Auditoria e Segurança de Sistemas. Prof.: Mauricio Pitangueira Instituto Federal da Bahia

Documentos relacionados
Plano de Continuidade de Negócios

PORTARIA Nº 2.050, DE 22 DE ABRIL DE 2016.

Plano de Continuidade de Negócios

Tópico 30 e 31 Plano de Continuidade dos Negócios (PCN) Continuidade do Negócio

Universidade Federal de Santa Maria Empresa Brasileira de Serviços Hospitalares Hospital Universitário de Santa Maria

4 Avaliação Econômica de Redes Legada e NGN

Estrutura da Gestão de Risco Operacional

TRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010

LISTA DE VERIFICAÇAO DO SISTEMA DE GESTAO DA QUALIDADE

Copyright Proibida Reprodução. Prof. Éder Clementino dos Santos

Curso Plano de Continuidade de Negócios

SITE - INFORMAÇÕES DE FRANQUIA

Para ser Franqueado. É essencial:

PROCEDIMENTO GERAL. Identificação e Avaliação de Aspectos e Impactos Ambientais

Conceitos Básicos de Rede. Um manual para empresas com até 75 computadores

Universidade Paulista

ITIL v3 - Operação de Serviço - Parte 1

CICLO DE PALESTRAS GESTÃO DO FLUXO DE CAIXA: ASPECTOS ESTRATÉGICOS E OPERACIONAIS DE PLANEJAMENTO E CONTROLE

Revisão de Sistemas de Informação CEA462 - Sistemas de Apoio à Decisão

Data Versão Descrição Autor

Unidade III MARKETING DE VAREJO E. Profa. Cláudia Palladino

TRANSIÇÃO DAS CERTIFICAÇÕES DOS SISTEMAS DE GESTÃO DA QUALIDADE E SISTEMAS DE GESTÃO AMBIENTAL, PARA AS VERSÕES 2015 DAS NORMAS.

Qualidade de Software

Etapas para a preparação de um plano de negócios

PORTARIA P N. 422, DE 10 DE DEZEMBRO DE 2014.

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini prof.andre.luis.belini@gmail.com /

P4-MPS.BR - Prova de Conhecimento do Processo de Aquisição do MPS.BR

Módulo 12 Gerenciamento Financeiro para Serviços de TI

TREINAMENTO SOBRE PRODUTOS PARA VENDEDORES DO VAREJO COMO ESTRATÉGIA PARA MAXIMIZAR AS VENDAS 1. Liane Beatriz Rotili 2, Adriane Fabrício 3.

Introdução aos Sistemas de Informações Gerenciais. Prof. Nécio de Lima Veras

DISASTER RECOVERY PLAN. Eduardo Mayer Fagundes

Recursos adicionados para produção de fabricação de processo e logística no Microsoft Dynamics AX 2012 R2

UNIVERSIDADE PAULISTA CURSO SUPERIOR DE TECNOLOGIA. Projeto Integrado Multidisciplinar I e II

Procuramos empreendedores com as seguintes características:

G E S T Ã O POR P R O Ç E S S O S MÉTODOS PROCESSOS. Organização, Sistemas, Métodos & Processos ORGANIZAÇÃ0 SISTEMAS

ESTUDO DE ANÁLISE DE RISCO, PROGRAMA DE GERENCIAMENTO DE RISCOS E PLANO DE AÇÃO DE EMERGÊNCIA.

OBJETIVOS DA ADMINISTRAÇÃO FINANCEIRA

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.

Termo de Abertura de Projeto. Proposta Aceita pelo Cliente

5 EDI - As montadores e suas distribuidoras

CÓPIA MINISTÉRIO DA FAZENDA Conselho Administrativo de Recursos Fiscais

2ª Conferência. Internet, Negócio e Redes Sociais Financiar, Inovar e Empreender. 21 de novembro de 2013 Auditório do ISEGI

Impresso em 26/08/ :53:30 (Sem título) IDENTIFICAÇÃO, ACESSO E MONITORAMENTO DE REQUISITOS LEGAIS E OUTROS REQUISITOS

BM&FBOVESPA. Política de Risco Operacional. Diretoria de Controles Internos, Compliance e Risco Corporativo. Última Revisão: março de 2013.

