Pesquisa sobre Continuidade de Negócios no Brasil /2008

Transcrição

1 Pesquisa sobre Continuidade de Negócios no Brasil /2008 DARYUS Strategic Risk Consulting Brasil w w w. d a r y u s. c o m. b r SÃO PAULO BRASIL

2 2008 DARYUS, Inc. All rights reserved. DARYUS, DARYUS logo, DARYUS Education logo, Global Risk Meeting logo e outras marcas comerciais, serviços e marcas são registrados pela DARYUS Consultoria e Treinamentos Ltda. SP- Brasil. Fica vetada qualquer tipo de reprodução, cópias ou utilização de textos deste documento sem a prévia autorização formal da DARYUS no Brasil ou exterior. As marcas de empresas ou institutos mencionadas neste pertencem a seus respectivos controladores e tem os seus direitos garantidos no Brasil e Exterior. ÍNDICE 1. Sobre a DARYUS Sumário Executivo Apresentação da pesquisa Metodologia utilizada Carta de apresentação da pesquisa Formulário de coleta on-line Resultados da Pesquisa Perfil das empresas e profissionais Planos de Continuidade de Negócios Continuidade de Negócios e a Governança O que contemplam os Planos de Continuidade Conscientização e Treinamentos Exercícios e Testes Conclusões

3 1. Sobre a DARYUS A DARYUS é uma empresa 100% nacional focada em gestão de riscos estratégicos empresariais. Fundada em 2005 tornou-se uma referência em consultoria de riscos no Brasil, principalmente na disciplina de Continuidade de Negócios. Possui duas unidades: Consultoria e Treinamentos, ambas localizadas na Avenida Paulista em São Paulo SP. Em consultoria a DARYUS destaca-se pela experiência dos seus profissionais, metodologias e soluções para Gestão de Riscos, Continuidade de Negócios e Segurança da Informação. De 2005 a 2007, através de parceria com o DRII Disaster Recovery Institute International 1, a DARYUS viabilizou seis edições do curso de certificação do DRII no Brasil. Devido a estas e outras iniciativas recebeu o prêmio SECMASTER 2006 na categoria Melhor Contribuição para o Desenvolvimento de Mercado. A DARYUS possui parceria com o Grupo Impacta 2. Nesta parceria a DARYUS é responsável pelo material didático, metodologia de ensino e instrutores dos cursos de Segurança da Informação (CSO), Cobit, ITIL e Gestão de TI oferecidos pela Impacta ao mercado nacional. A DARYUS também é um Authorized Examination Center do EXIN 3, podendo assim, efetuar sob agendamento as provas para certificações ITIL. 1 Disaster recovery institute international USA (Instituto internacional de recuperação de desastres O Grupo Impacta é líder em treinamentos de TI no Brasil a 20 anos no mercado. Possui várias empresas onde se destacam a Impacta Treinamentos e a FIT Faculdade Impacta de Tecnologia - e 3 Examination Institute for Information Science (instituto de exames para a ciência da informação - 2

4 Visão Ser um diferencial na trajetória de desenvolvimento de empresas e profissionais em gestão de riscos estratégicos empresariais. Objetivo Ser uma empresa líder em serviços de consultoria em Continuidade de Negócios e Segurança da Informação no Brasil nos próximos anos. Missão Contribuir, com serviços relacionados à gestão de riscos, pessoas e consultoria para que nossos clientes atinjam seus propósitos e objetivos. Valores Ética, Responsabilidade, Transparência, Lealdade e Competência. 3

