1) O documento apresenta os conceitos e estrutura do Sistema de Gestão de Continuidade de Negócios (SGCN) para minimizar os impactos de crises nas empresas.
2) É descrito o que é o SGCN, seus principais componentes como a Análise de Impacto no Negócio, Planos de Continuidade e os tempos-chave RTO, RPO e MTD.
3) Também são apresentados os conceitos de Comitê de Gestão de Crises e seu papel no enfrentamento de crises, além de uma matriz para aval
2. Como minimizar os impactos gerados
por ‘Crises’ nas empresas
Apresentação com foco no Sistema de Gestão
de Continuidade de Negócios (SGCN)
04/2020
“É impossível que o improvável nunca
aconteça”
Emil Gumbel (estatístico
alemão)
3. Material elaborado por:
Gustavo de Castro Rafael
Bacharel em Sistemas de Informação
Pós-graduado em Governança TI
MBA em Gestão da Segurança da Informação
+ de 10 anos de experiência como consultor nas áreas de Governança/Gestão de TIC,
Segurança da Informação e Continuidade de Negócios
Linkedin: https://br.linkedin.com/in/gustavocastrorafael
Certificações Internacional: link de acesso
4. Objetivo
O material desenvolvido tem por objetivo apresentar os conceitos envolvidos na
Continuidade de Negócios, entre eles:
Cenário atual de crise
O que é o Sistema de Gestão de Continuidade de Negócios e seus principais
conceitos
Comitê de Gestão de Crises
Planos de Continuidade de Negócios
O que não contempla neste material:
Servir como referência para tomada de decisão
Ser um direcionamento de consultoria para atuação
5. Cenário Atual
MU - VUCA
Esta Foto de Autor Desconhecido está licenciado em
CC BY-SA-NC
V
U
C
A
Volatility - Volatilidade
Uncertainty - Incerteza
Complexity - Complexidade
Ambiguity - Ambiguidade
VUCA -> Conceito utilizado no Exército Americano
Velocidade em que ocorrem as
mudanças e seus impactos
Dúvidas, imprecisões típicas de um
cenário de crise, indecisões
Dificuldade de analisar os problemas,
seus resultados, consequências (não
existe ‘bala de prata’)
Vários caminhos, alternativas e
respostas, para o mesmo cenário
6. Definição de Continuidade de Negócio
É importante conhecer o que é Continuidade de
Negócio: “Capacidade da organização de continuar
a entrega de produtos ou serviços em um nível
aceitável, previamente definido, após incidentes de
interrupção”. Fonte: ISO/IEC 22301:2013.
7. Por que Continuidade de Negócios?
Por que as empresas devem investir recursos para planejar ações
com antecedência?
A resposta é simples: Emoções -> Movem/Direcionam ->
Ações
Obs.: Recomendo as palestras e vídeos do Prof. Dr. Pedro Calabrez que corroboram com o
tema: https://www.youtube.com/watch?v=HrkyluNERTA
Se você tem 5 minutos para tomar uma decisão, em
um momento de crise e de grande pressão,
provavelmente você tomará uma das piores decisões
possíveis. Isto é comprovado pela ciência em
diversos estudos e pesquisas...
9. Estrutura do SGCN
•Sistema de Gestão de Continuidade de Negócios
• Estrutura holística com o propósito de entender a necessidade do negócio, apetite do risco, impactos gerados
por incidentes graves (desastres) e criar as estruturas necessárias para atender ao Apetite de Risco da
organização. O SGCN visa: Estabelecer; Implementa; Operar; Monitorar; Analisar Criticamente e Melhoria
Contínua.
•Business Impact Analysis (BIA) ou Análise de Impacto no Negócio (AIN)
• O principal objetivo do BIA é analisar o efeito que uma interrupção ou incidente grave (desastre) terá sobre
os processos de negócio. É a estimativa (qualitativa e/ou quantitativa) dos impactos no negócio, podendo ser
medido em horas, dias ou semanas, conforme a estrutura e criticidade de cada organização.
