PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)

Documentos relacionados
Plano de Continuidade. Plano de Continuidade. Plano de Contingência. Prof. Luiz A. Nascimento Auditoria e Segurança de Sistemas.

Estrutura da Gestão de Risco Operacional

PLANO DE CONTINGÊNCIA E CONTINUIDADE DOS NEGÓCIOS

PLANO DE CONTIGÊNCIA E CONTINUIDADE DOS NEGÓCIOS. Garín Investimentos LTDA

PLANO DE CONTIGÊNCIA E CONTINUIDADE DOS NEGÓCIOS. SPA Strategic Portfolio Advisors

Rabobank Segurança Cibernética

1. Introdução PUBLIC - 1

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA

ASIA ASSET GESTORA DE RECURSOS LTDA. PLANO DE CONTINGÊNCIA E CONTINUIDADE DOS NEGÓCIOS

ARAZUL ASSET MANAGEMENT GESTORA DE RECURSOS LTDA.

Plano Continuidade de Negócios Vinci Partners

Formulário de Referência

Gerenciamento de Crises e Continuidade do Negócio

[PLANO DE CONTINUIDADE DE NEGÓCIOS]

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Grupo Técnico de Cibersegurança 1 Pesquisa ANBIMA de Cibersegurança 2017

ÍNDICE 1. OBJETIVO CONCEITOS PRINCÍPIOS DIRETRIZES CORPORATIVAS ESTRUTURA DE GERENCIAMENTO... 4

Segurança da Informação

JIVE Asset Gestão de Recursos Ltda.

Especialista fala sobre riscos cibernéticos, principais coberturas e como se prevenir contra ataques

Grupo Técnico de Cibersegurança 2 Pesquisa ANBIMA de Cibersegurança 2018

POLÍTICA DE SEGURANÇA CIBERTNÉTICA, SEGURANÇA DE INFORMAÇÃO E CONTINUIDADE.

Organização e Políticas de Segurança da Informação

Gerenciamento e Interoperabilidade de Redes

Política de Segurança de Informações

DIRETRIZES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

TYR GESTÃO DE RECURSOS LTDA. PLANO DE CONTINGÊNCIA E CONTINUIDADE DOS NEGÓCIOS

PLANO DE CONTINUIDADE DE NEGÓCIOS

Segurança e Controle em Sistemas de Informação. Profa. Ellen Francine ICMC-USP

Plano de Continuidade de Negócios Lavoro Asset

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE (SMS) Sustentabilidade

Ameaça é tudo aquilo que pode comprometer a segurança de um sistema, podendo ser acidental (falha de hardware, erros de programação/usuários,

Processo de gerenciamento da disponibilidade

Segurança - Conceitos Básicos. Conceitos Básicos. Segurança. Mundo Virtual X Mundo Real 18/08/11. Segurança em Redes de Computadores

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA SAFARI CAPITAL

SUMÁRIO. Compartilhe este e-book 03. Introdução 04. O que é Disaster Recovery? 05. Quais riscos sua infraestrutura de TI está correndo? 06.

Política de Segurança da Informação

AUDITORIA DE SISTEMAS DE INFORMAÇÃO

UNITY CAPITAL GESTORA DE INVESTIMENTOS LTDA. PLANO DE CONTINUIDADE DE NEGÓCIOS

Gerenciamento e Interoperabilidade de Redes. Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt

AUSTRO CAPITAL HOLDING LTDA.

Plano de Continuidade dos Negócios

Política de Confidencialidade e Segurança da Informação

POLÍTICA DE SEGURANÇA CIBERNÉTICA E DA SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA CIBERNÉTICA E DA SEGURANÇA DA INFORMAÇÃO

PLANO DE CONTINUIDADE DE NEGÓCIOS GFS ATIVOS FINANCEIROS E INVESTIMENTOS LTDA

Gestão de risco na cadeia de suprimentos. MSe. Paulo Cesar C. Rodrigues Mestre em Engenharia de Produção

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO. Versa Gestora de Recursos Ltda.

Política de Gerenciamento de Risco de Mercado e Operacional

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA

BS2 ASSET MANAGEMENT S.A ADMINISTRADORA DE RECURSOS LTDA

Política Controles Internos

MSe. Paulo Cesar C. Rodrigues Mestre em Engenharia de Produção

Ferramenta de apoio a Segurança

5.3. Em relação aos controles adotados pelo emissor para assegurar a elaboração de demonstrações financeiras confiáveis, indicar:

Plano de Continuidade dos Negócios

CONTINUIDADE DOS NEGÓCIOS

MANUAL DE RISCO OPERACIONAL TERRA NOVA GESTÃO E ADMINISTRAÇÃO DE NEGOCIOS LTDA.