5 BUSINESS CONTINUITY MANAGEMENT 2. Sumário Executivo Ao contrário do que muitos pensam, a realidade das ameaças existentes no Brasil mudou nos últimos anos. Ameaças naturais até ontem discutíveis como terremotos, ciclones e outros agora já são mais reais e assustadoras. A pergunta é: O quanto estamos realmente preparados? As organizações brasileiras ao longo dos últimos anos perceberam que gerir riscos, está muito além dos riscos do mercado financeiro. A Gestão de Riscos deve fazer parte da gestão empresarial diária de quem almeja a liderança ou simplesmente quer exportar produtos e serviços nos próximos anos. Para quem atua com gestão de riscos, e principalmente em Continuidade de Negócios (CN), vale ficar atento a quatro grandes temas para reflexão: 1. - O cenário atual de desastres no Brasil; 2. - A economia brasileira e o ambiente de negócios; 3. - O impacto do negócio regido por índices; 4. - O índice de risco país. 1. O cenário atual de desastres no Brasil. Tomando como base o CENACID 4 da UFPR (Universidade Federal do Paraná) e o ISDR 5, apresentamos a seguir dados e informações sobre esta nova realidade brasileira. O CENACID 4 O Centro de Apoio Científico de Situações de Desastre é uma unidade especial do Núcleo Interdisciplinar de Meio Ambiente e Desenvolvimento da Universidade Federal do Paraná (UFPR) e tem por objetivo proporcionar apoio científico e técnico à comunidade em situações de emergências. 4

6 define algumas regras para inclusão dos acidentes e desastres, que devem apresentar ao menos as seguintes características: 1. Não ser relativo a guerra, assaltos, crimes, etc.; 2. Ter resultado em pelo menos uma morte; 3. Ter resultado em prejuízos econômico superiores a R$ ,00 (Reais); 4. Ter afetado seriamente um ecossistema; 5. Ter resultado em preocupação extrema da sociedade: manchetes com o tema, passeatas, etc.); 6. Ter resultado em punição legal do causador (prisão); 7. Ter exigido resposta da defesa civil estadual ou nacional. Apresentamos os resultados que servem para informar e orientar os gestores de Continuidade de Negócios no Brasil, sendo: TABELA 1 - TIPOS DE ACIDENTES NO BRASIL 2007 Estado Tipo de acidentes Data AC Vazamento de substâncias perigosas 20/12/2007 BA Deslizamento 04/12/2007 MG Alagamento Inundação Temporal Sismo Sismo 13/12/ /12/ /12/ /12/ /12/2007 MT Vazamento de substâncias perigosas 23/12/2007 PR RJ Alagamento Inundação Alagamento Acidente tecnológico Alagamento Deslizamento Desabamento Deslizamento Temporal Vazamento de substâncias perigosas Vazamento de substâncias perigosas 06/12/ /12/ /12/ /12/ /12/ /12/ /12/ /12/ /12/ /12/ /12/2007 RN Sismo 12/12/2007 Alagamento 28/12/2007 RS Inundação 28/12/2007 SC Alagamento 11/12/2007 SP Alagamento Alagamento Alagamento Acidente tecnológico Deslizamento 06/12/ /12/ /12/ /12/ /12/ International Strategy for Disaster Reduction ( ESTRATÉGIA INTERNACIONAL PARA REDUÇÃO DE DESASTRES. 5

7 Estes acidentes computados pelo CENACID refletem que as regiões de SP e PR são as mais afetadas, seguidas pelo RJ, veja : PERCENTUAL DE ACIDENTE NO BRASIL 2007 Veja o total de acidentes significativos no Brasil em 2007: TOTAL DE ACIDENTES CENACID BRASIL

