ANEXO I PROJETO BÁSICO: ESPECIFICAÇÕES DO OBJETO

Transcrição

1 1. OBJETO ANEXO I PROJETO BÁSICO: ESPECIFICAÇÕES DO OBJETO 1.1. Contratação de serviços de consultoria para o desenvolvimento e implementação de um Sistema de Gestão de Continuidade de Negócios (SGCN) para o BNDES A prestação dos serviços será efetuada em 8 (oito) ETAPAS: ETAPA 1: consiste no planejamento, pela Contratada, do Projeto de desenvolvimento e implementação de um SGCN no BNDES, nos termos do item 2.1 deste Anexo I. Esta etapa envolve a declaração de escopo; o cronograma de execução; o plano de gerenciamento de riscos do projeto; o plano de gerenciamento das mudanças; a definição da equipe do projeto (BNDES e Contratada); o plano de gerenciamento da qualidade; o plano de comunicação, e a monitoração e controle do projeto ETAPA 2: consiste na revisão da Política Corporativa de Gestão de Continuidade der Negócios GCN do BNDES e na estruturação de um Programa de Gestão de Continuidade de Negócios, nos termos do item 2.2 deste Anexo I. Nesta etapa devem ser estabelecidas diretrizes que tratem da continuidade de negócios, a coleta de informações relativas à posição da Alta Administração em relação à necessidade de recursos em GCN e à definição de papéis e responsabilidades, para garantir que a GCN será suprida adequadamente em termos dos recursos envolvidos e também em termos de melhoria contínua relacionada às áreas de negócios, produtos e atividades. No tocante ao Programa de Gestão de Continuidade de Negócios, o mesmo deverá conter detalhamento de todas as etapas da GCN com suas respectivas atividades, produtos e responsáveis ETAPA 3: consiste na elaboração da Análise de Impacto nos Negócios (BIA) e da análise e avaliação de riscos, nos termos do item 2.3 deste Anexo I. Nesta etapa produz-se a identificação de quais produtos e serviços são fundamentais e quais são os recursos essenciais que os suportam, e a definição dos critérios de escolha das atividades consideradas críticas. Produz-se também a definição de tempos para retorno das atividades e dos requisitos mínimos necessários à continuidade dos negócios. Com os processos e atividades definidos como críticos no estudo de BIA, devem-se analisar as ameaças e vulnerabilidades presentes nesses processos e nos recursos que os suportam e elaborar um plano de tratamento de riscos ETAPA 4: consiste no detalhamento das Estratégias de continuidade de negócios, nos termos do item 2.4 deste Anexo I. De acordo com os resultados obtidos na etapa anterior, a Contratada deve propor estratégias de continuidade em relação a pessoas, instalações, tecnologias, informação, suprimentos, partes interessadas, etc., bem como definir os planos de ação para implementação das estratégias selecionadas pelo BNDES ETAPA 5: consiste no desenvolvimento do Plano de Gerenciamento de Incidentes, Plano de Continuidade de Negócios e Plano de Recuperação do Negócio, nos termos do item 2.5 deste Anexo I. Nesta etapa são elaborados planos e procedimentos que respondam aos incidentes buscando a contenção e a atenuação dos danos de acordo com as estratégias definidas na etapa anterior ETAPA 6: consiste no planejamento e na realização de testes, bem como na manutenção dos planos e demais documentos da GCN, nos termos do item 2.6 deste Anexo I. Compreende o exercício da capacidade do BNDES de se recuperar de um incidente e em verificar se todas as atividades críticas do BNDES, suas dependências e prioridades estão contempladas nos planos elaborados. Nesta etapa deve-se realçar premissas que possam ser questionadas, gerar confiança 1

2 nas equipes envolvidas nos testes, validar a funcionalidade e tempestividade do processo de restauração das atividades críticas e demonstrar a competência das equipes titulares de resposta a incidentes e de seus substitutos ETAPA 7: consiste nas ações de inclusão da GCN na cultura da organização, nos termos do item 2.7 deste Anexo I, buscando desenvolver, promover e incorporar a cultura de GCN no BNDES para que esta se torne parte dos valores básicos da gestão da organização ETAPA 8: Encerramento do Projeto, nos termos do item 2.8 deste Anexo I. Compreende o fechamento do Projeto com a apresentação da análise crítica dos resultados alcançados e recomendações para futuros projetos de GCN no BNDES, além da entrega da versão final dos produtos do Projeto. 2. DESCRIÇÃO DO OBJETO 2.1 ETAPA 1 Planejamento do Projeto Objetivo Absorção, pela Contratada, das expectativas do BNDES em relação ao planejamento e à execução das atividades que serão desempenhadas durante todas as etapas do Projeto. Constitui, ainda, objetivo desta etapa, o planejamento do controle, da comunicação e da monitoração das atividades que serão realizadas no decorrer do Projeto Atividades a) Realizar reunião preliminar, a ocorrer após a assinatura do contrato, em data comunicada previamente à Contratada, para: I. alocação e apresentação da equipe da Contratada; II. apresentação dos documentos comprobatórios dos perfis profissionais exigidos no Anexo II; III. entendimento e nivelamento de termos, conceitos e nomenclaturas utilizadas no Projeto; IV. definição de papéis e responsabilidades das equipes: Contratada e BNDES b) estabelecer o cronograma detalhado do Projeto, observado o Cronograma de Execução do Contrato, constante no Anexo III; c) definir a forma de condução e gerenciamento do Projeto; d) agendar as reuniões necessárias ao início do desenvolvimento do Projeto; e) definir o modus operandi do Projeto; f) definir aspectos relacionados ao gerenciamento de mudanças, de risco e de qualidade do projeto, bem como relacionadas a controle, comunicação e monitoração de atividades; e g) planejar e realizar a migração e adaptação do sistema informatizado previsto no item 3.2.1, conforme estabelecido no item

