Universidade do Vale do Rio dos Sinos GOOD PRACTICE GUIDELINES 2008 V1 SECTION 2 (UNDERSTANDING THE ORGANISATION) Maiquel F. Schroeder, Felipe Feltes, Rodolfo Silva [email protected], [email protected], [email protected] Sobre a Seção 2 Compreender a organização é um elemento chave de uma boa gestão de Continuidade de Negócios. A seção 2 procura identificar os principais produtos e serviços de uma organização, e conseqüentemente definir o tempo de criticidade das atividades que lhes darão suporte. Esta parte da BCM deve ser totalmente integrado aos objetivos da organização, obrigações e deveres. Toda esta compreesão do negócio é adquirida através da Análise de Impacto do Negócio (BIA) e a Avaliação de Riscos (AAR), aonde então destacam-se as ineficiências do negócio. BCM - "Gestão da Continuidade de Negócio" Princípos Gerais A organização deve ter claro se o BCM cobrirá toda a organização ou apenas determinados produtos ou serviços. Isso define o âmbito da Análise de Impacto do Negócio (BIA) e da Avaliação de Riscos (AR). As ferramentas utilizadas para a compreensão das necessidades de continuidade de negócios são: • Análise de Impacto no Negócio (BIA): É um processo obrigatório para avaliar o impacto ao longo do tempo no caso de uma interrupção, para assim então definir a capacidade de uma organização operar. • Análise de Requisitos para Recuperação da Continuidade: Estima os recursos, instalações e serviços externos que cada atividade vai exigir na sua retomada. • Análise de Riscos (AR): Estima a probabilidade e o impacto sobre funções específicas e suas ameaças conhecidas. Sumário 2 UNDERSTANDING THE ORGANISATION 2.1 Análise de Impacto no Negócio 2.2 Estimando os Requisitos de Continuidade 2.3 Avaliação de Ameaças (Análise de Risco) 2.1 Análise de Impacto no Negócio A Análise de Impacto nos Negócios (Business Impact Analysis – BIA) é a fundação sobre o qual a resposta do BCM (Business Continuity Management) é desenvolvida. Esta identifíca e classifica, quantitativa e qualitativamente o impacto aos negócios de uma perda, interrupção ou rompimento de processos no negócio. De forma que a gerência possa determinar a que ponto no tempo da insdisponibilidade estas se tornam intoleráveis. Isto é chamado de MTPD - (Maximum Tolerable Period of Disruption). É o tempo máximo tolerado antes que comecem a ocorrer perdas significativas na organização. Ele provê os dados para que as estratégias de continuidade sejam determinadas. Temos também o (RPO) - Recovery Point Objective, que é o ponto em que a informação deve ser restaurada para permitir que uma atividade entre em operação assim que for retomada. 2.1 Análise de Impacto no Negócio Fatores Críticos de Sucesso: • • • Ter total apoio da diretoria da empresa. Ter definifo o escopo na Política de Gestão da Continuidade de Negócios. Para cada atividade, processo ou serviço: o Documentar os impactos ao longo do tempo, dos quais resultariam em perda ou interrupção. o A gestão ja ter definifo o MTPD. o Identificar dependências internas e externas, que são necessárias para que atividades operem de forma eficaz. 2.1 Análise de Impacto no Negócio Como estabelecer um BIA: Identificar atividades empresariais em toda a organização qualquer que seja o setor e os gestores desses processos. o Identificar o pessoal adequado, para buscar informação sobre os processos de negócios. o Identificar os impactos que possam resultar em danos à reputação da organização, seus bens ou financeiramente. o Quantificar o tempo dentro do qual a interrupção de cada atividade de negócios torna-se inaceitável para a organização. o 2.1 Análise de Impacto no Negócio o Quando uma organização tem muitas filiais pode ser necessário decidir sobre a extensão máxima da geografia de uma interrupção e extensão da perda de recursos necessários para a organização. Isso poderia ser determinada por exemplo: O alcance geográfico (ou de mercado / área de cliente). Regulamentos ou requisitos legais. Produtos, setores de mercado ou requisitos específicos do cliente. 2.1 Análise de Impacto no Negócio Métodos, ferramentas e técnicas para realizar análise de impacto no negócio incluem: • Workshops o fornecem resultados rápidos e uma oportunidade para o envolvimento com o programa. • Questionarios o fornecem grandes quantidades de dados, mas a qualidade da informação pode ser muito questionável se não for completado com consistência. Entrevistas o podem fornecer informações muito boas, mas são demoradas e de saída podem variar no formato e detalhes. • 2.1 Análise de Impacto no Negócio As boas práticas indicam que um Business Impact Analysis deve ser revista no mínimo anualmente, mas com mais frequência no caso de: • Um ritmo particularmente agressivo na mudança dos negócios. • Alteração significativa nos processos de negócios internos, localização ou tecnologia. • Alteração significativa no ambiente de negócio externo - como mercado ou alterações da regulamentação. Isto não quer dizer que a BIA deve ser toda refeita. Um projeto cuidadoso do relatório do BIA pode facilitar este processo, fornecendo uma referência contra as mudanças acima, para então medir e avaliar se o seu impacto mudou. 2.2 Estimando os Requisitos de Continuidade Este processo coleta informações sobre o número de recursos necessários para que as atividades do negócio continuem no nível requerido para satisfazer as obrigações da organização. 2.2 Estimando os Requisitos de Continuidade 1. Propósito o Provê informações sobre os recursos necessários para que uma estratégia de recuperação possa ser recomendada ou determinada. o Identificar as informações sobre os recursos relacionados com as atividades internas e externas. 2.2 Estimando os Requisitos de Continuidade 2. Requisitos de Continuidade o Muitas vezes assumimos que os recursos necessários depois de um evento de falha serão apenas uma fração dos recursos disponíveis durante a operação normal - Pelo menos em um determinado período. o Entretanto, em alguns casos os recursos necessários após um evento de falha podem ser maiores dos que os necessários durante o operação normal. o Exemplo: Em um call center mais pessoas podem ser necessárias para lidar com ligações extras depois de uma interrupção. Os recursos de TI também terão que possuir uma maior capacidade para suporta o aumento do número de atendentes. 2.2 Estimando os Requisitos de Continuidade 3. Reporte o Obter assinatura do responsável pelo processo para assegurar a informação levantada. o Obter ajuda do BCM sobre as informações/conclusões levantadas. 2.2 Estimando os Requisitos de Continuidade 4. Coleta de dados o o o Workshops. Questionários - Papel ou software. Entrevistas - Ocorrem juntamente com o levantamento de informações para o BIA. 2.2 Estimando os Requisitos de Continuidade 5. Resultados o Obter os recursos necessários após um evento de desastre para prover os níves de contratos acordados. o Levantar as interdependencias entre as atividades internas e os fornecedores externos. o As informações obtidas coincidem diretamente com a estratégia de continuidade do negócio. Os requisitos de continuidade irão prover os dados necessários para avaliar as soluções de recuperação adequando performance e tamanho. 2.3 Análise de Risco (AR) • • Avaliação de Risco olha para a probabilidade e o impacto de uma variedade de ameaças ESPECÍFICAS que poderíam causar uma interrupção dos negócios. A atividade de análise de riscos deve ser focada nas funções de negócios mais urgentes identificadas durante o processo de BIA. 2.3 Análise de Risco (AR) • • O BIA é IMPRESINDÍVEL para Análise de Risco Foco nos recursos necessário para as atividades mais urgentes. 2.3 Análise de Risco (AR) - Propósito • • • Identificar as ameaças internas e externas que poderiam causar uma ruptura e avaliar a sua probabilidade e impacto Priorizar as ameaças de acordo com uma fórmula acordada Alimentar um sistema de gestão de controle de risco e plano de ação. 2.3 Análise de Risco (AR) -Sugestões • • Ameaças que são mais fáceis de controlar (pessoal, prédio próprio) devem ser priorizadas em relação as menos suscetíveis à influência (mau tempo) Uso de escalas numéricas 2.3 Análise de Risco (AR) - Fases • Pontuar os impactos e as probabilidades de acordo com os responsáveis pelo negócio. • Listar ameaças que afetam os processos de negócios mais urgentes (de acordo com o BIA). • Determinar a probabilidade (probabilidade ou freqüência) de cada ocorrência de ameaça e peso de acordo com um sistema de pontuação numérica. 2.3 Análise de Risco (AR) - Fases (cont.) • • • Calcular o risco relacionando o impacto e probabilidade de cada ameaça de acordo com uma fórmula acordada Priorizar os riscos de acordo com a medida da capacidade de controlar essa ameaça (opcional) Obter a aprovação dos diretores da organização 2.3 Análise de Risco (AR)- Medidas • • • • Transferir o risco. Exemplo: seguros Aceitar o risco. Exemplo: baixo impacto / probabilidade Reduzir o risco. Exemplo: implantar mais controles Evitar o risco. Exemplo: remover a causa ou fonte da ameaça OBS: Garantir que as medidas de risco planejadas não aumentem outros riscos. Ex: uma atividade de terceirização pode diminuir alguns tipos de risco, mas outros aumentam. 2.3 Análise de Risco (AR) - Entregas Os resultados de uma avaliação de risco incluem a identificação e documentação de: • • • • Pontos únicos de falha Lista de ameaças prioritárias para a organização ou processos de negócio específicos analisados Informação para uma estratégia de gestão de controle de riscos e plano de ação para os riscos de ser abordados Aceitação documentada dos riscos identificados que não serão tratados 2.3 Análise de Risco (AR) - Revisões Avaliação de Risco deve ser realizada conforme definido na organização da estratégia de gestão de risco. Isto pode ser anualmente para os processos mais sensíveis ao tempo, mas mais freqüentemente se: • O ritmo de mudança do negócio é particularmente agressiva. • Há uma mudança significativa nos processos de negócios internos, localização ou tecnologia • Há uma mudança significativa no ambiente de negócios externos - como mercado ou alterações da regulamentação. Referências o o http://www.thebci.org/gpg/GPG2008-2Section2FINAL.pdf http://professor.unisinos.br/fkarl/arquivos/bci%20gpg.zip