Leis e NormasSegurança patrimonial e eletrônica

Sua empresa sobreviveria sem instalações, pessoas e sistemas?

Por

Inundações, ataques terroristas, invasão cibernética, falha na cadeia de fornecimento, perda de um funcionário chave, etc. podem causar as interrupções no seu negócio e isso pode acontecer a qualquer momento. A continuidade de negócios significa ter um plano para lidar com situações difíceis, para que sua organização possa continuar a funcionar com o mínimo de interrupção possível. Quer se trate de um negócio, organização do setor público ou de beneficente, deve-se saber como se pode continuar em qualquer circunstância. Conheça os guias para os sistemas de gestão de continuidade de negócios ou as orientações com base em boas práticas internacionais para o planejamento, criação, implantação, operação, monitoramento, análise crítica, manutenção e melhoria contínua de um sistema de gestão documentado. E saber dos riscos de segurança da informação que podem afetar os dados de toda a empresa. Enfim, a gestão de continuidade de negócios é um processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio caso estas ameaças se concretizem. Este processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder eficazmente e salvaguardar os interesses das partes interessadas, a reputação e a marca da organização e suas atividades de valor agregado.

Hayrton Rodrigues do Prado Filho –

A continuidade dos negócios é a capacidade de uma organização em manter as funções essenciais durante e após a ocorrência de um desastre. O planejamento de continuidade de negócios deve estabelecer os processos e procedimentos de gerenciamento de riscos que visam evitar interrupções nos serviços de missão crítica e restabelecer o funcionamento total da organização da forma mais rápida e suave possível.

O requisito mais básico de continuidade de negócios é manter as funções essenciais em funcionamento durante um desastre e recuperar com o menor tempo de inatividade possível. Um plano de continuidade de negócios considera vários eventos imprevisíveis, como desastres naturais, incêndios, surtos de doenças, ataques cibernéticos e outras ameaças externas.

A continuidade de negócios é importante para organizações de qualquer tamanho, mas pode não ser prático para qualquer um, exceto as maiores empresas, manter todas as funções durante um desastre. De acordo com muitos especialistas, o primeiro passo no planejamento de continuidade de negócios é decidir quais das funções de uma organização são essenciais e alocar o orçamento disponível de acordo.

Uma vez que componentes cruciais tenham sido identificados, os mecanismos de falhas podem ser implementados. As tecnologias como o espelhamento de disco permitem que uma organização mantenha cópias atualizadas de dados em locais geograficamente dispersos. Isso permite que o acesso a dados continue ininterrupto se um local estiver desativado. Os elementos principais incluem a resiliência, a recuperação e a contingência.

Uma empresa pode aumentar a sua resiliência ao projetar as funções e as infraestruturas críticas com várias possibilidades de desastre em mente. Isso pode incluir a rotatividade de pessoal, a redundância de dados e a manutenção de um excedente de capacidade. Garantir a resiliência contra diferentes cenários também pode ajudar as empresas a manter serviços essenciais no local e fora do local sem interrupção.

A recuperação rápida para restaurar funções de negócios após um desastre é crucial. Definir os objetivos de tempo de recuperação para diferentes sistemas, redes ou aplicativos pode ajudar a priorizar quais elementos precisam ser recuperados primeiro. Outras estratégias de recuperação incluem inventários de recursos, acordos com terceiros para assumir a atividade da empresa e uso de espaços convertidos para funções de missão crítica.

Um plano de contingência tem procedimentos em vigor para uma variedade de cenários externos e pode incluir uma cadeia de comando que distribui responsabilidades dentro da organização. Essas responsabilidades podem incluir substituição de hardware, leasing de espaços para escritórios de emergência, avaliação de danos e contratação de fornecedores terceirizados para assistência.

Semelhante a um plano de continuidade de negócios, o planejamento de recuperação de desastres especifica as estratégias planejadas de uma organização para procedimentos pós-falha. Contudo, um plano de recuperação de desastre é apenas um subconjunto do planejamento de continuidade de negócios.

A recuperação de desastres é principalmente focada em dados, concentrando-se no armazenamento de dados de uma forma que pode ser acessada com mais facilidade após um desastre. A continuidade de negócios leva isso em consideração, mas também se concentra na gestão de riscos, na supervisão e no planejamento que uma organização precisa para permanecer operacional durante uma interrupção.

continuidade3

Por exemplo, no dia 11 de setembro de 2001, nos Estados Unidos, três edifícios do complexo do World Trade Center (WTC) desmoronaram, incluindo as famosas Torres Gêmeas com um ataque terrorista. Imagine a quantidade de empresas que sofreram danos. As cenas da poeira tomando conta das ruas de Nova York e de pessoas se jogando pelas janelas para tentar fugir das chamas foram transmitidas ao vivo e chocaram o mundo.

