Auditoria e Segurança de Sistemas Prof.: Mauricio Pitangueira Instituto Federal da Bahia 1
operação normal PAC INCIDENTE PCO Situação de Contingência PRD PLANO DE RETORNO operação normal PLANO DE CONTINUIDADE DE NEGÓCIOS Garantir a continuidade de processos e informações vitais para a sobrevivência da empresa, no menor tempo possível, com o objetivo de minimizar o impacto do desastre.
PLANO DE CONTINUIDADE DE NEGÓCIOS A Gestão da Continuidade do Negócio tem por objetivos impedir a interrupção das atividades do negócio e proteger os processos críticos da organização contra efeitos de falhas ou desastres significativos. (ABNT ISO/IEC 27002, pp.103-107) Segundo o DRI - Disaster Recovery Institute, de cada cinco empresas que têm suas operações interrompidas por até uma semana, duas fecham as portas em menos de três anos.
Mapeamento de processos Identificação dos Processos Críticos Mapeamento dos ativos por processo Estratégias de Recuperação Planos de Continuidade de Negócio: Administração de Crise Continuidade Operacional Recuperação de Desastres Treinamento, conscientização do pessoal e testes Bibliografia ABNT NBR ISO/IEC 27002: 2005. BEAL, Adriana. Segurança da Informação. Ed Atlas, São Paulo, 2005. SÊMOLA, Marcos. Gestão da Segurança da Informação. Editora Campus, 2003. FERREIRA, F N F. Segurança da Informação. Editora Ciência Moderna, 2003.
MAPEAMENTO DE PROCESSOS E IDENTIFICAÇÃO DE PROCESSOS CRÍTICOS Etapa 1 Planejamento Estratégico A Etapa 4 Requisitos Clientes e Fornec Processo 1 Etapa 4 Requisitos Clientes e Fornec Processo 2 Etapa 4 Requisitos Clientes e Fornec Processo n Etapa 2 Entendimento do Negócio Etapa 5 Análise do Processo Etapa 5 Análise do Processo Etapa 5 Análise do Processo Etapa 3 Identificação dos Processos Críticos SIM Etapa 6 Redesenho do Processo SIM Etapa 6 Redesenho do Processo SIM Etapa 6 Redesenho do Processo Etapa 7 Implementação do Processo Etapa 7 Implementação do Processo Etapa 7 Implementação do Processo Processos Escolhidos? Etapa 8 Gerenciamento do Processo NÃO Etapa 8 Gerenciamento do Processo NÃO Etapa 8 Gerenciamento do Processo NÃO A Novas Melhorias? Novas Melhorias? Novas Melhorias?
IDENTIFICAÇÃO DOS PROCESSOS PROCESSO é um grupo de atividades realizadas numa seqüência lógica com o objetivo de produzir um bem ou serviço que tem valor para um grupo de clientes. (Hammer & Champy, 1993) Fornecedores internos ou externos. Clientes internos ou externos.
COMO IDENTIFICAR PROCESSOS Atividades-chaves necessárias para operar uma organização.
COMO IDENTIFICAR PROCESSOS Atividades-chaves necessárias para operar uma organização. PROCESSOS PRIMÁRIOS Processos que tocam o cliente que percebe quando há falhas. Logística de Entrada Receber, controlar estoque, distribuir para a produção; controlar veículos Operações Desenvolver produto ou serviço Logística de Saída processar pedidos, distribuir produtos Marketing e Vendas propaganda, promoções, vendas Serviços melhorar ou manter o valor do produto para o comprador. PROCESSOS DE APOIO Colaboram com processos primários. Aquisição procurement: insumos, matéria-prima, máquinas, prédios... Desenvolvimento Tecnológico processos de produção, SI Infra-estrutura Planejamento, Finanças, consultoria jurídica, contabilidade Gestão de Pessoas Recrutamento, treinamento, benefícios...
