Gestão de Continuidade de Negócios (GCN) e de Tecnologia da Informação (GCSTI)

Transcrição

1 Secretaria Fazenda do Distrito Feral Gestão Continuida Negócios (GCN) e Tecnologia da Informação (GCSTI) Material Treinamento Página 1 28

2 Secretaria Fazenda do Distrito Feral Índice do Curso 1. Apresentação Escopo e Fontes Informação Termos e finições Introdução O que é GCN GCN e a estratégia Organizacional Por que convém que uma organização adote a GCN Benefícios um programa eficaz GCN Caso prático Documentação Gestão Continuida Contexto Política, Manual e Molos Escopo GCN Atividas terceirizadas Designando Responsabilidas Implementando a continuida negócios Documentação GCN Requisitos continuida Caso prático Intificação atividas críticas Intificação Ameaças e atividas críticas (avaliação riscos) Análise Impacto no Negócio (AIN) Análise Impacto no Negócio (AIN) Metodologia Determinando escolhas da continuida do negócio Aprovação estratégias continuida Determinando escolhas da continuida do negócio Recursos Tipos planos Objetivo e escopo planos Papeis e responsabilidas Proprietário e mantenedor Testes Tipos Teste Ativação planos e gestão crises Ativação planos Monitoração e análise Crítica GCN Gestão Registro Incinte Comunicação a mídia...27 Página 2 28

3 Secretaria Fazenda do Distrito Feral 10. Documentação do GCN Molos Auto-avaliação Bibliografia utilizada e recomendada Normas Internas Normas, regulamentações e circulares externas Créditos pelo Treinamento...28 Página 3 28

4 Secretaria Fazenda do Distrito Feral 1. Apresentação Este treinamento tratará assuntos relaciona à Gestão Continuida, um conhecimento importante não só para quem está envolvido diretamente com o processo, mas também para to os colaboradores do órgão. Qualquer organização, seja ela pequeno, médio ou gran porte, possui objetivos e metas, tais como crescer, fornecer seus serviços, adquirir e melhorar recursos. A Gestão Continuida ajuda a garantir que estas metas e objetivos sejam realizadas com o mínimo impacto diante interrupções inesperadas, o que é nominado resiliência. A Secretaria Fazenda do Distrito Feral assume compromissos com por público, funcionários, contribuintes e órgãos externos e tem o ver entregar produtos e serviços qualida, ou seja, apurar tributos corretamente, criar expectativas arrecadação, etc. A Gestão Continuida ajuda a manter estas operações. Ao final ste treinamento, você conhecerá o que é o processo Gestão Continuida, sua importância, aplicação, bem como o que já existe no ambiente do Órgão relacionado a este tema. Bom treinamento! 2. Escopo e Fontes Informação O conteúdo do treinamento foi senvolvido tendo como fontes informação: I. Documentação e processos internos existentes referentes à gestão continuida; e II. As Normas da Associação Brasileira Normas Técnicas (ABNT NBR ) Termos e finições Termo Análise Impacto aos Negócios Apetite a risco Incinte Plano Continuida Negócios (PCN) Definição Também conhecido como Business Impact Analysis (BIA), trata-se do processo analise das funções negócio e os efeitos que uma interrupção passa causar. Quantida total risco que uma organização está preparada para tolerar ou ser exposta. Situação que po representar ou levar a uma interrupção negócios, perdas, emergências ou crises. Documentação procedimentos e informações senvolvidas para serem utilizadas quando ocorrer um incinte que basicamente cubra as principais pessoas, Página 4 28

5 Secretaria Fazenda do Distrito Feral Resiliência RTO PCO PRD PGI ABNT NBR Arranjo Contingência recursos, serviços e outras ações que sejam necessárias para implementar o processo gerenciamento incintes. Capacida uma organização resistir aos efeitos um incinte. Recovery Time Objective ou Tempo Objetivado Recuperação, refere-se a um intervalo tempo reconhecido e acordado para restauração da operação. Plano Continuida Operacional, documento gestão continuida aplicado a processos negócio. Plano Recuperação Desastres, documento gestão continuida aplicado a processos e recursos Tecnologia da Informação. Plano Gestão Incintes, documento gestão continuida aplicado a processos incintes que possam ocorrer no ambiente. Associação Brasileira Normas Técnicas, Norma Brasileira. Procedimentos e recursos habilita e configura para operação em caso contingência. Fonte: ABNT NBR : Introdução A Gestão da Continuida Negócios (GCN) visa manter operacionais os serviços essenciais ao funcionamento das atividas corporativas indicadas como críticas. Diante cenários interrupção, a GCN contribui para o fortalecimento da imagem soliz da Empresa O que é GCN A GCN é complementar a uma estrutura gestão riscos que busca entenr os riscos às operações negócios e suas consequências. Fonte: ABNT NBR De acordo com a norma ABNT NBR :2007 (Gestão Continuida Negócios Parte 1: Código Prática), a Gestão Continuida Negócios (GCN) é o processo abrangente gestão que intifica ameaças potenciais para uma organização e os possíveis impactos nas operações negócio caso certas situações ocorram. Este processo fornece uma estrutura para que se senvolva uma resilência organizacional capaz responr efetivamente e salvaguardar os interesses das partes interessadas, a reputação e a marca da organização. Demonstramos a seguir a evolução do conceito da metodologia GCN ao longo do tempo: Página 5 28

