2.1 Gerenciamento da Continuidade do Negócio

7/29/2019 2.1 Gerenciamento da Continuidade do Negócio

http://slidepdf.com/reader/full/21-gerenciamento-da-continuidade-do-negocio 1/23

1

Gerenciamento da

Continuidade do Negócio

Prof. Erick Alves [email protected]

2

Roteiro

• Motivação

• Gerenciamento da Continuidade doNegócio (GCN) com ABNT NBR 15999

• Atividade em grupo (Gerenciamento daContinuidade dos Serviços de TI com a

PAS 77)



2

3

4



3

5

Fatos

• Depois de um desastre, quantasorganizações sem um plano:

– Nunca reabrem?

– Reabrem mas fecham em 18 meses?

– Reabrem mas fecham em 5 anos?

– Sobrevivem?

40%

40%

12%8%

Fonte: Safetynet / Guardian IT

6

Fonte: Patrick Wood, Business Continuity Management, Chartered Management Institute, England, 2006.

Ocorrência deinterrupção deserviço no anoanterior.



4

7

Sistema Não Resiliente

8

Sistemas Resilientes x Não Resilientes

• Um sistema resiliente é aquele capaz deresistir a pressões.

• O termo é emprestado da física, na qual aresiliência é uma característica dos

materiais que não se deformam ao sofrerpressão.

• Importante para pessoas, empresas epaíses.



5

9

Sistema Resiliente

Uma área em crescimento...



6

11

12

Associações Profissionais de GC

• Business Continuity Institute(www.thebci.org)

• DRI International (www.drii.org)

• BCM Institute (www.bcm-institute.org)



7

13

Certificações para Profissionais

• Certified Business Continuity Professional – CBCP, do DRI International.

• BCI Member – MBCI, do BusinessContinuity Institute.

14



8

15

Evolução dos Padrões

15999-2599956Business ContinuityManagement

2007

--2577777IT Service ContinuityManagement

2008

200002000015000-IT Service

Management

2002

14001140017750-Environmentalmanagemet

1992

900190015750-Quality Managment1979

ABNTISOBSPASAssuntoAno

16

Certificação BS 25999 no Mundo

• Duas empresas inglesasforam as primeirascertificadas em BS25999-2 no mundo, emnovembro de 2007:

– Sunguard AvailabilityServiceswww.sungard.co.uk

– TDG Supply ChainManagementwww.tdg.eu.com

Fonte: http://www.continuitycentral.com/news03615.htm



9

17

Certificação BS 25999 no Brasil

• Primeiro banco no

mundo a obter acertificação BS25999 em fevereiro

de 2008, com apoioda consultoria

Módulo.

Fonte: Banco Nossa Caixa S.A. – Relatório Trimestral de Resultados 1T08Fonte: http://www.baguete.com.br/noticiasDetalhes.php?id=24629

18

Definição de GCN

• Gerenciamento da Continuidade do Negócio(GCN) é um processo da organização queestabelece uma estrutura estratégica eoperacional adequada para: – Melhorar proativamente a resiliência da

organização.

– Prover uma prática para restabelecer a capacidade

de uma organização fornecer seus principaisprodutos e serviços, em um nível previamenteacordado, dentro de um tempo previamentedeterminado após uma interrupção.

– Obter reconhecida capacidade de gerenciar umainterrupção do negócio, de forma a proteger a marcae reputação da empresa.

Fonte: ABNT NBR 15999-1:2007



10

19

RPO e RTO

Fonte: Secure Business Continuity: Strategies for Business Continuity Management andDisaster Recovery – Symantec Yellow Books

(Ponto de Recuperação Objetivado) (Tempo de Recuperação Objetivado)

20

Fonte: Secure Business Continuity: Strategies for Business Continuity Management andDisaster Recovery – Symantec Yellow Books

Investimento x RTO



11

21

Política de GCN

• Deve contemplar:

– Definição do escopo do GCN dentro da organização.

– Alocação de recursos para GCN.

– Definição dos princípios, guias e políticas queprecisam ser incluídos ou podem ser utilizados comoreferência.

