O documento discute a importância da continuidade dos negócios para reduzir paralisações e assegurar a proteção dos processos críticos contra falhas ou desastres. Ele descreve as etapas para desenvolver planos de contingência, recuperação de desastres e gerenciamento de crises, incluindo a análise de impacto nos negócios, estratégias de recuperação e testes periódicos dos planos.
2. “Não permitir interrupções das
Atividades do negócio e proteger
os
Processos críticos contra falhas
ou
Desastres, assegurando a
3. “81% dos gestores cujas organizações
ativaram os seus acordos de
continuidade dos negócios nos últimos
12 meses disseram que isto foi eficaz na
redução de paralisações. Em resumo: a
continuidade dos negócios funciona."
Secretariado de Contingências Cíveis, Gabinete do Governo citado em "Se
preparando para o pior - The 2012 Business Continuity Management Survey”.
4. A Continuidade de Negócios trata do estudo de identificação dos processos
que dão “vida” a uma empresa, ou seja, aqueles mais críticos e impactantes.
Esse estudo exige uma metodologia renomada e consultores experientes,
capazes de identificar o conteúdo principal dos negócios e mapear
ameaças e vulnerabilidades existentes. Após uma Análise de Riscos
ou uma Business Impact Analisys (BIA), é feita a qualificação e a
quantificação dos resultados que refletem a realidade do ponto de vista de
negócios da empresa.
5. O estudo prevê ainda o mapeamento de todos os componentes que
suportam estes processos de negócios e o desenvolvimento de Planos
de Contingência, Recuperação de Desastres e Gerenciamento de
Crises.
Em outras palavras, o estudo busca informar como os gestores deverão
proceder em caso de um incidente, ação por ação, explicando o que
fazer, quem deve fazer, quando fazer, como fazer, quais são os pontos
críticos e o tempo das ações para uma recuperação dos servidores, dos
aplicativos e dos bancos de dados mais importantes e vitais para o
negócio de uma empresa.
6. • Para colocar um PCN em prática, é aconselhável uma boa consultoria,
com experiência e uma boa metodologia, seguindo as recomendações da
BS 25999-2, ISO 22301, BS-7799, da NBR ISO 17799 e o DRI (Disaster
Recovery Institute).
• Complexidade não é sinal de qualidade. Muitas vezes, as metodologias
mais simples e diretas apresentam resultados mais satisfatórios.
• Ao ser desenvolvido, um PCN pode vir a justificar investimentos em TI,
bem com evitar investimentos em áreas desnecessárias e que não causem
impactos tão consideráveis.
7. Fase 1 – Planejamento
Fase inicial do Projeto, que vai da reunião da equipe
até o Workshop para formalização de uma Empresa
Virtual.
8. Fase 2 - Levantamento de Dados
Análise de documentação, inspeção física e
levantamento das Ameaças, Vulnerabilidades,
Impactos, Componentes, Eventos e demais Critérios
gerando o Relatório de Critérios.
9. Fase 3 - Análise de Impacto nos Negócios
(BIA)
Nesta fase são aplicados os questionários cujos resultados
geram o Relatório de Criticidade, Relatório de Inter-
relacionamento e o Relatório BIA fornecendo o custo do
interrompimento dos processos de negócios CRÍTICOS e
VITAIS bem como o Custo da Recuperação dos mesmos.
A BIA é feita buscando identificar os processos críticos que
apoiam o negócio da organização, e qual impacto para o
negócio caso as ameaças mapeadas venham a se concretizar.
10. Calculo do Impacto
Impacto = (Relevância do Processo + Relevância do Ativo)
2
Relevância do Processo: Quão importante é o processo ao
negócio da organização.
Relevância do Ativo: Importância do ativo no processo de
negócio da organização.
11. Fase 4 - Estratégia de Recuperação
São analisadas as estratégias de
recuperação e continuidade que
serão adotadas e a necessidade de
existência ou não de um site
alternativo. Neste momento é gerado
o Relatório de Estratégias.
12. Fase 5 - Desenvolvimento dos Planos
Nesta fase, são executadas as
entrevistas de PAC, PCO e
PRD. Como resultado serão
descritos os Planos e o
Programa que integram o
PCN.
13. PAC – PROGRAMA DE ADMINISTRAÇÃO DE CRISE
Representa a garantia mais eficaz em termos de
administração em situações adversas. O PAC relaciona o
funcionamento das equipes (Recursos Humanos) antes,
durante e depois da ocorrência do evento. Através deste
Programa são definidas as ações no período de retorno a
normalidade.
14. PCO – PLANO DE CONTINUIDADE OPERACIONAL
É composto por um conjunto de procedimentos previamente definidos,
destinados a manter a continuidade dos processos e serviços vitais de
uma organização, considerando-se a ausência de componentes que os
suportem, devido à ocorrência de eventos previamente identificados e
definidos. Através do PCO, os gestores dos processos de negócios
saberão como agir na falta ou falha de algum componente que o suporte,
garantindo a continuidade do processo de negócio reduzindo o impacto no
negócio da empresa.
15. PRD – PLANO DE RECUPERAÇÃO DE DESASTRES
Avalia a vulnerabilidade dos componentes que suportam os
seus Processos de Negócios críticos diante de eventos,
mapeando e planejando sua recuperação / restauração de
acordo com a sua realidade. No PRD encontram-se
detalhados ações relativas a site alternativo visando a
continuidade dos negócios da empresa.
16. Uma das atividades mais importantes da gestão de continuidade de
negócios são os testes, através de testes é possível mensurar e
identificar a real eficácia do plano de continuidade de negócios.
Os testes e simulações também possibilitam uma manutenção e
atualização adequada dos planos.
Os testes devem ter uma periodicidade mínima de seis meses,
buscando desvios ou procedimentos ineficientes no plano.
17. Para um teste efetivo é necessário estabelecer um cenário de testes e
definir qual tipo de teste será possível realizar e qual irá fornecer as
evidências necessárias para uma auditoria.
Dentre os tipos de testes destacam os seguintes:
• STRUCTURED WALKTHROUGH
• TABLETOP
Veja a seguir a descrição dos tipos de testes citados acima.
18. STRUCTURED WALKTHROUGH
O tipo o mais básico de teste, ocorre em uma reunião onde a
finalidade principal é assegurar que o pessoal crítico de todas
as áreas está familiarizado com o PCN.
19. TABLETOP
É definido um cenário específico e executados os planos. Os objetivos
principais são praticar a interação da equipe, as tomadas de decisão e
habilidades para resolver o problema:
Functional Testing: É realizado para testar funções específicas,
geralmente voltados a teste de gerenciamento de crises e execução de
procedimentos que envolvam pessoas.
Full Scale: O tipo mais detalhado de teste. Com este teste, todo o ou a
maioria dos planos são postos em ação. Os objetivos principais aqui são
simular uma situação real de recuperação.
21. Formado em Análise de Sistemas
Pós-Graduado em Auditoria em T.I.
Gerente de TI da CLIOC – Coleção de Leishmania do Instituto
Oswaldo Cruz – Fiocruz
Certificado em Gestão de Segurança da Informação e
Gerenciamento de T.I. pela Academia Latino-Americana (Microsoft
TechNet / Módulo Security)
Carlos Henrique M. da Silva
carloshenrique.85@globo.com