PLANO DE CONTINGNCIA

Um plano de contingncia, tambm chamado de planejamento de riscos, plano de continuidade de negcios ou plano de recuperao de desastres, tem o objetivo de descrever as medidas a serem tomadas por uma empresa, incluindo a ativao de processos manuais, para fazer com que seus processos vitais voltem a funcionar plenamente, ou num estado minimamente aceitvel, o mais rpido possvel, evitando assim uma paralisao prolongada que possa gerar maiores prejuzos a corporao, como a fuga de acionistas, grandes perdas de receita, sanes governamentais, problemas jurdicos para os dirigentes, abordagens maliciosas da imprensa, fuga de funcionrios para os concorrentes e at mesmo, em casos extremos, o fechamento da empresa.

CONCEITOS IMPORTANTES
PLANO DE CONTINGNCIA OPERACIONAL (PCO) visa a manuteno dos processos de negcios realizados pela empresa, independentemente de falhas ocorridas em seus componentes. um plano complementar ao plano de contingncia, medida que elimina a diferena entre o prazo para restaurao ou substituio do componente cuja falha acionou o plano e a retomada do processo de negcios afetado. PLANO DE RETOMADA DOS NEGCIOS est embutido no PCN e define qual o cenrio de retorno normalidade, determinando o trmino das aes do plano e o reincio das atividades de negcios normais. PLANO DE RECUPERAO DE DESASTRES o sequenciamento das atividades de substituio e/ou restaurao dos inmeros componentes necessrios para a restaurao e execuo dos processos de negocio onde so definidos os recursos, aes, tarefas, dados e requisitos para administrar o processo de recuperao.

CONCEITOS IMPORTANTES
AMEAA toda e qualquer condio capaz de acarretar perda ou dano. uma condio latente e potencial. Nem sempre ela ir causar um dano. Podem ser humanas, naturais ou tcnicas RISCO um ndice relativo e individual que pode qualificar e quantificar a probabilidade de ocorrncia de um evento ou desastre. VULNERABILIDADE o somatrio dos possveis impactos acarretados pela ocorrncia de eventos e reflete o grau da exposio de processos ou componente da organizao aos efeitos de eventos ou desastres. JANELA DE RECUPERAO o perodo de tempo definido entre o momento da ocorrncia do evento e o prazo mximo necessrio para a recuperao dos negcios sem que haja danos ou prejuzos considerveis.

 O grande problema da contingncia a aceitao de que o risco existe e que pode acontecer. Este inevitvel e imprevisvel, apesar de todo e qualquer esforo para evitar ou at mesmo diminuir a chance e probabilidade de ocorrncia. uma dificuldade encarar que a empresa pode enfrentar uma crise. O Plano de Contingncia ir orientar a empresa, atravs de uma ao refletida e apropriada, com o alicerce da normatizao. A elaborao de um plano de contingncia exige da corporao um real reconhecimento das suas fragilidades. Este reconhecimento proporcionar uma anlise dos riscos listados, enquadrando a probabilidade de ocorrncia e seu respectivo impacto para a empresa. A minimizao da perda s ser ocasionada com a projeo das dificuldades a serem enfrentadas pela empresa, estas tabuladas no plano de contingncia.

 Plano de Contingncia um documento onde esto definidas as responsabilidades estabelecidas em uma organizao para atender a uma emergncia e contm informaes detalhadas sobre as caractersticas da rea envolvida. um documento desenvolvido com o intuito de treinar, organizar, orientar, facilitar, agilizar e uniformizar as aes necessrias s respostas de controle e combate s ocorrncias anormais 1. Os incidentes mais comuns que causam a contingncia na rea de sistemas so enchentes, incndios, rebelies, greves, terremotos, tsunamis, furaces, falta de energia, ataques de hackers internos (funcionrios ou consultores mal intencionados) ou externos, vrus de computador, vazamento qumico, sabotagem, atentados terroristas, acidentes e erros humanos.

 Um PCN no impede a ocorrncia de eventos. Ele oferece uma anlise de vulnerabilidades, permitindo a tomada de medidas que permitem a reduo das probabilidades de ocorrncia e minimiza seus possveis impactos, permitindo que a empresa continue a trabalhar, mesmo com reduo no desempenho de seus processos. O mrito do PCN no o de antecipar os eventos, mas planejar aes de resposta, reduzindo o tempo de interrupo, minimizando a possibilidade de erros durante situaes de crise e estresse. Como resultado, os custos de recuperao e restaurao, financeiros e no-financeiros, so mitigados.

 Os planos de contingncia devem se concentrar nos incidentes de maior probabilidade e no nos catastrficos que, normalmente, so menos provveis de acontecer. Paralelamente, determinados tipos de falhas com alta probabilidade de ocorrncia podem, pelo tipo e durao de seus efeitos, no justificar qualquer medida de contingncia. Exemplos de alguns grandes incidentes que afetaram empresas: Brasil corte de energia eltrica (apago) 2001 e 2002 Mundo vrus de computador ILOVEYOU 3 de maio de 2000 New York e Washington - ataques terroristas - 11 de setembro de 2001 Madrid ataques terroristas 11 de maro de 2004 Louisiana e Mississippi furaco Katrina 29 de agosto de 2005

 Como pode acontecer um desastre a qualquer hora do dia ou da noite, nos dias da semana, fins de semana ou feriados, necessrio que o plano estabelea que um representante da diretoria esteja sempre disponvel. De outra forma, uma grande confuso pode resultar durante e aps uma situao de emergncia, se o representante no estiver presente. A empresa deve assegurar que um Comit de Contingncia possa funcionar mesmo diante de desastres de grande escala que causem a incapacidade de alguns dos seus membros e que no possam estar todos presentes. Sempre possvel, numa situao de emergncia, haver danos na sede da empresa tornando-a inacessvel. Uma soluo simples para organizaes que tm mais de uma localizao, designar um centro de operaes alternativo. Os centros de informaes tambm devem ser previstos para que os empregados possam procurar e dar notcias, e se colocar disposio para o trabalho. Os planos para armazenamento de registros em duplicatas tambm devem ser integrados no planejamento do centro de operaes alternativo. Para evitar o que tem sido descrito como amnsia organizacional, os registros considerados vitais e essenciais para reconstituio ou continuao das operaes podem ser armazenadas no centro de operaes de emergncia.

 O plano de contingncia deve ser desenvolvido envolvendo todas as reas sujeitas a catstrofes, tanto as de sistema de informtica quanto as de negcio e no deve ser de exclusiva responsabilidade da rea de Tecnologia da Informao da organizao. Seus itens devero estar todos documentados e a atualizao desta documentao deve ser feita sempre que necessrio.. Testes peridicos no plano tambm so necessrios para verificar se o processo continua vlido. O detalhamento das medidas deve ser apenas o necessrio para sua rpida execuo, sem excesso de informaes que podem ser prejudiciais numa situao crtica. Os procedimentos mais simples de contingncia so:
manter backup regular das bases de dados; manter um 'site de contingncia' sempre atualizado; possuir ferramentas seguras para acesso aos dados remotamente para o caso da impossibilidade chegar at o prdio da empresa (VPN ou acesso discado, por exemplo); ter cpias completas e atualizadas de servidores vitais para o funcionamento da empresa (principalmente os que requerem muito tempo para reconstituio); manter senhas em local seguro mas de fcil acesso a pessoas chaves da empresa no caso de uma emergncia

 Os 4R dos componentes do planejamento de contingncias so:

I. Resposta: a reao imediata, sendo o componente mais importante, pois engloba todos os demais. II. Reassuno: consiste em manter ou fazer operar as funes mais crticas, para evitar maiores danos. III. Recuperao: trata-se de fazer operar as funes menos crticas, buscando a normalidade de operao para desativar as alternativas. IV. Restaurao: o retorno ao processo normal por meio da desativao das equipes emergenciais e volta produo plena e ou restabelecimento total dos servios

 Para se criar um plano de contingncia mais eficaz, normalmente as grandes empresas utilizam as regras abaixo descritas, com algumas variaes mnimas:
Identificar todos os processos de negcio da organizao; Avaliar os impactos no negcio, ou seja, para cada processo identificado, avaliar o impacto que a sua falha representa para a organizao, levando em considerao tambm as interdependncias entre processos. Como resultado deste trabalho ser possvel identificar todos processos crticos para a sobrevivncia da organizao; Identificar riscos e definir cenrios possveis de falha para cada um dos processos crticos, levando em conta a probabilidade de ocorrncia de cada falha, provvel durao dos efeitos, conseqncias resultantes, custos inerentes e os limites mximos aceitveis de permanncia da falha sem a ativao da respectiva medida de contingncia; Identificar medidas para cada falha, ou seja, listar as medidas a serem postas em prtica caso a falha acontea, incluindo at mesmo o contato com a imprensa; Definir aes necessrias para operacionalizao das medidas cuja implantao dependa da aquisio de recursos fsicos e/ou humanos (por exemplo, aquisio de gerador e combustvel para um sistema de contingncia de energia eltrica); Estimar custos de cada medida, comparando-os aos custos incorridos no caso da contingncia no existir;

 Definir forma de monitoramento aps a falha; Definir critrios de ativao do plano, como tempo mximo aceitvel de permanncia da falha; Identificar o responsvel pela ativao do plano, normalmente situado em um alto nvel hierrquico da companhia; Identificar os responsveis em colocar em prtica as medidas de contingncia definidas, tendo cada elemento responsabilidades formalmente definidas e nominalmente atribudas. Deve tambm existir um substituto nominalmente definido para cada para cada elemento. Todos devem estar familiarizados com o plano visando evitar hesitaes ou perdas de tempo que possam causas maiores problemas em situao de crise. A equipe responsvel dever ter a possibilidade de decidir perante situaes imprevistas ou inesperadas, devendo estar previamente definido o limite desta possibilidade de deciso; Definir a forma de reposio do negcio aos moldes habituais, ou seja, quando e como sair do estado de contingncia e retornar ao seu estado normal de operao, assim como quem so os responsveis por estas aes e como este processo ser monitorado.

O PGCN possui 8 fases:

1. Mapeamento de processos e atividades 2. Identificao dos Riscos nos processos e nas atividades 3. Anlise de Riscos 4. Anlise de Impactos nos processos e atividades 5. Estratgias de Continuidade 6. Aes Operacionais: o que ? Quem ? Como ? e Porque fazer?
Processo de recuperao de negcios

7. Roteiro de Testes 8. Ativao do Plano - momento em que um Plano de Recuperao ou Continuidade posto em prtica, no todo ou em parte