BUSINESS CONTINUITY: UMA APOSTA SEGURA!

BUSINESS CONTINUITY: UMA APOSTA SEGURA! B U S I N E S S C O N T I N U I T Y M A N A G E M E N T S Y S T E M S 31 MARÇO 2014 Paulo Borges 1

Quem apresenta? BSI ISO/IEC Accredited ISMS Implementer BSI ISO/IEC 27001 Lead Auditor PECB ISO/IEC 22301 Lead Auditor PECB (pending) ISO/IEC 20000 Lead Auditor Auditor do Gabinete Nacional de Segurança Auditor Qualificado pela APCER para ISO 27001 Accredited Tier Specialist pelo UpTime Institute Consultor/Auditor em Segurança da Informação Consultor/Auditor em Análise do Risco Consultor/Auditor de Continuidade de Negócio Consultor/Auditor em Gestão de Serviços IT Consultor/Auditor de Datacenters paulo.borges@segurti.pt 2

AGENDA 1. B U S I N E S S C O N T I N U I T Y V E R S U S D I S A S T E R R E C O V E R Y 2. P O R Q U Ê I N V E S T I R E M B U S I N E S S C O N T I N U I T Y? 3. A B O R D A G E N S N O R M A T I V A S P A R A B U S I N E S S C O N T I N U I T Y 4. O Q U E É U M B C M S? - I N T E R P R E T A Ç Ã O D A N O R M A I S O 2 2 3 0 1 5. I M P L E M E N T A Ç Ã O D E U M B C M S 6. A U D I T O R I A D E U M B C M S 7. C E R T I F I C A Ç Ã O D O B C M S 8. P E R G U N T A S E R E S P O S T A S 9. I D E I A S F I N A I S 3

ABORDAGEM BUSINESS CONTINUITY VERSUS DISASTER RECOVERY 4

ABORDAGEM BUSINESS CONTINUITY VERSUS DISASTER RECOVERY Definições: 5

ABORDAGEM BUSINESS CONTINUITY VERSUS DISASTER RECOVERY Definições: 6

PORQUÊ INVESTIR EM BUSINESS CONTINUITY? PONTOS A RETER: Focalização em atividades de negócio, produtos e serviços Ênfase na proteção das atividades críticas de negócio Definir o risco, gerir risco, tratar o risco como cenários admissíveis de incidente Focalização na resposta ao incidente disruptivo de qualquer origem Demonstrar a recuperação num período de tempo pré-definido Regresso à atividade em modo normal e com o menor impacto Evitar o assumir de uma falha com consequências danosas para o negócio Minimizar os danos na imagem da empresa 7

NORMAS PARA GESTÃO DA CONTINUIDADE DE NEGÓCIO 8

BCMS Business Continuity Management System GESTÃO DA CONTINUIDADE DE NEGÓCIO FRASES CHAVE: Estrutura organizativa dentro da empresa Definição de Política(s) Planeamento de atividades Funções e Responsabilidades Práticas definidas, treinadas, maduras e auditáveis Processos de gestão (risco, formação, outsourcing, etc ) Procedimentos de atuação e resposta a incidentes Recursos a utilizar (técnicos e humanos) Interação e comunicação na organização interna e com terceiros 9

GESTÃO DA CONTINUIDADE DE NEGÓCIO BCMS Business Continuity Management System TEM de incluir as seguintes componentes: Política de topo, onde se encontra a definição de objetivos Documento de identificação de funções e responsabilidades Processos de gestão e recursos associados, incluindo: Politicas complementares necessárias Planeamento de implementação da CN Procedimentos de operação Gestão da eficácia do BCMS Comunicação interna e externa em caso de incidente Revisão pela gestão da empresa Garantia de melhoria contínua Documentação que produza evidências auditáveis Outros temas de gestão relevantes na organização 10