Currículo. Sólidos conhecimentos na implantação e revisão de controles internos, elaboração, monitoramento e reestruturação de procedimentos.

PROJETO DE COOPERAÇÃO TÉCNICA INTERNACIONAL. Projeto 914 BRA PRODOC-MTC/UNESCO DOCUMENTO TÉCNICO Nº 03

Administração de Sistemas de Informação I

1.OBJETIVO 2.APLICAÇÃO 3.ATRIBUIÇÕES E RESPONSABILIDADES 4.DOCUMENTOS DE REFERÊNCIA 5.TERMINOLOGIA 6.DESCRIÇÃO DO PROCESSO

Administração e Organização Industrial

Manual do. Almoxarifado

ESTUDO DE VIABILIDADE

SIMULADO TURMA 1414 TUTORA TACIANE DISCIPLINA: LOGÍSTICA

Roteiro para elaboração do Relatório de Estágio Supervisionado do Curso de Bacharelado em Administração da AJES

Administração Materiais X Distribuição Física

CIO;Executivo de N 5 Identificar as dependências críticas e o desempenho atual 1 dia? Qua 01/09/10 Qua 01/09/10

PLANEJAMENTO OPERACIONAL - MARKETING E PRODUÇÃO MÓDULO 16 AS QUATRO FASES DO PCP

análisederisco empresarial

Gerenciamento de Crises e Continuidade de Negócios

3.6 3 A DINÂMICA DAS ORGANIZAÇÕES E AS ORGANIZAÇÕES DO CONHECIMENTO

Questionário de avaliação de Práticas X Resultados de projetos - Carlos Magno Xavier (magno@beware.com.br)

Introdução. Escritório de projetos

PLANO DE NEGÓCIOS. Causas de Fracasso:

GESTÃO DE RISCO OPERACIONAL

ESTRUTURA DE GERENCIAMENTO DO RISCO OPERACIONAL DO BANCO COOPERATIVO SICREDI E EMPRESAS CONTROLADAS

Administração da Produção I

7 perguntas para fazer a qualquer fornecedor de automação de força de vendas

Todos nossos cursos são preparados por mestres e profissionais reconhecidos no mercado, com larga e comprovada experiência em suas áreas de atuação.

UNEMAT SISTEMA DE INFORMAÇÃO (SI) Professora: Priscila Pelegrini

Produtividade. Sem tempo a

Capital Humano em Supermercados. Outubro/2014

Módulo 5. Implementação do BSC para um negócio específico, definição de objetivos, apresentação de casos reais e exercícios

Apresentação. Ricardo Brito do Nascimento. Orientadora: Profa. Dra. Maristela Terto de Holanda

ESTRUTURA E GERENCIAMENTO DE RISCOS NO BRDE

O que significa esta sigla?

Motivos para você ter um servidor

Política de Gerenciamento de Risco Operacional

Indicadores de Desempenho Conteúdo

Agosto, Gestão de Processos de Negócio. Case WEG

Plano de Sustentação (PSus)

Profa. Gislaine Stachissini. Unidade III GOVERNANÇA DE TI

PRÊMIO ABF-AFRAS DESTAQUE SUSTENTABILIDADE 2012 FORMULÁRIO DE INSCRIÇÃO Inscrição Prêmio ABF-AFRAS Categoria Fornecedor

PRIORIDADES EM SERVIÇOS E ORGANIZAÇÃO DO TRABALHO. Professora Andréia Ribas rp_andreiaribas@hotmail.com

Engenharia de Software II: Iniciando o Projeto. Prof. Msc Ricardo Britto DIE-UFPI rbritto@ufpi.edu.br

Transcrição:

Auditoria e Segurança de Sistemas Prof.: Mauricio Pitangueira Instituto Federal da Bahia 1

operação normal PAC INCIDENTE PCO Situação de Contingência PRD PLANO DE RETORNO operação normal PLANO DE CONTINUIDADE DE NEGÓCIOS Garantir a continuidade de processos e informações vitais para a sobrevivência da empresa, no menor tempo possível, com o objetivo de minimizar o impacto do desastre.

