Estratégias de GCN Contingências Operacionais John A. Coggan B.Sc Elec Eng, MBA, MBCS, AMBCI Hotel Intercontinental Sala Di Cavalcanti 28 de Maio 2013
O desafio apresentado Como se dimensiona o tamanho da contingência? considerando que atualmente existe uma alta concentração de atividades num mesmo local Qual o numero de cadeiras requeridas? Qual é o benchmark? 3
Conteudo Um pouco de teoria Workplace disruption - Disrupção do local de trabalho. Recuperação de ativos. Estrutura das estratégias. Vectores determinantes. Planejamento. Implementação. Um pouco de prática Análise das estratégias. Recursos para as atividades. Resumo e Conclusões 4
Workplace disruption Disrupção do local de trabalho Mantra Um local para todas as atividades. Conluio de fatores naturaleza (geografico e densidade demografica), tecnologicos, practicas de trabalho (conhecimento), flexibilidade (se pode trabalhar remotamente) Posibilidade de recuperação virtual Análises realizados em impactos e não em ameaças. 5
Estrategia de transferencia Lembrete: Transferência de operações é uma das opções estratêgicas (Não responder, evitar, mitigar, controlar são outras opções que podem ser adotadas isoladamente ou em conjunto para responder a um incidente isolado ou varios incidentes causadores da disrupção por exemplo ações de contenção). A adoção vai depender da extensão da disrupção. O objetivo é de comprar tempo e permitir a recuperação definitiva das atividades e recursos que foram afetados. Significa ter no minimo duasfrentes para as respostasa uma disrupção: Recuperação dos ativos, recursos e atividades. Atendimentoas obrigações de entrega dos serviços e produtos. Quando consideramos disrupções de longa duração: Eliminação do Backlog. 6
Recuperação dos ativos Varios ativos e recursos podem ser afetados por um incidente: Pessoas - Diretores, Gerentes, colaboradores, partes interessadas... Processos comunicação, controle, trading, atendimento... Local predios, agencias, ATM s, infraestrutura, ventilação... Informática plataformas, servidores, rede... Informação banco de dados, processamento... Serviços limpeza, segurança, manutenção... Terceiras partes hosting, colocation, transporte de valores, administradoras... Varias equipes especializadas e/ou híbridas de resposta são necessarios Pessoas tratamentos de feridas, traumas,... Predios limpeza, novas instalações, manutenções da estrutura, acessos, alvara s, testes e provas de equipamentos de proteção, iluminação, ventilação, banheiros, cocina, seguro... Terceiras partes coordenação, communicação, cumprimento,...... Varias equipes operacionais para atendimento as obrigações. 7
Recuperação dos ativos Manter os membros da equipe de recuperação focados nos objetivos de recuperação. Manter os membros da equipe de operação focados nos objetivos de atendimento as obrigações do negocio. Evitar o desvio da atenção para otras atividades. Uma única equipe de coordenação Coordenar os trabalhos das equipes de atendimento e de recuperação Quantas equipes? Depende da extensão e duração da disrupção. No caso de desastres e crisis, multiplas equipes de resposta operacional e de recuperação são accionadas. Nestas situações as atividades de coordenação podem exigir de 3 niveis de atuação chamados de Ouro, Prata e Bronze. 8
Extensão das disrupções Duração Os 3 R s meses Horario do dia semanas Alcance de manha dias Regional/nacional A tarde Fim de semana horas bairro distrito/multi local A noite local Pouco interesse Interesse local Interes Nacional Internacional Danos menores/perdas de ativos negação de acesso Sem Danos maiores Destruição e perda total trauma, afastatamento Repercussão ferimentos Amplitude do impacto Morte Impacto no pessoal 9
Estructura da estratégia Estrutura basica de atendimento a necesidades de: Pessoas Partes interessadas clientes, accionistas, parceiros, fornecedores... Predios Técnologias Informação Equipamento Serviços Suprimentos 10
Novos paradigmas estratêgicos Anterior - Réplica do trabalho operacional Escotamento da estrategia linear do negocio Motivadores de continuidade variam entre empresas e setores Satisfação do cliente entrega dos serviços Cumprimento regulatorio Cumprimento de politicas e metas Exposição a litígio Perda de productividade, de receita... 11
A procura de um algoritmo Um procedimento para resolver um problema de matemática em um número finito de passos que freqüentemente envolve a repetição de uma operação; Um procedimento passo-a-passo para resolver um problema ou realizar algum fim - especialmente utilizando um computador. 12