2.2.2 Fases da Implementação de um Plano de Segurança Global

Os processos de segurança da informação devem assegurar a integridade, a disponibilidade e a confidencialidade dos ativos de informação da Apex.

POLÍTICA. TÍTULO: PLT-SGR Política do SGSI - SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO CONTROLE DE APROVAÇÃO ELABORADO REVISADO APROVADO

INTRODUÇÃO DEFINIÇÕES GERENCIAMENTO DE RISCO

ADAMCAPITAL GESTÃO DE RECURSOS LTDA. PLANO DE CONTIGÊNCIA E CONTINUIDADE DO NEGÓCIO

Aspectos importantes como a autenticação e autorização. Tipos de ameaças: Atividade não autorizada; Downloads não autorizados; Redes: local de transmi

Política de Segurança Cibernética

PLANO DE CONTINUIDADE (CONTINGÊNCIA) DE NEGÓCIOS

Manual de regras, procedimentos e controles internos ICVM 558/15

Orientações para elaboração do Descritivo Sobre Aspectos Relevantes de Controles Internos - Circular Bacen 3.467/09

Política de Contingência dos Serviços da Biblioteca Versão 1.0, 29/06/2018

ADAM CAPITAL GESTÃO DE RECURSOS LTDA. POLÍTICA DE SEGURANÇA DAS INFORMAÇÕES

ZENITH ASSET MANAGEMENT POLÍTICA DE GESTÃO DE RISCOS

POLÍTICA DE RISCO OPERACIONAL DOS FUNDOS E CARTEIRAS GERIDOS PELO SICREDI

Política de Controles Internos

Portaria da Presidência

Gestão de Riscos para os Bancos do Futuro

PSI Política de Segurança da Informação

Gerenciamento de Projetos

ADAM CAPITAL GESTÃO DE RECURSOS LTDA. PLANO DE CONTIGÊNCIA E CONTINUIDADE DO NEGÓCIO

Evandro Deliberal Aula 04

CÓDIGO DE ÉTICA E CONDUTA CÓDIGO DE ÉTICA E CONDUTA

POLÍTICA DE COMPLIANCE

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO, CONTINUIDADE DE NEGÓCIOS E SEGURANÇA CIBERNÉTICA

SUPORTE TÉCNICO. Processo de implantação e atendimento do Suporte Técnico

RESPONSABILIDADE SOCIAMBIENTAL

ÍNDICE: Av. Fagundes Filho, º andar Vila Monte Alegre - São Paulo - SP -Brasil Página 2 de 7

Superintendência de Riscos e Controles 15/03/2017

4. Violação da Política, Normas e Procedimentos de Segurança da Informação

Público-Alvo (Áreas envolvidas)

Segurança da informação

ITIL v3 Transição de Serviço Parte 1

PROGRAMA DE SEGURANÇA CIBERNÉTICA

Manual de Regras, Procedimentos e Controles Internos

Módulo 8. NBR ISO Interpretação dos requisitos: 4.4.6, 4.4.7, 4.5.1, 4.5.2, 4.5.3, 4.5.4, 4.5.5, 4.6 Exercícios

Transcrição:

PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN) Sumário O Plano de Continuidade de Negócios (PCN) da Inva Capital é o desenvolvimento preventivo de um conjunto de estratégias e planos de ação de maneira a garantir que os serviços essenciais sejam devidamente identificados e preservados após a ocorreria de um acidente e/ou desastre, e até o retorno à situação normal de funcionamento da empresa dentro do contexto do negócio da qual ela faz parte. Além disso, sob o ponto de vista do PCN da Inva Capital, o funcionamento da empresa deve-se a duas variáveis: os componentes e os processos. Os componentes são as variáveis utilizadas para a realização dos processos: energia, telecomunicações, informática, infra-estrutura e pessoas. Todos os componentes podem ser substituídos ou restaurados, de acordo com características específicas. Os processos são as atividades realizadas para operar os negócios da empresa. O Plano de Continuidade de Negócios da Inva Capital é constituído pelos seguintes planos: Plano de Administração de Crises (PAC), Plano de Recuperação de Desastres (PRD) e Plano de Continuidade Operacional (PCO). Todos estes planos têm como objetivo principal a formalização de ações a serem tomadas para que, em momentos de crise, a recuperação, a continuidade e a retomada dos negócios possam ser efetivas, evitando que processos críticos de negócio da organização sejam afetados, o que pode, no extremo negativo, acarretar em perdas financeiras generalizadas para clientes, colaboradores e sócios. Quanto às atualizações, o Plano de Continuidade de Negócios da Inva Capital deve ser revisado de anualmente, pois mudanças significativas em componentes, atividades ou processos críticos de negócio podem fazer com que novas estratégias e planos de ação sejam previstos, evitando assim com que eventuais desastres desestabilizem profundamente o andamento regular do negócio da empresa.