6 Secretaria Fazenda do Distrito Feral 3.2. GCN e a estratégia Organizacional Tempestas, vendavais e raios são os fenômenos naturais mais frequentes no Brasil, sendo responsáveis por alagamentos, enchentes, slizamentos, smoronamentos, etc., o que leva na maioria das vezes a danos materiais e humanos. Como forma precaver-se efeitos sastrosos eventos que causem interrupções significativas em parte, ou mesmo, em to os processos negócio, os órgãos se vêem pressionadas a dispor planejamento e mecanismos aqua à pronta recuperação suas operações, no menor tempo possível. Pois as consequências da não precaução pom envolver perda vidas, ativos e renda, ou a incapacida entregar produtos e serviços, quais a estratégia, a reputação e até mesmo a sobrevivência da organização penm. Com base nisto, a Gestão Continuida Negócios (GCN) é necessária, para preparar as organizações para suportar os impactos incintes pequenas ou grans proporções Por que convém que uma organização adote a GCN Todas as atividas negócios da Secretaria Fazenda do Distrito Feral estão sujeitas a interrupções, tais como falhas tecnológicas, enchentes, interrupções nos serviços públicos e atos terrorismo. Com a estruturação Página 6 28

7 Secretaria Fazenda do Distrito Feral processos Gestão Continuida é possível reagir aquadamente às interrupções operacionais e manter a segurança. A GCN ve ser encarada não como um processo custoso planejamento, mas como um processo que agrega valor a organização. Fonte: ABNT NBR Benefícios um programa eficaz GCN Os benefícios um programa eficaz GCN são: I. Intificar proativamente os impactos uma interrupção operacional; II. Ter uma resposta eficiente as interrupções, o que minimiza os impactos negativos ao sistema; III. Manter a capacida gerenciar os riscos que não pom ser segura; IV. Garantir que os principais produtos e serviços são intifica e protegi; V. Apresentar ganho vantagem competitiva ao manter a capacida entregar produtos e serviços Caso prático Restauração do site do Commerzbank após os ataques 11 setembro. O escritório do Commerzbank (banco Alemão) em Nova York localizava-se a cerca 90 metros andares 31 a 34 do World Tra Center (WTC). Com a queda das torres no ataque terrorista 11 setembro 2001, o Data Center permaneceu fisicamente funcional, porém, com o calor intenso e a gran quantida poeira os sistemas começaram a falhar, junto com toda a comunicação com o exterior, ixando a operação New York praticamente parada. Nesta ocasião, vários equipamentos incluindo os storages (on se armazenam os da) entraram em colapso. Porém, o Commerzbank possuía um plano contingência que constava cópias sistemas e da em outro site a 50 km do site principal. Esta contingência foi ativada corretamente, os funcionários evacuaram o local e nos próximos meses passaram a trabalhar no site backup até que o site principal fosse restabelecido. Fonte: 10/01/2013 No caso apresentado, os da estavam completamente protegi, e o negócio sobreviveu ao maior ataque terrorista da história, isso porque a contingência foi ativada corretamente, mas e caso não fosse? Para garantir que a contingência seja ativada corretamente a GCN é uma gran aliada. Muitas empresas fecharam suas portas após este sastre, por conta suas operações estarem concentradas unicamente nestas torres. Não possuir um Página 7 28

8 Secretaria Fazenda do Distrito Feral processo Gestão Continuida Negócios po ser crucial e é uma necessida para impedir prejuízos, os quais pom ser irreversíveis. 4. Documentação Gestão Continuida 4.1. Contexto A capacida da Gestão Continuida ser integrada as atividas corporativas e incorporada ao crescimento e senvolvimento produtos e serviços realiza pela Secretaria Fazenda do Distrito Feral é uma realida que já existia, contudo nem sempre foi formalizada, evoluída e acompanhada. Atualmente existe uma metodologia interna, molos e informações base documentadas. Uma política GCN fine os seguintes processos: - As atividas preparação para se estabelecer uma capacida continuida negócios; e - O gerenciamento contínuo e manutenção sta capacida continuida negócios. Fonte: ABNT NBR : Política, Manual e Molos A Metodologia Gestão Continuida Negócios e Tecnologia da Informação da Secretaria Fazenda do Distrito Feral tem a finalida estabelecer padrões e méto para a aplicação do processo. Assim como os molos disponibiliza, que tem o objetivo prover padronização na documentação e indicar organização na apresentação das informações Escopo GCN O fluxo apresentado será acompanhado durante o correr do treinamento, e monstra o relacionamento do processo Gerenciamento Risco (avaliação), ve no mínimo ser analisado em conjunto com o questionário Análise Impacto aos Negócios (BIA). Os planos, testes, aprendizado, gestão crise e revisões, também vem ocorrer conforme fluxo apresentado: Página 8 28