PLANO DE CONTINUIDADE DE NEGÓCIOS A Gestão da Continuidade do Negócio tem por objetivos impedir a interrupção das atividades do negócio e proteger os processos críticos da organização contra efeitos de falhas ou desastres significativos. (ABNT ISO/IEC 27002, pp.103-107) Segundo o DRI - Disaster Recovery Institute, de cada cinco empresas que têm suas operações interrompidas por até uma semana, duas fecham as portas em menos de três anos.

Mapeamento de processos Identificação dos Processos Críticos Mapeamento dos ativos por processo Estratégias de Recuperação Planos de Continuidade de Negócio: Administração de Crise Continuidade Operacional Recuperação de Desastres Treinamento, conscientização do pessoal e testes Bibliografia ABNT NBR ISO/IEC 27002: 2005. BEAL, Adriana. Segurança da Informação. Ed Atlas, São Paulo, 2005. SÊMOLA, Marcos. Gestão da Segurança da Informação. Editora Campus, 2003. FERREIRA, F N F. Segurança da Informação. Editora Ciência Moderna, 2003.

MAPEAMENTO DE PROCESSOS E IDENTIFICAÇÃO DE PROCESSOS CRÍTICOS Etapa 1 Planejamento Estratégico A Etapa 4 Requisitos Clientes e Fornec Processo 1 Etapa 4 Requisitos Clientes e Fornec Processo 2 Etapa 4 Requisitos Clientes e Fornec Processo n Etapa 2 Entendimento do Negócio Etapa 5 Análise do Processo Etapa 5 Análise do Processo Etapa 5 Análise do Processo Etapa 3 Identificação dos Processos Críticos SIM Etapa 6 Redesenho do Processo SIM Etapa 6 Redesenho do Processo SIM Etapa 6 Redesenho do Processo Etapa 7 Implementação do Processo Etapa 7 Implementação do Processo Etapa 7 Implementação do Processo Processos Escolhidos? Etapa 8 Gerenciamento do Processo NÃO Etapa 8 Gerenciamento do Processo NÃO Etapa 8 Gerenciamento do Processo NÃO A Novas Melhorias? Novas Melhorias? Novas Melhorias?

IDENTIFICAÇÃO DOS PROCESSOS PROCESSO é um grupo de atividades realizadas numa seqüência lógica com o objetivo de produzir um bem ou serviço que tem valor para um grupo de clientes. (Hammer & Champy, 1993) Fornecedores internos ou externos. Clientes internos ou externos.

COMO IDENTIFICAR PROCESSOS Atividades-chaves necessárias para operar uma organização.

COMO IDENTIFICAR PROCESSOS Atividades-chaves necessárias para operar uma organização. PROCESSOS PRIMÁRIOS Processos que tocam o cliente que percebe quando há falhas. Logística de Entrada Receber, controlar estoque, distribuir para a produção; controlar veículos Operações Desenvolver produto ou serviço Logística de Saída processar pedidos, distribuir produtos Marketing e Vendas propaganda, promoções, vendas Serviços melhorar ou manter o valor do produto para o comprador. PROCESSOS DE APOIO Colaboram com processos primários. Aquisição procurement: insumos, matéria-prima, máquinas, prédios... Desenvolvimento Tecnológico processos de produção, SI Infra-estrutura Planejamento, Finanças, consultoria jurídica, contabilidade Gestão de Pessoas Recrutamento, treinamento, benefícios...