3 2.1.3 Produto da Etapa a) Relatório de Planejamento do Projeto (Produto 1A) contendo: I. objetivos do Projeto; II. declaração de escopo, contendo a descrição do foco do Projeto, definindo claramente o que será contemplado no projeto de desenvolvimento e implementação do SGCN no BNDES através das principais atividades, entregas, premissas e restrições; III. papéis e responsabilidades de toda a equipe envolvida no Projeto, seja da contratada, seja do BNDES; IV. Plano de Gerenciamento do Projeto, contendo: plano de gerenciamento de riscos, plano gerenciamento de mudanças, plano de gerenciamento da qualidade e plano de comunicação; V. Plano de Monitoramento e Controle do Projeto, descrevendo o modus operandi a ser adotado no desenvolvimento e no acompanhamento do desempenho do Projeto; VI. cronograma de execução das atividades e de entrega dos produtos, mês a mês, observado o Cronograma de Execução previsto no item 10 deste Anexo; e VII. planejamento da migração e adaptação do sistema informatizado. Prazo máximo para execução da Etapa 1, a contar da data de realização da Reunião Preliminar: 02 meses, conforme disposto no Cronograma de Execução do Contrato constante no Anexo III ETAPA 2 Política e Programa de GESTÃO DA CONTINUIDADE DE NEGÓCIOS Objetivo A etapa de Política e Programa de Gestão da Continuidade de Negócios - GCN objetiva revisar a Política de GCN do BNDES e coletar, junto à Alta Administração, informações úteis relacionadas à sua posição quanto à necessidade de investimentos em termos de tempo, capital, recursos e tecnologias, para que seja definido um Programa de Gestão da Continuidade de Negócios. Abrange também identificar a visão atual da Alta Administração do BNDES, de quais são os limites aceitáveis em termos de perdas financeiras, impactos na imagem, na operação e no atendimento a normas e regulamentações aos quais o BNDES está sujeito, caso ocorra um incidente que afete a disponibilidade de processos e atividades Atividades a) Identificar os principais objetivos estratégicos e corporativos definidos nos processos de planejamento do BNDES, com base no entendimento da sua missão, do seu posicionamento estratégico, bem como de seus ambientes de negócio e de tecnologia de informação (TI); b) entrevistar membros da Alta Administração e responsáveis por processos do BNDES para obter informações necessárias para a definição das diretrizes de continuidade de negócios; 3

4 c) definir as diretrizes de continuidade de negócios que deverão nortear a revisão do conteúdo da Política de GCN e elaboração do Programa de GCN do BNDES, de modo que garantam: I. que todas as atividades de GCN sejam conduzidas e implementadas de modo controlado; II. o alcance de uma capacidade de continuidade de negócios que vá ao encontro das necessidades de negócios e que seja apropriada ao tamanho, complexidade e natureza do BNDES; III. a implementação de uma estrutura claramente definida para a capacidade contínua de GCN; d) definir quais princípios, guias, normas, regulamentos e políticas são pertinentes e que tenham que ser considerados ou possam ser usados como referência para a GCN; e) revisar e avaliar o conteúdo das diretrizes de acordo com as definições estratégicas do BNDES; f) revisar a Política de GCN para o BNDES, em alinhamento com o item 4 (A política de Gestão da Continuidade de Negócios) da norma NBR :2007, para que a Equipe do BNDES possa aprová-la junto à Alta Administração do BNDES; g) definir o escopo de GCN no BNDES; h) definir a necessidade de alocação de recursos financeiros e operacionais para GCN; i) elaborar o Programa de GCN com as seguintes atividades: I. desenhar o processo de GCN; II. definir atividades, etapas e produtos de cada uma das etapas relacionadas à GCN; III. definir e atribuir papéis e responsabilidades em relação a cada etapa e atividade; IV. avaliar a estrutura da área responsável pela manutenção da GCN no BNDES; V. definir a estrutura das equipes responsáveis pela continuidade de negócios em situações de crise; VI. definir poderes antes, durante e após a situação de crise; j) revisar e avaliar o conteúdo do Programa de GCN; k) acompanhar a validação do Programa de GCN, a ser feita pela Equipe do BNDES junto à Alta Administração do BNDES; l) realizar atividades de controle, comunicação e monitoração das atividades e qualidade dos produtos a serem entregues, durante toda a etapa; e m) apresentar o acompanhamento do cronograma de execução mensal do Projeto na entrega de cada produto da etapa 2, com detalhamento das ações planejadas e executadas, indicando as ações corretivas para as atividades cujo prazo de execução seja superior ao prazo planejado, observado o Cronograma de Execução do Contrato previsto no Anexo III Produtos da Etapa a) Relatório de Diretrizes de GCN para o BNDES (Produto 2A), contendo: I. Informações relacionadas aos objetivos estratégicos e ambiente de negócios do BNDES; 4

5 II. III. Princípios, guias, normas, regulamentos ou políticas a serem utilizadas como referência para GCN; Diretrizes de continuidade de negócios para o BNDES, de acordo com os objetivos estratégicos e a visão da Alta Administração. b) Política Revisada de GCN (Produto 2B), que deve conter: I. diretrizes e definições sobre GCN no BNDES; II. glossário de termos; III. papéis e responsabilidades das unidades do BNDES. c) Programa de Gestão de Continuidade de Negócios (Produto 2C), que deve conter: I. escopo de GCN para o BNDES; II. atividades, produtos e responsáveis internos de cada etapa de GCN; III. estrutura das equipes responsáveis pela continuidade de negócios. Prazo máximo para execução da Etapa 2, a partir do término da Etapa 1: 04 meses conforme disposto no Cronograma de Execução do Contrato constante no Anexo III. 2.3 ETAPA 3 Análise de IMPACTO nos Negócios (BIA) e ANÁLISE E AVALIAÇÃO DE RISCOS Esta etapa do Projeto é dividida em duas partes: Análise de Impacto nos Negócios (BIA) e análise e avaliação de riscos Análise de IMPACTO nos Negócios (BIA) Objetivo É objetivo desta etapa compreender o funcionamento do BNDES e priorizar os processos e atividades que necessitam ter sua continuidade assegurada caso ocorram incidentes. Utilizando a visão inicial de limites e critérios de perdas levantados na Etapa 2, realizam-se entrevistas com os responsáveis pelos macroprocessos do BNDES, definidos no Anexo IV que buscam identificar ou validar o grau de criticidade destes processos, e os recursos que os suportam. Nesta etapa, deve-se, ainda, qualificar e quantificar os impactos decorrentes de uma interrupção que afete a entrega ou a disponibilidade dos produtos e serviços suportados por estes macroprocessos e atividades. Além disto, busca-se entender a evolução do(s) impacto(s) na linha do tempo e as perdas e prejuízos decorrentes para o BNDES. Os tipos de impacto gerados por uma interrupção podem ser diversos, de acordo com as características de negócio do BNDES, partes interessadas, ambiente político, objetivos de negócio e devem ser analisados e avaliados de acordo com os seguintes aspectos: I. impactoao bem-estar das pessoas; II. dano ou perda de instalações, tecnologias ou informações; III. não cumprimento de deveres ou regulamentações; IV. danos à reputação do BNDES junto a partes interessadas; V. danos de natureza política; 5