Ao todo, quase 3.000 pessoas morreram, incluindo os terroristas, todos os passageiros das quatro aeronaves, bombeiros, funcionários do Pentágono e muitas pessoas que trabalhavam no WTC. Para além das vítimas, esse acontecimento trágico também teve sérios desdobramentos militares e muitas empresas passaram a ver com outros olhos o problema da continuidade dos negócios.

A NBR ISO 22301 de 06/2013 – Segurança da sociedade – Sistema de gestão de continuidade de negócios – Requisitos especifica os requisitos para planejar, estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar continuamente um sistema de gestão documentado para se proteger, reduzir a possibilidade de ocorrência, preparar-se, responder a e recuperar-se de incidentes de interrupção quando estes ocorrerem. Os requisitos especificados nesta norma são genéricos e planejados para serem aplicados em todas as organizações ou parte delas, independentemente do tipo, tamanho e natureza do negócio. A abrangência da aplicação desses requisitos depende do ambiente operacional e complexidade da organização.

Não tem a intenção de impor uniformidade da estrutura de um Sistema de Gestão de Continuidade de Negócios (SGCN), mas que uma organização projete um SGCN adequado às suas necessidades e que satisfaça os requisitos das partes interessadas. Estas necessidades são moldadas por requisitos legais, regulatórios, de negócios e dos clientes, pelos produtos e serviços, os processos utilizados, o tamanho e a estrutura da organização e pelos requisitos das partes interessadas.

Aplica-se a todos os tipos e tamanhos de organização que desejam: estabelecer, implementar, manter e melhorar um SGCN, assegurar conformidade com a política de continuidade de negócios estabelecida, demonstrar conformidade para outros, buscar certificação/registro de seu SGCN por meio de um organismo de certificação de terceira parte acreditado, ou fazer uma autodeterminação e uma autodeclaração de conformidade com esta norma. Pode ser usada para avaliar a capacidade de uma organização em atender a suas próprias necessidades e obrigações de continuidade.

A organização deve determinar as questões internas e externas que sejam relevantes para seus propósitos de atuação e que afetem sua capacidade em alcançar os resultados determinados em seu SGCN. Estas questões devem ser levadas em consideração quando do estabelecimento, implementação e manutenção do SGCN da organização.

A organização deve identificar e documentar o seguinte: as atividades, funções, serviços, produtos e parcerias da organização, bem como cadeias de suprimentos, relacionamento com partes interessadas e o impacto potencial relacionado a um incidente de interrupção; o relacionamento entre a política de continuidade de negócios e outras políticas e objetivos da organização, incluindo a sua estratégia geral de gestão de riscos; o apetite a riscos da organização.

No estabelecimento do contexto, a organização deve: determinar seus objetivos, incluindo aqueles relacionados com a continuidade dos negócios, definir os fatores externos e internos que criam as incertezas que dão origem ao risco, estabelecer os critérios de risco, levando em conta o apetite a riscos, e definir o propósito do SGCN. No momento de estabelecer o SGCN, a organização deve determinar: as partes interessadas que são relevantes para o SGCN, e os requisitos das partes interessadas (por exemplo, as suas necessidades e expectativas definidas, geralmente implícitas ou obrigatórias).

A figura abaixo ilustra como um SGCN considera como entradas as partes interessadas e os requisitos de continuidade de negócios e, por meio de ações necessárias e processos, produz resultados de continuidade (por exemplo, continuidade de negócios gerenciada) que atendem àqueles requisitos.

Em resumo, as Seções 4 a 10 envolvem os seguintes componentes. A Seção 4 é um componente do “Planejar”. Introduz os requisitos necessários para estabelecer o contexto do SGCN, como se aplica na organização, bem como suas necessidades, requisitos e escopo. A Seção 5 é um componente do “Planejar”. Resume os requisitos específicos para o papel da Alta Direção no SGCN e como a liderança deve articular suas expectativas para a organização por meio de uma declaração de política.

A Seção 6 é um componente do “Planejar”. Descreve os requisitos para a aplicação de objetivos estratégicos e princípios direcionadores para o SGCN como um todo. O conteúdo da Seção 6 difere do estabelecimento de oportunidades para o tratamento de riscos decorrentes do processo de avaliação de risco, bem como dos objetivos de recuperação derivados da análise de impacto nos negócios (BIA). Os requisitos dos processos de análise de impacto nos negócios e de avaliação de riscos estão detalhados na Seção 8.

A Seção 7 é um componente do “Planejar”. Suporta a operação do SGCN, atribuindo competências e comunicação de forma recorrente/conforme necessária com as partes interessadas, bem como documentando, controlando, mantendo e retendo as documentações necessárias. A Seção 8 é um componente do “Fazer”. Define requisitos para a continuidade de negócios, determinando como abordá-los e como desenvolver procedimentos para gerenciar um incidente de interrupção.

