CONTINUIDADE DE NEGÓCIOS BANCO CENTRAL DO BRASIL 2009/2010 CONTINUIDADE DE NEGÓCIOS E PLANOS DE CONTINGÊNCIA Professor: Hêlbert

A Continuidade de Negócios tem como base a Segurança Organizacional e tem por objeto promover a proteção pessoal, de bens e instalações, com atuação proativa e reativa, garantindo por meio de suas técnicas, conhecimentos e sistemas os meios protetivos a continuidade dos negócios.

A Segurança Organizacional é composta pela segurança eletrônica, segurança física, segurança de instalações, vigilância, proteção contra incêndios, segurança patrimonial, segurança lógica, que se complementam formando assim a política de segurança organizacional.

Objetivos O objetivo da Segurança Organizacional é a total proteção de pessoas, bens e instalações, assegurando através de técnicas, conhecimentos, sistemas, processos, produtos ou meios, a integridade e a continuidade dos negócios, das pessoas e dos bens existentes.

A Gestão de Continuidade de Negócios tem por objetivo definir planos e procedimentos alternativos a serem acionados em caso de ataques ou desastres sobre os ativos de informação da empresa ou instituição. O resultado do plano de continuidade é a não paralisação, ou a rápida retomada das atividades da empresa ou instituição em caso de ataque ou desastre.  

Descrição No plano de continuidade são definidos procedimentos para a proteção dos principais ativos da instituição. O plano apresenta procedimentos diários que devem ser seguidos para que, em caso de um ataque ou desastre, as informações não sejam perdidas e os serviços a serem fornecidos sejam retomados no menor tempo possível.

Além de procedimentos diários, o plano de continuidade também fornece a definição de uma infra-estrutura e procedimentos previamente analisados, a serem aplicados em caso de desastre.

Benefícios   Prevenção contra perda de ativos de informação; Prevenção contra interrupção de serviços prestados pela empresa ou instituição; Redução do risco de multas por interrupção ou perda de dados;

  Redução de risco sobre a imagem da empresa ou instituição, por interrupção ou perda de dados; - Em caso de interrupção, redução no tempo de retomada dos serviços.

Produtos Reunião de conclusão do Plano de Continuidade; Relatório do Plano de Recuperação de Desastres; Relatório do Plano de Continuidade de Negócios;

Resumo Estratégico do Plano de Continuidade de Negócios; e - Plano de Ação para curto, médio e longo prazo.

Definição de Cenários Não é possível prever todos os tipos de cenários. Uma das principais características de um plano eficaz é a implementação de um ciclo PDCA (Plan, Do, Check, Act), que irá realizar análises de riscos continuas que poderão identificar e prospectar novos cenários. Apesar disso, não é possível identificar todas as possibilidades.

Baseado na Análise de Riscos que tem como principal objetivo identificar quais as principais ameaças e sua probabilidade de ocorrência e com base nestas informações e nos impactos que serão identificados é preciso adotar as seguintes medidas: 1 - Quais riscos podem ser tratados? Se for identificado que os custos e possibilidades para tratamento são viáveis o risco deve ser tratado; 2 - No caso dos riscos que não se consegue tratar, é necessário desenvolver um plano de respostas.  

Planos de respostas devem auxiliar a organização a responder a todas as ameaças que não foram tratadas ou identificadas.   Como é possível responder a qualquer incidente?

Tenha uma matriz de níveis de crise bem elaborada e alinhada com as necessidades da organização; Tenha um plano de gerenciamento de crises e comunicação claro e de entendimento de toda organização; Conheça e mantenha uma documentação clara de toda sua arquitetura e principais características do ambiente;

Planeje, teste, ajuste com frequência seus planos de respostas a incidentes; e Faça um trabalho de lições aprendidas após cada incidente. Outro aspecto importante é ter certeza que existam apenas as cópias atuais dos planos disponíveis.

O sucesso de um Plano de Continuidade de Negócios está nas pessoas que o matem em constante funcionamento. Para que as empresas e instituições disponham de condições para enfrentar eventuais imprevistos é necessário que elas desenvolvam ações preventivas específicas:

• plano de continuidade de negócio; • plano de contingência; • plano de recuperação de desastre; • plano de resposta a incidentes; • análise de impacto nos negócios; • análises críticas.

Ações preventivas sempre geram resultados muito positivos Ações preventivas sempre geram resultados muito positivos. Toda empresa ou instituição, não importa sua área de atuação, está sujeita à ação de eventos externos. Muitos deles são de natureza incerta e, portanto, não controláveis. A robustez das informações é sempre um bom negócio.

Quanto mais a tecnologia avança, mais os parceiros comerciais, clientes e fornecedores, exigem que as empresas e instituições tenham um ambiente confiável e robusto. Em um contexto de competição crescente, os resultados obtidos pela organização dependem diretamente de sua capacidade de dar continuidade ao dia-a-dia de suas operações, mesmo face aos imprevistos.

Assim, para garantir a continuidade dos negócios de uma empresa ou instituição, é necessário se criar soluções adequadas a esse fim. Essas soluções precisam ser compostas por um processo de gerenciamento holístico (amplo/completo).

Como alguns incidentes são inevitáveis, essa solução permite avaliar potenciais impactos que ameaçam a empresa, protegendo sua reputação, sua marca e suas atividades de valor com a garantia da continuidade do negócio e de suas operações, mesmo em situações imprevistas.

Estabilidade para a organização significa confiança para os clientes e usuários. Por esse motivo, tais soluções devem envolver análises de processos de negócios e de riscos, além do desenvolvimento de planos e recomendações, com base em normas e padrões como ISO 27001, ISO 17799, Cobit, ITIL, PAS56/BS25999 e TR19.

Os benefícios são:   • Estabilidade na condução dos negócios; • Aumento de disponibilidade; • Contingênciamento; • Eficiência na recuperação; • Agilidade nas ações;

• Respeito aos clientes, aumentando a confiança na organização; • Melhoria da reputação; • Melhor relação com investidores; • Redução do espaço para ações diretas dos concorrentes.

É preciso uma estrutura abrangente, completa e integrada. Para garantir este conjunto de resultados e benefícios às instituições e empresas, as soluções devem abranger atividades de consultoria, prestação de serviços, sistema de gestão, indicadores e transferência de conhecimento, todas apoiadas por ferramentas específicas.

Além disso, sua implementação deve funcionar de forma integrada com as atividades, processos, com a segurança da informação e a gestão de riscos.

Além disso, sua implementação deve funcionar de forma integrada com as atividades, processos, com a segurança da informação e a gestão de riscos.

Componentes do planejamento de contingências ("4R“): I. Resposta: é a reação imediata, sendo o componente mais importante, pois engloba todos os demais. II. Reassunção: consiste em manter ou fazer operar as funções mais críticas, para evitar maiores danos.

III. Recuperação: trata-se de fazer operar as funções menos críticas, buscando a normalidade de operação para desativar as alternativas. IV. Restauração: é o retorno ao processo normal por meio da desativação das equipes emergenciais e volta à produção plena e ou restabelecimento total dos serviços.