Upload
internet
View
109
Download
3
Embed Size (px)
Citation preview
PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
IMPLANTAÇÃO DA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E
DESENVOLVIMENTO DE PLANO DE CONTINUIDADE DE NEGÓCIOS
Paulo SilvaTracker Segurança da Informação
Roteiro – FASE 5
1. Revisão Ações, Procedimentos e Treinamento
2. Revisão Análise de Impacto de Negócio
3. Estratégias de Continuidade1. Estratégias de Prevenção
2. Estratégias de Recuperação
4. Preenchimento do Formulário de Estratégias
1.Revisão Ações, Procedimentos e Treinamento
Revisão
• Ações
• Procedimentos
• Treinamento e Avaliação
2. Revisão Análise de Impacto de Negócio
Visão Geral de PCN
PCN – ISO 27001• Objetivo:
– Não permitir a parada das atividade– Proteger os processos críticos– Assegurar a retomada em tempo hábil
• Garantir a recuperação a um nível aceitável:– Ações de prevenção e recuperação
Uma Proposta de Roteiro
• Etapa 1 – Análise do Impacto de Negócio
• Etapa 2 – Definir Estratégias
• Etapa 3 – Desenvolver os Planos– Plano Ação (Fase 6)
• Etapa 4 – Testes e Manutenção– Plano Ação (Fase 6)
Etapa 1 – Análise de Impacto• Estima os impactos financeiros,
operacionais ou de imagem, decorrentes de uma interrupção nos processos de negócio.
• Foco no negócio e não em tecnologia.
• Define o tempo de recuperação;
Revisão BIA
• Ver Roteiro-PCN-BIA.pdf
3. Estratégias de Continuidade de Negócio
Conceitos...
• Empresa depende de seus processos de negócio.
• Processos dependem de recursos.
Recursos podem falhar!!!
• Estratégias estão associadas a recursos.– “garantem” a contingência dos recursos
Uma Proposta de Roteiro
• Etapa 1 – Análise do Impacto de Negócio
• Etapa 2 – Definir Estratégias
• Etapa 3 – Desenvolver os Planos– Plano Ação (Fase 6)
• Etapa 4 – Testes e Manutenção– Plano Ação (Fase 6)
Etapa 2 – Definir Estratégias
• Para onde nós iremos?
• Com que pessoas poderemos contar?
• Com quais recursos poderemos contar?
• Quais investimentos serão necessários para viabilizar estes recursos e serviços?
Etapa 2 – Definir Estratégias
• Podem ser:
– Controles, procedimentos ou estratégias de PREVENÇÃO;
– Controles, procedimentos ou estratégias de RECUPERAÇÃO;
Estratégias de Prevenção
• Controles ou procedimentos mantidos rotineiramente;
• Que permitam a recuperação em caso de interrupção;
Estratégias de Prevenção
• Nobreaks \ geradores de energia;
• Componentes redundantes ativos;– Ex. Ar-condicionado
• Componentes redundantes inativos;– Ex. switches
Estratégias de Prevenção
• Componentes de software redundantes;– Ex. virtualização ou replicação arquivos
• “Ambientes completos” redundantes;– Cold site, hot site, etc;
• Documentação de sistemas, redes, configurações, etc;
Estratégias de Prevenção
• Sistema de supressão de incêndio;
• Detectores de fumaça e água;
• Execução periódica de backups;
• Contato e SLA com fornecedores;
Atividade 1 – Prevenção
• Conforme BIA, para os processos e recursos de sua cooperativas defina:
– Estratégias de prevenção já realizadas;
– Estratégias de prevenção desejáveis;
Obs: justifique a estratégia pelo impacto dos processos associados;
Estratégias de Recuperação
• Um plano pré-definido para recuperação da interrupção de determinado recurso.
• O plano deve definir:– Fase de Ativação;– Fase de Execução;– Fase de Reconstituição;
ISO 27001 – Estrutura do PCN
– Condição de ativação
– Procedimento de emergência • O que fazer logo após o incidente?
– Procedimento de recuperação• Como fazer para estabelecer a contingência?
– Procedimento para saída da contingência• Como restaurar a operação normal?
