Segue apresentação inicial dos principais conceitos utilizados na aula que ministro no curso de Pós Graduação da UFRJ na cadeira de Plano de Continuidade de Negócios
1. Apresentação do Plano de Continuidade de Negócios
Gestão de Riscos e Continuidade como Diferencial Competitivo
2. Agenda
• Quem somos ?
• Conceitos
• BIA – Business Impact Analysis: uma ferramenta de Gestão
• Como Funciona ?
• Como podemos ajudar ?
2
3. Quem Somos
FERNANDO MARINHO
• Economista
• Pós Graduado em Segurança de Dados e Sistemas.
• Especializado em Business Continuity pelo DRII e BCI.
• Professor do curso de Pós-Graduação da UFRJ em Continuidade de Negócios
• Vice-Presiente da AIGELAC – Associação Internacional de Gestores de Emergência
para América Latina e Caribe e Country Manager do IAEM (International
Association of Emergency Managers)
• Membro do GARP (Global Association of Risk Professionals)
• Autor dos únicos livros específicos sobre Continuidade e Contingência no Brasil
• Consultor responsável por centenas de Projetos de Contingência Operacional e
Continuidade de Negócios (mais detalhes em www.fernandomarinho.com.br)
3
4. Você Sabia ?
Nos EUA, para cada US$ 1.00 investido
em prevenção, é possível economizar
até US$ 7.00 ?
No Brasil, onde os impostos são
maiores, de quanta economia
estamos falando ?
Fonte: United Nations Development Program em
http://www.undp.org/content/undp/en/home/presscenter/article
s/2012/07/02/act-now-save-later-new-un-social-media-campaign-
launched-/
4
5. Conceitos Iniciais
• Contingência x Emergência
• Evento x Desastre
• Risco
• Impacto
• Severidade
• Business Impact Analysis
• Criticidade
5
6. Plano de Contingência Operacional (PCO):
É a definição de uma estratégia de negócio, processo ou infra alternativos
Análise de Impacto nos Negócios (BIA):
Permite avaliar a prioridade na recuperação de processos/ativos
Plano de Recuperação de Deastres (PRD):
É a definição de uma estratégia de negócio, processo ou infra alternativos
Plano de Comunicação (PCom):
Orienta o fluxo de informações, identificando responsáveis e suas funções
Conteúdo
7. Conteúdo do PCN
Plano de Continuidade de Negócios
Plano de Contingência Operacional
Plano de Recuperação de Desastres
Plano de Comunicação
Análise de Impacto nos
Negócios
8. Início das
Primeiras
Respostas
Ocorre uma
Emergência/
Evento
Enquanto a resposta à
emergência continua e as ações
diminuem;
As atividades de continuidade
aumentam
Pico das Ações de
Continuidade
As ações de BCP continuam com a tendência de
redução das atividades até o retorno à
normalidade de operações
Continuidade
de Negócios
Resposta à
Emergência
[Tempo]
Emergência e Continuidade
9. Riscos Corporativos
• São agentes externos
• Podem ser mitigados em função
do Planejamento Estratégico e
requisitos dos Planos de Ação
• Geralmente são estáticos
(tratados e esquecidos)
• Raramente são acompanhados
longo prazo
9
10. Pulo do Gato #1
Os maiores perigos residem nos riscos “invisíveis”:
• Erros humanos
• Eventos da natureza
• Concorrência
• “Inesperados” ou
“não mapeados” 10
11. Riscos Corporativos
• Podem existir sem acarretar perdas
• Podem se concretizar, sem acarretar impactos
• Podem existir, sem serem percebidos
• Um único risco pode acarretar diferentes impactos
11
12. Riscos Corporativos
• Um conjunto de riscos pode
acarretar perda muito maior do
que a soma de impactos de um
risco isolado (“Efeito Dominó”)
• Geralmente não são
acompanhados (“filho feio…”)
• Sua empresa possui hoje alguém
responsável pelo assunto ?
12
13. Evento
• Não confundir com “desastre”
(evento de impactos maiores
que a capacidade de resposta)
• Indica qualquer fato que
ameace a normalidade dos
processos
• Pode afetar diferentemente
processos, setores ou mesmo
organizações
• Nem sempre acarreta impactos
13
15. Impacto
• É acarretado por um Evento
• Geralmente acarreta perdas
• Afeta diferentemente processos,
setores ou mesmo organizações
• Apresenta indicadores qualitativos
e/ou quantitativos
• Trata-se do resultado indesejado
• Podem ser previstos e mitigados
16
16. Efeitos Colaterais da Crise
• Perda da confiança na habilidade de gerenciar crises
• Dano à “Marca”
• Depreciação de ações das companhias
• Mudanças na liderança executiva e gestão responsável
• Interrupção das operações das companhias desde gestão de crises
até a recuperação
• Bilhões/Milhões de R$ anualmente pagos em multas, taxas e
obrigações acessórias
• Redução da base de clientes e perda de participação no mercado
• O processo de recuperação leva anos para terminar
• Regulamentos adicionais
17
17. Severidade
• Indica a variação
das perdas
relacionadas aos
Impactos
• Ocorrem
diferentemente
sobre processos,
áreas ou mesmo
organizações
• São imprevísíveis
18
19. Business Impact Analysis
Estabelece um referencial para ser gerenciado ao longo do
tempo: Criticidade
• Baseado nas Impactos acarretados pela concretização de
riscos
• Considera custos quantitativos ou qualitativos
• Indica os limites de tempo para ocorrência dos impactos
• Permite a priorização dos riscos em relação aos custos e aos
prazos
20
20. Criticidade
• Diferente da
importância, que é
relativa (pessoal)
• Varia em função do
processo e do negócio
• Considera o momento
do evento
• Torna-se uma métrica
para Planejamento
21
22. Business Impact Analysis
Benefícios
• Identifica as possíveis consequências caso impacto se
concretize;
• Avalia o prazo necessário para que os prejuízos acarretados
pelos riscos se manifestem;
• Permite ordenar de acordo com o montante de perdas ou em
relação à tolerância de interrupção, cada um dos impactos;
• Oferece um patamar de perdas caso os riscos se concretizem,
permitindo a avaliação dos custos envolvidos.
23
23. O papel dos Riscos nos Custos
• Custo Total = Custo Fixos + Custos Variáveis
• Custos Fixos = Conhecidos
• Custos Variáveis = Previstos + Imprevistos
Como reduzir o percentual das despesas
acarretadas por variáveis imprevistas ?
Podemos nos preparar para o imprevisível ?
24
24. Janela de Recuperação (Operacional)
25
Custo
Tempo
Restauração
Parada
“n” Horas/Dias
“x” K Reais
25. Estratégias de Recuperação
(Técnicas)
26
TempodeInterrupção
Montante de Dados Perdidos
CLUSTER
MULTI-SITE
REPLICAÇÃO
SÍNCRONA
REPLICAÇÃO
ASÍNCRONA
SALA-COFRE
COM DR SITE
“COLD”
DR SITE
FITAS
BACK UP
OFF-SITE
Estratégias “on-line” ou baseadas
Em replicação
Estratégias “off-line” ou baseadas
em cópias de segurança
1 Segundo 1 Semana
30 minutos
1 Semana
26. Como Funciona ?
27
Um processo de negócio ou aplicativo
depende (é sustentado) por “n” tipos
de Componentes
Processo de Negócio
27. Como Funciona ?
28
Na caso de indisponibilidade de um ou
Mais destes componentes, um Plano de
Contingência ou Continuidade pode ser
acionado.
Processo de Negócio
28. Como Funciona ?
29
O Plano de Contingência (PCO)
permite a execução do PN, mesmo
que um Componente encontre-se
indisponível (p.e.: como trabalhar
sem telefonia ?).
29. Como Funciona ?
30
Um Plano de Recuperação de Desastres
(PRD) visa a reposição/restauração de um
dos Componentes que suportam os PNs
(p.e: a troca de um Servidor de Rede).
30. Como Funciona ?
31
Um PCN traça um plano aonde o PCO e
o PRD são executados simultaneamente,
garantindo a continuidade do PN e a
reposição/restauração do Componente
paralelamente
31. Como Funciona ?
32
Um PGC cuida dos aspectos de atualização,
acionamento e término de cada um dos outros
Planos, parametrizando-os.
32. Tendências Comuns
• O pior só acontece no vizinho
• Deixa que eu faço
• Planos não consideram respostas aos impactos
possíveis (“Isso nunca vai acontecer”)
• Planos inadequados à magnitude dos riscos
identificados (“Se isso acontecer, só vai pegar 01…”)
• Planos não escalonáveis
• Planos ignoram ações de gestão e recuperação
• Comunicações de estratégias e crise inadequadas
33
33. Tendências Comuns
• Desafios na Gestão de Informações
• Falta de treinamento/ teste ou exercicio mínimo dos
planos
• Ausência de sincronia entre o ambiente de TI e a
necessidade dos negócios
• Falha em definir as expectativas de sucesso
• Falta de uma estrutura de Comando de Incidentes
(ICS) e/ou Gestão de Crises
34
35. 36
“...se existirem duas ou mais formas de fazer uma tarefa, e uma
delas puder provocar um desastre, alguém irá adotá-la...”
Edward Murphy Jr. (1918-1990)
Lembrete
36. “É mais barato criar uma solução para Continuidade de Negócios do
que reduzir seus riscos a zero.”
Fernando Marinho (1964-)
Lembrete # 2Lembrete