Captulo

6
Estratgias de Contingncia para Servios de
Tecnologia da Informao e Comunicao
Leonardo L. Fagundes1, Fernando Karl1, Luis Baptista2 e Rafael Santos da
Rosa3

Universidade do Vale do Rio dos Sinos UNISINOS

1
{llemes, fkarl}@unisinos.br; 2luis_baptista@sicredi.com.br;
3
rsrosa@reno.unisinos.br

Abstract

The business continuity management is a process that identifies threats and their
possible impacts. This process provides an appropriate structure for the organization to
respond effectively in case of incidents. The purpose of this chapter is to present the
theoretical and practical aspects of business continuity management with focus to the
preparation disaster recovery plans.

Resumo

A gesto da continuidade de negcio um processo de gesto que identifica ameaas e

os seus possveis impactos. Este processo fornece uma estrutura adequada para que a
organizao responda efetivamente em casos de incidentes. O objetivo desse curso
apresentar os aspectos tericos e prticos da gesto da continuidade de negcio com
foco para a elaborao dos planos de recuperao de desastres.

6.1. Introduo
Segundo as normas [ABNT 2008a] e [ABNT 2008b], a Gesto de Continuidade de
Negcio (GCN) um processo abrangente de gesto que identifica ameaas potenciais
para uma organizao e os possveis impactos nas operaes de negcio, caso estas
ameaas se concretizem. Portanto, a mesma atua de forma proativa na organizao, a
fim de melhorar a resilincia da organizao contra ruptura ou interrupo de sua
capacidade de fornecer seus produtos ou servios.

249
250 Minicursos

De acordo com a [IBM Global Services 2010], a continuidade dos negcios

fundamental para o sucesso das empresas e devido grande interdependncia
tecnolgica atual dos processos de negcio, praticamente todos os aspectos da operao
esto suscetveis a falhas.
Conforme [Continuity Central 2010], para 32% das organizaes, apenas quatro
horas de tempo de inatividade podem ser fatais. Pode ser tomado, por exemplo, o
incidente envolvendo a Nokia e a Ericsson. A interrupo do processo de produo da
Ericsson, causada por falha de um fornecedor principal do seu processo produtivo,
quase a tirou do mercado mundial de celulares. A Phillips, quela poca, era a principal
fornecedora de microchips tanto para a Ericsson quanto para a Nokia, e quando ocorreu
um incndio na sua planta mexicana, houve avarias em praticamente todo o seu estoque.
Neste ponto, foi perceptvel a diferena na maturidade das estratgias das duas
empresas, quanto continuidade dos seus negcios. Enquanto a Ericsson aceitou as
estimativas otimistas da Phillips, que em poucos meses a produo estaria restabelecida,
a Nokia foi busca de outros fornecedores de microchips, inclusive alterando a
tecnologia adotada em seus telefones, assim tornando-os compatveis com os novos
chips. Quando a Ericsson percebeu que no poderia mais ficar esperando o retorno do
seu principal fornecedor, a Nokia j havia garantido a capacidade produtiva dos
principais outros fabricantes mundiais. A falta de estratgia adequada para este desastre,
aliada a falta de rapidez ao atuar sobre o mesmo, causou a Ericsson um grande prejuzo
financeiro, como tambm uma grande perda de mercado, ento assumido pela sua
concorrente, a Nokia [Husdal 2008].
Em outros casos de desastres como aquele ocorrido no World Trade Center se
observa situaes ainda mais criticas, por exemplo, a empresa Cantor Fitzgerald perdeu
com a queda de uma das torres 700 funcionrios, talento e conhecimento referente aos
seus processos, j com a queda da segunda torre essa mesma empresa perdeu todas as
suas cpias de segurana e informaes armazenadas, somente restando a esta empresa,
a falncia e a extino.
Toda a organizao est, com maior ou menor probabilidade, suscetvel a
interrupes das suas atividades crticas ocasionadas por ameaas tais como: falhas
tecnolgicas, enchentes, interrupes nos servios pblicos e atos de terrorismo. O
objetivo desse captulo apresentar a Gesto da Continuidade como um aspecto de
fundamental relevncia para que uma organizao possa responder de maneira eficiente
aos cenrios de incidentes e manter a continuidade dos servios TI considerados
crticos.
O captulo em questo est estruturado conforme a descrio a seguir:
Seo 6.2: apresenta os diversos estgios do ciclo de vida da Gesto da
Continuidade de Negcios, conforme as normas brasileiras [ABNT, 2008a] e
[ABNT, 2008b];
Seo 6.3: descreve algumas das boas prticas internacionais empregadas
para o desenvolvimento de estratgias de contingncia em tecnologia da
informao;
Seo 6.4: relata um estudo de caso, cujo objetivo propiciar a reflexo e a
aplicao dos conceitos e prticas apresentadas anteriormente no
 X Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais 251

desenvolvimento de estratgias de contingncia para os servios de

tecnologia da informao e comunicao considerando uma companhia
area fictcia;
Seo 6.5: encerra o captulo a partir de um resgate dos objetivos propostos
e da sntese dos principais aspectos apresentados ao longo do minicurso,
com destaque para as questes relacionadas aos desafios da implementao e
manuteno dos planos de recuperao de desastres.

6.2. Ciclo de Vida da Gesto de Continuidade de Negcios

Segundo Cdigo de Prtica para a Gesto de Continuidade de Negcios, NBR 15999

Parte 1, o ciclo de vida da Gesto de Continuidade de Negcios segue a estrutura
ilustrada Figura 6.1 [ABNT 2008a]:

Figura 6.1. Ciclo de Vida da Gesto da Continuidade de Negcios.

Este ciclo representa as etapas da Gesto de Continuidade de Negcios, em que

se inicia pela Gesto do Programa de GCN, onde so designadas as responsabilidades e
como ser executada a gesto continua do programa. Contempla tambm a definio e
requisitos de documentao que faro parte do programa.
Em entendendo a organizao, realizada a Anlise de Impacto nos negcios
(AIN/BIA) a identificao das atividades crticas, a determinao dos requisitos de
continuidade, a anlise de risco e definio de que aes sero tomadas quanto aos
riscos identificados.
J na etapa de determinando a estratgia de continuidade de negcios, so
escolhidas as estratgias para as pessoas, instalaes, tecnologia, informao e
suprimentos que fazem parte do processo de negcio alvo da GCN.
Na etapa de desenvolvimento e implementao de uma resposta de GCN,
estruturada a Resposta a Incidentes e so criados os planos de Gerenciamento de
Incidentes e o Plano de Continuidade de Negcios.
252 Minicursos

Em Testando, mantendo e analisando criticamente os preparativos de GCN,

ocorre a validao dos testes e anlises dos preparativos de GCN, Programa de Testes, a
manuteno do programa, a anlise crtica (auditoria interna), a Auditoria externa e o
processo de auto-avaliao.
Na ltima etapa do ciclo de vida da GCN, Incluindo a GCN na cultura da
organizao, onde so tratados os requisitos de treinamento e conscientizao no que
tange a GCN.
Antes de iniciar a descrio de cada um dos estgios do ciclo de vida
fundamental o entendimento de algumas definies adotadas pela ABNT NBR 15999-1
[ABNT 2008a]. A Figura 6.2 representa os principais intervalos de tempo considerados
na gesto da continuidade de negcios.