6 VI. danos à viabilidade financeira; VII. deterioração da qualidade de produtos ou serviços; e VIII. danos ambientais. Nesta análise, define-se também o Período Máximo de Interrupção Tolerável (PMIT) de cada processo e/ou atividade. Além do PMIT, a Contratada deve identificar junto aos entrevistados o Ponto Objetivado de Recuperação (RPO) de cada processo e atividade. Os processos e atividades abordados na Análise de Impacto nos Negócios serão ordenados de acordo com o grau de criticidade dos impactos, os Períodos Máximos de Interrupção Tolerável (PMITs) e Pontos Objetivados de Recuperação (RPOs), frente a uma interrupção e suas consequências para o BNDES e partes interessadas. É alvo desta análise definir os requisitos mínimos da continuidade de negócios, tais como: recursos de TI, telecomunicações, rede, pessoas, fornecedores críticos, etc Atividades a) Efetuar o levantamento e análise da documentação a respeito de processos, atividades, tecnologias e ambientes; b) efetuar o levantamento de Acordo de Níveis de Serviço (SLA) dos fornecedores de serviços e tecnologias à operação dos macroprocessos do BNDES, bem como análise e avaliação de riscos de toda cadeia de fornecimento de terceiros; c) agendar entrevistas com os responsáveis pelos processos e demais pessoas necessárias; d) realizar as sessões de workshops com gestores dos processos de negócio, com o objetivo de apresentar o trabalho e sensibilizá-los para a coleta de informações acerca da criticidade de seus processos; e) efetuar o levantamento de informações através de questionários junto a estes gestores de processos; f) elaborar o Relatório de Análise de Impacto no Negócio, contendo conclusões e recomendações; g) utilizar o sistema informatizado de GCN para apoio nas entrevistas e levantamento de informações; h) compilar as informações; i) efetuar análises que visam a identificar: I. processos críticos; II. interdependências entre processos (entradas e saídas); III. IMPACTOS nos negócios, com base nas perdas financeiras, de imagem, legais e operacionais, devido à indisponibilidade dos processos; IV. as janelas de tempo necessárias para a recuperação dos processos de negócio (PMIT e RPO), em termos qualitativos e quantitativos; V. recursos (sistemas e ativos) e requisitos de negócios para recuperação; j) definir a escala de criticidade dos processos, baseada nas análises previstas no item anterior ; 6

7 k) apresentar o acompanhamento do cronograma de execução mensal do Projeto na entrega de cada produto da etapa 3, com detalhamento das ações planejadas e executadas, indicando as ações corretivas para as atividades cujo prazo de execução seja superior ao prazo planejado, observado o Cronograma de Execução do Contrato previsto no Anexo III Produtos da Etapa a) Relatório de Análise Geral de Processos Internos e Serviços Terceirizados (Produto 3A), contendo: I. descrição dos processos, gestores responsáveis e interdependências; II. identificação dos Acordos de Níveis de Serviço (SLAs) acordados com terceiros; III. resultado da análise e avaliação de risco da cadeia de fornecedores. b) Relatório de Informações dos Processos do BNDES,a ser entregue em 3 versões, cada uma considerando 1/3 dos macroprocessos do BNDES, constantes no Anexo II (Produto 3B.1, Produto 3B.2 e Produto 3B.3), contendo: I. descrição dos processos analisados, com detalhamento de fluxo, entradas, saídas, interelações e periodicidade de execução; II. identificação dos tempos de tolerância (PMIT) e pontos objetivados de recuperação (RPOs) sugeridos pelos gestores para cada processo; III. descrição dos requisitos mínimos de continuidade para cada processo, tais como: recursos de TI, telecomunicações, rede, pessoas, fornecedores críticos, etc; IV. descrição dos impactos causados ao BNDES devido a interrupção de cada processo. c) Relatório de Análise de Impacto no Negócio (Produto 3C), contendo: I. análise e avaliação dos processos sob o ponto de vista de uma interrupção; II. classificação dos processos em função da sua criticidade, com base nos impactos de uma interrupção e nas definições da Alta Administração obtidas através do item b) ; III. elaboração das conclusões e recomendações ANÁLISE E AVALIAÇÃO DE RISCOS Objetivo Realização de uma análise e avaliação de ameaças que podem oferecer riscos de interrupção às atividades identificadas como críticas. Os processos e atividades críticas têm como base recursos como pessoas, instalações, tecnologia, informações e partes interessadas. Esta etapa visa o entendimento das ameaças a esses recursos, as vulnerabilidades de cada recurso e o impacto que ocorreria, caso uma ameaça se tornasse um incidente e causasse uma interrupção no negócio. Deverão ser apresentadas recomendações para mitigação e eliminação das exposições identificadas. No desenvolvimento dessa etapa os seguintes itens serão considerados: I. estrutura predial e vizinhança; II. infraestrutura dos serviços de TI; III. controle de acesso ao Data Center ; 7

