Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prof. MSc. Eng. Vinicius Heltai UNIDADE I Desastre, Recuperação e Gestão da Continuidade do Negócio A prática da “continuidade de negócio” está intrínseca na sociedade e nem sempre nos damos conta disso. O termo “continuidade” é um termo do latim Continnuus, o qual significa “não dividido na extensão, não interrompido na sua duração”. O termo “negócio” deve ser compreendido como sendo uma ocupação, atividade ou trabalho o qual se realiza normalmente com fins lucrativos ou algo de valor que a organização oferece ao seu público-alvo. “Continuidade do negócio” remete o entendimento da continuidade, preservação no fornecimento de valor, sem gerar impacto de entrega ao seu público-alvo. O que é “continuidade de negócio”? É não permitir que o resultado da entrega seja influenciado por possíveis interferências, crises ou imprevistos no decorrer do processo de transformação do negócio. A continuidade do negócio está atrelada à continuidade e à preservação do fornecimento de valor, sem geração de impacto na entrega ao cliente. Exemplo – Greve em um banco: E no mundo corporativo (empresarial)? Fonte: Diário de Goiás (2020). Exemplo 1 – Emissora de Televisão (programação ao vivo ou transmissão gravada): Para a continuidade do negócio (não interromper a transmissão ao público), a empresa deve dispor de meios alternativos para o fornecimento de energia elétrica. Manter a programação sendo transmitida é manter a continuidade do negócio. Exemplos de continuidade do negócio no mundo corporativo Fonte: Dmix Eventos (2017). Fonte: O TV Foco (2017). Exemplos de continuidade do negócio no mundo corporativo Fonte: https://esportes.r7.com/futebol/santos-e-corinthians-empatam-em-jogo- paralisado-por-falta-de-energia-06032018 Transmissão da Rede Record durante a falta de energia Exemplo 2 – Ataque hacker a uma instituição financeira. Qual o impacto de uma indisponibilidade? Quais as consequências para o negócio? Exemplos de continuidade do negócio no mundo corporativo Fonte: https://www.acritica.net/editorias/geral/banco-central- da-nova-zelandia-e-alvo-de-ataque-hacker/499187/ Exemplo 3 – Acidente de um táxi. Exemplos de continuidade do negócio no mundo corporativo Fonte: https://g1.globo.com/mg/zona-da-mata/noticia/acidente-envolvendo-taxi-deixa- feridos-no-bairro-manoel-honorio-em-juiz-de-fora.ghtml Todo negócio está vulnerável a sofrer um possível impacto, podendo ou não comprometer sua continuidade. A melhor forma de minimizar os impactos é a preparação (planejamento). Diferença entre impacto importante e impacto crítico Fonte: Adaptado de: Alevate (2014). IMPORTÂNCIA CRITICIDADE Critério que transforma importância em criticidade Tempo Exemplo 1: Uma descarga atmosférica (raios) em uma empresa de programação. a) Equipamentos foram danificados e exige-se a troca dos mesmos. Tempo longo – Crítico b) Equipamentos foram desligados, devendo ser recompostos e o sistema elétrico “rearmado” no quadro de luz. Tempo curto – Importante. Diferença entre impacto importante e impacto crítico Exemplo 2: Um ataque hacker no data center de uma empresa. a) O ataque foi isolado em um storage de pouca relevância, não gerou um desastre. O tempo para corrigir pode ser longo, porém não gerou impacto ao usuários – Importante. b) O ataque impactou maioria dos serviços e a recuperação leva um tempo significativo para ser corrigido. Tempo elevado – Crítico. Diferença entre impacto importante e impacto crítico Quanto maior o risco de interrupção de entrega de valor ao cliente, maior a criticidade. Diferença entre impacto importante e impacto crítico Importante Crítico Sem entrega de valor Com entrega de valor Impacto Fonte: Próprio autor (2021). Em função do tempo, a depender do critério de análise e em função do grau de interferência no negócio, a atividade pode passar de importante para crítica. Diferença entre impacto importante e impacto crítico Impacto Crítico Sem entrega de valor Com entrega de valor Importante Fonte: Próprio autor (2021). Para reduzirem o impacto das criticidades, as empresas elaboram o que é conhecido como Plano de