BANCO CENTRAL DO BRASIL
2009/2010
CONTINUIDADE DE NEGÓCIOS
E
PLANOS DE CONTINGÊNCIA
Professor: Hêlbert
A Continuidade de Negócios tem como base
a Segurança Organizacional e tem por objeto
promover a proteção pessoal, de bens e
instalações, com atuação proativa e reativa,
garantindo por meio de suas técnicas,
conhecimentos e sistemas os meios protetivos a
continuidade dos negócios.
A Segurança Organizacional é composta
pela segurança eletrônica, segurança física,
segurança de instalações, vigilância, proteção
contra
incêndios,
segurança
patrimonial,
segurança lógica, que se complementam
formando assim a política de segurança
organizacional.
Objetivos
O objetivo da Segurança Organizacional é a
total proteção de pessoas, bens e instalações,
assegurando através de técnicas, conhecimentos,
sistemas, processos, produtos ou meios, a
integridade e a continuidade dos negócios, das
pessoas e dos bens existentes.
A Gestão de Continuidade de Negócios tem
por objetivo definir planos e procedimentos
alternativos a serem acionados em caso de
ataques ou desastres sobre os ativos de
informação da empresa ou instituição.
O resultado do plano de continuidade é a
não paralisação, ou a rápida retomada das
atividades da empresa ou instituição em caso de
ataque ou desastre.
Descrição
No plano de continuidade são definidos
procedimentos para a proteção dos principais
ativos da instituição.
O plano apresenta procedimentos diários
que devem ser seguidos para que, em caso de um
ataque ou desastre, as informações não sejam
perdidas e os serviços a serem fornecidos sejam
retomados no menor tempo possível.
Além de procedimentos diários, o plano de
continuidade também fornece a definição de uma
infra-estrutura e procedimentos previamente
analisados, a serem aplicados em caso de
desastre.
Benefícios
- Prevenção contra perda de ativos de informação;
- Prevenção contra interrupção de
prestados pela empresa ou instituição;
serviços
- Redução do risco de multas por interrupção ou
perda de dados;
- Redução de risco sobre a imagem da empresa ou
instituição, por interrupção ou perda de dados;
- Em caso de interrupção, redução no tempo de
retomada dos serviços.
Produtos
- Reunião de
Continuidade;
conclusão
do
Plano
de
- Relatório
Desastres;
do
Plano
de
Recuperação
de
- Relatório
Negócios;
do
Plano
de
Continuidade
de
- Resumo Estratégico do Plano de Continuidade
de Negócios; e
- Plano de Ação para curto, médio e longo prazo.
Definição de Cenários
Não é possível prever todos os tipos de
cenários.
Uma das principais características de um
plano eficaz é a implementação de um ciclo
PDCA (Plan, Do, Check, Act), que irá realizar
análises de riscos continuas que poderão
identificar e prospectar novos cenários.
Apesar disso, não é possível identificar
todas as possibilidades.
Baseado na Análise de Riscos que tem
como principal objetivo identificar quais as
principais ameaças e sua probabilidade de
ocorrência e com base nestas informações e nos
impactos que serão identificados é preciso adotar
as seguintes medidas:
1 - Quais riscos podem ser tratados? Se for
identificado que os custos e possibilidades para
tratamento são viáveis o risco deve ser tratado;
2 - No caso dos riscos que não se consegue tratar,
é necessário desenvolver um plano de respostas.
Planos de respostas devem auxiliar a
organização a responder a todas as ameaças que
não foram tratadas ou identificadas.
Como é possível responder a qualquer
incidente?
- Tenha uma matriz de níveis de crise bem
elaborada e alinhada com as necessidades da
organização;
- Tenha um plano de gerenciamento de crises e
comunicação claro e de entendimento de toda
organização;
- Conheça e mantenha uma documentação clara
de toda sua arquitetura e principais características
do ambiente;
- Planeje, teste, ajuste com frequência seus planos
de respostas a incidentes; e
- Faça um trabalho de lições aprendidas após cada
incidente.
- Outro aspecto importante é ter certeza que
existam apenas as cópias atuais dos planos
disponíveis.
O sucesso de um Plano de Continuidade de
Negócios está nas pessoas que o matem em
constante funcionamento.
Para que as empresas e instituições
disponham de condições para enfrentar eventuais
imprevistos é necessário que elas desenvolvam
ações preventivas específicas:
• plano de continuidade de negócio;
• plano de contingência;
• plano de recuperação de desastre;
• plano de resposta a incidentes;
• análise de impacto nos negócios;
• análises críticas.
Ações preventivas sempre geram resultados
muito positivos. Toda empresa ou instituição, não
importa sua área de atuação, está sujeita à ação de
eventos externos.
Muitos deles são de natureza incerta e,
portanto, não controláveis.
A robustez das informações é sempre um bom
negócio.
Quanto mais a tecnologia avança, mais os
parceiros comerciais, clientes e fornecedores,
exigem que as empresas e instituições tenham um
ambiente confiável e robusto.
Em um contexto de competição crescente, os
resultados obtidos pela organização dependem
diretamente de sua capacidade de dar continuidade
ao dia-a-dia de suas operações, mesmo face aos
imprevistos.
Assim, para garantir a continuidade dos
negócios de uma empresa ou instituição, é
necessário se criar soluções adequadas a esse fim.
Essas soluções precisam ser compostas por
um processo de gerenciamento holístico
(amplo/completo).
Como alguns incidentes são inevitáveis, essa
solução permite avaliar potenciais impactos que
ameaçam a empresa, protegendo sua reputação, sua
marca e suas atividades de valor com a garantia da
continuidade do negócio e de suas operações,
mesmo em situações imprevistas.
Estabilidade para a organização significa
confiança para os clientes e usuários.
Por esse motivo, tais soluções devem
envolver análises de processos de negócios e de
riscos, além do desenvolvimento de planos e
recomendações, com base em normas e padrões
como ISO 27001, ISO 17799, Cobit, ITIL,
PAS56/BS25999 e TR19.
Os benefícios são:
• Estabilidade na condução dos negócios;
• Aumento de disponibilidade;
• Contingênciamento;
• Eficiência na recuperação;
• Agilidade nas ações;
• Respeito aos clientes, aumentando a
confiança na organização;
• Melhoria da reputação;
• Melhor relação com investidores;
• Redução do espaço para ações diretas dos
concorrentes.
É preciso uma estrutura abrangente, completa
e integrada.
Para garantir este conjunto de resultados e
benefícios às instituições e empresas, as soluções
devem abranger atividades de consultoria,
prestação de serviços, sistema de gestão,
indicadores e transferência de conhecimento, todas
apoiadas por ferramentas específicas.
Além disso, sua implementação deve
funcionar de forma integrada com as atividades,
processos, com a segurança da informação e a
gestão de riscos.
Além disso, sua implementação deve
funcionar de forma integrada com as atividades,
processos, com a segurança da informação e a
gestão de riscos.
Componentes
do
contingências ("4R“):
planejamento
de
I. Resposta: é a reação imediata, sendo o
componente mais importante, pois engloba todos os
demais.
II. Reassunção: consiste em manter ou fazer
operar as funções mais críticas, para evitar maiores
danos.
III. Recuperação: trata-se de fazer operar as
funções menos críticas, buscando a normalidade de
operação para desativar as alternativas.
IV. Restauração: é o retorno ao processo
normal por meio da desativação das equipes
emergenciais e volta à produção plena e ou
restabelecimento total dos serviços.