8 IV. sistemas de energia e climatização; V. proteção dos recursos de hardware, sistema informatizado e rede, segundo as melhores práticas de mercado; VI. processos e recursos de emergência; VII. processo de backup e armazenamento de mídias; e VIII. recursos de pessoal. Os riscos abordados nesta análise são aqueles que afetam a continuidade dos negócios. O escopo da análise e avaliação de riscos contempla os ativos que suportam os processos e atividades críticas identificados no estudo de BIA. Este estudo terá como resultado a lista de ativos que suportam os processos e atividades que prioritariamente necessitam ter seu nível de risco de interrupção reduzido, para que se diminua o período de interrupção e se limite o impacto de uma parada que afete os produtos e serviços essenciais. Em relação às estratégias de mitigação de perdas e tratamento de riscos, o BNDES poderá optar por: I. continuidade de negócios; II. aceitação; III. transferência; e/ou IV. mudança, suspensão ou término Atividades a) Analisar a documentação existente; b) realizar visitas nas instalações para avaliação dos riscos existentes e identificação dos ativos que precisam ser protegidos, e suas interdependências; c) entrevistar responsáveis pelos ativos considerados na etapa; d) validar dados coletados; e) analisar os dados coletados; f) identificar riscos, vulnerabilidades e ameaças para determinar o potencial de perda; g) fazer uso de sistema informatizado para apoio a análise e avaliação de riscos; h) elaborar Relatório de análise e avaliação de riscos; i) definir ações a serem executadas e respectivas recomendações para mitigação dos riscos; j) classificar as exposições identificadas para definir prioridade de implantação das melhorias propostas; k) elaborar Relatório de Tratamento de riscos; l) apresentar o cronograma de acompanhamento de execução mensal do Projeto na entrega de cada produto da etapa 3, com detalhamento das ações planejadas e executadas, indicando as ações corretivas para as atividades cujo prazo de execução seja superior ao prazo planejado, observado o Cronograma de Execução do Contrato previsto no Anexo III Produtos da Etapa a) Relatório de Levantamento de riscos (Produto 3D), contendo: I. ativos e recursos associados aos processos críticos, e o nível de proteção necessário para os mesmos; 8

9 II. riscos, ameaças e vulnerabilidades identificadas e o potencial de perdas associado. b) Relatório de Análise e Avaliação de Riscos (Produto 3E), contendo: I. resultados técnicos do processo de análise de riscos para todos os ativos e recursos associados aos processos críticos. c) Relatório de Tratamento de Riscos (Produto 3F), contendo: I. recomendações de melhorias que reduzam a chance de ocorrência e o período de uma interrupção; II. recomendações de melhorias que limitem o impacto de uma interrupção dos produtos e serviços fundamentais do BNDES; III. matriz de responsabilidades pela implantação de melhorias: prioridade de implantação das recomendações; custo estimado de implantação das recomendações; cronograma estimado da implantação de recomendações; plano de ação para tratamento das ameaças e vulnerabilidades encontradas; Prazo máximo para execução da Etapa 3, a partir do término da Etapa 2: 10 meses conforme disposto no Cronograma de Execução do Contrato constante Anexo III. 2.4 ETAPA 4 Estratégias de CONTINUIDADE DE NEGÓCIOS Objetivo Esta etapa visa à elaboração de estratégias de continuidade aptas a responder de forma planejada às questões levantadas na Análise de impacto nos Negócios e na análise e avaliação de riscos. As estratégias de continuidade devem ser desenvolvidas visando garantir a disponibilidade dos seguintes recursos: I. pessoas; II. instalações; III. tecnologias (TI, Rede, Comunicações, etc.); IV. informações e processos; V. suprimentos; e VI. partes interessadas. VII. Um estudo deve ser realizado para que se identifique a melhor estratégia de acordo com os interesses do BNDES. A opção pela melhor estratégia tem como base o Período Máximo de interrupção Tolerável (PMIT) definido para cada processo e atividade crítica. Nesta etapa para cada tipo de recurso (tecnológico ou não) que suporta os processos e atividades se define o Tempo Objetivado de Recuperação (RTO), que deve ser menor que o PMIT. A adoção de RTOs adequados às necessidades do negócio considera os custos de implementação e manutenção das soluções estudadas. A escolha da solução de continuidade considerará os seguintes aspectos: I. custos envolvidos; II. critérios e premissas pré-estabelecidos; III. eventuais consequências por não se agir; e IV. benefícios que justificam os investimentos. 9

10 2.4.2 Atividades a) Analisar os componentes e requerimentos do ambiente operacional dos processos de negócio(s) do BNDES, considerando: I. processos críticos apontados na Etapa 3; II. normas e procedimentos; III. pessoas; IV. PMIT e RPO dos processos de negócio(s); V. ambiente de rede de dados; VI. atual infraestrutura tecnológica; VII. ambiente operacional; VIII. plataformas de processamento utilizadas no BNDES; IX. processo de backup utilizado; X. serviços fornecidos por terceiros; XI. estações de trabalho; b) propor alternativas para o processo de contingência e de recuperação; c) levantar custos estimados das alternativas consideradas; d) elaborar quadro comparativo das alternativas apontando as vantagens e desvantagens levando em consideração recursos humanos, tecnológicos e financeiros, bem como o inter-relacionamento de processos de negócio(s), criticidade e priorização de recuperação; e) elaborar recomendações para o processo de continuidade e recuperação; f) elaborar o relatório de análise das alternativas de continuidade, reunindo as alternativas, cenários, custos e recomendações para o processo de continuidade e de recuperação; g) acompanhar a validação das estratégias de continuidade de negócios, a ser feita pela Equipe do BNDES junto à Alta Administração do BNDES; h) definir metodologia de acompanhamento da implementação de estratégias; i) definir plano de ação para implementação de estratégias; e j) apresentar o acompanhamento do cronograma de execução mensal do Projeto na entrega de cada produto da etapa 4, com detalhamento das ações planejadas e executadas, indicando as ações corretivas para as atividades cujo prazo de execução seja superior ao prazo planejado, observado o Cronograma de Execução do Contrato previsto no Anexo III Produtos da Etapa a) Relatório de Análise do Ambiente Operacional dos Processos de Negócio(s) do BNDES (Produto 4A), considerando: I. processos críticos apontados na Etapa 3; II. normas e procedimentos; III. pessoas; IV. PMIT e RPO dos processos de negócio(s); 10