8 Uma pesquisa recente do Instituto de Geociências da Universidade Federal de Minas Gerais (IGC/UFMG) mapeou o território brasileiro e identificou 48 falhas geológicas mestras, locais onde "nascem" os terremotos. Dirigida e conduzida pelo Prof. Allaoua Saadi, pesquisador do IGC/UFMGO, o projeto faz parte do Programa Internacional da Litosfera (International Lithosphere Program) que, através de uma força-tarefa, mapeia as estruturas tectônicas em atividade no planeta para prever catástrofes naturais. Por muito tempo, a idéia de que o Brasil estava livre do risco de terremotos, furacões ou outro tipo de catástrofe natural prevaleceu no imaginário popular. Segundo o professor Saadi, porém, a ausência de tais fenômenos não se deve à interferência divina, mas a um conjunto de fatores resultantes do tipo de ocupação do País. A legislação atual obriga as empresas a realizarem uma avaliação do risco de sismicidade induzida antes de iniciar a construção de barragens. Isso porque a maioria dos rios cria seus leitos ao longo das falhas geológicas, zonas frágeis onde surgem os terremotos. Dessa forma, as chances de qualquer barragem estar localizada em cima de uma falha são grandes. A espessa coluna d água cria tensão suplementar, e aquele tremor que só ocorreria depois de um século pode ser antecipado para daqui a alguns meses ou anos. (fonte: 6.br) É possível evitar catástrofes? A necessidade de conhecer a natureza, dinâmica, origem e evolução da crosta terrestre levou à criação de um projeto mundial para estudo dos terremotos. Instituído em 1980, o 7

9 Programa Internacional da Litosfera (International Lithosphere Program) funciona através de grupos de trabalho localizados em todos os continentes. O professor Saadi é o coordenador do trabalho no Brasil, papel que assumiu efetivamente em Todas as informações serão reunidas em um grande mapa-múndi que permitirá, até certo ponto, evitar futuras catástrofes. "É bom lembrar que não podemos afirmar quando ou com qual "A França possui registros históricos de quase dois milênios, que contam também sobre eventos geológicos ocorridos na região. No Brasil isso é mais difícil. Os dados confiáveis que temos não ultrapassam os anos". intensidade os terremotos irão ocorrer. O que o estudo indica são os locais com maior probabilidade de serem atingidos por terremotos", explica o professor. Em países como o Japão, boa parte dos investimentos na área vão para pesquisas que tentam prever a data dos abalos, o que permitiria elaborar com antecedência um plano de evacuação. No entanto, isso ainda não foi alcançado. Conhecer a história do país também ajuda na previsão de tremores. Cada uma das falhas identificadas pela equipe de Saadi está relacionada no site do IGC ( junto com características, probabilidade de movimentação e eventuais abalos relacionados a ela. O espaço é aberto também àqueles que desejam acrescentar outros dados. 6 A FAPEMIG é a única agência de fomento ao desenvolvimento científico e tecnológico de Minas Gerais. É uma fundação do Governo Estadual, vinculada à Secretaria de Estado de Ciência, Tecnologia e Ensino Superior. Os recursos financeiros são assegurados pela Constituição do Estado 8

10 O primeiro relatório de atividades foi apresentado em 1999, mas o trabalho ainda não terminou: falta traduzir os dados para a base cartográfica do serviço geológico americano. Assim que o serviço for concluído, o mapa do Brasil ocupará o mapa das maiores falhas ativas (World Map of Major Active Faults). (fonte: 7.br) 2. A economia brasileira e o ambiente de negócios. Sendo o país mais populoso e economicamente poderoso da América do Sul, o Brasil, está em posição de se consolidar como um líder mundial literalmente. Com uma economia equilibrada, reservas cambiais sólidas, uma política econômica realista o que falta é somente mais disposição política para isto acontecer. Empresas e investidores vêem no Brasil muitas características positivas para investimentos a médio e longo prazo, devido aos recursos naturais de nossa terra, a qualidade de nossos profissionais, a produção industrial, a flexibilidade e criatividade do povo brasileiro e a superação das empresas brasileiras que competem no mercado internacional com competência. Até o quase esquecido etanol (Álcool) ressurgiu como uma Fênix 8 para se tornar a grande moeda de virada econômica do Brasil. Somos os mais especializados e tecnologicamente viáveis para abastecer com etanol os países que se interessarem. Porém, o Brasil está vendendo esta tecnologia ou fornecendo gratuitamente?. Como não temos uma legislação favorável a proteção intelectual, sofremos ao ver o pouco conhecimento tecnológico esvairindo entre os dedos, assim como vemos todos 7 A FAPEMIG é a única agência de fomento ao desenvolvimento científico e tecnológico de Minas Gerais. É uma fundação do Governo Estadual, vinculada à Secretaria de Estado de Ciência, Tecnologia e Ensino Superior. Os recursos financeiros são assegurados pela Constituição do Estado 8 A Fênix ou Fénix - é um pássaro da mitologia grega que quando morria entrava em autocombustão e passado algum tempo renascia das próprias cinzas. 9

