343o de crise e continuidade.ppt) - cic.unb.brjhcf/mybooks/cegsic/2008_2009/gsic500_gestao... ·...

GSIC500 – Gestão de Crise e Continuidade (Notas de Aula), © Jorge Henrique Cabral Fernandes. CIC-IE-UnB. 2009

GSIC500 – Gestão de Crise e Continuidade

BrasíliaJunho de 2009

Prof. Dr. Jorge Henrique Cabral Fernandes


Agenda

• Dia 1 – Gestão de Crise• Dias 2 e 3 – Gestão da Continuidade


Metodologia

• Discussões e exposição conceitual• Leitura de artigos • Discussão em sala de aula• Escrita e depósito de dois textos

individuais no ambiente moodle– Relato e reflexão técnica sobre uma crise

organizacional– Resposta aos exercícios sobre continuidade

efetuados em sala de aula


GSIC500a GCC - Gestão de Crise

Jorge FernandesBrasília, Junho de 2009 (v.1.01)


Objetivos do Módulo sobre Gestão de Crise

• Discutir e consolidar os conceitos e abordagens teórico-práticas para a gestão de crises

• Relacionar os conceitos de crise, planejamento e continuidade, recuperação de desastres e gestão de riscos

• Duração Prevista: 5 horas aula


Bibliografia

• Wikipedia– Fonte de vários artigos sobre diversas crises e desastres

• [Smith 2006] Key Readings in Crisis Management: Systems andStructures for Prevention and Recovery. Dennis Smith and DomincElliott, Routeledge, 2006– Coletânea de vários artigos abordando aspectos teóricos da gestão de

crises

• [HBR 2004] Crisis Management: Master the Skills to PreventDisasters. Harward Business Review. 2004.– Receitas para gestão de crises, aplicáveis a organizações privadas e

públicas norte-americanas

• [Bohn 2003] Nerve Center: Inside the White house Situation room. Michael Bohn. Brassey’s Inc. 2003. – Descrição das rotinas da sala de situação da casa branca.


Conteúdo

1. Conceitos de crise em geral2. Processo de gestão de crise3. Incubação de Crises 4. Tipologia de Crises Organizacionais5. Tomada de Decisão em Crise6. Sala de situação7. Guia Essencial de Gestão de Crise8. Crises e a Gestão da Segurança da

Informação e Comunicações


1. Conceitos de crise em geral


Crise• “Um evento ou série de eventos danosos, que apresentam

propriedades emergentes que excedem as habilidades de uma organização em lidar com as demandas de tarefas que eles geram, e que apresentam implicações que afetam uma proporção considerável da organização, bem como de seus constituintes (Smith, 2005)

• O dano que pode ser causado pode ser de escopo– Físico– financeiro – reputacional

• Crises também possuem dimensões temporais e espaciais e irão, invariavelmente ocorrem em um ‘lugar’ em um determinado período

• Crise é o fenômeno de segurança mais complexo ao qual uma organização pode ser exposta


Quando surge uma crise?

• Crises são normalmente disparadas por um incidente ou outro conjunto de circunstâncias (que podem ser de origens internas ou externas a uma organização), e que expõem a vulnerabilidade inerente que foi incubada dentro do ‘sistema’durante um período de tempo


Crise: Definições Ambíguas e Necessidade de um modelo formal

• [Em Japonês] Crise = Perigo + Oportunidade• Crises e desastres vendem jornais: misturam-se os

empregos dos termos• Crise é um termo às vezes usado, erroneamente, para

designar situações de difícil tratamento, mas para a qual não há potencial de dano ou destruição

• Crise é um momento decisivo durante uma seqüência de eventos

• Crise é similar a uma doença grave– Desdobramento de uma crise: morrer ou sobreviver

• Não há organizações que vivem “sempre em crise”


Confusões no uso de termos associados a crises

• Desastre– Desastre é o impacto de um perigo de causas naturais ou humanas, que afeta

negativamente a sociedade ou o ambiente – Desastres são tratados com preparação para emergências– Desastres podem provocar crises

• Continuidade de Negócios – É a gestão de desastres no domínio dos negócios organizacionais– A continuidade de negócios reduz a chance da emergência de crises

• Gestão de riscos e incidentes– Risco é o potencial de ocorrência de um evento danoso– Eventos de risco podem provocar incidentes– Incidentes mal gerenciados podem provocar crises

• Outros Eventos (que podem disparar crises)– Escândalos, Casos, Dossiês– Passeatas e Campanhas– Operações policiais– Comissões de sindicância (CPIs/CPMIs)


Usos inadequados do termo crise

• Crise do capitalismo– Um termo histórico, cunhado por Marx– http://en.wikipedia.org/wiki/Marxian

• Crise do software– http://en.wikipedia.org/wiki/Software_crisis– Desde 1968 vivemos em crise?!– Projetos que estouram orçamento– Projetos que estouram prazo– Software de baixa qualidade– Software que não atende aos seus requisitos– Projetos difíceis de gerenciar– Código difícil de manter

• Brasil: um país em crise!?


Sensação de Crises e Emergência (Estabelecimento) da Crise

• Sensação de crise– Conjunto de problemas culturais e comportamentais,

que poderão escalar para uma crise aguda

• Eventos que disparam a crise– Não se constituem na causa raiz da crise– Eventos são apenas o mecanismos que expõem uma

vulnerabilidade organizacional ou sistêmica– Eventos disparadores, a princípio, dificilmente são

reconhecidos pelos gestores como sendo disparadores da crise,

• Há uma “cegueira” institucional


Desastres Ambientais

• Desastres ambientais– Desastres que produzem

Impacto sobre o meio ambiente

– Pode ser causados pela natureza

– Podem ser causados pela ação humana

• Exemplos de desastres ambientais– Vazamentos químicos

e de óleo– Terremotos– Inundações– Furações– Deslizamentos de terra– Chuvas e Monções– Desastres nucleares– Tsunamis– Vulcões– Fogo


Crise é Localizada Espacialmente

Desastres tambémIncidentes tambémEventos também


Crise é localizada temporalmente

Desastres tambémIncidentes tambémEventos também


Mas uma crise é um fenômeno emergente

• Numa crise, o todo é maior que a soma das partes• Crise exibe comportamentos dinâmicos,

– Não lineares e complexos– Analiticamente imprevisíveis, mas persistentes na prática...... Formam-se dentro do todo de um conjunto formado por

elementos interativos

• A dinâmica de crise é não formulável do ponto de vista analítico-matemático ...Mas seus efeitos são robustos e persistentes, sempre que se

formam as mesmas condiçõesUma crise torna-se propriedade imutável do conjunto ou sistema, a

despeito da troca contínua de cada um dos elementos


Tipos e exemplos de Crises

• Crises Econômicas e financeiras• Crises Internacionais• Crises Sociais e Políticas• Crises Ambientais • Crises Industriais• Crises Tecnológicas e Organizacionais


Crises Econômicas, Financeiras, Bancárias e Monetárias

• Crise Econômica– Termo da teoria econômica dos ciclos de negócios,

designando rápida transição para uma recessão

• Crise financeira– Bancária

• Possibilidade de bancarrota em cadeia (http://en.wikipedia.org/wiki/Banking_crisis)

– Monetária• Quando o valor de uma moeda modifica-se rapidamente,

impossibilitando seu uso como meio de troca ou provisão de valor

• Ocorrem em economias pequenas ou instáveis


Exemplos de Crises Econômicas, Financeiras

• México e Argentina– http://en.wikipedia.org/wiki/1994_economic_cr

isis_in_Mexico– http://en.wikipedia.org/wiki/Argentine_econom

ic_crisis_%281999-2002%29

• Brasil


Crise Bancária

• Ocorre quando um grande número de correntistas de um banco tem medo de que ele esteja insolvente e correm para retirar seus recursos


Crise Monetária da Guerra Civil Norte-Americana


Definições

Crise internacional

• Situação estabelecida entre nações, na qualexiste uma percepção de ameaça, elevadaansiedade, expectativa de possível violência e crença de que algumas ações poderão terconseqüências de longo alcance [Wikipédia]

• http://en.wikipedia.org/wiki/International_crisis

• Crises internacionais, em geral, resultam emguerras– http://en.wikipedia.org/wiki/List_of_wars


Crises Internacionais Famosas

• Crise dos mísseis cubanos– http://library.thinkquest.org/11046/index.html

• Crise Nuclear do Iran– http://www.dkosopedia.com/wiki/Iranian_Nucl

ear_Crisis_Timeline

• Crise das armas de destruição em massa do Iraque


Crises Sociais e Políticas• Condições Latentes para

estabelecimento de crises sociais e políticas– Corrupção e falta de

governança• Eventos disparadores de tais

crises– Denúncias– Crimes Violentos

• Efeitos de Crises sociais e políticas– Alteração nas estruturas de

poder– Descrença nas instituições

públicas– Baixa segurança pública


Crises Industriais

• São crises que afetam um segmento industrial• São causadas pela ação humana, • São disparadas por desastres ou ações de

origem humana • Exemplos

– Chernobyl (Ucrânia, 1986)– Three Mile Island (USA, 1979)– Crise da Tragédia de Bhopal (Índia, 1974)– Crise da Doença da ‘Vaca Louca’– Crise do Petróleo (1970, 2008)


Crises Tecnológicas e Organizacionais

• Crise da NASA após desastre com Challenger (USA-NASA)

