Gerenciamento de Crises e Continuidade do Negócio
Palestrante Washington Grimas Arquiteto de Soluções de TI ITIL COBIT PMI TOGAF DOCENTE
Objetivos Conceitos e Definições Fatores Críticos de Sucesso Normatizações Questões para fixar o conteúdo
Objetivos O Gerenciamento de Crises e Continuidade de Negócios, tem por objetivo principal ser um documento que auxilia a organização no tratamento de desastres, buscando a redução de perdas, oferecendo mais disponibilidade, segurança e confiabilidade nos processos de TI para que suporte com valor e qualidade o negócio da organização. Muitas organizações se dizem preparadas pois possuem contingência para as crises, mas e a continuidade (são duas coisas bem diferentes uma da outra). A contingência para crises pode ser entendida como backup. Você faz backup todo dia? Então você tem uma contingência. Mas em caso de ter que recuperar um backup, quanto tempo a organização vai esperar para voltar a operar? Quanto menor este tempo, mais continuidade está sendo oferecida.
Conceitos e Definições O Gerenciamento de Crises e Continuidade do Negócio tem que garantir a continuidade das operações críticas de negócios da organização, na ocorrência de qualquer evento que impossibilite a organização de operar em seu estado normal. Questões que o Gerenciamento de Crises e Continuidade do Negócio deve responder: O que devo fazer para mitigar riscos antes de um evento? O que devo fazer durante um evento? O que devo fazer para recuperar meu processo após um evento?
Conceitos e Definições: Fatores Críticos
Conceitos e Definições: Evolução do GCN
Conceitos e Definições: Estrutura do GCN
Conceitos e Definições: Plano de Continuidade No Gerenciamento de Crises o Plano de Continuidade de Negócios tem como finalidade central criar normas e padrões para que, em situações adversas, as empresas possam recuperar, retomar e dar prosseguimento aos seus mais cruciais processos de negócio, evitando que eles sofram danos mais profundos que provoquem perdas financeiras. Apesar de em sua essência ele possuir os mesmos conceitos e diretrizes, o Plano de Continuidade de Negócios sofre alterações de empresa para empresa, conforme a natureza do empreendimento varia. Por este motivo, os dirigentes responsáveis precisam ter em mente três condições essenciais ao elaborar o Plano de Continuidade de Negócios de suas empresas. São respostas para as três perguntas a seguir: 1. Análise de risco: o que de ruim pode vir a acontecer? (principais ameaças) 2. Análise de impacto: de que forma eventuais ameaças podem impactar o negócio? 3. Planejamento estratégico: se uma ameaça se apresentar, quais atitudes e ações se fariam necessárias para a retomada das operações?
Conceitos e Definições: Estrutura do Plano O Plano de Continuidade de Negócios é estruturado em quatro subplanos menores, ligados entre si e cada qual para um estágio diferente. São eles: Plano de Contingência (Emergência) (PCE): deve ser utilizado em último caso, quando todas as prevenções tiverem falhado. Define as necessidades e ações mais imediatas. Plano de Administração ou Gerenciamento de Crises (PAC): define funções e responsabilidades das equipes envolvidas com o acionamento das ações de contingência, antes durante e após a ocorrência. Plano de Recuperação de Desastres (PRD): determina o planejamento para que, uma vez controlada a contingência e passada a crise, a empresa retome seus níveis originais de operação. Plano de Continuidade Operacional (PCO): seu objetivo é reestabelecer o funcionamento dos principais ativos que suportam as operações de uma empresa, reduzindo o tempo de queda e os impactos provocados por um eventual incidente. Um exemplo simples é a queda de conexão à internet.
Conceitos e Definições: Estrutura do Plano Processo de Gerenciamento de Crises e Continuidade do Negócio
Conceitos e Definições: Razões do PCN Razões para elaborar um Plano de Continuidade do Negócio: Demonstra maturidade empresarial; Maturidade em Gestão de Riscos; Minimiza impactos; Melhora a imagem perante o mercado; Garante o direito do acionista e investidor; É parte certificável para a ISO 27001 (SGSI); Identifica o universo de criticidade da empresa; Justifica investimentos conscientes em TI;
Conceitos e Definições: Contexto do Cenário
Conceitos e Definições: Ameaças e Impactos Ameaça / Evento: Qualquer situação passível de ocorrência. Ex: raio, vendaval, enchentes, falta de energia, etc. Tipos de ameaças: Naturais: raio, furacão, enchentes,... Físicas: estruturas em má condições, incêndio,... Humanas: acesso indevido, roubo de patrimônio,... Políticas-econômicas: inflação, eleições,... Tecnológicas: falha de servidor, queda de link,...
Conceitos e Definições: Ameaças e Impactos Impactos: Qualquer alteração do ambiente causada por atividades humanas, físicas, tecnológicas, e que afetam direta ou indiretamente os processos de negócios da empresa. Tipos de Impactos: Perda Financeira; Abalo na imagem; Multas ou sanções; Perda de investidores e até de mercado; Aumento no custo operacional; Parada no negócio da empresa; Perda de Ativos; Dano a integridade física de pessoas.
Fatores Críticos de Sucesso: Plano de Gerenciamento de Incidentes Incidente: É um acontecimento imprevisto que resulta perda, dano ou prejuízo ao negócio. O Gerenciamento de Incidentes: Foco principal é reestabelecer o processo do negócio o mais rápido possível; Garantir que os níveis de disponibilidade e de qualidade dos serviços sejam mantidos, conforme os acordos de nível de serviço (SLA); Definir prioridades.
Fatores Críticos de Sucesso: Plano de Gerenciamento de Crises É um plano que visa a redução de perdas no momento que ocorre um incidente em algum processo de negócio da empresa ou organização. Este plano possui diversas etapas, as quais destacamos: Levantamento dos riscos; Diagnóstico de ameaças; Planejamento de processos envolvidos; Implementação; Manutenção. 17
Fatores Críticos de Sucesso: Plano de Recuperação de Desastres É composto por cenários e procedimentos para recuperação de ativos, quando ocorrer uma falha; Os cenários são desenvolvidos pelos gestores; São exigências de regulamentações como Lei SOX, BACEN 3380, ISO 27000; É composto por três etapas: Programa de Administração de Crises Plano de Continuidade Operacional Plano de Recuperação de Desastres 18
Fatores Críticos de Sucesso: Plano de Comunicação Definir um Representante para a Imprensa; Definir quem auxilia os funcionários no momento do desastre; Definir quem auxilia as famílias; Definir Segurança total do ambiente da empresa. Conciso, claro e objetivo; Não mentir; Somente declarar informações oficiais respaldadas; Sempre estar alinhado com os demais membros de comitê e Presidência; Orientar a todos da corporação de como proceder; Distribuir orientação impressa a todos;
Fatores Críticos de Sucesso: Treinamento e Conscientização Elaborar um Programa de Treinamentos; Palestras e Campanhas; Internet e Intranet; Impressos para os clientes; Avaliar o entendimento dos envolvidos; Tem que ser periódico (refinamento); Desenvolver a melhoria contínua; Obs: Mínimo anual, ideal a cada 3 meses um tipo de teste; Ex: Um banco brasileiro executa 45 testes/mês; 20
Fatores Críticos de Sucesso: Execução de Auditorias A auditoria dos planos de Gerenciamento de Crises e Continuidade do Negócios é obrigatoriamente realizada por auditores internos (préestabelecidos pela empresa) e externos (consultorias especializadas ou consultores autônomos), e basicamente realiza as seguintes analises: Exame analítico e pericial que segue o desenvolvimento das operações de uma empresa; Deve ser conduzido por auditores especializados em PCN e fora dos processos da organização; Verificar se os procedimentos foram utilizados da maneira correta; Verificar se as pessoas envolvidas estão cientes de suas responsabilidades; Verificar, em caso de incidente, o Plano de Gestão de Riscos, o Plano de Gestão de Incidentes e o Plano de Recuperação de Desastres, está apto a ser executado; 21
Normatizações validas para o Gerenciamento de Crises e Continuidade do Negócio ISO/IEC 27002: Código de Prática para Gestão da Segurança da Informação. Cobit: Framework de Controles para avaliar o nível de maturidade dos processos de TI em organizações de diferentes segmentos. ISO/IEC 27001: Sistema de Gestão de Segurança da Informação (SGSI). ISO/IEC 27005: Norma que integra a família ISO 27000 e que tem como foco o processo de Gestão de Riscos em Segurança da Informação. BS 25999: Código de Prática para Gestão da Continuidade de Negócios. DSS-PCI: Padrão para segurança de dados em transações de pagamento com cartão. ISO/IEC 15408: Norma voltada para avaliação do nível de segurança de sistemas computacionais em geral. ISO/IEC 27004: Norma que integra a família ISO 27000 e que tem como foco definir técnicas e procedimentos para avaliar a eficácia dos controles implementados. 22