GESTÃO DA CONTINUIDADE DE NEGÓCIO BCMS Business Continuity Management System 11

Ciclo PDCA SIGNIFICADO DO PDCA EM BCMS DEZ 2013 ISO 22301 - BUSINESS CONTINUITY MANAGEMENT SYSTEMS 12

SIGNIFICADO DO PDCA EM BCMS Interested parties (ISO 22313): 13

SIGNIFICADO DO PDCA EM BCMS Ciclo PDCA e atividades BCMS em ISO 22301: 1. PLANEAR 2. EXECUTAR 3. VERIFICAR 4. ATUAR Iniciação do projeto BCMS Compreensão da organização Análise do(s) sistema(s) existente(s) Liderança e aprovação do projeto Âmbito Politica de Continuidade de Negócio BIA -Business Impact Analysis Avaliação do Risco Estratégia de Continuidade de Negócio Estrutura Organizativa Gestão Documental Medidas de mitigação e proteção Plano e procedimentos de Continuidade de Negócio Comunicação Sensibilização e Treino Exercício(s) e Teste(s) Monitorização, Medida, Análise e Avaliação Auditoria Interna Revisão pela Gestão Tratamento de não conformidades Melhoria contínua 14

A NORMA ISO/IEC 22301 1 2 3 Scope, References, Definitions 7 Support 4 Context of the Organisation 8 Operation 5 Leadership 9 Performance Evaluation 6 Planning 10 Improvement 15

Cláusulas da norma ISO/IEC 22301 A NORMA ISO/IEC 22301 16

FASES PARA A IMPLEMENTAÇÃO DO BCMS 1º 2º 3º Entender a organização e o seu contexto Identificar necessidades e requisitos para o BCMS Operacionalizar e gerir o BCMS 17

ISO 22301 Cláusula 4: Entender a organização e o seu contexto CONTEXTO DA ORGANIZAÇÃO Atividades, funções, serviços, produtos, parcerias, cadeias de valor, relações estabelecidas com partes interessadas Objetivos da empresa, objetivos de Continuidade de Negócio, objetivos do BCMS, assim como o relacionamento com outros sistemas de gestão Identificar o Risk Appetite e os critérios de risco da organização Identificar potenciais impactos de incidentes disruptivos Entender as necessidades e expetativas de partes interessadas Identificar quais as partes interessadas a considerar As necessidades das partes interessadas Os requisitos das partes interessadas Requisitos legais e regulamentares aplicáveis Determinar o âmbito para o BCMS Determinar a aplicabilidade de um possível BCMS Identificar as suas fronteiras Validar a inclusão de requisitos aplicáveis 18

ISO 22301 Cláusula 4.3.2 Scope of the BCMS DEFINIÇÃO DO ÂMBITO DO BCMS O âmbito do BCMS é uma componente documentada que descreve as inclusões e exclusões de processos de negócio, assim como as fronteiras correspondentes. A exemplo da norma ISO 27001, é boa prática dar origem a um SOA Statement of Applicability. A sua definição formal DEVE incluir: As características principais da organização, as definições de criticidade e das necessidades em matérias de continuidade de negócio O critério para a identificação de processos críticos Os processos críticos de negócio incluídos As fronteiras de controlo com processos de suporte Lista de produtos e serviços e atividades relacionadas incluídas no âmbito Lista dos recursos técnicos e humanos envolvidos Lista das localizações geográficas envolvidas SOA, incluindo a justificação para a não inclusão 19

ORGÂNICA DE GESTÃO DO BCMS ISO 22301 Cláusula 5 - Leadership O BCMS tem de ser liderado por um colaborador da empresa ao nível do TOP MANAGEMENT da organização BCMS Top Leader Definições estratégicas Disponibilização de recursos Comunicação Assegurar compatibilidade do BCMS para com as estratégias de negócio Integrar os requisitos dos processos de negócio Definir os objetivos do BCMS Definir a metodologia para gestão do risco Identificar e providenciar os recursos necessários para a implementação e operacionalização do BCMS Criação, publicação e divulgação da politica de BCM Equipa de Continuidade de Negócio Auditorias internas A importância da Continuidade de Negócio, da sua eficácia e integração na estratégia da empresa Através de procedimentos internos e externos Decisões sobre ações de melhoria contínua 20