11 os dias as riquezas naturais da amazônia saindo por nossas fronteiras. Cada vez mais o mundo será conduzido por índices (ratings), ou seja, índices que comparam as rganizações. Infelizmente a legislação fraca e a justiça morosa e duvidosa permite que os criminosos do mundo digital ou tradicional se escondam na sala com a luz acesa, e questionem o óbvio. Para gerir adequamente os riscos globais precisamos entender que mesmo enquanto pessoas jurídicas temos que considerar as ameaças político-econômicas, além das naturais, físicas, humanas e tecnológicas. 3. O impacto do negócio regido por índices. Cada vez mais o mundo será conduzido por índices (ratings), ou seja, índices que comparam às organizações. O indicador sobre os riscos corporativos será grande diferencial nesta conta para investidores e acionistas. Para alguns o risco financeiro é o que importa, mas, saiba que o risco operacional tem muito a dizer sobre uma organização e sua gestão. No Brasil cada vez mais as empresas entendem que os riscos operacionais são parte essencial de todo um programa de gestão dos riscos, contemplando: processos, pessoas e tecnologia. Mesmo tendo requisitos legais muito significativos e a própria BASILEIA II com demandas, algumas instituições financeiras ainda estão com problemas na implementação da Resolução 3380 do BACEN, que foca a gestão dos riscos operacionais. A cultura da gestão de riscos não pode ficar restrita ao mercado financeiro, e sempre relacionada a leis e normas. Os outros segmentos precisam encarar com mais seriedade também. De 10

12 acordo com as melhores práticas, processos de Gestão de Riscos, Segurança da Informação e o de Continuidade de Negócios devem ser sinérgicos, e possuir responsáveis independentes para que isto ocorra. Para alguns institutos internacionais as disciplinas que compõe a gestão de riscos são: Continuidade de Negócios, Governança de TI, Segurança da Informação, Responsabilidade Social Corporativa, Segurança em TI, Segurança Física, Saúde e Meio Ambiente e Conformidade Legal e Regulatória. Claro que estas disciplinas podem ser tratadas de forma independente, porém, elas precisam se comunicar e trocar seus resultados para que se possa entender o real risco corporativo. Portanto, falar sobre a gestão de riscos é uma forte tendência devido as exigências empresariais e mercadológicas. Sabe-se que organizações que aplicam melhor a gestão de riscos, principalmente as análises de impacto ao negócio (BIA), oferecem melhores condições de resposta frente a adversidades. Quando pensamos em riscos obviamente esquecemo-nos das oportunidades geradas por eles. Quem gerencia riscos de uma forma mais holística, consegue ter maiores oportunidades de transformar riscos em oportunidades e estas em resultados. 9 O índice de risco país O Goldman Sachs 10 criou em 2003 o BRIC-Group (Brasil, Rússia, Índia e China). Estes países foram agrupados há mais de seis anos, por serem economias emergentes no mundo. O Brasil aparece como o principal país e líder deste grupo apesar de 9 Trechos deste texto foram retirados de um artigo publicado na Revista Executivos Financeiros, Ed.4, Ano de 2008, por D Addario, Jeferson. 10 Goldman Sachs (GS) é creditado sobre a criação DO BRIC em Após GS divulgar o quadro do BRIC, tornou-se uma referência na estratégia de investimentos internacionais, e é amplamente referido no investimento e financiamento nestes países. 11

