implantando ou aperfeiçoando o drp alinhado às necessidades do negócio
TRANSCRIPT
DRP Alinhado às Necessidades do NegócioFaça certo da primeira vez
Sidney R. Modenesi, MCBCC, MBCI, LDRM,
ISO 22301 BSI Technical Expert
2
ApresentaçõesSidney R. Modenesi
• Gerente da STROHL Brasil;
• Certificado MBCI pelo BCI em
2006;
• ISO 22301 BSI Technical
Expert, 2013;
• Certificado LDRM pelo PECB
em 2017;
• Mais de 25 anos de
experiência em DRP/BCM;
• Consultor e instrutor
internacional de BCM (ISO
22301, 22313 & outras).
STROHL Brasil
• Empresa brasileira;
• Mais de 15 anos dedicada
exclusivamente à GCN, DRP e
à resiliência;
• Certificação internacional –
BCI;
• Experiência comprovada em
vários segmentos de
negócios;
• Consultoria e treinamento em
Gestão da Continuidade de
Negócios (BCM) e agregados.
33
CHAME NOSSOS
ANALISTAS
PARA VALIDAR-
MOS A LISTA.
QUER DIZER QUE FINALMENTE VAMOS
FAZER O DRP? O SENHOR SABE O QUE É
IMPORTANTE PARA A EMPRESA?
5
VAMOS RECUPERAR
O FATURAMENTO, O
CONTAS A
RECEBER, A FOLHA
DE PAGAMENTOS (É
CLARO!), E O SAC
DECRETO, ISTO
DEVE SER
SUFICIENTE!
O QUE VOCÊS
ACHAM?
6
FALTOU O
E-MAIL E O
PAGNET. ACHO
QUE É SÓ.
PESSOAL,
PRECISO DA
LISTA DE
APLICAÇÕES
ANTES QUE
CORTEM NOSSA
VERBA!
7
Críticas Aplicações
NÃO SÃO
• Faturamento: 0,25% a.d.
empresa não ter, quebrada
está;
• Contas a receber:
faturamento igual é;
• Folha de pagamento:
pagar até quinto dia
útil pode, pagamento
antecipar pode,
repetir mês anterior
pode.
SÃO
• SAC Decreto: regulatório é,
24x7x365. 3MMs UFIRs
multa chegar;
• PAGNET: front-end
serviço é, demais
serviços de suporte
operando precisa;
• Front-end de clientes
importante são: chamados
abrir, serviços solicitar;
• Nota fiscal: CRÍTICO É.
8
9
Continuidade de Negócios - DRP
• É um sistema de gestão normatizado desde 2006 com a
norma inglesa “BS 25999-1:2006 Business Continuity
Management. Code of Practice”;
• Posteriormente substituída pela norma “ISO
22301:2012 Societal security -- Business continuity
management systems --- Requirements”;
• Esta norma está disponível no Brasil como ABNT NBR
ISO 22301:2013 Segurança da sociedade — Sistema de
gestão de continuidade de negócios — Requisitos;
• É utilizada pelos órgãos reguladores (BACEN, SUSEP
etc.) nas suas inspeções e auditorias.
10
Ciclo de Vida
•Infraestrutura
•TIC
•Seg. infor.
•Humanos
•Fornecedores
Aval. de Riscos
•Financeiros
•Operacionais
•Regulatórios
Anal. Impacto nos Negócios •Apetite a Risco
•Cont. de Negócios
•DRP - TIC
Estratégia de Recuperação
•Resp. Incidentes
•PCNs
•DRP
Desenv. Planos•Resp. Incidentes
•De mesa
•Blocos
•Integrados
Exercícios
Plan
Do
Check
Act
11
Variáveis Fundamentais
MTPD
MBCO
RTO
RPO
12
Variáveis Fundamentais - MTPD
MTPD (Maximum Tolerable Period of Disruption): tempo
necessário para que os impactos adversos tornem-se inaceitáveis,
que pode surgir como resultado de não fornecer um produto/serviço
ou realizar uma atividade
13
Variáveis Fundamentais - MBCO
MBCO (Minimum Business Continuity Objective): níveis
mínimos aceitáveis de serviços e/ou produtos para a organização
alcançar seus objetivos de negócios durante uma interrupção
14
Variáveis Fundamentais - RTO
RTO (Recovery Time Objective): período de tempo após
um incidente em que: o produto ou serviço deve ser
retomado,ou a atividade deve ser retomada, ou os
recursos devem ser recuperados
15
Variáveis Fundamentais - RPO
RPO (Recovery Point Objective): ponto em que a
informação usada por uma atividade deve ser restaurada
para permitir a operação da atividade na retomada
16
Variáveis Fundamentais
• MTPD, MBCO, RTO e RPO
• São quantificadas na etapa de
BIA – Análise de Impacto nos Negócios
• Devem ser validadas e deliberadas pela
Diretoria Executiva
• Em função do APETITE A RISCO
• E alinhadas com o
Planejamento Estratégico.17
Estratégia de Recuperação - DRP
BIA
•Produtos
•Serviços
•Processos
MTPD
MBCO
RTO
RPO
Apetite a Risco
Alinhamento ao planejamento estratégico
18
BIA – Análise de Impacto nos Negócios
• Não é aceitar tudo o que o gestor quer.
− 100% de disponibilidade a custo ZERO.