Continuidade do Negócio (PCN) Diferença entre impacto importante e impacto crítico Impacto PCN Crítico Sem entrega de valor Com entrega de valor Importante Fonte: Próprio autor (2021). A relação entre o impacto causado por um incidente é classificado como: Os incidentes que geram impactos são classificados como importantes; Os incidentes que geram desastres são classificados como críticos. Relação entre o impacto causado por um incidente Fonte: Próprio autor (2021). Situação normal Incidente – Evento Desastre Impacto Critérios Tempo Os computadores usavam dois dígitos para identificação de um ano (ex.: 1999 era operado como 99) e, na virada de 1999 para 2000, as operações poderiam retroagir para o ano de 1900. Risco: Gerar indisponibilidade nos computadores. Solução: Corrigir a programação/banco de dados a tempo. Resultado: Não houve impacto significativo no final da operação (em função de correções prévias). Classificação: Incidente Importante. Estudos de casos – Bug do milênio Fonte: UOL (2021). A greve dos caminhoneiros foi a paralisação do transporte rodoviário em 2018, um incidente que interferiu na continuidade do negócio de muitas empresas. Risco: Desabastecimento de insumos e mercadorias. Solução: Término da greve ou plano de minimização dos impactos (chamada 2º opção). Resultado: Por não haver um PCN, houve desabastecimento e impacto em todas as empresas. Classificação: Incidente crítico. Estudos de casos – Greve dos caminhoneiros Fonte: Próprio autor (2021). A LGPD impõe regras muito rígidas a respeito do modo como as empresas (privadas e públicas) e as instituições precisam tratar os dados e as informações das pessoas em todo território nacional. Reflexões sobre a LGPD em possíveis “vazamentos” de dados: O que as empresas devem fazer para acompanhar as normas de proteção de dados? As empresas estão prevendo uma forma de recuperar dados de forma eficiente? Em caso de vazamento de dados, como as empresas devem agir? Estudos de casos – Lei Geral de Proteção de Dados (LGPD) Pandemia do vírus Covid-19 que iniciou em 2020, sem a existência de vacinas, remédios ou protocolo de tratamento, causando milhões de mortes e uma alta proliferação. Para conter o avanço da doença, a medida adotada pela Organização Mundial de Saúde (OMS) foi o chamado “isolamento social”. O que as empresas devem fazer para continuar seus negócios? Como continuar o negócio com o “isolamento social”? Em possíveis falecimentos, como manter a continuidade e preservação de informações? Estudos de casos – Pandemia Covid-19 De acordo com os conceitos sobre continuidade do negócio, podemos definir como alternativa verdadeira a opção: a) Continuidade de negócio não preserva o fornecimento de valor, apenas se preocupa com o impacto de um incidente. b) Um impacto importante é aquele que tem como consequência o comprometimento da entrega de valor ao seu público-alvo. c) Quanto maior o risco de interrupção de entrega de valor ao cliente, maior a criticidade. d) O Plano de Continuidade do Negócio (PCN) não tem uma relação direta no impacto de um evento que possa gerar um incidente. e) Um impacto importante, após ser classificado, não pode ser alterado para impacto crítico. Interatividade De acordo com os conceitos sobre continuidade do negócio, podemos definir como alternativa verdadeira a opção: a) Continuidade de negócio não preserva o fornecimento de valor, apenas se preocupa com o impacto de um incidente. b) Um impacto importante é aquele que tem como consequência o comprometimento da entrega de valor ao seu público-alvo. c) Quanto maior o risco de interrupção de entrega de valor ao cliente, maior a criticidade.d) O Plano de Continuidade do Negócio (PCN) não tem uma relação direta no impacto de um evento que possa gerar um incidente. e) Um impacto importante, após ser classificado, não pode ser alterado para impacto crítico. Resposta Algumas definições básicas precisam ser compreendidas para o entendimento do que é a continuidade do negócio. A maioria dos termos envolvidos em continuidade do negócio é extraída da Norma ISO 22300:2018 – Security and Resilience – Vocabulary. Definições