Concessionária de Veículos Vendas de Veículos, Oficina, Faturamento Venda de autopeças Pedido à Fábrica Capacitação de Pessoas Classificar como processos primários (tocam o cliente) ou como processos de apoio (colaboram com os processos primários). O processo Vendas de Veículos é um grupo de atividades realizadas numa seqüência lógica configura automóvel, faz o pedido à fábrica, recebe o automóvel que tem a fábrica de automóveis como fornecedor e os compradores e o setor de faturamento como clientes. O processo Oficina é um grupo de atividades realizadas numa seqüência lógica agendamento e recepção do cliente, diagnóstico, orçamento, aprovação pelo cliente, conserto, testes, entrega ao cliente que tem o setor de compras e o setor de autopeças como fornecedores e os proprietários de veículos e o setor de faturamento como clientes. O processo Capacitação de Pessoas é um grupo de atividades realizadas numa seqüência lógica levantamento de necessidades de treinamento, seleção de entidade que ministrará o treinamento, execução do treinamento, avaliação do treinando... que tem como fornecedor a gerência de RH/entidade de treinamento e como clientes os empregados em treinamento ou a serem treinados.
Processos Críticos Os Processos Críticos de Negócio, se deixam de funcionar, trazem um impacto significativo para a organização, impedindo ou prejudicando o alcance da missão e das metas organizacionais. ANÁLISE DE IMPACTO NO NEGÓCIO Business Impact Analysis - BIA O objetivo é avaliar qual o impacto que a organização sofrerá caso ocorra um desastre ou incidente que descontinue o processo.. IDENTIFICAÇÃO DOS PROCESSOS CRÍTICOS ESCALA NÃO CONSIDERÁVEL RELEVANTE IMPORTANTE CRÍTICO VITAL AUXÍLIO DE INTERPRETAÇÃO Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos praticamente irrelevantes. Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos apenas consideráveis. Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos parcialmente significativos. Envolve a paralisação do Processo de Negócio podendo provocar impactos muito significativos. Envolve o comprometimento do Processo de Negócio podendo provocar impactos incalculáveis na recuperação e na continuidade do negócio.
IDENTIFICAÇÃO DOS PROCESSOS CRÍTICOS ANÁLISE DE IMPACTO NO NEGÓCIO Business Impact Analysis - BIA O objetivo é avaliar qual o impacto que a organização sofrerá caso ocorra um desastre ou incidente que descontinue o processo.. Impactos Perda de capacidade operacional; perdas financeiras decorrentes da necessidade de repor ativos destruídos; Penalidades contratuais ou legais decorrentes do descumprimento de normas, contratos ou níveis de serviço; Danos à imagem da organização. Prazos de Recuperação Levantados com os gestores dos processos com base em fatores financeiros, operacionais, além de aspectos estratégicos, legais e regulatórios.
TEMPO MÁXIMO DE PARADA IDENTIFICAÇÃO DOS PROCESSOS CRÍTICOS Prazos de Recuperação Levantados com os gestores dos processos com base em fatores financeiros, operacionais, além de aspectos estratégicos, legais e regulatórios. CATEGORIA TEMPO MÁXIMO PARA RECUPERAÇÃO 1 m minutos 2 h horas 3 d dias 4 s semanas 5 depende da data 6 não crítico.