9 Secretaria Fazenda do Distrito Feral Processos Críticos G.R. Intificação Avaliação Questionário/ BIA Proposta Pessoas Instalações Informações Suprimentos Partes interessadas Gestores processos Aprendizado Acionar Testar Contingência Aprovação da Controle Se necessário Gestão Revisão Informamos que a Gestão Riscos é o processo on são intifica e avalia os riscos que pom gerar interrupção das atividas Atividas terceirizadas Como uma observação adicional é importante saber que mesmo que um produto, serviço ou ativida seja terceirizada, o risco ste continua vinculado à organização. É necessário então que Secretaria Fazenda do Distrito Feral consiga intificar quais seus fornecedores e parceiros críticos possuem planos Gestão Continuida eficazes, isso po ser feito por meio evidência que monstre a viabilida planos, bem como seus respectivos testes. 5. Designando Responsabilidas Para a gestão programas Gestão Continuida, conforme apresentado por meio da Metodologia Interna, algumas das responsabilidas ntro do Órgão são: I. Indicar responsáveis pelo processo Gestão Continuida; II. Intificar e avaliar riscos scontinuida relaciona às atividas; III. Adotar, forma alinhada as estratégias e procedimentos para minimizar e mitigar os riscos scontinuida; Página 9 28

10 Secretaria Fazenda do Distrito Feral IV. Realizar treinamentos e responsabilizar-se pela capacitação corporativa sobre o assunto; V. Garantir a implementação das ações responsabilida das áreas do órgão; VI. Provinciar canais comunicação, inclusive os contingenciais; VII. Realizar testes contingência, bem como os aprimoramentos necessários para sua implementação; VIII. Acompanhar a realização testes contingências; IX. Aprovar e institucionalizar os documentos que dão suporte ao processo Implementando a continuida negócios De forma visual, pomos indicar que o processo Gestão Continuida Negócios engloba as seguintes etapas: 5.2. Documentação GCN Fonte: ABNT NBR :2007 Com relação à documentação GCN, é importante senvolver diretrizes recuperação procedimentos intifica como críticos, para que as unidas negócio possam operar entre o período sastre e até a recuperação processos críticos e eventualmente o retorno a normalida. A intificação processos críticos é realizada através do questionário nominado Análise Impacto nos Negócios (AIN ou BIA) e os procedimentos são elabora através da documentação : Recuperação Desastres (PRD); Plano Continuida Operacional (PCO); ou Gerenciamento Incintes. Página 10 28

11 Secretaria Fazenda do Distrito Feral Documentos que serão talha no correr do treinamento Requisitos continuida De acordo com a norma ABNT NBR :2007, as empresas e/ou órgãos vem estimar os recursos que cada ativida contingenciada necessitará durante sua recuperação, on pom incluir: I. Recursos pessoal, incluindo quantida, habilidas e conhecimento ( pessoas); II. Localização trabalhos e instalações necessárias (pendências); III. Tecnologia, equipamentos e plantas que suportam o negócio (tecnologia); IV. Informação (eletrônica ou em papel) sobre trabalhos anteriores ou trabalhos atualmente em progresso, suficientemente atualizada e precisa, forma a permitir que as atividas continuem no nível acordado (informação); e V. Serviços e fornecedores externos (suprimentos). Informações sobre estes recursos serão apresentadas no correr do treinamento, guar estas informações para ajudá-lo na interpretação e aplicação do conteúdo. Por fim, uma ativida importante é levar em conta as necessidas das partes interessadas (ex: contribuintes) ao terminar os níveis recursos Caso prático A Agência atendimento XPTO fica localizada em uma região on anualmente há ocorrências grans inundações, em uma conversa interna, os profissionais responsáveis por GCN discutiram e levantaram quais seriam os recursos necessários para minimizar o impacto sse evento, chegando então ao seguinte esboço: Recursos pessoal: Caso haja apenas um colaborador com qualificação/conhecimento para executar uma operação crítica na Agência (ex: atendimento) e ocorra um incinte inundação no bairro on mora, não haverá outro colaborador pronto para executar a tarefa, é necessário treinar mais um profissional nas atividas críticas. Localização das pendências da Secretaria (instalações): Em caso alagamento, é importante pensar em como os contribuintes serão atendi. Para que a Agência não pare, é necessário finir um local secundário com instalações e recursos para procer com o atendimento (seja um ambiente próprio, parceiro, terceiros ou outra opção). Tecnologia e equipamentos: Além pessoas e um ambiente secundário é necessário que os recursos tecnológicos tais como os sistemas (Ex: , Página 11 28