A Seção 9 é um componente do “Checar”. Resume os requisitos necessários para medir o desempenho da gestão de continuidade de negócios, a conformidade do SCGN com esta norma e com as expectativas da direção e busca o feedback dos gestores com relação às expectativas. A Seção 10 é um componente do “Agir”. Identifica e atua em aspectos do SGCN que· não estão em conformidade através de ações corretivas.

A NBR ISO 22313 de 10/2015 – Segurança da sociedade – Sistemas de gestão de continuidade de negócios – Orientações fornece orientação com base em boas práticas internacionais para o planejamento, criação, implantação, operação, monitoramento, análise crítica, manutenção e melhoria contínua de um sistema de gestão documentado, que permite que as organizações se preparem para responder e recuperar-se de incidentes de interrupção quando eles surgirem. A continuidade de negócios é a capacidade que uma organização tem de continuar a entrega de produtos ou serviços em níveis aceitáveis pré-definidos após um incidente de interrupção.

A gestão de continuidade de negócios (GCN) é o processo de alcançar a continuidade do negócio e é sobre a preparação de uma organização para lidar com incidentes de interrupção que poderiam impedi-la de atingir seus objetivos. Colocar a GCN dentro de uma estrutura e disciplinas de um sistema de gestão cria um SGCN que permite que a GCN possa ser controlada, avaliada e melhorada continuamente.

Nesta norma, a palavra negócio é usada como um termo abrangente para as operações e serviços realizados por uma organização em busca de seus objetivos, metas ou missão. Como tal, é igualmente aplicável a organizações grandes, médias e pequenas que operam em setores industrial, comercial, público e sem fins lucrativos. Qualquer incidente, grande ou pequeno, natural, acidental ou deliberado tem o potencial de causar grande interrupção para as operações da organização e sua capacidade de fornecer produtos e serviços.

No entanto, a implementação de uma gestão de continuidade de negócios antes que um incidente de interrupção ocorra, ao invés de esperar que isso aconteça, vai permitir que a organização retome suas operações antes que surjam níveis de impacto inaceitáveis. A GCN envolve: ser claro sobre os principais serviços e produtos-chave da organização e as atividades que os suportam; conhecer as prioridades para retomar as atividades e os recursos necessários; ter uma compreensão clara das ameaças a essas atividades, incluindo suas dependências, e compreendendo os impactos de uma não retomada; ter implementado arranjos testados e confiáveis para retomar essas atividades após um incidente de interrupção; e certificar-se que estes acordos são analisados criticamente e atualizados de forma rotineira, de modo que eles sejam eficazes em todas as circunstâncias.

A continuidade de negócios pode ser eficaz em lidar tanto com incidentes repentinos de interrupção (por exemplo, explosões) como aqueles graduais (por exemplo, pandemias de gripe). As atividades são interrompidas por uma grande variedade de incidentes, muitos dos quais são difíceis de prever ou analisar. Ao concentrar-se sobre o impacto da interrupção e não a causa, a continuidade de negócios identifica as atividades em que a organização depende para a sua sobrevivência, e permite que a organização determine o que é necessário para continuar a cumprir as suas obrigações.

Através da continuidade de negócios, a organização pode reconhecer o que precisa ser feito para proteger os seus recursos (por exemplo, pessoas, instalações, tecnologia e informação), cadeia de suprimentos, as partes interessadas e reputação, antes que um incidente de interrupção ocorra. Com esse reconhecimento, a organização é capaz de ter uma visão realista sobre as respostas que possam vir a ser necessárias, caso e quando uma interrupção ocorra, e assim esteja confiante para gerenciar as consequências e evitar impactos inaceitáveis.

Uma organização que tenha implementado uma gestão de continuidade de negócios adequada também pode tirar vantagem das oportunidades que de outro modo poderiam ser consideradas como de risco muito alto. Os seguintes diagramas (figuras abaixo) destinam-se a ilustrar conceitualmente como a gestão de continuidade de negócios pode ser eficaz na atenuação dos impactos em determinadas situações. Nenhuma escala de tempo específica está implícita pela distância relativa entre as fases descritas em qualquer diagrama.

Ao estabelecer o SGCN, convém que a organização assegure que as necessidades e requisitos das partes interessadas sejam levados em consideração. Convém que a organização identifique todas as partes interessadas que são de relevância para seu SGCN e com base em suas necessidades e expectativas, determine os seus requisitos. É importante identificar não apenas os requisitos obrigatórios e definidos, mas também os que estão implicados.

A organização precisa estar ciente de todos aqueles que têm um interesse na organização, como a mídia, o público nas proximidades, concorrentes e assim por diante. Ao planejar e implementar o SGCN, é importante identificar ações que sejam apropriadas em relação às partes interessadas, mas diferenciar entre as diferentes categorias. Por exemplo, embora possa ser apropriado se comunicar com todas as partes interessadas na sequência de um incidente de interrupção, pode não ser apropriado se comunicar com todas as partes interessadas quando da criação e gerenciamento da GCN (8.1.1).