importantes sobre Continuidade do Negócio (CN) Uma ameaça está associada à capacidade de os agentes ou as situações provocarem um incidente ou uma série de incidentes. As ameaças sempre irão existir, elas precisam ser conhecidas, analisadas e estudadas. O Plano de Continuidade de Negócios (PCN) deve prever todas as ameaças e descrever ações para minimizar e/ou eliminar os impactos gerados. Indício de acontecimento desagradável ou perigoso. Definições Importantes – Ameaça É tudo que possa gerar informação (ativos físicos, lógicos e capital humano). São classificados: Tecnologia – Equipamentos de infraestrutura, computadores e telefonia. Pessoas – Colaboradores, prestadores de serviço, fornecedores e qualquer pessoa envolvida com o negócio. Processos – Processo que gere transformações de valores no resultado final desejado. Ambiente Físico – Espaço físico onde são armazenadas as informações como sala técnica, data center, centro de processamento de dados etc. Definições Importantes – Ativo de Informação Uma contingência é uma eventualidade, um acontecimento que tem como fundamento a incerteza. A contingência é algo que pode acontecer, algo que não pode ser controlado e que não é possível prever se acontecerá ou não. A continuidade do negócio está fortemente ligada com os itens de contingência. Definições Importantes – Contingência A continuidade de negócios é definida como a capacidade que uma organização tem em continuar (por determinado tempo) a entregar os seus serviços ou os seus produtos em um nível mínimo (pelo menos) aceitável, definido após um incidente. A continuidade do negócio é a preservação do negócio com a manutenção do fornecimento de valor ao cliente. Definições Importantes – Continuidade de Negócios A crise é uma mudança brusca ou uma alteração importante em um processo ou situação normal. Institute for Crisis Management: “(Crise é) uma interrupção significativa nos negócios de uma organização que estimula uma cobertura extensiva pela mídia. O resultado da opinião pública pode afetar suas operações e ainda pode ter impactos políticos, legais e financeiros em seus negócios (ICM, 2020).” Definições Importantes – Crise Um desastre é um acontecimento que causa sofrimento e prejuízo. Um desastre tem como causa uma adversidade, que pode ser natural, artificial ou provocada de forma intencional. Os desastres podem gerar distúrbios e impactos muito grandes em uma sociedade e ter como consequência a geração de extensas perdas humanas, materiais e financeiras. Um desastre pode tirar da empresa a capacidade de lidar com o incidente por meios próprios. Definições Importantes – Desastre Tipos de desastre Definições Importantes – Desastre Desastre Artificial Natural Intencional Não Intencional • Fortes Chuvas • Terremotos • Incêndio • Descargas atmosféricas • Alteração de informações • Hacking • Códigos maliciosos • Erro ou omissão • Apagar arquivo • Acidente físico • Erro de procedimento Fonte: Próprio autor (2021). O conceito de disponibilidade tem como foco o cliente, que é aquele que precisa receber um produto ou um serviço. Disponibilidade é a condição ou qualidade de algo ou alguém que se encontra disponível, ou seja, livre e desocupado de determinadas funções ou obrigações. Definições Importantes – Disponibilidade A disrupção é a interrupção do curso normal de um processo, de uma tendência do negócio, de uma entrega ou da execução de um serviço. Sinaliza que o processo saiu da situação normal e começou a tomar outro caminho. Definições Importantes – Disrupção Também conhecido como incidente de interrupção. Trata-se de situações que interrompem a continuidade do negócio e geram uma crise. Ameaça (conhecida ou não), gera um incidente e causa um impacto na Continuidade de Negócios e pode gerar uma crise – Incidente de Continuidade de negócios. Definições Importantes – Incidente de Continuidade de Negócios O impacto é a consequência de um incidente; O impacto pode ser financeiro, humano ou imagem da empresa. Os objetivos da Gestão da Continuidade do Negócio – GCN são minimizar os possíveis impactos e não permitir que os eventuais