IDENTIFICAÇÃO DOS PROCESSOS CRÍTICOS Concessionária de Veículos Vendas de Veículos, Oficina, Faturamento Venda de autopeças Pedido à Fábrica Capacitação de Pessoas ESCALA NÃO CONSIDERÁVEL RELEVANTE IMPORTANTE CRÍTICO VITAL AUXÍLIO DE INTERPRETAÇÃO Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos praticamente irrelevantes. Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos apenas consideráveis. Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos parcialmente significativos. Envolve a paralisação do Processo de Negócio podendo provocar impactos muito significativos. Envolve o comprometimento do Processo de Negócio podendo provocar impactos incalculáveis na recuperação e na continuidade do negócio. 15 1 h 1 d 1 h 2 d 1 s
Quais os processos críticos? Livraria Marketing, Controle de Estoque, Atendimento na loja, Atendimento Internet, Compras, Logística de entrega, Cobrança. ESCALA Não considerável Relevante Importante Crítico Vital AUXÍLIO DE INTERPRETAÇÃO Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos praticamente irrelevantes. Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos apenas consideráveis. Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos parcialmente significativos. Envolve a paralisação do Processo de Negócio podendo provocar impactos muito significativos. Envolve o comprometimento do Processo de Negócio podendo provocar impactos incalculáveis na recuperação e na continuidade do negócio.
Logística de Entrada Receber itens para venda, controlar estoque, distribuir para as lojas e almoxarifados. Operações Atendimento na loja, atendimento pela Internet. Logística de Saída Processar Pedidos, Entregar Livros. Serviços Call Center. Marketing e Vendas Propaganda, promoções, precificação. Compras Infra-estrutura Faturamento, Cobrança Aluguéis, contrato com transportadora, aquisições Desenvolvimento Tecnológico BI, CRM, Leitora Ótica nas lojas.
Logística de Entrada Receber itens para venda, controlar estoque, distribuir para as lojas e almoxarifados. Operações Atendimento na loja, atendimento pela Internet. Logística de Saída Processar Pedidos, Entregar Livros. Serviços Call Center. Marketing e Vendas Propaganda, promoções, precificação. Compras Infra-estrutura Faturamento, Cobrança Aluguéis, contrato com transportadora, aquisições Desenvolvimento Tecnológico BI, CRM, Leitora Ótica nas lojas.
Quais os processos críticos? Livraria Marketing, Controle de Estoque, Atendimento na loja, Atendimento Internet, Compras, Logística de entrega, Cobrança. 2 s 1 h 15 1 h 1 s 1 d 2 d ESCALA Não considerável AUXÍLIO DE INTERPRETAÇÃO Atinge o Processo de Negócio podendo provocar impactos praticamente irrelevantes. Relevante Atinge o Processo de Negócio podendo provocar impactos apenas consideráveis. Importante Atinge o Processo de Negócio podendo provocar impactos parcialmente significativos. Crítico Vital Envolve a paralisação do Processo de Negócio podendo provocar impactos muito significativos. Envolve o comprometimento do Processo de Negócio podendo provocar impactos incalculáveis na recuperação e na continuidade do negócio.
Mapeamento de processos Identificação dos Processos Críticos Mapeamento dos ativos por processo Estratégias de Recuperação Planos de Continuidade de Negócio: Administração de Crise Continuidade Operacional Recuperação de Desastres Treinamento, conscientização do pessoal e testes
MAPEAMENTO DOS ATIVOS POR PROCESSO Para se projetar as estratégias de contingência é necessário se conhecer os ativos que suportam os processos críticos e o tempo máximo de parada destes processos.