 

Para a conscientização, convém que as pessoas que trabalham sob o controle da organização tenham a consciência apropriada do SGCN. Estas pessoas podem incluir os colaboradores, contratantes, sócios, fornecedores. Convém que eles estejam cientes da política da continuidade do negócio e: de seu papel e responsabilidade no que diz respeito à prevenção do incidente, à detecção, à mitigação, à autoproteção, à evacuação, à reação, à continuidade e à recuperação; da importância da conformidade com a política e procedimentos da continuidade do negócio; das implicações das mudanças na operação da organização; de sua contribuição para a eficácia do SGCN, incluindo os benefícios do desempenho melhorado de gestão da continuidade do negócio; e de seu papel e responsabilidade em conseguir a conformidade com os requisitos do SGCN.

Convém à organização construir, promover e incorporar uma cultura dentro da organização a qual: se torne parte dos valores centrais da organização e da gestão; e faça as partes interessadas cientes da política de continuidade do negócio e de seu papel em procedimentos associados. Quanto às pessoas, convém que a organização identifique medidas apropriadas para manter e ampliar a disponibilidade de habilidades e conhecimento centrais caso o incidente conduza à redução da disponibilidade de pessoal.

Convém que estas medidas incluam os empregados, os autônomos e as outras partes interessadas que possuam habilidades e conhecimentos especializados extensivos. As técnicas para proteger ou aprimorar essas habilidades podem incluir: lista de especialistas alternativos habilitados e plano de chamada; treinamento polivalente dos colaboradores e de autônomos; separação de habilidades centrais para reduzir o impacto de um incidente, incluindo a separação física dos colaboradores com habilidades centrais em mais de uma localidade; uso de terceiros; planejamento de sucessão; e os processos de documentação e outras formas de retenção e gestão de conhecimento.

Os procedimentos respaldados na realocação do pessoal depois de um incidente podem precisar considerar: o transporte do pessoal a outro lugar; as necessidades do pessoal no local alternativo como: acomodação; instalações de alimentação; compromissos pessoais e familiares; e treinamento em equipamento diferente; os desafios decorridos por trabalho em casa. Os papéis do especialista podem incluir: segurança; logística de transporte; e bem-estar e emergência.

continuidade1

Quanto aos problemas com a tecnologia da informação, a NBR ISO/IEC 27005 de 11/2011 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação fornece diretrizes para o processo de gestão de riscos de segurança da informação. Está de acordo com os conceitos especificados na NBR ISO/IEC 27001 e foi elaborada para facilitar uma implementação satisfatória da segurança da informação tendo como base uma abordagem de gestão de riscos. O conhecimento dos conceitos, modelos, processos e terminologias descritos na NBR ISO/IEC 27001 e na NBR ISO/IEC 27002 é importante para um entendimento completo desta norma. Se aplica a todos os tipos de organização (por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos) que pretendam gerir os riscos que poderiam comprometer a segurança da informação da organização.

Esta norma fornece diretrizes para o processo de gestão de riscos de segurança da informação de uma organização, atendendo particularmente aos requisitos de um sistema de gestão de segurança da informação (SGSI) de acordo com a NBR ISO/IEC 27001. Entretanto, esta norma internacional não inclui um método específico para a gestão de riscos de segurança da informação. Cabe à organização definir sua abordagem ao processo de gestão de riscos, levando em conta, por exemplo, o escopo do seu SGSI, o contexto da gestão de riscos e o seu setor de atividade econômica.

Há várias metodologias que podem ser utilizadas de acordo com a estrutura descrita nesta norma para implementar os requisitos de um SGSI. Esta norma é do interesse de gestores e pessoal envolvidos com a gestão de riscos de segurança da informação em uma organização e, quando apropriado, em entidades externas que dão suporte a essas atividades.

Contém a descrição do processo de gestão de riscos de segurança da informação e das suas atividades. As informações sobre o contexto histórico são apresentadas na Seção 5. Uma visão geral do processo de gestão de riscos de segurança da informação é apresentada na Seção 6.

Todas as atividades de gestão de riscos de segurança da informação apresentadas na Seção 6 são descritas nas seguintes seções: definição do contexto na Seção 7, processo de avaliação de riscos na Seção 8, tratamento do risco na Seção 9, aceitação do risco na Seção 10, comunicação e consulta do risco na Seção 11, monitoramento e análise crítica de riscos na Seção 12. Informações adicionais para as atividades de gestão de riscos de segurança da informação são apresentadas nos anexos.

A definição do contexto é detalhada no Anexo A (Definindo o escopo e os limites do processo de gestão de riscos de segurança da informação). A identificação e valoração dos ativos e a avaliação do impacto são discutidas no Anexo B. O Anexo C dá exemplos de ameaças típicas e o Anexo D apresenta vulnerabilidades e métodos para avaliação de vulnerabilidades. Exemplos de abordagens para o processo de avaliação de riscos de segurança da informação são apresentados no Anexo E.

Uma abordagem sistemática de gestão de riscos de segurança da informação é necessária para identificar as necessidades da organização em relação aos requisitos de segurança da informação e para criar um sistema de gestão de segurança da informação (SGSI) que seja eficaz. Convém que essa abordagem seja adequada ao ambiente da organização e, em particular, esteja alinhada com o processo maior de gestão de riscos corporativos. Convém que os esforços de segurança lidem com os riscos de maneira efetiva e no tempo apropriado, onde e quando forem necessários.

Convém que a gestão de riscos de segurança da informação seja parte integrante das atividades de gestão de segurança da informação e que seja aplicada tanto à implementação quanto à operação cotidiana de um SGSI. Convém que a gestão de riscos de segurança da informação seja um processo contínuo.

Convém que o processo defina os contextos interno e externo, avalie os riscos e trate os riscos usando um plano de tratamento a fim de implementar as recomendações e decisões. Convém que a gestão de riscos analise os possíveis acontecimentos e suas consequências, antes de decidir o que será feito e quando será feito, a fim de reduzir os riscos a um nível aceitável.

Convém que a gestão de riscos de segurança da informação contribua para: a identificação de riscos, o processo de avaliação de riscos em função das consequências ao negócio e da probabilidade de sua ocorrência, a comunicação e entendimento da probabilidade e das consequências destes riscos, o estabelecimento da ordem prioritária para tratamento do risco, a priorização das ações para reduzir a ocorrência dos riscos, o envolvimento das partes interessadas quando as decisões de gestão de riscos são tomadas e para que elas sejam mantidas informadas sobre a situação da gestão de riscos, a eficácia do monitoramento do tratamento dos riscos, o monitoramento e análise crítica periódica dos riscos e do processo de gestão de riscos, a coleta de informações de forma a melhorar a abordagem da gestão de riscos, o treinamento de gestores e pessoal a respeito dos riscos e das ações para mitigá-los, o processo de gestão de riscos de segurança da informação pode ser aplicado à organização como um todo, a uma área específica da organização (por exemplo, um departamento, um local físico, um serviço), a qualquer sistema de informações, a controles já existentes, planejados ou apenas a aspectos particulares de um controle (por exemplo, o plano de continuidade de negócios).

Uma visão de alto nível do processo de gestão de riscos é especificada na NBR ISO 31000:2009 e está apresentada na figura abaixo.

A figura abaixo apresenta como esta norma se aplica ao processo de gestão de riscos. O processo de gestão de riscos de segurança da informação consiste na definição do contexto (Seção 7), processo de avaliação de riscos (Seção 8), tratamento do risco (Seção 9), aceitação do risco (Seção 10), comunicação e consulta do risco (Seção 11) e monitoramento e análise crítica de riscos (Seção 12).

Como mostra a figura acima, o processo de gestão de riscos de segurança da informação pode ser iterativo para o processo de avaliação de riscos e/ou para as atividades de tratamento do risco. Um enfoque iterativo na execução do processo de avaliação de riscos torna possível aprofundar e detalhar a avaliação em cada repetição. O enfoque iterativo permite minimizar o tempo e o esforço despendidos na identificação de controles e, ainda assim, assegura que riscos de alto impacto ou de alta probabilidade possam ser adequadamente avaliados.

Primeiramente, o contexto é estabelecido. Em seguida, executa-se um processo de avaliação de riscos. Se ele fornecer informações suficientes para que se determinem de forma eficaz as ações necessárias para reduzir os riscos a um nível aceitável, então a tarefa está completa e o tratamento do risco pode continuar. Por outro lado, se as informações forem insuficientes, executa-se uma outra iteração do processo de avaliação de riscos, revisando-se o contexto (por exemplo, os critérios de avaliação de riscos, de aceitação do risco ou de impacto), possivelmente em partes limitadas do escopo (ver figura acima, Ponto de Decisão 1).

A eficácia do tratamento do risco depende dos resultados do processo de avaliação de riscos. Notar que o tratamento de riscos envolve um processo cíclico para: avaliar um tratamento do risco; decidir se os níveis de risco residual são aceitáveis; gerar um novo tratamento do risco se os níveis de risco não forem aceitáveis; e avaliar a eficácia do tratamento.

É possível que o tratamento do risco não resulte em um nível de risco residual que seja aceitável. Nessa situação, pode ser necessária uma outra iteração do processo de avaliação de riscos, com mudanças nas variáveis do contexto (por exemplo, os critérios para o processo de avaliação de riscos, de aceitação do risco e de impacto), seguida por uma fase adicional de tratamento do risco (ver figura acima, Ponto de Decisão 2).

A atividade de aceitação do risco tem de assegurar que os riscos residuais sejam explicitamente aceitos pelos gestores da organização. Isso é especialmente importante em uma situação em que a implementação de controles é omitida ou adiada, por exemplo, devido aos custos. Durante o processo de gestão de riscos de segurança da informação, é importante que os riscos e a forma com que são tratados sejam comunicados ao pessoal das áreas operacionais e gestores apropriados.

