Coordenadoria de Tecnologia da Informação. Plano de Continuidade de Negócios PCN

Transcrição

1 Coordenadoria de Tecnologia da Informação Plano de Continuidade de Negócios PCN

2 Sumário 1. Introdução Políticas do Plano de Continuidade de Negócios Comitê de Plano de Continuidade de Negócios Alinhamento Estratégico com a Matriz de GPR do Governo Serviços de Governança do Plano de Continuidade de Negócios Funções, Perfis e Competências para Governança do Plano de Continuidade de Negócios Indicadores de Governança do Plano de Continuidade de Negócios Metas de indicadores do Plano de Continuidade de Negócios Plano de Continuidade de Negócios (PCN) Diagrama de Ação do PCN Análise e Impacto de Riscos da PGE para o Governo Análise e Impacto de Riscos da TI para a PGE Identificação de Medidas para cada Incidente Glossário... 15

3 1. Introdução A Procuradoria Geral do Estado do Ceará (PGE), por meio da Coordenadoria de Tecnologia da Informação (CTI), apresenta o Plano de Continuidade de Negócios (PCN), em conformidade ao DECRETO Nº que dispõe sobre a instituição da política de segurança da informação dos ambientes de tecnologia da informação e comunicação (TIC) do Governo do Estado do Ceará e do Comitê Gestor da Informação do Governo do Estado do Ceará (CGSI). Este documento tem o objetivo de garantir a continuidade dos negócios desta Procuradoria, assegurando a disponibilidade de recursos críticos e recuperação do ambiente avariado, promovendo seu retorno a normalidade minimizando os impactos e custos que tal incidente poderia trazer para a PGE, governo e sociedade.

4 2. Políticas e Normas do PCN Este documento dispõe de como planejar e monitorar o Plano de Continuidade de Negócios da Procuradoria Geral do Estado do Ceará. Art. 1º Quanto a periodicidade de atualização do documento: Este documento deverá ser atualizado trimestralmente. Art. 2º Quanto aos meios de publicação do documento: Este documento deverá ser publicado e divulgado trimestralmente na wiki de TI da PGE no endereço wiki.pge.ce.gov.br. Art. 3º Quanto a periodicidade de divulgação do documento: Este documento deverá ser divulgado trimestralmente. Art. 4º Quanto aos meios de publicação do documento: Este documento deverá ser divulgado trimestralmente. Art. 5º Quanto aos responsáveis pelo Plano de Continuidade de Negócio Fica instituído como área responsável pelo PCN o Comitê de Plano de Continuidade de Negócio, sendo tal comitê responsável pela elaboração, acompanhamento, revisão, avaliação, aplicação de testes e treinamento do referido plano. Art. 6º Participantes do Comitê de Plano de Continuidade de Negócio Fica instituído que cada área de negócio da PGE deverá ter um representante participante do Comitê de Plano de Continuidade de Negócio, com a função de colaborar para o desenvolvimento do plano com informações referentes a sua respectiva área de negócio.

5 Art. 7º Definição do Coordenador do Plano de Negócios (Business Continuity Coordinator BCC) Fica instituído que Comitê de Plano de Continuidade de Negócio deverá ter um coordenador do PCN, responsável por coordenar o referido comitê e desenvolvimento do PCN, sendo um elo de ligação entre os analistas de continuidade do negócio (membros participantes do comitê) e a alta gestão. Art. 8º Quanto a revisão e atualização do PCN: É de responsabilidade do Comitê de Plano de Continuidade de Negócio, revisar e atualizar o PCN através de reuniões trimestrais de acordo com o Art. 1º desta política.

6 3. Área de Governança do Plano de Continuidade de Negócio O Comitê do Plano de Continuidade de Negócio tem como principal objetivo avaliar e atualizar o Plano de Continuidade de Negócios, além de ser responsável pela aplicação de testes e treinamento do PCN. Representantes do Comitê de Plano de Continuidade de Negócio: Coordenador do Comitê: José Alcy Pinheiro Junior Área Agente Público Representante Função Ramal/VOIP CTI José Alcy Pinheiro Junior Coordenador Alcy.pinheiro@pge.ce.gov. br 6301 De acordo com o Art. 6º das Políticas e Normas do PCN da PGE, cada área de negócio da PGE deverá ter no mínimo um representante. Segundo o Art. 7º das Políticas e Normas do PCN da PGE, deverá ser definido um coordenador para acompanhamento e avaliação do PCN e gestão do comitê do Plano de Continuidade do Negócio.

