de negócio Entidades Reguladoras Media Serviços de Emergência Pública REQUISITOS: Utilização de recursos próprios para os procedimentos de comunicação Inclusão de testes e ensaios dos procedimentos de comunicação Auditoria de desempenho do processo de gestão da comunicação 43

44 PLANO(S) DE CONTINUIDADE DE NEGÓCIO ISO Cláusula Business Continuity Plans Requisitos mínimos: Item 1 Âmbito de aplicação 2 Objetivos 3 Critérios de ativação e procedimentos 4 Procedimentos de resposta a incidentes 5 Funções, Responsabilidades e Autoridades 6 Requisitos e procedimentos de comunicação 7 Identificação de dependências externas e internas de recursos e atividades 8 Recursos requeridos 9 Fluxo de aprovação e distribuição 44

45 RESPOSTA AO INCIDENTE DISRUPTIVO - OBJETIVOS DE RECUPERAÇÃO Definições 45

46 OBJETIVOS DE RECUPERAÇÃO Definições 46

47 RTO e RPO visão sobre um eixo temporal OBJETIVOS DE RECUPERAÇÃO 47

48 OBJETIVOS DE RECUPERAÇÃO Abordagem ao RTO Alta Disponibilidade? Clustering? Failover? Load Balancing? Hot Backup? Full backup? Cloud? 99.99%? Que Datacenter?? 48

49 Impacto na seleção para um RTO: INFRAESTRUTURAS DE DATACENTER Relevante para as definição de resposta e recuperação de incidentes! Tier Level Nível Disponibilidade Interrupção máxima por incidente I 99,67 % 28,8 h anuais II 99,75 % 22 h anuais III 99,98 % 1,6 h anuais IV 99,99 % 0,8 h anuais 49

50 RTO e RPO Níveis para definição de classes OBJETIVOS DE RECUPERAÇÃO Tabela Reposição - RPO NÍVEL Descritivo 1 > 8h 2 > 4h e 8h 3 > 1h e 4h 4 1h 5 Não pode haver desfasamento 50

51 OBJETIVOS DE RECUPERAÇÃO MAO Significado prático Representa o máximo tempo oficialmente aceite para interrupção de serviço de uma atividade crítica e apoia a identificação do: Método de recuperação ao modo normal de operação Detalhe de definição de recursos/tarefas para o procedimento de recuperação 51

52 OBJETIVOS DE RECUPERAÇÃO Análise da linha temporal de um incidente disruptivo - PONTOS DE DECISÃO 52

53 Análise da linha temporal de um incidente disruptivo OBJETIVOS DE RECUPERAÇÃO 53

54 OBJETIVOS DE RECUPERAÇÃO ISO Cláusula Recovery A organização deve ter procedimentos documentados para restaurar e regressar as suas atividades críticas de negócio ao modo normal de operação, após a aplicação de medidas temporárias adotadas para suportar os requisitos de negócio após um incidente. 54

55 ENSAIOS E TESTES ISO Cláusula 8.5 Exercising and Testing Não disruptivos! Incluir sessões teóricas e práticas Realizados em intervalos regulares Envolver todas as partes interessadas Geração de relatórios de auditoria Evidências de lições aprendidas para suporte de melhoria contínua 55

56 ENSAIOS E TESTES ISO Cláusula 8.5 Exercising and Testing 56

57 MONITORIZAÇÃO E AVALIAÇÃO DO BCMS ISO Cláusula 9 Performing Evaluation 57

58 MONITORIZAÇÃO E AVALIAÇÃO DO BCMS ISO Cláusula Evaluating of business continuity procedures Métricas definidas pelo Top Management do BCMS Realização percentual ou em níveis de conforto na concretização Acompanhadas pela Auditoria Interna Avaliadas em conjunto com o Top Management do BCMS Publicadas como dashboards do BCMS em portal interno 58

59 AUDITORIA DO BCMS ISO Cláusula 9.2 Internal Audit 3.7 auditado: Organização a ser auditada Outros pontos a ter em conta: Participação ativa do BCMS Top Leader Plano de Auditoria integrado Definição de critérios de auditoria pela Gestão de Topo do BCMS Seleção de auditores e verificação/evidência da sua imparcialidade Conduzidas por check list por auditores da organização Conduzidas por entrevistas por auditores contratados Ênfase na preparação e prontidão do elemento humano Considerar recursos críticos os resultados de auditoria 59

60 REVISÃO PELA GESTÃO ISO Cláusula 9.3 Management Review 60

61 CERTIFICAÇÃO DO BCMS ELEMENTOS DE MOTIVAÇÃO: 1. Exigências contratuais 2. Regulamentação e Legislação 3. Abertura a mercados internacionais 4. Credibilidade no setor de atividade 5. Demonstração de boas práticas de gestão 61

62 CERTIFICAÇÃO DO BCMS PREPARAÇÃO PARA CERTIFICAÇÃO DO BCMS Opinion Audit Pre-Assessment Audit Destina-se a receber aconselhamento e recomendações de conformidade Realizada por consultores A entidade certificadora não pode realizar esta auditoria Destina-se a preparar a certificação Resulta numa declaração de prontidão Realizada pela equipa da entidade certificadora Certification Audit Destina-se a emitir a recomendação para certificação Realizada pela equipa da entidade certificadora 62

63 AUDITORIA DE OPINIÃO Preparação do impacto do BCMS na organização: Tempo necessário para os compromissos Sobreposição de funções e responsabilidades Aspetos intrusivos nos processos e atividades Necessidade de novos recursos Credibilidade da gestão do projeto Credibilidade na operacionalização do BCMS Falhas de documentação Falhas de treino e formação e de informação Assegurar a eficiência e eficácia do ELEMENTO HUMANO Esforço a realizar pela empresa nos vários requisitos 63

64 CERTIFICAÇÃO DO BCMS ROAD MAP PARA CERTIFICAÇÃO DO BCMS 64

65 CERTIFICAÇÃO DO BCMS ESTADO ATUAL DO QUADRO DE CERTIFICAÇÕES ISO 22301: Norma recente no mercado Falta de coordenação dos registos internacionais Em Portugal?. Há pelo menos uma! Mas mais estão a caminho! 65

66 PERGUNTAS E RESPOSTAS 66

67 RESUMO DE BOAS PRÁTICAS: KEEP IT SIMPLE! Definir e gerir uma zona de conforto nas decisões Manter-se fiel à interpretação da norma Escolher bem os recursos humanos e as partes interessadas Não permitir paragens prolongadas na implementação do projeto Auditoria interna é a chave das métricas de eficácia e eficiência Assegurar disponibilidade financeira Em caso de dúvida, recorrer a normas complementares Recorrer a apoio externo sempre que necessário Avaliar muito bem a gestão da mudança IDEIAS FINAIS 67

68 68