Mesmo antes do tratamento do risco, informações sobre riscos identificados podem ser muito úteis para o gerenciamento de incidentes e pode ajudar a reduzir possíveis prejuízos. A conscientização dos gestores e pessoal no que diz respeito aos riscos, à natureza dos controles aplicados para mitigá-los e às áreas definidas como de interesse pela organização, auxilia a lidar com os incidentes e eventos não previstos da maneira mais efetiva.

Convém que os resultados detalhados de cada atividade do processo de gestão de riscos de segurança da informação, assim como as decisões sobre o processo de avaliação de riscos e sobre o tratamento do risco (representadas pelos dois pontos de decisão na figura acima) sejam documentados.

A NBR ISO/IEC 27001:2006 especifica que os controles implementados no escopo, limites e contexto do SGSI devem ser baseados no risco. A aplicação de um processo de gestão de riscos de segurança da informação pode satisfazer esse requisito. Há vários métodos através dos quais o processo pode ser implementado com sucesso em uma organização.

Convém que às organização use o método que melhor se adeque a suas circunstâncias, para cada aplicação específica do processo. Em um SGSI, a definição do contexto, o processo de avaliação de riscos, o desenvolvimento do plano de tratamento do risco e a aceitação do risco fazem parte da fase “planejar”. Na fase “executar” do SGSI, as ações e controles necessários para reduzir os riscos a um nível aceitável são implementados de acordo com o plano de tratamento do risco.

Na fase “verificar” do SGSI, os gestores determinarão a necessidade de revisão da avaliação e tratamento do risco à luz dos incidentes e mudanças nas circunstâncias. Na fase “agir”, as ações necessárias são executadas, incluindo a reaplicação do processo de gestão de riscos de segurança da informação. A tabela abaixo resume as atividades relevantes de gestão de riscos de segurança da informação para as quatro fases do processo do SGSI.

Convém que a organização e as responsabilidades para o processo de gestão de riscos de segurança da informação sejam estabelecidas e mantidas. Os principais papéis e responsabilidades dessa organização seria o desenvolvimento do processo de gestão de riscos de segurança da informação adequado à organização, identificação e análise das partes interessadas, definição dos papéis e responsabilidades de todas as partes, internas e externas à organização, estabelecimento das relações necessárias entre a organização e as partes interessadas, das interfaces com as funções de alto nível de gestão de riscos da organização (por exemplo, a gestão de riscos operacionais), assim como das interfaces com outros projetos ou atividades relevantes, definição de alçadas para a tomada de decisões, especificação dos registros a serem mantidos.

Convém que essa organização seja aprovada pelos gestores apropriados. Um risco é a combinação das consequências advindas da ocorrência de um evento indesejado e da probabilidade de sua ocorrência. O processo de avaliação de riscos quantifica ou descreve o risco qualitativamente e capacita os gestores a priorizar os riscos de acordo com a sua gravidade percebida ou com outros critérios estabelecidos.

O processo de avaliação de riscos consiste nas seguintes atividades: identificação de riscos (Seção 8.2), análise de riscos (Seção 8.3), avaliação de riscos (Seção 8.4). O processo de avaliação de riscos determina o valor dos ativos de informação, identifica as ameaças e vulnerabilidades aplicáveis existentes (ou que poderiam existir), identifica os controles existentes e seus efeitos no risco identificado, determina as consequências possíveis e, finalmente, prioriza os riscos derivados e ordena-os de acordo com os critérios de avaliação de riscos estabelecidos na definição do contexto.

O processo de avaliação de riscos é executado frequentemente em duas (ou mais) iterações. Primeiramente, uma avaliação de alto nível é realizada para identificar os riscos potencialmente altos, os quais merecem uma avaliação mais aprofundada. A segunda iteração pode considerar com mais profundidade esses riscos potencialmente altos revelados na primeira iteração.

Se ela não fornecer informações suficientes para avaliar o risco, então análises adicionais detalhadas são executadas, provavelmente em partes do escopo total e possivelmente usando um outro método. Cabe à organização selecionar seu próprio método para o processo de avaliação de riscos com base nos objetivos e na meta do processo de avaliação de riscos. Uma discussão sobre métodos utilizados no processo de avaliação de riscos de segurança da informação pode ser encontrada no Anexo E.

A presença de uma vulnerabilidade não causa prejuízo por si só, pois precisa haver uma ameaça presente para explorá-la. Uma vulnerabilidade que não tem uma ameaça correspondente pode não requerer a implementação de um controle no presente momento, mas convém que ela seja reconhecida como tal e monitorada, no caso de haver mudanças. Convém notar que um controle implementado incorretamente, com mau funcionamento ou sendo usado de forma errada pode, por si só, representar uma vulnerabilidade.