Diferentes serviços Perda de receita Impacto Agencia Internet ATM Trading Perda de Produtividade Sensibilidade do cliente Requisitos de Cumprimento Exposição a Litigio Quais as atividades de negocio com a mais urgencia de recuperação? 13
Tempo de resposta Vector de calculo Nova descontinuidade e panico Tempo da disrupção 14 Disrupção Tempo de recuperação (RTO) Retorno a normalidade MTA Tempo Intoleravel Tempo toleravel Posicioanar as equipes Recursos de contigencia
Estratégias x Estratégias Estrategias de Recuperação diversificação, multiplas localidades, fragmentação de atividades, virtualização. Estratégias do Negocio Os objetivos de negocio mudam como resultado de um desastre regional? Por exemplo com a falta de pessoal? Como que o pessoal reage? é provavel que a primeira prioridade deles sea a familia e não o empregador. Qual a reação dos organismos reguladores? Das autoridades? As exigencias podem afetar a velocidade e efetividade da recuperação? A mantra de centralização é questionada quando se determina a necessidade de sitios e localizações multiplas para melhorar a resiliencia organizacional. (Ref.: The reality of Worst Case Scenarios : Ian Charters (Continuity Vol. 4/4. Business Continuity Institute, Also at www.continuity.co.uk/papers) 15
Planejamento Disponibilidade, Riscos, Custos, Resiliencia, Impacto, Partes Interessadas são conceitos de negócio e não técnicos. Um projeto transforma a complexidade do negócio em elementos técnicos e especificações. Por exemplo para uma rede de TI -Downtime, Velocidad de recuperacion, Testabilidade, Capacidade de prevenção de falhas, Capacidade de isolamento, Capacidade de analises de falhas, Hardware para de-bug, Habilidade de detectar / avaliar o estado do desempeho, Habilidade de responder em tempo (RTO), Habilidade de recuperar em tempo (RTO), Habilidade de restablecer en tempo (RPO), Custos de cada elemento (Passados, Presentes y Futuros). Estes elementos são apresentados em forma de planos. Por exemplo Planos de operação, Plano de Gestão de Riscos, Plano de medição desempenho, Planos de segurança ISERT,Planos de Incidentes CERT, Planos de Continuidade nde Negócios, Planos de Comunicação, Planos de Recursos, Planos de Qualidade e SLA s, Planos de Melhoria... Pag. 16
Linguagem de planejamento As veces chamado de Agile planguage Ref: Tom Gilb http://www.resultplanning.com/project-management http://www.ida.liu.se/~tddb02/pkval01vt/evo Book.pdf Pag. 17
Implementação A implementação dos planos resultam em direção, instrução e ação. Por exemplo: Declaração automática de incidentes disponivel em todos os locais: O acesso aos locais de trabalho não é possivel por mais de 60 minutos. Telecomunicações indisponíveis á mais de 50%dos colaboradores por mais de 30minutos. Energía elétrica indisponível á mais de 50 % dos locais de trabalho ou em qualquer predio por mais de 50 minutos. Sistemas de informática indisponiveis á mais de 50% dos colaboradores por mais de 2horas. Se qualquer destas condições são provaveis nos próximos 30minutos o Director de Continuidade, o seu substituto (ver lista de contatos yyyyy), debem ser notificados imediatamente no ramal xxxxx, ou celular. Cada numero é resultado de um análise vectorial e dimensionamento. Pag. 18
Sitios alternativos Estratégia Hot e Live operacional Predio existente para trabalho alternativo de pessoas ( Warm ) Abrir espaço para pessoas em outros locais Compartilharespaço com fornecedores, parceiros RTO (segs, mins, hrs, dias, sems, meses) Min Hrs Hrs+ Dias Custo relativo (A/M/B/no) MA A B M Riscos, ameaças, dependencias (Threat Assessment) Físico e virtual. Na mesma rede eletrica ede telecom. Regiáo de chuvas, diluvios, deslizamentos. Localização do sitio de comando muito distante. Distancia minima dos back -ups. Físico com possivel virtualização. Atividades de soporte com recursos de reposição prolongados. Geradores plano de reabastecimento. Físico. Queda de eficiencia Físico. Queda de eficacia. Distancia minima de localização. Locação temporaria Dias + M Físico. Start up demorado? Aluguel de locais de contingencias Sems Sem plano - - - M Físico. Start up demorado? 19
