Categoria: Segurança da Informação

Categorias
Auditoria Segurança da Informação Tecnologia da Informação

Plano de Continuidade de Negócios: PCN na Pandemia COVID-19

Plano de Continuidade de Negócios: PCN no COVID-19
Plano de Continuidade de Negócios: PCN no COVID-19

Plano de Continuidade de Negócios (PCN ou BCP em inglês) nunca foi tão necessário como na época em que vivemos. O alastramento do COVID-19 pegou todos desprevenidos, principalmente os mais céticos, e se tornou uma pandemia.

O PCN é uma recomendação antiga das linhas de defesa. Seja a Auditoria, Gerenciamento de Riscos ou Controles Internos, algum destes departamentos já deve ter abordado a sua empresa sugerindo a criação de um PCN. Mas o que é um PCN?

Plano de Continuidade de Negócios

O PCN é um conjunto de ações formais que visam impedir a interrupção dos negócios em situações extremas, imprevistas e repentinas.

Algumas situações que podem interromper um negócio:

  • Pandemias: coronavírus, SARS, MERS, Influenza, Febre Amarela, Zica vírus, Chikungunya;
  • Desastres naturais: enchentes, desmoronamentos, estouro de barragens, incêndios, inundações;
  • Desastres químicos: acidentes, vazamentos;
  • Interrupção de serviços essenciais: transporte, energia, combustível;
  • Greves e Manifestações;
  • Crises Econômicas;
  • Crises Políticas;
  • Conflitos armados: Guerras, terrorismo;
  • Hackers: Cyber ataques, vírus, phishing, sequestro de dados;

Vimos que, onde é possível, o homeoffice é umas das primeiras ações em uma situação de grandes magnitudes. Existem muitas questões para garantir que todos tenham condições de trabalhar no regime de teletrabalho: fornecimento de equipamentos, BYOD, estabelecer conexões seguras via VPN, reajustar a largura de banda de telecomunicações, ferramentas de video conferências.

É claro que apenas uma pequena parcela da população tem condições de trabalhar à distância. Não basta estabelecer o home-office para conter uma crise.

A Importância da Comunicação

A internet e os aplicativos de mensagem divulgam informações em um ritmo frenético. As fake news misturam-se à dados reais e importantes. Comunicar de modo organizado e frequente é um excelente modo de evitar o pânico entre os colaboradores.

Crie um boletim de notícias e garanta o cascateamento das informações desde a alta administração até a base da pirâmide. Utilize linguagem simples e concisa. Imagens e infográficos podem ajudar a explicar assuntos complexos de forma mais leve e didática.

Como Fazer um Plano de Continuidade de Negócios?

O PCN exige a identificação dos principais riscos, cenários de desastres e impactos para estes cenários. Deve detalhar as ações, papéis e responsáveis e tempo que cada um tem para responder aos eventos.

POdemos dividir o planejamento em 5 topicos:

  • Pessoas: identificar o headcount mínimo para cada atividade, líderes, substitutos, papéis e responsabilidades;
  • Instalações e equipamentos: local alternativo para trabalho e equipamentos necessários;
  • Infraestrutura: estrutura de rede, servidores, cabeamento, internet, energia, comunicação;
  • Comunicação: ferramentas de comunicação por voz ou dados;
  • Dados e Sistemas: backup e espelhamento de servidores, concessão e controle de acesso aos dados e sistemas.

Veja alguns dos documentos essenciais para um PCN nos tópicos abaixo.

BIA – Business Impact Analysis

A Análise de Impacto de Negócios (BIA em inglês) é um documento essencial onde são definidos os principais impactos de um cenário de crise.

DRP – Disaster Recovery Plan

O Plano de Recuperação de Desastres ou (PRD ou DRP em inglês) é outro documento que estabelece um conjunto de ações que visam a retomada dos negócios frente à um desastre.

Plano de Continuidade de Negócios Segurança da Informação

Situações de contingência exigem abrir mão de controles e assumir alguns riscos. Nestes momentos, a organização fica exposta à novos riscos de segurança.

O elemento surpresa mostrou à todos que não estávamos preparados para eventos como o covid-19. Durante crises como a pandemia do coronavírus, os gestores tiveram que tomar medidas rápidas e não planejadas para garantir equipamentos e acessos para os colaboradores em quarentena.

Será que havia notebooks disponíveis para todos? Havia normas que definissem critérios para utilização de computadores pessoais do colaborador (BYOD)?Aparelhos celulares ou telefonia VOIP? A VPN estava configurada para suportar tantas conexões simultâneas? Provavelmente não!

Em situações de isolamento social, o teletrabalho e a automatização de atividades tornam-se ferramentas viáveis para minimizar os impactos deste tipo de evento. Mas há muito mais o que planejar antes de uma situação como essa.

Referências

E-book: Gestão de Continuidade de Negócios, IIA Brasil, 2008

Categorias
Auditoria Compliance LGPD Segurança da Informação

Ferramentas LGPD: Microsoft lança portal 7 meses antes da nova lei entrar em vigor

Ferramentas LGPD da Microsoft ganham um portal na internet. Já começou a implementar os procedimentos necessários para a conformidade com a LGPD?
Ferramentas LGPD da Microsoft ganham um portal na internet. Já começou a implementar os procedimentos necessários para a conformidade com a LGPD?

Ferramentas LGPD da Microsoft ganham um portal na internet. O objetivo é explicar a nova lei e as ferramentas disponibilizadas pela companhia. Você já começou a implementar os procedimentos necessários para a sua empresa ficar em conformidade com a LGPD?

A Lei Geral de Proteção de Dados entrará em vigor daqui há sete meses!

Há muito material sendo criado na internet como e-books, vídeos, webinars sobre o tema. A Microsoft acaba de lançar um site dedicado à nova lei. Lá há o detalhamento das soluções de conformidade da Microsoft, ofertas de proteção e respostas que vão ajudar e orientar na efetivação do processo.

Dados, Informação e Conhecimento

Os dados têm um ciclo de vida bastante complexo nas organizações. Dados podem ser criados, importados, modificados, detectados, classificados, rotulados, protegidos, enviados, compartilhados, movidos, monitorados, retidos, expirados e por fim deletados. Esse rico conjunto de dados, quando  relacionados, pode ser chamado de informação.

No passado os cursos de tecnologia eram chamados de Processamento de Dados. Hoje com o Big Data, o simples processamento é obsoleto. Os cursos passaram a se chamar Tecnologia da Informação. O volume, variedade, e velocidade de processamento dos dados (e das informações) foi evoluindo com o passar do tempo.

Hoje, as informações são correlacionadas e com técnicas de business intelligence, matemática, estatística e análise de dados, transformam-se em conhecimento. A inteligência artificial permite ainda associações improváveis e análises preditivas com grande margem de assertividade.

As ferramentas microsoft para LGPD abrangem 4 pilares: conformidade, gestão de identidade, proteção de identidade e segurança da informação.

O Security & Compliance Center ajuda na conformidade, por exemplo na apuração de denúncias do Canal de Conduta. A ferramenta eDiscovery permite gerenciar investigações legais com pesquisas indexadas, hold (congelamento) de dados para pesquisas futuras, atribuição de papéis e responsabilidades durante a avaliação do caso.

Saiba mais sobre estes tópicos comuns no ITGC e Auditoria de TI:

Segurança da Informação

De acordo com a ABNT NBR ISO/IEC 17799, a segurança da informação consiste em formas de proteger dados através de regras firmes, ou controles, bem definidos, implementados e em constante monitoramento, que garantem a Continuidade  de Negócios.

A segurança pode ser controlada com as seguintes propriedades básicas:

  • Confidencialidade: garantir que apenas indivíduos autorizados tem acesso às informações;
  • Integridade: garantia de que os dados não foram alterados e estão armazenados sem falhas;
  • Disponibilidade: a informação deve estar acessível ao usuário à qualquer tempo necessário;
  • Não-repúdio: deve servir como prova legal sem margem para dúvidas da autoridade legal;
  • Autenticidade: originalidade, veracidade, identificação da real origem da informação.

você está offline!