11 V. ambiente de rede de dados; VI. atual infraestrutura tecnológica; VII. ambiente operacional; VIII. plataformas de processamento utilizadas no BNDES; IX. processo de backup utilizado; X. serviços fornecidos por terceiros; XI. estações de trabalho. b) Relatório de Custos das Alternativas de Continuidade (Produto 4B), contendo: I. alternativas de recuperação e continuidade para atender os requerimentos de negócios e dos serviços de TI; II. os recursos necessários (financeiros e não financeiros) para recuperação dos processos de negócios críticos atendendo aos tempos aceitáveis (RTO), para o retorno das operações definidos na etapa de BIA. c) Relatório de Análise das Alternativas de Continuidade (Produto 4C), contendo: I. exposição de cenários contemplando alternativas de continuidade; II. critérios de escolha das alternativas de continuidade; III. aferição de cada cenário de acordo com o grau de aderência aos critérios estabelecidos; IV. recomendação quanto às estratégias de continuidade que deverão ser implementadas, contendo todo o detalhamento de recursos tecnológicos ou não tecnológicos, investimentos e custos envolvidos em cada opção. d) Plano de Ação para a Implementação das Estratégias (Produto 4D), contendo: I. descrição de metodologia de acompanhamento da implementação das estratégias; II. atividades a realizar; III. cronograma de execução das atividades; e IV. responsáveis pelas atividades. Prazo máximo para execução da Etapa 4, a partir do término da Etapa 3: 05 meses conforme disposto no Cronograma de Execução do Contrato constante no Anexo III. 2.5 ETAPA 5 Plano de Gerenciamento de INCIDENTES, PLANO DE CONTINUIDADE DE NEGÓCIOS e PLANO DE RECUPERAÇÃO DE NEGÓCIOS Objetivo Esta etapa visa o desenvolvimento de planos e procedimentos específicos para responder aos incidentes que afetem a disponibilidade dos processos e atividades críticas e que também permitam uma recuperação pós-incidente e a continuidade destas atividades. Os planos em referência deverão estar em consonância com as estratégias de continuidade de negócios definidas na Etapa 4. No Plano de Gerenciamento de incidentes encontram-se as listas de ações e os responsáveis pelas respostas e contenção dos incidentes. O Plano de Continuidade de Negócios orientará e possibilitará que as áreas de negócios recuperem a operação de seus processos, retomando suas atividades num 11

12 local alternativo de contingência. Este plano também deverá tratar da recuperação dos ativos de TI no local escolhido para a contingência. O Planod e Recuperação de Negócios orientará e possibilitará que todos os componentes do negócio recuperem o nível mínimo de operação de seus processos, através da definição de atividades de retorno à normalidade. Além disto, esta etapa trata da estruturação da administração de crises definindo os papéis e responsabilidades durante a execução dos planos de continuidade Atividades a) Definir que devem ser tratados; b) definir pessoas e equipes responsáveis por suportar e executar os planos; c) definir uma estrutura para administração de crises; d) definir ordem de acionamento dos planos; e) resgatar as informações da Análise de impacto nos Negócios e da Estratégia de Continuidade, produzidos nas etapas anteriores deste Projeto e realizar entrevistas e sessões de workshops com os responsáveis pelos processos buscando identificar: I. os procedimentos que serão adotados pelos processos e subprocessos em caso de desastre; II. papéis e responsabilidades; III. necessidades operacionais; IV. recursos necessários (manuais, documentos, ferramentas, etc.); f) documentar os PGI, PCN e PRN para o processo (ou agrupamento de processos) do BNDES; g) fazer uso de sistema informatizado para elaboração de Plano de Continuidade de Negócios; h) acompanhar a validação do PCN, PGI e PRN, a ser feita pela equipe gestora do BNDES junto à Alta Administração do BNDES; i) implantar possíveis mudanças solicitadas; j) apresentar o acompanhamento do cronograma de execução mensal do projeto na entrega de cada produto da etapa 5, com detalhamento das ações planejadas e executadas, indicando as ações corretivas para as atividades cujo prazo de execução seja superior ao prazo planejado, observado o Cronograma de Execução do Contrato previsto no Anexo III Produtos da Etapa a) Relatório de Diretrizes Gerais dos Planos (Produto 5A), contendo: I. incidentes e cenários a serem considerados; II. papéis e responsabilidades; III. definição da estrutura de administração de crises; IV. ordem de acionamento dos planos. b) Relatório de Procedimentos de Contingência dos Processos Críticos (Produto 5B), contendo: 12

13 I. os procedimentos que serão adotados pelos processos e subprocessos em caso de desastre; II. pessoas e equipes responsáveis por executar os planos; III. necessidades operacionais; IV. recursos necessários (manuais, documentos, ferramentas, etc.). c) Plano de Gerenciamento de Incidentes - PGI (Produto 5C), contendo: I. lista de tarefas e ações frente aos incidentes; II. contatos de emergência; III. atividades das pessoas e equipes; IV. comunicação à mídia; V. gestão de partes interessadas; VI. localização para o gerenciamento de incidentes; VII. fluxo de tratamento de incidentes. d) Plano de Continuidade de Negócios - PCN (Produto 5D), contendo: I. plano de ação e listas de tarefas por sítio e cenário; II. recursos necessários para cada plano; III. responsáveis pela manutenção do plano; IV. responsáveis pela execução do plano; V. prazo estimado de operação das atividades do plano; VI. recursos necessários ao ambiente de contingência. e) Plano de Recuperação do Negócio -PRN (Produto 5E), contendo: I. plano de ação e listas de tarefas por componente de negócio impactado na interrupção/contingência, referentes ao retorno à normalidade; II. recursos necessários para cada componente de negócio impactado na interrupção/contingência, referentes ao retorno à normalidade; III. responsáveis pela execução dos planos de recuperação; IV. prazo estimado de retorno das atividades dos componentes de negócio impactado na interrupção/contingência; V. recursos necessários ao ambiente de recuperação. Prazo máximo para execução da Etapa 5, a partir do término da Etapa 4: 10 meses conforme disposto no Cronograma de Execução do Contrato constante no Anexo III. 2.6 ETAPA 6 TESTEs e manutenção dos planos e demais documentos da GCN Esta etapa divide-se em duas partes: Teste Validação dos Planos e Manutenção do Programa de Gestão de Continuidade de Negócios TESTES e Validação dos Planos 13