7 4. Alinhamento Estratégico com a Matriz de GPR do Governo Eixo Resultado de Governo Indicador de Resultado Gestão ética, eficiente e participativa Gestão ética, eficiente e participativa Gestão ética, eficiente e participativa Serviço público qualificado e ágil Serviço público qualificado e ágil Serviço público qualificado e ágil Índice de Revisão do documento PCN Quantidade de Áreas com o PCN Índice de Impacto por Área Economia para uma Vida Melhor Infra-estrutura estratégica ampliada Índice de Aplicabilidade do PCN por Área

8 5. Serviços de Governança do Plano de Continuidade de Negócios Quadro dos principais serviços de governança do Plano de Continuidade de Negócios: Serviço Resumo Estimativa de Tempo de Execução Serviço de Elaboração do PCN Serviço de Atualização do PCN Serviço de Avaliação do PCN Serviço responsável pela elaboração do Plano de Continuidade de Negócios. Serviço responsável pela atualização do Plano de Continuidade de Negócios. Serviço que permite que seja avaliado e monitorado o Plano de Continuidade de Negócios da PGE. - 1 De 1 a 3 três meses. 1 De 1 a 3 três meses. 1 Quantidade Estimada de Execuções Trimestrais

9 6.Funções, Perfis e Competências para Governança do Plano de Continuidade de Negócios Quadro das principais funções e competências para governança do Plano de Continuidade de Negócios: Serviço Função Conhecimentos Habilidades Atitudes Serviço de Elaboração do PCN Serviço de Atualização do PCN Serviço de Avaliação do PCN Elaborador do PCN Atualizador do PCN Avaliador do PCN Ter conhecimentos em Governança Coorporativa e Tecnológica, além de conhecimentos na Gestão da Continuidade dos Negócios. Ter conhecimentos em Governança Coorporativa e Tecnológica, além de conhecimentos na Gestão da Continuidade dos Negócios. Ter conhecimentos em Governança Coorporativa e Tecnológica, além de conhecimentos na Gestão da Continuidade dos Negócios. Habilidades na utilização da aplicação Portal Digital (Execução dos Processos). Habilidades na utilização da aplicação Portal Digital (Execução dos Processos). Habilidades na utilização da aplicação Portal Digital (Execução dos Processos). Competência, Comprometimento, Proatividade, Responsabilidade e Organização. Competência, Comprometimento, Proatividade, Responsabilidade e Organização. Competência, Comprometimento, Proatividade, Responsabilidade e Organização.

10 7. Indicadores de Governança do Plano de Continuidade de Negócios Quadro dos principais indicadores: Indicador Índice de Revisão do documento PCN Quantidade de Áreas com o PCN Índice de Impacto por Área Índice de Aplicabilidade do PCN por Área Tipo de Indicador (Desempenho / Resultado) Desempenho Resultado Resultado Resultado O que demonstra? Demonstra o percentual de cumprimento das revisões e atualizações planejadas. Demonstra a quantidade de áreas que já possuem o PCN pelo menos a nível básico para aplicação. Demonstra o nível de impacto de cada área para o negócio da PGE. Demonstra a efetividade da área na aplicação do PCN. Como calcular? Quantidade de revisões executadas / quantidade de revisões planejadas * 100 Soma das áreas da PGE que possuem o PCN. Como analisar?

11 8. Metas de Indicadores do Plano de Continuidade de Negócios Quadro de metas dos principais indicadores: Indicador Descrição da Meta Data de Definição da Meta Índice de Revisão do documento PCN Quantidade de Áreas com o PCN Índice de Impacto por Área Índice de Aplicabilidade do PCN por Área Ter 100% do documento PCN atualizado até dezembro/2012 Ter todas as áreas da PGE com o documento PCN até dezembro/2012. Ter a análise de impactos de todas as áreas da PGE até dezembro/2012. Ter todas as áreas da PGE com o documento PCN com pelo menos duas revisões e com testes que comprovem sua aplicabilidade para área até dezembro/2012. Data de Revisão da Meta Avaliação do Cumprimento da Meta 01/12/11 31/12/12 Aguardando 1ª revisão. 01/12/11 31/12/12 Aguardando 1ª revisão. 01/12/11 31/12/12 Aguardando 1ª revisão. 01/12/11 31/12/12 Aguardando 1ª revisão.

12 9. Plano de Continuidade de Negócios (PCN) Planejamento do PCN Conforme as políticas e normas estabelecidas para criação do PCN da PGE deverá ser instituído o Comitê do Plano de Continuidade de Negócio (CPCN), e ser nomeado um coordenador (Business Continuity Coordinator - BCC), que será responsável pela gestão de tal comitê. Responsabilidade do Comitê do Plano de Continuidade de Negócio (CPCN) Elaborar, revisar, avaliar e aplicar testes relativos ao PCN, integrando todas as áreas de saber e de negócio a que o plano diz respeito, tendo apoio da alta gestão conforme o tópico três deste documento (Comitê de Plano de Continuidade de Negócio). Desenvolvimento do Plano Para elaboração do Plano de Contigência da PGE nesta primeira versão propõe-se a abordagem abaixo: a) Indentificar os Processos de Negócio b) Avaliar os Riscos e Impactos da PGE para o Governo c) Avaliar os Riscos e Impactos da área para a PGE (Ex.: da TI para PGE) d) Identificação de medidas para cada incidente com base na Análise de Riscos e Impacto

13 9.1. Diagrama de Ação do PCN Segue abaixo o modelo de ação do PCN em meio a ocorrência de um desastre:

14 9.2. Análise e Impacto de Riscos da PGE para o Governo Tabela de Riscos da PGE que geram impacto para o Governo: Riscos da PGE para o Governo Paralização da Central de Licitações Paralização da PROPAMA Impacto para o Governo Paralização das modalidades de licitação Pregão, presencial e eletrônico, e Concorrência, Tomada de Preço, Convite, Leilão e licitações com financiamento de instituições financeiras internacionais, para todos os órgãos da administração direta do poder executivo e para as suas autarquias, fundações, empresas públicas e sociedade. Paralização nos processos de regularização dos lotes para construção da Sinderúrgica e Refinaria.

15 9.3. Análise e Impacto de Riscos de TI para PGE Tabela de Riscos de TI que geram impacto para a PGE: Código Riscos de TI para a PGE Impacto para a PGE PGERSC-001 Falha ou paralização nos serviços de internet oferecidos pela GIGAFOR. PGERSC-002 Inexistência de Equipamentos de TI de reserva como microcomputadores, para suprir necessidades das áreas. PGERSC-003 Redução do quadro técnico mínimo na área de suporte técnico. PGERSC-004 Ativos de TI fora da garantia Paralização na transmissão das licitações via internet, assim como acesso aos serviços online oferecidos pela PGE para agentes públicos e sociedade. Paralização no trâmite dos processos eletrônicos entre PGE e TJ, e demais áreas desta Procuradoria. Paralização da rotina trabalhista dos usuários por conta da falta de microcomputadores de reposição para substituição causada por problemas técnicos. Contribui para o não cumprimento de SLA junto aos usuaŕios prejudicando o atendimento técnico realizado aos mesmos. Ativos sem garantia e suporte adequado ocasionando a parada dos mesmos quando algum incidente ocorrer. Este risco impacta diretamente a PGE que pode ficar com tal ativo parado na espera da volta da normalidade do mesmo.

16 9.4. Identificação de Medidas para cada Incidente Segue abaixo a lista de medidas a serem postas em prática de acordo com a sitação atual e situação ideal caso as falhas listadas no item 9.2 (Análise e Impacto de Riscos da CTI para PGE) venham a ocorrer. Código Risco Situação Atual Situação Ideal PGERSC-001 PGERSC-002 PGERSC-003 Falha ou paralização nos serviços de internet oferecidos pela GIGAFOR. Inexistência de Equipamentos de TI de reserva como microcomputadores, para suprir necessidades das áreas. Redução do quadro técnico mínimo na área de suporte técnico. Aquisição de um novo serviço de internet para PGE. Aquisição de novos microcomputadores para reserva da PGE para reposição técnica quando necessário. Contratação de novos agentes públicos para a área de suporte. PGERSC-004 Ativos de TI fora da garantia Aquisição do ativo de TI danificado, ou solicitação de conserto do mesmo por conta da PGE. Ter um, dois ou mais serviços de internet para contigência, não dependendo de um único serviço. Ter um, dois ou mais contratos de fornecimento e manutenção de microcomputadores. Já ter disponível no depósito de TI o mínimo de 10 microcomputadores para reposição técnica. Ter um contrato com suporte para contratação de novos colaboradores quando necessário e cláusulas que definam um quadro mínimo para a normalidade das atividades de cada área. Ter contrato de garantia extendido junto a um, dois ou mais fornecedores dos ativo de TI, além do acompanhamento de tais contratos para que seja acompanhado o prazo de garantia de cada um e que a solicitação de extensão da garantia seja realizada da forma mais breve possível junto aos fornecedores, antes do término da mesma.

