Baixe o app para aproveitar ainda mais
Prévia do material em texto
Módulo 11 Gerenciamento da Continuidade dos Serviços Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. www.tiexames.com.br Módulo 11 Gerenciamento da Continuidade dos Serviços de TI Objetivos do módulo Neste módulo, iremos apresentar o Processo de Gerenciamento da Continuidade dos Serviços de TI, cujo foco é gerenciar os riscos relacionados a infra-estrutura de TI e desenvolver um plano de contingência. Durante este módulo iremos: � Apresentar o propósito do processo de GCSTI � Apresentar as alternativas de Recuperação dos Serviços de TI � Detalhar como realizar um Plano de Recuperação � Entender os relacionamentos com outros processos � Apresentar principais benefícios do processo Missão Gerenciar os riscos de falhas em serviços essenciais de TI através da prevenção dos riscos e do planejamento de recuperação em uma contingência, para dar suporte ao funcionamento contínuo dos negócios em nível específico dentro de um determinado conjunto de circunstâncias. Por que GCSTI? � Vantagem competitiva � Atender a requerimentos regulatórios � Negociação dos prêmios com as seguradoras � Exigência inerente de determinados Negócios � Necessidade do Negócio de continuar a operar sem interrupções apesar das crises � Aumento das ameaças e dos riscos associados aos Serviços de TI e ao Negócio � Reputação. Escopo � Serviços de TI que dão suporte a processos de negócios críticos. Isto inclui: �Sistemas e Aplicativos �Rede �Telecom �Suporte técnico �Central de Serviços � Identificação e minimização de impacto � Acordo para fornecer o nível mínimo de operação dos negócios após uma interrupção do serviço � Não abrange diretamente os riscos do negócio de longo prazo � Não abrange pequenas falhas nem pequenas interrupções Objetivos � Assegurar a sobrevivência do negócio reduzindo o impacto do desastre ou falha grave. � Reduzir a vulnerabilidade e o risco para o negócio através de uma análise de riscos eficaz e um gerenciamento de riscos. Isto tudo a um custo justificável. � Transferir o risco para um terceiro � Produzir planos de recuperação para TI que serão integrados e darão suporte completo ao Plano de Gerenciamento da Continuidade de Negócio (GCN). � Prevenir perda de segurança para o Cliente e Usuário. Responsabilidades do Negócio e da TI Gerenciamento da Continuidade do Negócio (GCN) se preocupa em gerenciar riscos, garantindo que a organização continue a operar pelo menos no mínimo nível pré-determinado. O GCN envolve: �Redução de riscos aceitáveis �Plano para a recuperação dos processos do negócio quando ocorrer uma interrupção Gerenciamento da Continuidade do Serviços de TI (GCSTI) é parte do processo de GCN e depende da informação vinda dele. Ele foca na continuidade dos serviços de TI para o negócio. Gerenciamento da Continuidade do Negócio (GCN) Gerenciamento da Continuidade do Serviços de TI (GCSTI) Comprometimento Gerencial � O GCSTI é uma preocupação da alta direção da empresa � A alta direção precisa estar comprometida com o GCSTI continuamente, o suporte deve continuar mesmo quando terminar projeto de implementação do GCSTI � A continuidade do negócio deve fazer parte da cultura da empresa e deve ser incluída nas atividades corporativas de planejamento � É necessário ter recursos suficientes para que as pressões do dia-a-dia não tirem o foco do GCSTI � O GCSTI deve fazer parte das atividades operacionais e executivas Modelo do Processo de GCN Garantia Educação & Consciência Revisão & Auditoria Teste Mudanças Treinamento Teste Inicial Desenvolvimento de Procedimentos Implementação Arranjos Stand-by Desenvolv. Planos de Recuperação Implement. Medidas de Redução de Riscos Organização & Planej. de Implement. Estratégia de Continuidade do Negócio Avaliação de Riscos Análise de Impacto no Negócio Inicia o GCNEstágio 1: Iniciação Estágio 2: Requerimentos & Estratégia Estágio 3: Implementação Estágio 4: Gerenciamento Operacional Estágio 1: Iniciação � Definição de Políticas � Termos específicos da referência e escopo � Alocação de recursos � Definição do projeto e estrutura de controle � Acordo dos planos de projeto Inicia o GCN Estágio 2: Requisitos & Estratégia � Análise de Impacto do negócio (AIN) � Avaliação de Riscos � Estratégia de Continuidade do Negócio Estratégia de Continuidade do Negócio Avaliação de Riscos Análise de Impacto no Negócio Análise de Impacto no Negócio (AIN) Esta análise deve: � Identificar os serviços críticos ao negócio � Determinar os efeitos da indisponibilidade � Avaliar cenários de impacto � Obrigações legais que a empresa deve cumprir � Analisar quanto tempo a empresa agüenta sem os serviços de TI � Avaliar os requerimentos mínimos de recuperação (pessoas, facilidades e serviços) para manter os processos críticos para o negócio � Determinar o tempo mínimo e máximo dos níveis de serviços a serem recuperados � Determinar quais processos de negócio devem