Aula 4 - Plano de Continuidade de Negócios (PCN)

Carlos Henrique M. da [email protected]

“Não permitir interrupções das

Atividades do negócio e

proteger os

Processos críticos contra falhas

ou

Desastres, assegurando a

retomada em tempo hábil”.

“81% dos gestores cujas organizações ativaram os seus acordos de continuidade dos negócios nos últimos 12 meses disseram que isto foi eficaz na redução de paralisações. Em resumo: a continuidade dos negócios funciona." Secretariado de Contingências Cíveis, Gabinete do Governo citado em "Se preparando para o pior - The 2012 Business Continuity Management Survey”.

A Continuidade de Negócios trata do estudo de identificação dos

processos que dão “vida” a uma empresa, ou seja, aqueles mais

críticos e impactantes.

Esse estudo exige uma metodologia renomada e consultores

experientes, capazes de identificar o conteúdo principal dos

negócios e mapear ameaças e vulnerabilidades existentes. Após

uma Análise de Riscos ou uma Business Impact Analisys

(BIA), é feita a qualificação e a quantificação dos resultados que

refletem a realidade do ponto de vista de negócios da empresa.

O estudo prevê ainda o mapeamento de todos os componentes

que suportam estes processos de negócios e o

desenvolvimento de Planos de Contingência, Recuperação de

Desastres e Gerenciamento de Crises.

Em outras palavras, o estudo busca informar como os gestores

deverão proceder em caso de um incidente, ação por ação,

explicando o que fazer, quem deve fazer, quando fazer, como

fazer, quais são os pontos críticos e o tempo das ações para

uma recuperação dos servidores, dos aplicativos e dos bancos

de dados mais importantes e vitais para o negócio de uma

empresa.

• Para colocar um PCN em prática, é aconselhável uma boa

consultoria, com experiência e uma boa metodologia, seguindo as

recomendações da BS 25999-2, ISO 22301, BS-7799, da NBR

ISO 17799 e o DRI (Disaster Recovery Institute).

• Complexidade não é sinal de qualidade. Muitas vezes, as

metodologias mais simples e diretas apresentam resultados mais

satisfatórios.

• Ao ser desenvolvido, um PCN pode vir a justificar investimentos

em TI, bem com evitar investimentos em áreas desnecessárias e

que não causem impactos tão consideráveis.

Fase 1 – Planejamento

Fase inicial do Projeto, que vai da reunião da

equipe até o Workshop para formalização de

uma Empresa Virtual.

Fase 2 - Levantamento de Dados

Análise de documentação, inspeção física e

levantamento das Ameaças, Vulnerabilidades,

Impactos, Componentes, Eventos e demais

Critérios gerando o Relatório de Critérios.

Fase 3 - Análise de Impacto nos Negócios (BIA)

Nesta fase são aplicados os questionários cujos

resultados geram o Relatório de Criticidade, Relatório

de Inter-relacionamento e o Relatório BIA fornecendo o

custo do interrompimento dos processos de negócios

CRÍTICOS e VITAIS bem como o Custo da

Recuperação dos mesmos.

A BIA é feita buscando identificar os processos críticos

que apoiam o negócio da organização, e qual impacto

para o negócio caso as ameaças mapeadas venham a

se concretizar.

Calculo do Impacto

Impacto = (Relevância do Processo + Relevância do

Ativo) 2

Relevância do Processo: Quão importante é o

processo ao negócio da organização.

Relevância do Ativo: Importância do ativo no

processo de negócio da organização.

Fase 4 - Estratégia de Recuperação

São analisadas as estratégias de recuperação e continuidade que serão adotadas e a necessidade de existência ou não de um site alternativo. Neste momento é gerado o Relatório de Estratégias.

Fase 5 - Desenvolvimento dos Planos

Nesta fase, são executadas

as entrevistas de PAC, PCO

e PRD. Como resultado

serão descritos os Planos e

o Programa que integram o

PCN.

PAC – PROGRAMA DE ADMINISTRAÇÃO DE CRISE

Representa a garantia mais eficaz em termos de

administração em situações adversas. O PAC relaciona

o funcionamento das equipes (Recursos Humanos)

antes, durante e depois da ocorrência do evento.

Através deste Programa são definidas as ações no

período de retorno a normalidade.

PCO – PLANO DE CONTINUIDADE OPERACIONAL

É composto por um conjunto de procedimentos previamente

definidos, destinados a manter a continuidade dos processos e

serviços vitais de uma organização, considerando-se a ausência

de componentes que os suportem, devido à ocorrência de

eventos previamente identificados e definidos. Através do PCO,

os gestores dos processos de negócios saberão como agir na

falta ou falha de algum componente que o suporte, garantindo a

continuidade do processo de negócio reduzindo o impacto no

negócio da empresa.

PRD – PLANO DE RECUPERAÇÃO DE DESASTRES

Avalia a vulnerabilidade dos componentes que

suportam os seus Processos de Negócios críticos

diante de eventos, mapeando e planejando sua

recuperação / restauração de acordo com a sua

realidade. No PRD encontram-se detalhados ações

relativas a site alternativo visando a continuidade dos

negócios da empresa.

Uma das atividades mais importantes da gestão de

continuidade de negócios são os testes, através de testes é

possível mensurar e identificar a real eficácia do plano de

continuidade de negócios.

Os testes e simulações também possibilitam uma

manutenção e atualização adequada dos planos.

Os testes devem ter uma periodicidade mínima de seis

meses, buscando desvios ou procedimentos ineficientes no

plano.

Para um teste efetivo é necessário estabelecer um cenário de

testes e definir qual tipo de teste será possível realizar e qual irá

fornecer as evidências necessárias para uma auditoria.

Dentre os tipos de testes destacam os seguintes:

• STRUCTURED WALKTHROUGH

• TABLETOP

Veja a seguir a descrição dos tipos de testes citados acima.

STRUCTURED WALKTHROUGH

O tipo o mais básico de teste, ocorre em uma reunião

onde a finalidade principal é assegurar que o pessoal

crítico de todas as áreas está familiarizado com o PCN.

TABLETOP

É definido um cenário específico e executados os planos. Os

objetivos principais são praticar a interação da equipe, as

tomadas de decisão e habilidades para resolver o problema:

Functional Testing: É realizado para testar funções específicas,

geralmente voltados a teste de gerenciamento de crises e

execução de procedimentos que envolvam pessoas.

Full Scale: O tipo mais detalhado de teste. Com este teste, todo

o ou a maioria dos planos são postos em ação. Os objetivos

principais aqui são simular uma situação real de recuperação.

DRII'S PROFESSIONAL PRACTICES DOCUMENT

http://www.drii.org

THE BCI GUIDEhttp://www.thebci.org

Formado em Análise de Sistemas

Pós-Graduado em Auditoria em T.I.

Gerente de TI da CLIOC – Coleção de Leishmania do

Instituto Oswaldo Cruz – Fiocruz

Certificado em Gestão de Segurança da Informação e

Gerenciamento de T.I. pela Academia Latino-

Americana (Microsoft TechNet / Módulo Security)

Carlos Henrique M. da [email protected]