incidentes gerem desastres. Definições Importantes – Impacto/Gestão de Continuidade de Negócio O Período Máximo de Interrupção Tolerável é o tempo máximo para que o evento, a indisponibilidade, o incidente ou o desastre se torne intolerável. MTPD – acrônimo do inglês Maximum Tolerable Period of Disruption. Definições Importantes – Período Máximo de Interrupção Tolerável Stakeholder é um termo da língua inglesa que tem como significado "grupo de interesse". As partes interessadas são pessoas que têm algum tipo de interesse nos processos e nos resultados da empresa. Definições Importantes – Partes interessadas (Stakeholders) Segundo Oliveira (2020): “O Plano de Continuidade de Negócios (PCN) é um conjunto de estratégias e planos de ação preventivos que garantem o pleno funcionamento dos serviços essenciais de uma empresa durante quaisquer tipos de falhas, até que a situação seja normalizada.” As organizações que contam com um PCN bem elaborado e bem estruturado garantem sua perenidade e sua sobrevivência diante de circunstâncias inesperadas. No PCN, todo o processo previsto e documentado é deixado à disposição para ser consultado pelos stakeholders da organização. Definições Importantes – Plano de Continuidade de Negócios (PCN) Resiliência é a capacidade de a empresa suportar adversidades sem sofrer descontinuidade em seu negócio. É a habilidade que a organização tem de resistir às adversidades. É a capacidade de uma organização sofrer uma falha e voltar a operar em seu estado normal. A resiliência organizacional é a capacidade de a organização adaptar-se às mudanças, absorvendo os eventuais problemas, sem alteração da meta pretendida. Definições Importantes – Resiliência/Resiliência Organizacional O risco pode ser associado à probabilidade de insucesso, em função de um acontecimento eventual ou incerto, cuja ocorrência não dependa exclusivamente da vontade dos interessados. Em toda operação há risco. O risco é a probabilidade (mesmo que baixa) de um incidente ocorrer. Definições Importantes – Risco RPO – acrônimo do inglês Recovery Point Objective, também conhecido como “Perda Máxima de Dados”. É o ponto em que as informações utilizadas no processo devem ser restauradas a fim de permitir que a operação e a atividade possam ser retomadas. Definições Importantes – Ponto Objetivado de Recuperação Também conhecido como RTO – acrônimo do inglês Recovery Time Objective. É o período (tempo) para a retomada do serviço, da atividade ou do recurso. O RTO deve ser o menor possível e, se possível, bem próximo a zero. Definições Importantes – Tempo Objetivado de Recuperação Também conhecido como MBCO – acrônimo do inglês Minimum Business Continuity Objective. É o valor mínimo aceitável para que uma organização consiga manter seu negócio em operação. Definições Importantes – Objetivo Mínimo de Continuidade de Negócios A vulnerabilidade implica uma situação de exposição, sendo que as organizações e seus ativos se encontram permanentemente expostos a possíveis riscos e danos de toda natureza e magnitude. Para mitigar esses riscos,a vulnerabilidade deve ser corrigida ou minimizada, de forma a evitar que o eventual risco se materialize. Definições Importantes – Vulnerabilidades O período para a retomada do serviço, da atividade ou do recurso é definido como sendo: a) Ponto Objetivado de Recuperação. b) Período Máximo de Interrupção Tolerável. c) Disponibilidade. d) Perda Máxima de Dados. e) Tempo Objetivado de Recuperação. Interatividade O período para a retomada do serviço, da atividade ou do recurso é definido como sendo: a) Ponto Objetivado de Recuperação. b) Período Máximo de Interrupção Tolerável. c) Disponibilidade. d) Perda Máxima de Dados. e) Tempo Objetivado de Recuperação. Resposta O mundo vem se tornando cada dia mais digital e o volume de informações vem crescendo cada vez mais e isso exige que as empresas tenham respostas rápidas e eficazes. Uma matéria “Os ataques cibernéticos explodem durante pandemia e expõem vulnerabilidades das empresas” – Autor: Marcelo Moura e Daniel Haidar – 23/09/2020 – Revista Época Negócios – expõe alguns dados interessantes: Fonte: https://epocanegocios.globo.com/Tecnologia/noticia/2020/09/o s-ataques-ciberneticos-explodem-durante-pandemia-e- expoem-vulnerabilidades-das-empresas.html Conceitos importantes sobre continuidade do negócio Conceitos importantes sobre continuidade do negócio Fonte: Adaptado https://epocanegocios.globo.com/Tecnologia/noticia/2020/09/os-ataques- ciberneticos-explodem-durante-pandemia-e-expoem-vulnerabilidades-das-empresas.html AMEAÇA INVISÍVEL Os ataques cibernéticos custam à economia global US$ 1,5 TRILHÃO por ano A expectativa é a de que esse valor chegue a US$ 6 TRILHÕES em 2021 Fonte: Julius Baer Fonte: Julius Baer 68% das violações levam meses para serem descobertas 87% dos ataques acontecem em minutos Fonte: Adaptado de: https://epocanegocios.globo.com/Tecnologi a/noticia/2020/09/os-ataques-ciberneticos- explodem-durante-pandemia-e-expoem- vulnerabilidades-das-empresas.html Conceitos importantes sobre continuidade do negócio 2 0 1 9 I N T E IR O DISPARA O PREJUÍZO COM CIBERATAQUES À INDÚSTRIA DE SEGUROS A perda de clientes que tinham contratados seguros cibernéticos já é bem maior até o fim de maio de 2020 do que em todo o ano de 2019 Receitas seguradoras J A N -M A IO /2 0 1 9 Prejuízos reembolsados de segurados Receitas seguradoras Prejuízos reembolsados de segurados Prejuízos reembolsados de segurados J A N -M A IO /2 0 2 0 Fonte: Susep R$ 14.170.127,00 R$ 12.269.893,00 R$ 9.663.291,00 R$ 69.749,00 R$ 811.476,00 Conceitos importantes sobre continuidade do negócio Fonte: Adaptado de: https://epocanegocios.globo.com/Tecnologia/not icia/2020/09/os-ataques-ciberneticos-explodem- durante-pandemia-e-expoem-vulnerabilidades- das-empresas.html O CIBERCRIME NÃO É APENAS UMA QUESTÃO DO SETOR FINANCEIRO Médias globais do setor (em milhões US$) Serviços financeiros Serviços públicos e energia Aeroespacial e defesa Cuidados de saúde Tecnologia e Hardware Serviços Indústrias/fabricação Varejo Administração pública Produtos de consumo Transporte Comunicações Hospitalidade Educação Ciências da Vida 18 17 14,5 12,5 12,5 11 10,2 8,1 9,2 7,5 7,4 7,5 6,8 5 5 Fonte: Accenture, ponemon institute (os dados mostram gastos médios por empresa por ano, agrupados por setor) Conceitos importantes sobre continuidade do negócio Fonte: https://epocanegocios.globo.com/Tecnologia/noticia/2020/09/ os-ataques-ciberneticos-explodem-durante-pandemia-e- expoem-vulnerabilidades-das-empresas.html O ATAQUE DDOS SE TORNOU MUITO MAIS AGRESSIVO 1.800 1.600 1.400 1.200 1.000 800 600 400 200 0 2 0 0 4 Fonte: Cambridge Center for Risk Studies, Julius Baer, GBPS = Gigabyte por segundo 2 0 0 5 2 0 0 6 2 0 0 7 2 0 0 8 2 0 0 9 2 0 1 0 2 0 1 1 2 0 1 2 2 0 1 3 2 0 1 4 2 0 1 5 2 0 1 6 2 0 1 7 2 0 1 8 Tamanho máximo do ataque DDoS (Gbps) Conceitos importantes sobre continuidade do negócio Fonte: https://epocanegocios.globo.com/Tecnologia/noticia/2020/09/os- ataques-ciberneticos-explodem-durante-pandemia-e-expoem- vulnerabilidades-das-empresas.html O CRESCIMENTO NO NÚMERO DE DISPOSITIVOS CONECTADOS E EXPONENCIAL Bilhões de dispositivos 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 Fonte: New Signature, Julius Baer 0,18 0,22 0,25 0,3 0,34 0,38 0,42 0,45 0,5 0,93 1,35 1,79 2,22 2,65 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 3,08 4,8 5,1 7,4 8,7 11,2 14,4 18,2 22,9 28,4 34,8 42,1 50,1 A quais fatores podemos atribuir as falhas que permitem a ocorrência de ataques a sistemas e de violações de dados? Alguns desses fatores são apontados a seguir. a) Produtos e informações sendo conectados sem preocupações com quesitos de segurança. b) Modelo de negócio implantado sem definições do limite de confiança e da responsabilidade na proteção de dados. c) Ferramentas e métodos de fácil uso por hackers amadores. d) Ameaças cada vez mais sofisticadas, complexas e dirigidas. Conceitos importantes sobre continuidade do negócio Com o avanço das tecnologias: Internet das Coisas (IoT), Big Data, novas conectividades (IPv6, 5G etc.) geram mais adoção de solução computacional (tecnologia da informação). Manter a Continuidade do Negócio exige planejamento e que a execução da resposta a incidentes