14 Objetivo Esta etapa visa garantir a confiabilidade dos planos e procedimentos elaborados na etapa anterior, e assegurar sua atualização, através da realização de testes/validações. Esta etapa visa, ainda, a validar a recuperação dos serviços de tecnologia (TI, Rede, etc.) e a continuidade operacional das atividades, incluindo a disponibilidade e o remanejamento de pessoal. O Plano de Testes do PGI, PCN e PRN considera o papel dos colaboradores envolvidos, terceiros/fornecedores críticos, e outros participantes esperados para as atividades de recuperação e continuidade. O Plano de Testes define os tipos de teste que serão realizados, seu grau de complexidade, atividades, e freqüência recomendada. A partir das orientações do Plano de Testes, serão planejados os testes do PGI, PCN e PRN, e executados os testes. Com isto, são testados os preparativos necessários e a infraestrutura de GCN, incluindo papéis, responsabilidades e quaisquer locais de gerenciamento de incidentes e áreas de trabalho. São também avaliados os aspectos técnicos, logísticos, administrativos, de procedimento e outros sistemas em operação dos planos Atividades Realizar o planejamento dos testes que forem definidos para os planos desenvolvidos na etapa 5, compreendendo as seguintes atividades: a) elaborar o Plano de testes, que deverá conter a metodologia para preparação, execução e avaliação dos testes do PCN, PGI e PRN, com a utilização de sistema informatizado; b) elaborar cenários de testes de acordo com a estratégia de continuidade definida, a compor o Plano de testes ; c) elaborar o cronograma dos testes, que irá compor o Plano de Testes ; d) realizar o planejamento dos primeiros testes do PGI, PCN e PRN, que serão realizados; e) acompanhar o agendamento dos primeiros testes e comunicação aos participantes, a ser feito pela Equipe do BNDES; f) acompanhar e apoiar a execução dos primeiros testes de cada processo, que serão realizados nesta etapa pelos profissionais do BNDES; g) avaliar a execução dos testes ; e h) elaborar um relatório de avaliação dos testes Produtos da Etapa a) Plano de Testes (Produto 6A), contendo: I. planejamento de testes dos planos (PGI, PCN e PRN) e metodologia para realização dos testes; II. definição do cenário e tipo dos testes, de acordo com a estratégia de continuidade definida; III. premissas para a realização dos testes ; IV. cronograma das atividades de teste. 14

15 b) Relatório de Planejamento de Testes (Produto 6B), contendo: I. cenários considerados; II. cronograma de execução; III. equipes e pessoas responsáveis pela execução dos planos; IV. estrutura e recursos necessários para a execução dos planos. c) Relatório de Execução do Teste (Produto 6C), contendo: I. procedimentos executados, evidências e critérios de aceitação; II. análise da execução do teste; III. ecomendações para futuros teste Manutenção do Programa de GESTÃO DE CONTINUIDADE DE NEGÓCIOS Objetivo Analisar criticamente e questionar quaisquer premissas adotadas para quaisquer dos componentes (documentos e atividades) do Programa de GCN Atividades Nesta etapa deve ser verificado se: a) gestão e a governança do Programa de Gestão de Continuidade de Negócios foram devidamente implantadas; b) todos os produtos e serviços essenciais e as atividades e recursos críticos que os suportam foram identificados no Programa de GCN; c) a Política/Programa de GCN, documentos, estratégias e planos refletem as prioridades, requisitos e objetivos do BNDES; d) a conformidade da Política/Programa em relação a leis, normas, regulamentações e boas práticas em GCN e em relação ao ambiente de negócio do BNDES; e) os responsáveis pelos processos abordados e a Alta Administração do BNDES foram envolvidos e validaram as etapas de Análise de impacto nos Negócios, Estratégias de Continuidade e Planos; f) as estratégias e planos incorporam as melhorias identificadas na fase de testes e validação ou na ocorrência de eventos críticos; g) de acordo com os resultados obtidos na etapa de testes, realizar se necessário, a manutenção dos demais documentos da GCN tais como: I. Política e Programa de Continuidade de Negócios; II. Análise de Impacto nos Negócios e Análise e Avaliação de Rscos; III. Estratégias de Continuidade. Nesta etapa, a Contratada deverá apresentar, ainda, o acompanhamento do cronograma de execução mensal do projeto na entrega de cada produto da etapa 6, com detalhamento das ações planejadas e executadas, indicando as ações corretivas para as atividades cujo prazo de execução 15

16 seja superior ao prazo planejado, observado o Cronograma de Execução do Contrato previsto no Anexo III Produtos da Etapa a) Relatório de Análise Crítica dos Documentos de GCN (Produto 6D), contendo tópicos que verifiquem se: I. todos os produtos, serviços fundamentais, processos e as atividades e recursos críticos que os suportam foram identificados e incluídos na estratégia de continuidade do BNDES; II. a Política de GCN, suas estratégias, estrutura e planos refletem precisamente suas prioridades e requisitos (os objetivos do BNDES); III. a competência de GCN do BNDES e sua capacidade são eficazes e adequados e vão permitir o gerenciamento, comando, controle e coordenação de um incidente; IV. as soluções de GCN adotadas são efetivas, atualizadas e adequadas, além de apropriadas ao nível de risco enfrentado pelo BNDES; V. o Programa de Manutenção e o Plano de Testes de GCN do BNDES foram efetivamente implementados; VI. as estratégias e planos de GCN incorporam as melhorias identificadas durante os incidentes, testes e no programa de manutenção; VII. os procedimentos de GCN foram efetivamente comunicados à equipe responsável e se esta equipe entende seus papéis e responsabilidades; VIII. os processos de controle de alterações estão implementados e funcionam de forma eficaz. Prazo máximo para execução da Etapa 6, a partir do término da etapa 5: 06 meses conforme disposto no Cronograma de Execução do Contrato constante no Anexo III. 2.7 ETAPA 7 Disseminação da GCN na cultura da organização Objetivo Estabelecer programas de conscientização e treinamento em GCN para que se crie, aumente e se mantenha uma consciência por meio da educação permanente em GCN no Sistema BNDES, consolidando as bases necessárias para a repetição dos ciclos futuros da GCN. Essa etapa será desenvolvida a partir da Etapa 2, até o fim do Projeto, por profissional específico, denominado Consultor Sênior Treinamento, mencionado no 1.9 do Anexo II Atividades a) definir os objetivos, métricas e públicos de interesse da Campanha de Conscientização e treinamento em GCN; b) definir as especificações da Campanha de Conscientização, tais como: I. determinar os meios de comunicação a serem utilizados; II. elaborar cronograma de execução; 16