Concessionária de Veículos Vendas de Veículos, Oficina, Faturamento Venda de autopeças Pedido à Fábrica Capacitação de Pessoas Classificar como processos primários (tocam o cliente) ou como processos de apoio (colaboram com os processos primários). O processo Vendas de Veículos é um grupo de atividades realizadas numa seqüência lógica configura automóvel, faz o pedido à fábrica, recebe o automóvel que tem a fábrica de automóveis como fornecedor e os compradores e o setor de faturamento como clientes. O processo Oficina é um grupo de atividades realizadas numa seqüência lógica agendamento e recepção do cliente, diagnóstico, orçamento, aprovação pelo cliente, conserto, testes, entrega ao cliente que tem o setor de compras e o setor de autopeças como fornecedores e os proprietários de veículos e o setor de faturamento como clientes. O processo Capacitação de Pessoas é um grupo de atividades realizadas numa seqüência lógica levantamento de necessidades de treinamento, seleção de entidade que ministrará o treinamento, execução do treinamento, avaliação do treinando... que tem como fornecedor a gerência de RH/entidade de treinamento e como clientes os empregados em treinamento ou a serem treinados.

Processos Críticos Os Processos Críticos de Negócio, se deixam de funcionar, trazem um impacto significativo para a organização, impedindo ou prejudicando o alcance da missão e das metas organizacionais. ANÁLISE DE IMPACTO NO NEGÓCIO Business Impact Analysis - BIA O objetivo é avaliar qual o impacto que a organização sofrerá caso ocorra um desastre ou incidente que descontinue o processo.. IDENTIFICAÇÃO DOS PROCESSOS CRÍTICOS ESCALA NÃO CONSIDERÁVEL RELEVANTE IMPORTANTE CRÍTICO VITAL AUXÍLIO DE INTERPRETAÇÃO Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos praticamente irrelevantes. Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos apenas consideráveis. Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos parcialmente significativos. Envolve a paralisação do Processo de Negócio podendo provocar impactos muito significativos. Envolve o comprometimento do Processo de Negócio podendo provocar impactos incalculáveis na recuperação e na continuidade do negócio.

IDENTIFICAÇÃO DOS PROCESSOS CRÍTICOS ANÁLISE DE IMPACTO NO NEGÓCIO Business Impact Analysis - BIA O objetivo é avaliar qual o impacto que a organização sofrerá caso ocorra um desastre ou incidente que descontinue o processo.. Impactos Perda de capacidade operacional; perdas financeiras decorrentes da necessidade de repor ativos destruídos; Penalidades contratuais ou legais decorrentes do descumprimento de normas, contratos ou níveis de serviço; Danos à imagem da organização. Prazos de Recuperação Levantados com os gestores dos processos com base em fatores financeiros, operacionais, além de aspectos estratégicos, legais e regulatórios.

TEMPO MÁXIMO DE PARADA IDENTIFICAÇÃO DOS PROCESSOS CRÍTICOS Prazos de Recuperação Levantados com os gestores dos processos com base em fatores financeiros, operacionais, além de aspectos estratégicos, legais e regulatórios. CATEGORIA TEMPO MÁXIMO PARA RECUPERAÇÃO 1 m minutos 2 h horas 3 d dias 4 s semanas 5 depende da data 6 não crítico.

