Gerenciamento de Crises e Continuidade de Negócios Enterprise Risk Services - ERS Julio Laurino Certified Business Continuity Professional (CBCP) CobiT Certified jlaurino@deloitte.com
Agenda Objetivo Conceitos e definições Fatores Críticos de Sucesso
Objetivo
Orientar os gestores das indústrias química na implementação de medidas de proteção em relação a ameaças, com o objetivo de preservar pessoas, propriedades, produtos, processos, informações e sistemas de informação, conceituando o gerenciamento de crises e continuidade de negócios. Objetivo
Conceitos e definições
Conceito Garantir a continuidade das operações críticas de negócios da organização, na ocorrência de qualquer evento que impossibilite a organização de operar em seu estado normal.
Conceito Questões que devem ser respondidas O que devo fazer para mitigar riscos antes de um evento? O que devo fazer durante um evento? O que devo fazer para recuperar meu processo após um evento?
Conceito O que é critico para o Negócio? Quem e Como? Processos O que? Hardware Telecom Atividades Times Software Suprimentos Arquivos Vitais Assets Documentos Clientes Empregados Fornecedores Localização Segurança
Conceito A Evolução da Continuidade de Negócios Recuperação de Desastres Plano de Continuidade Gestão da Continuidade Foco das Organizações na Mitigação de Riscos Grande dependência das operações da empresa em sistemas Mainframe. Nota-se a necessidade de um foco mais proativo, de acordo com os riscos do ambiente. Atentado à Bomba no WTC Ataques terroristas comprovam que os PRDs não minimizam os riscos de continuidade das operações. Ataque ao metrô de Tokyo Atentado à Bomba em Oklahoma 9/11 Com o Boom tecnológico e as crises na economia dos anos 90, a continuidade de Negócios, apesar de sua reconhecida necessidade, ainda não é não é adotada pela maior parte das empresas. Agências de pesquisas evidenciam tendências de gastos com resiliência. Os atentados ao WTC comprovaram a teoria de que planos de mitigação de riscos deveriam prevenir as corporações da paralisação ou perda total de suas operações. Início 80s Início 90s Metade 90s Final 90s Início 00s Metade 00s
Contexto do atual Cenário de Negócios Foco de Atenção por entidades reguladoras 4Empresas listadas na Bolsa de NY obrigadas a atender à Lei Sarbanes-Oxley. 4BACEN determina existência de procedimentos de continuidade. 4Acordo da Basiléia determina que as empresas devem gerenciar e supervisionar seus riscos operacionais. 4Os clientes, internos e externos, estão cada vez mais impacientes com indisponibilidade de informação. Competição 4Clientes e acionistas querem o conforto de que as informações estão seguras e disponíveis, inclusive nos casos de emergência. 4A capacidade de recuperação e continuidade da operação são vantagens competitivas que não devem ser testadas e comprovadas apenas nos casos de contingência, mas também para informar aos acionistas e clientes de que a Empresa está preparada. Gerenciamento de Riscos 4O Plano de Continuidade tem passado para o contexto de identificação e monitoramento de riscos das Organizações. 4Trata-se de estabelecer procedimentos e adotar recursos tecnológicos para evitar que os riscos de continuidade se materializem.
Metodologia Governança Corporativa ISO 27001 Security ITIL IT Processes SOX Regulatory BSC Balanced Score BS 25999 Card ISO 20000 BCM ITSA Standards & Service Architecture Quality COBIT PMI Metrics and Project Controls Management
Metodologia BS 25999 Entendendo seu negócio Exercitando e Atualizando os Planos BCM Estratégias Conscientização Desenvolvendo e implementando os planos
Fases da implementação do Gerenciamento de Continuidade de Negócio Metodologia
Governança Conjunto de políticas, padrões e regras funcionais e operacionais, proporcionando dessa forma o sucesso da continuidade de negócios. Abaixo relacionamos alguns tópicos de um modelo de Governança: (i) Política de Continuidade de Negócios; (ii) Modelo de Gestão; (iii)raci Framework; (iii)programa de treinamento; (iv)programa de conscientização.
Governança Estratégico Comitê de Continuidade de Negócios Escalonamento Operacional Tático Time de Gerenciamento de Incidentes e Crises Times de Resposta a Incidentes Time de Desenvolvimento de Continuidade de Negócios Controle
Reduzir a possibilidade de materialização de riscos que possam ter impacto negativo na continuidade dos processos da Organização; Identificar os principais processos de negócios associados a tempos máximos suportáveis de recuperação; Benefícios Reduzir para níveis previamente acordados / aceitáveis o tempo de interrupção causado por desastres ou falhas de segurança (ex: desastres naturais, acidentes, falhas de equipamentos e ações intencionais ) por meio de ações de prevenção e recuperação; Adoção das boas práticas de controle e gestão da continuidade de negócios.
Business Continuity Management Como reduzir a possibilidade de parada das operações Como continuar operando sem o ambiente de TI Business Continuity Plan Disaster Recovery Plan DRP Business Impact Analysis BIA Como recuperar o ambiente de TI dentro do TMI 1 Definição dos (i).processos Críticos de Negócios e (ii).tmi 1 Risk Impact Analysis - RIA 1 Tempo máximo de indisponibilidade
Componentes B.I.A./R.I.A. D.R.P. B.C.P
Componentes BIA - Análise de Impactos nos Negócios Identificar e priorizar atividades críticas do negócio Determinar os impactos (tangíveis e intangíveis) da perda dessas atividades Determinar o tempo máximo de parada que cada atividade pode sustentar Recovery Time Objective (RTO)
Componentes RTO Interrupção ou Desastre? Interrupção < RTO Desastre > RTO
Componentes RIA Identificação e Análise de Riscos Consiste no entendimento e mapeamento das atuais ameaças e riscos relacionados às interrupções de operações críticas da Organização. Impacto para o negócio Exposição Aceitável Atenção Incerteza Exposição Inaceitável Probabilidade de ocorrência
Componentes DRP Plano de Recuperação de Desastres Foco exclusivo nos recursos de Tecnologia da Informação Objetivo principal é recuperar as informações no caso de contingências (como desastres naturais ou sabotagem) mesmo com a operação em modo emergencial Foca a recuperação dos dados, aplicações, infra-estrutura em localidades alternativas e/ou redundantes
Componentes BCP Plano de Continuidade de Negócios Ênfase nas operações de negócio, o que engloba planos de recuperação de recursos de negócios, independente de TI Foca na cultura de continuidade disseminada na organização (todos participam) Apóia-se em pessoal capacitado e treinado na execução dos planos de continuidade
Fatores Críticos de Sucesso
Fatores críticos de sucesso Apoio e envolvimento da Alta Direção Não considerar os custos com Gestão de Continuidade como despesa isolada, ou simplesmente, como um requisito legal Contar com recursos e profissionais empenhados e especializados nos temas pertinentes Montar equipe interna para monitorar e testar o processo continuamente
Fatores críticos de sucesso Quem é responsável pelo sucesso da Gestão da Continuidade dos Negócios? Todos!!
Obrigado!
28