de computador possa ser desenvolvida, pra isso alguns técnicas e metodologias são necessárias. Conceitos importantes sobre continuidade do negócio O ciclo OODA é a abreviação de quatro tarefas: Observar, Orientar, Decidir e Agir. O ciclo OODA, utilizado com sucesso pela Força Aérea norte-americana na década de 1950, que permitiu tomadas de decisão rápidas e eficazes. Em momentos de crise, o ciclo OODA deve estar em interação de forma contínua e integral e em todos os níveis da empresa. Ciclo OODA Fonte: Próprio autor (2021). Observar constantemente possíveis ameaças, vulnerabilidades e riscos de sistemas e de processos. Orientação de como tais ameaças, vulnerabilidades e riscos podem prejudicar a continuidade dos negócios. Decidir a partir das orientações (etapas anteriores). Agir (as decisões em práticas) a fim de sanar ou minimizar tais fatores de risco. Ciclo OODA Fonte: Próprio autor (2021). McCarthy (2014) diz que uma névoa em um campo de batalha pode prejudicar a execução de estratégias militares estabelecidas. Névoa de Guerra é o termo adotado quando ninguém sabe o que fazer ou como agir. As especulações e agir sem plano de execução causam mais pânico e até prejudicam ainda mais a situação (tomar decisões “no escuro”). Névoa de Guerra O processo de fricção (atrito) gera desgastes. Em tempos de crise, opiniões e pontos de vista diferentes podem gerar controvérsia e hostilidade dentro de uma empresa. Em tempos de normalidade pode haver fricção, em tempos de incerteza, essa fricção inevitavelmente aumentará. A prevenção da fricção não depende apenas de maturidade empresarial, mas engloba processos e responsabilidades bem determinados. Fricção (atrito) RACI origina-se das palavras em inglês Responsible (Responsável), Accountable (Aprovador), Consulted (Consultado) e Informed (Informado). Responsável realiza as tarefas e as entregas (responsável pela execução). Aprovador aprova a conclusão de uma etapa. Consultado sugerir ou opinar (pode ser interno ou externo à empresa). Informado precisa ser avisado sobre o andamento das tarefas. Matriz RACI Fonte: Próprio autor (2021). ATIVIDADES Funcionário A Funcionário B Funcionário C Departamento Atividade 01 A/C R I I Atividade 02 A/C R/I Atividade 03 R A I/C A Atividade 04 R A/I C C Atividade 05 C/A I R Atividade 06 C C/I C R/A Atividade 07 R I A/C O conceito de “centro de gravidade” diz respeito à essência da empresa. O “centro de gravidade” é o conjunto de parâmetros intrínsecos que mantém a empresa ativa, gerando receitas e mantendo sua existência. Em um momento de crise, é fundamental que a empresa saiba o que deve ser prioritariamente protegido. Centro de Gravidade Os momentos de crise, como temos extensamente observado, geram desgastes, estresse e, principalmente, incertezas. O conceito de “unidade de comando”, proveniente do âmbito militar, pressupõe o respeito pela hierarquia e pelas ordens superiores. Na esfera empresarial, trata-se de um grupo formado por líderes de múltiplas áreas (preferencialmente, com um responsável de cada área) que precisam tomar decisões em momentos de crise. A grande vantagem de uma “unidade de comando” é a centralização do planejamento e da dinâmica de ação. Unidade de Comando Na esfera militar, manter a iniciativa pode ser traduzido como fazer o melhor para se antecipar aos eventos, ou seja, o inimigo é que deve reagir às nossas ações, e não o inverso. Na perspectiva empresarial, esse conceito pode ser empregado no sentido de a empresa se preparar para momentos de crise, e não, simplesmente, permanecer em uma posição reativa. Se a organização for capaz de se estruturar para enfrentar 80% das possíveis ameaças, sobrarão 20% delas que certamente serão objeto de atenção exclusiva. Manter a iniciativa O conceito de “governança corporativa”, amplamente consolidado por meio do framework COBIT 5 de boas práticas de governança e de gerenciamento empresarial de Tecnologia da Informação consolida as três perspectivas. As organizações necessitam considerar as três perspectivas: Perspectivas Tática, Operacional e Estratégica Fonte: Próprio autor (2021). Ciclo OODA Ciclo OODA