• Crise energética após seca• Crise aérea após desastres


Crises Organizacionais de Gestão e Governança


Exemplos de sistemas que não sobreviveram à crise

• Sistemas de gestão e Governo– Gestão Timothy Mulholland (UnB, 2008)– Gestão Renan Calheiros (Senado, 2007)– Governos Collor, Jânio Quadros e João Goulart– Governo Saddam Russein (2003)

• Países, Organizações e outros Sistemas– União Soviética, Ioguslávia– Banco econômico– VASP e BRA– Usina Chernobyl– Sistema monetário confederado– Cruzeiro, Cruzeiro Novo, Cruzado, Cruzado Novo– Máquina datilográfica, Máquina Polaroid, – Bancos estaduais (BDRN, BANDERN, BANDEPE etc)– Várias empresas que foram a falência– Produtos que foram removidos do mercado


Exemplos de sistemas que sobreviveram à crise

• TAM e GOL• Vários Bancos• Muitas organizações públicas brasileiras,

incluindo-se Governos Federal, Estadual e Municipal– Muda-se a gestão– Re-injeção de recursos

• CESPE/UnB• Governo Clinton


Gestão de Crise versus Gestão de Riscos

• Diferenciações usuais– Gestão de Riscos

• Identificação e tratamento de problemas potenciais– Gestão de Crise

• Gestão do evento ‘crise’, propriamente dito

• Falhas da gestão de riscos dentro de uma organização ou sociedade aumentam potencial de crises maiores– Crises são inevitáveis– Gestão de riscos pode ser um subconjunto da gestão

de crises– Crise pode impor grande sobrecarga aos gestores


Exercício #1Investigue uma crise organizacional da qual tenha participado ou

observado e faça uma descrição da mesma, indicando os seguintes elementos:– Nome da crise: crise do banco estadual do RS – banco fechou o crédito– Evento danoso que disparou a crise: publicidade do balanço do banco

no jornal– Propriedades / efeitos / que emergiram no sistema durante a crise

• Aumento dos saques

– Habilidades ou incapacidades demonstradas pela organização envolvida

• Regionalização da discussão, com resposta positiva da sociedade– Caracterização do dano (físico, financeiro ou reputacional)

• A economia gaúcha sofreu– Dimensões espaciais e temporais do fenômeno– Vulnerabilidades expostas


2. Processo de gestão de crise

Arcabouço (framework) de Smith


Estados de uma Crise [Adaptado de Smith e Dennis, 2003]

• Latente– As condições para uma crise estão assentadas na

organização ou sociedade

• Operacional– Um evento dispara a crise, que aumenta em escala

• Aguda– Uma intensa sucessão de eventos ocorre, que põe

em risco a sustentação da organização ou da sociedade

• Recuperação– O “sobrevivente” tentará recuperar-se


Ciclo de Vida de uma Crise[Adaptado de Smith e Dennis, 2003]

emrecuperação

Linha do tempo

Sev

erid

ade

das

Con

seqü

ênci

as

Eventodisparador

Plano deContingênciaMobilizado

Limites DoPlano De Contingência

Ponto deInflexão

Ápice Da Crise

Contençãoda CriseOperacional

Escalação eEmergênciaRápida

Fase InicialDa Escalação

Espaço deSoluções

Latente Operacional Aguda

Inci

dent

e S

ério

Cris

e


Ciclo de incidentes e contingência [Adaptado de Smith e Dennis, 2003]

Linha do tempo

Sev

erid

ade

das

Con

seqü

ênci

ass

Eventodisparador

Plano deContingênciaMobilizado

Limites DoPlano De Contingência Ápice Da

Crise

Contençãoda CriseOperacional

Escalação eEmergênciaRápida

DemandasGeradas pelasTarefas Iniciais

Inci

dent

e S

ério

Cris

e

DemandasGeradas porTarefas Secundárias

DemandasGeradas para Retorno ao estadoPré-evento


Dinâmica do espaço de problemas e soluções durante a gestão de uma crise

[Adaptado de Smith e Dennis, 2003]

Linha do tempo

Sev

erid

ade

das

Con

seqü

ênci

as

Eventodisparador

VáriosEspaços deSoluções

Inci

dent

e S

ério

Cris

e

Limites DoPlano De Contingência

Desistência

Pontos deInflexão


Arcabouço de Smith para conceitualização da gestão de

crise• Crise de gestão

– Período no qual o potencial de crise é incubado– Envolve questões e decisões estratégicas e sistêmicas– Implementação de novas práticas, sem o devido ajuste, podem

piorar a situação

• Crise Operacional– Reconhecimento, pela gestão, que uma crise está estabelecida– Alocação de recursos extra e salvadores

• Crise de legitimidade– Perda de reputação– Clima organizacional mudado


Tempo

Crise

Falha em AprenderCrise de Legitimidade

Crise OperacionalCrise da Gestão

Con

diçõ

es S

ocia

is e

Am

bien

tais

em

Des

loca

men

to e

Mud

ança

Crises seguidas caracterizam dificuldade em aprender...


Salvadores

Externo

Influência dePartesInteressadas

Crise da GestãoIncubação da Crise

Crise Operacional

Crise de Legitimidade

SuporteOrganizacional

EnvolvimentoDo Governo

Saídas paraOutras Organizações

AprendizagemOrganizacional

Feedback EntradasHistóricas

Interno

Eventos Disparadores

Interativamente ComplexoFortemente acoplado

Desenho do Sistema

Amplificação da Crise

Processos de ComunicaçãoJulgamento pela MídiaBanimentoMudança do clima organizacional

Mudanças no pessoal

Estratégias de contorno da crise

Cultura OrganizacionalLimites do plano de contingênciaFunções de comunicação e decisão

arcabouço de Smith para conceitualizaçãoda gestão de crise


3. Incubação de Crises


Modelo “Queijo Suíço” de Desenvolvimento de Crises (Smith)

Camada #1

Camada #2

Camada #3

Camada #4

VulnerabilidadesExpostas

(Condição Latente)

VulnerabilidadesControladas

Evento de Importância

Incidentede Segurança

Incidentede GrandesProporções

Crise

Evento

Condições latentes criam gaps nas defesas existentes

Fraturas nos controlesCriados por erros no nívelDe sistema

Condições emergentes geramGaps dentro das defesas devidoa não conformidades entre suposições de desenho e a realidade

Condições emergentes Criam novas circunstânciasContra as quais nãoHá defesas

GerenciamentoDe

Riscos


Elementos de Incubação de Crises (Turner)

Mover de abordagem orientada a conformidade, para abordagem orientada a tratamento de perigos

Aspectos regulatórios confusos

Papel desempenhado por crítico que não éespecialista. Problemas com protocolos de segurança

Envolvimento de ‘estrangeiros’com o sistema

Problemas com comunicação entre limites disciplinares, problemas com transmissão de dados

Dificuldades com fluxo de informações

Perda de senso da gestão, aumentando a resistência a novas crenças, valores e suposições

Desconsideração para com os observadores externos

Desenvolvimento de visão mais ampla pode levar a desvio de foco dos temas centrais

Fenômeno de Distração

Prevenção contra pontos de vista divergentesCrenças centrais e percepções gerenciais rígidas

Implicações NegativasProblema


4. Tipologias de Crises Organizacionais


Tip

olog

ia d

e C

rises

Cor

pora

tivas

[M

itrof

feta

lliap

ud D

enni

s]

Técnicas/Econômicas

Pessoais/Sociais/Organizacionais

Internas Externas

Célula 1 Célula 2

Célula 3Célula 4

Defeitos em produtos ou serviçosDefeitos em plantas fabris e

acidentes industriaisFalhas em computadoresInformação defeituosa ou liberada inadequadamenteBancarrota

Destruição ambiental de larga Escala e acidentes industriaisFalhas em sistemas de larga escalaDesastres naturaisTomadas hostis de empresaCrises governamentaisCrises internacionais

SabotagemTerrorismoSeqüestro de executivosAdulteração de produtos fora do

sítioContrafação (falsificação)Rumores falsos, Piadas doentias,

Difamações maliciosasGreves de trabalhadoresBoicotes

Falhas de adaptação a mudançasRuptura organizacionalMá comunicaçãoSabotagemAdulteração interna de produtoContrafação (falsificação)Rumores falsos, Piadas doentias, Difamações maliciosasAtividades ilegaisAssédio sexualDoenças ocupacionais


Cau

sas

e F

onte

s de

Cris

es

Cor

pora

tivas

[Mitr

offe

talli

]



Célula 1 Célula 2

Célula 3Célula 4

Defeitos em produtos, não detectados, não analisados ou insuspeitados

Defeitos em plantas fabris, não detectadosSistemas de detecção falhosBackups e controles falhos

Condições ambientais não antecipadas, ou não analisadas

Sistemas de monitoramento técnico falhos

Planejamento estratégico falhoPlanejamento social falhoMonitoramento global falho

Falha no desenho e implementação de novas instituições sociais

Falhas no monitoramento de criminosos ou delituosos potenciais:

ex-empregados insatisfeitosassassinosseqüestradoresterroristassabotadores externosassassinos copycat

(imitador de crimes)psicopatas

Controles organizacionais falhosFraquezas na cultura corporativa,

sistemas de informaçãosistemas de comunicaçãoestrutura organizacionale compensações

Fraquezas em treinamento de operadores

Fraquezas no plano de contingênciaErros e falhas de operação humanaSabotadores internosFalha em varredura de empregados

Internas Externas


Açõ

es p

ara

Pre

venç

ão d

e C

rises

[Mitr

offe

talli

]



Célula 1 Célula 2

Célula 3 Célula 4

•Empacotamento preventivo de produtos•Detecção aprimorada•Sistemas de segurança mais rígidos•Operações internas mais rígidas•Melhores controles operacionais e gerenciais•Cadeias de comando•Unidades de gestão de crise

•Sistemas de monitoramento e em redes•Workshops de planejamento contínuos•Contato com especialistas externos•Formação de redes com especialistas•Estabelecimento de centros de comando de crises•Revisões obrigatórias e periódicas

•Desenvolvimento de perfis de psicopatas etc•Estabelecimento de hot lines preventivas•Apoio a grupos de interesses comunitários•Educação do consumidor•Grupos de ação política•Apoio a programas de saúde mental•Grupos de aconselhamento•Reexame da cultura organizacional•Estabelecimento de unidades permanentes de gestão de crise•Redesenho organizacional•Ombudsmen, Ouvidoria•Auditoria externa•Treinamento de relações com mídia para todos os executivos•Trabalho com associações de indústria•Trabalho com centros de pesquisa•Estabelecimento de programas de ética nos negócios

•Preparação emocional•Aconselhamento psicológico para empregados•Treinamentos de segurança para todos os empregados•Treinamento de detecção•Grupos de suporte social•Treinamento para diálogo com a mídia

InternasExternas


5. Decisão durante Crises

Caroline Smart e Ilan Vertinsky[Dennis & Smith]


Decisão durante Crises

• Crises são inevitáveis• Qual o impacto da redução na freqüência

de crises na capacidade de tratar novas crises?

• O processo decisório durante uma crise étrivial ou complexo?


Tipos de erros durante o processo decisório em situações de crise

• Rejeitar um curso adequado de ação• Aceitar uma solução inadequada ou

incorreta para um problema• Solucionar o problema errado• Solucionar o problema correto, mas tarde

demais


Modelo Conceitual de Processos de Decisão e Implementação durante Crises [Dennis & Smith]

+ indica correlação positiva, - indica correlação negativa

GQualidade daInformação

HHabilidadesCognitivas

FHabilidades de Processamentoda Informação

ESobrecarga

de Informação

DSurpresa

CStress

BGroupthink

AIsolamentoda Unidade de Decisão

JGrau de

Programação

OQualidade

das Decisões

LImplementação

de decisõesK

Distância entre Unidades deImplementação e Decisão

IArticulação de

Objetivos

+

+

-

-

-

+++

+ + +

--

-

-

+

-

+

+

-

-

+-

+


Fatores que afetam a qualidade da decisão

• Qualidade da informação utilizada no processo decisório

• Fidelidade da articulação do objetivo e na avaliação dos prós e contras

• Habilidades Cognitivas do grupo decisor


Qualidade da Decisão:Exemplos de decisões de boa e

de má qualidade


Fatores de dificultam a implementação da decisão

• Grau de programação (automação)• Distância entre unidades de

implementação e decisão


Implementação da Decisão:Exemplos de implementação

adequada e inadequada


Fases do Processo de Decisão

• Articulação de objetivos• Geração de cursos alternativos de solução• Apreciação da viabilidade das alternativas• Avaliação das conseqüências das

alternativas• Escolha da alternativa que mais contribui

para o alcance dos objetivos organizacionais


Fases do Processo de Decisão:Exemplos


Relações entre stress e qualidade de decisão

• Durante stress tende-se a obter visão de curto prazo

• Sem stress é mais provável desenvolver visão de longo prazo

• É preciso balancear os dois elementos no momento da decisão


Nível Hierárquico x volume de informação xcompreensão do problema

• Nos níveis hierárquicos superiores – pode-se coletar um imenso volume de informações– Parte da informação é distorcida– Não há tanta compreensão do problema– Pode-se estabelecer correlações entre áreas

díspares• Nos níveis hieráquicos inferiores

– Há menor volume de informações– Informação menos distorcida– Há maior compreensão do problema, devido à sua

localidade– É difícil fazer-se correlações com outras áreas


Patologias de Grupohttp://en.wikipedia.org/wiki/Groupthink

• Groupthink– É uma patologia de grupo– Atuação visando a tomada de decisões por consenso, através da

minimização de conflito sem, que sejam feitos testes, análise e avaliações de idéias críticas

– Não há apoio à produção de pontos de vista divergentes da zona de consenso

• O dissidente: (i) tem medo de ser caracterizado como tolo; (ii) tem medo de embaraçar outras pessoas; (iii) tem medo de incitar o ódio em outras pessoas

• Groupthink caracterizada por – Ilusões de invulnerabilidade - Otimisto exagerado– Falta de vigilância– Pensamento “sloganista” acerca das fraquezas e amoralidades do

grupo– Perda de senso de realidade– Readequação dos modelos de realidade


Medidas Preventivas de Desenho para Situações de Crise

• Prevenção de consenso prematuro• Prevenção da distorção da informação• Prevenção de erros de julgamento

resultados de patologias de grupo• Prevenção de rigidez na programação• Melhorias na preparação para decisão• Prevenção de falhas de implementação


6. Sala de Situação


Sala ou Gabinete de Situação• A sala de situação é o ponto central a partir do qual são

geridas situações de crise– Centro de inteligência e alerta do comando central de uma

organização• Características do desenho de uma sala de situação

– Pessoas devem poder se acomodar para reuniões produtivas com duração de várias horas e ao longo de vários dias, se necessário

– Deve dispor de canais seguros para recebimento e transmissão de informações de e para o meio exterior

• Sistemas de áudio, vídeo, chamadas telefônicas e troca de mensagens via texto

– Deve estar próxima a um local onde se possam fazer declarações públicas para a imprensa

– Deve ter um staff permanentemente a postos, para atuar na sala, quando necessário

– Deve transmitir sensação de calma• Exemplos

– Gabinete de situação da casa branca• http://en.wikipedia.org/wiki/White_House_Situation_Room


O que NÃO é um gabinete de situação

• Uma sala onde se entra e sai com facilidade

• Uma sala agitada e barulhenta• Um local afastado de grandes centros

urbanos e da mídia• Uma sala de controle de operações

emergenciais


Sala ou Gabinete de Situação da Casa Branca


Funções e Organização do Gabinete de Situação da Casa Branca [Bohn, 2003]

• Centro de Alerta• Centro de Comunicações• Sala de conferência• Produção de relatórios• Pessoal

– Inicial (1961) – 24 horas – 1 agente da CIA– 2 oficiais de suporte

• Help Desk• Sistemas Futuros

– Crisis Net Videoconferência– Engenhos de busca– Agentes inteligentes


7. Guia Essencial da Gestão de Crise

Harward Business Review[HBW, 2003]


Guia Essencial da Gestão de Crise [HBW, 2003]

• Monitorando perigos• Evitando o evitável• Planejamento de contingência• Reconhecimento de uma crise• Contenção• Resolução• Tratando com a Mídia• Aprendendo com experiências


Guia Essencial da Gestão de Crise

Monitorando perigos

• Fontes de crises potenciais• Identificação de crises potenciais• Priorização de crises potenciais



Evitando o evitável

• Preparação de um programa sistemático para evitar crises

• Monitorando os sinais de uma crise iminente

• Observando antes de entrar• Seguro



Planejamento de contingência

• Organização do time de planejamento• Avaliação do escopo do problema• Desenvolvimento do plano• Teste do plano• Atualização do plano



Reconhecimento de uma crise

• Diferentes sinais de alerta• Porque sinais quase nunca são

observados• Soluções



Contenção

• Regra 1: Aja rápido e decisivamente• Regra 2: Coloque pessoas em primeiro

lugar• Regra 3: Esteja na cena de crise• Regra 4: Comunique-se de modo franco• Quando em dúvida deixe o treinamento,

valores e instintos lhe guiarem



Resolução

• Mova-se rápido• Obtenha os fatos continuamente• Comunique-se agilmente• Documente suas ações• Use técnicas de gestão de projetos

quando adequado• Seja um líder• Declare o fim da crise



Tratando com a Mídia


Crises, desastres em 9/6/2008


O incremento da venda de Jornais e outros veículos de comunicação é provocado por

• Desastre• perigo • Emergências• Crises• Escândalos• Casos• Dossiês• Passeatas • Campanhas• Operações policiais• Comissões de sindicância (CPIs/CPMIs)


O incremento da venda de jornais e outros veículos de comunicação NÃO é provocado por

• Gestão de riscos adequada• Crises que são contidas antes de se

tornarem agudas• Planejamento de continuidade de

negócios bem sucedido• Tempestividade no tratamento de

incidentes• Boa gestão e governança



Tratando com a Mídia• Trate a mídia com cuidado• Faça o casamento entre a mensagem e os segmentos

de mídia– Segmentos: Líderes comunitários, empregados, clientes e

fornecedores, acionistas, público em geral– Tipos de mídias: encontros, cartas, anúncios, chamadas

telefônicas, webcast, carta registrada etc• Fundamentos

– Comunicação adequada minimiza danos– Falar tudo, falar rápido, falar a verdade

• Referências– http://www.ready.gov/business/talk/crisisplan.html– http://www3.niu.edu/newsplace/crisis.html– http://www.google.com.br/search?q=crisis+communication+plan



Aprendendo com experiências

• Marque o final da crise• Grave a resposta à crise• Capture as lições aprendidas



Ferramentas de Implementação• Lista de contatos de emergência• 30 sinais potenciais de problemas• Formulário de captura de aprendizado durante crises

– Crise ou problema, ações tomadas, o que aprendemos, ações preventivas

• Como preparar declarações para a imprensa– Manchete atrativa– Menos de uma página– Quem, o que, onde, porque e quando?– Use o primeiro parágrafo para os principais elementos da

mensagem– Inclua nome do contato e número de telefone da companhia


Crises e Gestão da Segurança da Informação e Comunicações

• A informação, comunicação e apoio àdecisão são o principais suportes para a contenção de uma crise

• A gerencia de riscos é um grande aliado na prevenção de crises

• A complexidade dos sistemas de tecnologia da informação aumenta o potencial de surgimento de crises


Exercício #2

• Enumere várias crises conhecidas e as enquadre conforme:– Tipologia– Causas e fontes– Ações preventivas que poderiam ter sido tomadas– Pontos de decisão e inflexão

• Escolha uma crise da qual tenha acesso a informações e enquadre-a no arcabouço de Smith para conceitualização da gestão de crise.


GSIC500b GCC - Gestão de Continuidade

Jorge H C FernandesJunho de 2009


Objetivo

• Apresentar e discutir os conceitos de gestão de continuidade no âmbito da gestão da segurança da informação e comunicações


Conteúdo

1. Visão Geral da Gestão da Continuidade de Negócios e Gestão da Continuidade de TI

2. Análise de Impacto sobre Negócios3. Plano de Continuidade


Metodologia

• Aulas expositivas• Discussão• Estudos de Caso• Exercícios em sala de aula


Referencial Bibliográfico• NBR 25999-1:2007 – Norma brasileira para Gestão da Continuidade de Negócios –

Parte 1: Código de Práticas• Business Continuity Planning Methodology. Akhtar Syed, Sentryx, 2004• The Definitive Handbook of Business Continuity Planning Management. Andrew Hiles

& Peter Barnes. Wiley. 1999.• OCG. ITIL Service Delivery. 2003• ABNT NBR ISO/IEC 17799:2005 (capítulo 14), 27001:2006 (Anexo A) e 27005

(Gestão de Riscos de Segurança da Informação)• [EMC2] EMC2 Consulting – IT Governance & Service Management Practice. Notas

de aula de curso ministrado pelo Sr. Paulo Amorim ([email protected])• [SAMPLE 2002] A Report for Sample Company: Business Impact Analysis (BIA).

Gartner Group. 2002• [BIA Forms] Virginia Community College System. 2003• [BIA Forms] Tech Republic. 2005.• [BIA Forms] Canadian Center for Emergency Preparedness.• [Basel Forum, 2005] High-level principles for business continuity. Basel Committee

on Banking Supervision. Bank for International Settlements. 2006.• [ISACA, 2006] COBIT 4.0. High Level Control Objectives. • [BCI, 2007] Business Continuity Institute Good Practice Guidelines (2007).


Outros• Acordo da Basiléia

– Trata basicamente da “Gestão de Riscos Operacionais” em instituições financeiras– "Instituições financeiras deverão demonstrar práticas eficazes de gerenciar e supervisionar

seus riscos operacionais"– Risco Operacional:– "o risco de perda resultante de uma falha ou inadequação de um processo interno, pessoas

ou sistemas, ou ainda um evento externo"– Princípio 7:– "Bancos deverão ter planos de contingência e de continuidade dos negócios para assegurar

sua capacidade de operar de maneira contínua e com perdas limitadas na eventualidade de uma interrupção significativa nas suas operações de negócio"

• BACEN – Resolução 3380– Dispõe sobre a implementação de estrutura de gerenciamento do Risco Operacional

(Basiléia)– VI – existência de plano de contingência contendo as estratégias a serem adotadas para

assegurar condições de continuidade das atividades e para limitar graves perdas decorrentes de risco operacional;

– VII – implementação, manutenção e divulgação de processo estruturado de comunicação e informação.


Curso e Trabalhos de BIA

• [Silva et alli, 2007] Análise de Impacto e Planejamento de Continuidade nos Negócios. AndréSilva, Paulo Hidaka, Pedro Freire e Ulysses Machado. Trabalho da disciplina de Gestão de Crise e Continuidade. UnB. 2007.

• [Castro Filho et alli, 2007] Estudo e construção de um BIA para a organização fictícia OTIBR. Airton de Castro Filho, Antonio Ferraz, Ben Hur Oliveira, Leon Mundim. Trabalho da disciplina de Gestão de Crise e Continuidade. UnB. 2007.

• [Allemmand, 2007]. Avaliação de impacto nos negócios e plano de recuperação de desastres. Marcos Allemand. Trabalho da disciplina de Gestão de Crise e Continuidade. UnB. 2007.


1. Visão Geral da Gestão de Continuidade


Entendendo a “Casinha”[Adaptado de BS-25999]


Gestão de Continuidade

• Gestão de Continuidade de Negócio (GCN) – 1ªDefinição– Disciplina que prepara uma organização para manter

a continuidade de seus negócios durante um desastre , através da implementação de um plano de continuidade de negócios

• Gestão de Continuidade de Serviços de TI –ITSCM (IT Service Continuity Management)– Alinhamento entre GCN e Gestão de TI– Um subconjunto da GCN que mantém a continuidade

(mais especificamente a disponibilidade ) dos serviços de TI que apóiam os processos de negócios críticos


Conceitos[Draft NBR 25999-1:2007]

• Atividade– Processo ou grupo de processos executados por

uma organização (ou em seu nome) que produzem ou suportam um ou mais produtos e serviços

• Continuidade do Negócio– Capacidade estratégica e tática de uma organização

de se planejar e responder a incidentes e interrupções de negócios para conseguir continuar suas operações em um nível aceitável previamente definido


Incidente, Continuidade e Recuperação de Negócios [Draft

NBR 25999-1]


Exercícios (10 minutos)

• Conceito de atividade– Descreva em uma frase uma atividade ou grupo de

processos de negócios finalísticos da sua organização

– Descreva quais os produtos e serviços realizados por meio destes processos de negócios

• Conceito de Continuidade do Negócio– Descreva uma situação fictícia na qual sua

organização apresenta capacidade estratégica e tática de planejamento e resposta a incidentes, interrupções de negócios e desastres e consegue continuar suas operações em um nível aceitável previamente definido



• Gestão da Continuidade do Negócio - 2ª Definição– processo abrangente (holístico) de gestão que identifica

ameaças potenciais para uma organização e os possíveis impactos às operações de negócio caso essas ameaças se concretizem. Este processo fornece uma estrutura para que se construa uma resiliência organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das partes interessadas, a reputação e a marca da organização e suas atividades de valor agregado durante a ocorrência de incidentes ou desastres que provoquem interrupções de negócios.

• Ciclo de Vida da gestão da continuidade de negócios– Série de atividades de continuidade de negócios que,

coletivamente, abordam todos os aspectos e fases do programa de gestão da continuidade de negócios


Gestão da Continuidade de Negócios [EMC2] - 3ª Definição

• É um programa evolutivo que objetiva assegurar a redução dos riscos corporativos a níveis razoáveis e a reiniciar as operações de negócio críticas a um nível de serviço pré-determinado, antes que impactos e prejuízos (financeiros, operacionais, políticos, etc.) atinjam níveis inaceitáveis.

• O BCM deve prever também a volta a normalidade de todas as operações.



• Programa de gestão da continuidade de negócios– processos contínuos de gestão e governança que são

suportados pela alta direção e que recebem os recursos apropriados para garantir que os passos necessários estão sendo tomados de forma a identificar o impacto de perdas em potencial, manter estratégias e planos de recuperação viáveis e garantir a continuidade de produtos e serviços por meio de treinamentos, testes, manutenção e revisões.

• Plano de Continuidade de Negócios (PCN)– Documentação de procedimentos e informações desenvolvida,

consolidada e mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável previamente definido.



• Teste de Plano de Continuidade de Negócios– atividade no qual os planos de continuidade de negócios são

exercitados parcial ou integralmente de forma a garantir que os planos contenham as informações apropriadas e produzam o resultado desejado quando postos em prática. Um teste pode envolver a execução de procedimentos de continuidade de negócios, mas é mais provável que envolva apenas uma simulação de um incidente de continuidade de negócios, previamente anunciada ou não, na qual os participantes interpretam papéis de forma a avaliar quais os problemas que podem ocorrer antes de uma execução real.

• Plano de Gerenciamento de Incidentes– Plano de ação claramente definido e documentado para ser usado

quando ocorrer um incidente que tipicamente cobre as principais pessoas, recursos, serviços e outras ações que sejam necessárias para implementar o processo de gerenciamento de incidentes.


Exercício (5 minutos)

• Teste de Plano de Continuidade de Negócios– Escreva um texto fictício com duas ou três

frases, demonstrando a execução de um teste de PCN em sua organização que funcionou a contento

– Escreva um texto fictício com duas ou três frases, demonstrando a execução de um teste de PCN em sua organização que não funcionou a contento



• Interrupção– Evento, seja previsto (por exemplo, uma greve ou furacão) ou

não (por exemplo, um blecaute ou terremoto), que cause um desvio negativo, imprevisto na entrega e execução de produtos ou serviços da organização, de acordo com seus objetivos.

• Probabilidade– Possibilidade, determinada, de algo acontecer, e que seja

medida ou estimada objetiva ou subjetivamente, em termos gerais (tais como raro, pouco provável, provável, quase certo, etc.), freqüências ou probabilidades matemáticas

• Período Máximo Tolerável de Interrupção (MTD -Maximum Tolerable Downtime)– Duração a partir da qual a viabilidade de uma organização será

ameaçada de forma inevitável, caso a entrega de produtos e serviços não possa ser reiniciada.



• Análise de impacto nos negócios (BIA –Business Impact Analysis)– Processo de analisar e relatar as funções de negócio

e os efeitos (perdas) que uma interrupção possa causar nelas ao longo do tempo

– Cada função é analisada.– Gráficos de evolução do impacto são produzidos– Uma memória de cálculo deve ser preparada para

justificar os valores


Exemplo de gráfico com evolução do impacto financeiro da interrupção dos serviços uma organização [Gartner, 2002]

• Na medida em que as perdas forem maior que a própria organização alcança-se o limite do tolerável

Impacto Limite: ex: US$ 22M

Período Máximo Tolerável de InterrupçãoEx: 21 dias


PERDA ATÉ 30 DIAS

R$ 0,00

R$ 10.000.000,00

R$ 20.000.000,00

R$ 30.000.000,00

R$ 40.000.000,00

R$ 50.000.000,00

R$ 60.000.000,00

1 DIA 5 DIAS 10 DIAS 20 DIAS 30 DIAS

TEMPO

R$

Gestão de preço

Operação

Gestão de vendas

Gestão de Logística

Pedido Automático

ADM - Telecomunicacoes

Formação

Folha de pagamento

Pedido de Compra

Meios de Pagamento

Fonte: [Castro Filho et alli, 2007]



• Interrupção– Descreva em duas frases um evento fictício que poderia ocorrer

na sua organização, no qual houve um desvio negativo, imprevisto na entrega e execução de um produto ou serviço específico e crítico, de acordo com seus objetivos.

• Probabilidade– Descreva em uma frase uma possibilidade determinada de

algum evento acontecer na sua organização. Defina e use uma escala de valores possíveis.

• Período Máximo Tolerável de Interrupção (MTD)– Descreva ou estime um período máximo tolerável de interrupção

em função de uma interrupção fictícia anteriormente descrita, após o qual a viabilidade da sua organização será ameaçada de forma inevitável, em função do não reinício da entrega de produtos e serviços


Conceitos[NBR 25999-1:2007]

• Objetivo de tempo de recuperação (RTO – RecoveryTime Objective) – 1ª definição– tempo alvo para: retomada da entrega de produtos ou serviços

após um incidente; ou recuperação do desempenho de uma atividade após um incidente; ou recuperação de um sistema ou aplicação de TI após um incidente. O objetivo de tempo de recuperação deve ser menor que o período máximo tolerável de interrupção. É o tempo total medido desde a declaração do desastre ou incidente até a restauração do serviço.

• Objetivo de Ponto de Recuperação (Recovery PointObjective – RPO)– Usado em Continuidade de TI. Meta para a restauração de

dados após um incidente ou desastre. Ponto, no tempo, no qual a informação foi restaurada quando o RTO tiver sido executado. Tempo total retroativo do momento do desastre até a última vez que o dado foi protegido.


Objetivos de Tempo de Recuperação (RTO) [ITIL] - 2ª definição

• O tempo em que pode ser recuperada a capacidade de provimento de negócios por um time pré-definido do núcleo do staff organizacional, usando um conjunto mínimo de facilidades providas

• A escala de tempo para recuperação do restante do staff e demais facilidades



• Análise de Custo-Benefício– Técnica financeira que mede o custo de

implementação de uma solução específica e o compara com o benefício que ela proporciona.


Análise de Custos e Benefícios para Estimar um RPO [EMC2]

• Soluções de menor custo podem produzir perda inaceitáveis


Análise de Custos e Benefícios para Estimar um RTO [EMC2]



• Estratégia de continuidade de negócios– Abordagem de uma organização que garante

a sua recuperação e continuidade, tendo em vista um desastre ou outro incidente de grande porte ou interrupção de negócios.


Definição da Estratégia de Recuperação


Exemplo de Aplicação dos Conceitos RPO e RTO [EMC2]


Exemplo de Estratégia de Recuperação [Castro Filho et alli, 2007]

Serviço RTO (horas) Estratégia de RecuperaçãoFolha de pagamento 120 Cold siteFormação 120 Cold siteMeios de pagamento 72 Warm sitePedido de compra 72 Warm sitePedido automático 60 Warm siteGestão de vendas 48 Warm siteGestão de preço 48 Warm siteGestão de logística 48 Warm siteCorreio Eletrônico 24 Hot Cold-startADM – Banco de dados 12 Hot Site StandbyADM – Sistema operacional 12 Hot Site StandbyOperação 1 Fault-tolerantIntranet 1 Fault-tolerantADM – Telecomunicações 1 Fault-tolerant


Exercícios

• Objetivo de tempo de recuperação (RTO)– Descreva um objetivo de tempo de

recuperação a ser alcançado, no caso da interrupção anteriormente descrita

• Objetivo de ponto de recuperação (RPO)– Descreva um objetivo de ponto de

recuperação a ser alcançado, no caso da interrupção anteriormente descrita



• Resiliência– capacidade de uma organização de resistir

aos efeitos de um incidente

• Declaração (Invocação do PCN)– ato de declarar que o plano de continuidade

de negócios de uma organização precisa ser posto em prática de forma a continuar o fornecimento dos produtos ou serviços fundamentais.


Soluções de Recuperação Diversificadas da EMC [EMC2]



• Objetivo de tempo de recuperação (RTO)– Descreva um objetivo de tempo de recuperação a ser

alcançado, no caso da interrupção anteriormente descrita• Objetivo de ponto de recuperação (RPO)

– Descreva um objetivo de ponto de recuperação a ser alcançado, no caso da interrupção anteriormente descrita

• Resiliência– Construa uma ou duas frases que demonstrem mesmo de forma

fictícia, que sua organização é resiliente– Construa uma ou duas frases que demonstrem mesmo de forma

fictícia, que sua organização não é resiliente• Declaração (Invocação do PCN)

– Escreva, em duas a três frases, uma declaração de invocação do PCN para sua organização ou para uma organização fictícia


O que é a GCN?


Gestão da continuidade de negócios (GCN) – 4ª definição

[Fonte: Draft NBR 25999-1:2007]• É um processo da organização• Que executa um programa, com duração indeterminada• Que estabelece uma estrutura estratégica e operacional

adequada para:– melhorar proativamente a resiliência da organização contra

possíveis interrupções de sua capacidade em atingir seus principais objetivos.

– prover uma prática para restabelecer a capacidade de uma organização fornecer seus principais produtos e serviços, em um nível previamente acordado, dentro de um tempo previamente determinado após uma interrupção; e

– obter reconhecida capacidade de gerenciar uma interrupção no negócio de forma a proteger a marca e reputação da organização


Comparação entre Planejamento de Continuidade de Negócios e Outras

Abordagens• Planejamento de recuperação de desastres ( Disaster Recovery Planning)

– Foco na recuperação de serviços e recursos de TI no caso de que eles sofram desastres de grandes proporções

• Planejamento de retorno aos negócios ( Business Resumption Planning)– Trata do retorno à execução dos processos de negócios afetados por uma perda de

aplicações de TI, com o uso de soluções de contorno• Planejamento de continuidade de operações ( Continuity Of Operations

Planning)– Recuperação de funções estratégicas de uma organização que são realizadas na sede ou

quartel general. Estas funções, que não incluem aplicações e serviços de TI, são executadas em um sítio alternativo por um período de tempo máximo de 30 dias

• Planejamento de Contingência ( Contigency Planning)– Foca na recuperação de serviços e recursos de TI em seguida a um desastre de pequenas

ou grandes proporções. Especifica procedimentos e guias para recuperação em sítios locais (on-site) bem como remotos (off-site)

• Planejamento de resposta a emergências ( Emergency Response Planning)– Salvaguarda empregados, o público, o meio ambiente e os ativos organizacionais para

retomar o controle de situações de crise imediatamente após o evento da crise.• Planejamento de continuidade de negócios

– Difere das demais, porque estas abordam apenas um conjunto de ativos específicos, e ignoram outras áreas críticas

– Inclui aspectos como: (i) comportamento social; (ii) processos de negócio; (iii) falhas acidentais e (iv) catástrofes e desastres de grande escala


Exemplo de um Macro Plano de Contingência [EMC2]


Como Atua a GCN?

• Auxilia negócios a sobreviverem a eventos interruptores da atividade por meio da proteção contra impactos como:– Perda ou danos a pessoas– Implicações de regras e regulamentos– Perda de lucratividade e fluxo de caixa– Perda de clientes (insatisfação, concorrência etc)– Perda de mercado e vantagem competitiva– Perda de funcionários, aumento da rotatividade, baixa moral etc– Obrigações civis e criminais– Danos à reputação e imagem– Relações com parceiros


GCN e Estratégia Organizacional [Draft NBR

25999-1:2007]• Entendimento do GCN pela alta administração auxilia na

garantia de que os objetivos estratégicos da organização serão alcançados (não serão comprometidos por uma interrupção inesperada)

• GCN reconhece a importância estratégica das partes interessadas

• GCN é complementar à gestão de riscos– Alguns incidentes são de difícil previsão e não conseguem ser

abordados na gestão de riscos, seja quanto as conseqüências ou quanto à causas (teoria do caos)

• GCN demonstra prudência empresarial e auxilia no cumprimento das obrigações sociais, morais e negociais


Benefícios da GCN [Draft NBR 25999-1:2007]

• Identificação proativa de impactos decorrentes de interrupções

• Preparação de respostas eficientes às interrupções, com minimização de impactos

• Auxilia no gerenciamento que não podem ser transferidos

• Promove trabalho em equipes• Demonstra respostas possíveis através de

testes• Pode melhorar a reputação• Pode conferir vantagens competitivas


Resultados de um programa de GCN [Draft NBR 25999-1:2007]

• Produtos e serviços identificados e protegidos• Desenvolvimento de capacidade de gerenciamento de incidentes,

com resposta efetiva• Auto-compreensão por parte da organização (relacionamentos

internos e externos, com governo, autoridades, serviços de emergência)

• Equipe de GCN treinada para resposta eficaz• Compreensão das necessidades das partes interessadas• Suporte e orientação às equipes no caso de interrupções• Cadeia de suprimentos analisada e assegurada• Proteção à reputação organizacional• Conformidade legal e regulatória


Um Possível Ciclo de Vida de um Programa de GCN

[Fonte: NBR 25999-1:2007](4) Desenvolvimento da Política

de GCN(5) Gerenciamento do programa(6) Entendimento da

organização(7) Determinação da estratégia

de GCN(8) Desenvolvimento e

implementação da resposta(9) Teste, manutenção e revisão

crítica(10) Inclusão do GCN na

Cultura Organizacional


BCI – Business Continuity Institute


Abordagem de Syed & SyedG

erên

cia

do P

CN

(P

rogr

ama

de

Con

tinui

dade

de

Neg

ócio

s)P

roce

sso

de

Des

envo

lvim

ento

Do

Pla

node

Con

tinui

dade

De

Neg

ócio

sInício do Planejamentode CN

Conclusão do Planejamentode CN

Crie PolíticaDe CN

Estabeleça Comitê de PCN

EstabeleçaProjeto De desenvolvimentode Plano de CN

Estabeleça Programa de Treinamento eConscientização de PCN

Coordene PCN com Legislação, Regulamentos ePadrões Industriais

Coordene ações Com Agências Internas e Externas

Projeto de Desenvolvimento do Plano de Continuidade de Negócios

Avaliação de Riscos

Análise de Impacto sobre Negócios

Desenvolvimento da Estratégica de CN

Teste doPlano deCN

Manutençãoe TestesRegulares doPlano de CN

Manutenção daProntidão para Desastres

InterrupçãoNos negócios

ExecuçãoDo PlanoDe CN

Desenvolvimento do Plano de CN


Abordagem do ITIL paraITSCM – IT Service Continuity

Management


Estágio 1Iniciação

Estágio 2Requisitos

e Estratégia

Estágio 3Implementação

Estágio 4Gerenciamento Operacional

ImplementeAcordos de Prontidão

Implemente MedidasDe Redução de Riscos

Desenvolva Procedimentos

Testes Iniciais

Garantia

Revisão eAuditoria

Educação eConscientização

Testes Gerência deMudanças

Treinamento

Inicie o PCN

Análise de Impacto sobre Negócios


Estratégia de Continuidade de Negócios

Planejamento eImplementaçãoOrganizacional

Desenvolva PlanosDe Recuperação


Elementos da ITSCM

• Processos rigorosos para– Gerenciamento de configuração– Gerenciamento de mudanças– Educação e conscientização da organização

de TI– Uso das tecnologias e softwares de suporte

mais atualizados– Treinamento regular do pessoal envolvido no

suporte– Testes regulares


Abordagem da EMC2/Strohl [EMC2]


COBIT 4.0: Objetivo de ControleDS4 Ensure Continuous Service

• DS4.1 IT Continuity Framework• DS4.2 IT Continuity Plans• DS4.3 Critical IT Resources• DS4.4 Maintenance of the IT Continuity Plan• DS4.5 Testing of the IT Continuity Plan• DS4.6 IT Continuity Plan Training• DS4.7 Distribution of the IT Continuity Plan• DS4.8 IT Services Recovery and Resumption• DS4.9 Offsite Backup Storage• DS4.10 Post-resumption Review


Entradas e saídas dos processos COBIT relacionados a Continuidade


Diagrama de Responsabilidades, Contabilizações, Consultas e Informações relativas a Continuidade

COBIT 4.0


PAS 56 – Guia de Boas Práticas em GCN (BSI)

Solutions

Planning

Training/Awareness

ResourceRecoveryStrategy

Process Strategy


Apresentação do Código de Prática da ABNT e BCI


Ciclo de Vida da GCN

(4) Desenvolvimento da Política de GCN

• Deve instar cada gestor e membro do staff de cada unidade de negócio a assumir responsabilidade por manter a continuidade das funções e processos de negócio críticas no evento de uma interrupção de negócios

• Deve ser apropriada à natureza, escala, complexidade, geografia e criticidade das atividades de negócio na organização

• Deve refletir a cultura, dependências e ambiente operacional da organização

• Deve definir os processos necessários para garantir que os preparativos de continuidade de negócios continuem a atender às necessidades da organização caso ocorra um incidente

• Deve promover a cultura de GCN na organização• Deve integrar o GCN à atividade de gerenciamento de mudanças

da organização• Deve incorporar a GCN aos produtos e serviços da organização


Ciclo de Vida da GCN: Desenvolvimento da Política de GCN

Exercício

• Elabore um pequeno texto da política de GCN da sua organização, na forma de declaração de alto nível, contendo cinco frases em destaque, que reflitam a preocupação com cada um dos seguintes elementos:1. Apelo a todas as instâncias da organização2. Adequada à natureza, escala, complexidade, geografia e

criticidade das atividades de negócio da sua organização3. Reflita a cultura, dependências e ambiente operacional da sua

organização4. Define os processos necessários para garantir que os

preparativos de continuidade de negócios continuem a atender às necessidades da organização caso ocorra um incidente

5. Promove a cultura de GCN na organização6. Integra a GCN aos produtos e serviços da organização


Demonstração de umRegistro de Desenvolvimento da

Política de CGNUm formulário que pode ser usado para preencher algumas informações sobre uma política de GCN



(5) Gerenciamento do programa

• O gerenciamento do programa éefetuado através da execução de sub-processos:– (5.2) Atribuição de Responsabilidades /

Estabelecimento do Comitê de GCN– (5.3) Estabelecimento de Projeto De

desenvolvimento de Plano de CN– (5.5) Documentação de GCN


Atribuição de Responsabilidades / Estabelecimento de um Comitê de GCN

• O comitê deve possuir membros da alta administração• Deve definir o escopo da GCN• Deve prover suporte e direcionamento contínuos• Deve monitorar o status e progresso do plano• Deve alocar fundos• Deve envolver áreas de negócios• Papéis e responsabilidades devem ser descritas


Demonstração de umRegistro de Estabelecimento de

Comitê de GCN• Um formulário que pode ser usado para preencher

algumas informações sobre o comitê de GCN


Funcionamento do Comitê em Modo Normal


Funcionamento Comitê em Modo de Crise



• Estabelecimento de Comitê de GCN– Elabore em poucas frases, um documento

fictício que descreve o estabelecimento de um comitê de GCN para a uma organização por você conhecida

– Indique quem seriam os possíveis membros– Indique as áreas de negócios que deveriam

ser convocadas a contribuir

– Indique o escopo de atuação do comitê


(5.3) Estabelecimento de Projeto de desenvolvimento de Plano de CN

• O desenvolvimento de um Plano de CN deve ser apoiado pela execução de um projeto

• Um projeto de desenvolvimento de um plano de continuidade de negócios produzirá como resultado o Plano de Continuidade de Negócios, que poderá ser acionado no caso de uma interrupção no serviço

• Um projeto pode ser realizado conforme as etapas descritas no modelo do ITSCM– Estágio 1 – Iniciação– Estágio 2 - Análise de requisitos e definição da estratégia– Estágio 3 - Implementação– Estágio 4 – Gerenciamento operacional


Elementos de um Plano de ProjetoEstágio 1 – Iniciação

1.1 Defina e ajuste a política de GCN1.2 Defina a organização do projeto1.3 Defina a estrutura de controle do projeto1.4 Desenvolva um plano de projeto1.5 Desenvolva um plano de qualidade1.6 Identifique os custos iniciais1.7 Desenvolva um documento de iniciação do

projeto (PID)1.8 Obtenha concordância sobre PID


Elementos de um Plano de ProjetoEstágio 2 - Análise de requisitos e definição da estratégia

2.1 Requisitos2.1.1 Identifique processos

(organizacionais) críticos2.1.2 Identifique processos de

suporte de serviço de TI2.1.3 Conduza uma avaliação de

impacto sobre negócios (BIA)2.1.4 Obtenha requisitos de suporte2.1.5 Conduza uma avaliação de

riscos e análise de vulnerabilidades

2.1.6 Identifique riscos2.1.7 Avalie níveis de ameaças e

vulnerabilidades2.1.8 Avalie os níveis de risco

2.2 Estratégia2.2.1 Determine medidas de redução

de risco2.3 Determine opções de

recuperação2.3.1 Pessoas e acomodações2.3.2 Sistemas de TI e redes2.3.3 Serviços críticos2.3.4 Ativos críticos2.3.5 analise custos e benefícios2.3.6 Faça recomendações2.3.7 Obtenha concordância


Elementos de um Plano de ProjetoEstágio 3 - Implementação

3.1 Planejamento organizacional3.1.1 Executivo3.1.2 Coordenação3.1.3 Recuperação

3.2 Planejamento da implementação3.2.1 Resposta a emergências3.2.2 Gestão de Crise3.2.3 Avaliação de danos3.2.4 Salvamentos3.2.5 Pessoal3.2.6 Registros vitais3.2.7 Acomodações e serviços3.2.8 Sistemas de computador3.2.9 Redes3.2.10 Telecomunicações3.2.11 Segurança de TI3.2.12 Implementação de medidas de

redução de riscos

3.3 Implementação de acordos de prontidão

3.3.1 Negociação de facilidades de recuperação de terceiros

3.3.2 Celebração de arranjos contratuais3.3.3 Preparação e equipagem da

acomodação de prontidão3.3.4 Compras e instalação de sistemas

de computador de prontidão3.3.5 Negociação com provedores de

serviço externos sobre os planos de contingência deles

3.3.6 Execução de diligências devidas, caso seja necessário

3.3.7 Desenvolvimento de planos de continuidade de serviços de TI

3.3.8 Desenvolvimento de procedimentos

3.4 Teste de recuperação Inicial3.4.1 Teste de componente3.4.2 Teste de sistema3.4.3 Teste integrado


Elementos de um Plano de ProjetoEstágio 4 – Gerenciamento operacional

4.1 Educação e conscientização4.1.1 Estabelecimento de programa de

conscientização4.1.2 Estabelecimento de programa

educacional

4.2 Treinamento4.2.1 Treinamento de indução

(alavancagem)4.2.2 Treinamento gerencial4.2.3 Treinamento de staff geral

4.3 Revisão e auditoria4.3.1 Estabelecimento de um cronograma

de revisão4.3.2 Estabelecimento de revisão dos

termos de referência4.3.3 Estabelecimento de requisitos para

recursos4.3.4 Estabelecimento de processo de

feedback

4.4 Testes continuados4.4.1 Estabelecimento de um cronograma

de testes4.4.2 Estabelecimento de escopo e

objetivos de teste4.4.3 Estabelecimento de participantes4.4.4 Estabelecimento de processos

corretivos4.4.5 Controle de mudanças4.4.6 Revisão geral do processo de

controle de mudanças4.4.7 Garantia de que ITSCM está

adequadamente coberta

4.5 Garantia4.5.1 Revisão de entregáveis do ITSCM

com a alta administração4.5.1 Revisão do processo de ITSCM


Exercício – Use o esboço de documento provido e elabore um

plano de projeto para desenvolver um PCN na sua

organização


Exercício [EMC2]

• Você foi designado a definir o escopo inicial do GCN da sua organização. Defina:– O escopo inicial do projeto

– As necessidades e benefícios qualitativos e quantitativos esperados ao longo do tempo

– As necessidades de recursos financeiros, humanos e materiais

• Caso não tenha, o que faria para quantificá-los?


(5.5) Documentação de um Programa de Gerenciamento de Continuidade de Negócios

• Política de GCN (declaração do escopo de GCN e termos de referência de GCN)

• análise de impacto nos negócios (BIA)• avaliação de riscos e ameaças• estratégias de GCN• programa de conscientização• programa de treinamento• planos de gerenciamento de incidentes• planos de continuidade de negócio• planos de recuperação de negócios• agenda de testes e relatórios• contratos e acordos de níveis de serviço



(6) Entendimento da organização• O desenvolvimento adequado de um programa de GCN depende da

compreensão da organização e da urgência com a qual as atividades e processos necessitam retornar ao funcionamento em caso de interrupções. As seguintes questões devem ser formuladas:

– Quais são os objetivos da organização?– Como os objetivos de negócio da organização são alcançados?– Quais são os produtos e serviços da organização?– Quem está envolvido, interna e externamente, com a realização destes produtos

e serviços?– Quem está envolvido, interna e externamente, com a entrega destes produtos e

serviços?– Quais são os imperativos de tempo para a entrega?

• O entendimento é alcançado através de duas análises: – Análise de Impactos sobre negócios– Análise de requisitos de continuidade– Avaliação de riscos

• Estas análises permitirão indicar se a GCN se aplicará a toda a organização ou a apenas um subconjunto de seus produtos e serviços


Análise de Impacto sobre Negócios(BIA – Business Impact Analysis)

• Processo de análise de uma organização que– Identifica as funções de negócios da organização e seus prazos

críticos de operação– Documenta as interdependências entre as funções e processos

de negócios– Relaciona funções de negócio com um mapa das aplicações– Estima a variação do impacto de uma interrupção de negócio ao

longo do tempo• Impacto Financeiro (quantitativo, objetivo)• Impacto Operacional (qualitativo, subjetivo)

– Prioriza as funções e processos de negócio e estabelece uma seqüência para recuperação das mesmas

– Estima os Objetivos de tempo de recuperação e ponto de recuperação para cada processo crítico

– Apóia a definição da estratégica de recuperação


Exemplos de funções e atividades por categoria

• Funções operacionais– Atendimento a clientes, vendas e produção

• Funções de suporte– TI, recursos humanos e suporte externo

(facilidades)

• Atividades estratégicas– Gestão, projetos e planejamento


Esboço de formulário de coleta de dados para montagem de BIA

1 - IDENTIFICAÇÃO DO ENTREVISTADO2 - APRESENTAÇÃO DOS OBJETIVOS DO

QUESTIONÁRIO3 - DESCRIÇÃO DOS PROCESSOS RELACIONADOS À

UNIDADE ORGANIZACIONAL À QUAL PERTENCE O ENTREVISTADO, COM INDICAÇÃO DA CRITICIDADE DE CADA PROCESSO

4 - ENUMERAÇÃO DO(A)S (UNIDADES) FORNECEDORE(A)S INTERNO(A)S E/OU EXTERNO(A)S DE INFORMAÇÕES, DADOS OU PRODUTOS, PARA CADA PROCESSO DA UNIDADE

5 - ENUMERAÇÃO DO(A)S (UNIDADES) CLIENTES DE CADA PROCESSO DA UNIDADE

6 - QUANTIFICAÇÃO DOS FATORES DE IMPACTO OPERACIONAL (POR PROCESSO?)

VER LISTA DE FATORES DE IMPACTO OPERACIONAL7 - QUANTIFICAÇÃO DOS FATORES DE IMPACTO

FINANCEIRO (POR PROCESSO?)VER LISTA DE FATORES DE IMPACTO FINANCEIRO8 - QUANTIFICAÇÃO DOS FATORES DE IMPACTO

FINANCEIRO ACUMULADOS (POR PROCESSO?)9 - QUANTIFICAÇÃO DOS PERFIS DE IMPACTO POR

PROCESSO AO LONGO DOS MESES DO ANO (JAN A DEZ)

10 - QUANTIFICAÇÃO DOS PERFIS DE IMPACTO POR PROCESSO AO LONGO DAS SEMANAS DE UM MES (1 A 5A SEMANA)

11 - QUANTIFICAÇÃO DOS PERFIS DE IMPACTO POR PROCESSO AO LONGO DOS DIAS DE UMA SEMANA (SEGUNDA A DOMINGO)

12 - QUANTIFICAÇÃO DOS PERFIS DE IMPACTO POR PROCESSO AO LONGO DAS (FAIXAS DE) HORAS DE UM DIA

13 - ENUMERAÇAO DOS RECURSOS DE PESSOAL MÍNIMOS (PERFIL AO LONGO DE VÁRIOS DIAS) PARA MANTER EM FUNCIONAMENTO O PROCESSO APÓS UMA GRANDE INTERRUPÇÃO

14 - ENUMERAÇAO DOS RECURSOS MATERIAIS MÍNIMOS (PERFIL AO LONGO DE VÁRIOS DIAS) PARA MANTER EM FUNCIONAMENTO O PROCESSO APÓS UMA GRANDE INTERRUPÇÃO

15 - ENUMERAÇÃO DAS COMPRAS OU ALUGUÉIS DE EMERGÊNCIA (PERFIL AO LONGO DOS VÁRIOS DIAS)

16 - ENUMERAÇÃO DAS NECESSIDADES DE REGISTROS VITAIS - ABSOLUTAMENTE CRÍTICO

17 - DESCRIÇÃO DOS REGISTROS VITAIS PARA CADA PROCESSO

18 - ENUMERAÇÃO E DETALHES DOS ITENS REGULATÓRIOS19 - ENUMERAÇÃO DAS DEPENDÊNCIAS DE SERVIÇOS DE

COMUNICAÇÃO20 - ENUMERAÇÃO DO GRAU DE DEPENDÊNCIA DE

APLICAÇÃO POR PROCESSO DE NEGÓCIO21 - MATRIZ DE INSERÇÃO / CONSULTA / INSERÇÃO

CRONOLÓGICA / POSSIBILIDADE DE RECUPERAÇÃO DE DADOS / TEMPO DE RECONSTRUÇÃO DE DADOS / TEMPO DE ARMAZENAMENTO DE DADOS

POR APLICAÇÃO USADA NA ÁREA22 - DESCRIÇÃO DAS INFORMAÇÕES CRÍTICAS

ARMAZENADAS NOS PCS23 - DESCRIÇÃO DOS PROCEDIMENTOS DE BACKUP E

RESPONSABILIDADES POR DADOS LOCAIS24 - DESCRIÇÃO DOS TRABALHOS ACUMULADOS POR

PROCESSO EM CONDIÇOES NORMAIS25 - DESCRIÇÃO DOS PROCEDIMENTOS ALTERNATIVOS EM

CASO DE INTERRUPÇÕES26 - DESCRIÇÃO DA DURAÇÃO E GRAU DE DOCUMENTAÇÃO

DOS PROCEDIMENTOS ALTERNATIVOS27 - DESCRIÇÃO DAS EXPERIÊNCIAS DE INTERRUPÇÃO NA

ÁREA NOS ÚLTIMOS 12 MESES28 - DESCRIÇÃO DOS TEMPOS DE IMPACTO SEVEROS POR

INTERRUPÇÃO DE PROCESSO DE NEGÓCIO29 - REFLEXÃO SOBRE A VULNERABILIDADE DA ÁREA20 - DESCRIÇÃO DA COMPLEXIDADE DA RECUPERAÇÃO31 - OUTROS ITENS E COMPLEMENTOS


Evolução de Perdas Financeiras (Empresa Fictícia) [Silva et alli, 2007]

Perda Financeira

0,005.000.000,00

10.000.000,0015.000.000,0020.000.000,0025.000.000,00

1 DIA 2 DIAS 3 DIAS 1 SEMANA 1 MES

Operação Gestão de preço

Gestão de vendas Gestão de Logística

Pedido Automático ADM - Telecomunicacoes


Impacto Operacional Após 28 dias de parada [SAMPLE 2002]


Evolução do Impacto Financeiro ao longo de 28 dias [SAMPLE 2002]


Análise de Requisitos de Continuidade [BCI, 2006]

• Estimativa dos recursos, facilidades e serviços que cada atividade demandará quando de seu retorno ao funcionamento

• Quantifica os recursos (pessoas, tecnologias, telefoniaetc) necessários durante o tempo, para manter as funções de negócio em um nível aceitável e dentro dos períodos máximos de interrupção tolerável

• Observe que para um período após uma interrupçãoestes requisitos podem ser maiores ou menores

• Atividades extra geradas pela interrupção devem ser consideradas


Exemplo de Análise de Requisitos de Continuidade

Serviço Descrição Equipe de RecuperaçãoD1 D7 D1

4

D2

1

D2

8

RTO RPO

ADM-SISTEMA

OPERACIONAL

Manutenção de usuários,

estrutura de diretório,

desbloqueio de senhas,

acesso

3 3 5 5 8 12 24

ADM – BANCO DE

DADOS

Administração de banco

de dados3 3 5 5 8 12 2

ADM –

TELECOMUNICAÇÕES

Monitoração de links

(principal e backup) 3 3 5 5 8 1 24

CORREIO

ELETRÔNICO

Administração do correio3 3 5 5 8 24 1

OPERAÇÃO Backup, restore,

disponibilização de

arquivos, monitoração

3 3 5 5 8 1 N/A

INTRANET Acesso a sistemas web,3 3 5 5 8 1 24



• A avaliação de risco, sendo aplicada após o BIA, permite concentrar os esforços nos processo críticos da organização

• Avaliação de riscos dificilmente consegue apreender todos os riscos operacioais, pois:– É impossível a identificação de todas as ameaças– Estimativas de probabilidade são grosseiras e baseadas em

dados históricos– Impactos variam ao longo do tempo– Escalas numéricas não conseguem discriminar entre eventos de

pequena escala.

• Entrega informações para permitir o tratamento ou a resposta aos riscos


Avaliação de Riscos e Matriz de Riscos [EMC2]

Avaliação Resposta


Medidas Básicas para Redução de Riscos de Indisponibilidade [ITIL]

• Instalação de no-breaks e energia de backup nosservidores

• Instalação de sistemas tolerantes a falhas paraaplicações críticas onde indisponibilidade, mesmo quemínima, é inaceitável– Bancos

• Armazenamento e arquivamento remotos• Discos RAID e espelhamento em servidores de rede

– Prevenção contra perdas de dados– Garantia de continua disponibilidade de dados

• Equipamento reserva para uso no caso de falhas– Servidor de rede reserva, previamente configurado, com tempo

de build e configuração mínimos



(7) Determinação da estratégia de GCN

• Definição de estratégias corporativas – Estimativas de RTO e RPO para cada

atividade crítica– Distanciamento entre os sítios alternativos

• Definição de estratégias em nível de atividade– Análise de interdependência entre serviços,

processos de negócio, dados e tecnologias


A aplicação da estratégia depende de como evolui o impacto do seus

processos [ITIL]


Exercício

• Selecione dois processos de negócios de sua organização– Um deles deve ter a curva característica de impacto

que exija uma solução preventiva– Outro deles deve ter uma curva característica de

impacto que permita uma solução de contingência

• Descreva as curvas destes processos usando um gráfico

• Descreva cada processo por uma ou duas frases


t=0

48 horas48 horas48 horas48 horas



Warm site terceirizado, equipamentos locais,

storage off site

Cold site próprio, equipamentos e backup off site

Cold site terceirizado, equipamentos terceirizados,

backup off site

RTORPO

Backup – 6 h

Backup – 24 h

Backup – 24 h

1111

2222

3333

5555

4444


Backup – 6 h Warm site próprio, equipamentos locais,

storage off site


Warm site terceirizado, equipamentos locais,

storage on siteBackup – 2 h

Opções de Recuperação

Variação das Métricas RPO e RTO conforme as estratégias adotadas [EMC2 apud Silva et alli, 2007]


Estratégias de Recuperação [EMC2]


Exemplo de Matriz de Relacionamento [Silva et alli, 2007]


Opções de Contingência e Recuperação (Elementos a serem recuperados)

• Pessoas• Acomodações e Facilidades

– Serviços críticos (energia, telecomunicações, água, correios e encomendas)

• Dados e registros em papel e material de referência

• Recuperação de Sistemas de TI e redes• Ambiente do usuário• Processos de negócios


Recuperação de Processos de negócios

• É preciso fazer o workflow voltar a funcionar:– TI = Pessoas + processos de TI + tecnologias

– Organização = Pessoas + processos de negócio + serviços de TI


Análise de Custos e Benefícios das Estratégias Selecionadas

• Como a estratégia a ser implementada é:– Capaz de alcançar os Objetivos de Tempo de

Recuperação (RTO)?– Possivelmente capaz de reduzir os impactos

potenciais?– Custosa para estabelecer?– Custosa para manter, testar e empregar?– Capaz de afetar outros riscos?

• Quais os impactos– Técnicos, organizacionais, culturais e administrativos– Se NENHUMA ação for tomada


Opções de Contingência e Recuperação em TI

• Não fazer nada

• Soluções de contorno manuais• Arranjos recíprocos

• Recuperação gradual (cold stand-by – cold site)• Recuperação intermediária (warm stand-by –

warm site)

• Recuperação imediata (hot stand-by – hot site)• Tolerância a falhas (fault-tolerant / mirroring)


Opção 1: Não fazer nada

• Poucas organizações funcionam sem TI• Se a sua TI deixar de funcionar a

organização abandona o uso da TI


Opção 2

Soluções de contorno manuais• Se o equipamento de TI quebrar vamos

providenciar a compra de novos• Enquanto isto trabalhamos manualmente• Afetam a produtividade durante a fase de

recuperação


Opção 3

Arranjos recíprocos• Duas ou mais organizações que usam a

mesma tecnologia estabelecem acordos de cessão de plataformas

• Difícil de usar em ambientes com redes de computadores, telecomunicações e aplicações interativas– Pode ser útil em processamento batch


Opção 4

Recuperação gradual (cold stand-by – cold site)

• Acomodações físicas com infra-estrutura de suporte, na qual são instalados equipamentos após um desastre, para funcionamento após cerca de 72 horas

• Facilidades fixas ou móveis• Devem ser estabelecidas precauções para

uso de hardwares e outros equipamentos incomuns


Opção 5

Recuperação intermediária (warm stand-by – warm site)

• Espaço alugado (ou similar) parcialmente configurada com alguns equipamentos, mas sem os computadores que serão colocados em produção

• Um hot-site, sem os equipamentos mais caros• É o modelo mais usado (nos EUA)• Problemas: a ausência de testes periódicos,

como ocorrem com hot-sites, pode dificultar o processo de recuperação


Opção 6

Recuperação imediata (hot stand-by – hot site)

• Sítio duplicado• Totalmente configurado e pronto para

entrar em operação em poucas horas• Faltam apenas os dados, que serão

recuperados a partir de um backup• Equipamentos e software plenamente

compatíveis com os que estão em operação


Opção 7

Espelhamento Tolerante a falhas (mirroring)

• O sítio é completamente duplicado, como em um hot-site

• Os dados são espelhados em tempo-real


Exemplo de Estratégias de Recuperação de TI [Castro Filho et alli,

2007]



(8) Desenvolvimento e implementação da resposta

• O objetivo desta fase é identificar, com a maior antecipação possível, as ações que serão necessárias e os recursos que serão necessários para que a organização seja capaz de gerenciar uma interrupção, qualquer que seja ela, isto envolve:– Plano de gerenciamento de incidentes– Plano de continuidade de negócios– Plano de retorno à normalidade


Estrutura Organizacional de Execução do PCN



(9) Teste, manutenção e revisão crítica

• Uma capacidade de GCN não pode ser considerada realística até que tenha sido exercitada, mantida e auditada (revisada criticamente)



(10) Inclusão da GCN na Cultura Organizacional

• A fim de manter a prontidão, entusiasmo e resposta efetiva, a organização precisa:– Avaliar o grau de conscientização e

treinamento em GCN

– Desenvolver a cultura de GCN na organização, por meio de eventos de conscientização, treinamento e educação

– Monitorar as mudanças culturais ao longo do tempo



• Plano de Continuidade de Negócios (PCN)– Esboce o sumário de um documento fictício

que contém um plano de continuidade de negócios da sua organização


Conclusões e Reflexões

• A GCN é uma atividade que eleva a segurança organizacional e de suas informações à maior escala da gestão organizacional

• Porque as organizações públicas precisam desenvolver GCN?

• Como racionalizar o uso de soluções de continuidade na APF?– Processos + pessoas + tecnologias padronizadas?

343o de crise e continuidade.ppt) - cic.unb.brjhcf/mybooks/cegsic/2008_2009/gsic500_gestao... ·...

Documents