PLANEAMENTO DO BCMS ISO 22301 Cláusula 6 Planning Ações para gerir riscos Identificar oportunidades de negócio Identificar potenciais fontes de risco para novas oportunidades e para os processos existentes Identificar riscos associados à eficiência e eficácia do BCMS em face dos compromissos de conformidade para com os requisitos Objetivos de BCM e medidas para a sua eficácia e eficiência Assegurar consistência para com a Politica de Continuidade de Negócio e os requisitos de BCM Identificar e validar o significado de mínimo nível de produtos e serviços que são requeridos em modo normal e em resposta a incidente Assegurar que o BCMS é mesurável em eficiência e eficácia Plano de implementação do BCMS, incluindo: Quem faz o quê? O que será realizado Que recursos serão necessários e disponibilizados Quando serão realizadas etapas? Como os resultados da implementação serão medidos? 21

RECURSOS COMPETÊNCIAS SENSIBILIZAÇÂO COMUNICAÇÃO DOCUMENTAÇÃO SUPORTES DO BCMS ISO 22301 Cláusula 7 Support Humanos Técnicos Locais Físicos Sistemas de Informação Dados Legislação Normas Contratos Recursos alternativos Transportes Financeiros Parceiros etc Formação Credenciais Especialidades Experiência Evidências Comprovativos Confirmação Requisitos de funções Necessidades de formação Auditoria interna Ações internas Plano de Formação Mandatórias para todos os envolvidos em BCMS Estrutura do BCMS Políticas Processos Procedimentos Funções e responsabilidades Respostas a incidentes Boas Práticas Comportamento em crise Gestão da Mudança Porta Voz Procedimentos Ensaios Mensagens a comunicar Psicologia laboral Gestão de crises Gestão Documental Arquivo Fluxos e aprovações Divulgação Publicação 22

SUPORTES DO BCMS ISO 22301 Cláusula 7.4 Communication O quê? A quem? Quando? ONDE? Politica de comunicação Processo de gestão Procedimentos Eleição de destinatários Tipos de mensagens Disponibilidade dos meios para comunicação Escolha de locais para comunicação Preparação psicológica Preparação legal Ênfase na recuperação da organização 23

ISO 22301 Cláusula 8 - Operation Planeamento e Controlo de Operações OPERAÇÃO DO BCMS Especial atenção aos processos em Definição de critérios para desenho de processos outsourcing! Implementação de controlos decorrentes de tais critérios Assegurar documentação adequada à eficácia dos processos Gerir alterações aos processos de gestão de BCMS Avaliação do risco e análise do impacto nos processos de negócio Business Impact Analysis BIA Avaliação do risco Risk Management Estratégia para Continuidade de Negócio Determinação de opções e critérios para seleção Recursos necessários Proteção e mitigação de cenários de risco Definição e Implementação de procedimentos de Continuidade de Negócio Exercícios e Testes Estrutura de resposta a incidentes Comunicação Plano(s) de Continuidade de Negócio Recuperação e incidentes Plano de Ensaios Auditoria Interna Lições aprendidas Ligação à melhoria contínua! 24

BIA E GESTÃO DO RISCO ISO 22301 Cláusulas 8.2.2 e 8.2.3. Business Impact Analysis / Risk Assessement DEZ 2013 25

Integração BIA RISK ASSESSMENT RISK APPETITE BIA E GESTÃO DO RISCO Business Impact Analysis Risk Assessment 26

RISK APPETITE (RA) ORIGENS e GESTÃO BIA E GESTÃO DO RISCO Vários níveis devem ser considerados para identificação dera: Estratégico orientado para o contexto do negócio Tático orientado para a estratégia da organização Operacional orientado para os processos de negócio a proteger Sistemas em função do sistema de gestão que está a ser implementado Cultura em função das práticas correntes e compromissos da organização A gestão do Risk Appetite TEM DE FAZER parte da metodologia de Gestão do Risco da Organização. As definições e métodos de identificação estão alinhados com a ISO 31000. Deve ser implementado um processo de gestão dedicado ao RA 27