Figura 6.1. Representao dos tempos considerados em GCN.

Perodo mximo de interrupo tolervel (MTPD maximum tolerable

period of downtime)
Durao a partir da qual a viabilidade de uma organizao ser ameaada de
forma inevitvel, caso a entrega de produtos e servios no possa ser reiniciada.
Tempo objetivado de recuperao (RTO recovery time objective)
Tempo alvo para: (a) retomada da entrega de produtos ou servios aps um
incidente; ou (b) recuperao do desempenho de uma atividade aps um
incidente; ou ainda (c) recuperao de um sistema ou aplicao de TI aps um
incidente.
Ponto objetivado de recuperao (RPO recovery point objective)
Posio (no tempo) na qual devero estar disponveis os dados das Aplicaes
recuperadas aps a ocorrncia de um desastre. O RPO est diretamente
relacionado ao processo e freqncia de gerao de cpias de segurana
 X Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais 253

6.2.1. Gesto do Programa de GCN

A gesto do programa de GCN a estrutura principal de um processo de GCN. Na
gesto do programa que estabelecida a abordagem que a organizao ter em relao
continuidade de negcios.
Importante observar a importncia da participao da alta direo na introduo
da GCN na cultura organizacional. Na gesto do programa, objetivando atender a
Poltica de Gesto de Continuidade de Negcios, so desenvolvidas as seguintes etapas:
A atribuio de responsabilidades;
Nesta etapa, a direo da empresa necessita designar uma pessoa com a
senioridade e autoridade necessrias para ser responsvel pela poltica de GCN e
a sua implementao.
Tambm necessrio que se aponte um ou mais indivduos para implementar e
manter o programa de GCN. Assim formando a equipe de GCN da organizao.
Importante observar que na criao desta equipe, podem-se nomear
representantes de outras reas e/ou nveis de negcio para apoiar a
implementao da GCN.
A implementao da continuidade de negcios na organizao;
Na fase de implementao, importante que contemplem o planejamento, o
desenvolvimento e implementao do programa.
Durante a implementao, deve-se prever a comunicao do programa s partes
interessadas, organizar e fornecer treinamento apropriado a equipe, e realizar
testes da capacidade de Continuidade de negcios da Organizao.
Para apoiar a etapa de implementao, a organizao pode utilizar uma
metodologia de gerenciamento de projetos reconhecida para garantir uma
implementao efetiva.
A gesto contnua da continuidade de negcios.
Na etapa da gesto contnua, convm seja assegurada a incorporao da GCN na
cultura da organizao. Como tambm se prev o mantenimento dos
componentes da Continuidade de negcios, como tambm a anlise crtica e
atualizao dos planos e solues de continuidade de negcios.
Importante observar algumas atividades que impreterivelmente far parte da
gesto contnua da GCN:
A definio de escopo, papis e responsabilidades
A nomeao de uma pessoa ou equipe responsvel pela GCN
Manter o programa de GCN atualizado.
A promoo da GCN por toda a organizao
A administrao do programa de testes.
Manter atualizadas as avaliaes de risco e de impacto nos negcios
Manter atualizada a documentao do programa de GCN.
Monitorar o desempenho da capacidade de continuidade de negcios.
Gerncia sobre os custos, frente capacidade de continuidade da
organizao.
254 Minicursos

Estabelecer e monitorar o gerenciamento de mudanas e o regime de

sucesso.

A documentao da continuidade de negcios.

Convm para a manuteno da Gesto da Continuidade de Negcios, no se
limitando a esta lista, a criao e atualizao contnua da seguinte
documentao:
A poltica de GCN
A anlise de impacto nos negcios
A avaliao de riscos e ameaas
As estratgias de GCN
Programa de Conscientizao e Treinamento
Plano de gerenciamento de incidentes
Planos de continuidade e recuperao de negcios
Agenda de testes
Contratos e acordos de nveis de servio

6.2.2. Entendendo a organizao

Para a continuidade de negcios, o entendimento da organizao provido por:
Identificar os objetivos da organizao, a obrigao das partes interessadas,
deveres legais e o ambiente no qual a organizao opera.
Identificar as atividades, ativos e recursos, internos e externos, que suportam a
entrega desses produtos e servios. importante a identificao das atividades
crticas para a organizao, como tambm a sua categorizao quanto a
prioridades de recuperao. Tambm importante a determinao dos requisitos
de continuidade que cada atividade necessitar.
Avaliar o impacto e as conseqncias sobre o tempo de falhas sobre estas
atividades, ativos e recursos. Nesta etapa, importante definir o tempo mximo
de interrupo tolervel de cada atividade, o nvel mnimo no qual a atividade
deve ser desempenhada aps o seu reincio e o tempo mximo at a retomada
dos nveis normais de operao.
Identificar e avaliar as ameaas que possam interromper os produtos e servios
fundamentais e os ativos, atividades e recursos que os suportam.

Com o resultado da anlise de impactos e da anlise de riscos, cabe a

organizao decidir quais escolhas ela adotar para cada cenrio identificado. Estas
estratgias visam: ou reduzir a chance de uma interrupo, ou diminuir o tempo de uma
interrupo, ou limitem o impacto de uma interrupo em produtos ou servios na
organizao. Dentre as escolhas a serem adotadas, cabem:
Continuidade de negcios: neste caso, sero adotadas aes que visem garantir
a continuidade da atividade em caso de indisponibilidade, atendendo aos tempos
levantados na anlise de impacto;
 X Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais 255

Aceitao: um risco identificado, pode de toda forma, ser tido como aceitvel
pela organizao. Ento, por uma deciso da direo, o mesmo pode ser tido
como aceito;
Transferncia: ocorre, para alguns casos, que a melhor estratgia transferi-
los, sendo por meio de seguros ou acordos contratuais;
Mudar, suspender ou terminar: em dadas circunstancias, devido a um risco
identificado, e o beneficio adquirido com a atividade, a Direo pode decidir por
terminar a atividade.

relevante observar a importncia da aprovao da direo da relao de

atividades relacionadas, seus riscos, e as estratgias adotadas. Visando garantir que o
trabalho realizado reflete verdadeiramente a realidade da organizao.

6.2.3. Determinando a estratgia de continuidade de negcios

A seleo da estratgia de contingncia mais adequada para cada situao uma
questo complexa e que exige uma anlise detalhada que considere os requisitos
tcnicos e de negcio [Wiboonrat 2008] e [Cegiela 2006]. Convm que a abordagem da
organizao para determinar suas estratgias de GCN:
Implemente medidas apropriadas, de forma a reduzir a probabilidade de
ocorrncia de incidentes e/ou reduzir os potenciais efeitos destes incidentes;
Mantenha um registro das medidas de resilincia e mitigao;
Fornea continuidade para as atividades crticas durante e aps um incidente; e
Mantenha um registro das atividades classificadas como no crticas.

