BIA e BCP Reduzido

Prof Tsuruda - Segurança de Redes - Notas de Aula pág 1 de 10

Planejamento deContinuidade de Negócios

versão resumida

Ideia-chave1. Conheça o seu negócio2. Avalie os riscos3. Formule o plano4. Teste o plano

Lembre-se sempre que os planos devem ter a seguinte prioridade:1. proteger a vida e saúde das pessoas2. proteger o meio ambiente3. proteger os interesses dos acionistas

1. CONHEÇA O SEU NEGÓCIO

O primeiro passo no planejamento da Continuidade de Negócios é a deconsiderar os impactos potenciais de cada tipo de desastre ou evento.

Este é o ponto crítico - para se planejar adequadamente para um desastre vocêdeve ter uma idéia dos prováveis impactos na sua empresa em função de diferentescenários.

Basicamente, a Análise de Impacto nos Negócios (Business Impact Analysis -BIA) é um meio de avaliar de forma sistemática os impactos potenciais resultantes devários eventos ou incidentes.

Também neste estudo, devem ser considerados outros tipos de incidentes, porexemplo, a quebra de sigilo ou mesmo de integridade dos dados causada porfuncionários da empresa, uma vez que estes fatores também poderão ter alto impactono negócio).

Desta forma, a análise de impacto de negócios, ou "BIA", destina-se a ajudaraos planejadores compreenderem o grau de perda potencial e outros efeitosindesejáveis que poderiam ocorrer. Refere-se assim não apenas a perda financeiradireta, mas a muitas outras questões, como a perda de confiança dos clientes, danos àreputação, os efeitos de novas leis ou regulamentação do setor em que a empresaatua, e assim por diante.

Funções Críticas (ou Setores Críticos)O primeiro passo é determinar as funções críticas para o Negócio. Para

completar um BIA para cada função crítica, siga as orientações abaixo descritas.

Responda a pergunta: sem esta atividade/função o negócio deixaria de operar?


Exemplos de funções críticas, tendo como exemplo uma pequena indústria :• Setor de Pagamento de pessoal• Departamento de TI• Vendas• Distribuição de mercadorias• Fabricação de mercadorias

Faça o BIA para cada uma de suas funções/equipes/setores críticos.

Efeito sobre o serviço Você deve considerar a importância da função sobre a sobrevivência do seu

negócio (calcule o impacto em Percentual da Renda ou Carga de Trabalho, no quãocrítica esta função é para outras funções, etc) e com que rapidez cada função deve serrestabelecida.

Para cada um dos intervalos de tempo, identificar qual seria o efeito da perdada função crítica. Por exemplo, perturbações na produção de mercadorias poderia ter oseguinte efeito sobre o negócio:

Tempo Efeito

Primeiras 24 horas Falta de estoque, causando atraso na produçãoFalta de espaço de armazenagem, impedindo a produção em48hrs

Entre 24 e 48 horas Parada na produção por falta de matérias-primasProblemas com parceiros comerciais

Até uma semana Prazos não cumpridos causam prejuízos financeirosNecessidade de terceirizar a produção para manter os clientes econtratos

Até 2 semanas Perda de clientesredução de funcionários devido à perda de contratos

Acima de 1 mês Falência da empresa

Recursos necessários Aqui o objetivo é ajudá-lo a identificar quais os recursos que você precisa e

quando você precisa deles. Quando completar esta seção, você precisa considerar osefeitos da perda da função / serviço, por período de tempo, conforme detalhado abaixo.

Número de Funcionários: Você provavelmente não irá precisar de toda a suaequipe imediatamente depois de uma emergência.Para cada intervalo de tempo databela acima, determine quantas pessoas você precisa.

Por exemplo, se você teve um problema com um fornecedor-chave e nenhumamercadoria estava disponível, você pode não precisar do motorista de empilhadeira,controladores de estoque etc, ou seja, todos trabalhando a plena capacidade dentrodas primeiras 24 horas.

Mudança/Relocação: Será que a função poderá ser realizada por sua equipeem qualquer outro lugar?