17 III. determinar a forma e conteúdo dos tópicos de GCN a serem abordados através dos meios de comunicação do Sistema BNDES; c) definir e executar um Plano de Treinamento e Palestras em GCN; I. elaborar cronograma de execução; II. ministrar treinamentos e palestras de melhores práticas em GCN; III. promover a criação da cartilha de GCN. d) acompanhar o cronograma de execução da Campanha de Conscientização e treinamento em GCN; e e) apresentar o acompanhamento do cronograma de execução mensal do Projeto na entrega de cada produto da etapa 7, com detalhamento das ações planejadas e executadas, indicando as ações corretivas para as atividades cujo prazo de execução seja superior ao prazo planejado, observado o Cronograma de Execução do Contrato previsto no Anexo III Produtos da Etapa a) Plano de Campanha de Conscientização (Produto 7A), contendo: I. objetivos, métricas e públicos de interesse; II. os meios de comunicação a serem utilizados; III. a forma e conteúdo dos tópicos de GCN a serem abordados através dos meios de comunicação do Sistema BNDES; IV. cronograma geral de execução da campanha durante todo o Projeto. b) Relatório de Acompanhamento da Campanha de Conscientização,a ser entregue em 6 versões, cada uma considerando as ações de comunicação realizadas no período correspondente, observado o cronograma de Execução do Contrato constante no Anexo III (Produto 7B.1, Produto 7B.2, Produto 7B.3, Produto 7B.4, Produto 7B.5 e produto 7B.6)), contendo: I. descrição das ações de comunicação realizadas no período; II. detalhamento do retorno das ações de comunicação a partir da resposta do público interno; III. análise crítica das ações realizadas e recomendações para futuras ações. c) Plano Geral de Treinamentos e Palestras (Produto 7C), contendo: I. objetivos e públicos de interesse; II. descrição dos treinamentos, com definição do conteúdo adequado a cada público; III. cronograma de execução. d) Treinamentos e Palestras, ministrados de acordo com Plano de Geral de Treinamentos e Palestras. Após a realização dos treinamentos e das palestras, a Contratada deverá entregar um Relatório de Treinamentos e Palestras, em 3 versões, cada uma considerando os treinamentos e palestras realizados no período correspondente, observado o cronograma de Execução do Contrato constante no Anexo III (Produto 7D.1, Produto 7D.2, Produto 7D.3), contendo: 17

18 I. descrição dos treinamentos e palestras ministrados, com especificação de data, hora e local; II. listas de participantes em cada treinamento. e) Cartilha de GCN (Produto 7E), contendo: I. conceitos gerais de GCN; II. normas e regulamentações referentes ao tema de GCN; III. diretrizes de GCN no BNDES; IV. informações relacionadas à operação do BNDES em situações de contingência. Prazo máximo para execução da Etapa 7, a partir do término da etapa 1 : 40 meses, diluídos ao longo do projeto, conforme disposto no Cronograma de Execução do Contrato constante no Anexo III. 2.8 ETAPA 8 Encerramento do projeto Objetivo Esta etapa compreende o fechamento do Projeto, com a apresentação dos resultados finais e a análise crítica de desempenho do projeto Atividades a) produzir Relatório de Encerramento do Projeto, contendo os resultados de cada uma das etapas do Projeto; b) produzir versão final dos produtos do Projeto, contendo os ajustes feitos a partir das etapas anteriores, consolidados em um único documento, a ser entregue em meio físico e eletrônico; e c) realizar sessão de finalização para os colaboradores do BNDES envolvidos no decorrer da execução do Projeto, contendo a análise crítica da implantação do Projeto de SGCN nesta Instituição Produtos da Etapa a) Relatório de Encerramento do Projeto (Produto 8A), contendo: I. análise crítica do desempenho do Projeto, em relação aos objetivos e resultados alcançados; II. descrição dos pontos fortes e fracos relacionados à execução do Projeto em cada uma das etapas; III. lições aprendidas, destacando o aprendizado obtido em cada uma das etapas; IV. recomendações para a realização de futuros projetos em GCN no BNDES, a partir das lições aprendidas; V. acompanhamento final do cronograma de execução. 18

19 b) Apresentações Executivas ministradas aos colaboradores do BNDES envolvidos no decorrer da execução do Projeto, contendo a análise crítica final da implantação do Projeto de SGCN nesta Instituição (Produto 8B). c) Versão final de todos os produtos entregues no decorrer no contrato (Produto 8C). Prazo máximo para execução da Etapa 8, a partir de 4 meses após o término da etapa 6 : 01 mês conforme disposto no Cronograma de Execução do Contrato constante no Anexo III. 3. PREMISSAS 3.1. MACROPROCESSOS do BNDES Fazem parte do escopo do Projeto de desenvolvimento e implementação de um SGCN no BNDES os macroprocessos de negócios levantados pelo Projeto AGIR (Ação para Gestão Integrada de Recursos), listados no Anexo IV. O AGIR trata do mapeamento e interdependência de processos do BNDES e da implantação de uma solução de ERP Durante sua execução, alguns dos macroprocessos poderão se dividir ou se fundir e a Contratada deverá estar preparada para estas mudanças, refletindo-as em seus planos Também fazem parte do escopo do Projeto de desenvolvimento e implementação do SGCN no BNDES as atuais instalações do BNDES, pessoas (empregados ou terceiros), sistemas, tecnologias e ambientes que suportam estes processos de negócio Utilização de sistema informatizado para apoio ao processo de GCN no BNDES Caso haja interesse do BNDES, a Contratada deverá disponibilizar um sistema informatizado que seja capaz de documentar, processar, armazenar, disponibilizar e oportunamente exportar em formato de arquivo apropriado, todas as informações correspondentes aos produtos especificados neste Projeto Básico, para o futuro aplicativo que suportará estas atividades e que integrará a solução ERP adquirida pelo BNDES, ou outro sistema/aplicativo que venha a substituí-lo As bases de dados envolvidas na prestação dos serviços contratados, deverão ser mantidas, pela Contratada, atualizadas, íntegras e, a qualquer momento, disponíveis O conteúdo das bases de dados envolvidas na prestação dos serviços contratados será de propriedade do BNDES. Ao término do Contrato ou a qualquer tempo poderá ser solicitada à Contratada uma cópia das bases e de seus respectivos dicionários de dados em formato de arquivo texto (txt); em mídia digital ou outro formato que seja acordado com o BNDES na ocasião O sistema informatizado previsto no item deve ser utilizado em todas as etapas do Projeto, vinculando os processos de negócio do BNDES e seus respectivos recursos que os suportam, com os planos necessários à continuidade de negócios O sistema informatizado previsto no item deixará de ser utilizado após a migração dos dados e relatórios para a solução ERP adquirida pelo BNDES, ou outro sistema que venha a substituí-lo, quando solicitado pelo BNDES, passando as ações mencionadas no item a serem efetuadas diretamente neste sistema. 19

