Upload
trinhhanh
View
215
Download
0
Embed Size (px)
Citation preview
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
Roadmap to Business Continuity Management
:: an end-to-end strategy ::
www.mainroad.pt
Ma
inro
ad
© 2
00
8 -
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
Uma empresa Sonaecom, �um player líder em Tecnologias
de Informação, especialista em Consultoria ITIL e MOF,
IT Management, Segurança e Business Continuity.
:: an end-to-end strategy ::
, 14 de Maio de 2008
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d. GCN
prevenção
Não apenas “se?”…mas “quando?”
recuperação melhoria
Ma
inro
ad
© 2
00
8 -
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
fora de desastreem desastre
2
fora de desastre
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
Gestão da continuidade de negócio (GCN)
Processo de gestão holístico que identifica potenciais impactos
que ameaçam uma organização e providencia um framework
para criar resiliência e capacidade de resposta eficaz que
salvaguarda os interesses das partes interessadas, reputação,
Ma
inro
ad
© 2
00
8 -
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
marca e actividades de valor acrescentado.
3
Parte do sistema global de gestão, baseado numa abordagem de
risco, que permite definir, implementar, operacionalizar,
monitorizar, manter e melhorar a continuidade de negócio
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
Abrangência e relações da GCN
Business
Site RecoveryPlanning
Crisis MngPlanning
CorporateGovernance
Ma
inro
ad
© 2
00
8 -
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
4
Business Continuity
Management
Business ContinuityPlanning
Work AreaRecoveryPlanning
HR Planning
TechnologyRecoveryPlanning
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
Normativos de referência
� BS 25999-1:2006 Business continuity management, Part 1: Code of practice • Developed by: The British Standards Institution
• Country: United Kingdom
� PAS 77:2006 IT Service continuity management• Developed by: The British Standards Institution
• Country: United Kingdom
� BS ISO/IEC 27002:2007 Code of practice for information security management • Developed by: The British Standards Institution
• Country: United Kingdom
� NIST SP 800-34 Contingency Planning Guide for Information Technology Systems• Developed by: National Institute of Standards and Technology
Ma
inro
ad
© 2
00
8 -
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
5
• Developed by: National Institute of Standards and Technology
• Country: United States
� NFPA 1600 Standard on Disaster/Emergency Management and Business Continuity Programs
• Developed by: The National Fire Protection Association
• Country: United States
� HB 221:2004 Business Continuity Management • Developed by: Standards Australia
• Country: Australia
� HB 292-2006 A practitioners guide to business continuity management • Developed by: Standards Australia
• Country: Australia
� ISO/IEC 27031 Information technology -- Security techniques -- Specification for ICT Readiness for Business Continuity (draft)
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
Abordagem de implementação da GCN
• Plano de CN
• Plano de DR
• Plano de Crise
• …
• Metodologia BIA & RA
• Matriz de BIA & RA
• Plano de Acção
Definir a GCN
Implementar e Oper. a
GCN
Pa
rte
s in
tere
ssa
da
s Pa
rtes in
tere
ssad
as
Ma
inro
ad
© 2
00
8 -
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
6
• Relatório de Simulacro
• Relatório de Auditoria
• …
• Plano de AC/AP
• …
Rever e Monitorizar
a GCN
Manter e Melhorar a
GCN
Pa
rte
s in
tere
ssa
da
s Pa
rtes in
tere
ssad
as
Abordagem integrada de todas as componentes de continuidade de negócio
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
Cenário sugestivo de implementação 1
1.
BIA & RA
Metodologia de BIA & RA [definida]
Matriz de BIA & RA [realizada]
Plano de acção [definido]
2.
GCN
2.
Definir & documentar
GCN
Processos de GCN [descritos]
BCP & DRP [descritos]
Ma
inro
ad
© 2
00
8 -
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
7
3. Implementar &
testar GCN
Processos e planos
[implementados & testados]
Relatório de Simulacro [definido]
4.
Avaliar & melhorar GCN
Plano de AC & AP [definido]
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
Cenário sugestivo de implementação 1
Abordagem holística de GCN baseada no ciclo da melhoria contínua!
Pontos FortesPontos Fortes�Conhecimento do
negócio e do risco
Implementação
Pontos FracosPontos Fracos� Muitas actividades
para gerir com interdependências.
FCSFCS�Forte compromisso da
gestão de topo (i.e. exemplo, recursos…)
Ma
inro
ad
© 2
00
8 -
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
8
�Implementação baseada nos resultados do BIA & RA
�Implementação big-bang - efeito choque com impacto positivo na mudança de cultura.
�Concorrência de várias actividades no consumo de recursos
�Eventuais erros de concepção são multiplicados.
�Maior tempo de implementação de GCN
�Integração com sistema de gestão global da organização
�Forte cultura de continuidade de negócio ou forte programa de gestão da mudança
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
Cenário sugestivo de implementação 2
1.
BIA & RA
Metodologia de BIA & RA [definida]
Matriz de BIA & RA [realizada]
Plano de acção [definido]
2. Implementar &
testar DRP
DRP [descrito, implementado e
testado]
Relatório de Simulacro [definido]
Ma
inro
ad
© 2
00
8 -
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
9
3. Implementar &
testar BCP
BCP [descrito, implementado e
testado]
Relatório de Simulacro [definido]
4. Implementar,
avaliar & melhorar GCN
Processos de GCN [descritos,
implementados, avaliados e melhorados]
Plano de AC & AP [definido]
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
Cenário sugestivo de implementação 2
Abordagem faseada de GCN baseada no ciclo da melhoria contínua!
Pontos FortesPontos Fortes�Conhecimento do
negócio e do risco –envolvimento de todas as partes interessadas
Pontos FracosPontos Fracos�Implementação da
GCN não imediata
Implementação
FCSFCS�Compromisso da
gestão de topo (i.e. exemplo, recursos…)
Ma
inro
ad
© 2
00
8 -
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
10
as partes interessadas
�Obtenção de resultados rápida
�Possibilidade de aprender com erros
�Mudança de cultura gradual
�Implementação prioritiza disponibilidade de processos de suporte (i.e. SI/TI) ao invés dos processos de negócio
�Risco de desmotivação das restantes áreas
�Foco no negócio e não apenas nos SI/TI
�Manter negócio envolvido durante definição de estratégia de DR.
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
ConsultoriaSuporte
Mainroad…business continuity enablers:: produtos & serviços ::
A Mainroad adopta e
adapta as melhores
práticas na gestão de
serviços IT ao
disponibilizar uma ampla
Ma
inro
ad
© 2
00
8 -
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
ImplementaçãoGestão
11
gama de soluções que a
sua organização pode
contratar por forma a
reduzir investimentos e
dispor de um serviço
Time-to-Market.
BC BC
EnablersEnablers
BC BC
EnablersEnablers
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
Conclusões
• Gestão, e não SI/TI, é a chave para controlar as vulnerabilidades da continuidade de negócio face ao risco.
• Adaptar a estratégia de implementação à maturidade e capacidade da organização.
Ma
inro
ad
© 2
00
8 -
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
• Sustentar a implementação nos resultados BIA & RA.
A gestão da continuidade de negócio é um factor crítico para a sobrevivência de qualquer organização no mundo de hoje!!
12
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
Escritórios no PortoEdif. Norteshopping, Rua Henrique Pousão, nº 432 2º
4461-901 Senhora da Hora PORTUGAL
Escritórios em LisboaEdif Imopolis – Estrada da Outurela, nº118 Bloco A – 2º
2790-114 Carnaxide PORTUGAL
www.mainroad.pt
Ma
inro
ad
© 2
00
8 -
Stri
ctly
co
nfid
en
tial i
nfo
rma
tion
. A
ll ri
gh
ts r
ese
rve
d.
Carla ZibreiraProfessional Services – Security & Business Continuity