RISK APPETITE (RA) Fontes para identificação BIA E GESTÃO DO RISCO 28

BIA E GESTÃO DO RISCO RISK APPETITE (RA) Fontes para identificação 29

RISK APPETITE (RA) Caso prático de ligação à BIA BIA E GESTÃO DO RISCO 30

BIA E GESTÃO DO RISCO RISK MANAGEMENT (RM) Norma ISO 31000:2009 Risk management Guidelines on principles and implementation of risk management Genérica na aplicação Bem orientada para RA Boa definição para a estrutura de Risk Treatment Plans Deixa ao critério da organização a definição do Risk Criteria : Fator P - Define a probabilidade de ocorrência Fator C - Define a consequência da sua ocorrência Faz referência no Risk Analysis a níveis de risco mas não os quantifica 31

BIA E GESTÃO DO RISCO RISK MANAGEMENT (RM) Norma ISO 27005:2011 32

BIA E GESTÃO DO RISCO RISK MANAGEMENT (RM) Norma ISO 27005 e as medidas de tratamento 33

BIA E GESTÃO DO RISCO RISK MANAGEMENT (RM) FERMA:2003 Integra os esforços dos seguintes organismos: IRM Institute of Risk Management AIRMIC The Association of Insurance and Risk Managers ALARM The National Forum for the Risk Management in the Public Sector Direcionada para o Sector Público, Seguros e Mercados Financeiros e particionada pela EU Usa uma abordagem de terminologia ISO 73 Guide for Risk Management (também usada pelo ISO 31000 e ISO 27005) O processo de gestão foi adotado na íntegra pela ISO 27005, pelo que inclui já o tratamento de risco residual A abordagem das consequências do incidente é dirigida para valores financeiros, com 3 níveis definidos Abordagem semelhante para a probabilidade, mas apenas com 3 níveis Divide a ocorrência das ameaças das ocorrências das oportunidades, pelo que está mais próxima da ISO 22301. A ISO 31000 tem uma abordagem similar mas mais tenuemente definida A definição de níveis de risco pela junção das duas componentes Probabilidade e Consequência 34

BIA ESTRATÉGIA PARA CONTINUIDADE DE NEGÓCIO ISO 22301 Cláusula 8.3.1 Determination and selection Proteger atividades prioritárias Estabilizar e recuperar atividades prioritárias Mitigar impacto de incidentes Definições aprovadas para tempos admissíveis para reposição de atividades Evidências de prontidão de prestadores de serviços para suporte da estratégia de Continuidade de Negócio Assegurar life safety as the first priority segundo 8.4.2 Incident Response Structure 35

Risk Treatment Plans ESTRATÉGIA PARA CONTINUIDADE DE NEGÓCIO ISO 22301 Cláusula 8.3.3 Protection and Mitigation Redução da probabilidade do incidente Reduzir o período de disrupção Limitar o impacto da disrupção Associar os critérios de redução de período e impacto de uma disrupção à justificação para a medida de tratamento do risco Assegurar abordagem de medidas de tratamento do risco preventivas, de deteção de incidentes e de correção das consequência do impacto 36

ESTRATÉGIA PARA CONTINUIDADE DE NEGÓCIO ISO 22301 Cláusula 8.3.3 Protection and Mitigation Medidas Preventivas Medidas de deteção Medidas Corretivas INCIDENTE 37

ESTABELECER PROCEDIMENTOS GESTÃO DE INCIDENTES ISO 22301 Cláusula 8.4.1 General Exemplos de procedimentos para reação a um incidente: Diagnóstico, resolução e aprendizagem Gestão de Crises Gestão de Contingências Proteção e mitigação do impacto INCIDENTE Treino e Sensibilização Comunicação interna e externa 38

ITIL versão 3 Processo de Gestão de Incidentes GESTÃO DE INCIDENTES - ABORDAGENS 39