12 Secretaria Fazenda do Distrito Feral internet, e etc.), equipamentos (computador, mom, etc.) e meios comunicação (ex: link intranet, telefone, fax, etc.) estejam disponíveis e configura. Informação (eletrônica ou em papel): São essenciais para a continuida das atividas, e vem ser recuperadas acordo com limites tempo estabeleci. Serviços e fornecedores externos (partes interessadas): É importante saber quem são os fornecedores e parceiros negócio críticos que terão ser aciona, pois eles verão estar prontamente disponíveis para auxiliar na retomada das operações. 6. Intificação atividas críticas 6.1. Intificação De acordo com a norma ABNT NBR : 2007, em um contexto continuida negócios, o entendimento do Órgão riva : I. Intificar os objetivos da organização, obrigações das partes interessadas, veres legais e o ambiente no qual opera; II. Intificar as atividas, ativos e recursos (incluindo os externos), que suportam a entrega produtos e serviços; III. Avaliar o impacto e as conseqüências sobre o tempo falha stas atividas, ativos e recursos; IV. Intificar as ameaças que possam interromper a entrega produtos ou serviços fundamentais, com impacto aos ativos, atividas e recursos que os suportam as operações; V. Compreenr a interpendência suas atividas Ameaças e atividas críticas (avaliação riscos) A cisão do método avaliação riscos é da organização, mas é importante que esse método seja apropriado a to os requisitos da organização. Fonte: ABNT NBR :2007 Página 12 28

13 Secretaria Fazenda do Distrito Feral G.R.O. Gestor G.R. Intificação Avaliação Gestor do Processo AIN Proposta Pessoas; Instalações; Informações; Suprimentos; Partes interessadas. Gestores processos Aprendizado Acionamento Testes Contingência Aprovação da Controle Se necessário Gestão Revisão Ameaças específicas pom ser scritas como eventos ou ações que possam, em algum ponto, causar um impacto aos recursos do órgão, como exemplos incêndios, enchentes, queda energia, perda ou ausência equipe, vírus computador ou falhas hardware e software. Para intificar estas ameaças e riscos as atividas críticas é importante que haja processos análise riscos envolvi a estas atividas críticas antes dar prosseguimento ao processo GCN Análise Impacto no Negócio (AIN) O impacto da interrupção ve ser verificado por meio do questionário Análise Impacto nos Negócios (AIN, também conhecido como BIA) para riscos intifica como baixos, médios e altos, bem como para os casos em que o gestor entenr necessária a aplicação. O objetivo da AIN/BIA é intificar as operações críticas para o órgão, o tempo máximo aceitável interrupção, e terminar os recursos necessários para mantê-las em conformida, ou seja, é um passo inicial antes procer com a documentação planos. A aplicação da AIN/BIA é necessária para intificar nas atividas críticas as pendências das atividas (incluindo as pendências fornecedores e parceiros terceirização). Página 13 28

14 Secretaria Fazenda do Distrito Feral G.R.O. Gestor G.R. Intificação Avaliação Gestor do Processo AIN Proposta Pessoas; Instalações; Informações; Suprimentos; Partes interessadas. Gestores processos Aprendizado Acionamento Testes Contingência Aprovação da Controle Se necessário Gestão Revisão Tarefas chave vem ser consiradas para realização do AIN/BIA, conforme relacionado: I. Determinar o escopo da análise; II. Intificar os principais processos do negócio; III. Coletar e verificar as informações; IV. Analisar e apresentar os resulta. A AIN é realizada em conjunto com os gestores (tais como gerentes, diretores, supervisores, membros da equipe com expertise, etc.), por meio um questionário a ser respondido (disponível na metodologia corporativa), on são abordadas as seguintes informações: I. O tempo recuperação das atividas críticas, ou seja, quanto tempo o processo negócio po ficar paralisado; II. Dependência infraestrutura e recursos necessários ao processo (pessoas, sistemas informatiza e equipamentos); III. Período e prazo em que as informações armazenadas precisam ser restauradas; IV. Atividas do processo que penm ou geram informações a outros processos e áreas (externas ou internas); V. Histórico scontinuida, durante quanto tempo e quais as causas que geram a paralisação Análise Impacto no Negócio (AIN) Metodologia Página 14 28