13 ainda ter muitos problemas como a falta de uma reforma tributária, excesso de impostos e outros. A economia brasileira tem um constante crescimento em torno de 4,5% desde E ainda está tímida perto de Rússia, Índia e China. Desde o início do Real em 1994 a economia brasileira vem se recuperando de décadas e décadas de alta inflação, o que A ECONOMIA BRASILEIRA TEM UM CONSTANTE CRESCIMENTO EM TORNO DE 4,5% DESDE inibiu as organiza ções nacionais competir no exterior. De um mero produtor de comodities 11 o Brasil passou a um grande exportador de manufaturados como texteis, eletrodomésticos e até carros e caminhões. a A expressão "risco país" 12 entrou para a linguagem cotidiana do noticiário econômico, principalmente em países como o Brasil e a Argentina. Trata-se de um indicador que auxilia a determinar o grau de instabilidade econômica de cada país. O risco país é um índice denominado Emerging Markets Bond Index Plus (EMBI+) e mede o grau de "perigo" que um país representa para o investidor estrangeiro. Na América Latina, os índices mais significativos são relacionados as economias mais expressivas da região: Brasil, México e Argentina. Comparativos com outros países como Rússia, Bulgária, Marrocos, Nigéria e Malásia também são utilizados no cálculo dos índices. 11 Commodities são produtos básicos, homogêneos e de amplo consumo, que podem ser produzidos e negociados por uma ampla gama de empresas. Podem ser produtos agropecuários, como boi gordo, soja, café; minerais, como ouro, prata, petróleo e platina; INDUSTRIAIS COMO TECIDOS 100% algodão, poliéster, ferro gusa e açúcar; e até mesmo financeiros, como as moedas mais requisitadas (dólar e euro), ações de grandes empresas, títulos de governos nacionais. 12 Alguns trechos baseados no site Prof. Paulo Cezar Ribeiro da Silva. graduado em Ciências Econômicas pela Universidade Federal do Espírito Santo (UFES) em 1982 e Mestre em Gestão Empresarial pela FGV - RJ em

14 O risco-país reflete a percepção de segurança que os investidores externos têm em relação a um país. Esse risco é medido pelo número de pontos percentuais de juros que determinado governo tem de pagar a mais que os EUA para conseguir empréstimos no exterior. A maior economia do planeta é considerada de risco zero para o investidor. O risco-país é calculado por agências de classificação de risco e bancos de investimentos. O banco de investimentos americano J. P. Morgan, que possui filiais em diversos países latinoamericanos, foi o primeiro a fazer essa classificação. O J. P. Morgan analisa o rendimento dos instrumentos da dívida de um determinado país, principalmente a taxa de juros com o qual o país pretende remunerar os aplicadores em bônus, representativos da dívida pública. O risco-país indica ao investidor que o preço de se arriscar a fazer negócios em um determinado país é mais ou menos elevado. Quanto maior for o risco, menor será a capacidade do país de atrair investimentos estrangeiros. Para tornar o investimento atraente, o país tem que elevar as taxas de juros que remuneram os títulos representativos da dívida. 13