Estratégias x RTO RTO: Gestão Meses Reconstruir o realocar definitivamente Semanas Coberturas temporarias, edificações prefabricadas Adaptação doslocais para as otras actividades Dias Local de recuperação interna Aproveitamento de espaço em outras areas Trabalho remoto e virtualização Horas Diversos locais e sitios com pessoas de outras funções Imediato Diversos locais para cada actividade Interna Contratada Ad-hoc Extender o contrato de contingencia (desde que concentido) Expandir o sitiode contingencia. Alugar equipamentos e materiais. Sitio de contingencia comercial Acordos reciprocos com parceiros, fornaecedores Processos sub-contratados Re-alocar equipospequenos somente para o sitio de contingencia contratado Iniciar a transferencia somente deti para o contratado. Construção, Aluguel o compara de imoveis e instalações. Escritorias com moveis e instalações Processos subcontratados Aluguel de escritorios gerenciados Nenhum Nenhum 20
Análises das estratégias 1. Considerar os requisitos para cada centro de atendimento o operação de contingencia. Por exemplo Call center. 2. Categorizar como Obrigatorio ou Desejavel. 3. Estabelecer um peso para o critério de cada item desejavel (0= irrelevante, 5 = Altamente desejavel). Exemplo: Necessario Desejavel Peso (0-5) Criterio Tamanho Capacidade(seats) 3 (warm+mobile+cold) dia 1, dia 2... Unidades moveis on site Pessoal permanente onsite Localização A 1 hr. de distancia horario pico. 2 Onibus permanente. Equipamento PABX com ACD Rede CAT 5 instalado PC e estações configurados e atual 4 Armarios com fechaduras. Assitencia técnica on site Salas de reunião 2 Ambiente Luz de dia nas areas de trabalho Estação de metro max500 mts. 2 Hoteis proximos 4 Refeitorio interno Estacionamento 50 vagas 21
Análises das estratégias Necessario Desejavel Peso (0-5) 3 5 Criterio Custo Custo por cadeira posto de trabalho menor que x1.2 atual. Custo de ativação Risco de não estar Condição financeira e trabalhista disponivel Contrato trimestral Invocação concorrente, simultaneo Tempo de acesso as dependencias apósinvocação menos de 2 horas 5 Zonas de exclusão 3 Indices relativos dos clientes Grupos, região de risco. Outros Nota 1.Qualquer proposta que não atende ao Necessario deve ser desconsiderado Nota 2. As propostas contendo fatores desejaveis recebem puntuação de 5 = ideal até 0 = inútilizável Nota 3. Se multiplica a puntação pelo peso do critério. A proposta com o maior resultado será considerada a melhor 22
Sequenciar a transferência Serviço / Produto 1 Serviço / Produto 2 Em operação normal o Serviço 1 contém 12 atividades de realização e monitoreo e 22 atividades de soporte. Tolerancia diurna: 1 horas. Tolerancia noturna: 3 horas. Tempo reação: 2 horas Sitio: Hot site Em operação normal o Serviço contém 7 atividades de realização e monitoreo e 12 atividades de soporte. Tolerancia diurna 4 horas. Tolerancia noturna: 6 horas. Tempo reação: 2 horas Sitio: Warm site Serviço / Produto 3 Em operação normal o Serviço contém 18 atividades de realização e monitoreo e 31 atividades de soporte. Tolerancia diurna 1 dia. Tolerancia noturna: 12 horas. Tempo reação: 2 horas Sitio: Warm site 4) Quais das atividades de realização podem ser 1) Quais das atividades de soporte são comuns a 2 ou virtualizadas? mais atividades? Por exemplo folha de pagamento, 5) Quais atividades novas por exemplo ao soporte reembolso de despesas, compra de material... virtual, atendimento a clientes, imprensa, familiares, 2) Quais destas atividades de soporte podem ser seguros, coordenação com a recuperação são virtualizados? necesssarias? 3) Quais destas atividades de soporte podem ser 6) As atividades novas de soporte, coordenação e realizados nos locais de fornecedores e otros comunicação são virtuais ou em loco por exemplo parceiros? centro de commando? 3o Seminário sobre 7) As Gestão atividades de de soporte utilizam recursos com tempos de reposição prolongados? 23
24
25
26
Recursos para as atividades Pessoas numero, habilidades e conhecimentos Processos produtos e serviços Infraestrutura locais, instalações, moveis Tecnologia TI, comunicação, equipamentos Informação dados, metodos, planos, contatos Serviços parceiros,fornecedores, limpeza, segurança Suprimentos material, peças, produtos e serviços de emergencia 27
Recursos para as atividades Pessoas numero, habilidades e conhecimentos de contingência Processos produtos e serviços de contingência Infraestrutura locais, instalações, moveis de contingência Tecnologia TI, comunicação, equipamentos de contingência Informação dados, metodos, planos, contatos de contigencia Serviços parceiros,fornecedores, limpeza, segurança de contingência Suprimentos material, peças, produtos e serviços de emergencia de contingência Pag. 28