Estratégia Operacional Tática Todas as organizações têm obrigações contratuais (estatutárias) e obrigações diversas, como as relacionadas à responsabilidade social. Para manter esses elementos, há a necessidade de identificarmos os requisitos que devem ser atendidos em caso de crise. As responsabilidades de uma empresa devem ser executadas e guiadas em requisitos. Execução guiada por requisitos O “estado final” é o conceito vinculado ao sucesso de uma organização. Definido em poucas palavras, usualmente deve responder a indagações dos tipos: “quem, o que, quando, onde e por que”. Para onde a empresa pretende ir? O que significa sucesso para a empresa, considerando sua missão? Qual é a importância desse “estado final” para a empresa? Sem uma visão de objetivo, nenhuma organização consegue caminhar para a melhora. Estado Final A quantidade de informação digital que a sociedade vem produzindo nos últimos tempos exige que métodos “militares” sejam utilizados a fim de enfrentar uma “guerra” na continuidade do negócio. Nesta perspectiva, podemos entender como a opção verdadeira em relação ao Ciclo OODA: a) O ciclo OODA é utilizado apenas em momento de crise pela cúpula da empresa. b) A etapa Observação tem como objetivo detectar possíveis ameaças, vulnerabilidades e riscos de sistemas e de processos. c) A etapa de decisão não precisa necessariamente seguir as etapas anteriores. d) O método (ciclo OODA) permite tomar decisões eficazes, porém demoradas. e) A etapa “Agir” tem o objetivo de testar a vulnerabilidade previamente. Interatividade A quantidade de informação digital que a sociedade vem produzindo nos últimos tempos exige que métodos “militares” sejam utilizados a fim de enfrentar uma “guerra” na continuidade do negócio. Nesta perspectiva, podemos entender como a opção verdadeira em relação ao Ciclo OODA: a) O ciclo OODA é utilizado apenas em momento de crise pela cúpula da empresa. b) A etapa Observação tem como objetivo detectar possíveis ameaças, vulnerabilidades e riscos de sistemas e de processos. c) A etapa de decisão não precisa necessariamente seguir as etapas anteriores. d) O método (ciclo OODA) permite tomar decisões eficazes, porém demoradas. e) A etapa “Agir” tem o objetivo de testar a vulnerabilidade previamente. Resposta Melhor do que confiar em produtos comercializados é confiar em padrões e em procedimentos sedimentados por comitês e especialistas por meio de normas. As normas e procedimentos são criados por agências regulatórias (estaduais, federais e independentes), formadas por comitês e profissionais altamente competentes. O objetivo é estabelecer, de forma pragmática, padrões mínimos e aceitáveis de segurança. A certificação deixa de ser apenas uma estratégia de marketing e passa a ser um reforço para a proteção da organização, a fim de manter a continuidade do negócio e, principalmente, apresentar um diferencial competitivo no mercado. Normas Existentes A ABNT – Associação Brasileira de Normas Técnicas é o único foro nacional de normalização, é reconhecida pelo Governo Federal, por regulamentação legislativa, como responsável pela elaboração das Normas Brasileiras (NBR). A ABNT é membro ativo da Associação Mercosul de Normalização (AMN), da Comissão Pan-Americana de Normas Técnicas (Copant) e da parte de normalização internacional da International Organization for Standardization (ISO) e da International Electrotechnical Commission (IEC). A ABNT representa tais instituições e aplica para o Brasil as normas vigentes internacionalmente (adaptadas, quando necessário). Normas Existentes A norma internacional ISO 22301/2020, denominada “Segurança e resiliência – Sistema de gestão de continuidade de negócios – Requisitos”, é considerada a norma mais importante na temática de continuidade de negócio e pode ser aplicada a qualquer organização (independentemente do seu porte, do seu segmento ou dos produtos e dos serviços oferecidos). A norma NBR ISO/IEC 22301/2020 deve ser aplicada sobre a NBR ISO/IEC 22300/2018 – “Security and Resilience – Vocabulary” A norma especifica os requisitos para implementar, manter e melhorar um sistema