15 3. Apresentação da pesquisa Com o crescimento da demanda mundial por práticas de gestão de riscos empresariais percebemos a necessidade de contribuir com colegas da área de consultoria, docentes e estudantes de Continuidade de Negócios, que constantemente nos questionam sobre várias questões contidas nesta pesquisa. Publicada via Internet no final de Outubro de 2007 esta pesquisa levou 8 meses para ser concluída. Contou com a colaboração de inúmeras pessoas das equipes de consultoria e treinamento da DARYUS, empresas parceiras, colegas de mercado, clientes, profissionais certificados pelo DRII no Brasil e colegas atuantes nas áreas de riscos de empresas renomadas. Os nomes dos profissionais que responderam esta pesquisa, bem como o nome das empresas serão mantidos em sigilo e os dados informados são confidenciais e não serão utilizados para outros fins se não este. Foi enviado convite as 500 maiores do Brasil e mais 200 empresas que participam ativamente dos nossos cursos e palestras. Destas, 112 empresas responderam a pesquisa. Infelizmente muitas empresas acham que pesquisas devem ser somente para aspectos comerciais e não forneceram suas importantes respostas. Foi permitido que somente uma pessoa, representante de áreas de riscos, TI, segurança da informação ou Continuidade de Negócios respondesse as perguntas por sua empresa. Sabe-se que este é apenas um pequeno passo para que possamos repetir esta pesquisa nos próximos anos, até termos um comparativo ano a ano da evolução das áreas de continuidade de negócios nas empresas brasileiras. 14

16 Nosso intuito é aprimorar esta pesquisa todos os anos e contribuir com estudos relacionados a Continuidade de Negócios no Brasil e no mundo. Caso tenha alguma sugestão ou contribuição envie um para pesquisas@daryus.com.br, ou ligue para ramal 11 - Education Center. 4. Metodologia utilizada Utilizou-se um questionário on-line, via Internet com cerca de 40 questões de fácil entendimento e múltipla escolha. Este questionário foi dividido em três partes: 1- Perguntas iniciais; 2- Perguntas intermediárias; 3- Perguntas finais. A divulgação da pesquisa foi efetuada por mailing e website da DARYUS e parceiros. O prazo de resposta foi de 150 dias úteis. Após este período houve contato telefônico ativo para confirmar a participação e convidar novos participantes. Quando houve preenchimento por dois ou mais participantes da mesma empresa, os mesmos foram excluídos. Ao atingir 112 empresas pesquisadas, avisamos o encerramento, e 30 dias depois encerrado o link para a pesquisa. Depois os 15

17 resultados da pesquisa foram analisados, consolidados, interpretados, e ela foi redigida e revisada. 5. Carta de apresentação da pesquisa Na introdução a esta pesquisa estava incluso um pequeno texto orientativo em formato de carta ao participante da seguinte forma: Prezado Profissional, Você faz parte de um grupo seleto de pesquisados que representam o mercado brasileiro e contribuirão para a melhoria e desenvolvimento das disciplinas de risco estratégico no país. A pesquisa visa demonstrar a situação atual das empresas em relação a Continuidade de Negócios no Brasil. Está dividida em 3 partes: - Perguntas iniciais (8 perguntas) - Perguntas intermediárias (20 perguntas) - Perguntas finais (11 perguntas) Por favor, responda as questões de maneira muito clara e objetiva. Os itens não aplicáveis devem ser marcados com o item N/A, Não sei ou não pode responder os itens com (*) são obrigatórios de resposta. A participação é gratuita e espontânea. Agradecemos sua participação, Divisão de Pesquisas DARYUS Consultoria e Treinamentos - SP 16

18 6. Formulário de coleta on-line Para facilitar o entendimento e visualização dos pesquisados formulários on-line simplificados foram criados e permitiram a fácil visualização e entendimento das questões, conforme exemplo a seguir: FORMULÁRIO DE COLETA VIA INTERNET 17

19 BUSINESS CONTINUITY BRASIL 7. Resultados da Pesquisa 7.1. Perfil das empresas e profissionais Os setores de Serviços e Financeiro foram os que mais participaram demonstrando claramente que possuem maiores exigências internas e externas para práticas de gestão de riscos. Sendo o setor de Serviços 35%, Financeiro 34%, Indústria 6%, Comércio 4%, Gás & Óleo e Governo 3%, Educação e Agronegócio 2% e Manufatura 1% das respostas desta pesquisa, veja: SEGMENTO DAS EMPRESAS PESQUISADAS Dentre as organizações pesquisadas constatou-se que 30% são grandes empresas que faturam acima de 1 Bilhão de Reais ao ano, 12% faturam acima de 500 milhões de Reais ao ano, 23% tem faturamento entre 100 e 500 milhões de Reais ao ano, 7% ficam entre 50 e 100 milhões ao ano, 11% entre 10 e 50 milhões, 18

20 7% de 5 a 10 milhões de Reais ao ano e 10% até 5 milhões de Reais ao ano. Muitas figuram entre as 500 maiores empresas (com base no relatório anual da revista EXAME) do Brasil, e lideram seus mercados. Isto demonstra a maturidade e preocupação destas empresas em relação aos riscos corporativos, e principalmente Continuidade de Negócios: FATURAMENTO DAS EMPRESAS PESQUISADAS O tempo médio de experiência dos profissionais envolvidos nos projetos de Continuidade de Negócios reflete a preocupação destas empresas com o entendimento sobre o negócio. A maioria atua nas empresas a pelo menos 5 anos: TEMPO DE ATUAÇÃO NA EMPRESA 19

21 Os profissionais participantes em grande parte estão envolvidos com gestão de riscos, segurança da informação ou Continuidade de Negócios diretamente. A maioria destes profissionais tem forte conhecimento das melhores práticas e padrões internacionais. A função organizacional é variável de cada empresa. Não existe uma regra e temos a Continuidade de Negócios sob cuidados do Security Office em alguns casos e de Controles Internos em outros, veja a função dos profissionais envolvidos: FUNÇÃO ORGANIZACIONAL DOS PESQUISADOS Há muitos profissionais certificados e não existe uma regra para qual certificação é a mais indicada para quem atua no dia a dia na Continuidade de Negócios, porém, existem institutos focados somente no estudo da disciplina e capacitação dos profissionais como os dois mais reconhecidos mundialmente, DRII 13 e BCI 14. De todos os setores pesquisados, o maior percentual de certificados está no setor de serviços, reflexo da própria oferta de serviços especializados e consultorias. A maior parte dos 13 Disaster Recovery Institute International-USA 14 Business Continuity Institute-UK 20

22 profissionais é certificado pelo menos como ITIL 15 Foundation (EXIN 16 ), um reflexo natural do crescimento de gestão orientada a processos nos últimos 2 anos. O número de profissionais que buscam conhecer melhor e se certificar em ITIL cresce em torno de 14% ao ano. 25% dos profissionais pesquisados possuem certificações específicas para Continuidade de Negócios pelo DRII como: ABCP 17, CFCP 18 e CBCP 19, 15% possuem certificações pelo ISACA 20 como CISM 21, CISA 22 e CobiT 23 Foundation, o que demonstra a importância e correlação direta com práticas de governança de TI. Outros 7% são Auditores Líderes em ISO , 6% são PMP 25 pelo PMI 26, 4% possuem certificação específica em Continuidade de Negócios pelo BCI, 4% pelo ISC 2 como CISSP 27, veja: CERTIFICAÇÕES DOS PROFISSIONAIS ENVOLVIDOS 15 INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY 16 EXAMINATION INSTITUTE FOR INFORMATION SCIENCE 17 ASSOCIATED BUSINESS CONTINUITY PROFESSIONAL 18 CERTIFIED FUNCTIONAL CONTINUITY PROFESSIONAL 19 CERTIFIED BUSINESS CONTINUITY PROFESSIONAL 20 INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION 21 CERTIFIED INFORMATION SECURITY MANAGER 22 CERTIFIED INFORMATION SYSTEMS AUDITOR 23 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY 24 INFORMATION SECURITY MANAGEMENT SYSTEMS 25 PROJECT MANAGEMENT PROFESSIONAL 26 PROJECT MANAGEMENT INSTITUTE 27 CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL 21