Um controle pode ser eficaz ou não, dependendo do ambiente no qual ele opera. Inversamente, uma ameaça que não tenha uma vulnerabilidade correspondente pode não resultar em um risco. As vulnerabilidades podem estar ligadas a propriedades do ativo, as quais podem ser usadas de uma forma ou para um propósito diferente daquele para o qual o ativo foi adquirido ou desenvolvido.

As vulnerabilidades decorrentes de diferentes fontes precisam ser consideradas, por exemplo, as intrínsecas e as extrínsecas ao ativo. Exemplos de vulnerabilidades e métodos para avaliação de vulnerabilidades podem ser encontrados no Anexo D.

A NBR ISO/IEC 27031 de 01/2015 – Tecnologia da informação – Técnicas de segurança – Diretrizes para a prontidão para a continuidade dos negócios da tecnologia da informação e comunicação descreve os conceitos e princípios da prontidão esperada para a tecnologia de comunicação e informação (TIC) na continuidade dos negócios e fornece uma estrutura de métodos e processos para identificar e especificar todos os aspectos (como critérios de desempenho, projeto e implementação) para fornecer esta premissa nas organizações e garantir a continuidade dos negócios É aplicável para qualquer organização (privada, governamental e não governamental, independentemente do tamanho) desenvolvendo a prontidão de sua TIC para atender a um programa de continuidade nos negócios (PTCN), requerendo que os serviços e componentes de infraestrutura relacionados estejam prontos para suportar as operações de negócio na ocorrência de eventos e incidentes e seus impactos na continuidade (incluindo segurança) das funções críticas de negócio.

Também assegura que a organização estabeleça parâmetros para medir o desempenho que está correlacionado à PTCN de forma consistente e organizada. O escopo desta norma inclui todos os eventos e incidentes (incluindo os relacionados com segurança) que podem impactar a infraestrutura da TIC e sistemas, incluindo e estendendo às práticas de gestão de incidentes em segurança da informação e a prontidão esperada para o planejamento e serviços em TIC.

O que se pode dizer é que, através dos anos, as TIC tornaram-se uma parte integrante de muitas atividades fundamentais para suportar a infraestrutura crítica em organizações de todos os setores, sejam públicas, privadas ou voluntárias. A proliferação da internet e de outros serviços de comunicação digital, somada à capacidade dos sistemas e aplicações utilizados hoje, resultaram em um cenário onde as organizações tornaram-se mais dependentes de uma infraestrutura de TIC confiável e segura.

Enquanto isso, a necessidade da Gestão de Continuidade de Negócios (GCN), incluindo a preparação para incidentes, planejamento para recuperação de desastres e gestão de respostas emergenciais, tem sido reconhecida e suportada por meio de domínios específicos de conhecimento, expertise e normas desenvolvidas e promulgadas recentemente, incluindo a norma de GCN, desenvolvida pelo ISO/TC 223. Falhas nos serviços de TIC, incluindo a ocorrência de questões na segurança, como invasão de sistemas e infecções por códigos maliciosos, impactam a continuidade das operações de negócio.

Dessa forma, o gerenciamento da TIC e dos aspectos relacionados à continuidade e segurança, integra os processos-chave para estabelecer os requisitos na continuidade dos negócios. Além disso, na maioria dos casos, as funções críticas de negócio que demandam ser providas de estratégias para a continuidade são geralmente dependentes da TIC, o que resulta em um cenário onde qualquer interrupção funcional pode resultar em riscos estratégicos para a reputação da organização e sua capacidade de operar.

A prontidão da TIC é um componente essencial para muitas organizações na implementação da gestão para a continuidade dos negócios e segurança da informação. Como parte da implementação e operação de um SGSI especificado na NBR ISO/IEC 27001 e de um SGCN, é uma questão crítica desenvolver e implementar um plano para a prontidão dos serviços de TIC que suportem a continuidade dos processos de negócio.

Como resultado, um SGCN efetivo é frequentemente dependente da efetividade da prontidão de TIC em garantir que os objetivos organizacionais continuem a ser atendidos durante a ocorrência de um evento de interrupção. Isso é especialmente importante, uma vez que as consequências de rupturas na TIC têm a complicação adicional de não serem facilmente detectadas.

Para que uma organização alcance a Prontidão de TIC para a Continuidade de Negócios (PTCN), é necessário prover um processo sistemático de prevenção e gerenciamento de incidentes e interrupções no funcionamento da TIC que tenham o potencial de gerar impactos para o funcionamento esperado dos serviços e sistemas. Isso pode ser alcançado aplicando os passos cíclicos estabelecidos em um Plan-Do-Check-Act (PDCA) como parte da gestão de PTCN.

Dessa forma, a PTCN suporta o GCN ao garantir que os serviços de TIC são resilientes como esperado e podem ser recuperados em níveis predeterminados em tempos de resposta requeridos e acordados com a organização. Se uma organização usa a NBR ISO/IEC 27001 para estabelecer um SGSI e/ou normas relevantes para estabelecer um SGCN, convém que o estabelecimento da PTCN preferencialmente leve em consideração a existência ou previsão de processos relacionados com estas normas.

Esta relação pode suportar o estabelecimento da PTCN e também evitar a duplicação de esforços para a organização. A figura abaixo apresenta a interação entre a PTCN e um SGCN. No planejamento e implementação de uma PTCN, a organização pode referenciar a NBR ISO/IEC 24762:2009 no planejamento e entrega dos serviços para recuperação de desastres de TIC, independentemente se estes são providos por uma entidade externa ou interna.

A GCN é um processo holístico de gestão que identifica os impactos potenciais que ameaçam a continuidade das operações de negócio de uma organização e fornece uma estrutura para construir a resiliência e capacidade de resposta eficaz que protegem os interesses organizacionais de interrupções. Como parte de um processo de GCN, a PTCN refere-se à gestão de um sistema que complementa e suporta a GCN e/ou um programa de SGSI, promovendo a prontidão organizacional para: responder as mudanças constantes dos riscos do ambiente; garantir a continuidade das operações críticas de negócio suportadas pelos serviços de TIC; estar pronta a responder antes que uma interrupção ocorra em um serviço de TIC, por meio da detecção de um ou mais eventos que podem tornar-se incidentes; e responder e recuperar frente à ocorrência de incidentes, desastres e falhas. A figura abaixo ilustra os resultados esperados da TIC para suportar as atividades da GCN.

A PTCN é baseada em alguns princípios fundamentais. A Prevenção de Incidentes que visa proteger os serviços de TIC de ameaças, como as geradas pelo ambiente, falhas em hardware, erros operacionais, ataques maliciosos e desastres naturais, é uma questão crítica para manter os níveis desejados de disponibilidade dos sistemas de uma organização A Detecção de Incidentes objetiva detectar incidentes o mais cedo possível minimiza os impactos para os serviços, reduzindo o esforço de recuperação e preservando a qualidade dos serviços.

A Resposta que busca responder a um incidente da maneira mais apropriada possível irá resultar em uma recuperação mais eficiente e minimizar as paradas. Uma reação inadequada pode resultar no escalonamento de um incidente pequeno para algo muito mais grave. A Recuperação que tem a intenção de identificar e implementar a estratégia de recuperação apropriada irá garantir a recuperação dos serviços dentro de um tempo aceitável e manter a integridade dos dados.

O entendimento das prioridades de recuperação permite que os serviços mais críticos possam ser reinstalados primeiro. Serviços de natureza menos crítica podem ser reinstalados posteriormente ou, em algumas circunstâncias, não ser recuperados. A Melhoria trata da conveniência de que lições aprendidas de incidentes de variadas intensidades sejam documentadas, analisadas e analisadas criticamente. O entendimento dessas lições irá permitir que a organização esteja mais bem preparada, estabeleça um controle adequado e evite a ocorrência de incidentes ou interrupções.

De acordo com os riscos identificados, é recomendado que a organização elabore estratégias que reduzam o impacto da indisponibilidade das instalações-padrão de TIC. O que pode incluir um ou mais dos seguintes aspectos: localidades alternativas dentro da organização, incluindo o posicionamento de outras atividades; localidades alternativas providenciadas por outras organizações; localidades alternativas providenciadas por empresas terceiras especializadas; trabalho remoto a partir da residência ou outras localidades remotas; outras instalações predefinidas e adequadas aos trabalhos; uso de força de trabalho alternativa em outra localidade; e localidades alternativas que possam ser transportadas do local afetado pela ruptura e utilizado para prover a substituição direta dos ativos físicos afetados.

As estratégias para instalações de TIC podem variar significativamente, e uma faixa de opções pode estar disponível. Diferentes tipos de incidentes ou ameaças podem requerer da organização a implementação de estratégias múltiplas (uma abordagem específica e variada) que será direcionada de acordo com o tamanho da organização, tipo de atividades desempenhadas, localidades, tecnologias empregadas, orçamento disponível, etc. Ao considerar o uso de premissas alternativas, convém que os seguintes pontos sejam levados em consideração: segurança da localidade; acesso da equipe; proximidade e disponibilidade de instalações; e d) disponibilidade.

Quanto às tecnologias, convém que os serviços de TIC que geram dependência para as atividades críticas de negócio estejam disponíveis antes do processo de restauração destes, estabelecendo a necessidade de usar soluções que garantam a disponibilidade das aplicações e sistemas dentro de um período de tempo predeterminado, como, por exemplo, os RTO determinados como parte da BIA. É recomendado que as plataformas de tecnologia e aplicações de sistemas estejam disponíveis dentro das escalas de tempo estabelecidas para a organização como um todo.

 

https://revistaadnormas.com.br/2019/07/23/sua-empresa-sobreviveria-sem-instalacoes-pessoas-e-sistemas/

 

Artigos Relacionados

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Close