Recursos Sitios Em Ingles: Premises Americano: Facilities Espanhol: Infraestructura Sitios/cadeiras meses Horario do dia semanas Alcance de manha dias Regional/nacional Regional/nacional A tarde Fim de semana horas bairro distrito/região/multi distrito/multi local local A noite local Pouco interesse Interesse local Interes Nacional Internacional Danos menores/perdas de ativos negação de acesso Sem Sem Danos maiores Destruição e perda total trauma, afastatamento Repercussão ferimentos Amplitude do impacto Morte Impacto no pessoal 29
Recursos -Pessoas Pessoas meses Horario do dia semanas Alcance de manha dias Regional/nacional A tarde Fim de semana horas bairro distrito/multi local A noite local Pouco interesse Interesse local Interes Nacional Internacional Danos menores/perdas de ativos negação de acesso Sem Danos maiores Destruição e perda total trauma, afastatamento Repercussão ferimentos Amplitude do impacto Morte Impacto no pessoal 30
Recursos -Informação Informação meses Horario do dia semanas Alcance de manha dias Regional/nacional A tarde Fim de semana horas bairro distrito/multi local A noite local Pouco interesse Interesse local Interes Nacional Internacional Danos menores/perdas de ativos negação de acesso Sem Danos maiores Destruição e perda total trauma, afastatamento Repercussão ferimentos Amplitude do impacto Morte Impacto no pessoal 31
Tecnologia e Comunicação TI meses Horario do dia semanas Alcance de manha dias Regional/nacional A tarde Fim de semana horas bairro distrito/multi local A noite local Pouco interesse Interesse local Interes Nacional Internacional Danos menores/perdas de ativos negação de acesso Sem Danos maiores Destruição e perda total trauma, afastatamento Repercussão ferimentos Amplitude do impacto Morte Impacto no pessoal 32
Transferencias -Metodologia 1 2 Identificar Partes interessadas * Determinar estrategias para cada parte Determinar procedimentos, metodos,... * Dimensionar os recursos... 3 Escrever os planos * Testar, provar, exercitar... Estrategias O que fazer? O que não fazer? Para quem? Para quem não? Com que? Com que não? Aonde? Aonde não?... Ignorar não fazer nada Evitar Transferir Mitigar 33
As soluções mais comuns 34
As praticas comuns de Continuidade de Negocios 1. Temos que continuar 2. Aruma uma solução 3. Deus é Brasileiro 4. É assim a mil anos 5. Não seja pessismista 6. Aqui é diferente 7. Não. aqui não precisa 8. Não precisa de tanto detalhe 35
Premisas e suposições Estratégicas Que a transferência é possível e é viavel, em tempo, e os riscos de fracasso são controláveis com todas as partes interessadas. Que exista uma prioridade de movimentação, logística (Just in Time) e de sequencia de activação operacional. Que todos os recursos necessarios esten identificados, quantificados e sequenciados. 36
37
38
39
Resumo Como se dimensiona o tamanho da contingência? Com projeto e especificações. Qual o numero de cadeiras requeridas? Com dimensionamento do tamanho do emprestimo de tempo necessario para recuperação final. Qual é o benchmark? Diferente a quem é o benchmark. A metôdologia incluido nas boas práticas. 40
Conclusão Para o caso de Serviço 1 que contém 12 atividades de realização e monitoreo e 22 atividades de soporte. Tolerancia diurna: 1 horas. Tolerancia noturna: 3 horas. Tempo reação: 2 horas Sitio: Hot site 1) Quais das atividades de soporte são comuns a 2 ou mais atividades? 14 com 12 pessoas. 2) Quais destas atividades de soporte podem ser virtualizados? 8 com 9 pessoas. 3) Quais destas atividades de soporte podem ser realizados nos locais de fornecedores e otros parceiros? Todas as 14. Restando 8 com 23 pessoas para um warm site. 4) Quais das atividades de realização podem ser virtualizadas? Nenhuma 5) Quais atividades novas por exemplo ao soporte virtual, atendimento a clientes, imprensa, familiares, seguros, coordenação com a recuperação são necesssarias? 22 atividades. 6) As atividades novas de soporte, coordenação e comunicação são virtuais ou em loco por exemplo centro de commando? 11 virtual e 11 remoto 7) As atividades de soporte utilizam recursos com tempos de reposição prolongados? 7 das 14 requerem de peças de reposição e suprimentos posicionados. Pag. 41
Conclusão Atividade Tipo Local Pessoas dia 1 dia 2 dia 4 dia8 8 de 22 Soporte Virtual 4 6 8 9 14 de 22 Soporte Fornecedores 12 18 20 23 14 de 22 Soporte Warm site 12 14 18 23 12 de 12 Produção Warm site 45 55 62 62 6 de 9 Soporte local adicional 5 de 5 Coordenação local Warm site 12 12 10 8 Warm site Bronze 5 Bronze 5 Bronze 5 Prata 3 de 9 Soporte virtual Virtual 9 9 8 7 8 de 8 Coordenação remota Centro comando Prata e Ouro 4 Prata Total 91 107 118 120 6 Prata 7 Ouro 4 Prata 8 Ouro Operação normal 89 Recurso addicional de 2 18 30 31 contingencia Pag. 42
Obrigado pela participação! 43
44