Gerenciamento da Continuidade do Negcio

Prof. Erick Alves Rezende earezende@gmail.com

Roteiro
Motivao Gerenciamento da Continuidade do Negcio (GCN) com ABNT NBR 15999 Atividade em grupo (Gerenciamento da Continuidade dos Servios de TI com a PAS 77)

Fatos
Depois de um desastre, quantas organizaes sem um plano: Nunca reabrem? 40%
Reabrem mas fecham em 18 meses? 40% Reabrem mas fecham em 5 anos? 12% Sobrevivem? 8%

5 Fonte: Safetynet / Guardian IT

Ocorrncia de interrupo de servio no ano anterior.

6 Fonte: Patrick Wood, Business Continuity Management, Chartered Management Institute, England, 2006.

Sistema No Resiliente

Sistemas Resilientes x No Resilientes

Um sistema resiliente aquele capaz de resistir a presses. O termo emprestado da fsica, na qual a resilincia uma caracterstica dos materiais que no se deformam ao sofrer presso. Importante para pessoas, empresas e pases.
8

Sistema Resiliente

Uma rea em crescimento...

11

Associaes Profissionais de GC
Business Continuity Institute (www.thebci.org) DRI International (www.drii.org) BCM Institute (www.bcm-institute.org)

12

Certificaes para Profissionais

Certified Business Continuity Professional CBCP, do DRI International. BCI Member MBCI, do Business Continuity Institute.

13

14

Evoluo dos Padres

Ano 1979 1992 2002 2007 2008 Assunto Quality Managment Environmental managemet IT Service Management Business Continuity Management PAS 56 BS 5750 7750 15000 25999 25777 ISO 9001 ABNT 9001

14001 14001 20000 20000 15999 -

IT Service Continuity 77 Management

15

Certificao BS 25999 no Mundo

Duas empresas inglesas foram as primeiras certificadas em BS 25999-2 no mundo, em novembro de 2007:
Sunguard Availability Services www.sungard.co.uk TDG Supply Chain Management www.tdg.eu.com

16 Fonte: http://www.continuitycentral.com/news03615.htm

Certificao BS 25999 no Brasil

Primeiro banco no mundo a obter a certificao BS 25999 em fevereiro de 2008, com apoio da consultoria Mdulo.

Fonte: Banco Nossa Caixa S.A. Relatrio Trimestral de Resultados 1T08 Fonte: http://www.baguete.com.br/noticiasDetalhes.php?id=24629

17

Definio de GCN
Gerenciamento da Continuidade do Negcio (GCN) um processo da organizao que estabelece uma estrutura estratgica e operacional adequada para:
Melhorar proativamente a resilincia da organizao. Prover uma prtica para restabelecer a capacidade de uma organizao fornecer seus principais produtos e servios, em um nvel previamente acordado, dentro de um tempo previamente determinado aps uma interrupo. Obter reconhecida capacidade de gerenciar uma interrupo do negcio, de forma a proteger a marca e reputao da empresa.
18 Fonte: ABNT NBR 15999-1:2007

RPO e RTO

(Ponto de Recuperao Objetivado)

(Tempo de Recuperao Objetivado)

19
Fonte: Secure Business Continuity: Strategies for Business Continuity Management and Disaster Recovery Symantec Yellow Books

Investimento x RTO

20
Fonte: Secure Business Continuity: Strategies for Business Continuity Management and Disaster Recovery Symantec Yellow Books

10

Poltica de GCN
Deve contemplar:
Definio do escopo do GCN dentro da organizao. Alocao de recursos para GCN. Definio dos princpios, guias e polticas que precisam ser includos ou podem ser utilizados como referncia. Referncia a normas pertinentes, regulamentos ou polticas que tenham que ser includos ou possam ser usados como referncia.

21

As 6 Etapas do GCN

22 Fonte: ABNT NBR 15999-1:2007

11

1. Gesto do Programa de GCN

Trs passos:
Atribuio de responsabilidades. Implementao da continuidade de negcios na organizao. A gesto contnua da continuidade do negcio.

23

2. Entendendo a organizao
Identificar os objetivos da organizao. Identificar atividades que do suporte entrega desses produtos. Avaliar impacto de falha dessas atividades. Identificar ameaas que possam interromper essas atividades.

24

12

Anlise de Impacto no Negcio - BIA

Documenta o impacto de uma interrupo nas atividades que geram seus produtos e servios fundamentais. Para cada atividade que suporta a entrega dos produtos e servios fundamentais:
Verificar, com o passar do tempo, o impacto que aconteceria caso a atividade fosse interrompida. Estabelecer o perodo mximo de interrupo tolervel em cada atividade.

Atividades crticas: atividades cuja perda teriam maior impacto no menor tempo.
25

Anlise de Impacto no Negcio - BIA

Impactos relacionados aos objetivos de negcio e s partes interessadas:
Comprometimento do bem-estar das pessoas. Dano ou perda de instalaes, tecnologias ou informao. No cumprimento de deveres ou regulamentaes. Danos reputao. Danos viabilidade financeira. Deteriorao da qualidade de produtos e servios. Danos ambientais.
26

13

Anlise de Risco - RA
Deve conter:
Definio dos critrios de aceitao de riscos. Definio dos nveis aceitveis de riscos. Anlise dos riscos

Ameaas: eventos que possam causar impacto aos recursos. Vulnerabilidades: fraquezas nos recursos. Impactos podem resultar da explorao de vulnerabilidades pelas ameaas.
27

Processo, Atividades, Atividade Crtica, Vulnerabilidades, Ameaas

28

14

Resultado da BIA e RA
So identificadas medidas que:
Reduzem a chance de interrupo. Reduzem o perodo de interrupo. Limitem o impacto da interrupo.