Fase de Ativação
• Definir claramente a condição que ativa uma contingência
• Definir um responsável pela ativação:– Comunicação dos envolvidos;– Avaliação dos danos;– Tomada de ações imediatas;– Ativação do estado de contingência;
Fase de Execução (Contingência)
• Executar o plano de recuperação conforme procedimento específico
• Fazer uso dos recursos de prevenção previamente definidos
• Estabilizar a operação contingente dentro do IMA previsto na BIA
Fase de Reconstituição
• Retorno para a operação ou reconstrução em caso de falha irrecuperável
• Envolve:– Reinstalação de hardware e software– Contato com fornecedores– Reconfiguração para saída do estado de
contingência
Atividade 2 – Recuperação
• Para uma estratégia já aplicada em sua cooperativa, defina:
– Fase de Ativação
– Fase de Execução (Contingência)
– Fase de Recuperação
Exemplo Físico
• Contingência para rede de computadores:– Ativação: Para de equipamento de rede;– Execução (1): substituir por equipamento
sobressalente;– Execução (2): desviar carga para outro
equipamento previamente preparado;– Reconstituição: substituir equipamento
danificado por outro permanente;
Exemplo Lógico• Contingência para Sistema de Informação:
– Ativação: Parada do sistema por mais de 10 minutos;
– Execução (1): restaurar cópia virtual do sistema e dados do backup em um servidor previamente definido;
– Execução (2): realizar procedimento em papel conforme plano pré-definido;
– Restauração: reativar de modo permanente o servidor original ou com mesma configuração;
Opções de Estratégias para Recuperação
Estratégias Gerais (1)
• Ativo / Backup– Usar recursos sobressalentes (realocação)
• Ativo / Ativo– Dois locais de operação “on-line”
• Localidade alternativa– Local de operação sobressalente– Pode operar parcialmente “para testes”
Estratégias Gerais (2)
• Tratamento manual temporário– “quebra galho”
• Operação em sistema alternativo;– Sem mudança física
• Mudança para ambiente alternativo;– Com mudança física
Estratégias Específicas
1. Sem estratégia;
2. Reconstrução;
3. Restauração;
4. Realocação;
5. Cold Site;
6. Warm Site;
7. Hot Site;
8. Espelhamento;
Estratégias Específicas
• Sem estratégia– Sem estratégia!!!
• Reconstrução:– Montar ambiente, hardware e software;– Restaurar os dados;
Estratégias Específicas
• Restauração:– Montar o ambiente e o hardware;– Restaurar o software e dos dados;
• Realocação:– “Chavear” o serviço para outro recurso;– Geralmente dentro do ambiente da própria
empresa;
Estratégias Específicas
• Cold Site:– Ambiente já existe;– Montar hardware, software;– Restaurar os dados;
• Warm Site: – Ambiente e hardware já existem;– Montar software;– Restaurar os dados;
Estratégias Específicas
• Hot Site: – Ambiente, hardware e software já existem;– Dados sincronizados ou restaurar;– Depende de chaveamento do administrador;
• Espelhamento: – ativação em tempo real;
Estratégias Específicas – Resumo
* Em caso de perda de ambiente
Estratégias Específicas – Resumo
Considerações Técnicas (sp800-34)
• Documentação da configuração de sistemas e da rede
• Documentação do desenvolvimento de softwares
• Uso de componentes padrão
• Uso de componentes interoperáveis
Considerações Técnicas (sp800-34)
• Backup de dados e aplicações
• Virtualização
• Implementar tolerância a falhas
• Implementar replicação de dados
Considerações Técnicas (sp800-34)
• Identificação de pontos únicos de falha
• Redundância de componentes críticos de hardware e software
• Fonte extra de energia
• Monitoramento de recursos críticos
Considerações Técnicas (sp800-34)
• Definição de SLAs com fornecedores
• Coordenação com suporte de TIC
• Coordenação com fornecedores
• Coordenação com equipe de resposta a incidentes
Atividade 3 – Definição Estratégia
• Selecione duas estratégias ainda não aplicadas em sua cooperativa e defina:
– Fase de Ativação
– Fase de Execução (Contingência)
– Fase de Recuperação
Depois das Estratégias...
Uma Proposta de Roteiro
• Etapa 1 – Análise do Impacto de Negócio
• Etapa 2 – Definir Estratégias
• Etapa 3 – Desenvolver os Planos– Plano Ação (Fase 6)
• Etapa 4 – Testes e Manutenção– Plano Ação (Fase 6)
Etapa 3 – Desenvolver os Planos
• Plano de Continuidade de Negócios:– Conjunto de procedimentos e documentação
de recursos para prevenção e recuperação
• Procedimentos para:– Entrada na contingência– Operação contingente– Saída da contingência
Etapa 3 – Desenvolver os Planos
Etapa 4 – Testes e Manutenção
• Verificar o que não funciona;
• Reforçar o comprometimento dos envolvidos;
• Verificar a capacidade de recuperar;
• Validar compatibilidade técnica;
• Identificar oportunidades de melhorias.
4. Preenchimento do Formulário de Estratégias
Atividade Final
• Copiar “processos” e “dependências” para a versão 2 da base de dados:
Atividade Final
• Imprimir o relatório da BIA:
Atividade Final
• Preencher os formulários de Estratégias:
Atividade Final
• Preencher os formulários de Recursos:
Roteiro – FASE 5
1. Revisão Ações, Procedimentos e Treinamento
2. Revisão Análise de Impacto de Negócio
3. Estratégias de Continuidade1. Estratégias de Prevenção
2. Estratégias de Recuperação
4. Preenchimento do Formulário de Estratégias
Próxima Reunião...
• Plano de Ação para Plano de Continuidade de Negócio:
– Determinar as ações necessárias para a implantação das estratégias definidas!!!
PROJETO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
IMPLANTAÇÃO DA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E
DESENVOLVIMENTO DE PLANO DE CONTINUIDADE DE NEGÓCIOS
Paulo SilvaTracker Segurança da Informação