•Plano de Contingência, Recuperação e Retorno de Desastres (PRD)
• Consiste em um conjunto de ativos tecnológicos e processos formalizados que irão garantir a Continuidade
dos Negócios em caso de indisponibilidade nos ativos tecnológicos críticos (servidores).
•Plano de Continuidade Operacional (PCO)
• Consiste em um conjunto de atividades previamente definidas para garantir que os processos de negócio
críticos continuem sua operação em um momento de crise.
•Planos de testes e validações (PTV)
• Estrutura orquestrada para validar a integridade dos planos desenvolvidos. Os testes podem ser realizados
de diversas formas, conforme o nível de maturidade de cada empresa. O principal objetivo do teste é garantir
que os planos estão coerentes com o cenário atual e detectar pontos de melhoria e/ou correções em seus
10. Estratégico
Tático
Operacional
Política (Diretrizes: estruturação do Sistema
de Gestão de Continuidade de Negócio (SGCN); Realização
da Análise de Risco; Análise de Impacto no Negócio (BIA) e
Definição dos Tempos (RTO, MTD e MBCO)
Planos (Planos de Continuidade do
Negócio; Planos de Recuperação de
Desastre; Planos de Testes e Validações)
Procedimentos Operacionais
Níveis de atuação SGCN
Gerenciamento Riscos - Processos
(Plano de Resposta à Incidentes; Plano de
Administração de Crises; Plano de Continuidade
Operacional; Planos de Mitigação de Riscos e outros)
11. 4 fases da Gestão de Crises
•Gestão de Resposta à
Incidente
•Analisar o incidente
•Analisar o impacto
gerado
•Tratar o incidente
•Atuação reativa em
corrigir o incidente
•Foco em minimizar os
impactos gerados
1° Responder
•Planos de Continuidade de
Negócio
•Estruturar as ações de
contingência, recuperação e
retorno à normalidade
•Desenvolver análise de risco e
análise de impacto no negócio
•Atuação reativa e proativa
para recuperar o ambiente
•Foco em minimizar os
impactos gerados por meio
de ações planejadas
2° Recuperar
•Manter o ambiente
operacional
•Gestão de
disponibilidade e
capacidade
•Utilização e ajustes nos
planos de continuidade
•Atuação proativa em
planejar e
acompanhar o
ambiente
3° Sustentar
•Melhoria Contínua
•Análise e Revisão dos
relatórios de impacto ao
negócio e riscos
• Lições aprendidas
•Otimização de recursos
•Preparação para novas
ameaças
•Atuação proativa pela
busca da melhoria
contínua
4° Melhorar
12. MTD
(Maximum
Tolerable
Downtime)
RTO
Tempo para recuperação
do ambiente
(contingência ou
restaurar o serviço) sem
impactar o negócio
Conceitos do SGCN
Linha do tempo
RPO
Ponto mais próximo
de recuperação
(backup ou
contingência)
D 0D-1 D+2 D+5
Incidente
RPO
(Recovery
Point
Objective)
RTO
(Recovery
Time
Objective)
MTD
Tempo máximo tolerável
de inatividade. Após este
momento, a empresa
terá prejuízos
MBCO
Quanto a empresa
precisa retornar da sua
capacidade de entrega,
podendo ser Ex.: 20%,
30%, 60% em um
momento crítico
MBCO (Minimum
Business Continuity
Objective)
13. Conceitos do SGCN
Defina os tempos e valores:
1. MTD: Máximo de Tempo Tolerável de Indisponibilidade -
> Levante com os envolvidos qual seria este tempo,
podendo ser horas ou dias, dependendo da criticidade
de cada empresa (recomendável utilizar o conceito
SMART para definição)
2. MBCO: Objetivo Mínimo de Continuidade de Negócio ->
Levante o quanto a empresa precisa entregar em um
momento de crise. Defina a % desta entrega, seja por
área ou global
3. RPO: Ponto Objetivado de Recuperação -> O quanto a
empresa aceita ‘perder’ de informação. Apresente
cenários para o negócio deliberar com base no SMART
Negócio – Nível Estratégico
Diretores e Gestores
Operacional – Nível Tático e Operacional
Coordenadores e Analistas
1. RTO: Tempo Objetivado de Recuperação -> O quanto a
área/setor irá demorar para retornar o ambiente, após
um incidente/interrupção
2. RPO: Conceito utilizado para a área de TIC responder,
visto que é a responsável por salvaguardar os dados da
organização. Este tempo pode ter mais de um valor,
conforme o ambiente.
1. Ex.: RPO para o cenário de contingência 15 minutos;
RPO para o cenário de backup 1 dia
3. MBCO: Caso a alternativa para continuidade apresente
degradação de performance, deve ser levantado a
capacidade de entrega com os envolvidos
14. Conceitos do SGCN
Resultados da definição dos tempos, BIA e Análise de Risco
Negócio – Nível Estratégico
Diretores e Gestores
Operacional – Nível Tático e Operacional
Coordenadores e Analistas
Visão Estratégica ≠ Visão Operacional
Apetite de Risco ≠ Realidade dos Riscos
Resultado: Desenvolvimento de projetos de adequação das ações/projetos
necessários para aproximar o ‘cenário atual’ do ‘cenário ideal’, direcionado pelo
nível Estratégico
Baixo Alto
15. Vantagens do SGCN
1 - Criar
Resiliência
para o
negócio
6 -
Redução
dos Riscos
e/ou
Impactos
4 -
Conformidade
com as boas
práticas
2 - Cenário
de Crise com
menor
impacto
5 -
Alinhamento
das
expectativas
3 - Melhor
prestação de
Contas (Medir – Monitorar
– Controlar – Melhorar)
7 - Ações
planejadas
e alinhadas
16. Comitê de Crises
A Crise exige mudança de comportamento
A Crise exige sair da zona de conforto
A Crise exige pensar diferente
A Crise exige realizar processos de forma diferente
A Crise exige pensamento crítico e senso de urgência
A Crise exige dobrar os esforços para atingir os mesmos resultados
A Crise gera distrações (ações emocionais ou sem comprovação da eficiência)
A Crise potencializa às percepções de urgência, relevância e prioridade
A Crise exige controle da ansiedade, tensão e ânimos
A CRISE É TEMPORÁRIA E IRÁ PASSAR
C R I S E
17. Comitê de Crises
Membros envolvidos?
Gestor de Negócio
Obs.: Cada empresa é única e com cenários distintos; portanto, os membros recomendados
são uma forma de exemplificação...
Gestor de TIC Gestor Financeiro
Membro da Diretoria/Board Consultoria Externa
Gestor de
Controles Internos
Gestor de Recursos
Humanos
Jurídico
18. O comitê deverá responder às seguintes perguntas:
1. Onde nós estávamos? (cenário anterior à crise)
2. Onde nós estamos? (cenário atual)
3. Onde nós queremos estar? (cenário possível)
4. Como chegamos lá? (ações estratégicas)
5. Chegamos lá? (monitoramento e métricas)
6. Como mantemos? (melhoria contínua)
Comitê de Crises
19. Comitê de Crises
Benefícios de um Comitê de Gestão de Crises?
1. Ser um canal único de contato, comunicação e deliberação das ações em momento de
crise
2. Agilidade na tomada de decisão com autonomia
3. Membros do Comitê analisando cenários e ações para tomada de decisão de forma
colegiada
4. Construir e implementar ações de proteção
5. Acompanhar as ações estratégicas, táticas e operacionais e monitorar os resultados
6. Fomentar a criação, buscar o novo, inovação
7. Ações realizadas de forma transparente e com prestação de contas aos stakeholders
20. Comitê de Crises
Principais ações do Comitê de Gestão de Crises
1. Definir os meios de comunicação com a equipe interna e externa (partes interessadas)
2. Definir os inputs (quais cenários serão utilizados para a tomada de decisão) e outputs
(quais ações serão comunicadas e para quem)
3. Seja Ágil e Transparente nas tomada de decisão -> Liderança e Comunicação Eficaz
4. Concentrar as informações e deliberar as ações pelo Comitê -> Mitiga o risco de ações
divergentes entre gestores
5. Fazer um Pareto e foque nos 20% de ações que irão gerar 80% dos resultados para o
negócio
6. Definir as ações de curto, médio e longo prazo -> Adaptar e ajustar as ações sempre
que necessário, principalmente as de curto prazo, visto que o cenário de crise é
dinâmico
21. Matriz de Riscos vs Ações
Criar indicadores KPIs para cada perfil de risco e definir as principais ações
para serem tomadas, caso o risco de materialize
1 2 3 4 5
Muito Baixo Baixo Médio Alto Muito Alto
Exemplo: Risco Médio – KPIs
• Fluxo de Caixa: nível +2 (aceitável)
• Faturamento = 70% do planejado
• Produção/Entregas = 80% do planejado
• Equipe/Colaboradores = 85% atuando
• Vendas futuras = 80% do planejado
Exemplo: Risco Muito Alto – KPIs
• Fluxo de Caixa: nível -2 (não aceitável)
• Faturamento = 30% do planejado
• Produção/Entregas = 20% do planejado
• Equipe/Colaboradores = 70% atuando
• Vendas futuras = 40% do planejado
Para cada nível de risco, deverá ser definido o processo decisório para tomada de decisão:
Definir as variáveis para tomada de decisão: Se irá considerar um único critério ou uma composição de critérios
para deliberar. Exemplo: Se a empresa atingir o nível 5 na Matriz de Risco, com a composição de 2 ou mais
critérios, deverá ser realizada as seguintes ações .......
22. Processo para tomar decisões
6 passos para tomar a melhor decisão racional
1. Defina o problema
Detectar a causa-raiz e atuar na solução definitiva -> Não busque alternativas que só irão postergar o
problema sem minimizar os impactos gerados
2. Identifique o critério
Mapeie os fatores que serão levados em conta para a tomada de decisão -> Ex.: Custo, Localidade,
Impacto, Mudanças necessárias, Prazo para implementar...
3. Atribua pesos aos critérios
Cada critério apresenta um grau de importância diferente; portanto, defina pesos diferentes
4. Gere alternativas
Crie soluções e cenários distintos para atingir os objetivos
5. Avalie cada alternativa em relação a cada critério
Monte os cenários relacionando os critérios, seus pesos e a eficácia esperada (valor)
6. Registre a decisão ótima
Para cada cenário multiplique a eficácia esperada x critério x peso atribuído. A maior soma é o
melhor cenário
Ref. 6 Passos extraídos do
‘Processos Decisórios’ de
Max Bazermen.
23. Planos de Continuidade
Ações Práticas para a Continuidade de Negócios
1. Mapeie as ameaças que possam impactar seu ambiente (definir por prioridade):
2. Relacione as ameaças com os impactos que possam ser gerados
3. Defina os processos críticos com base no BIA
4. Defina os ativos críticos com base no BIA e Análise de Risco
5. Crie as estratégias (cenários) para mitigar o risco ou seu impacto (Resposta à Incidente)
6. Crie as estratégias (ações) para continuidade do negócio, caso o risco se materialize.
Tanto ações de TIC quanto nos processos de negócio para cada ‘Risco Mapeado’
7. Defina as estratégias de Retorno à Normalidade
8. Levante os impactos que serão gerados, os tempos de RTO, RPO, MTD, MBCO e outros
9. Apresente para a alta administração os cenários atuais de resiliência
10. Defina projetos de melhoria
24. Serviços Ofertados pela PDCA TI
A PDCA TI pode apoiar sua empresa com as seguintes
frentes de atuação:
Segurança da Informação
Política de Segurança da
Informação
Sistema de Gestão de
Continuidade de Negócio
Lei Geral de Proteção de Dados
Governança de TI
Gestão de TI
Atendimento de auditoria
externas
25. Serviços Ofertados pela PDCA TI
Se o tema for relevante para sua empresa,
entre em *contato e agendados uma
apresentação virtual e/ou webinar sobre o
assunto, sem custo.
*Contatos no próximo slide