29

3. Determinando a estratgia de continuidade do negcio

A escolha da estratgia de GCN permite que opes de resposta sejam avaliadas para cada servio de maneira que:
O nvel do servio seja aceitvel. Em uma quantidade de tempo aceitvel.

30

15

Operao Manual

Nossos sistemas esto fora do ar, tivemos que fazer tudo manualmente...
31

4. Desenvolvendo e implementando uma resposta de GCN

Resulta na criao de uma estrutura de gesto e de gerenciamento de incidentes, continuidade de negcios e recuperao.

32

16

Plano de Gerenciamento de Incidente - PGI

Seu propsito gerenciar a fase inicial (crtica) de um incidente. Deve se basear na BIA e RA. Define a comunicao com a mdia (ex: minuta de declarao imprensa). Define o local a partir do qual o incidente ser gerenciado (ex: sala, quarto de hotel...), dispondo de meios de comunicao adequados (ex: telefone, fax, acesso Internet...) Anexos teis, como mapas, tabelas, plantas, diagramas, fotografias...
33

Plano de Continuidade de Negcio PCN

Seu propsito permitir que a organizao recupere ou mantenha suas atividades em caso de uma interrupo das operaes normais de negcio.

34

17

PGI e PCN
Todo plano deve conter:
Objetivo e escopo Papis e responsabilidades Regra de ativao do plano Proprietrio e mantenedor do documento Formas de contato (ex: celular, pager...)

35

Linha do Tempo do Desastre

36 Fonte: ABNT NBR 15999-1:2007

18

5. Testando, mantendo e analisando os preparativos de GCN

Garante que os preparativos de GCN estejam validados por testes e anlises crticas e que sejam mantidos atualizados.

37

Benefcios dos Testes

Exercitar a capacidade da organizao de se recuperar de um incidente. Validar a efetividade dos planos. Aperfeioar os planos. Treinar as equipes. Divulgar a GCN para a organizao e partes interessadas.
38

19

6. Incluindo a GCN na cultura da organizao

A continuidade de negcio precisa se tornar parte da gesto da organizao, dos valores bsicos da organizao.

39

Conscientizao
Uma iniciativa de conscientizao deve incluir:
Um processo de consulta sobre a implementao de GCN. Discutir GCN nos informativos, apresentaes, reportes dirios. Incluso de GCN na intranet. Discusso de incidentes internos e externos. GCN como um tpico nas reunies de equipe. Visitas aos locais de recuperao.

40

20

Benefcios
Reduo do nmero de desastres. Reduo do impacto produzido pelos desastres. Reduo do tempo de indisponibilidade provocado pelos desastres. Maior previsibilidade na recuperao dos desastres. Reduo do prmio pago pelos seguros. Aumento da credibilidade da empresa, melhora da imagem.
41

Pesquisa sobre Impacto de Desastres nas Empresas

Pesquisou a influncia de grandes desastres no preo das aes. Concluses:
Descobriu dois tipos de empresas: as recuperadoras e as no recuperadoras. As recuperadoras tinham o preo das aes aumentado em 5% depois de um ano. As no recuperadoras reduziam 15% no mesmo perodo. O mercado reavalia as empresas depois de um desastre. Se a empresa souber lidar com a crise, o valor de mercado sobe, caso contrrio, desce. Oportunidade para os executivos mostrarem suas habilidades em situaes extremas.
42 Fonte: Rory R. Knight, Deborah J. Pretty, The Impact of Catastrophes on Shareholder Value.

21

Padres Relacionados com GCN

ABNT NBR 15999-1 Gesto de continuidade de negcios Parte 1: Cdigo de prtica (traduo da BS 25999-1). BS 25999-1 Business continuity management Part 1 Code of practice (Inglaterra). BS 25999-2 Business continuity management Part 2 Specification (Inglaterra). SS 507 Singapore Standard for Business Continuity/Disaster Recovery (BC/DR) service providers (Singapura) ISO/PAS 22399:2007 Societal security - Guideline for incident preparedness and operational continuity management HB 221:2004 Business continuity management (Austrlia). HB 292:2006 A Practitioners guide to business continuity management (Austrlia). NFPA 1600 Standard on disaster/emergency management and business continuity (Estados Unidos).

43

Padres Relacionados com GCSTI

BS 25777:2008 Information and communications technology continuity management. Code of practice. BSI PAS 77:2006 IT Service continuity management Code of practice. ISO 24762:2008 Informaton technology Security techniques Guidelines for information and communications technology disaster recovery services. NIST SP 800-34 Contingency planning guide for information technology systems (Estados Unidos). ITIL v3, Livro Service Design, Processo de Gerenciamento da Continuidade dos Servios de TI. ISO 20000-1 Information technology Service management Part 1: Specification. ISO 20000-2 Information technology Service management Part 2: Code of practice. Cobit 4.1, DS4 Domnio Deliver and Support, Processo Ensure Continuous Service. ISO/IEC 27001:2005 Information technology -- Security techniques -- Information security management systems Requirements. ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of practice for information security management. ISO 27031 Information technology -- Security techniques -- Specification for ICT Readiness for Business Continuity, draft. BS 25777. Code of practice for information and communications technology continuity, draft.

44

22

Outras Fontes de Informao

Tutorial sobre PCN
http://nonprofitrisk.org/tools/business-continuity/intro/1.htm

Estrutura de um PCN
http://www.yourwindow.to/business-continuity/index.htm

Disaster Recovery Journal

http://www.drj.com

Site do governo do Canada sobre GCN

http://www.publicsafety.gc.ca/prg/em/gds/bcp-eng.aspx#a02

45

23