BANCO CENTRAL DO BRASIL 2009/2010 CONTINUIDADE DE NEGÓCIOS E PLANOS DE CONTINGÊNCIA Professor: Hêlbert
A Continuidade de Negócios tem como base a Segurança Organizacional e tem por objeto promover a proteção pessoal, de bens e instalações, com atuação proativa e reativa, garantindo por meio de suas técnicas, conhecimentos e sistemas os meios protetivos a continuidade dos negócios.
A Segurança Organizacional é composta pela segurança eletrônica, segurança física, segurança de instalações, vigilância, proteção contra incêndios, segurança patrimonial, segurança lógica, que se complementam formando assim a política de segurança organizacional.
Objetivos O objetivo da Segurança Organizacional é a total proteção de pessoas, bens e instalações, assegurando através de técnicas, conhecimentos, sistemas, processos, produtos ou meios, a integridade e a continuidade dos negócios, das pessoas e dos bens existentes.
A Gestão de Continuidade de Negócios tem por objetivo definir planos e procedimentos alternativos a serem acionados em caso de ataques ou desastres sobre os ativos de informação da empresa ou instituição. O resultado do plano de continuidade é a não paralisação,, ou a rápida retomada das atividades da empresa ou instituição em caso de ataque ou desastre.
Descrição No plano de continuidade são definidos procedimentos para a proteção dos principais ativos da instituição. O plano apresenta procedimentos diários que devem ser seguidos para que, em caso de um ataque ou desastre, as informações não sejam perdidas e os serviços a serem fornecidos sejam retomados no menor tempo possível.
Além de procedimentos diários, o plano de continuidade também fornece a definição de uma infra-estrutura e procedimentos previamente analisados, a serem aplicados em caso de desastre.
Benefícios - Prevenção contra perda de ativos de informação; - Prevenção contra interrupção de serviços prestados pela empresa ou instituição; - Redução do risco de multas por interrupção ou perda de dados;
- Redução de risco sobre a imagem da empresa ou instituição, por interrupção ou perda de dados; - Em caso de interrupção, redução no tempo de retomada dos serviços.
Produtos - Reunião de conclusão do Plano de Continuidade; - Relatório do Plano de Recuperação de Desastres; - Relatório do Plano de Continuidade de Negócios;
- Resumo Estratégico do Plano de Continuidade de Negócios; e - Plano de Ação para curto, médio e longo prazo.
Definição de Cenários Não é possível prever todos os tipos de cenários. Uma das principais características de um plano eficaz é a implementação de um ciclo PDCA (Plan, Do, Check, Act), que irá realizar análises de riscos continuas que poderão identificar e prospectar novos cenários. Apesar disso, não é possível identificar
Baseado na Análise de Riscos que tem como principal objetivo identificar quais as principais ameaças e sua probabilidade de ocorrência e com base nestas informações e nos impactos que serão identificados é preciso adotar as seguintes medidas: 1 - Quais riscos podem ser tratados? Se for identificado que os custos e possibilidades para tratamento são viáveis o risco deve ser tratado; 2 - No caso dos riscos que não se consegue tratar, é necessário desenvolver um plano de respostas.
Planos de respostas devem auxiliar a organização a responder a todas as ameaças que não foram tratadas ou identificadas. Como é possível responder a qualquer incidente?
- Tenha uma matriz de níveis de crise bem elaborada e alinhada com as necessidades da organização; - Tenha um plano de gerenciamento de crises e comunicação claro e de entendimento de toda organização; - Conheça e mantenha uma documentação clara de toda sua arquitetura e principais características do ambiente;
- Planeje, teste, ajuste com frequência seus planos de respostas a incidentes; e - Faça um trabalho de lições aprendidas após cada incidente. - Outro aspecto importante é ter certeza que existam apenas as cópias atuais dos planos disponíveis.
O sucesso de um Plano de Continuidade de Negócios está nas pessoas que o matem em constante funcionamento. Para que as empresas e instituições disponham de condições para enfrentar eventuais imprevistos é necessário que elas desenvolvam ações preventivas específicas:
plano de continuidade de negócio; plano de contingência; plano de recuperação de desastre; plano de resposta a incidentes; análise de impacto nos negócios; análises críticas.
Ações preventivas sempre geram resultados muito positivos. Toda empresa ou instituição, não importa sua área de atuação, está sujeita à ação de eventos externos. Muitos deles são de natureza incerta e, portanto, não controláveis. A robustez das informações é sempre um bom negócio.
Quanto mais a tecnologia avança, mais os parceiros comerciais, clientes e fornecedores, exigem que as empresas e instituições tenham um ambiente confiável e robusto. Em um contexto de competição crescente, os resultados obtidos pela organização dependem diretamente de sua capacidade de dar continuidade ao dia-a-dia de suas operações, mesmo face aos imprevistos.
Assim, para garantir a continuidade dos negócios de uma empresa ou instituição, é necessário se criar soluções adequadas a esse fim. Essas soluções precisam ser compostas por um processo de gerenciamento holístico (amplo/completo).
Como alguns incidentes são inevitáveis, essa solução permite avaliar potenciais impactos que ameaçam a empresa, protegendo sua reputação, sua marca e suas atividades de valor com a garantia da continuidade do negócio e de suas operações, mesmo em situações imprevistas.
Estabilidade para a organização significa confiança para os clientes e usuários. Por esse motivo, tais soluções devem envolver análises de processos de negócios e de riscos, além do desenvolvimento de planos e recomendações, com base em normas e padrões como ISO 27001, ISO 17799, Cobit, ITIL, PAS56/BS25999 e TR19.
Os benefícios são: Estabilidade na condução dos negócios; Aumento de disponibilidade; Contingênciamento; Eficiência na recuperação; Agilidade nas ações;
Respeito aos clientes, aumentando a confiança na organização; Melhoria da reputação; Melhor relação com investidores; Redução do espaço para ações diretas dos concorrentes.
É preciso uma estrutura abrangente, completa e integrada. Para garantir este conjunto de resultados e benefícios às instituições e empresas, as soluções devem abranger atividades de consultoria, prestação de serviços, sistema de gestão, indicadores e transferência de conhecimento, todas apoiadas por ferramentas específicas.
Além disso, sua implementação deve funcionar de forma integrada com as atividades, processos, com a segurança da informação e a gestão de riscos.
Além disso, sua implementação deve funcionar de forma integrada com as atividades, processos, com a segurança da informação e a gestão de riscos.
Componentes do planejamento de contingências ("4R ): I. Resposta: é a reação imediata, sendo o componente mais importante, pois engloba todos os demais. II. Reassunção: consiste em manter ou fazer operar as funções mais críticas, para evitar maiores danos.
III. Recuperação: trata-se de fazer operar as funções menos críticas, buscando a normalidade de operação para desativar as alternativas. IV. Restauração: é o retorno ao processo normal por meio da desativação das equipes emergenciais e volta à produção plena e ou restabelecimento total dos serviços.