• É desafiar o gestor a;
− Pensar fora da caixa,
− Aceitar indisponibilidades,
− Quantificar impactos,
− SOBREVIVER NUM DESASTRE.
• NÃO É DIA A DIA.19
Apetite a Risco
A empresa hoje
Os que os gestores
pediram O que os executivos
estão dispostos a
investir
O DRP sem BIAO DRP com BIA e alinhado
ao APETITE A RISCO20
Mapeamentos
Produtos & Serviços Críticos
Processo 1 Processo 2
Aplicação 1
Aplicação 2
Servidor 1 Servidor 2
Base de Dados 1
Base de Dados
...Base de Dados N
... Servidor N
...Aplicação N
Processo N MTPD
MBCO
RTO
RPO
21
É desejável ter ...
• Mapeamento de processos (ISO 9000);
• CMDB (Configuration Management Data
Base) completo e atualizado (ISO
20000/ITIL);
• Sistema de Gestão de Riscos
Corporativos (ISO 31000)
22
Desenvolvimento dos Planos
Após a definição da
estratégia de recuperação
vários projetos são iniciados:
• Seleção ou adequação do Data
Center do DRP;
• Contratação dos servidores,
links, licenças ...;
• Alterações no Data Center de
produção para viabilizar o DRP;
• ...
• DOCUMENTAÇÃO DOS PLANOS.
Desenvolvimento dos Planos
Planos a serem desenvolvidos, testados, mantidos
atualizados, equipes treinadas e prontos para uso:
• De resposta a incidentes - Da percepção do incidente à declaração
da contingência;
• De aviso e comunicação - Todas as partes interessadas internas e
externas, durante todo o ciclo da contingência;
• De continuidade de negócios - O que e como as áreas de negócios
irão operar durante e após a ativação do DRP;
• E como os itens de configuração serão ativados no DRP:
• Sequências de ativação e desativação, validações etc.
• Qualificações dos executores, se um profissional sênior ou um júnior.
Ver ISO 22301, capítulo 8.4
E depois do DRP montado?
25
Como exercitar/testar?
26
Como exercitar/testar?
• De cenários controlados e menos
desafiadores para cenários cada vez mais
complexos e realistas;
• Comece por blocos pequenos e
autônomos;
• Vá agregando os blocos já exercitados;
• Inclua os usuários finais no aceite;
• Conforme definido nas políticas.27
E como manter o DRP atualizado?
• Implante a Política de DRP;
− Preferencialmente integrada à Política de
Gestão da Continuidade de Negócios;
− E a de Gestão de Riscos Corporativos.
• Implante o Sistema de Controle de
Mudanças (agora serão 2 ambientes
parecidos, mas não iguais);
• Implante o Programa de Exercícios e
Testes (ISO 22398:2015)28
E no dia do desastre o que fazer?
• Utilize o sistema de Resposta a
Incidentes (ISO 22320 e/ou ISO 22000);
• Implante o Sistema de Gestão de Crises
(BS 11200:2014);
• Tenha pronto os Centros de Comando;
• PRATIQUE O QUE VOCÊ EXERCITOU!!!
29
Ciclo de Vida
•Infraestrutura
•TIC
•Seg. infor.
•Humanos
•Fornecedores
Anál. de Riscos
•Financeiros
•Operacionais
•Regulatórios
Anal. Impacto nos Negócios •Apetite a Risco
•Cont. de Negócios
•DRP - TIC
Estratégia de Recuperação
•Resp. Incidentes
•PCNs
•DRP
Desenv. Planos•Resp. Incidentes
•De mesa
•Blocos
•Integrados
Exercícios
Plan
Do
Check
Act
30
EncerramentoPlanejamento
+
Estratégia consagrada
+
Trabalho em equipe
+
Conhecimento de negócios e TI
=
DRP alinhado às necessidades
do negócio31
STROHL BrasilConsultoria especializada em
Continuidade de Negócios:
• Análise de riscos;
• Análise de impacto nos
negócios;
• Definição de estratégias de
recuperação (GCN ou DRP);
• Desenvolvimento das políticas,
planos de resposta a incidentes,
de gestão de crises, de
continuidade de negócios ou de
DRP
• Programa de exercícios e
testes;
• E outros customizados.
Capacitação em Continuidade de
Negócios:
• Introdução à Gestão da
Continuidade de Negócios,
• Imersão na Gestão da
Continuidade de Negócios;
• Resposta a emergências e gestão
de crises;
• Planejamento, execução e
avaliação de exercícios e testes;
• A arte, a ciência e a Experiência
na Análise de Impacto nos
Negócios;
• E outros customizados.
32
33
Encerramento
Sidney R. ModenesiMCBCC, MBCI, LDRM, BSI ISO 22301
Technical Expert
+55 11 5583-0033
br.linkedin.com/in/sidneymodenesimbci
34
e-book disponível em:
https://www.strohlbrasil.com.br/blog/DRP_Alinhado_ao_Negocio/
As imagens utilizadas nesta apresentação foram obtidas em www.depositphotos.com
ou obtidas na Internet após verificação, até onde possível, da existência de direitos autorais.
As imagens de Star Wars foram obtidas de ReadComicOnline e os textos adaptados pela STROHL Brasil.
O conteúdo desta apresentação, vídeo e e-book pode ser compartilhado desde que sempre citando a sua fonte.