GESTÃO DE INCIDENTES - ABORDAGENS ISO 27035 Information Security Incident Management 40

CLASSIFICAÇÃO DE UM INCIDENTE Evolução de um incidente: 41

ESTRUTURA DE RESPOSTA A INCIDENTES ISO 22301 Cláusula 8.4.2 Incident Response Structure INCIDENTE DISRUPTIVO Definir resposta Documentar Implementar REQUISITOS: Assegurar identificação de impacto antes de ativação Evidenciar critérios de decisão para seleção do procedimento de resposta Ativar procedimento(s) paralelo(s) para comunicação Monitorizar a evolução do incidente Antecipar disponibilidade de recursos para procedimento(s) Responsabilidade Autoridade Competência alternativo(s) em função do escalar do incidente 42

COMUNICAÇÃO ASPETOS OPERACIONAIS ISO 22301 Cláusula 8.4.3 Warning and Communication INCIDENTE DISRUPTIVO Interna Colaboradores Prestadores de serviços externos Outsourcing Locais alternativos Externa Parceiros de negócio Entidades Reguladoras Media Serviços de Emergência Pública REQUISITOS: Utilização de recursos próprios para os procedimentos de comunicação Inclusão de testes e ensaios dos procedimentos de comunicação Auditoria de desempenho do processo de gestão da comunicação 43

PLANO(S) DE CONTINUIDADE DE NEGÓCIO ISO 22301 Cláusula 8.4.4 Business Continuity Plans Requisitos mínimos: Item 1 Âmbito de aplicação 2 Objetivos 3 Critérios de ativação e procedimentos 4 Procedimentos de resposta a incidentes 5 Funções, Responsabilidades e Autoridades 6 Requisitos e procedimentos de comunicação 7 Identificação de dependências externas e internas de recursos e atividades 8 Recursos requeridos 9 Fluxo de aprovação e distribuição 44

RESPOSTA AO INCIDENTE DISRUPTIVO - OBJETIVOS DE RECUPERAÇÃO Definições 45

OBJETIVOS DE RECUPERAÇÃO Definições 46

RTO e RPO visão sobre um eixo temporal OBJETIVOS DE RECUPERAÇÃO 47

OBJETIVOS DE RECUPERAÇÃO Abordagem ao RTO Alta Disponibilidade? Clustering? Failover? Load Balancing? Hot Backup? Full backup? Cloud? 99.99%? Que Datacenter?? 48

Impacto na seleção para um RTO: INFRAESTRUTURAS DE DATACENTER Relevante para as definição de resposta e recuperação de incidentes! Tier Level Nível Disponibilidade Interrupção máxima por incidente I 99,67 % 28,8 h anuais II 99,75 % 22 h anuais III 99,98 % 1,6 h anuais IV 99,99 % 0,8 h anuais 49

RTO e RPO Níveis para definição de classes OBJETIVOS DE RECUPERAÇÃO Tabela Reposição - RPO NÍVEL Descritivo 1 > 8h 2 > 4h e 8h 3 > 1h e 4h 4 1h 5 Não pode haver desfasamento 50

OBJETIVOS DE RECUPERAÇÃO MAO Significado prático Representa o máximo tempo oficialmente aceite para interrupção de serviço de uma atividade crítica e apoia a identificação do: Método de recuperação ao modo normal de operação Detalhe de definição de recursos/tarefas para o procedimento de recuperação 51

OBJETIVOS DE RECUPERAÇÃO Análise da linha temporal de um incidente disruptivo - PONTOS DE DECISÃO 52

Análise da linha temporal de um incidente disruptivo OBJETIVOS DE RECUPERAÇÃO 53

OBJETIVOS DE RECUPERAÇÃO ISO 22301 Cláusula 8.4.5 - Recovery A organização deve ter procedimentos documentados para restaurar e regressar as suas atividades críticas de negócio ao modo normal de operação, após a aplicação de medidas temporárias adotadas para suportar os requisitos de negócio após um incidente. 54