15 Secretaria Fazenda do Distrito Feral Para a realização da Análise Impacto nos Negócios (AIN) ve ser consirado, no caso interrupção do processo, os seguintes tipos impacto: I. Legal: scumprimento lei e (ou) norma (peso 20); II. Financeiro: perdas financeiras geradas pelo não atendimento ao contribuinte/estado (peso 30); III. Imagem: afeta a imagem da entida pela interrupção atendimento ao contribuinte/estado (peso 40). Para cada critério estabelecido, o impacto será terminado pelo gestor responsável pela avaliação, ao finir uma nota, na seguinte escala: Fórmula: Opção escolhida Nota Impacto E 50 Superior D 40 Alto C 30 Médio B 20 Pouco importante A 10 Irrelevante A cada critério (legal, financeiro e imagem) é atribuída uma nota, somam-se as notas e divi-se o resultado por 90 (soma pesos): (nota (impacto legal)+nota (impacto financeiro)+nota (impacto imagem)) / 90 O resultado da Análise Impacto nos Negócios (AIN) sinaliza a severida e o grau impacto da não implementação contingência, conforme apresentado a seguir: Resultado Severida Impacto da não implementação contingência 4,00 a 5,00 Severo Alto 3,00 a 3,99 Morado Médio 1,00 a 2,99 Leve Baixo Uma vez intificado o risco e a análise viabilida implantação arranjos contingência, o documento (AIN) ve ser formalmente documentado e assinado pelos envolvi, gestores responsáveis pelo processo e seus superiores para aprovação. Na implantação arranjos contingência ve-se levar em conta a relação custo versus benefício, forma que os investimentos a serem realiza, sejam compatíveis com as perdas potenciais intificadas (imagem, financeira Página 15 28

16 Secretaria Fazenda do Distrito Feral e legal). Se a cisão for implantar a contingência, uma liberação ve ser realizada por meio formulário específico Determinando escolhas da continuida do negócio s continuida buscam melhorar a resilência da organização a interrupções, garantindo que as atividas críticas continuem ou sejam recuperadas em um nível mínimo aceitável e no tempo estipulado pela AIN. Fonte: ABNT NBR :2007 G.R.O. Gestor G.R. Intificação Avaliação Gestor do Processo AIN Proposta Pessoas; Instalações; Informações; Suprimentos; Partes interessadas. Gestores processos Aprendizado Acionamento Testes Contingência Aprovação da Controle Se necessário Gestão Revisão Depois seleciona os recursos necessários, vem ser intificadas alternativas que irão suportar a restauração das atividas, ntro do tempo recuperação sejado, pondo ser minutos, horas ou dias, penndo da criticida da ativida, com base no impacto potencial, sempre do ponto vista da área gestora do negócio e com a aprovação gestores. Os gestores vem tomar cuida especiais na escolha da alternativa continuida, por exemplo, a área TI ci por fechar contrato com empresas telecomunicações (link internet), no entanto, ambas as empresas utilizam o mesmo cabo (fibra ótica), nessa situação, em caso problema com os circuitos terrestres ambos os recursos ficarão indisponíveis. Página 16 28

17 Secretaria Fazenda do Distrito Feral Para as ameaças intificadas, o órgão verá, por meio da cisão do gestor do processo, com aprovação, escolher uma ou mais estratégias mitigação, entre as scritas a seguir: I. Recuperação das atividas ntro prazo objetivado: as operações precisam estar novamente em funcionamento total ou parcial (que impactará com o investimento necessário) no prazo estabelecido; II. Manutenção das operações mesmo com o acontecimento incinte: as operações não são paralisadas, por exemplo, no-breaks e gerador energia elétrica são adquiri para manter as operações em funcionamento, em caso incinte suspensão do fornecimento da concessionária; III. Aceitação do risco: no caso paralisação das atividas, não se adota qualquer arranjo contingência, bem como não se dispõe qualquer arranjo que possibilite a recuperação, mesmo que parcial. O que norteia essa cisão é o fato do custo implementação arranjos contingência ser sproporcional ao benefício potencial relação custo x benefício; IV. Transferência: para alguns riscos, a melhor resposta po ser transferilos. Isso po ser realizado por meio um seguro convencional. s mitigação perdas pom ser utilizadas juntamente com outras ações e opções, pois nem to os riscos pom ser preveni ou reduzi a um nível aceitável Aprovação estratégias continuida A administração e profissionais envolvi vem aprovar a lista que documenta os principais produtos e serviços, a análise impacto nos negócios e a avaliação riscos, forma a observar se o trabalho foi realizado forma apropriada e reflete a realida do órgão. Página 17 28

18 Secretaria Fazenda do Distrito Feral G.R.O. Gestor G.R. Intificação Avaliação Gestor do Processo AIN Proposta Pessoas; Instalações; Informações; Suprimentos; Partes interessadas. Gestores processos Aprendizado Acionamento Testes Contingência Aprovação da Controle Se necessário Gestão Revisão Caso um processo seja crítico e o gestor aprove a estratégia continuar os negócios, ve-se seguir a metodologia finida. Com base nas análises e entendimento das operações críticas do órgão (abordado no tópico anterior), será possível finir e nortear as estratégias GCN corporativas, on ve ser adotada a abordagem apresentada: I. Implementar medidas apropriadas para reduzir a probabilida incintes e/ou reduzir os potenciais efeitos stes incintes; II. Manter registros das medidas resiliência e mitigação; III. Fornecer recursos continuida das atividas durante e após um incinte; e IV. Manter o registro das atividas que não foram consiradas críticas e as justificativas Determinando escolhas da continuida do negócio Recursos Antes senvolver os planos continuida, será necessário que os recursos mínimos sejam fini e consira na documentação planos, tais como os contatos e órgãos externos, conforme transcrito abaixo: I. Pessoas: Profissionais com habilidas para execução das atividas das operações negócio, que verá contemplar nos Continuida. Página 18 28