ser recuperados por completo Avaliação de Riscos � Entendimento da probabilidade que um desastre ou outra interrupção no serviço irá de fato ocorrer. A avaliação de risco identifica: �Riscos a um serviço em particular ou processos �Níveis de ameaças e vulnerabilidades �Níveis de risco �Medidas iniciais de redução de riscos � Falha na avaliação de todos os riscos relevantes deixa a organização aberta a possíveis interrupções Conceitos em Riscos � Ameaça Identificação e avaliação da probabilidade de eventos acidentais ou não desejados impactarem a infra-estrutura de TI � Vulnerabilidade Extensão para qual a Infra-estrutura de TI está suscetível às ameaças Gerenciamento Avaliação de Riscos - CRAMM Para integrar a análise com o gerenciamento de riscos, o método mais utilizado é o CRAMM (CCTA Risk Analysis and Management Method) Ativos Ameaças Vulnerabilidades Riscos Medidas de Contorno Análises Análise de Riscos Site backup com base de dados duplicada Parada dos processos de Venda, Faturamento, etc AltaAltaFalha no servidor de aplicação do ERP Gerador de energia. Estação elétrica auxiliar Perda de dados, Perda de controles de segurança MédiaBaixaBlackout Colocar o datacenter em andar seguro Estrago da água, falta de acesso MédiaMédiaEnchente Medida de Controle RiscoProbabilidadeSeveridadeAmeaça Estratégia de Continuidade do Negócio � Definir as medidas de redução de riscos apropriadas e o plano de continuidade das operações. � Decidir sobre as estratégias de recuperação dos serviços de TI Medidas de Redução de Risco � Usar os dados do Gerenciamento de Disponibilidade para maximizar a disponibilidade � Eliminar os pontos únicos de falha � Aplicar o backup para as aplicações � Implementar ferramentas e metodologias � Considerar outsourcing de serviços para mais de um fornecedor � Melhorar os controles de segurança Opções de Recuperação (Recovery) de TI Recuperação Imediata (hot standby 0 a 24 horas) Recuperação Intermediária (warm standby 24 a 72 horas) Recuperação Gradual (cold standby > 72 horas) Disposições Recíprocas Contorno Manual (paper based) Não Fazer Nada Opções de Recuperação – Não fazer nada � Serviços que não justificam a sua recuperação � É difícil justificar esta opção, já que o sistema não precisa ser recuperado, deve ser considerado a sua necessidade. � Deve ser informado aos clientes quando se adotar esta opção. Opções de Recuperação – Contorno Manual � Usar processo manual temporariamentereduz o custo de investimentos em contingência � Pode causar desconforto para o negócio se o uso do processo manual for prolongado � Pode não ser viável em sistemas que tem muitos cálculos já informatizados Opções de Recuperação – Disposições Recíprocas São Acordos com outras empresas que utilizam a mesma tecnologia e decidem compartilhar recursos para ocasiões de emergência. Pode ser usado para: � Processos em lote (batch) � Serviços de Impressão � Armazenamento remoto de backups e documentações Problemas: � Falta de segurança � Dificuldade de manutenção � Não dará para utilizar em sistemas críticos Opções de Recuperação – Recuperação Gradual (Cold Standby) � Tempo para recuperar > 72 horas � Ambiente vazio com infra-estrutura básica: �Energia �Estrutura de rede �Conexões Telecom �Ar condicionado � Fixa: �Sala própria � Móvel: � Sala alugada � Requer contratos com fornecedores e procedimentos para invocar o plano Opções de Recuperação – Recuperação Intermediária (Warm Standby) � Tempo para recuperar de 24 a 72 horas � Ambiente já com estrutura de computadores montada mas SEM DADOS. � Fixa: �Instalação já montada � Móvel: �Veículos com estrutura de TI móvel. Opções de Recuperação - Recuperação Imediata (Hot Standby) � Tempo para recuperar dentro de um dia útil - de 0 a 24 horas � Ambiente com computadores instalados e já com dados (mas não necessariamente atualizados) �Servidores de backup com espelhamento de discos �Rotas alternativas � Estrutura própria: �Acomodação e estrutura de servidores própria � Estrutura terceirizada: �Alugar o espaço de um terceiro para a instalação dos sistemas backup Estágio 3: Implementação � Organização e implementação do plano � Implementação �Arranjos �Plano de Recuperação �Medidas de redução de riscos � Desenvolvimento de Procedimentos � Testes Teste Inicial Desenvolvimento de Procedimentos Implementação Arranjos Stand-by Desenvolv. Planos de Recuperação Implement. Medidas de Redução de Riscos Organização & Planej. de Implement. Plano de Continuidade dos Serviços de TI Um plano de Continuidade deve ter 7 seções: � Administração � Infra-estrutura de TI � Infra-estrutura de TI e procedimentos de operação � Equipe técnica � Segurança � Site de Contingência � Retorno a operação normal Estágio 4: Gerenciamento Operacional Garantia Educação & Consciência Revisão & Auditoria Teste Mudanças Treinamento � Educação, treinamento e conscientização � Revisão e auditoria � Testes � Gerenciamento de Mudança � Garantia Invocando o Plano de Continuidade � É feita pela equipe do gerenciamento de crise A decisão de invocar necessita levar em conta um número de fatores: � A extensão do dano e o escopo da interrupção. � A extensão provável da interrupção e a indisponibilidade de instalações e/ou serviços. � O horário do dia/mês/ano e o impacto potencial no negócio. � Requisitos específicos do negócio dependendo do trabalho que está sendo realizado no momento. Invocando o Plano de Continuidade O plano de GCSTI deve incluir detalhes das atividades que necessitam ser realizadas, incluindo: � Recuperação de fitas de backup ou uso de cofre de dados para recuperar dados. � Recuperação de documentação essencial, procedimentos, imagens de workstation, etc, armazenadas off-site. � Mobilização de pessoal técnico apropriado. � Entrar em contato e deixar em alerta fornecedores de telecomunicações, serviços de suporte, distribuidores de aplicativos, etc. Funções A distinção pode ser feita nas funções e responsabilidades dentro e fora dos períodos de crise. Diferentes níveis dentro deste processo podem ser definidos, começando pelo Presidente, Diretores, Gerentes, Supervisores e Equipe. É vital documentar as responsabilidades e funções de cada um. Responsabilidades dos Envolvidos Execução das tarefas, faz parte da equipe de apoio Desenvolve entregas, negocia os serviços, executa os testes, desenvolve e opera processos e procedimentos Supervisores e Equipe Invocação, liderança, gerenciamento do site, reporte das ações Faz a análise da Continuidade dos Serviços de TI, define as entregas, contratos para os serviços, gerencia o testes. Gerentes Coordenação, direção e arbitração, autorização dos recursos. Gerencia a Continuidade dos Serviços de TI, aceita as entregas, comunica e mantem a campanha de conscientização, faz a integração na organização Diretores Gerenciamento, decisões corporativas, relacionamento externo. Inicia a Continuidade dos Serviços de TI, cria uma política, aloca responsabilidades, dirige e autoriza. Presidente (Conselho) Em uma CriseOperação Normal Gerente de Continuidade O gerente de continuidade deve ter as seguintes habilidades: � Estar ciente sobre os níveis de serviços acordados � Experiência em GCSTI � Conhecimento e experiência em gestão de contratos � Habilidade de transcrever os requerimentos de recuperação do negócio em requerimentos técnicos � Bons conhecimentos técnicos de TI para capacitar a assistência de qualidade nos procedimentos � Habilidade de se comunicar com todos os níveis da organização Relacionamentos Gerenciamento da Continuidade dos Serviços de TI Processo de Gerenciamento da Continuidade do Negócio Gerenciamento Financeiro Gerenciamento de Configuração Gerenciamento de Mudança Service Desk / Gerenciamento de Incidente / Gerenciamento de Problema Gerenciamento de Nível de Serviço Gerenciamento de Disponibilidade Gerenciamento de Capacidade InformaçãoNíveis exigidos Infra-estrutura Adequada Medidas Redução Riscos Dados Informação Sobre Impacto Informação sobre Os CIs principais Justificativas de custos dos planos de recuperação Comunicação Problemas Comuns Alguns problemas podem ser encontrados ao implementar o processo de GCSTI: � Não há recursos suficientes para implementar o processo. � O GCSTI não é baseado no GCN. � Falta de comprometimento do Gerente de TI e gerentes de negócio. � Análise superficial dos componentes críticos causando má interpretação nos impactos do negócio. � A recuperação não funciona como deveria por falta de testes. � Falta de conscientização e suporte dos usuários e equipe de TI fazendo com que o processo falhe quando ocorrer o desastre. Principais Benefícios � Gerenciamento de riscos e conseqüente redução do impacto da falha � Redução possível no prêmio do seguro � Melhora no relacionamento entre o Negócio e TI, fazendo com que a TI tenha consciência dos impactos e prioridades que os serviços de TI tem para o negócio � Conformidade com requisitos regulatórios (Basileia II, SOX) � Reduz a interrupção do negócio durante um incidente com a habilidade de recuperar os serviços de forma eficiente para o negócio � Aumenta a confiança do cliente � Gasto anual com GCSTI pode ser controlado � As medidas de riscos serão a um custo justificável IPDs – Indicadores Principais de Desempenho � Quantidade de funções críticas cobertas pelo Plano de Continuidade � Número e freqüência dos testes de simulações � Quantidade de vezes que o Plano de Continuidade foi invocado � Custos das alternativas de Recuperação � Resultado dos Testes de Continuidade Retorno sobre Investimento - ROI A implantação deste processo garantirá a continuidade dos Serviços de TI, independente de acidentes que venham a ocorrer. Exemplo do Benefício: Suponha que uma enchente alague a sala de servidores e que se leve 1 dia para voltar a operar os servidores. Isto provocaria uma perda de R$ 200.000,00 (500 funcionários x 8 horas x R$ 50,00 hora)
Compartilhar