IDENTIFICAÇÃO DOS PROCESSOS CRÍTICOS Concessionária de Veículos Vendas de Veículos, Oficina, Faturamento Venda de autopeças Pedido à Fábrica Capacitação de Pessoas ESCALA NÃO CONSIDERÁVEL RELEVANTE IMPORTANTE CRÍTICO VITAL AUXÍLIO DE INTERPRETAÇÃO Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos praticamente irrelevantes. Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos apenas consideráveis. Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos parcialmente significativos. Envolve a paralisação do Processo de Negócio podendo provocar impactos muito significativos. Envolve o comprometimento do Processo de Negócio podendo provocar impactos incalculáveis na recuperação e na continuidade do negócio. 15 1 h 1 d 1 h 2 d 1 s

Quais os processos críticos? Livraria Marketing, Controle de Estoque, Atendimento na loja, Atendimento Internet, Compras, Logística de entrega, Cobrança. ESCALA Não considerável Relevante Importante Crítico Vital AUXÍLIO DE INTERPRETAÇÃO Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos praticamente irrelevantes. Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos apenas consideráveis. Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos parcialmente significativos. Envolve a paralisação do Processo de Negócio podendo provocar impactos muito significativos. Envolve o comprometimento do Processo de Negócio podendo provocar impactos incalculáveis na recuperação e na continuidade do negócio.

Logística de Entrada Receber itens para venda, controlar estoque, distribuir para as lojas e almoxarifados. Operações Atendimento na loja, atendimento pela Internet. Logística de Saída Processar Pedidos, Entregar Livros. Serviços Call Center. Marketing e Vendas Propaganda, promoções, precificação. Compras Infra-estrutura Faturamento, Cobrança Aluguéis, contrato com transportadora, aquisições Desenvolvimento Tecnológico BI, CRM, Leitora Ótica nas lojas.

Logística de Entrada Receber itens para venda, controlar estoque, distribuir para as lojas e almoxarifados. Operações Atendimento na loja, atendimento pela Internet. Logística de Saída Processar Pedidos, Entregar Livros. Serviços Call Center. Marketing e Vendas Propaganda, promoções, precificação. Compras Infra-estrutura Faturamento, Cobrança Aluguéis, contrato com transportadora, aquisições Desenvolvimento Tecnológico BI, CRM, Leitora Ótica nas lojas.

Quais os processos críticos? Livraria Marketing, Controle de Estoque, Atendimento na loja, Atendimento Internet, Compras, Logística de entrega, Cobrança. 2 s 1 h 15 1 h 1 s 1 d 2 d ESCALA Não considerável AUXÍLIO DE INTERPRETAÇÃO Atinge o Processo de Negócio podendo provocar impactos praticamente irrelevantes. Relevante Atinge o Processo de Negócio podendo provocar impactos apenas consideráveis. Importante Atinge o Processo de Negócio podendo provocar impactos parcialmente significativos. Crítico Vital Envolve a paralisação do Processo de Negócio podendo provocar impactos muito significativos. Envolve o comprometimento do Processo de Negócio podendo provocar impactos incalculáveis na recuperação e na continuidade do negócio.

Mapeamento de processos Identificação dos Processos Críticos Mapeamento dos ativos por processo Estratégias de Recuperação Planos de Continuidade de Negócio: Administração de Crise Continuidade Operacional Recuperação de Desastres Treinamento, conscientização do pessoal e testes

MAPEAMENTO DOS ATIVOS POR PROCESSO Para se projetar as estratégias de contingência é necessário se conhecer os ativos que suportam os processos críticos e o tempo máximo de parada destes processos.

Quais os ativos que suportam os processos críticos? Atendimento na loja Atendimento Internet Logística de entrega

Mapeamento de processos Identificação dos Processos Críticos Mapeamento dos ativos por processo Estratégias de Recuperação Planos de Continuidade de Negócio: Administração de Crise Continuidade Operacional Recuperação de Desastres Treinamento, conscientização do pessoal e testes

ESTRATÉGIAS DE RECUPERAÇÃO As estratégias de recuperação são escolhidas em função dos processos críticos e dos custos de aplicação das estratégias. USUÁRIOS: as estratégias com relação aos usuários visam garantir que eles possam continuar suas atividades em caso de desastre: integridade física, atendimento médico, transporte e remoção de usuários. INSTALAÇÕES:...visam garantir a infra-estrutura para a continuidade das atividades: Espaço, energia elétrica, água, telefonia, comunicação de dados. LOGÍSTICA:...visam garantir o escoamento da produção. DADOS:...visam garantir a recuperação do ativo informação, em tempo hábil. Backup, armazenamento offsite, transferência de dados, espelhamento. OPERAÇÕES:...visam a continuidade operacional dos processos informatizados:

Mapeamento de processos Identificação dos Processos Críticos Mapeamento dos ativos por processo Estratégias de Recuperação Planos de Continuidade de Negócio: Administração de Crise Continuidade Operacional Recuperação de Desastres Treinamento, conscientização do pessoal e testes

ESTRATÉGIAS DE RECUPERAÇÃO

PLANO DE CONTINUIDADE DE NEGÓCIOS PLANOS DE CONTINGÊNCIA Os planos de contingência são desenvolvidos para cada ameaça a cada processo de negócio, definindo em detalhes os procedimentos a serem executados em estado de contingência. PLANO DE ADMINISTRAÇÃO DA CRISE Procedimentos para o funcionamento das equipes envolvidas com o acionamento da contingência, antes, durante e depois da ocorrência do incidente. Isto envolve a elaboração do PCO e do PRD. PLANO DE CONTINUIDADE OPERACIONAL Procedimentos para o contingenciamento dos ativos que suportam cada processo de negócio, objetivando reduzir o tempo de indisponibilidade. PLANO DE RECUPERAÇÃO DE DESASTRES Procedimentos para a recuperação das funcionalidades dos ativos afetados que suportam os processos de negócio, a fim de restabelecer o ambiente às condições originais de operação

O CASO COMPRE-LOGO A Cadeia de Supermercados Compre- Logo fatura cerca de R$50 milhões por mês e possui quinze lojas distribuídas nas maiores cidades do Estado da Bahia. A empresa é dirigida por um Superintendente, um Gerente Administrativo, um Gerente Financeiro, um Gerente de Compras e um Gerente de Vendas, todos sediados em Salvador. Subordinado diretamente ao Superintendente está também a Gerência de Informática, encarregada de planejar a TI, desenvolver, implantar e manter os sistemas de informação, além de administrar as redes locais e remotas. Cada loja dispõe de um Gerente de Loja com autonomia para administrar seu pessoal (recrutamento, admissão e demissão), manter a loja, negociar a compra e a venda de mercadorias localmente. Subordinados a esses Gerentes há uma equipe de caixas, repositores, açougueiro, padeiro, vigilantes, pessoal de limpeza e cinco a dez auxiliares administrativos, todos eles bem selecionados e muito bem treinados. A maior parte das compras da Cadeia são centralizadas em Salvador, mas há três almoxarifados regionais onde são armazenados e de onde são distribuídos os produtos para as lojas. Desenvolva um PCN para a CSCL.

Mapeamento de processos Identificação dos Processos Críticos Mapeamento dos ativos por processo Estratégias de Recuperação Planos de Continuidade de Negócio: Administração de Crise Continuidade Operacional Recuperação de Desastres Treinamento, conscientização do pessoal e testes Bibliografia ABNT NBR ISO/IEC 27002: 2005. BEAL, Adriana. Segurança da Informação. Ed Atlas, São Paulo, 2005. SÊMOLA, Marcos. Gestão da Segurança da Informação. Editora Campus, 2003. FERREIRA, F N F. Segurança da Informação. Editora Ciência Moderna, 2003.

ESCALA NÃO CONSIDERÁVEL RELEVANTE IMPORTANTE CRÍTICO VITAL AUXÍLIO DE INTERPRETAÇÃO Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos praticamente irrelevantes. Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos apenas consideráveis. Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos parcialmente significativos. Envolve a paralisação do Processo de Negócio podendo provocar impactos muito significativos. Envolve o comprometimento do Processo de Negócio podendo provocar impactos incalculáveis na recuperação e na continuidade do negócio.

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback