O documento fornece um resumo sobre gestão de continuidade de negócios, abordando normas, planos de continuidade, ameaças, impactos, comunicação e treinamento. É apresentado o currículo do especialista Guilherme Lopes Matsushita e referências bibliográficas sobre o tema.
2. Guilherme Lopes Matsushita E-mail: glopesmat@hotmail.com
• Formado em Análise de Sistemas pela FACCAT;
• Pós-graduado em Governança de TI pelo MACKENZIE;
• Profissional em Gestão de Projetos de TI;
• Experiência há mais de 8 anos em TI, participando de grandes
projetos de implantação, hard refresh e service desk;
• Clientes de Projetos:
Porto Seguro
Grupo Medial Saúde
BRFoods
Prodesp
HSBC
Apresentação
3. Normas
• ISO/IEC 27002: Código de Prática para Gestão da Segurança da Informação.
• Cobit: Framework de Controles para avaliar o nível de maturidade dos
processos de TI em organizações de diferentes segmentos.
• ISO/IEC 27001: Sistema de Gestão de Segurança da Informação (SGSI).
• ISO/IEC 27005: Norma que integra a família ISO 27000 e que tem como foco
o processo de Gestão de Riscos em Segurança da Informação.
• BS 25999: Código de Prática para Gestão da Continuidade de Negócios.
• DSS-PCI: Padrão para segurança de dados em transações de pagamento
com cartão.
• ISO/IEC 15408: Norma voltada para avaliação do nível de segurança de
sistemas computacionais em geral.
• ISO/IEC 27004: Norma que integra a família ISO 27000 e que tem como foco
definir técnicas e procedimentos para avaliar a eficácia dos controles
implementados.
6. Plano de Continuidade de Negócio
• É um programa holístico, determinado pelas exigências
estratégicas da empresa;
• É conduzido pela alta administração para reagir à interrupções;
• Modifica as consequências de uma interrupção, a um nível
satisfatório para a direção;
• Fornece um meio testado para enfrentar as crises.
• É constituído pelos seguintes planos:
- Plano de Administração de Crises (PAC)
- Plano de Recuperação de Desastres (PRD)
- Plano de Continuidade Operacional (PCO)
8. Plano de Continuidade de Negócio
Razões para elaborar um PCN:
• Demonstra maturidade empresarial;
• Maturidade em Gestão de Riscos;
• Minimiza impactos;
• Melhora a imagem perante o mercado;
• Garante o direito do acionista e investidor;
• É parte certificável para a ISO 27001 (SGSI);
• Identifica o universo de criticidade da empresa;
• Justifica investimentos conscientes em TI;
9. Ameaças e Impactos
• Ameaça / Evento:
- Qualquer situação passível de ocorrência. Ex: raio,
vendaval, enchentes, falta de energia, etc.
• Tipos de ameaças:
- Naturais: raio, furacão, enchentes,...
- Físicas: estruturas em má condições, incêndio,...
- Humanas: acesso indevido, roubo de patrimônio,...
- Políticas-econômicas: inflação, eleições,...
- Tecnológicas: falha de servidor, queda de link,...
10. Ameaças e Impactos
• Impactos:
- Qualquer alteração do ambiente causada por atividades
humanas, físicas, tecnológicas, e que afetam direta ou
indiretamente os processos de negócios da empresa.
- Perda Financeira;
- Abalo na imagem;
- Multas ou sanções;
- Perda de investidores e até de mercado;
- Aumento no custo operacional;
- Parada no negócio da empresa;
- Perda de Ativos;
- Dano a integridade física de pessoas.
11. Plano de Gerenciamento de Incidentes
• Incidente:
- É um acontecimento imprevisto que resulta perda, dano
ou prejuízo ao negócio.
• O Gerenciamento de Incidentes:
- Foco principal é reestabelecer o processo do negócio o
mais rápido possível;
- Garantir que os níveis de disponibilidade e de qualidade
dos serviços sejam mantidos, conforme os acordos de nível de
serviço (SLA);
- Definir prioridades.
12. Plano de Gerenciamento de Crises
• É um plano que visa a redução de perdas no momento que
ocorre um incidente em algum processo de negócio da empresa
ou organização;
• Este plano possui diversas etapas, as quais destacamos:
- Levantamento dos riscos;
- Diagnóstico de ameaças;
- Planejamento de processos envolvidos;
- Implementação;
- Manutenção.
13. Plano de Recuperação de Desastres
• É composto por cenários e procedimentos para recuperação de
ativos, quando ocorrer uma falha;
• São desenvolvidos pelos gestores;
• São exigências de regulamentações como Lei SOX, BACEN 3380,
ISO 27000;
• É composto por três etapas:
- Programa de Administração de Crises
- Plano de Continuidade Operacional
- Plano de Recuperação de Desastres
14. Plano de Comunicação
• Definir um Representante para a Imprensa;
• Definir quem auxilia os funcionários no momento do desastre;
• Definir quem auxilia as famílias;
• Definir Segurança total do ambiente da empresa.
15. Plano de Comunicação
• Conciso, claro e objetivo;
• Não mentir;
• Somente declarar informações oficiais respaldadas;
• Sempre estar alinhado com os demais membros de comitê e
Presidência;
• Orientar a todos da corporação de como proceder;
• Distribuir orientação impressa a todos;
16. Treinamento e Conscientização
• Elaborar um Programa de Treinamentos;
• Palestras e Campanhas;
• Internet e Intranet;
• Impressos para os clientes;
• Avaliar o entendimento dos envolvidos;
• Tem que ser periódico (refinamento);
• Desenvolver a melhoria contínua;
Obs: Mínimo anual, ideal a cada 3 meses um tipo de teste;
Ex: Um banco brasileiro executa 45 testes/mês;
17. Auditoria
• Exame analítico e pericial que segue o desenvolvimento das
operações de uma empresa;
• Deve ser conduzido por auditores especializados em PCN e fora
dos processos da organização;
• Verificar se os procedimentos foram utilizados da maneira
correta;
• Verificar se as pessoas envolvidas estão cientes de suas
responsabilidades;
• Verificar, em caso de incidente, o Plano de Gestão de Riscos, o
Plano de Gestão de Incidentes e o Plano de Recuperação de
Desastres, está apto a ser executado;
18. Bibliografia e Referências
• BARNES, JAMES C - Business Continuity Planning, Hardcover Edition
• ANTUNES, Edson – Plano de Contingência e Continuidade de Negócios: Sua empresa está preparada para
enfrentar situações de desastre?
• PLACHTA, Cláudio – Plano de Continuidade de Negócios – Garantindo a Sobrevivência.
• Disaster Recovery Handbook, The: A Step-by-Step Plan to Ensure Business Continuity and Protect Vital Operations,
Facilities, and Assets by Michael Wallace, Lawrence Webber (Hardcover - July 2004)
• Enterprise Risk Assessment and Business Impact Analysis: Best Practices by Andrew Hiles (Paperback)
• Developing & Maintaining a Business Continuity Plan [DOWNLOAD: PDF] by Faulkner Information Services
(Digital)
• Business Continuity: Best Practices--World-Class Business Continuity Management, Second Edition by
Andrew Hiles (Paperback - December 2003)
• Business Continuity Planning: A Step-by-Step Guide with Planning Forms on CD-ROM, Third Edition by
Kenneth L. Fulmer, Philip Jan Rothstein (Editor) (Paperback - October 2004)
• Emergency Preparedness for Facilities: A Guide to Safety Planning and Business Continuity : A Guide to
Safety Planning and Business Continuity by David Casavant (Paperback)
• Preparing a Business Continuity Plan [DOWNLOAD: PDF] by Faulkner Information Services (Digital)
• Business Continuity Management: How To Protect Your Company From Danger (Management Briefings
Executive Series) by Michael Gallagher (Paperback)
• BCM Framework CD-ROM for Business Continuity Management (Business Continuity Management Series)
by Andrew Hiles (CD-ROM)
• Implications of and Compliance to Sarbanes-Oxley & Other Acts: Strategy, Control Framework and Plan of
Action (Enterprise Governance, Control, Audit, Security, Risk Management and Business Continuity) by J. &
Masp Consulting Group Kuong (Paperback)
• www.drii.org