19 Secretaria Fazenda do Distrito Feral II. III. IV. Instalações: Local alternativo com infraestrutura mínima necessária para a execução das atividas. Ex: trabalho Home Office, instalações físicas, entre outras. Tecnologia: Instalações tecnológicas, equipamentos, recursos e sistemas. Ex: equipamentos backup, redundância tecnológica, sistemas, distribuição geográfica da tecnologia, entre outras. Informação: As informações essenciais para a continuida das atividas vem ser recuperadas acordo com os prazos estabeleci na AIN. Ex: informações em formatos físicos e virtuais. V. Partes Interessadas: s relacionadas com as principais pessoas interessadas, fornecedores, parceiros negócio. Ex: intificação responsável pela comunicação com a mídia, prestadores indispensáveis, entre outras. 7. Convém que to os planos, sejam eles Gerenciamento Incintes (PGI) Continuida Negócios (PCO) ou Recuperação Negócios (PCN), sejam concisos e acessíveis aqueles que possuam responsabilidas finidas nesses planos. Fonte: ABNT NBR :2007 G.R.O. Gestor G.R. Intificação Avaliação Gestor do Processo AIN Proposta Pessoas; Instalações; Informações; Suprimentos; Partes interessadas. Gestores processos Aprendizado Acionamento Testes Contingência Aprovação da Controle Se necessário Gestão Revisão De acordo com a metodologia interna, Continuida são um conjunto procedimentos que objetivam manter as atividas em nível Página 19 28

20 Secretaria Fazenda do Distrito Feral funcionamento previamente estabelecido ou recuperá-las no prazo previamente estabelecido (prazo comumente chamado no mercado RTO Recovery Time Objective ou Tempo Objetivado Recuperação). Estes planos vem ser elabora sempre que os gestores cidirem pela implementação contingência (impactos médios ou altos). Os planos continuida vem ser objetivos, concisos, acessíveis àqueles que possuam responsabilidas neles finidas e vem prever: I. Situação em que cada plano po ser utilizado (relação ativos, eventos ou cenários); II. Os responsáveis pelos procedimentos recuperação; III. Os procedimentos que vem ser executa para o incinte ou recuperação recursos que sofreram interrupção, quando existentes Tipos planos De acordo com a metodologia interna os planos continuida negócios pom ser classifica como: I. Plano Gestão Incintes (PGI): voltado a continuida procedimentos corporativos que tenham impacto ao ambiente e estrutura corporativa que dá suporte as operações; II. Plano Continuida Operacional (PCO): voltado à continuida procedimentos operacionais relaciona ao processo; III. Plano Recuperação Desastres (PRD): voltado à recuperação ativos Tecnologia da Informação (processamento, links comunicação e armazenamento da, sistemas) que dão suporte aos procedimentos operacionais do processo Objetivo e escopo planos O objetivo e escopo cada plano ve ser finido, acordado com a alta direção e entendido pelas pessoas que irão realizar o plano. Convém que qualquer relação com outros planos ou documentos pertinentes que existam na organização seja claramente especificada e o método obtenção stes documentos seja scrito. Fonte: ABNT NBR :2007 Os Continuida Operacional pom ser elabora com finalida atenr vários tipos eventos ou riscos operacionais, entre os mais comuns são: I. Incêndio; II. Inundação; III. Interrupção no fornecimento energia elétrica; IV. Atenta com artefatos explosivos; V. Atos vandalismos; Página 20 28

21 Secretaria Fazenda do Distrito Feral VI. Contingência operações negócio; VII. Outros, a critério da administração da entida Papeis e responsabilidas Convém que os papeis e responsabilidas das pessoas e equipes que possuam autorida (tanto no que se refere à tomada cisões quanto aos gastos), durante e após um incinte, sejam claramente documenta. Fonte: ABNT NBR :2007 Com relação à finição papeis e responsabilidas indicadas na metodologia interna, os Continuida Negócios vem: I. Definir os papéis e responsabilidas, nos aspectos relaciona à tomada cisão durante e após um incinte; II. Fornecer referência contatos essenciais das partes que viabilizam a sua execução; III. Ser revisa anualmente ou sempre que os responsáveis realizarem alteração nos procedimentos executa; IV. Ser testa, com registro formal do resultado, pontos acerto e falhas ( para as quais ve ser estabelecido plano ação visando a solução); V. Ser aprova pelos gestores responsáveis por cada processo; VI. Ser aprova pela respectiva área equivalente; VII. As aprovações vem ser evinciadas por meio assinatura no próprio documento, ou quando for o caso por ata reunião Proprietário e mantenedor Convém que a organização nomeie o principal responsável pelo plano, intifique e documente os responsáveis pela análise crítica, correção e atualização do plano em intervalos regulares. Fonte: ABNT NBR :2007 Os coornadores vem acompanhar a realização planos e, a seu critério, solicitar testes fora do cronograma, pondo convocar os responsáveis necessários para realização. 8. Testes Os planos continuida somente pom ser consira efetivos após a sua validação através testes. Este processo validação é essencial para o senvolvimento do trabalho, melhoria da competência, confiança e conhecimento to os envolvi. Página 21 28

22 Secretaria Fazenda do Distrito Feral G.R.O. Gestor G.R. Intificação Avaliação Gestor do Processo AIN Proposta Pessoas; Instalações; Informações; Suprimentos; Partes interessadas. Gestores processos Aprendizado Acionamento Testes Contingência Aprovação da Controle Se necessário Gestão Revisão Pomos consirar testes como um conjunto ações que permite avaliar a capacida que os planos e procedimentos têm responr aos requisitos sempenho previamente fini. Na SEF-DF os testes planos vem ser da seguinte forma: I. Ser executa com periodicida mínima anual; II. Os testes vem ser registra, observando a necessida aprimoramento, uma vez intificadas falhas, vem ser altera, como planos ação por parte do responsável, e com o objetivo melhoria no momento da utilização e serem então versiona; III. Auditorias também pom, sempre que julgarem necessário, acompanhar a realização testes, assim como ter total acesso aos seus resulta Tipos Teste Os tipos testes pom ser: Testes Mesa: é um teste complexida simples, no qual é realizada uma análise crítica ensaios execução, geralmente realiza em mesa reunião, com o objetivo atualizar e/ou validar os procedimentos e as informações contidas no plano por meio questionamentos sobre o processo. Testes Simulação: é um teste complexida mediana, no qual uma situação artificial, por exemplo, é realizada a parada um processo em horários diferentes das operações diárias (finais semana, após expediente Página 22 28

23 Secretaria Fazenda do Distrito Feral etc.) sendo o resultado utilizado para validar se os planos possuem as informações necessárias e suficientes. Testes Reais: validação em tempo real, quando da execução das atividas rotineiras, o que envolve alta complexida. Esse tipo teste tem uma complexida muito alta, e verá ser realizado numa fase do processo bem maduro. O tipo teste selecionado ve ser aquado à maturida do processo, vendo ser realizado no mínimo o teste mesa. Para que possa garantir o sucesso na condução e finalização, aquando a realida aos planos. Um objetivos é testar o que foi possível ser testado ou não, assim como documentar o que u certo e o que não u certo, para permitir a melhoria planos e manter as versões e histórico documentações, que pom ser solicitadas em Auditorias ou caso necessário para conhecimento interno estruturas anteriores. 9. Ativação planos e gestão crises De acordo com a norma ABNT NBR :2007, os planos vem incluir uma lista estruturada ações e tarefas em orm priorida, conforme relacionado: I. Como o PCN é ativado; II. As pessoas responsáveis por ativar o plano continuida negócios; III. O procedimento que ve ser adotado; IV. As pessoas que vem ser consultadas; V. As pessoas que vem ser informadas; VI. Quem irá para on e quando; VII. Quais serviços estão disponíveis, on e quando; VIII. Mobilização recursos (internos e externos); IX. Como e quando a informação será comunicada; X. Procedimentos talha para soluções recuperação; XI. Entre outros Ativação planos Convém que a organização estabeleça e documente claramente os procedimentos e conjunto critérios sobre os quais os indivíduos possuem a autorida colocar em prática os planos e em quais circunstâncias. Fonte: ABNT NBR :2007 Página 23 28

24 Secretaria Fazenda do Distrito Feral G.R.O. Gestor G.R. Intificação Avaliação Gestor do Processo AIN Proposta Pessoas; Instalações; Informações; Suprimentos; Partes interessadas. Gestores processos Aprendizado Acionamento Testes Contingência Aprovação da Controle Se necessário Gestão Revisão Sempre que ocorrer um incinte que gere a scontinuida das atividas, o gestor do processo (lír do plano) ve: I. Contatar o responsável indicado no plano e, em conjunto, analisar o incinte, finindo se o Plano Continuida será acionado ou não. O responsável por acionar o plano ve acompanhar todo o processo restabelecimento das atividas normais do Órgão Monitoração e análise Crítica GCN De acordo com a norma ABNT NBR :2008, no capítulo 5 referente à Monitoração e análise crítica do GCN informa o seguinte: Garantir a monitoração da gestão e analisar criticamente a eficiência e eficácia do SGCN, analisando criticamente a conveniência da política continuida negócios, os objetivos e o escopo, e para terminar ações correção e melhoria. Fonte: ABNT NBR :2008 Página 24 28