23 A importância destas certificações provém da necessidade de alinhar a estratégia de negócio as práticas de governança de TI, riscos, segurança da informação e A GESTÃO DOS RISCOS É UM CAMPO Continuidade dos MULTI-DISCIPLINAR E ABRANGE UMA Negócios aplicadas em cada organização. GRANDE GAMA DE NEGÓCIOS E DE SOBREPOSIÇÃO DE ÁREAS. Fonte: British Standard Institute É crescente a UK Business Continuity & Risk. percepção pelas organizações de que a Governança de TI de nada vale se não estiver alinhada a disciplina de Continuidade de Negócios e Segurança da Informação. Sendo assim, temos atualmente uma grande preocupação em capacitar cada vez mais profissionais para atuar adequadamente com Gestão da Continuidade de Negócios, por haver uma demanda natural das empresas por este tipo de profissional focado, mas, que tenha conhecimento de outras disciplinas de riscos e possa ser um dos principais fomentadores do alinhamento, sinergia e congruência da visão holística na gestão dos riscos. TEMPO DA ATUAÇÃO DOS PROFISSIONAIS EM CONTINUIDADE 22

24 Ao contrário do que muitos imaginam, a área de continuidade de negócios nos pesquisados apresentou um índice menor de prestadores de serviços ao número de profissionais com carteira assinada (CLTs). Este resultado reflete uma tendência natural das grandes empresas, que é o de registrar mais funcionários. Porém, também reflete a tendência de que para as empresas que são mais maduras em gestão de riscos, ter os funcionários registrados diretamente e não como terceiros significa correr menores riscos em questões trabalhistas, vazamento de informações e fraudes. Ainda não é possível afirmar se este índice subirá, mas, é importante salientar que nesta pesquisa ainda o número de empresas que responderam reflete uma pequena parte do universo corporativo do país, e talvez em uma próxima edição possamos ter uma melhor perspectiva sobre esta pergunta: PRESTADORES DE SERVIÇOS EM CONTINUIDADE DE NEGÓCIOS 23

25 BUSINESS CONTINUITY BRASIL Em relação a capacitação para os profissionais envolvidos com Continuidade de Negócios nestas organizações, foi questionado quem teria especificamente certificação pelo DRII, e as respostas foram, 54% não possui, 15% sim, 12% não sabia que existia, mas, querem informações, 9% não pode responder, 6% Não acham isto relevante e 4% não soube informar, veja a seguir: CERTIFICAÇÃO DO DRII PARA PROFISSIONAIS 7.2. Planos de Continuidade de Negócios Das empresas pesquisadas, 67% possuem hoje um PCN - Plano de Continuidade de Negócios, sendo que a maior motivação para isso foi estarem alinhadas com as melhores práticas do mercado mundial (49%), sendo que somente 11% delas possuem planos a mais de 5 anos e somente 3% gastam mais que 5 milhões de reais em continuidade de negócios. 24

26 EMPRESAS QUE POSSUEM PLANO DE CONTINUIDADE Ter um início é melhor do que não ter sequer pensado no assunto. Como a maioria das respostas foram de grandes corporações entendemos que são extremamente regulamentadas e auditadas em relação a vários requisitos de mercado ou agências reguladoras. Portanto, a pesquisa buscou obter quais os motivadores ou requerimentos que estas empresas tem para que o PCN seja umas das conformidades exigidas. 38% das empresas mencionaram alinhamento com as melhores práticas internacionais, neste caso com as 10 práticas profissionais do DRII, com o BCI e com as normas existentes como a recente BS e 2. Cerca de 19% apontaram a Resolução 3380 do Banco Central (BACEN), que foi publicada em 29/06/2006, e define que todas as instituições autorizadas a funcionar pelo BACEN devem institucionalizar um processo de Gestão de Risco Operacional, onde a contingência e continuidade sejam uma parte importante deste. Outros 16% apontaram para regulamentações setoriais, 5% tem PCN devido a certificação ISO 27001, e apenas 3% mencionaram que o PCN foi concebido devido a incidente/evento que ocorreu na empresa ou um desastre que interrompeu as operações, veja: 25