– Referência a normas pertinentes, regulamentos oupolíticas que tenham que ser incluídos ou possam serusados como referência.

22

As 6 Etapas do GCN




12

23

1. Gestão do Programa de GCN

• Três passos:

– Atribuição deresponsabilidades.

– Implementação dacontinuidade denegócios na

organização. – A gestão contínua da

continuidade donegócio.

24

2. Entendendo a organização

• Identificar os objetivos daorganização.

• Identificar atividades quedão suporte à entregadesses produtos.

• Avaliar impacto de falhadessas atividades.

• Identificar ameaças quepossam interromper

essas atividades.



13

25

Análise de Impacto no Negócio - BIA

• Documenta o impacto de uma interrupção nasatividades que geram seus produtos e serviçosfundamentais.

• Para cada atividade que suporta a entrega dosprodutos e serviços fundamentais: – Verificar, com o passar do tempo, o impacto que

aconteceria caso a atividade fosse interrompida. – Estabelecer o período máximo de interrupção

tolerável em cada atividade.

• Atividades críticas : atividades cuja perda teriammaior impacto no menor tempo.

26

Análise de Impacto no Negócio - BIA

• Impactos relacionados aos objetivos de negócio

e às partes interessadas:

– Comprometimento do bem-estar das pessoas.

– Dano ou perda de instalações, tecnologias ouinformação.

– Não cumprimento de deveres ou regulamentações.

– Danos à reputação.

– Danos à viabilidade financeira.

– Deterioração da qualidade de produtos e serviços.

– Danos ambientais.



14

27

Análise de Risco - RA

• Deve conter: – Definição dos critérios de aceitação de riscos.

– Definição dos níveis aceitáveis de riscos.

– Análise dos riscos

• Ameaças: eventos que possam causar

impacto aos recursos.• Vulnerabilidades: fraquezas nos recursos.

• Impactos podem resultar da exploração devulnerabilidades pelas ameaças.

28

Processo, Atividades, Atividade Crítica,

Vulnerabilidades, Ameaças



15

29

Resultado da BIA e RA

• São identificadas medidas que:

– Reduzem a chance de interrupção.

– Reduzem o período de interrupção.

– Limitem o impacto da interrupção.

30

3. Determinando a estratégia

de continuidade do negócio

• A escolha da estratégiade GCN permite queopções de respostasejam avaliadas paracada serviço de maneiraque:

– O nível do serviço sejaaceitável.

– Em uma quantidade detempo aceitável.



16

31

Operação Manual

“Nossos sistemas estão fora do ar,tivemos que fazer tudo manualmente...”

32

4. Desenvolvendo e implementando

uma resposta de GCN

• Resulta na criação deuma estrutura de gestãoe de gerenciamento deincidentes, continuidadede negócios erecuperação.



17

33

Plano de Gerenciamento de Incidente - PGI

• Seu propósito é gerenciar a fase inicial (crítica)de um incidente.

• Deve se basear na BIA e RA.

• Define a comunicação com a mídia (ex: minutade declaração à imprensa).

• Define o local a partir do qual o incidente será

gerenciado (ex: sala, quarto de hotel...),dispondo de meios de comunicação adequados(ex: telefone, fax, acesso à Internet...)

• Anexos úteis, como mapas, tabelas, plantas,diagramas, fotografias...

34

Plano de Continuidade de Negócio – PCN

• Seu propósito é permitir que aorganização recupere ou mantenha suasatividades em caso de uma interrupçãodas operações normais de negócio.



18

35

PGI e PCN

• Todo plano deve conter:

– Objetivo e escopo

– Papéis e responsabilidades

– Regra de ativação do plano

– Proprietário e mantenedor do documento

– Formas de contato (ex: celular, pager...)

36

Linha do Tempo do Desastre




19

37

5. Testando, mantendo e analisandoos preparativos de GCN

• Garante que ospreparativos de GCNestejam validados portestes e análises críticase que sejam mantidosatualizados.

38

Benefícios dos Testes

• Exercitar a capacidade da organização dese recuperar de um incidente.

• Validar a efetividade dos planos.

