Aula 01

Business
Con*nuity Plan
Plano de Con*nuidade de Negcios

e Disaster Recovery
4/6/15
Prof.Claudemir Queiroz
. . . Processo abrangente de gesto que iden?ca ameaas potenciais para uma

ogranizao e os possveis impactos nas operaes de negcios, caso estas
ameaas se concre?zem. Este processo fornece uma estrutura para que se
desenvolva uma resilincia organizacional que seja capaz de responder
efe?vamente e salvaguardar os interesses das partes interessadas, a reputao
e a marca da organizao, e suas a?vidades de valor agregado.
(ABNT NBR 15999-1:2007)
4/6/15
4/6/15
4/6/15
Por que um Programa de CN importante?

Razo 1
Proteger a vida humana.
Razo 2
Minimiza a confuso e permite decises ecazes na hora da crise.
Razo 3
Reduz a dependncia de pessoal especco.
Razo 4
Minimiza perda de dados, de renda, de clientes . . . ,
Razo 5
Facilita a recuperao rpida das funes empresariais.
Razo 6
Mantm a imagem pblica e a reputao.
considerado o evento
histrico mais marcante dos
EUA em todos os tempos
pelos americanos.
Fonte: Pesquisa Instituto Zogbi - EUA. 2007
O mundo no consegue esquecer.
4/6/15
Fatos Marcantes
Como um evento pode mudar tanto o

mundo em apenas 102 minutos?
- Mais de 3000 mortos
- Prejuzos de bilhes de dlares
- Re-estudo completo da Gesto de Riscos
Mudana de paradigma
4/6/15
Fatos Marcantes

...os seis prdios que cercam o ediTcio da
Eletrobrs foram interditados pela Defesa
Civil...
4/6/15
Fatos Marcantes
- Vo 3054 da TAM o maior desastre areo

brasileiro.

-Incndio permanece fora de controle; chances de
sobrevivncia diminuem.
- Tem 200 mortos a, diz coronel dos bombeiros
sobre acidente da TAM
- Empresrio relembra l?mo dia com mulher e lho
- Varios Execu?vos de Grandes Empresas estavam a
Bordo
4/6/15
Fatos de 2009
- Exploso em casa de fogos mata 2 e fere 6 em

Santo Andr.
- A exploso afetou uma rea correspondente a dois
quarteires.
- "Fez um estrondo que parecia que ?nha cado uma
bomba. Samos na rua e no dava pra ver nada, de
tanta fumaa".
4/6/15
10
Fatos de 2009
- Telefonia fora
- Links de dados fora
- Indisponibilidade de ambiente de trabalho
- Indisponibilidade de pessoas
- Aeroportos fechados
- Colapso Total na cidade
- Mortes
- Impactos Financeiros, Operacionais...
4/6/15
11
Fatos de 2009
- Enchentes a?ngem o Cear

- Cidades cam Isoladas
- Centenas de desabrigados
- Rodovias interditadas
-Mortes
- Impactos Financeiros, Operacionais...
4/6/15
12
Fatos de 2009
4/6/15
13
Fatos de 2009
Os prejuzos foram es?mados pela prefeitura
Indaiatuba em R$ 90 milhes para os empresrios que

?veram suas indstrias a?ngidas, R$ 1,5 milho para
os moradores e R$ 6 milhes para a administrao
pblica.

Pelo menos 30 empresas estavam na rota do
tornado e seis desabaram.
4/6/15
14
Fatos de 2009
- Itaipu para totalmente de funcionar pela 1 vez na histria.

- Problema em Itaipu causa apago em 18 Estados do Pas.
- Apago inu*liza 30 mil doses de vacina no interior de SP .
- Apago: siderrgicas param e alimentos estragam.
- Apago pode ser causa de 3 mortes em hospital do Rio.
- SP: aps apago, 2 milhes de pessoas permanecem sem gua.
- Regies do RJ permanecem sem luz aps apago; 1 milho esto sem gua.
4/6/15
15
O que pode acontecer quando

ignoramos os riscos, normas, leis e
procedimentos ?
4/6/15
16
Vamos contar uma histria . . .
4/6/15
17
Entendendo
o Negcio
Selecionando
Estratgias
Adequadas
Gesto de Continuidade de Negcios
Implementando
a Resposta ao
BCM
Manuteno,
Auditoria e
Melhoria
ESTRUTURA HIERQUICA DO PCN
PCN
Plano de Continuidade de
Negcios
GCN
Gesto de Continuidade de
Negcios
PCO
4/6/15
Plano de Continuidade
Operacional
PGC
Plano de Gerenciamento de
Prof.Claudemir Q
ueiroz
Crise
PCOM
19
Plano de Comunicao

Fases de um Projeto de Plano de Con*nuidade
de Negcios

Fase 1 Anlise inicial e escopo do BCM

Fases de um Projeto de Plano de Con*nuidade de Negcios
Business Con6nuity
Management.
Fase 2 Enten?mento do negcio.
Fase 3 Seleo das estratgias.

Fase 4 Implementando e desenvolvendo a resposta de
BCM
Fase 5 Mantendo, exercitando e melhorando a
con?nuidade

Fase 4 Implementando e desenvolvendo a resposta de BCM
PCO
Plano de Con?nuidade Operacional.
PRD
Plano de Recuperao de Desastre.
PGC
Plano de Gerenciamento de Crises
PCOM
Plano de Comunicao

PCO
Plano de Con?nuidade Operacional.
Entrevistas realizadas para entendimento setorial

PRD
Plano de Recuperao de Desastre.
Mapeamento de a?vos tecnolgicos

PGC
Mapeamento dos Cenrios

Mapeamento por Fases
Plano de gerenciamento de crise.

Mapeamento por Fases

Resposta ao
Incidente
Operao de
Con?ngncia
Operao de
retorno a
normalidade

PCOM
Plano de Comunicao.
Disaster Recovery Plan

Obje*vos do DRP
O obje*vo preliminar de um plano de recuperao de desastre (DRP) permi?r que
uma organizao sobreviva a um desastre e que possa restabelecer as operaes dos
negcios.
Para a*ngir esses obje*vos o DRP deve atender os seguintes

requisitos
Prover um ambiente seguro e pessoas preparadas para um desastre;
Reduzir as perdas financeiras em casos de desastres;
Identificar linhas de negcios crticas que requeiram suporte em situaes de desastres;
Minimizar a durao de uma paralisao das operaes de negcio;
Facilitar a coordenao eficaz de tarefas da recuperao; e,
Reduzir a complexidade do esforo de recuperao.
Identificar as fraquezas e executar um programa da preveno de desastre;
O PLANEJAMENTO DO DRP DEVE PREVER AS SEGUINTES ETAPAS
Etapas de um DRP
FASE I
Pr-planejamento das a?vidades
FASE II
Avaliao da vulnerabilidade e denio das exigncias do

projeto
FASE III
Avaliao de impacto no negcio
FASE IV
Denio detalhada das exigncias
Etapas de um DRP
FASE V
Desenvolvimento do plano
FASE VI
Plano de teste/simulao
FASE VII
Programa de manuteno
FASE VIII
Testes iniciais e implementao
Uma empresa sem PCN . . .
Uma empresa sem PCN . . .
BIA
Business Impact Analisys
BIA

Nessa fase realizada uma avaliao de impacto nos negcios de todas as unidades
da empresa para iden?car os sistemas, processos e funes cr?cas. Essa anlise de
impacto econmico deve avaliar a negao de acesso aos servios de sistemas e outros
servios e facilidades. Deve-se denir tambm qual o mximo tempo de sobrevivncia do
negcio sem acesso aos sistemas.
Business Impact Analysis
Gesto de Con*nuidade de Negcios

Negcios
Planejamento da Con?nuidade de Negcios
Anlise de Impacto
no Negcios

Avaliao e Gesto
de Riscos

Estabelecer
Iden?car riscos.
requisitos
Remover riscos
mnimos.
onde possvel.
Estabelecer
prioridades de
recuperao.

20/03/2012
Gerir riscos
residuais
Tecnologia
Gesto da Con?nuidade de Servios de TI
Selecionar
Estratgias
Desenvolver/
Implementar

No fazer nada.
Plano de retorno
manual.
Acordos
recpocros.
Recuperao
gradual.
Recuperao
intermdia.
Recuperao
imediata.
Requisitos de Estratgias

Organizao da
recuperao.
Planos de
Negcios e GCSTI.
Contratos Stand-
by.
Reduo de
riscos.
Teste inicial.
Gerir

Educao e
treino.
Rever e auditar.
Teste completo.
Planejar
manuteno.
Garan?as.
Implementao
Gesto operacional
40
BIA

Desenvolvimento de uma BIA
BIA Entendendo o Negcio

Obje*vo
O BIA primordial para o bom desenvolvimento e

implementao do Processo de Gerenciamento de Con?nuidade
de Negcios, seu obje?vo realizar o levantamento da cri?cidade
dos processos de negcios da
empresa, podendo ser realizada de 02 maneiras:
4/6/15
42
1. Qualita*va, ou seja, analisando os processos de negcio

segundo o impacto que causam em virtude de uma possvel
interrupo.
4/6/15
43
2. Quan*ta*va, onde os processos de negcio so analisados

segundo seu impacto nanceiro.
4/6/15
44

Recovery Time Object (RTO):

o tempo mximo de interrupo que um processo de negcio suporta antes de
comear a causar impactos signicantes em sua organizao. Dessa maneira podemos
denir o tempo no qual um processo de negcio deve ser restabelecido aps sua
interrupo, evitando maiores conseqncias associados a con?nuidade dos negcios.
4/6/15
45
Normalmente os RTOs dos processos estabelecido durante a fase de

entendimento do negcio, mais precisamente na fase de levantamento de
informaes para elaborao do Business Impact Analysis (BIA).
4/6/15
46
No
Esquea
O RTO deve sempre ser atribudo aos processo de negcio e nunca a

a?vos ou recursos, os quais so necessrios para apoiar o processo.
4/6/15
47

Perguntas sero feitas . . .
Quanto tempo o PN pode car inoperante
(*RTO) sem causar impacto para a corporao?
Responda em horas:

4/6/15
48

Aps o perodo informado acima, quanto
tempo o PN poderia car operando em
con*ngncia ?
(horas):

4/6/15
49

E qual o *po de impacto que causaria a
empresa:
I=Ins*tucional, Im=Imagem, F=Financeiro

4/6/15
50
Outro lembrete.
O RTO junto aos resultados do BIA, geralmente cons?tuem a

base para iden?car e analisar estratgias viveis para a incluso do
plano de con?nuidade de negcios.
4/6/15
51

Recovery Point Objec*ve (RPO):
o ul*mo ponto (backup) de dados validos necessrios para manter a
operao do processo de negcio, descrevendo a perda aceitvel de dados, medida
sempre em tempo.
4/6/15
52
Determinando dessa forma a quan?dade de dados que o processo de

negcio assume como perda aceitvel, ou seja, as informaes sero
recuperadas dentro desse limite e as operaes so retomadas a par?r
desse ponto, sendo que os dados perdidos que estejam fora desse
limite es?pulado, devero ser recuperados manualmente atravs de
outros meios.
4/6/15
53

Probabilidade de ocorrncia das ameaas

A probabilidade de ocorrncia de determinadas ameaas em eventos/incidentes
foram mapeadas antes do clculo de impacto, pois determinam um dos fatores do
clculo da BIA.
4/6/15
54
A probabilidade pode variar de acordo com os locais, logo devemos classic-la

com base na localidade onde o ambiente de negcios est sendo executado, de forma a
representar a real possibilidade de ocorrncia com base em dados histricos e nos
incidentes relatados pelos entrevistados e posteriormente validados com o Comit de
Con?nuidade de Negcios.
4/6/15
55

Ex: A probabilidade de raios em Belo Horizonte - MG superior a esta mesma
ameaa em So Paulo SP, portanto consideraramos a probabilidade maior em
BH a SP.
Para facilitar a coleta e iden?cao foram adotadas as seguintes respostas:
1 Probabilidade Muito Baixa,
2 Probabilidade Baixa,
3 Probabilidade Mdia,
4 Probabilidade Alta,
5 Probabilidade Muito Alta.
4/6/15
56
Calculo de Risco: A frmula u*lizada para calculo de risco : R = P x

I (Risco = Probabilidade x Impactos). Isto signica que quanto mais
vulnervel um determinado processo e mais importante para o
negcio da organizao, maior ser o seu RISCO, sob a ?ca da
disciplina de Con?nuidade de Negcios.
4/6/15
57

Este clculo envolve trs vises diferentes para entender o ambiente de
negcios:
1. Entender a probabilidade es?mada de ocorrncias de ameaas neste
ambiente formado por processos de negcios, pessoas e infra-estrutura em
cada localidade;
2. Analisar o grau de exposio que este ambiente apresenta frente s
principais e provveis ameaas;
3. Classicar o impacto ou prejuzo causado pela concre?zao de eventuais
ameaas (eventos ou incidentes).
4/6/15
58

Grau de Exposio
Como ameaas dis?ntas podem causar impactos dis?ntos, cada
ambiente analisado deve ser classicado quanto ao seu grau de
exposio a cada ameaa ou grupos de ameaas, considerando-se os
controles e protees existentes. Isto signica que, em alguns casos, a
probabilidade de ocorrncia elevada no implica necessariamente em
um grau de exposio alto. O que dene o grau de exposio o nvel
de proteo e segurana de um ambiente e/ou processo de negcio
frente a determinadas ameaas que podem ocorrer de acordo com
determinadas probabilidades. Ex.: Existe a probabilidade maior de raios
em Belo Horizonte - MG, porm a localidade encontra-se menos
exposta frente a esta ameaa, pois existe um sistema de pra-raios
(SPDA) devidamente implementado e em funcionamento no local.
4/6/15
59
Grau de Exposio
Como cada processo de negcio suportado por um conjunto de infra-estrutura,
sistemas e pessoas, ento podemos medir o grau de exposio de cada
processo de negcio atravs do nvel de exposio que este ambiente
apresenta frente a determinadas ameaas ou grupos de ameaas. Desta forma,
temos uma abordagem integrada entre a probabilidade de ocorrncia e o grau
de exposio, o que chamamos aqui resumidamente de Fator de PROBABILIDADE.
4/6/15
60

Nas entrevistas detalhadas os responsveis pelos processos respondem perguntas
sobre determinadas ameaas com o mesmo critrio anterior, porm com foco na sua
percepo de Grau de Exposio, considerando-se os controles existentes, sendo:
4/6/15
61

A importncia dos impactos corpora*vos
Existem alguns ?pos de impactos que acontecem devido a um evento
de risco, portanto os grupos mais comuns so:
Impactos Financeiros: Perdas Financeiras efe*vas, como por exemplo:
Multas e/ou Sanes de Agncias Regulatrias/Governo, Perda de Receita,
Reduo da Margem de Lucro, Aumento no Custo Operacional, Prejuzo a
Negcios Futuros, etc.
Impactos Ins*tucionais: Riscos Operacionais das a*vidades do dia-adia,
Abalo na Imagem da Empresa, Desvalorizao da Marca, Exposio Nega?va
na Mdia (jornais, revistas e televiso), Perda de Capacidade de Gesto e Controle
Operacional, Suspenso do servio para Cliente (interno), etc.
Impactos na Imagem: Parada no Negcio da Empresa, Perda de Cliente,
Dano a Integridade Fsica de Pessoas, Problemas legais ou regulamentares, entre
outros.
4/6/15
62

Na medida que iden?camos os impactos que podem comprometer as
operaes da empresa precisamos mensurar seus pesos, ou seja, qual a
importncia e relevncia para o negcio atravs de reunies com o Comit
Execu?vo e/ou Comit de Con?nuidade de Negcios ou formulrios especcos
para a coleta. Este valor foi transformado em fator para ser u?lizado no clculo
de risco do BIA. A seguir apresentamos um exemplo de peso ou importncia
de cada grupo de impacto, sendo:
4/6/15
63

Mtricas qualita*vas

Devem ser determinados pela organizao quais os nveis de classicao que os
processos devem seguir, referente ao ranking que ser apresentado na Analise de
Impacto nos Negcio (BIA), qualita?va e quan?ta?va.
Recomenda-se nas boas pra?cas a u?lizao de um ranking de no mnimo 03 e no maximo
05 nveis para cada analise, conforme exemplos apresentados a seguir:
4/6/15
64
4/6/15
65
Mtricas Quan*ta*vas (R$)
4/6/15
Muito Alto
Maior que 500 Mil
Alto
350 Mil a 500 Mil
Mdio
150 Mil a 350 Mil
Baixo
100 Mil a 150 mil
Muito Baixo
At 150 Mil
66

Exemplo de Calculo de BIA Qualita*vo:
PN-Contas a Pagar: No local A a probabilidade de Raio 4. No h para raio no local,
portanto na anlise de impacto car:
Probabilidade de Ocorrncia=4
Grau de Exposio=5
P=Probabilidade x Exposio | P=4x5=20
Qualita?vos Financeiro = trata-se da mdia dos impactos coletados na entrevista
Qualita?vos de Imagem= idem anterior, porm, outro grupo de impactos
Qualita?vos ins?tucionais= idem anterior, porm, outro grupo de impactos
I= soma da mdia dos impactos nanceiro, imagem e ins?tucional.
Calculo de Risco: R= P x I
4/6/15
67
Exemplo de Calculo de BIA Quan*ta*vo:

Qualita?vos Financeiro = trata-se da soma dos valores dos impactos coletados na
Entrevista Qualita?vos de Imagem= idem anterior, porm, outro grupo de impactos
Qualita?vos ins?tucionais= idem anterior, porm, outro grupo de impactos

A par?r dessa soma, baseado no ranking estabelecido, apresentam-se os processos de
negcio e sua classicao.
4/6/15
68
4/6/15
69
Para o desenvolvimento da anlise de impacto dos negcios, aconselha-se a

u?lizar um roteiro de entrevista informal, de forma a poder entender o processo de
negcio e o entrevistado entender o signicado daquela a?vidade. Abaixo segue o
roteiro u?lizado para a companhia area em estudo:

4/6/15
70

(1) O processo de negcio em questo mais cr?co em qual perodo do ms?
Por qu?
(2) Quais sistemas voc u?liza para executar as a?vidades deste processo de
negcio?
(3) Se o sistema no est disponvel existe alguma a?vidade alterna?va que voc
realiza?
(4) Quanto tempo necessrio para executar esta a?vidade alterna?va sem o
sistema estar disponvel?
(5) Os dados no sistema precisam estar sempre atualizados e disponveis para
consulta? Se os mesmos es?vessem alguns dias atrasados causariam algum
problema operacional?
(6) Qual o perodo mximo de atraso dos dados aceitvel para a execuo das
a?vidades cr?cas desse processo de negcio?
(7) Na rea de Tecnologia da Informao temos um segundo Datacenter, o
mesmo prov 50% da capacidade para este processo de negcio. Logo, se
voc ?ver que trabalhar usando um sistema com a metade da velocidade do
atual, quanto tempo voc conseguiria trabalhar assim?
4/6/15
71

(8) Em caso de indisponibilidade desse processo de negcio existe algum
impacto legal, tais como: multas, advertncias ou outro ?po de sano pelo
rgo regulador?
(9) Com o processo de negcio indisponvel o impacto recairia sobre os
clientes?
(10) Qual o percentual de receita direta que esse processo de negcio gera para a
organizao?
4/6/15
72
4/6/15
73
4/6/15
74
4/6/15
75
4/6/15
76
4/6/15
77
Exerccios
1. Com auxilio dos documentos de apoio, realize o mapeamento de 10 processos de

negcios.
4/6/15
78

2. Com base no exerccio anterior, elabora uma Analise de Impacto nos Negcios (BIA),
apresentando os resultados qualita?vos e quan?ta?vos.
A analise deve conter:
a. Sumario Execu?vo
b. Obje?vos
c. Metodologia u?lizada
d. Entendimento do negcio
e. Calculo do impacto
f. Apresentao dos resultados
g. Concluses
4/6/15
79
F I M
2015
4/6/15
80

Aula 01

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Aula 01

Enviado por

Direitos autorais:

Formatos disponíveis

Business

Plano de Con*nuidade de Negcios

. . . Processo abrangente de gesto que iden?ca ameaas potenciais para uma

Por que um Programa de CN importante?

O mundo no consegue esquecer.

Como um evento pode mudar tanto o

- Vo 3054 da TAM o maior desastre areo

- Exploso em casa de fogos mata 2 e fere 6 em

- Enchentes a?ngem o Cear

Os prejuzos foram es?mados pela prefeitura

Indaiatuba em R$ 90 milhes para os empresrios que

- Itaipu para totalmente de funcionar pela 1 vez na histria.

O que pode acontecer quando

Vamos contar uma histria . . .

Gesto de Continuidade de Negcios

ESTRUTURA HIERQUICA DO PCN

Plano de Con*nuidade de Negcios

Plano de Con*nuidade de Negcios

Fase 2 Enten?mento do negcio.

Fase 3 Seleo das estratgias.

Plano de Con*nuidade de Negcios

Fase 4 Implementando e desenvolvendo a resposta de BCM

Plano de Con?nuidade Operacional.

Plano de Recuperao de Desastre.

Plano de Gerenciamento de Crises

Plano de Con*nuidade de Negcios

Fase 4 Implementando e desenvolvendo a resposta de BCM

Plano de Con?nuidade Operacional.

Entrevistas realizadas para entendimento setorial

Plano de Con*nuidade de Negcios

Fase 4 Implementando e desenvolvendo a resposta de BCM

Plano de Recuperao de Desastre.

Mapeamento de a?vos tecnolgicos

Plano de Con*nuidade de Negcios

Mapeamento dos Cenrios

Plano de gerenciamento de crise.

Plano de Con*nuidade de Negcios

Plano de Con*nuidade de Negcios

Fase 4 Implementando e desenvolvendo a resposta de BCM

Disaster Recovery Plan

Para a*ngir esses obje*vos o DRP deve atender os seguintes

O PLANEJAMENTO DO DRP DEVE PREVER AS SEGUINTES ETAPAS

Pr-planejamento das a?vidades

Avaliao da vulnerabilidade e denio das exigncias do

Avaliao de impacto no negcio

Denio detalhada das exigncias

Testes iniciais e implementao

Uma empresa sem PCN . . .

Uma empresa sem PCN . . .

Business Impact Analisys

Business Impact Analysis

Gesto de Con*nuidade de Negcios

Business Impact Analisys

BIA Entendendo o Negcio

O BIA primordial para o bom desenvolvimento e

BIA Entendendo o Negcio

1. Qualita*va, ou seja, analisando os processos de negcio

BIA Entendendo o Negcio

2. Quan*ta*va, onde os processos de negcio so analisados

BIA Entendendo o Negcio

BIA Entendendo o Negcio

Normalmente os RTOs dos processos estabelecido durante a fase de

BIA Entendendo o Negcio

O RTO deve sempre ser atribudo aos processo de negcio e nunca a

Para angir esses objevos o DRP deve atender os seguintes

2. Quantava, onde os processos de negcio so analisados

Mtricas Quantavas (R$)

Exemplo de Calculo de BIA Quantavo: