Home / Resources / ISACA Journal / Issues / 2021 / Volume 3 / Working Toward a Managed Mature Business Continuity Plan

Trabalhando em direção a um plano de continuidade de negócios maduro e gerenciado

continuity
Author: Sven De Preter, CDPSE, CISSP, CompTIA Cloud+, CompTIA Net+, CompTIA Sec+
Date Published: 30 April 2021
Related: Getting Started With Risk Management | Digital | English
English

A continuidade de negócios é definida como possuir as ferramentas certas para garantir que uma organização possa continuar a funcionar durante uma interrupção de uma ou mais de suas funções de missão crítica.

Considere o exemplo de um terremoto que causa danos gigantescos na maior parte da infraestrutura de uma organização. Como resultado, a organização não pode mais fazer negócios até que a infraestrutura seja restaurada e novos equipamentos comprados e instalados.

Neste exemplo, ter uma cópia/backup externo, preciso e em dia do inventário pode permitir que a organização entre com um sinistro na seguradora, encomende novo hardware/software e determine a quantidade de recursos necessários para recompor a infraestrutura na nuvem. No entanto, a infraestrutura não é a única coisa que precisa ser recuperada. A organização pode precisar refazer seu data center e, portanto, precisaria determinar os profissionais necessários, as habilidades exigidas, quais processos estão em vigor e como funcionam, quais dados são necessários, se os dados podem ser restaurados, quanto espaço em rack e energia são necessários e em qual ordem os sistemas devem ser restaurados.

A organização também precisa considerar quais fornecedores usar e se eles precisam de locais de trabalho alternativos. Ela deve determinar se as pessoas estavam nas instalações quando o terremoto aconteceu e se alguém está ferido e como isso afeta a organização.

É importante considerar esses detalhes ao tratar da continuidade dos negócios e da recuperação de desastres.

O padrão ISO/IEC 22301:2019 Segurança e resiliência - Sistemas de gestão de continuidade de negócios (BCMS) —Requisitos da Organização Internacional de Padrões (ISSO) / International Eletrotechnical Commission (IEC) especificam como elaborar e implementar um BCMS.1 É chave para o sucesso contar com os procedimentos e processos necessários, atividades, ativos e tomadores de decisão no local para retornar de forma proativa e reativa aos negócios habituais.

É essencial que as organizações trabalhem para um plano ou programa de continuidade de negócios maduro e gerenciado de maneira adequada para manter em operação as funções de negócios essenciais. Afinal, essas são funções críticas que estão gerando receita.

A crise do COVID-19 é um exemplo importante da necessidade de continuidade dos negócios. Muitas organizações tiveram dificuldade para se reinventar. Elas contavam com boa proteção contra uma variedade de ameaças, gerenciavam vulnerabilidades, consideravam questões geopolíticas e avaliavam reduções de receita e outras áreas de risco. Muitos pensaram que as chances de uma pandemia eram muito baixas, aceitaram o risco e, posteriormente, descobriram que não estavam preparados.

Com frequência, frameworks podem ser usados para ajudar a atingir as metas organizacionais. Um framework pode ser definido como uma caixa de ferramentas, acompanhada por um manual que descreve as ferramentas, casos de uso e orientação sobre como e quando empregar essas ferramentas.

Devido às limitações de custos, restrições de recursos e falta de conhecimento, nem tudo pode ser implementado ao mesmo tempo. Requisitos futuros ou alterações podem ocorrer.

No entanto, se uma organização empregar uma abordagem estruturada, planejada, gerenciada e bem documentada, as coisas se tornarão mais fáceis e eficientes. Diferentes visualizações do modelo podem ser criadas usando um framework.

Figure 1Um framework pode ajudar uma organização a desenvolver uma continuidade de negócios bem-sucedida e um plano de recuperação de desastres com base nos requisitos organizacionais, proporcionando uma metodologia, orientação e ferramentas.

Planejar-Fazer-Verificar-Agir (PDCA)

Um dos conceitos mais importantes em relação à continuidade dos negócios é o Ciclo Planejar-Fazer-Verificar-Agir (PDCA) (figura 1), também conhecido como Ciclo de Deming. Uma das principais razões pela qual este ciclo é tão importante é porque ele aborda todos os aspectos de um plano, programa, procedimento ou projeto, incluindo o planejamento e definição de um escopo, implementação de medidas, verificando se essas medidas atingem as metas definidas durante o planejamento fase e respondendo conforme adequado.

UM FRAMEWORK PODE AJUDAR UMA ORGANIZAÇÃO A CONSTRUIR UMA CONTINUIDADE DE NEGÓCIOS DE SUCESSO E UM PLANO DE RECUPERAÇÃO DE DESASTRES (...) FORNECENDO UMA METODOLOGIA, ORIENTAÇÃO E FERRAMENTAS.

Esta última fase levará a um novo ciclo de planejamento, resultando em uma abordagem gradual e constante que melhora ou amadurece continuamente o processo.

Este modelo básico pode ser ampliado para atender às necessidades específicas de uma organização no contexto do planejamento de continuidade de negócios.

Hierarquia corporativa

Antes de criar um plano de continuidade de negócios, é importante entender que há diferentes níveis hierárquicos dentro da estrutura de uma organização (figure 2). As pessoas em cada nível estão tentando alcançar os mesmos objetivos corporativos, mas cada nível tem sua especialidade diferente.

Figure 2

É provável que a camada estratégica não contenha as pessoas mais experientes em tecnologia. A camada técnica provavelmente incluirá pessoas sem conhecimento profundo e prático de todos os aspectos da administração e manutenção de uma empresa, mas possuem as habilidades técnicas para implementar as coisas. A camada operacional atua como uma ponte entre as camadas estratégica e técnica.

É importante entender o que fazem as pessoas de cada camada e suas responsabilidades.

Camada estratégica
No geral, o objetivo principal da camada estratégica, composta pelo conselho de administração (BoD) e pelo CEO, é fornecer a direção da organização. Eles imaginam e sonham com o futuro e como levar a organização ao próximo nível, mantendo o risco e os orçamentos dentro de níveis aceitáveis.

Eles têm uma visão clara do que mantém a organização viável e os possíveis eventos negativos que podem ocorrer. Eles estão à frente dos esforços de continuidade de negócios da organização, fornecem orientação e definem requisitos para as camadas operacionais e técnicas.

Por exemplo: o CEO de uma empresa de contabilidade pode ter feito algumas contas indicando que, se a organização não for capaz de atender seus clientes por mais de um mês, a organização precisará pedir falência, pois as reclamações dos clientes se tornarão caras demais.

À primeira vista, pode parecer um exagero, mas o ponto principal aqui é que pode, e provavelmente haverá, eventos e cenários de risco que forçarão o fechamento de uma organização. Portanto, é necessário avaliar as funções críticas de negócios de uma organização em termos de risco e decidir a melhor forma de evitar, prevenir e mitigar o risco. Como pode haver restrições de orçamento e conhecimento, nem tudo pode ser implementado imediatamente. Quando for o caso, as prioridades devem ser definidas ou recursos adicionais devem ser obtidos.

Figure 3

Isso também implica que, uma vez que a priorização ocorra, a organização deve aceitar que ainda estará vulnerável em termos de itens de risco com prioridades mais baixas.

Camada operacional
O CEO não pode fazer tudo sozinho: assim, os profissionais da camada operacional são frequentemente chamados para ajudar. Afinal, os executivos de nível C-lque fazem parte desta camada estão especialistas em seus campos e podem fornecer informações valiosas sobre como detectar, mitigar e prevenir riscos e como responder quando um risco realmente se materializar.

Outra coisa que os executivos de nível C fazem é transformar os objetivos definidos por aqueles na camada estratégica em algo mais prático. Se o CEO disser “Devido às implicações das leis de privacidade, devemos proteger os dados do cliente da melhor maneira possível para evitar multas que podem nos tirar do mercado”, os executivos de nível C pegam essa declaração e tentam traçar um plano. Neste exemplo, o diretor de marketing (CMO) provavelmente examinaria como as comunicações com o cliente são afetadas, enquanto o diretor de informações (CIO) provavelmente pensaria em como os dados são armazenados, onde são armazenados e quais são as opções considerando um nível técnico. O diretor jurídico provavelmente examinará os requisitos definidos pela lei ou legislação e avaliará o risco de não conformidade. O diretor de segurança da informação (CISO) ou diretor de proteção de dados (DPO) também pode usar termos e frases como:

  • Treinamento—“Devemos treinar nossos usuários sobre o uso aceitável dos dados.”
  • Conscientização—“Como vamos garantir que nossos usuários entendam por que eles não podem enviar esses dados?”
  • Monitoramento ——”Como podemos verificar se todos estão seguindo as regras?”

Camada técnica
Depois de traçado o plano, as atividades são realizadas pela equipe da camada técnica. Com base no hardware, software e aplicativos utilizados, os controles definidos no plano são implementados. Um plano de continuidade de negócios de sucesso não pode ser criado sem a compreensão da hierarquia organizacional e das funções e responsabilidades da equipe.

Da política à implementação

Uma vez que a hierarquia organizacional é estabelecida, objetivos e restrições devem ser analisados para criar uma política abrangente, seguida por um plano para implementar essa política.

É importante observar os diferentes componentes do plano na camada de gerenciamento/operacional. Se uma organização não identifica o que possui,ela não pode se proteger nem detectar mudanças, problemas, eventos e incidentes indesejados e responder da forma certa. Se o que você possui não é identificado e documentado, como será possível recuperar?

UM PLANO DE CONTINUIDADE DE NEGÓCIOS DE SUCESSO NÃO PODE SER CRIADO SEM A COMPREENSÃO DA HIERARQUIA ORGANIZACIONAL E DAS FUNÇÕES E RESPONSABILIDADES DA EQUIPE.

O framework de Segurança Cibernética (CSF) do National Institute of Standards and Technology (NIST) norteamericano2 usa diferentes funções e categorias de atividades que devem ocorrer durante a construção de um programa. As funções podem ser definidas como identificar, proteger, detectar, responder e recuperar. Ao analisar as funções, fica claro que a proteção/prevenção tenta evitar que o risco se manifeste. Detectar, responder e recuperar tratam de problemas que surgem quando o risco se materializa.

Para cada função, o NIST CSF contém documentação sobre como essas funções são mapeadas para outras publicações especiais do NIST. Por exemplo, a figura 4 ilustra a função de identificação.

Figure 4

O CSF também lista referências informativas, que são

seções específicas de padrões, diretrizes e práticas comuns entre os setores de infraestrutura crítica que ilustram um método para alcançar os resultados associados a cada subcategoria. As Referências Informativas apresentadas no Núcleo do framework são ilustrativas e não cobrem todas as referências possíveis. Elas são baseadas em orientações de diferentes setores mais frequentemente referenciadas durante o processo de desenvolvimento do framework.3

A revisão e a compreensão das referências informativas listadas podem fornecer uma visão mais profunda do que se espera e de como esses objetivos podem ser alcançados.

A Publicação Especial do NIST (SP) 800-53, Rev.5, cobre os controles de segurança e privacidade para sistemas de informação e organizações.4 Ela documenta todos os controles em termos de objetivos de controle, orientações suplementares e aprimoramentos de controle e pode ser usado em conjunto com qualquer framework. Os objetivos de controle são metas que precisam ser atingidas. A orientação suplementar contém informações adicionais sobre o controle e, às vezes, também se refere a outros controles. Os aprimoramentos de controle aumentam a força de um controle ou agregam mais valor.

Outra combinação normalmente usada é a ISO/IEC 27001:2013 Tecnologia da informação - Técnicas de segurança - Sistemas de gerenciamento de segurança da informação - Requisitos5 e ISO/IEC 27002:2013 Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação.6 A ISO 27001 define o framework e a ISO 27002 define os controles que podem ser empregados.

Há muitos recursos disponíveis para ajudar a mapear os controles de um framework para outro.7

Continuidade de negócios e recuperação de desastres

A continuidade dos negócios se concentra em resolver os problemas antes que se tornem problemas reais. Ela vai muito além da infraestrutura, pois também incorpora formas alternativas de trabalhar, administrar a sucessão e cuidar da proteção das pessoas. A recuperação de desastres é uma parte da continuidade dos negócios que se concentra principalmente em tecnologia e hardware. O principal objetivo da recuperação de desastres é reconstruir/recuperar o local, a infraestrutura e os dados de uma organização quando algo de ruim acontecer.

Quando ocorre um desastre que resulta na destruição de infraestrutura ou dados de missão crítica, há duas métricas importantes:

  1. O objetivo do ponto de retorno (RPO) define a quanta perda de dados uma organização pode sobreviver. O RPO é medido em função do tempo. Por exemplo, uma organização pode perder um dia de dados. No entanto, se a organização perder mais dados, pode correr o risco de ela não sobreviver.
  2. O objetivo de tempo de retorno (RTO) define a quantidade de tempo que a organização tem para executar a operação de restauração. Por exemplo, o serviço afetado deve ser restaurado em quatro horas ou toda a organização corre o risco de danos financeiros, reputação, reclamações de clientes e implicações legais.

O plano mais simples teria as etapas explicadas abaixo.

Âmbito e iniciação (preparar)
Durante esta fase, é necessário tomar decisões sobre o que será avaliado. No caso da continuidade dos negócios, as atividades que devem ser priorizadas são aquelas que mantêm a organização operando. Dependências de ativos também precisam ser mapeadas. Um ativo é definido como qualquer coisa que agregue valor à organização. A razão para mapear ativos para as atividades é que, quando algo acontece a um ativo, isso pode impactar toda a organização. Por exemplo, considere uma atividade de vendas genérica que gera 90% da receita de uma organização por meio de uma plataforma de vendas on-line. Se essa plataforma ficasse fora do ar, isso afetaria todo o processo de vendas.

Análise de impacto nos negócios (planejar)
Isso pode ser visto como um exercício de 3-4 etapas. A primeira etapa é a avaliação de riscos. Para a avaliação de riscos, a organização deve elaborar alguma forma de registro de riscos. O registro de riscos é usado para documentar ameaças e vulnerabilidades para todos os ativos envolvidos na atividade da organização, conforme definido durante o escopo e a fase de iniciação.

A próxima etapa é adicionar a probabilidade e impacto a cada risco. Isso pode ser feito usando abordagens quantitativa ou qualitativa. A versão qualitativa define o impacto e a probabilidade de risco em termos de alto, médio e baixo, tornando-se uma abordagem subjetiva.

A abordagem quantitativa usa porcentagens, moedas e resulta em uma projeção de perda potencial, tornando-se uma abordagem objetiva.

Isso permite que uma pontuação de risco seja adicionada à matriz de riscos que está sendo criada. A expectativa de perda anual (ALE) deve ser calculada ou estimada, caso possível. A ALE é um valor importante que define a quantidade de dinheiro que a organização pode gastar nos controles que gostaria de implementar. Não adianta gastar US$ 200 para proteger US$ 5.

O REGISTRO DE RISCOS É USADO PARA DOCUMENTAR AMEAÇAS E VULNERABILIDADES PARA TODOS OS ATIVOS ENVOLVIDOS NA ATIVIDADE DA ORGANIZAÇÃO, CONFORME DEFINIDO DURANTE O ESCOPO E A FASE DE INICIAÇÃO.

Quando uma avaliação qualitativa é usada, fica difícil estimar a ALE. A melhor opção é priorizar o risco em termos de pontuação final.

Conforme cada risco é pontuado, eles podem ser priorizados, classificando-os de acordo com a pontuação de risco. Depois disso, o tratamento/estratégia de risco pode ser definido. Alguns riscos são indesejados e devem ser sanados, enquanto outros podem ser aceitos. Essa é uma decisão estratégica.

Depois que as decisões são tomadas sobre quais riscos devem ser aceitos e quais riscos precisam ser tratados, os esforços do programa de continuidade de negócios e do programa de segurança podem começar.

Observe que este é um processo fundamental para a sobrevivência de uma organização. É imprescindível fazer as escolhas certas e tomar as medidas adequadas, garantindo a continuidade da organização como o termo “continuidade do negócio” implica. A política define os objetivos de alto nível e a direção definida pela camada estratégica de negócios.

Estratégias de recuperação e desenvolvimento de continuidade (Fazer)
Um plano deve ser construído com ações específicas a serem tomadas para cumprir a política. Em outras palavras: “O que precisamos para garantir a redução da probabilidade ou do impacto do resultado negativo?”

Os incidentes geralmente ocorrem de três maneiras, conforme ilustrado na figura 5:

  1. Alguma coisa para de funcionar, mas as funções de negócios não são afetadas.
  2. Alguma coisa para de funcionar e as funções de negócios são afetadas.
  3. Alguma coisa para de funcionar e as funções de negócios param.

Figure 5

Figure 6Ao discutir os ativos que podem ser danificados, os mais citados são o triângulo de pessoas, produtos e processos. No entanto, um ativo é qualquer coisa que agregue valor à organização, então por que os dados e as informações não estão incluídos?

Os dados estão provavelmente entre os ativos mais importantes que precisam ser protegidos. Duas direções diferentes para proteger os dados são ilustradas na pirâmide na figura 6.

A primeira direção a seguir é trabalhar para proteger processos, produtos e pessoas. Os dados são protegidos, assim como os ativos que funcionam com os dados.

A segunda direção é começar com um modelo focado em dados. Nesse modelo, as pessoas, processos e produtos devem ser projetados para fornecer um nível de proteção exigido pelos dados.

A lei da privacidade é um exemplo disso. Categorias específicas de informações de identificação pessoal (PII) exigem medidas de proteção especiais ou adicionais para proteger os dados.

Uma vez que as visualizações são estabelecidas, um plano/programa pode ser elaborado.

Ao combinar as categorias definidas na figura 3 e as pessoas/processo/produto/dados da figura 6, uma matriz pode ser desenhada como mostrado na figura 7.

Figure 7

A matriz usa as categorias definidas na figura 3 e ações que devem ser realizadas para as pessoas, processos, produtos e colunas de dados. No entanto, os dados também precisam ser considerados, conforme ilustrado na figura 6.

Os controles genéricos (figura 7) representam uma abordagem mais tradicional. Ao olhar para esses controles genéricos e compará-los com o NIST CSF, pode parecer que os controles genéricos permitem um controle mais granular. No entanto, o NIST CSF também inclui os controles genéricos.

Por exemplo, as seguintes ações podem ser priorizadas a fim de proteger os dados proprietários de serem exfiltrados e vendidos a um concorrente (o que poderia prejudicar a organização):

  • Identificar pessoas que trabalham com esses dados.
  • Proteger os dados usando criptografia.
  • Detectar alterações nos dados ou detecte acesso não autorizado.
  • Responder às violações de segurança.
  • Recuperar os dados de backups.
  • Treinar os usuários sobre como trabalhar com os dados e os produtos nos quais os dados são usados.

Nesse ponto, a camada operacional ainda não informa à camada técnica como executar essas ações; ela simplesmente declara o que precisa ser feito. Basicamente, está criando os conjuntos de controle. Esses conjuntos de controle serão revisados pela equipe técnica para determinar quais são as opções de implementação. Uma vez implementados, os controles podem ser auditados e monitorados para comprovar a conformidade. Orientação sobre as famílias de controle e controles que podem ser usados podem ser encontrados no NIST CSF ou NIST SP 800-53. A orientação também pode ser encontrada na ISO/IEC 27002:2013 Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação.8

Implementação e testes (fazer)
Conforme o plano é apresentado à camada técnica, as partes interessadas devem pensar sobre como irão implementar os requisitos de controle conforme definido pela camada operacional/de gerenciamento.O teste dos controles precisa ser feito. Afinal, se não forem testados, eles não existem.

Os testes permitem que uma organização verifique e valide os controles implementados, o que, por sua vez, garante que tudo funcione conforme planejado quando for mais necessário.

Monitoramento e manutenção (verificar)
O monitoramento e a manutenção de controles, além de todo o ambiente de risco, devem ser realizados, pois podem surgir novos cenários de risco. Além disso, o risco já detectado e sem importância pode ter se tornado mais crítico agora.

Conforme os controles são monitorados, os indicadores-chave de desempenho (KPIs) podem ser vinculados a eles. Os KPIs podem ser:

  • Qual porcentagem da equipe recebeu treinamento?
  • Quantos incidentes ocorrem por dia?
  • Quantos deles são resolvidos dentro de 24 horas?
  • Qual é a carga média de processamento (CPU)/disco/memória?
O DOMÍNIO DA CONTINUIDADE DE NEGÓCIOS VAI MUITO ALÉM DA PROTEÇÃO DA INFRAESTRUTURA.

Essas métricas podem ser indicadores de progresso e, às vezes, até precursoras de outros eventos, o que significa que podem ser usadas para muitos propósitos, até mesmo planejando upgrades de capacidade.

Feedback (agir)
O ciclo de feedback existe para consolidar todas as lições aprendidas e fornecê-las como informação durante o próximo ciclo de planejamento.

Expandindo o NIST SP 800-37

Os esforços de continuidade de negócios também podem ser demonstrados usando a NIST SP 800-37, Framework de gerenciamento de risco para sistemas da informação e organizações.9 A abordagem básica da NIST SP 800-37 pode ser ampliada, pois fornece uma imagem clara do que acontece nos bastidores neste modelo de ciclo de vida baseado em risco. Se todos os itens acima mencionados forem incorporados, o formulário inicial do framework de gerenciamento de risco pode ser remodelado conforme ilustrado na figura 8.

Figure 8
View Large Graphic

Conclusão

O domínio da continuidade dos negócios vai muito além da proteção da infraestrutura. É um esforço organizacional que deve ser iniciado e liderado pela alta gerência, pois ela é responsável pelo que acontece dentro da organização. Ela é responsável por alocar orçamentos e recursos e estão na melhor posição para fornecer orientação de alto nível sobre o que precisa ser feito. Cabe aos gerentes de segurança, gerentes de privacidade e profissionais de risco fornecer a melhor orientação possível para tomar decisões bem fundamentadas. Usar um framework pode ajudar, dando à organização as ferramentas para documentar seus processos e construir um bom plano da melhor maneira possível.

Um bom plano de continuidade de negócios pode ajudar uma organização a sobreviver em tempos difíceis. A falta de um provavelmente causará mais problemas, pois pode levar a uma abordagem descoordenada para consertar o problema, o que pode causar danos adicionais inadvertidamente. Um plano de continuidade de negócios deve ser revisado, monitorado, testado e atualizado para alcançar a melhor chance de ter sucesso. É como criar backups de dados. A única garantia de que um backup teve sucesso é quando o processo de restauração é usado para recuperar os dados.

É por isso que pode ser útil ampliar a abordagem baseada em riscos da NIST SP 800-37. É um framework abrangente que permite o monitoramento contínuo e o ajuste dos controles. É um processo interminável de definir o estado atual de uma organização e o estado desejado para detectar e preencher lacunas potenciais, já que nem tudo pode ser implementado de uma vez, resultando em múltiplos ciclos de planejamento e orçamento para preencher lacunas.

Notas de rodapé

1 International Organization for Standardization (ISO)/International Electrotechnical Commission (IEC), ISO/IEC 22301:2019 Security and resilience—Business continuity management systems—Requirements, Suíça, Switzerland, 2019, http://www.iso.org/standard/75106.html
2 National Institute of Standards and Technology (NIST), Cybersecurity Framework, EUA, http://www.nist.gov/cyberframework
3 National Institute of Standards and Technology, Cybersecurity Framework Version 1.1, EUA, abril de 2018, http://www.nist.gov/cyberframework/framework
4 National Institute of Standards and Technology, Special Publication (SP) 800-53 Security and Privacy Controls for Information Systems and Organizations, EUA, setembro de 2020, http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf
5 International Organization for Standardization/International Electrotechnical Commission, ISO/IEC 27001:2013 Information technology—Security technique—Information security management systems—Requirements, Suíça, Switzerland, 2013, http://www.iso.org/standard/54534.html
6 International Organization for Standardization/International Electrotechnical Commission, ISO/IEC 27002:2013 Information technology—Security techniques—Code of practice for information security controls—Requirements, Switzerland, 2013, http://www.iso.org/standard/54533.html
7 National Institute of Standards and Technology, NIST SP 800-53 Revision 5 Control Mappings to ISO/IEC 27001, EUA, http://csrc.nist.gov/CSRC/media/Publications/sp/800-53/rev-5/final/documents/sp800-53r5-to-iso-27001-mapping.docx
8 Op cit ISO/IEC 27002:2013
9 National Institute of Standards and Technology, SP 800-37 Revision 2 Risk Management Framework for Information Systems and Organizations, EUA, dezembro de 2018, http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-37r2.pdf

Sven De Preter, CDPSE, CISSP, CompTIA Cloud+, CompTIA Net+, CompTIA Sec+

É administrador de redes e sistemas sênior de uma organização que possui e administra salas de shows e teatros na Bélgica e uma organização de venda de ingressos com um centro de atendimento completo ao cliente. Durante seus mais de 20 anos na organização, ele acumulou experiência nas áreas de gestão de eventos e incidentes, gerenciamento de mudanças, líder de equipe operacional, virtualização de data center (usando VMware), conectividade e arquitetura. Ele também trabalhou em diferentes aspectos do programa de privacidade corporativa, prestando consultoria sobre diversas políticas, procedimentos e diretrizes. Ele também é um dos fundadores da CertificationStation.org, uma plataforma gratuita onde as pessoas que estudam para obter certificações de segurança podem discutir tópicos e materiais de treinamento.