• Aperfeiçoar os planos.

• Treinar as equipes.

• Divulgar a GCN para a organização epartes interessadas.



20

39

6. Incluindo a GCN nacultura da organização

• A continuidade denegócio precisa se tornarparte da gestão daorganização, dos valoresbásicos da organização.

40

Conscientização

• Uma iniciativa de conscientização deve incluir:

– Um processo de consulta sobre a implementação deGCN.

– Discutir GCN nos informativos, apresentações,reportes diários.

– Inclusão de GCN na intranet.

– Discussão de incidentes internos e externos.

– GCN como um tópico nas reuniões de equipe.

– Visitas aos locais de recuperação.



21

41

Benefícios

• Redução do número de desastres.

• Redução do impacto produzido pelos desastres.

• Redução do tempo de indisponibilidadeprovocado pelos desastres.

• Maior previsibilidade na recuperação dosdesastres.

• Redução do prêmio pago pelos seguros.

• Aumento da credibilidade da empresa, melhorada imagem.

42

Pesquisa sobre Impacto de Desastres nas

Empresas

• Pesquisou a influência de grandes desastres nopreço das ações.

• Conclusões: – Descobriu dois tipos de empresas: as

“recuperadoras ” e as “não recuperadoras ”. – As recuperadoras tinham o preço das ações

aumentado em 5% depois de um ano. As nãorecuperadoras reduziam 15% no mesmo período.

– O mercado reavalia as empresas depois de umdesastre. Se a empresa souber lidar com a crise, ovalor de mercado sobe, caso contrário, desce.

– Oportunidade para os executivos mostrarem suashabilidades em situações extremas.

Fonte: Rory R. Knight, Deborah J. Pretty, The Impact of Catastrophes on Shareholder Value .



22

43

Padrões Relacionados com GCN

• ABNT NBR 15999-1 Gestão de continuidade de negócios – Parte 1:Código de prática (tradução da BS 25999-1).

• BS 25999-1 Business continuity management – Part 1 Code ofpractice (Inglaterra).

• BS 25999-2 Business continuity management – Part 2 Specification(Inglaterra).

• SS 507 Singapore Standard for Business Continuity/DisasterRecovery (BC/DR) service providers (Singapura)

• ISO/PAS 22399:2007 Societal security - Guideline for incident

preparedness and operational continuity management• HB 221:2004 Business continuity management (Austrália).• HB 292:2006 A Practitioners guide to business continuity

management (Austrália).• NFPA 1600 Standard on disaster/emergency management and

business continuity (Estados Unidos).

44

Padrões Relacionados com GCSTI

• BS 25777:2008 Information and communications technology continuity management. Code ofpractice.

• BSI PAS 77:2006 IT Service continuity management – Code of practice.• ISO 24762:2008 Informaton technology – Security techniques – Guidelines for information and

communications technology disaster recovery services.• NIST SP 800-34 Contingency planning guide for information technology systems (Estados

Unidos).• ITIL v3, Livro Service Design, Processo de Gerenciamento da Continuidade dos Serviços de TI.• ISO 20000-1 Information technology – Service management – Part 1: Specification.• ISO 20000-2 Information technology – Service management – Part 2: Code of practice.• Cobit 4.1, DS4 – Domínio Deliver and Support, Processo Ensure Continuous Service.• ISO/IEC 27001:2005 Information technology -- Security techniques -- Information security

management systems – Requirements.• ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of practice for

information security management.• ISO 27031 Information technology -- Security techniques -- Specification for ICT Readiness for

Business Continuity, draft.• BS 25777. Code of practice for information and communications technology continuity, draft.



23

45

Outras Fontes de Informação

• Tutorial sobre PCN

– http://nonprofitrisk.org/tools/business-continuity/intro/1.htm

• Estrutura de um PCN

– http://www.yourwindow.to/business-continuity/index.htm

• Disaster Recovery Journal

– http://www.drj.com

• Site do governo do Canada sobre GCN – http://www.publicsafety.gc.ca/prg/em/gds/bcp-eng.aspx#a02

Documents

2.1 Gerenciamento da Continuidade do Negócio