17 10. Glossário AGIL-GPR Arquitetura que por meio de metodologias e técnicas de gestão, com o uso da inteligência artificial nos fluxos de processos, na execução das atividades funcionais, na busca e geração de informações. É um modo de modernização das instituições, unificando técnicas contemporâneas de governança e Tecnologia da Informação - TI. Alinhamento Estratégico É um processo gerencial contínuo e sistemático, que diz respeito à formulação de objetivos para a seleção de programas de ação e para sua execução, levando em conta as condições internas e externas à empresa e sua evolução esperada. Análise de Riscos A Análise de Riscos é o processo pelo qual são relacionados os eventos, os impactos e avaliadas as probabilidades destes se concretizarem. Na área administrativa geralmente se executa uma análise de riscos dentro de organizações que estão planejando ou desenvolvendo projetos específicos ou para negócios, sendo a abordagem de negócios a mais utilizada. Atitude Querer fazer. Comportamentos que temos diante de situações do nosso cotidiano e das tarefas que desenvolvemos no nosso dia-a-dia. Ativos Qualquer coisa que tenha valor para a organização. [ISO/IEC :2004] BCC Business Continuity Coordinator BCC. Coordenador de Continuidade do Negócio, responsável por coordenar as atividades do Comitê de Plano de Negócio. C.H.A. Esta sigla designa, ou melhor, é a abreviatura ou acrônimo para Conhecimentos, Habilidades e Atitudes. O conceito do CHA é que toda e qualquer necessidade de uma empresa, em termos de desempenho ou competências de pessoas, possa ser descrito por este conjunto de três características. Conhecimento Saber. Conhecimentos adquiridos no decorrer da vida, nas escolas, universidades, cursos etc. Diagrama Um diagrama é uma representação visual estruturada e simplificada de um determinado conceito, idéia, etc. Função As funções devem ser identificáveis e definíveis em termos de atividades, responsabilidades e atribuições, devem ser o mais independente possível das estruturas organizacionais existentes. Governança Governança é a capacidade dos governos ou empresas de planejar, formular e implementar políticas e cumprir funções. Governança de TI Conjunto de práticas, padrões e relacionamentos estruturados, assumidos por executivos, gestores, técnicos e usuários de TI de uma organização, com a finalidade de garantir controles efetivos, ampliar os processos de segurança, minimizar os riscos, ampliar o desempenho, otimizar a aplicação de recursos, reduzir os custos, suportar as melhores decisões e consequentemente alinhar TI aos negócios. GPR Gestão por Resultado Habilidade

18 Saber fazer. Todo o conhecimento que praticamos aperfeiçoado à habilidade. Indicador É o parâmetro que medirá a diferença entre a situação desejada e a situação atual. São parâmetros representativos dos processos que permitem quantificá-los. Indicador de Desempenho Representam fatores que gerarão resultados melhores ou piores no futuro. Indicador de Resultado Representam o que foi obtido pela organização em função de ações passadas. Matriz GPR Instrumento de planejamento do modelo de gestão por resultados do Governo do Estado do Ceará. Meta São objetivos organizacionais futuros, isto é os resultados a serem alcançados. Após serem quantificados e definidos no tempo, estes objetivos organizacionais passam a designar-se por Metas. Órgão Público Órgão Público qualquer ente da Administração Pública Direta ou Indireta, Fundações, Autarquias e Empresas Públicas. PCN Plano de Continuidade de Negócios. O Plano de Continuidade de Negócios (PCN), o qual é a tradução de Business Continuity Plan (BCP), é o desenvolvimento preventivo de um conjunto de estratégias e planos de ação de maneira a garantir que os serviços essenciais sejam devidamente identificados e preservados após a ocorrência de um desastre, e até o retorno à situação normal de funcionamento da empresa dentro do contexto do negócio do qual ela faz parte. PDCA É um método de gestão que se carateriza por um ciclo de ações que se repete continuamente de forma a incorporar alterações no ambiente. Plan: Planejamento, Do: Executar, Check: Verificar e Act: Agir. Plano de Contingência Um plano de contingência, também chamado de planejamento de riscos, plano de continuidade de negócios ou plano de recuperação de desastres, tem o objetivo de descrever as medidas a serem tomadas por uma empresa, incluindo a ativação de processos manuais, para fazer com que seus processos vitais voltem a funcionar plenamente, ou num estado minimamente aceitável, o mais rápido possível, evitando assim uma paralisação prolongada que possa gerar maiores prejuízos a corporação. Processo Processo é definido como a sequência completa de um comportamento de negócio, provocado por algum evento e que produz um resultado significativo para o negócio e que, de preferência, tenha foco no cliente. Risco O termo Risco é utilizado em administração, atuária, economia, direito e outras ciências, para designar o resultado objetivo da combinação entre a probabilidade de ocorrência de um determinado evento, aleatório, futuro e que independa da vontade humana, e o impacto resultante caso ele ocorra. Para a ciência atuarial esse conceito pode ser ainda mais específico ao se classificar o risco como uma a probabilidade de ocorrência de um determinado evento que gere prejuízo econômico. Serviço Podem conter um ou mais processos que em comum devem servir para compor o mesmo resultado de negócio. SLA Um Acordo de Nível de Serviço (ANS ou SLA, do inglês Service Level Agreement) é um acordo firmado entre a área de TI e seu cliente interno, que descreve o serviço de TI, suas metas de nível de serviço, além dos papéis e responsabilidades das partes envolvidas no acordo. TIC Tecnologia da Informação e Comunicação. Sigla para designar a informática e sua potencialização com os recursos de comunicação.