160 likes | 354 Views
Plano de Continuidade. Plano de Continuidade de Negócios (PCN). Tem o foco na manutenção das funções críticas do negócio; Foco em processos de negócio : questões relacionadas aos ativos de TI somente abordadas no que se relaciona a sua importância para os processos críticos de negócio;
E N D
Plano de Continuidade de Negócios (PCN) • Tem o foco na manutenção das funções críticas do negócio; • Foco em processos de negócio: • questões relacionadas aos ativos de TI somente abordadas no que se relaciona a sua importância para os processos críticos de negócio; • Geralmente contém o plano de recuperação de desastres e o plano de contingência TI;
Plano de Recuperação de Desastres • Fornece procedimentos detalhados para a recuperação; • Ex.: Sites alternativos em caso de desastres; • Foco em ativos de TI e sinistros com efeitos de longo prazo;
Plano de Contingência • Fornece procedimentos e capacidades necessárias para a recuperação: • de uma aplicação específica • ou sistemas complexos • Foco em interrupções nos sistemas de TI com efeitos de curto prazo;
Plano de Continuidade • Apoio da Alta administração; • Ajudará a entender o quanto cada processo de negócio pode ficar inoperante; • Deve-se analisar também contratos de prestação de serviços. • Ex. outsourcing;
Plano de Continuidade • Definir responsabilidade de aplicação do plano; • Definir responsabilidade de manutenção do plano; • O plano deve ser testar e analisado criticamente periodicamente;
Plano de Continuidade • Deve focar os processos-fim da organização • A necessidade de um processo-meio, suporte ou de gestão se dá em função da demanda de um processo-fim; • Deve complementar a análise de risco; • É uma solução para determinados riscos;
PCN - Limitação • Um PCN responde a um desastre pré-definido; • Um PCN não tem capacidade de responder o todo e qualquer desastre; • Recomenda-se que seja considerado o conceito de “pior cenário possível”;
Fases do PCN • Fase 1- Levantamento de dados: Análise de documentação, inspeção física e levantamento das Ameaças/ Vulnerabilidades /Impactos;Fase 2 - Análise de Impacto nos Negócios: fornece o custo da parada dos processos de negócios Críticos e Vitais bem como o Custo da Recuperação dos componentes críticos e vitais; • Fase 3 - Estratégia de Recuperação / Continuidade: São analisadas as estratégias de recuperação e continuidade que serão adotadas e a necessidade de existência ou não de um site alternativo. Neste momento é gerado o Relatório de Estratégias; • Fase 4 - Desenvolvimento dos Planos: implantação das estratégias analisadas; • Fase 5- Testes / Simulações dos Planos: Nesta fase é definida a estratégia para o escopo dos testes/ simulações. Os testes/simulações realizados irão gerar as evidências, possibilitando aprimorar e/ou correção dos Planos.
Conteúdo do Plano • Quais são os sistemas críticos que garantem a continuidade do negócio da empresa; • Análise de Risco; • De que recursos de hardware, software e infraestrutura tais sistemas dependem; • Configuração, atualização, etc;
Conteúdo do Plano • Levantamento e atualização da documentação dos sistemas muito críticos; • Backup • Espaço físico, estimado, para guarda do Backup externo dos sistemas críticos • Forma de criação dos backup externo
Conteúdo do Plano • Definição do backup-site • Definição do Modelo de Backup_Site (espelhamento, transmissão remota...) • Cold-Site próprio • Cold-Site de Terceiros • Hot-Site próprio • Hot-Site de terceiros • Hot-Site próprio compartilhado
ISO 17799 • Deve-se desenvolver planos de contingência para caso de falhas de segurança, desastres, perda de serviço, etc. • Estes planos devem ser documentados, e o pessoal envolvido treinado. • Os planos de contingência devem ser testados regularmente, pois tais planos quando concebidos teoricamente, podem apresentar falhas devido a pressupostos incorretos, omissões ou mudança de equipamento ou pessoal.
ISO 17799 • Gestão da Continuidade; • Análise de Riscos; • Desenvolvimento do Plano de Continuidade; • Estrutura do Plano de Continuidade; • Teste e Manutenção do Plano de Continuidade;
Documento NIST • NIST-sp800-34 • Define técnicas para: • Desktops; • Servers; • WebSites; • LAN e WAN; • Sistemas Distribuídos; • Mainframes;
Documento NIST • http://csrc.nist.gov/publications/nistpubs/index.html