20 3.2.4 No caso de rescisão contratual, a Contratada se obriga a disponibilizar o sistema informatizado previsto no item ao BNDES por mais 180 dias a contar da data da rescisão O sistema informatizado previsto no item deverá permitir a confecção dos planos (PGI, PCN e PRN) previstos no item 2.5, bem como sua atualização O sistema informatizado previsto no item deverá ser capaz de distribuir as tarefas e procedimentos para os responsáveis pelos planos, bem como o controle e execução O controle de versões dos planos, edição e procedimentos previstos no item 2.5 e 2.6, também devem estar contemplados no sistema informatizado previsto no item Requisitos técnicos do sistema informatizado previsto no item 3.2.1: O sistema informatizado previsto no item deve ser aderente ao ambiente tecnológico do BNDES, conforme estipulado no item Caso o sistema informatizado previsto no item não seja nativamente aderente ao ambiente tecnológico do BNDES (item ), a Contratada deverá planejar e realizar toda e qualquer migração e adaptação do mencionado sistema necessária(s) para a aderência ao ambiente tecnológico do BNDES (item ) até o início da Etapa 2, sem ônus algum para o BNDES A interface gráfica com o usuário deve ser compatível com o Sistema Operacional Windows XP ou outro Sistema Operacional Windows que venha a substitui-lo, a critério do BNDES Caso haja interface gráfica web, esta deve ser compatível com Internet Explorer versões 6 e superior ou Mozilla Firefox versões 2.x e superior Requisitos de Segurança para o Sistema Informatizado previsto no item 3.2.1: O sistema informatizado deverá implementar controle de acesso com atribuição de privilégios por perfil O sistema informatizado, caso seja executado em ambiente web, deverá realizar validação dos dados de entrada quanto à sua conformidade com conteúdos permitidos e esperados. A validação não pode ficar restrita ao navegador O sistema informatizado, caso seja executado em ambiente web, deverá utilizar identificadores de sessão aleatórios imprevisíveis, disponibilizar opção de encerramento de sessão na própria interface e ter suporte à expiração automática de sessões inativas O sistema informatizado deverá ser capaz de gerar trilhas de auditoria, com dados sobre os eventos referentes à autenticação de usuários e suas ações, de forma a manter registros das operações de atualização e das consultas a informações sigilosas O sistema informatizado deve possibilitar o envio para servidores remotos, no padrão syslog e mediante protocolo de transporte orientado à conexão, dos registros de auditoria gerados, logo após a ocorrência dos eventos Caso aplicável, o sistema informatizado deverá implementar criptografia não reversível para a proteção de senhas armazenadas, com a utilização de algoritmos de domínio público. 20

21 O sistema informatizado deverá tratar a saída de informações de modo a permitir a exibição evidente da sua classificação quanto ao grau de sigilo, caso aplicável, do identificador do usuário emitente, do endereço de rede da estação de trabalho do usuário, da data e da hora do acesso O sistema informatizado deverá possibilitar a exibição de mensagens informativas antes da sua utilização pelos usuários O sistema informatizado deverá possuir documentação técnica descritiva, com informações sobre as funcionalidades relacionadas ao controle de acesso e à comunicação de dados Ambiente Tecnológico do BNDES: AMBIENTE ATUAL SERVIDORES - Hardware: HP Proliant DL380 G5; 16 GB RAM; 2 x Intel Xeon Dual Core 1.60 GHz; 2 discos lógicos de 68.2 GB; - IBM System x3775 Type 8877; 32 GB RAM; 4 x AMD Opteron DualCore 2.20 GHz; 2 discos lógicos de 68.2 GB; - Sistema Operacional: Microsoft Windows Server 2003 R2 64 bits; - Sistema Gerenciador de Banco de Dados: SQL Server Servidores Virtuais criados e gerenciados com o software VMWare ESXi v3.5 e VMWare VSphere ESXi v PLATAFORMA DE INTEGRAÇÃO TECNOLÓGICA - Servidor de aplicação JEE: JBoss 4.0.5, JVM 1.5; Conector JBoss e IIS 6.0: Apache Tomcat Connector; - Servidor Web: Microsoft IIS 6.0; - Acesso a dados: jtds (JDBC driver para SQL Server) CORREIO ELETRÔNICO - Lotus Notes ESTAÇÕES DE TRABALHO - Microcomputadores com arquitetura x86 e processador multi-núcleo - Sistema Operacional Windows XP com Service Pack 3 - Navegador Internet Explorer AMBIENTE PLANEJADO SERVIDORES - Servidores físicos com arquitetura x86 de 64 bits (x86-64) e múltiplos processadores multi-núcleo; - Servidores virtuais criados e gerenciados com o software VMware ESX Server 3.5 e vsphere 4.0; - Sistema operacional Red Hat Enterprise Linux 5.x; BANCO DE DADOS - Banco de dados Oracle 10g Release PLATAFORMA DE INTEGRAÇÃO TECNOLÓGICA - Servidor de aplicação IBM WebSphere Application Server 6.x e 7.x; - Servidor web IBM HTTP Server 6.x e 7.x ; 21