de gestão a fim de a organização proteger-se e conseguir reduzir a probabilidade de ocorrência de disrupções. ABNT NBR ISO/IEC 22301/2020 Com a referida norma, seguindo à risca todos os seus elementos, é possível: Identificar e gerenciar ameaças (atuais e futuras) do negócio; Manter uma atitude de proatividade com o objetivo de minimizar o incidente; Preservar as atividades e as funções críticas de uma empresa em período de crise; Mostrar resiliência aos acionistas, clientes e demais envolvidos na atividade corporativa. A norma especifica requisitos para o planejamento, o estabelecimento, a implementação, a operação, o monitoramento, a revisão, a manutenção e a melhoria constante de um sistema de gestão de continuidade do negócio. ABNT NBR ISO/IEC 22301/2020 A ABNT NBR ISO/IEC 27000/2018 é denominada “Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Visão geral e vocabulário” ou simplesmente “Gestão da Segurança da Informação” (quando se refere a todas as normas juntas). Trata-se de uma família de normas, que foi criada e aprovada pelo comitê ISO/IEC/JTC 1 Information Technology, comitê técnico que desenvolve e mantém os padrões nas áreas de Tecnologia da Informação e Comunicação. Família das Normas ABNT NBR ISSO/IEC 27000 Família das Normas ABNT NBR ISSO/IEC 27000 Fonte: Próprio autor (2021). Família das Normas ABNT NBR ISSO/IEC 27000 Fonte: Próprio autor (2021). Família das Normas ABNT NBR ISSO/IEC 27000 Fonte: Próprio autor (2021). A norma ABNT NBR ISO/IEC 31000/2018 denominada “Gestão de Riscos – Diretrizes” é uma norma imprescindível para a manutenção e a continuidade do negócio. A gestão de risco definida pela norma é fundamental para o gerenciamento de riscos (risk management). A gestão de riscos abrange um processo que envolve algumas etapas: Etapa 1 – Comunicação e consulta. Etapa 2 – Monitoramentoe análise crítica. Etapa 3 – Estabelecimento do contexto. Etapa 4 – Processo de avaliação de riscos, que contém as fases de identificação, análise e avaliação. Etapa 5 – Tratamento do risco. ABNT NBR ISO/IEC 31000/2018 Na norma é apresentado um diagrama em que está descrita a contribuição do processo de avaliação de riscos para o processo de gestão de riscos. ABNT NBR ISO/IEC 31000/2018 Fonte: Adaptado de: ABNT NBR ISO/IEC 31010/2012 Para a efetiva gestão de riscos, a ABNT NBR ISO/IEC 31000/2018 deve ser implantada com outras normas complementares. ABNT NBR ISO/IEC 31010/2012 “Gestão de riscos – Técnicas para o processo de avaliação de riscos”, ABNT NBR ISO/Guia 73, “Gestão de riscos – Vocabulário”. ABNT NBR ISO/IEC 31000/2018 Lei 13.709, mais conhecida como Lei Geral de Proteção de Dados (LGPD), foi aprovada em 2018, mas só em 2020 entrou em vigor. Essa lei não é uma inovação em termos mundiais: trata-se de uma adaptação da General Data Protection Regulation (GDPR), da Europa. A LGPD estabelece que, independentemente da localização física de origem da organização, se há processamento de dados de pessoas, a lei deve ser acatada e cumprida em todo território brasileiro. Espera-se, com isso, que todas as empresas que atuem no território brasileiro ajam de acordo com a LGPD. A continuidade de negócio não ficou de fora da LGPD. Um plano de contingência, auditorias e ações para sanar o mais rapidamente possível um vazamento. Lei Geral de Proteção de Dados (LGPD) – Lei n. 13.709/2018 A norma mais importante na temática de continuidade de negócio e pode ser aplicada a qualquer organização (independentemente do seu porte, do seu segmento ou dos produtos e dos serviços oferecidos) é a norma: a) ABNT NBR ISO/IEC 22310/2020. b) ABNT NBR ISO/IEC 31000/2018. c) ABNT NBR ISO/IEC 31010/2012. d) ABNT NBR ISO/IEC 22301/2020. e) ABNT NBR ISO/Guia 73. Interatividade A norma mais importante na temática de continuidade de negócio e pode ser aplicada a qualquer organização (independentemente do seu porte, do seu segmento ou dos produtos e dos serviços oferecidos) é a norma: a) ABNT NBR ISO/IEC 22310/2020. b) ABNT NBR ISO/IEC 31000/2018. c) ABNT NBR ISO/IEC 31010/2012. d) ABNT NBR ISO/IEC 22301/2020. e) ABNT NBR ISO/Guia 73. Resposta ATÉ A PRÓXIMA!
Compartilhar