Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Guaratinguetá - SP
2016
FACULDADE DE TECNOLOGIA DE GUARATINGUETÁ
Guaratinguetá - SP
2016
REZENDE, A.M. PCN – Plano de Continuidade de Negócio. Guaratinguetá, 2016. Np.
Monografia, Faculdade de Tecnologia de Guaratinguetá.
Resumo
Abstract
With the intense growth of capitalism and the expansion of the importance of information,
which is currently the major key to success and differential firms, concern about safe ways to
maintain and generate the information has been increasing gradually. In the current
competitiveness of companies, any impact that may affect the continuity of any process in
any area of business is likely to have major damage to company, some even irreparable.
With this, you need a safe and effective plan to assist the company in cases of abnormalities
and possible disruptions in their processes. Thus, the business continuity plan, through its
structure, aims to minimize the damage caused by interruptions, ensure continuity in
minimum time, keeping the company able to repair damage without catastrophic damage,
and preserve all information in order to that the company can restructure and always keep all
the processes in operation. Still tends to identify and map all processes and all risks, taking
into account the degree of importance and that the monitoring costs of each will occur. This
work of completing the course will present the structure of a Business Continuity Plan and
the steps of your application.
Equação 1 - Riscos............................................................................................................... 18
Equação 2 - Nível de Impacto............................................................................................. 27
LISTA DE ABREVIAÇÕES E SIGLAS
INTRODUÇÃO
humano. Cada vez mais o homem depende da mesma para a realização de pequenos e
grandes feitos.
Por intermédio da informação, a evolução tecnológica está cada vez mais presente e
inovadora.
competitividade das empresas cresceu, uma vez que é mais fácil e acessível às
armazenar as informações de maneira segura. Assim, por meio destas necessidades, surgiu
perdas e manipulação incorreta. Mas, para que isto seja de fato possível, é necessário
informações são triviais e como a perda das mesmas afetas a continuidade do negócio em
questão.
estão cada vez mais dependentes de tecnologia. A tecnologia, além de ser responsável pela
dependência gera problemas. Se uma empresa não possuir o planejamento necessário para
Assim, este trabalho tem como objetivo demonstrar a importância de um PCN dentro
plano e o capítulo 4 um breve estudo de caso sobre o World Trade Center, como base para
1 SEGURANÇA DA INFORMAÇÃO
1.1 Conceitos
da informação, mantendo o valor que este possui para um indivíduo ou organização. São
e/ou cópia contra alguém que não tenha sido autorizado pelo proprietário.
usuário.
5. Estratégias de Continuidade
existentes ou de implantar uma nova estrutura voltada para processos. A sua análise
organização, além de ser uma excelente ferramenta para possibilitar o melhor entendimento
de uma continuidade.
construir modelos de processo. Mas qualquer que seja a técnica adotada, o mapeamento de
do modelo.
podendo assim auxiliar não apenas na criação de um PCN, como na tomada de decisões
Uma vez mapeado os processos, podemos identificar os riscos que eles possam vir
os riscos. Para isso, usa-se uma ferramenta chamada Diagrama de Causa e Efeito,
ao seu criador, Kaoru Ishikawa, em 1943 criou este diagrama que consiste em uma técnica
Pode ser utilizado também com outros propósitos, além do apresentado, por permitir
estruturar qualquer sistema que resulte em uma resposta (uni ou multivariada) de forma
gráfica e sintética.
Medida, Meio Ambiente), como decorrentes de falhas em: materiais, métodos, mão-de-obra,
máquinas, meio ambiente, medidas. O uso dos 6M pode ajudar a identificar as causas de
um problema e servir como uma estrutura inicial para facilitar o raciocínio na análise
desses.
plano adotado.
ambiente de negócios.
A Análise de riscos pode ser dividida em cinco partes, que juntas direcionam de uma
maneira segura uma empresa. Segundo Ramos (2012), as cinco partes são:
Tecnologia e informações.
que possam causar indisponibilidade dos serviços ou serem utilizadas para roubo
empresa.
Equação 1 - Riscos
Nesta fase, também são definidos os riscos que precisam ser tratados e quais não
Priorização dos ativos: classificação dos ativos por valor financeiro, custo para
criação, custo para proteção, custo para recuperação e seu valor perante a
concorrência.
vários itens, como o valor físico e o valor comercial dos dados localizados nesses
ativos.
A partir daqui, com os dados coletados, é feita uma análise das vulnerabilidades.
Para isto, são definidos e declarados concisamente os riscos e os ativos afetados. Segundo
Definição dos fatores críticos: medida do dano que uma determinada exploração
contenção e contingência.
etapa anterior. Além disso, monitoram-se novos possíveis riscos, novas ameaças e outras
20
nos Negócios.
É uma visão estratégica de continuidade que deve dar prioridade aos processos de
negócios mais importantes da empresa, ou críticos, para só então partir para o planejamento
dos procedimentos de contingência e a definição mínima dos componentes que devam ser
replicados.
através dela que podemos analisar quais riscos tem a maior prioridade ou não.
funções de suporte.
respectivamente.
devem ser recuperados após uma interrupção. É frequentemente usado como base para o
Pela TIsafe (2012), um RPO é o ponto no tempo no qual os sistemas e os dados são
recuperados após uma interrupção (último dado válido). É frequentemente usado como base
financeiro e operacional
Analisar a informação
tempo de queda).
Impactos Financeiros uma paralisação temporária do negócio. Ex.: equipamento alugado ajuda
temporária, etc.
priorização dos processos em sua área de negócio ou atividade utilizando dois critérios,
O autor demonstra uma maneira prática de como calcular os pesos e uma divisão em
IMAGEM – PESO 4
Descritor Pontuação
DE CARÁTER INTERNACIONAL 5
DE CARÁTER NACIONAL 4
REGIONAL 3
LOCAL 2
DE CARÁTER INDIVIDUAL 1
Fonte : Brasiliano, 2009
26
FINANCEIRO – PESO 3
Descritor Pontuação
MASSIVO 5
SEVERO 4
MODERADO 3
LEVE 2
INSIGNIFICANTE 1
Fonte : Brasiliano, 2009
LEGISLAÇÃO – PESO 2
Descritor Pontuação
PERTUBAÇÕES MUITO GRAVES 5
GRAVES 4
LIMITADAS 3
LEVES 2
MUITO LEVES 1
Fonte : Brasiliano, 2009
OPERACIONAL – PESO 2
Descritor Pontuação
PERTUBAÇÕES MUITO GRAVES 5
GRAVES 4
LIMITADAS 3
LEVES 2
MUITO LEVES 1
Fonte : Brasiliano, 2009
Obs.: Os números quatro, três, dois e dois dos numeradores correspondem ao peso
de cada variável (imagem, financeiro e etc.) e o valor 11, no denominador, é a soma dos
pesos.
Com resultado adquirido pela média apresentada, podemos criar uma tabela de
criticidade:
Grau de Nível de
Interpretação
Impacto Impacto
4,51 A 5,00 Catastrófico Eventos que causam impactos nas operações, de maneira a
3,51 A 4,50 Severo Eventos que também causam impactos extremos nas
EMPRESA.
2,51 A 3,50 Moderado Eventos que causam impactos significantes não atingindo
as operações.
impactos pelo nível. A tabela ainda está de acordo com a apresentada no modelo dois da
Assim, tendo em mãos os dados das duas tabelas indicadas, temos como
classificação entre Hot, Warm e Cold (Quente, morno e frio), dando critérios ao gestor para
Nessa fase, são abordados os métodos para uma recuperação mais eficiente do
negócio.
localização do site.
TISafe (2012):
Documentar todos os custos para cada alternativa, tendo assim a noção geral e
Obter custos de quaisquer serviços externos, como através do envio de uma RFP
seus prazos.
aprovação da gerência.
recuperação destes.
Pela TISafe (2012), a seguinte relação representa alguns dos métodos mais famosos
Recuperação de telecomunicações
Serviços de subscrição
Bureau de serviços.
Hot Site: Sites destinados a atender os processos críticos cuja atividade pode
considerados Cold cederão lugar para que estes processos tenham condições
Warm Site: Um warm site é um local onde uma organização pode facilmente
evento perturbador.
Cold Site: Um Cold Site é o tipo mais barato de site de backup para uma
Site, mas necessita de mais tempo após o desastre para a recuperação das
funções.
exata de um conjunto de dados (data set). Na Internet, um mirror site é uma cópia
estratégicos para a recuperação do banco de dados. Assim são adotadas duas maneiras de
informação que este deve conter. Conforme a TIsafe (2012), definimos os backups em
Backup Incremental: Captura todos os dados que foram alterados desde o backup
Backup Diferencial: Captura os dados que foram alterados desde o último backup
total. Tem como desvantagem o volume, mas sua restauração é muito rápida.
backup total deve estar em boas condições, caso contrário o seu backup estará
comprometido.
local externo.
seu software crítico com um terceiro confiável de maneira que este possa ser
Segundo Brasiliano (2009), nesta fase é relacionada ações a serem tomadas a partir
formatação 3W 1H, ou seja, What (O que?), Who (Quem?), When (Quando) e How (Como).
Segue exemplo:
O que: O que fazer. Exemplo: Comunicar o Sr. Roberto sobre a falha no sistema
mail, etc.
relação completa de todos os colaboradores das áreas, incluindo telefones para contatos,
(2009), são funções que operacionalizam os processos considerados Hot. Deve conter os
para esta finalidade. Devem ser listados todos os aplicativos, equipamentos e acessórios.
de continuidade. Segundo Brasiliano (2009), é composto por um espaço físico contendo kits
Os recursos necessários para o site de contingência e seu respectivo endereço devem ser
Deve estar distante o suficiente para não sofrer os efeitos da causa da interrupção
no site principal. O site não poderia estar no prédio principal ao ocorrido, por
exemplo.
Deve ser acessível ao ponto de poder ser acionado para ativação do plano de
externos.
O autor aconselha que, assim como a empresa possui seu próprio Plano de
Continuidade de Negócios, os fornecedores também devem tê-los e isto deve ser uma
do mesmo.
negócios. Além disto, é nesta fase que o plano passa a ser de conhecimento de
colaboradores envolvidos. Esta fase deve se repetir com certa periodicidade para verificação
estratégicas.
processos críticos em situações anormais, inclusive com efetivo reduzido a cerca de 30%.
continuidade.
comitê de crise, que é um grupo formado com integrantes das áreas de suporte, que são
A sugestão é que seja feito um teste de mesa, onde os membros se reúnem para
reestruturadas.
negócio são:
30%.
O cenário para o teste modular nas áreas da empresa, deve seguir algumas
informando que sua área se encontra em contingência. Assim, ele deverá acionar o grupo
de decisão (comitê da crise) e a partir deste momento ativar o plano e seu efetivo. Os
38
O autor aconselha que a área tenha duas horas de tempo limite para estar operando
com os processos críticos, identificados no BIA. O teste inicia-se pela manhã e de tarde os
regionais, da forma que em dois dias sejam testados a operação dos processos críticos na
Segundo Brasiliano (2009), para que o teste possa ser considerado válido deve
teste.
Processos de comunicação
Preparação do Relatório
Após os testes, pode-se ainda considerar a realização de novos testes. Para isto,
eficiência do teste.
fazer com que os componentes das diferentes equipes das áreas percorram os
para o teste.
Identificar falhas
do cenário varia, de acordo com o critério dos aplicadores, podendo ser, como exemplo, um
mesmo, é testar a equipe como se fosse uma situação real. Para isso, usa-se do artifício de
solução, esta será avaliada pelos coordenadores do treinamento através de debates sobre
os erros e acertos.
Negócios para casos contingenciais. Brasiliano (2009) apresenta um roteiro com os passos
procedimentos de contingência)
plano.
regime normal.
Acionar os meios humanos internos, por núcleo, para agir e reagir a uma
contingências
de áreas da empresa. Cada grupo possuirá seu líder, que será responsável por acionar as
células de chamada. Célula de chamada é a divisão dada aos grupos de chamada. Cada
célula tem no máximo 15 pessoas. A divisão em células tem função organizacional. Sendo
mais fácil a fluidez da informação em células. O Líder deverá sempre ter, de maneira
chamada, de acordo com o incidente, e assim, o líder do grupo de chamada passará para os
coordenadores, que irão assim passar para suas respectivas células a informação.
42
chamada.
A área deve nomear um líder para o grupo e um coordenador para cada célula. O
informados sobre as ausências dos funcionários, bem como casos de não serem
Brasiliano (2009) informa ainda que os líderes e coordenadores deverão ter uma
Organização, 2002, p. 15) defende que plano de Continuidade do Negócio tem por objetivo
exijam de seus parceiros e principais fornecedores o plano de continuidade para que uma
Assim, os fatores que causam uma parada nos processos também são o principal
Existem vários tipos de fatores que podem ocasionar ou contribuir para uma parada
nos processos.
Com base nas causas, o conjunto de fatores será dividido em três conjuntos
considerar também estes fatores em seu planejamento. Temos como exemplos, terremotos,
outros.
45
de Nova Iorque, as empresas que tinham PCN bem estruturados reiniciaram suas
muitas vezes justificando com os altos custos de sua aplicação. Porém, isto não é
valor mensurado pela parada dos Processos de Negócios executados pela empresa, que
farão parte do escopo do PCN. Porém, é sempre válido lembrar que por embora muitas
vezes os custos sejam altos, o problema que este previne muitas vezes é prova-se inúmeras
dados, em abril de 2003. O site Terra teve que abonar dois dias da mensalidade dos seus
O mais famoso caso de terrorismo da história, o World Trade Center foi destruído em
11/09/2001, pela colisão de dois aviões de transporte, ocasionado por terroristas sob o
Além da inestimável perda humana ocorrida por tal evento e em seu marco na
história como o pior caso de terrorismo já ocorrido até o momento, ele também marcou os
excluindo toda a parte trágica do fato, poderia ter sido evitada com aplicações dos conceitos
Existem algumas normas que cobrem o processo de PCN das empresas, dentre
proceder com o PCN e oferecem certificados para as empresas que cumprem essas
Como demonstra Luciana (Estudo de caso World Trade center. UNICEUB, 2011)
alguns pontos nestes eventos são forma notáveis e podem ser ressaltados, justificando o
pequeno caso de uso abordado. Aqui demonstra como é importante uma boa estruturação
de um PCN:
mão das pessoas, no qual muitas morreram no evento. As que não morreram não
pior do que não ter plano nenhum. A consequência das ações em detrimento a
Alguns planos não foram suficientemente testados, portanto, muitos deles eram
incompatíveis.
Os danos causados pelo ataque foram tão grandes que mudou os conceitos inclusive
de dispersão geográfica:
CONCLUSÃO
Casos como o World Trade Center demonstram como mesmo os eventos mais
ocorrido. Outras empresas que não tinham ou não possuíam o adequando Plano de
A maioria dos problemas que ocorrem com frequência não é grandes desastres, mas
REFERÊNCIAS BIBLIOGRÁFICAS
pgcn plano de continuidade de negócios - BCP & BIA – Business Impact Analisys.
em 11 de novembro de 2011.
26 de abril de 2012.
<http://www.procedimentosemti.com.br/downloads/NBR17799.pdf>. Acessado em 26 de
abril de 2011.
KETTINGER, William J.; James T. C. Teng, Subashish Guha. Business Process Change:
A Study of Methodologies, Techniques, and Tools. MIS Quarterly 21(1): 55-98 (1997).
<http://www.lugli.com.br/2009/08/diagrama-de-causa-efeito-ishikawa/>. Acesso em 12 de
maio de 2012.
em
<http://www.microsoft.com/brasil/security/guidance/prodtech/win2000/secmod134.mspx>.
Disponível em
<http://www.microsoft.com/brasil/security/guidance/prodtech/win2000/secmod135.mspx>
Disponível em
<https://www.passeidireto.com/arquivo/5849134/estudo-de-caso-do-world-trade-center>
de agosto de 2011.
RAMOS, F.F. Análise de Risco: O que se diz, o que se faz, e o que realmente é.
de 2002. Disponível em
de 2012.
BIBLIOGRAFIA CONSULTADA
em 14 de setembro de 2011.
novembro de 2011.
10 de setembro de 2011.
competitivos.