25 Secretaria Fazenda do Distrito Feral G.R.O. Gestor G.R. Intificação Avaliação Gestor do Processo AIN Proposta Pessoas; Instalações; Informações; Suprimentos; Partes interessadas. Gestores processos Aprendizado Acionamento Testes Contingência Aprovação da Controle Se necessário Gestão Revisão Com base nesta afirmação, entenmos o quanto é importante que as mudanças internas ou externas, que causem impacto à organização sejam analisadas criticamente. Novos serviços, produtos e atividas com impacto as atividas negócio vem ser revistas sempre que possível e quando necessário, incluí no programa manutenção da GCN, como contribuição para isso, a Secretaria Fazenda do Distrito Feral disponibilizará sempre que revisada uma nova versão da política, manuais e molos Gestão Página 25 28

26 Secretaria Fazenda do Distrito Feral G.R.O. Gestor G.R. Intificação Avaliação Gestor do Processo AIN Proposta Pessoas; Instalações; Informações; Suprimentos; Partes interessadas. Gestores processos Aprendizado Acionamento Testes Contingência Aprovação da Controle Se necessário Gestão Revisão A gestão crise, com envolvimento processos, produto ou prestação serviços será realizada da seguinte forma: I. Incluindo incintes, a gestão crise é responsabilida coornadores do partamento específico, e, na sua ausência, seu substituto formalmente signado, na falta sse o Diretor ou conselho; 9.4. Registro Incinte Após todo e qualquer processo ativação Plano Continuida ou gestão crise, cabe: I. Ao lír do grupo funcional: registrar a scrição do incinte, o que foi bem sucedido, o que falhou e os aprimoramentos implementa para correção das fragilidas intificadas (por meio do software Gerenciamento Serviços disponível institucionalmente, o CITSmart). Bem como as ações, responsáveis e prazos para implementação melhorias, se necessário; II. Áreas coornação: supervisionar os registros scritos e relacionar sempre que necessário em Relatório do ocorrido, forma sintética, os acertos, as fragilidas e as implementações realizadas. Após o incinte, o gestor responsável por GCN ve registrar o incinte em relatório próprio, mesmo que não ocorra a interrupção processos. Os Página 26 28

27 Secretaria Fazenda do Distrito Feral relatórios emiti vem ser analisa em conjunto com outros partamentos ou Conselho TI para conhecimento e adoção medidas julgadas necessárias Comunicação a mídia Caso o acionamento do Plano Continuida ou a gestão crise gere a necessida atendimento à imprensa, essa atribuição ve ser sempenhada por área ou partamento formalmente finido, com apoio da coornação projetos. 10. Documentação do GCN Molos Processos manutenção e atualização da política e manuais internos GCN são realiza periodicamente, como resultado do programa manutenção da GCN da Secretaria Fazenda do Distrito Feral apresentará os molos documentos através meios comunicação disponíveis corporativamente Auto-avaliação Um processo auto-avaliação GCN tem papel importante para garantir que a organização tem competência e capacida GCN sólidas, eficazes e aquadas. Esse processo verifica qualitativamente a capacida da organização se recuperar um incinte. Fonte: ABNT NBR :2007 A auto-avaliação da GCN corporativa tem um papel importante até mesmo para verificar os objetivos da organização, garantir que o Órgão tem competência e capacida para prover controles aqua GCN, acordo com as normas e práticas internas e externas. 11. Bibliografia utilizada e recomendada Normas Internas As normas internas utilizadas para elaboração do material apresentado são: I. Metodologia Gestão Continuida Negócios (GCN) da Secretaria Fazenda do Distrito Feral. II. Molos Documentos Gestão Continuida Negócios da Secretaria Fazenda do Distrito Feral Normas, regulamentações e circulares externas I. ABNT NBR : 2007 Gestão Continuida Negócios (Parte 1: Código Prática); II. ABNT NBR : 2007 Gestão Continuida Negócios (Parte 2: Requisitos); Página 27 28

28 Secretaria Fazenda do Distrito Feral III. ANBT NBR ISO/IEC : 2005 Tecnologia da Informação Técnicas Segurança Código prática para a gestão segurança da informação (capítulo 14: Gestão da Continuida do Negócio). 12. Créditos pelo Treinamento Profissionais da Central IT e Coornações da Secretaria Fazenda do Distrito Feral, envolvi direta e indiretamente na elaboração da documentação, conforme relacionado: I. Sanclé Landim Albuquerque (Central IT) Consultor Gestão Continuida Negócios com crencial CBCP; II. Rodolfo Chaves Guaraciaba (Central IT) Gerente Contratos; III. IV. Mário Henrique Paes Vieira (SEF-DF) Coornador Projetos; Eduardo Cassino Teixeira (SEF-DF) Assessor do Subsecretário da SUTIC. Página 28 28