Por exemplo, trabalhar em casa, em outra filial, em uma Lan House , etcEquipamentos necessários: Para cada intervalo de tempo, a lista de quais

recursos são necessários, por exemplo• pessoas• computadores (hardware e software)• veículos• máquinas• equipamentos de comunicação (telefones fixos / móveis)

Dados necessáriosA partir das informações dos Proprietários da Informação de cada Setor, liste

quais dados são essenciais para a prestação do serviço / eg função crítica, por ex:• Os detalhes de contato do Cliente• Os detalhes do contato do Fornecedor• Números de contrato de Serviço / manutenção• Os detalhes de Seguros• Valores de Custeio• Trabalhos em curso• Uma informação critica aqui será a maior perda possível de informação sem

afetar de forma significativa esta Função (RPO1)

Ao concluir a Análise de Impacto de Negócios (BIA) você terá condições depriorizar quais funções ou serviço que você deve restabelecer em primeiro lugardurante uma emergência.

Usando suas análises de impacto na empresa, completam a lista de PrioridadeCrítica função do modelo do plano.

2. AVALIE OS RISCOS

Risco é uma avaliação sobre a chance de acontecer algo que vai impactar noseu objetivo de negócio. O risco é normalmente considerado em termos de Impacto eProbabilidade. Ao avaliar os riscos, você será capaz de priorizar suas atividades deredução de risco

Há muitos riscos que podem comprometer o seu negócio e incluem:• Inundações• A falha / perda de dados / perda de documentos-chave• Falha de equipamentos• Fogo ou explosão• Acidente de transporte• Condições meteorológicas extremas• Perda de instalações• As questões de pessoal

Estes riscos afetarão diferentes negócios e as funções críticas dentro deles, emgraus variados.

1 RPO (Recovery Point Objective): Indica o nível máximo de perda de informação aceitável


A tabela de análise de risco lista os riscos para o seu negócio, o impacto decada risco, qualquer redução no lugar ou possível e a pontuação matriz de risco

Ameaças consideradas Listar os perigos enfrentados pelo negócio

Impacto estimado Listagem de problemas físicos esperadosListar as implicações financeiras destainterrupçãoListar as pessoas afetadas (funcionários, clientes,parceiros) vejamos um exemplo para enchente:

• perda de máquinas• perda de estoque • multas devido à poluição causada no meio

ambiente pelo vazamento de substânciastóxicas

• danos causados a equipamentos declientes

Mitigação necessária Listar o que existe de medidas preventivas parareduzir os riscos, por exemplo

• mudar a fábrica de local para eviatrenchente

• implantação de processo demonitoramento na produção

• seguros contratados

A matriz de risco tem como finalidade ajudar a identificar os riscos de maiorprioridade para o seu negócio. Ao considerar a pontuação, você deve pensar emqualquer atenuação atualmente implantada.

Ao determinar a probabilidade de o risco de ocorrência (alta ou baixa), emseguida, determinar o impacto que os riscos tem em seu negócio, é possível classificaro risco como A, B, C ou D.

Por exemplo: A probabilidade de um vazamento químico em seu negócio:BAIXO (B ou D) o impacto de um derramamento químico teria no seu negócio: ALTO(A ou B) A pontuação de matriz de risco seria B.

Quando concluída, a tabela de Análise de Perigos mostra quais são os maioresriscos para o seu negócio. A partir deste diagnóstico, é possível decidir como gerenciaro risco.

ACEITAR: você pode decidir que você é feliz "viver com" o risco como o custode implementação de todas as estratégias de risco podem superar os benefícios.

TRATAR: você quer tratar o risco tomar medidas para reduzir o impacto ou areduzir a probabilidade (mitigação possível), porque o risco é muito tratamento paraseu negócio.

Não é possível mitigar contra todos os riscos, é por isso é necessário um plano.TRANSFERIR, ..ELIMINAR .....


Matriz de Risco A- Probabilidade Alta e Impacto alto

B Alto Impacto e Baixa probabilidadeC Probabilidade Baixa e Impacto BaixoD Baixo Impacto e Alta Probabilidade

Outra matriz de risco, com maior granularidade:

Probabilidade

Altíssima Alta Média Baixa Baixíssima Nula

Impacto

Altíssimo Altíssimo Altíssimo Alto Médio Baixo Nulo

Alto Altíssimo Alto Médio Baixo Baixíssimo Nulo

Médio Alto Médio Baixo Baixo Baixíssimo Nulo

Baixo Médio Baixo Baixo Baixíssimo Baixíssimo Nulo

Baixíssimo Baixo Baixíssimo Baixíssimo Baixíssimo Baixíssimo Nulo

Nulo Nulo Nulo Nulo Nulo Nulo NuloQuadro 1: Matriz impacto x probabilidade fonte: A Importância do Gerenciamento de Risco em Projetos. 2007. Disponível em: http://www.tenstep.com.br/br/Newsletter/AImportanciadoGerenciamentodeRisco.htm

3. PLANO DE CONTINUIDADE DOS NEGÓCIOS – BCP

Tendo concluído o Business Impact Analysis (BIA) e sua tabela de análise deriscos, agora você precisa para desenvolver uma lista de ações que podem serapropriadas quando ocorra uma emergência.

Você deve adicionar ao plano todos os contratos que você já tem no local,incluindo um check-list das ações específicas que você precisa tomar, apólices deseguro, autoridades que devem ser imediatamente informadas, contratos específicos eas providencias já tomadas para gerenciar as emergências.

A lista pode ser usada durante uma emergência para garantir que não hátarefas importantes são esquecidos.

Anotar as ações tomadas

O pessoal deve ser treinado para anotar ( gerar um LOG ) as açõestomadas, quem foi acionado, e a hora que cada atividade é realizada.Estas informações serão vitais para análise posterior e ainda para ocaso da empresa necessitar de defesa perante algum tribunal para

B

C D

A

IMPACTO

PROBABILIDADE


justificar as ações (e omissões) tomadas.

Ligações com as autoridades

Se as autoridades forem acionadas, é essencial nomear alguém paraatuar em ligação com as autoridades. Esta pessoa precisa para passarinformações entre a resposta de Serviços de Emergência e sua equipede resposta interna, identificar todos os danos tão rapidamente quantopossível ( apenas se seguro fazê-lo) e realizar uma avaliação emrelação à extensão dos danos causados pela emergência.

Identificação dos danos

Sempre busque documentar o seguinte:• Lesão aos funcionários, empreiteiros e ao público• danos em edifícios• Os danos à planta, equipamentos / veículos• danos ao estoque• danos à reputação

Fuções/Setores comprometidos

Identificar funções/setores comprometidos e se possível aextensão do dano

Convocar sua equipe de recuperação de negócios

Você precisa nomear com antecedência quem irá compor a equipe queirá gerenciar a resposta e recuperação da emergência. Se aemergência é tal que você precisa chamar a equipe, você precisafazê-lo o mais rápido possível.Mantenha uma lista atualizada de contatos para as emergências

Informe o pessoal daempresa

Fornecer informações aos funcionários é essencial para mantersua equipe informada sobre

• as ações de emergência e as respostas a serem tomadas.• O pessoal pode estar preocupado com:• Os colegas que podem estar feridos;

▪ O que se espera deles hoje• Se eles se voltam ao trabalho amanhã; • se ainda haverá ainda um trabalho para eles, • Considere a emissão de um número de apoio para o pessoal da

empresa ligar;• dependendo da escala e do tipo de emergência pense em

anúncios, e-mail e intranet, cartaz em uma área de recepção,rádio ou telefone para chamar todo o pessoal.

• Lembre-se: fornecer informações rapidamente vai parar deboatos!

Decidir sobre curso de ação

Decida o que você precisa fazer e prepare um plano de ação;Use a Lista de Prioridade Crítica de Função/Setor e a BIA para ajudá-lo;

Comunique o que vai fazer

Comunique suas decisões aos parceiros de pessoal e de negócios

Informação ao público

Forneça informação pública para manter a reputação e os negóciosNomear um membro do pessoal para atuar como seu representante deimprensa. Esta pessoa deve ser treinado em técnicas de resposta demídia e ser capaz de responder a perguntas sobre a situação deemergência e os negócios em geral.O seu representante de imprensa devem trabalhar em colaboração como porta voz dos serviços de emergência, se possívelUma declaração segurando poderia ser pré-preparado para o seu


negócio de modo que você apenas tem que preencher os espaços embranco no momento.

Reveja seu BCPOrganize um de-brief depois da emergência, isto é muito importantepara manter e documentar o histórico dos acontecimentos e para quevocê possa aprender com a experiência.

Cada setor deverá ter as observações pertinentes, principalmente quanto aosdados importantes e pessoal.

4. Teste e Ensaie seu Bussiness Continuity Plan Este é o momento mais importante do plano, quando os planejamentos serão postos à

prova. Nesta ocasião normalmente são descobertas as falhas em comunicação e deprocedimentos das pessoas-chave. Deve-se avaliar os pontos fortes e fracos do planejamento,realizar os ajustes e buscar nova ocasião para os treinamentos.

→ Os marinheiros treinam semanalmente suas funções em caso de incêndio no navio.Um navio em alto mar não pode contar com auxílio de ninguém, de forma que os profissionaisdevem saber o que fazer mesmo que um incêndio ocorra à 3h30 da madrugada e não hajaluzes nos corredores. É necessário controlar o público e eliminar ou pelo menos retardar oincêndio, em como é absolutamente indispensável saber as funções criticas do navio.

Abaixo vejamos um “template” do BIA/BCP da empresa.


[Logotipo e Nome da Empresa]

Plano de Continuidade dos Negócios

Data:versão:

----------- nova página ---------------

Meta deste planoPreparar a empresa para o caso de emergências blablabla

Objetivos• Definir e priorizar as Funções/Setores Críticos ao negócio• Analisar os riscos para os negócios• detalhar as respostas às emergências• identificar as pessoas-chave durante as emergências• .....

Lista de DistribuiçãoCopia Nr Nome Telefone Localidade

001

002

003

Se houver necessidade de modificação neste documento, avisar XXX, [email protected]

Documentos relacionados ao planoDocumento Localidade

Contrato de locação de site backup, empresaxyz

Setor Jurídico, Sr xxxx

mailto:[email protected]


Business Impact Analysis - BIA

Listagem de Funções/Setores CríticosPrioridade Função / Setor

1 Setor de pagamento de Pessoal

2 Planta fabril de Pinhais/PR

3 Xxx yxyx xx

4 nononononon

Para cada setor considerado crítico, faça as tabelas abaixo. Comece cada setor em uma nova página, de forma que possa destacar e substituir folhas quando for necessário realizar alterações no Plano.

1 – (exemplo) Setor de Pagamento de Pessoal

Função Crítica Setor de Pagamento de Pessoal

Listagem de Riscos do SetorAmeaças Impacto Mitigação no

localMitigaçãoPossível

Matriz de Riscos

Enchente Perda deequipamentos edocumentos

nenhuma Trocar de andar B

Falha de Storage A

Falta de Eletricidade

A

Incêndio B

Perda de pessoalcrítico

B

Perda de dado crítico

C

Matriz de RiscosA Probabilidade Alta e Impacto altoB Alto Impacto e Baixa probabilidadeC Probabilidade Baixa e Impacto BaixoD Baixo Impacto e Alta Probabilidade


Efeito nos NegóciosTempo Efeitos

24 horas

24 a 48 horas

Uma semana

Duas semanas

1 mês

Recursos a recuperarTempo Pessoal Relocação?

(S/N)Recursos (eqp,

rede etcDados (sistema,

bkp etc)

24 horas

24 a 48 horas

Uma semana

Duas semanas

1 mês

BIA e BCP Reduzido

Documents

Transcript of BIA e BCP Reduzido