Gestão de continuidade de negócio e segurança da informação: aliados para segurança e resiliência coorporativa

Abstract

Este trabalho tem o objetivo de orientar profissionais de Tecnologia em Segurança da Informação e Gestão de Riscos de Segurança da Informação em ambientes coorporativos. Nesse sentido, conceitua a importância de um Plano de Continuidade de Negócio, importante para resiliência e segurança coorporativa. Também orienta a utilização de frameworks para gestão de tecnologia da informação, como Cobit, ITIL e das normas ABNT NBR ISO para orientação na criação de processos estruturados de Gestão de Continuidade de Negócio. São demostrados todos os processos de Gestão de Continuidade de Negócio, como: análise de impacto nos negócios; gestão de políticas e estratégias; metodologia para avaliação de risco; gestão de riscos; processos de validação e teste; identificação de incidente; recuperação de desastres; papel da comunicação e gerenciamento de continuidade de negócio e o gerenciamento de resiliência e reputação. O trabalho demostra como funciona cada processo e como executar, consoante às normas técnicas, bem como o plano de validação check-list de verificação para melhoria contínua do processo. Neste estudo são abordadas técnicas extraídas nas normas técnicas ABNT NBR ISO 22301, 22316, 22317, 22320, NBRISO31000 e NBRISO/IEC27005 de segurança de informação. Essas normas especificam os requisitos para planejar, criar, implementar, operar, monitorar, analisar criticamente, manter e melhorar continuamente um sistema de gestão documentado para se preparar, responder e recuperar de eventos destrutivos, bem como mapear e analisar mitigar e documentar riscos inerentes a segurança da informação. Os requisitos especificados são genéricos e que deverão ser aplicáveis a todas as organizações (ou suas partes), independentemente do seu tipo, tamanho e natureza. A extensão da aplicação destes requisitos depende do ambiente operacional e sua complexidade.

This work aims to guide Information Security Technology professionals and Information Security Risk Management in corporate environments. In this sense, it conceptualizes the importance of a Business Continuity Plan, which is important for corporate resilience and security. It also guides the use of information technology management frameworks, such as Cobit, ITIL and ABNT NBR ISO standards to guide the creation of structured Business Continuity Management processes. All Business Continuity Management processes are demonstrated, such as: business impact analysis; policy and strategy management; methodology for risk assessment; risk management; validation and testing processes; incident identification; disaster recovery; role of communication and business continuity management and the management of resilience and reputation. The work demonstrates how each process works and how to perform it, according to technical standards, as well as the check-list validation plan for continuous process improvement. In this study, techniques extracted from the technical standards ABNT NBR ISO 22301, 22316, 22317, 22320, NBRISO31000 and NBRISO/IEC27005 for information security are addressed. These standards specify the requirements for planning, creating, implementing, operating, monitoring, critically analyzing, maintaining and continuously improving a documented management system to prepare, respond to and recover from destructive events, as well as mapping and analyzing, mitigating and documenting inherent risks to information security. The specified requirements are generic and should apply to all organizations (or parts of them), regardless of their type, size and nature. The extent to which these requirements apply depends on the operating environment and its complexity.