Propósito do Plano de Continuidade de Negócios (PCN) Inva Capital O propósito do Plano de Continuidade de Negócios da Inva Capital é permitir que a organização recupere ou mantenha suas atividades em caso de uma interrupção das operações normais de negócios. Os propósitos do PCN da Inva Capital são ativados para dar suporte às atividades críticas necessárias para cumprir os objetivos da organização. Inclusive, o PCN da Inva Capital pode ser executado integralmente no caso de um desastre extremo ou parcialmente no caso de um desastre menos agudo e também em qualquer etapa da resposta a um incidente de qualquer magnitude. O PCN da Inva Capital é um processo contínuo com melhorias rotineiras no qual a instituição identifica e analisa impactos nos negócios e perdas potenciais; garante a continuidade dos negócios, serviços e operações; contém detalhadamente as atividades, procedimentos, responsabilidade e necessidades de recursos no momento de eventual interrupção transitória; garante que informações sobre o PCN da Inva Capital estejam sempre atualizadas e acessíveis, física e eletronicamente; atenta para alterações na legislação vigente que garanta a comunicação às pessoas da Inva Capital responsáveis pela sua manutenção; permite que pessoas da Inva Capital estejam preparadas para comunicações externas em caso de desastres de qualquer natureza; informa as pessoas da Inva Capital sobre a política do PCN e incentiva a participação em treinamentos do PCN da Inva Capital. Define responsabilidade de atuação de cada funcionário, na execução do PCN da Inva Capital; analisa periodicamente a documentação existente para suportar períodos de restaurações em situação de desastre; mantém uma lista de contatos atualizada (de fornecedores, clientes, utilidade pública), simula situações emergenciais, prepara ações necessárias à recuperação e proteção de documentos digitais referentes à área de tecnologia da informação. O conteúdo e os componentes do PCN da Inva Capital possuem diferentes níveis de detalhamentos, sendo composto pelos seguintes elementos (descritos nas próximas subseções): Plano de Administração de Crises (PAC), Plano de Recuperação de Desastres (PRD) e Plano de Continuidade Operacional (PCO). Todos os planos são testados periodicamente e envolvem basicamente quatro infra-estruturas: I. pessoas e suas responsabilidades II. física (local e recursos) III. tecnológica (software e hardware) IV. serviços externos (essenciais ao processo)

Plano de Administração de Crises (PAC) O PAC da Inva Capital relaciona o funcionamento das equipes, antes, durante e depois da ocorrência de um evento negativo a continuidade dos negócios da Inva Capital. O PAC exibe uma cadeia de comando e comunicação durante uma crise de qualquer natureza. Também define procedimentos a serem executados, pela mesma equipe responsável à administração de crises, até o período de retorno à normalidade. O PAC da Inva Capital, no seu envolvimento pessoal, para que possa compor de forma adequada e satisfatória, tem nomeado o responsável pelas decisões gerenciais, que serão afetados por uma emergência, e substitutos em caso de ocorrer o evento de crise e o responsável, por algum motivo de força maior, não estiver presente. Assim, o PAC tem a Sra. Roberta Análio como responsável, como substituto o Sr. Raphael Alves Rodrigues Cordeiro e como segundo substituto o Sr. Luiz Augusto Baasch Pacheco. O PAC Inva Capital será acionado em caso de: Roubos, furtos, sabotagem, sequestros, vandalismo e crimes de qualquer natureza Queda de energia elétrica Perda, roubo ou vazamento de informações computacionais Incêndios, explosões, queda de edifícios ou sinistros de qualquer natureza Boicotes, greves Ausências de capital humano Boatos, intrigas ou acusações desonestas e/ou anti-éticos de concorrentes Crises de mídia eletrônica e/ou impressas Extravio de documentos Paralisações de setores públicos Desastres naturais Doenças do tipo contágio/contaminação ou química Emergências civis Fraudes Ações judiciais contra a empresa Denúncias da corrupção Vazamento de documentos internos Sucessão de comando da organização Demissão de colaboradores Rompimento de contratos com fornecedores Falha de equipamentos eletrônicos de qualquer natureza

Colapso em rede de computadores Acidentes de trabalho Outros imprevistos que afetem a continuidade dos negócios Alguns dos fatores citados acima podem afetar a reputação da Inva Capital no mercado em que atua. Para isso, exige-se planejamento de comunicação, mobilização de pessoas chaves, bons mecanismos de relações públicas, como marketing e imprensa, e investigação caso a caso. A gestão da(s) crise(s) do PAC será executada, de acordo com a espécie da crise, com procedimentos listados a seguir: a) Repassar uma lista à todos os sócios e colaboradores da Inva Capital de quem e onde informar em caso de crise (ver Lista de Contatos e Telefones Úteis); b) Coletar o máximo de informações e provas possíveis; c) Montar um centro de gerenciamento de crise em local próprio e adequado designado pelo responsável; d) Estratégia para a mídia (com rapidez e planejamento da abordagem); e) Estratégia para informar os sócios, colaboradores, investidores e fornecedores pelos diversos canais de comunicação existentes (telefones, e-mail, redes de relacionamentos, correspondência, imprensa escrita, mídia visual ou eletrônica); f) O porta voz oficial da Inva Capital para comunicar qualquer tipo de crise é o Sr. Raphael Alves Rodrigues Cordeiro. Na sua ausência, o substituto é o Sr. Luiz Augusto Baasch Pacheco. Na sua ausência, a substituta é a Sra. Roberta Análio. Este procedimento é adotado porque acreditamos que todas as informações sobre um determinado problema devam ser transmitidas à imprensa, colaboradores, investidores e a quem interessar possa apenas por uma única pessoa. No caso de detalhamento técnico, o porta-voz é assessorado por uma das pessoas que fazem parte do comitê de gerenciamento de crise. Desta maneira, a organização evita que informações incorretas ou desencontradas sejam repassadas para a mídia. Falhas na comunicação durante o processo de crise podem gerar novas crises.

Plano de Continuidade Operacional (PCO) O PCO da Inva Capital define procedimentos para contingenciamento dos ativos que suportam cada processo de negocio, objetivando reduzir o tempo de indisponibilidade e, consequentemente, os impactos potenciais do negócio. Através do PCO, os gestores dos processos de negócios saberão como agir na falha e/ou falta de algum componente que garante a continuidade dos negócios. O Plano de Continuidade Operacional (PCO) consiste em quatro etapas: I. Planejar: definição de estratégias, políticas internas, controles e procedimentos de rotina para garantir segurança das informações; II. Executar: os processos definidos são implementados. Coleta de informações são de extrema relevância; III. Checar: são feitas avaliações de processos implementados para verificar se o planejado foi realmente executado de forma adequada para alcançar as metas. São identificados desvios de execução e apresentados resultados para análise crítica da direção da empresa. Aqui existe um monitoramento contínuo dos processos no intuito de evitar qualquer tipo de falha ou erros; IV. Agir: são realizadas ações corretivas e preventivas baseadas na identificação de desvios de execução e nas considerações apresentadas nas etapas (I), (II) e (III). A figura abaixo mostra o fluxo do Plano de Continuidade Operacional.

Definição do contexto Identificação de risco Comunicação do risco Estimativa de risco Avaliação de risco Avaliação OK? Tratamento de risco Monitoramento e análise crítica de risco Tratamento OK? Aceitação do risco

Na fase de comunicação do risco, as partes envolvidas e as partes interessadas, pessoa ou grupo que tem interesse no desempenho ou no sucesso da organização, devem ser identificadas e os seus papéis e responsabilidade devem ser definidos. O pano de comunicação entre as partes envolvidas é acionado (telefone, e-mail, correspondência, mensagens instantâneas). Quanto ao contexto, existem inúmeros motivos para preocupações (nomeadas e identificadas no PAC). O papel da identificação dos riscos é identificar junto ao Comitê de Gerenciamento de Crise (PAC) os eventos de cada processo de negócio existente que possam afetar o funcionamento das atividades essenciais e causar perdas potenciais. Respondem-se perguntas como: a) O que pode acontecer se isso acontecer? b) Quando, onde e como pode acontecer? c) Por que pode acontecer? Identifica-se ameaças operacionais, controles existentes, vulnerabilidades e as consequências operacionais. O objetivo principal é preservar a confidencialidade, a integridade e a disponibilidade. Quanto ao risco, utilizam-se escalas com atributos (baixa, média, alta). O PCO da Inva Capital se preocupa com todas as escalas. A transferência do risco é compartilhada entre pessoas envolvidas, analisada e avaliada. Na análise, é importante notar se haverá transferencia de risco (efeito contágio) ou se não vai gerar novos riscos operacionais (encadeamento). Tendo em vista diversos riscos operacionais existentes, temos o material humano, a segurança da informação e a tecnologia da informação como fatores de extrema relevância para a continuidade das operações. De fato, nomeamos abaixo possíveis fatores de risco operacional: - Hardware - Software - Rede - Recursos humanos - Estrutura da Organização O impacto operacional imediato de um problema numa das estruturas nomeadas acima pode ser direto (baixo, médio, alto) ou indireto (baixo, médio, alto).

Para minimizar riscos operacionais, nomeamos abaixo as principais ameaças e medidas preventivas tomadas para contê-las, assim como os procedimentos que a empresa adota para cada um dos itens citados: Ameaças em hardware Impacto Valor Ordem de importância Procedimento Quebra estrutural Direto Alto 1 Conserto ou aquisição de novo hardware e reserva de lucro para tal finalidade Obsolecência Indireto Médio 2 Aquisição e manutenção de reserva de lucro para tal finalidade Ameaças em so8ware Impacto Valor Ordem de importância Procedimento Ataques Csicos - vírus Direto Alto 3 UHlização de anh-vírus atualizado SoKwares desatualizados Indireto Médio 4 Atualização Senhas vulneráveis Direto Alto 2 Trocar senhas padrão, senhas com no mínimo 8 caracteres, incluindo sempre números, letras e caracteres especiais Falta de compahbilidade Indireto Médio 5 Aquisição de programas que funcionam em diversas plataformas (Windows e MacOS) Perda de dados Direto Alto 1 Back-up semanal de dados sensíveis Spam Direto Médio 5 UHlização de filtros anh-spam Internet Direto Alto 1 Conexões redundantes Pessoas não autorizadas Direto Alto 4 Criar níveis de segurança da rede

Ameaças em Recursos Humanos Impacto Valor Ordem de importância Procedimento Pessoas Direto Alto 1 Treinamento, conscienhzação e reciclagem Assuntos confidenciais Falecimento, invalidez ou afastamento por problemas de saúde Direto Alto 2 Adoção do Código de ÉHca e padrões de conduta profissional Direto Alto 3 Redundância Contratação eventual Direto Alto 4 Verificação da veracidade das informações Boatos, intrigas e acusações desonestas e/ou anhéhcos Roubo, furto, sabotagem, sequestros, vandalismo e crimes de qualquer natureza Falta de energia e interrupções Segurança Csica e do ambiente Direto Alto 5 Adoção do Código de ÉHca, padrões de conduta profissional e, em úlhmo caso, processo jurídico Direto Alto 1 Sistema de segurança, controle de entrada e saída, educação e treinamento Direto Alto 5 UHlização de no-breaks Direto Alto 4 Segregação Csica de ahvidades e controle de acesso a pessoas não autorizadas Documentações Direto Alto 2 Controle de acesso a documentos restritos Extravio de documentos e fraudes Direto Alto 3 BoleHm de Ocorrência policial, trabalho prevenhvo com treinamentos e processo jurídico

Plano de Recuperação de Desastres (PRD) O PRD da Inva Capital define um plano de recuperação e restauração das funcionalidades dos ativos afetados que suportam os processos de negócio, a fim de restabelecer o ambiente e as condições originais da operação. o PRD é composto por procedimentos para recuperação de ativos, quando ocorrer uma falha devido a alguma inconsistência ocorrida em virtude de ameaças como incêndio, enchente, vandalismo, sabotagem ou falhas de tecnologia. Desastres Impacto Valor Ordem de importância Procedimento Incêndios Direto Alto 2 Acionar corpo de Bombeiros Explosões Direto Alto 3 Acionar Síndico e corpo de Bombeiros Queda de ediccio Direto Alto 1 Acionar corpo de Bombeiros Desastres naturais Direto Alto 4 Defesa Civil Nos items listados acima, a preocupação será primeiramente com as pessoas e, em seguida, com o salvamento de bens materiais. Dado que grande parte dos procedimentos da empresa são feitos eletronicamente e com sistemas de informação, um desastre de grande magnitude no local físico, que realmente destruiria 100% de materiais, documentos e bens de qualquer natureza, certamente não impactaria no processo de continuidade dos negócios porque existem condições técnicas, principalmente, de segurança em TI que permite-nos dar continuidade aos negócios em outra localização.

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback