Continuidade dos negócios e segurança da informação

Por quanto tempo a empresa poderia sobreviver sem as suas instalações, pessoas e sistemas? Quais são as ações a serem tomadas para manter a empresa funcionando na ocorrência de um vazamento de informações tecnológicas? Todos os funcionários sabem o que fazer, para onde ir ou anquem chamar em caso de um desastre? A continuidade dos negócios é uma abordagem integrada que envolve a mobilização de toda a organização para gerenciar crises e recuperar as operações após a ocorrência de qualquer evento que cause uma ruptura operacional.

Um plano desse tipo descreve as ações e processos necessários para recuperar as operações em caso de ruptura. Um plano de recuperação de desastres ou vazamento por falta de segurança da informações descreve os procedimentos para recuperar os sistemas e componentes de infraestrutura em casos de desastre.

Já a gestão de crises procura unir todos os elementos necessários à atuação coordenada durante a crise, a tomada de decisão de contingência e acionamento das equipes. Juntos, esses planos são o mecanismo necessário para garantir que uma organização possa se recuperar de forma eficaz após um desastre.

As organizações que não possuem planos de contingência estão sujeitas a impactos significativos e atraso no processo de recuperação após um evento de catástrofe. Muitas destas organizações podem nunca se recuperar. As organizações, portanto, precisam assegurar a existência de planos adequados para facilitar a recuperação. Esta é uma questão relevante para todas as organizações.

A NBR ISO/IEC 27031 de 01/2015 – Tecnologia da informação – Técnicas de segurança – Diretrizes para a prontidão para a continuidade dos negócios da tecnologia da informação e comunicação descreve os conceitos e princípios da prontidão esperada para a tecnologia de comunicação e informação (TIC) na continuidade dos negócios e fornece uma estrutura de métodos e processos para identificar e especificar todos os aspectos (como critérios de desempenho, projeto e implementação) para fornecer esta premissa nas organizações e garantir a continuidade dos negócios.

É aplicável para qualquer organização (privada, governamental e não governamental, independentemente do tamanho) desenvolvendo a prontidão de sua TIC para atender a um programa de continuidade nos negócios (PTCN), requerendo que os serviços e componentes de infraestrutura relacionados estejam prontos para suportar as operações de negócio na ocorrência de eventos e incidentes e seus impactos na continuidade (incluindo segurança) das funções críticas de negócio.

Também assegura que a organização estabeleça parâmetros para medir o desempenho que está correlacionado à PTCN de forma consistente e organizada. O escopo desta norma inclui todos os eventos e incidentes (incluindo os relacionados com segurança) que podem impactar a infraestrutura da TIC e sistemas, incluindo e estendendo às práticas de gestão de incidentes em segurança da informação e a prontidão esperada para o planejamento e serviços em TIC.

Através dos anos, as tecnologias da informação e comunicação (TIC) tornaram-se uma parte integrante de muitas atividades fundamentais para suportar a infraestrutura crítica em organizações de todos os setores, sejam públicas, privadas ou voluntárias. A proliferação da internet e de outros serviços de comunicação digital, somada à capacidade dos sistemas e aplicações utilizados hoje, resultaram em um cenário onde as organizações tornaram-se mais dependentes de uma infraestrutura de TIC confiável e segura.

Enquanto isso, a necessidade da Gestão de continuidade de negócios (GCN), incluindo a preparação para incidentes, planejamento para recuperação de desastres e gestão de respostas emergenciais, tem sido reconhecida e suportada por meio de domínios específicos de conhecimento, expertise e normas desenvolvidas e promulgadas recentemente, incluindo a norma de GCN, desenvolvida pelo ISO/TC 223.

As falhas nos serviços de TIC, incluindo a ocorrência de questões na segurança, como invasão de sistemas e infecções por códigos maliciosos, impactam a continuidade das operações de negócio. Dessa forma, o gerenciamento da TIC e dos aspectos relacionados à continuidade e segurança, integra os processos chave para estabelecer os requisitos na continuidade dos negócios.

Além disso, na maioria dos casos, as funções críticas de negócio que demandam ser providas de estratégias para a continuidade são geralmente dependentes da TIC, o que resulta em um cenário onde qualquer interrupção funcional pode resultar em riscos estratégicos para a reputação da organização e sua capacidade de operar. A prontidão da TIC é um componente essencial para muitas organizações na implementação da gestão para a continuidade dos negócios e segurança da informação.

Como parte da implementação e operação de um sistema de gestão de segurança da informação (SGSI) especificado na NBR ISO/IEC 27001 e de um sistema de gestão de continuidade de negócios (SGCN), é uma questão crítica desenvolver e implementar um plano para a prontidão dos serviços de TIC que suportem a continuidade dos processos de negócio. Como resultado, um SGCN efetivo é frequentemente dependente da efetividade da prontidão de TIC em garantir que os objetivos organizacionais continuem a ser atendidos durante a ocorrência de um evento de interrupção.

Isso é especialmente importante, uma vez que as consequências de rupturas na TIC têm a complicação adicional de não serem facilmente detectadas. Para que uma organização alcance a Prontidão de TIC para a Continuidade de Negócios, é necessário prover um processo sistemático de prevenção e gerenciamento de incidentes e interrupções no funcionamento da TIC que tenham o potencial de gerar impactos para o funcionamento esperado dos serviços e sistemas.

Isso pode ser alcançado aplicando os passos cíclicos estabelecidos em um Plan-Do-Check-Act (PDCA) como parte da gestão de PTCN. Dessa forma, a PTCN suporta o GCN ao garantir que os serviços de TIC são resilientes como esperado e podem ser recuperados em níveis predeterminados em tempos de resposta requeridos e acordados com a organização.

Clique nas figuras para uma melhor visualização

tabela 1-continuidade

Se uma organização usa a NBR ISO/IEC 27001 para estabelecer um SGSI e/ou normas relevantes para estabelecer um SGCN, convém que o estabelecimento da Prontidão de TIC para a Continuidade de Negócios preferencialmente leve em consideração a existência ou previsão de processos relacionados com estas normas. Esta relação pode suportar o estabelecimento da PTCN e também evitar a duplicação de esforços para a organização.

No planejamento e implementação de uma PTCN, a organização pode referenciar a NBR ISO/IEC 24762:2009 no planejamento e entrega dos serviços para recuperação de desastres de TIC, independentemente se estes são providos por uma entidade externa ou interna. A Gestão da Continuidade de Negócios (GCN) é um processo holístico de gestão que identifica os impactos potenciais que ameaçam a continuidade das operações de negócio de uma organização e fornecesse uma estrutura para construir a resiliência e capacidade de resposta eficaz que protegem os interesses organizacionais de interrupções.

figura 1-continuidade

Como parte de um processo de GCN, a PTCN refere-se à gestão de um sistema que complementa e suporta a GCN e/ou um programa de SGSI, promovendo a prontidão organizacional para: responder as mudanças constantes dos riscos do ambiente; garantir a continuidade das operações críticas de negócio suportadas pelos serviços de TIC; estar pronta a responder antes que uma interrupção ocorra em um serviço de TIC, por meio da detecção de um ou mais eventos que podem tornar-se incidentes; e responder e recuperar frente à ocorrência de incidentes, desastres e falhas. A Figura 2 ilustra os resultados esperados da TIC para suportar as atividades da Gestão da Continuidade de Negócios.

figura 2-continuidade

A NBR ISO 22301 sumariza a abordagem da GCN para prevenir, reagir e recuperar de incidentes. As atividades envolvendo a GCN incluem a preparação para incidentes, gestão da continuidade operacional (GCO), plano para recuperação de desastres (PRD) e mitigação de riscos com foco em incrementar a resiliência da organização, preparando-a para reagir efetivamente a incidentes e recuperar dentro de escalas temporais predeterminadas.

Entretanto, cada organização define as suas prioridades para a GCN, e estas são utilizadas como base para direcionar as atividades da PTCN. Dessa forma, a GCN depende da garantia provida pela PTCN de que a organização pode alcançar seus objetivos de continuidade sempre que necessário, especialmente durante períodos de interrupção.

Como apresentado na Figura 3, as atividades de prontidão visam:

a) incrementar as capacidades de detecção de incidentes;

b) prevenir a ocorrência de falhas drásticas ou súbitas;

c) estabelecer um nível de degradação aceitável do status operacional se a falha não puder ser interrompida;

d) reduzir ao máximo o tempo de recuperação previsto; e

e) minimizar os impactos gerados pelo incidente.

figura 3-continuidade

A PTCN é baseada nos seguintes princípios fundamentais:

– Prevenção de Incidentes: Proteger os serviços de TIC de ameaças, como as geradas pelo ambiente, falhas em hardware, erros operacionais, ataques maliciosos e desastres naturais, é uma questão crítica para manter os níveis desejados de disponibilidade dos sistemas de uma organização;

– Detecção de Incidentes: Detectar incidentes o mais cedo possível minimiza os impactos para os serviços, reduzindo o esforço de recuperação e preservando a qualidade dos serviços;

– Resposta: Responder a um incidente da maneira mais apropriada possível irá resultar em uma recuperação mais eficiente e minimizar as paradas, pois uma reação inadequada pode resultar no escalonamento de um incidente pequeno para algo muito mais grave;

– Recuperação: Identificar e implementar a estratégia de recuperação apropriada irá garantir a recuperação dos serviços dentro de um tempo aceitável e manter a integridade dos dados. O entendimento das prioridades de recuperação permite que os serviços mais críticos possam ser reinstalados primeiro. Serviços de natureza menos crítica podem ser reinstalados posteriormente ou, em algumas circunstâncias, não ser recuperados.

– Melhoria: Convém que lições aprendidas de incidentes de variadas intensidades sejam documentadas, analisadas e analisadas criticamente. O entendimento dessas lições irá permitir que a organização esteja melhor preparada, estabeleça um controle adequado e evite a ocorrência de incidentes ou interrupções.

A Figura 4 ilustra como os respectivos elementos em uma PTCN suportam uma linha de tempo para a recuperação de um desastre que afete a TIC e suportam a continuidade das atividades de negócio. A implementação da PTCN permite que a organização responda efetivamente a ameaças novas e emergentes, assim como esteja pronta para reagir e se recuperar dos efeitos de interrupções.

figura 4-continuidade

Os elementos fundamentais da PTCN podem ser resumidos como apresentados: Pessoas: os especialistas com o conhecimento e capacidade apropriados, e equipe de reposição competente; Instalações: o ambiente físico onde os recursos de TIC estão localizados; Tecnologia: 1) hardware (incluindo racks, servidores, equipamentos de armazenamento de dados, unidades de fita e similares); 2) rede de dados (incluindo a conectividade de dados e serviços de voz), switches, roteadores; e 3) software: incluindo sistema operacional, software de aplicação, links ou interfaces entre aplicações e rotinas de processamento batch; Dados: dados de aplicações, voz e outros tipos; Processos: incluindo a documentação de suporte que descreve a configuração dos recursos de TIC e suporta uma operação efetiva, recuperação e manutenção dos serviços de TIC; e Fornecedores: outros componentes de serviços nos quais os serviços providos pela TIC dependem de um fornecedor externo ou outra organização dentro da cadeia de suprimentos, como provedores de dados do mercado financeiro, empresas de telecomunicações e provedores de serviços para acesso a internet.

Os benefícios de uma PTCN efetiva para a organização são: entender os riscos para a continuidade dos serviços de TIC e suas vulnerabilidades; identificar os impactos potenciais das interrupções dos serviços de TIC; encorajar a colaboração entre os gestores das áreas de negócio e seus provedores de serviços de TIC (internos e externos); desenvolver e melhorar as competências da equipe de TIC ao demonstrar credibilidade nas respostas providas por meio do exercício dos planos para a continuidade de TIC e testes dos arranjos mantidos para a PTCN; garantir para a alta direção ela pode contar com determinados níveis de serviços para TIC, assim como o suporte e as comunicações adequados, mesmo diante dos impactos gerados por uma interrupção; garantir para a alta direção que a segurança da informação (confidencialidade, integridade e disponibilidade) está sendo adequadamente preservada, estabelecendo a aderência esperada para as políticas de segurança da informação; fornecer confiança adicional na estratégia para continuidade dos negócios, relacionando os investimentos feitos em tecnologia da informação para atender às necessidades organizacionais e garantir que os serviços de TIC estão protegidos em um nível apropriado de acordo com a sua importância para os processos de negócio; ter os serviços de TIC dentro de uma relação custo/benefício aceitável e não subestimada ou superestimada, benefício este alcançado por meio de um entendimento dos níveis de dependência dos serviços providos, natureza, localização, interdependência e uso dos componentes que estabelecem os serviços esperados; poder incrementar a reputação organizacional pela prudência e eficiência estabelecidas; potencializar os ganhos em vantagens competitivas por meio da demonstração da habilidade para entregar serviços de continuidade e manter o fornecimento de produtos e serviços mesmo em períodos de interrupção; e entender e documentar as expectativas das partes interessadas, os relacionamentos suportados e uso dos serviços providos pela TIC. A PTCN fornece uma forma clara de determinar o status dos serviços de TIC de uma organização em suportar os objetivos para a continuidade de negócios ao endereçar a questão “nossa TIC tem a capacidade de resposta adequada” em vez de “nossa TIC é segura”.

Advertisements

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s

%d bloggers like this: