30 de janeiro de 2008

links for 2008-01-30

26 de janeiro de 2008

links for 2008-01-26

Cenários em elaboração de Planos de Continuidade de Negócios (BCP)

Uma coisa que eu tenho me questionado há algum tempo é a definição de cenários para elaboração de projetos de implementação de BCP. Após a leitura deste artigo (Verdades sobre a Paranóia do Plano de Contingência), que me pareceu muito um BCP (Bullshit Compliance Plan), pois o autor focou na necessidade de conformidades legais de um "Plano de Contingência", resolvi escrever logo sobre isto.

Eu posso e qualquer um pode, afirmar que não é possível prever todos tipos de cenários. Por mais que uma das principais características de um plano eficaz seja a implementação de um ciclo PDCA (Plan, Do, Check, Act), que irá realizar análises de riscos continuas e que poderão identificar e prospectar novos cenários, não é possível identificar todas as possibilidades.

Análise de Riscos que, em BCP (Business Continuity Plan) tem como principal objetivo identificar quais as principais ameaças e sua probabalidade de ocorrência. Com base nestas informações e nos impactos que serão identificados na BIA (Business Impact Analysis) eu preciso tomar a seguinte decisão:

1 - Quais riscos podem ser tratados? Se for identificado que os custos e possibilidades para tratamento são viáveis eu trato o risco;
2 - Todos os riscos que eu não consigo tratar, desenvolvo plano de respostas.

Portanto, planos de respostas devem auxiliar a organização a responder a todas as ameaças que não foram tratadas ou identificadas.

Esta introdução é para questionar Uma técnica bastante utilizada, a definição de cenários para elaboração de planos de respostas. Técnica que geralmente começa com um cenário absurdo (geralmente chamado de pior cenário) que é muito pouco provável de acontecer. Mesmo sendo cauteloso, tentando prever um cenário que seja factível, ainda assim não conseguiremos mensurar todos os cenários que possam impactar os negócios. Os cenários podem ser usados para coletar informações e realizar testes para validação dos planos de respostas, mas nunca deve ser o principal balizador para um Plano de Continuidade de Negócios.

Como podemos tratar esta característica?
A solução é trabalhar para responder a qualquer incidente.

Como podemos responder a qualquer incidentes?



  • Tenha uma matriz de níveis de crise bem elaborada e alinhada com as necessidades da organização;

  • Tenha um plano de gerenciamento de crises e comunicação claro e de entendimento de toda organização;

  • Conheça e mantenha uma documentação clara de toda sua arquitetura e principais características do ambiente;

  • Planeje, teste, ajuste com frequências seus planos de respostas a incidentes;

  • Faça um trabalho de lições aprendidas após cada incidente.




Recomendo a leitura dos documentos do Governo Americano (National Response Framework)

23 de janeiro de 2008

links for 2008-01-23

21 de janeiro de 2008

19 de janeiro de 2008

14 de janeiro de 2008

13 de janeiro de 2008

links for 2008-01-13

4 de janeiro de 2008

links for 2008-01-04

3 de janeiro de 2008

Conteúdo recomendado

O Anderson Ramos começou a escrever em um blog pessoal e o Ronaldo Vasconcelos está escrevendo em inglês no blog do Secure Team. Recomendo a leitura.

Após alguns blogs que andam parado, é interessante ver novidades

Vídeos sobre segurança

Resolvi criar uma página exclusiva para compartilhar vídeos relacionados a segurança que encontra na internet.
A lista ainda é pequena, quem quiser compartilhar com alguns links é só usar os comentários.