ENSAIOS E TESTES ISO 22301 Cláusula 8.5 Exercising and Testing Não disruptivos! Incluir sessões teóricas e práticas Realizados em intervalos regulares Envolver todas as partes interessadas Geração de relatórios de auditoria Evidências de lições aprendidas para suporte de melhoria contínua 55

ENSAIOS E TESTES ISO 22301 Cláusula 8.5 Exercising and Testing 56

MONITORIZAÇÃO E AVALIAÇÃO DO BCMS ISO 22301 Cláusula 9 Performing Evaluation 57

MONITORIZAÇÃO E AVALIAÇÃO DO BCMS ISO 22301 Cláusula 9.1.2 Evaluating of business continuity procedures Métricas definidas pelo Top Management do BCMS Realização percentual ou em níveis de conforto na concretização Acompanhadas pela Auditoria Interna Avaliadas em conjunto com o Top Management do BCMS Publicadas como dashboards do BCMS em portal interno 58

AUDITORIA DO BCMS ISO 22301 Cláusula 9.2 Internal Audit 3.7 auditado: Organização a ser auditada Outros pontos a ter em conta: Participação ativa do BCMS Top Leader Plano de Auditoria integrado Definição de critérios de auditoria pela Gestão de Topo do BCMS Seleção de auditores e verificação/evidência da sua imparcialidade Conduzidas por check list por auditores da organização Conduzidas por entrevistas por auditores contratados Ênfase na preparação e prontidão do elemento humano Considerar recursos críticos os resultados de auditoria 59

REVISÃO PELA GESTÃO ISO 22301 Cláusula 9.3 Management Review 60

CERTIFICAÇÃO DO BCMS ELEMENTOS DE MOTIVAÇÃO: 1. Exigências contratuais 2. Regulamentação e Legislação 3. Abertura a mercados internacionais 4. Credibilidade no setor de atividade 5. Demonstração de boas práticas de gestão 61

CERTIFICAÇÃO DO BCMS PREPARAÇÃO PARA CERTIFICAÇÃO DO BCMS Opinion Audit Pre-Assessment Audit Destina-se a receber aconselhamento e recomendações de conformidade Realizada por consultores A entidade certificadora não pode realizar esta auditoria Destina-se a preparar a certificação Resulta numa declaração de prontidão Realizada pela equipa da entidade certificadora Certification Audit Destina-se a emitir a recomendação para certificação Realizada pela equipa da entidade certificadora 62

AUDITORIA DE OPINIÃO Preparação do impacto do BCMS na organização: Tempo necessário para os compromissos Sobreposição de funções e responsabilidades Aspetos intrusivos nos processos e atividades Necessidade de novos recursos Credibilidade da gestão do projeto Credibilidade na operacionalização do BCMS Falhas de documentação Falhas de treino e formação e de informação Assegurar a eficiência e eficácia do ELEMENTO HUMANO Esforço a realizar pela empresa nos vários requisitos 63

CERTIFICAÇÃO DO BCMS ROAD MAP PARA CERTIFICAÇÃO DO BCMS 64

CERTIFICAÇÃO DO BCMS ESTADO ATUAL DO QUADRO DE CERTIFICAÇÕES ISO 22301: Norma recente no mercado Falta de coordenação dos registos internacionais Em Portugal?. Há pelo menos uma! Mas mais estão a caminho! 65

PERGUNTAS E RESPOSTAS 66

RESUMO DE BOAS PRÁTICAS: KEEP IT SIMPLE! Definir e gerir uma zona de conforto nas decisões Manter-se fiel à interpretação da norma Escolher bem os recursos humanos e as partes interessadas Não permitir paragens prolongadas na implementação do projeto Auditoria interna é a chave das métricas de eficácia e eficiência Assegurar disponibilidade financeira Em caso de dúvida, recorrer a normas complementares Recorrer a apoio externo sempre que necessário Avaliar muito bem a gestão da mudança IDEIAS FINAIS 67

68