Quais os ativos que suportam os processos críticos? Atendimento na loja Atendimento Internet Logística de entrega
Mapeamento de processos Identificação dos Processos Críticos Mapeamento dos ativos por processo Estratégias de Recuperação Planos de Continuidade de Negócio: Administração de Crise Continuidade Operacional Recuperação de Desastres Treinamento, conscientização do pessoal e testes
ESTRATÉGIAS DE RECUPERAÇÃO As estratégias de recuperação são escolhidas em função dos processos críticos e dos custos de aplicação das estratégias. USUÁRIOS: as estratégias com relação aos usuários visam garantir que eles possam continuar suas atividades em caso de desastre: integridade física, atendimento médico, transporte e remoção de usuários. INSTALAÇÕES:...visam garantir a infra-estrutura para a continuidade das atividades: Espaço, energia elétrica, água, telefonia, comunicação de dados. LOGÍSTICA:...visam garantir o escoamento da produção. DADOS:...visam garantir a recuperação do ativo informação, em tempo hábil. Backup, armazenamento offsite, transferência de dados, espelhamento. OPERAÇÕES:...visam a continuidade operacional dos processos informatizados:
Mapeamento de processos Identificação dos Processos Críticos Mapeamento dos ativos por processo Estratégias de Recuperação Planos de Continuidade de Negócio: Administração de Crise Continuidade Operacional Recuperação de Desastres Treinamento, conscientização do pessoal e testes
ESTRATÉGIAS DE RECUPERAÇÃO
PLANO DE CONTINUIDADE DE NEGÓCIOS PLANOS DE CONTINGÊNCIA Os planos de contingência são desenvolvidos para cada ameaça a cada processo de negócio, definindo em detalhes os procedimentos a serem executados em estado de contingência. PLANO DE ADMINISTRAÇÃO DA CRISE Procedimentos para o funcionamento das equipes envolvidas com o acionamento da contingência, antes, durante e depois da ocorrência do incidente. Isto envolve a elaboração do PCO e do PRD. PLANO DE CONTINUIDADE OPERACIONAL Procedimentos para o contingenciamento dos ativos que suportam cada processo de negócio, objetivando reduzir o tempo de indisponibilidade. PLANO DE RECUPERAÇÃO DE DESASTRES Procedimentos para a recuperação das funcionalidades dos ativos afetados que suportam os processos de negócio, a fim de restabelecer o ambiente às condições originais de operação
O CASO COMPRE-LOGO A Cadeia de Supermercados Compre- Logo fatura cerca de R$50 milhões por mês e possui quinze lojas distribuídas nas maiores cidades do Estado da Bahia. A empresa é dirigida por um Superintendente, um Gerente Administrativo, um Gerente Financeiro, um Gerente de Compras e um Gerente de Vendas, todos sediados em Salvador. Subordinado diretamente ao Superintendente está também a Gerência de Informática, encarregada de planejar a TI, desenvolver, implantar e manter os sistemas de informação, além de administrar as redes locais e remotas. Cada loja dispõe de um Gerente de Loja com autonomia para administrar seu pessoal (recrutamento, admissão e demissão), manter a loja, negociar a compra e a venda de mercadorias localmente. Subordinados a esses Gerentes há uma equipe de caixas, repositores, açougueiro, padeiro, vigilantes, pessoal de limpeza e cinco a dez auxiliares administrativos, todos eles bem selecionados e muito bem treinados. A maior parte das compras da Cadeia são centralizadas em Salvador, mas há três almoxarifados regionais onde são armazenados e de onde são distribuídos os produtos para as lojas. Desenvolva um PCN para a CSCL.
Mapeamento de processos Identificação dos Processos Críticos Mapeamento dos ativos por processo Estratégias de Recuperação Planos de Continuidade de Negócio: Administração de Crise Continuidade Operacional Recuperação de Desastres Treinamento, conscientização do pessoal e testes Bibliografia ABNT NBR ISO/IEC 27002: 2005. BEAL, Adriana. Segurança da Informação. Ed Atlas, São Paulo, 2005. SÊMOLA, Marcos. Gestão da Segurança da Informação. Editora Campus, 2003. FERREIRA, F N F. Segurança da Informação. Editora Ciência Moderna, 2003.
ESCALA NÃO CONSIDERÁVEL RELEVANTE IMPORTANTE CRÍTICO VITAL AUXÍLIO DE INTERPRETAÇÃO Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos praticamente irrelevantes. Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos apenas consideráveis. Envolve o atingimento gerenciável do Processo de Negócio podendo provocar impactos parcialmente significativos. Envolve a paralisação do Processo de Negócio podendo provocar impactos muito significativos. Envolve o comprometimento do Processo de Negócio podendo provocar impactos incalculáveis na recuperação e na continuidade do negócio.