Quanto definio das opes de estratgias, convm que sejam considerados

uma srie de fatores, dentre os quais: (1) o perodo mximo de interrupo tolervel da
atividade crtica, (2) os custos de implementao de uma ou mais estratgias e (3) as
consequncias da falta de ao. Convm que sejam elaboradas estratgias de
contingncia para todos os recursos da organizao, o que inclui alm dos aspectos
tecnolgicos, as pessoas, os suprimentos, as instalaes, as informaes e as demais
partes interessadas.
Para organizaes que buscam definir, implementar ou validar suas estratgias
de gerenciamento de incidentes e gesto de continuidade de negcios um fator critico
de sucesso a interao com as autoridades responsveis por responder s emergncias.
Estas autoridades sero fundamentais para a declarao oficial de que ocorreu uma
emergncia civil, alm de fornecer:
Ajuda pr ou ps-incidente;
Procedimentos de aviso e informao; e
Acordos de recuperao comunitria aps uma emergncia civil.
256 Minicursos

6.2.4. Desenvolvimento e implementao de uma resposta de GCN

Este elemento do ciclo de vida de GCN relacionado ao desenvolvimento e
implementao dos planos apropriados e dos preparativos realizados, de forma a
garantir a continuidade das atividades crticas e o gerenciamento dos incidentes.
Durante esta fase, convm que a organizao:
Identifique suas atividades crticas
Avalie as ameaas a estas atividades crticas
Escolha estratgias apropriadas que diminuam a probabilidade e os impactos dos
incidentes; e
Escolha estratgias apropriadas que permitam a continuidade ou recuperao de
suas atividades crticas.

Quanto estrutura de resposta a incidentes, convm que a organizao defina

uma estratgia de resposta a incidentes,com uma determinada estrutura que permita,
quando da ocorrncia de um incidente:
Confirmar a natureza e extenso do incidente;
Tomar controle da situao;
Controlar o incidente;
Comunicar-se com as partes interessadas

Quanto ao contedo dos planos, convm que todos eles, sejam de gerenciamento
de incidentes, continuidade de negcios ou recuperao de negcios, sejam concisos e
acessveis queles que possuam responsabilidades definidas nesses planos. Quanto
estruturao dos planos, convm que contenham:
Objetivo e escopo;
Papis e responsabilidades definidas
Procedimentos de ativao dos planos;
Detalhes de contato;

Convm que a organizao nomeie o principal responsvel por cada plano, e

identifique e documente os responsveis pela anlise crtica, correo e atualizao dos
planos em intervalos regulares. Quanto aos tipos de planos, esses podem ser:
Plano de gerenciamento de Incidentes (PGI)
O propsito de um PGI permitir que a organizao gerencie a fase inicial
(crtica) de um incidente. Convm que o contedo do PGI contenha:
Lista de tarefas e aes
Contatos de emergncia
 X Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais 257

Atividade das pessoas

Comunicao mdia
Gesto de partes interessadas
Localizao para o gerenciamento de incidentes
Anexos relevantes (Plantas, mapas, planos de acesso ao local, etc.)

Plano de Continuidade de Negcios (PCN)

O propsito de um PCN permitir que a organizao recupere ou mantenha suas
atividades em caso de uma interrupo das operaes normais de negcio. Os PCNs so
ativados para dar suporte s atividades crticas necessrias para cumprir os objetivos da
organizao. Eles podem ser executados integral ou parcialmente e em qualquer etapa
da resposta a um incidente. Convm que o contedo do PCN contenha:
Plano de ao / Lista de tarefas
Recursos necessrios
Responsveis
Formulrios e anexos

Figura 6.2. Linha do tempo do incidente, e a relao entre a ativao dos planos de
gerenciamento de incidentes, continuidade de negcios e recuperao de negcios.
A Figura 6.3 ilustra a sequncia em que as aes (planos) so executadas aps a
ocorrncia de um incidente que compromete a continuidade de uma operao e/ou
servio crtico. importante salientar que devem existir regras bem definidas para a a
avaliao do incidente e a ativao dos planos.
258 Minicursos

6.2.5. Testando, mantendo e analisando criticamente os preparativos de

GCN
Os preparativos de continuidade de negcios e de gerenciamento de incidentes da
organizao no podem ser considerados confiveis at serem testados e apenas se
estiverem atualizados. Portanto, convm que os preparativos sejam verificados por meio
de testes, auditoria e processos de auto-avaliao, de forma a garantir que estejam
adequados. Para garantir a obteno destes objetivos, convm que:
Seja institudo um programa de testes, partindo dos testes de mesa, at testes
completos da soluo de continuidade de negcios;
Seja institudo um programa de manuteno do GCN, visando garantir que,
quaisquer mudanas, internas ou externas, que causem um impacto
organizao, sejam analisadas criticamente quanto a GCN;
A alta direo, nos intervalos que considerar apropriados, analise criticamente a
capacidade de GCN da organizao, de forma a garantir sua aplicabilidade,
adequao e funcionalidade;
A organizao providencie uma auditoria independente para avaliar a sua
competncia de GCN e a sua capacidade de identificar falhas reais e potenciais;
Um processo de auto-avaliao seja institudo objetivando garantir que a
organizao tenha competncia e capacidade de GCN slidas, eficazes e
adequadas.

A Tabela 6.1 representa os mtodos de testes aplicveis a fim de avaliar e

identificar oportunidades de melhorias das estratgias de contingncia.
 X Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais 259

Tabela 6.1. Tipos e mtodos de teste de estratgias de GCN.

6.2.6. Incluindo a GCN na cultura da organizao

Para obter sucesso, a continuidade de negcios precisa se tornar parte da gesto da
organizao, independente de seu tamanho ou setor. O desenvolvimento, promoo e
incorporao da cultura de GCN na organizao garantem que a GCN se tornar parte
dos valores bsicos e da gesto da organizao.
Convm que a organizao possua um processo para identificar e implementar
os requisitos de treinamento de GCN e para avaliar a eficcia desta implementao.

6.2.6.1 Conscientizao
Convm que a organizao crie, aumente e mantenha uma conscincia por meio da
educao permanente em GCN e de um programa de informaes para toda a equipe.
Este programa deve incluir:
Um processo de consulta junto a toda equipe sobre a implementao do
programa de GCN;
Discusso de GCN nos informativos, apresentaes, programas ou relatrios
dirios da organizao;
Incluso da GCN nas paginas pertinentes da web ou da intranet;
Aprendizado por meio de incidentes internos e externos;
260 Minicursos

GCN como um tpico nas reunies de equipe;

Testes de planos de continuidade em locais alternativos, por exemplo, um local
de recuperao; e
Visita a esses locais alternativos.

A organizao deve estender seu programa de conscientizao de GCN para seus

fornecedores e outras partes interessadas.

6.2.6.2 Treinamento
Convm que a organizao treine a equipe de GCN para tarefas como:
Gesto do programa de GCN
Execuo de uma anlise de impacto nos negcios
Desenvolvimento e implementao de PCN
Execuo de um programa de testes de PCN
Avaliao de riscos e ameaas
Comunicao com a mdia

Alm da equipe de GCN o pessoal no relacionado diretamente a GCN, mas que

tenha algum papel definido no processo de GCN tambm deve ser treinado, pois isso
pode representar o sucesso ou fracasso no momento da execuo dos planos [Wei
2009].

6.3. Boas Prticas

Essa seo apresenta um conjunto de boas prticas relacionadas com a gesto da
continuidade de negcios e de maneira mais especifica com as estratgias de
contingncia de TI, tambm denominados de planos de recuperao de desastres.

6.3.1. Disaster Recovery International Institute (DRII)

As prticas profissionais recomendadas pelo DRII Disaster Recovery International
Institute, ilustradas da Figura 6.4, para atuao em Gesto de Continuidade de negcios
so distribudas em dez aspectos [DRII 2010]:
 X Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais 261

Figura 6.4. As 10 Prticas Profissionais do Disaster Recovery Internacional Institute

(DRII)

Inicio e Gesto do Programa

So definidos os requisitos de continuidade, obtidos apoio da alta direo quanto
ao programa e definio de papis e responsabilidades.

Avaliao de riscos e controles

Nesta etapa, so identificados os riscos levantados junto s pessoas, instalaes
e tecnologias do escopo, identificao de perdas potenciais e definio de controles a
serem aplicados.

Anlise de Impacto nos Negcios (AIN / BIA)

Identificao dos impactos resultantes de interrupes de negcio, e tcnicas que
podem ser usadas para quantificar e qualificar esses impactos. Definio tambm de
tempos crticos, prioridades de recuperao e interdependncias.

Estratgias de continuidade de negcios

Apoiado pelos resultados da AIN/BIA e da anlise de riscos e controles,
recomendar estratgias de continuidade de negcios.

Preparao e Resposta a emergncia

Preparar um estado de prontido para a organizao para responder a uma
emergncia de forma coordenada e eficaz.

Planos de continuidade de negcios

Projetar, desenvolver e implementar Planos de Continuidade de Negcios.
262 Minicursos

Programas de sensibilizao e formao

Preparar um programa para criar a conscincia referente GCN.

Exerccio, auditoria e Manuteno dos Planos de Continuidade de Negcios

Estabelece o plano de exerccios e testes dos PCNs, e estabelece tambm os
procedimentos de auditoria do programa e planos de continuidade de negcios.

Comunicao de Crises
Desenvolve os planos de ao para comunicao com as partes interessadas para
garantir a clareza das informaes na comunicao das crises.

Coordenao com Agncias Externas

Estabelecer procedimentos e polticas para a coordenao e continuidade das
atividades de restaurao com agncias externas.

6.3.2. Business Continuity Institute (BCI)

A Figura 6.5 ilustra o ciclo de vida da gesto de continuidade de negcios segundo o
Business Continuity Institute [BCI 2010].

Figura 6.5. Ciclo de Vida da Gesto de Continuidade de Negcios

Gesto da Poltica e do Programa

A poltica de GCN o documento chave que define o escopo e a governana do
programa de GCN, e reflete os motivos pelos quais a GCN est sendo implementada.
Ela fornece o contexto em que os recursos solicitados sero implementados, e identifica
os princpios aos quais a organizao aspira e contra os quais seu desempenho pode ser
auditado.

Incorporando a GCN na Cultura da Organizao

A criao bem sucedida da cultura de GCN da organizao depende da sua
integrao com o planejamento estratgico da organizao, bem como o seu
alinhamento com as prioridades de negcios.
 X Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais 263

Entendendo a Organizao
Prtica profissional dentro do Ciclo de Vida da GCN que analisa a organizao
em termos de quais seus objetivos, como estrutura funcional e os obstculos do
ambiente em que opera. As informaes coletadas tornam possvel determinar a melhor
forma de preparar uma organizao para ser capaz de gerenciar as suas interrupes.

Determinando a Estratgia de Continuidade de Negcios

Prtica profissional dentro do ciclo de vida do BCM que determina quais as
estratgias que vo ao encontro da poltica de GCN e exigncias organizacionais e
seleciona respostas tcticas dentre as opes disponveis.

Desenvolvimento e Implementando uma Resposta de GCN

Essa a prtica profissional que implementa estratgias de acordo com o
processo de desenvolvimento de um conjunto de planos de continuidade de negcios.

Exercitando, mantendo e revisando a GCN

"Exercitando, mantendo e revisando a GCN" a prtica profissional no mbito
do Ciclo de Vida da GCN, que visa assegurar que a melhoria contnua alcanada
atravs das aes em curso. As atividades realizadas nesta seo sero apoiadas pela
poltica de BCM.

6.3.3. Gerenciamento dos Servios de TI

A norma denominada ISO 20000 [ABNT 2008c] descreve, entre outros aspectos, a
importncia do gerenciamento da continuidade e da disponibilidade dos servios de TI
que oferecem suporte ao negcio. Por ser focada em tecnologia, essa norma agrega
conceitos prticos refere a TI que devem ser considerados ao elaborar os planos de
recuperao de desastres, tais como:
Avaliao do acordo de nvel de servio quando da definio dos Planos de
continuidade;
A importncia de uma srie de testes dos planos, aps grandes mudanas no
ambiente de TI;
A anlise de impacto que qualquer mudana no ambiente de TI pode acarretar
na disponibilidade dos servios prestados;

A Figura 6.6 ilustra a estrutura do processo de gerenciamento dos servios de

TI. A norma em questo destaca que eventos inesperados que tenham impactado na
disponibilidade dos servios devem ser investigados, e aes adequadas devem ser
tomadas. Com isto, busca-se a excelncia operacional de servios, mantendo-os
disponveis aos clientes com a qualidade requerida.
A norma ISO 20000 ressalta que os planos de continuidade de servio, lista de
contatos e a base de dados de gerenciamento devem estar disponveis quando da
ocorrncia de uma indisponibilidade para que os planos de ao possam ser colocados
em execuo.
264 Minicursos

Figura 6.6. Processos e servios representados pela ISO 20000.

6.3.4. Cdigo de Prtica para a Gesto da Segurana da Informao

A norma denominada ABNT NBR ISO/IEC 27002, cujo objetivo estabelecer
diretrizes e princpios para iniciar, implementar, manter e melhorar a gesto da
segurana da informao em uma organizao define o seguinte objetivo de controle no
que tange a gesto da continuidade do negcio: no permitir a interrupo das
atividades do negcio e proteger os processos crticos contra defeitos de falhas ou
desastres significativos, e assegurar a sua retomada em tempo hbil, se for o caso
[ABNT 2005].
Para tal, so definidos controles para (1) incluir a segurana da informao no
processo de gesto da continuidade de negcio, (2) identificar eventos de risco que
possam causar interrupes aos processos de negcio, (3) desenvolver e implementar
planos de continuidade relativos segurana da informao, (4) garantir a consistncia
dos planos e (5) para testar e analisar criticamente os planos de continuidade do
negcio.

6.3.5. COBIT
O Control Objectives for Information and related Technology (COBIT) um conjunto
de boas prticas para o gerenciamento da tecnologia da informao criado pela
Information Systems Audit and Control Association (ISACA) e pelo IT Governance
Institute (ITGI) em 1996 [IT Governance Institute 2008a].
O COBIT est organizado em quatro domnios, sendo que conforme a Figura 6.7
um desses domnios possui objetivos de controle voltados para assegurar a continuidade
dos servios.
 X Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais 265

Figura 1.7. COBIT Controles e Objetivos em Tecnologia da Informao

A seguir a descrio de cada um dos objetivos de controle que possuem relao

com a continuidade dos servios de TI.

Estrutura de Continuidade
Desenvolver um modelo para continuidade de TI a fim de apoiar o
gerenciamento da continuidade do negcio de toda a empresa atravs de um processo
consistente orientado a estrutura organizacional quanto ao gerenciamento da
continuidade, contemplando papis, tarefas e responsabilidades dos provedores de
servio internos e externos, seus gerenciamentos, clientes e as regras e estruturas para
documentar, testar e executar planos de recuperao de desastres e continuidade de TI

Planos de Continuidade de TI
Desenvolver planos de continuidade de TI com base na estrutura e projetados
para reduzir o impacto de uma grande interrupo de funes e processos de negcio
fundamentais.

Recursos Crticos de TI
Dar ateno especial aos itens mais crticos no plano de continuidade de TI para
assegurar a capacidade de restabelecimento e definir prioridades em situaes de
recuperao. Prevenir o desvio de ateno para os itens de recuperao menos crticos e
assegurar resposta e recuperao em alinhamento com as necessidades de negcio de
maior importncia; ao mesmo tempo, assegurar que os custos sejam mantidos em um
nvel aceitvel e em conformidade com os requisitos contratuais e regulamentares.

Manuteno do Plano de Continuidade de TI

Encorajar o gerenciamento de TI a definir e executar procedimentos de controle
de mudana para assegurar que o plano de continuidade de TI seja mantido atualizado e
reflita sempre os requisitos de negcios atuais.
266 Minicursos

Teste do Plano de Continuidade de TI

Testar o plano de continuidade de TI regularmente para assegurar que os
sistemas de TI possam ser efetivamente recuperados, que desvios sejam tratados e que o
plano se mantenha relevante. Para tanto, so necessrios preparao cuidadosa,
documentao, registro dos resultados dos testes e implementao de planos de ao de
acordo com os resultados.

Treinamento do Plano de Continuidade de TI

Assegurar que todas as partes envolvidas recebam treinamento regular sobre os
procedimentos, papis e respectivas responsabilidades no caso de um incidente ou
desastre. Verificar e intensificar o treinamento de acordo com os resultados dos teste de
continuidade.

Distribuio do Plano de Continuidade

Definir e gerenciar uma estratgia de distribuio para assegurar que os planos
sejam seguramente distribudos e que estejam apropriadamente disponveis s partes
interessadas e autorizados quando e onde necessrio. Toda ateno deve ser dispensada
para tornar o plano acessvel em todos os cenrios de desastre.

Recuperao e Retomada dos Servios de TI

Planejar as aes a serem executadas nos momentos de recuperao e retomada
dos servios de TI. Isto pode incluir ativao de backup sites, iniciao de
processamento alternativo, comunicao para as partes interessadas e os clientes,
procedimentos de retorno produo etc. Assegurar que o negcio entenda o tempo de
recuperao de TI e os investimentos tecnolgicos necessrios para sustentar as
necessidades de recuperao e retorno produo.

Armazenamento de Backups em Locais Remotos

Armazenar remotamente todas as mdias de cpias de segurana crticas,
documentao e outros recursos de TI necessrios para a recuperao da TI e os planos
de continuidade de negcio. O contedo armazenado nas cpias de segurana precisa
ser determinado em colaborao entre os proprietrios dos processos de negcio e o
pessoal de TI. Assegurar a compatibilidade de hardware e software para restaurar os
dados arquivados e testar e atualizar periodicamente os dados arquivados

Reviso Ps-Retomada dos Servios

Aps a retomada bem-sucedida da funo de TI depois de um desastre, determinar se o
gerenciamento de TI tem procedimentos para avaliar a adequao do plano atual e
realizar sua atualizao, se necessrio.
Importante observar que o COBIT, alm das recomendaes alinhadas com as
demais boas prticas, apresenta recursos de governana at ento no adotadas pelas
demais. Dentre elas, podemos citar a proposta de matriz de responsabilidade (Figura
6.8) includa na verso 4.1 do COBIT.
 X Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais 267

Figura 6.8. Matriz de Responsabilidade (RACI)

Outra abordagem trazida pelo COBIT apresentao de um modelo de

maturidade, em que o processo de continuidade de servio de TI pode ser comparado e
avaliado, conforme os nveis de maturidade descritos na Tabela 6.2.

Tabela 6.2. Modelo de Maturidade para Continuidade de servios conforme o COBIT.

Nvel Descrio

No h entendimento dos riscos, vulnerabilidades e ameaas s operaes de

TI ou do impacto da perda dos servios de TI nos negcios. No considerado
Inexistente
que a continuidade dos servios deve ter ateno da Direo.

As responsabilidades pela continuidade dos servios so informais e a

autoridade para exercer essas responsabilidades limitada. O gerenciamento
est se tornando consciente dos riscos relacionados e da necessidade da
continuidade dos servios. O foco da Direo quanto continuidade dos
servios est relacionado aos recursos de infra-estrutura e no aos servios de
TI.
Inicial /Ad hoc
Os usurios implementam paliativos em resposta a interrupes nos servios.
A resposta da TI para a maioria das interrupes reativa e despreparada.
Paralisaes dos sistemas so agendadas para atender s necessidades da TI,
porm no consideram os requisitos do negcio.

A responsabilidade de assegurar a continuidade do servio estabelecida. As

abordagens para assegurar a continuidade do servio so fragmentadas.
Relatrios de disponibilidade de sistema so espordicos, podem ser
Repetvel, porm incompletos e no levam em considerao o impacto nos negcios.
Intuitivo
No existe um plano de continuidade de TI documentado, embora haja
comprometimento da continuidade da disponibilidade de servios e seus
maiores princpios sejam conhecidos.
268 Minicursos

Existe um inventrio de sistemas e componentes crticos, mas ele pode no ser

confivel. Prticas de servios contnuos esto surgindo, contudo o sucesso
depende das pessoas.

A responsabilidade solidria pelo gerenciamento da continuidade dos servios

est clara. A responsabilidade pelo planejamento e pelos testes da continuidade
dos servios claramente definida e atribuda.

O plano de continuidade de TI documentado e baseia-se na importncia do

sistema e no impacto nos negcios. H relatos peridicos dos testes de
continuidade de servios.
Processo Definido
As pessoas tomam a iniciativa de seguir padres e recebem treinamento para
lidar com a maioria dos incidentes ou desastres. A Direo comunica
consistentemente a necessidade do plano de assegurar a continuidade de
servio.

Componentes de alta disponibilidade e redundncia de sistema esto sendo

aplicados. mantido um inventrio sobre os componentes e sistemas crticos.

As responsabilidades e os padres para a continuidade dos servios so

impostos. A responsabilidade por manter o plano de continuidade de servio
atribuda.

As atividades de manuteno so baseadas nos testes de continuidade de

servio, em boas prticas internas, e na mudana do ambiente de negcio e de
TI. Dados estruturados sobre a continuidade dos servios esto sendo
coletados, analisados, relatados e gerando aes.

dado treinamento obrigatrio e formal sobre os processos de continuidade de

Gerenciado e
servio. Boas prticas de disponibilidade de sistemas esto sendo
Mensurvel
consistentemente implementadas.

As prticas de disponibilidade e planejamento de continuidade de servios

influenciam um ao outro. Os incidentes de descontinuidade so classificados e
os procedimentos de encaminhamento de cada incidente bem conhecido por
todos os envolvidos.

Objetivos e mtricas de continuidade dos servios foram desenvolvidos e

acordados, mas podem ser inconsistentemente medidos.

Processos integrados de continuidade de servios consideram a comparao

com o mercado (benchmarking) e as melhores prticas externas.

O plano de continuidade de TI integrado ao plano de continuidade de

negcio e rotineiramente mantido. A necessidade de assegurar a continuidade
de servios garantida pelos fornecedores e principais prestadores de servio.
Otimizado
Ocorrem testes formais do plano de continuidade de TI, e seus resultados so a
base da atualizao do plano. Coleta e anlise dos dados so utilizados para
melhoria contnua do processo.

O planejamento de continuidade de servio e as prticas de disponibilidade

 X Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais 269

esto completamente alinhados. A Direo assegura que um desastre ou

incidente importante no ocorrer devido a um nico ponto de falha. Prticas
de encaminhamento so entendidas e rigorosamente impostas.

Os objetivos e mtricas sobre o alcance da continuidade de servios so

mensurados de forma sistemtica. A Direo ajusta o planejamento
continuidade do servio em resposta s medies

6.3.6. Alinhamento entre Boas Prticas

As organizaes adotam diferentes modelos, padres e normas para orientar o seu
processo de gesto de segurana e de tecnologia da informao. As boas prticas
discutidas na seo anterior representam o que convm que seja implementado (COBIT
e ISO 27002) e os processos que oferecem suporte e orientao para a definio de
como pode se dar a aplicao dos objetivos de controles.

Tabela 6.3. Consolidao das boas prticas na Gesto de Continuidade de Negcios.

CobiT 4.1 ITIL V3
SD 4.5 IT service continuity
management
SD 4.5.5.1 Stage 1Initiation
DS4.1 IT continuity
framework
CSI 5.6.3 IT Service continuity
management
SD 4.5.5.2 Stage 2
Requirements and strategy
SD 4.5.5.3 Stage 3
DS4.2 IT continuity plans Implementation
SD App K The typical contents
of a recovery plan
SD 4.4.5.2 The proactive
activities of availability
DS4.3 Critical IT
management
resources
SD 4.5.5.4 Stage 4Ongoing
operation
ISO/IEC 27002:2005
6.1.6 Contact with authorities
6.1.7 Contact with special interest groups
14.1.1 Including information security in
the business continuity management
process
14.1.2 Business continuity and risk
assessment
14.1.4 Business continuity planning
framework
6.1.6 Contact with authorities
6.1.7 Contact with special interest groups
14.1.3 Developing and implementing
continuity plans including information
security
14.1.1 Including information security in
the business continuity management
process
14.1.2 Business continuity and risk
assessment

DS4.4 Maintenance of the SD 4.5.5.4 Stage 4Ongoing 14.1.5 Testing, maintaining and
IT continuity plan operation reassessing business continuity plans

SD 4.5.5.3 Stage 3
DS4.5 Testing of the IT Implementation 14.1.5 Testing, maintaining and
continuity plan SD 4.5.5.4 Stage 4Ongoing reassessing business continuity plans
operation
SD 4.5.5.3 Stage 3
DS4.6 IT continuity plan Implementation 14.1.5 Testing, maintaining and
training SD 4.5.5.4 Stage 4Ongoing reassessing business continuity plans
operation
270 Minicursos

SD 4.5.5.3 Stage 3
DS4.7 Distribution of the Implementation 14.1.5 Testing, maintaining and
IT continuity plan SD 4.5.5.4 Stage 4Ongoing reassessing business continuity plans
operation
SD 4.4.5.2 The proactive 14.1.1 Including information security in
activities of availability the business continuity management
DS4.8 IT services
management process
recovery and resumption
SD 4.5.5.4 Stage 4Ongoing 14.1.3 Maintain or restore operations and
operation ensure availability of information
SD 4.5.5.2 Stage 2
DS4.9 Offsite backup Requirements and strategy 10.5.1 Information backup
storage
SO 5.2.3 Backup and restore
SD 4.5.5.3 Stage 3
DS4.10 Post-resumption Implementation 14.1.5 Testing, maintaining and
review SD 4.5.5.4 Stage 4 Ongoing reassessing business continuity plans
operation

A Tabela 6.3 representa o mapeamento entre os objetivos de controle do

COBIT, os processos do ITIL e os controles previstos no Cdigo de Prtica para Gesto
da Segurana da Informao [IT Governance Institute 2008b]. Atravs do alinhamento
entre as boas prticas possvel realizar tanto a anlise de aderncia das prticas
implementadas em cada organizao, como aprofundar o entendimentos dos controles e
processos referentes continuidade dos servios de TI.

6.4. Estudo de Caso

O estudo de caso proposto demonstra a aplicao dos conceitos abordados nas sees
anteriores na produo de planos para companhia area Voe Sempre. As fases a serem
descritas so: (a) entendendo a organizao, (b) determinando a estratgia de
Continuidade de Negcios, (c) desenvolvendo e implementando uma resposta de GCN e
(d) testando, Mantendo e Analisando Criticamente os preparativos de GCN.
A organizao fictcia deste estudo situa-se no segmento areo tendo como
diferencial das demais sua utilizao de tecnologia da informao voltada reduo de
custos e alta confiabilidade.

6.4.1. Entendendo a organizao

A organizao conta com dois datacenters de Tier 21 conforme ANSI/TIA-942, o
primeiro de construo prpria e o segundo locado atravs de modalidade colocation
com uma empresa especializada. Alguns sistemas j possuem contingncias, porm no
existe uma anlise formal dos processos crticos para a organizao, sendo assim
tambm no sabemos se as contingncias existentes so suficientes e se os sistemas que
no tem contingncia deveriam ter.
Ento, o primeiro passo a ser executado uma anlise de impacto no negcio
atravs de um formulrio que ter como produto final os processos crticos da

1
Datacenter com componentes redundantes.
 X Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais 271

organizao, os RTOs e RPOs exigidos para os sistemas crticos e uma viso ampla
sobre MTPD e impactos financeiros.

6.4.1.1. Anlise de Impacto no Negcio

Conforme definido anteriormente a Anlise de Impacto no Negcio o processo que
envolve a anlise das funes de negcio e os efeitos que uma interrupo possa causar
nelas. Neste ponto essencial a participao de todas as reas de negcios da empresa,
pois os dados e informaes aqui coletadas traro a luz todos os requisitos de
organizao para montagem de estratgias de recuperao de desastres em tecnologia da
informao.
Ao fim desta etapa, a rea de Tecnologia da Informao poder entender quais
as premissas dever utilizar para montagem da infraestrutura, contratao de servios,
definio de acordos de nveis de servio, impacto financeiro por processo de negcio e
aplicao e, de priorizaes entre sistemas para recuperao aps desastres.
O envolvimento principal da rea de Tecnologia da Informao neste momento
fornecer uma lista de sistemas utilizados pelo negcio que seja de fcil entendimento e
compreenso pelos usurios de negcio. Neste sentido necessrio compreender que as
reas de negcio podem enxergar um conjunto de aplicaes como um sistema nico,
requerendo que a rea de Tecnologia da Informao trate este conjunto como uma
entidade inseparvel para o planejamento de planos de recuperao de desastres em
tecnologia da informao.
Para o entendimento da organizao, deve-se organizar uma anlise de impacto
do negcio, atividade na qual so realizadas entrevistas com as pessoas chaves de cada
processo de negcio visando identificar a criticidade de cada processo de negcio e sua
relao com sistemas da informao.
Um trabalho prvio deve ser realizado na anlise de impacto do negcio
buscando preparar dados iniciais requeridos durante todo trabalho:
Identificao de todos os processos de negcio;
Identificao de todos os sistemas da informao da companhia;
Estabelecer critrios para cada nvel de criticidade (alto, mdio e baixo);
Identificar as pessoas que sero entrevistadas.

Aps a identificao de todos os processos de negcio, sistemas, o

estabelecimento de critrios e identificao das pessoas que sero entrevistadas, ento
organizado uma agenda de entrevistas. No formulrio proposto para a anlise de
impacto no negcio, foram inseridas apenas as informaes relevantes para a criao de
estratgias e planos de recuperao de desastres de TI, porm cabe registrar que outras
informaes sobre o negcio que auxiliem na construo de estratgias e planos de
continuidade de operacional, planos de resposta a emergncias e planos de
gerenciamento de crises podem ser includas.
Para este estudo de caso se utilizou o formulrio da Tabela 6.4. Vale destacar
que a varivel de criticidade est vinculada diretamente com o RTO e o MTPD, que so
272 Minicursos

dependentes dos impactos legais, financeiros e de imagem em caso de indisponibilidade

do processo de negcio em questo.

Tabela 6.4. Formulrio de Anlise de Impacto do Negcio.

PROCESSO DE NEGCIO:

RTO:

RPO:

PERODO CRTICO:

MTPD:

CRITICIDADE: Alto Mdio Baixo

SISTEMAS DE
INFORMAO:

Para o desenvolvimento da anlise de impacto dos negcios, aconselha-se a

utilizar um roteiro de entrevista informal, de forma a poder entender o processo de
negcio e o entrevistado entender o significado daquela atividade. Abaixo segue o
roteiro utilizado para a companhia area em estudo:

(1) O processo de negcio em questo mais crtico em qual perodo do ms?

Por qu?
(2) Quais sistemas voc utiliza para executar as atividades deste processo de
negcio?
(3) Se o sistema no est disponvel existe alguma atividade alternativa que voc
realiza?
(4) Quanto tempo necessrio para executar esta atividade alternativa sem o
sistema estar disponvel?
(5) Os dados no sistema precisam estar sempre atualizados e disponveis para
consulta? Se os mesmos estivessem alguns dias atrasados causariam algum
problema operacional?
(6) Qual o perodo mximo de atraso dos dados aceitvel para a execuo das
atividades crticas desse processo de negcio?
(7) Na rea de Tecnologia da Informao temos um segundo Datacenter, o
mesmo prov 50% da capacidade para este processo de negcio. Logo, se
voc tiver que trabalhar usando um sistema com a metade da velocidade do
atual, quanto tempo voc conseguiria trabalhar assim?
 X Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais 273

(8) Em caso de indisponibilidade desse processo de negcio existe algum

impacto legal, tais como: multas, advertncias ou outro tipo de sano pelo
rgo regulador?
(9) Com o processo de negcio indisponvel o impacto recairia sobre os
clientes?
(10) Qual o percentual de receita direta que esse processo de negcio gera para a
organizao?
Com base nas respostas para as questes supracitadas se obtm as informaes
para o modelo representado na Tabela 6.5.

Tabela 6.5. Modelo de Informaes Gerais de um Plano de Continuidade.

PROCESSO DE NEGCIO: [Nome do Processo de Negcio]

RTO: [Resposta3 e Resposta 4]

RPO: [Resposta 5 e Resposta 6]

PERODO CRTICO: [Resposta 1]

MTPD: [Resposta 7]

CRITICIDADE: [Resposta 8, Resposta 9, Resposta 10 e uma anlise sobre o RTO

e MTPD]

SISTEMAS DE [Resposta 2]
INFORMAO:

Para a organizao deste estudo de caso, a Tabela 6.6 apresenta os resultados

obtidos atravs da anlise de impacto de negcio:

Tabela 6.6. Resultado de Anlise de Impacto do Negcio.

PROCESSO DE NEGCIO: Vendas

RTO: 1h

RPO: 0h

PERODO CRTICO: 24h durante os 7 dias da semana

MTPD: 3h

CRITICIDADE: Alto Mdio Baixo

SISTEMAS DE INFORMAO: ERP Mdulo de Vendas

ERP Mdulo de Relatrios
274 Minicursos

Telecomunicaes (WAN)
Navegao Web

PROCESSO DE NEGCIO: Check-In

RTO: 30min

RPO: 0h

PERODO CRTICO: 24h durante os 7 dias da semana

MTPD: 1h

CRITICIDADE: Alto Mdio Baixo

SISTEMAS DE INFORMAO: ERP Mdulo de Check-In

ERP Mdulo de Vendas
ERP Mdulo de Relatrios
Telecomunicaes (WAN)
Navegao Web

PROCESSO DE NEGCIO: Back Office (Administrativo, Pessoal,

Contabilidade, etc..)

RTO: 72 h

RPO: Encerramento do Ms

PERODO CRTICO: Todo 5. til de cada ms

MTPD: 3 meses

CRITICIDADE: Alto Mdio Baixo

SISTEMAS DE INFORMAO: ERP Mdulo Administrativo

Sistema de Contabilidade e Tributos
Sistema de Talentos
Telecomunicaes (LAN)
Navegao Web
E-mail

PROCESSO DE NEGCIO: Manuteno e Compras

RTO: 720h

RPO: Encerramento do Ms

PERODO CRTICO: Dias 15 e 30 de cada ms.

MTPD: 6 meses

CRITICIDADE: Alto Mdio Baixo

 X Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais 275

SISTEMAS DE INFORMAO: Sistema de Manuteno

ERP Mdulo de Compras
Telecomunicaes (LAN)
E-mail

PROCESSO DE NEGCIO: Call Center

RTO: 1h

RPO: ltima Transao Efetuada

PERODO CRTICO: 8h s 20h de segunda a sbado

MTPD: 1 dia

CRITICIDADE: Alto Mdio Baixo

SISTEMAS DE INFORMAO: Sistema de Atendimento

Telefonia
Telecomunicaes (LAN)
E-mail

Um resumo do resultado da anlise de impacto de negcio pode ser observado na

Tabela 6.7:

Tabela 6.7. Resumo do Resultado da Anlise de Impacto de Negcio.

Processo de Negcio RTO RPO MTPD Criticidade

Vendas 1h 0h 3h Alta

Call Center 1h 0h 24h Alta

Check-in 3h 24h 48h Mdia

Back Office 72h 744h 2232h Mdia

Manuteno e Compras 720h 744h 4464h Baixa

6.4.2 Determinando a estratgia de Continuidade de Negcios

Agora a organizao j conhece seus processos de negcio crticos, ou seja, com alta
criticidade e de baixo RTO. Nessa etapa o mais importante reunir a equipe de
infraestrutura de TI e pensar nas estratgias para recuperao de desastres de TI.
Cada estratgia pensada deve ser precificada, alm de observar a viabilidade
tcnica e esforo de implementao. Uma lista para avaliar o custo benefcio deve ser
entregue a alta administrao para a escolha da estratgia a ser implementada.
276 Minicursos

6.4.2.1 Tipos de Estratgias

As estratgias de recuperao de desastres sero definidas dentro de trs categorias:
Hot site: os aplicativos podem ser balanceados e trabalhar com servidores ativos
nos dois datacenters, ou seja, em caso de indisponibilidade do datacenter
principal o usurio do sistema no percebe a queda;
Warm site: os aplicativos trabalham com um dos dois datacenter estiver em
modo de espera e so necessrias algumas configuraes;
Cold site: para restaurar os aplicativos necessrio reinstalar todo o sistema,
pois no datacenter secundrio existe apenas a infraestrutura de comunicao.

A rea de Tecnologia da Informao dever analisar os resultados obtidos e

comparar com a situao atual dos seguintes aspectos:
Infraestrutura Tecnolgica:
Capacidade de o servio funcionar em dois sites simultaneamente;
Tempo para ativao da contingncia para servios que no forem ativos
nos dois datacenters;
Capacidade de atender o RPO com a estrutura de backups e replicaes;
Custo para atender os RTOs e RPOs solicitados;
Contratos com fornecedores
Validar a possibilidade de fazer atualizaes dos sistemas de forma
parcial, ou seja, por datacenter;
Realizar contratos para priorizao de entrega de insumos em momentos
de crise;
Acordos de Nvel de Servio
Verificar o tempo de atendimento em caso de indisponibilidades;
Verificar a capacidade de processamento necessria no ambiente de
contingncia;

Nesse estudo de caso, os resultados demonstraram que havia aderncia parcial

dos aspectos analisados, requerendo que acordos de nveis de servio tivessem sido
revistos para adequao, devido a escalabilidade da execuo dos processos de negcios
relacionados a vendas e check-in. Os servios obedecero s estratgias de recuperao
de desastres em TI conforme a Tabela 6.8

Tabela 6.8. Estratgias de Recuperao.

Estratgia de Custo de
Sistema Processos de Negcio
Recuperao Implantao
 X Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais 277

ERP Mdulo de Vendas Hot Site Vendas, Check-In J existe a estrutura.

ERP Mdulo de Relatrios Warm Site Vendas, Check-In J existe a estrutura.

Telecomunicaes (LAN / Hot Site Vendas, Check-In, Back

WAN) Office, Manuteno e J existe a estrutura.
Compras, Call Center

Navegao Web Hot Site Vendas, Check-In, Back

Office, Manuteno e J existe a estrutura.
Compras

ERP Mdulo de Check-In Hot Site Check-In J existe a estrutura.

ERP Mdulo Administrativo Cold Site Back Office J existe a estrutura.

Sistema de Contabilidade e Cold Site Back Office

R$ 100.000,00
Tributos

Sistema de Talentos Cold Site Back Office R$ 150.000,00

E-mail Hot Site Back Office, R$ 350.000,00

Manuteno e Compras,
Call Center

Sistema de Manuteno Cold Site Manuteno e Compras R$ 20.000,00

ERP Mdulo de Compras Cold Site Manuteno e Compras J existe a estrutura.

Sistema de Atendimento Warm Site Call Center R$ 1.000.000,00

Telefonia Warm Site Call Center J existe a estrutura.

Conforme dito anteriormente o RTO e o MTPD guiam o impacto financeiro, de

imagem ou legal gerado atravs de uma parada dos servios de TI que suportem
processos de negcios crticos, mas cabe salientar que a anlise custo/beneficio fator
determinante na escolha de uma estratgia de recuperao de desastres em TI. As
estratgias hot site e warm site, tm uma estrutura duplicada, ou seja, custos duplicados
com a infraestrutura de TI.
Alm da conotao de estrutura, h uma implicao nas tecnologias a serem
utilizadas para implementar esta estratgia. No h possibilidade de implementar uma
tecnologia de alta redundncia com uma tecnologia de software e hardware que no
suporte tal configurao. Um exemplo que pode ser estabelecido foi do sistema de e-
mail da Voe Sempre, que utilizava uma plataforma baseada no software sendmail em um
ambiente Unix que no suportava uma configurao de cluster. Logo, foi necessrio um
investimento em uma nova plataforma de e-mail corporativo baseado em Postfix com
dois servidores em cluster ativo/ativo localizados um em cada datacenter.
Deve-se salientar que no necessariamente o uso de uma estratgia de Hot Site
acarreta na necessidade de suporte da aplicao alta disponibilidade, pois se pode
278 Minicursos

considerar um perodo de ativao pequeno ainda como Hot Site. Nestes casos, sempre
se deve analisar qual a necessidade de negcio e o custo necessrio para implementao
da alta disponibilidade requerida.

6.4.3 Desenvolvendo e Implementando uma Resposta de GCN

A organizao decidiu apenas criar os planos da estrutura existente e ir avaliar para o
prximo ciclo do programa de continuidade de negcios o investimento para a
infraestrutura de telefonia.

6.4.3.1 Plano de Recuperao de Desastres em TI

Na etapa de desenvolvimento dos planos o momento em que necessrio o maior
esforo por parte das reas de Tecnologia da Informao e demais reas de negcio, pois
aqui que os planos so desenvolvidos baseados nas necessidades definidas na etapa
anterior e no ambiente corporativo.
Um plano de recuperao de desastres em TI pode ser documentado utilizando
como base o modelo 5W2H2. A Tabela 6.9 mostra o modelo utilizado para
documentao de cada passo dos procedimentos:

Tabela 6.9. Modelo para Documentao de Procedimentos.

ORDEM

O QUE: Ao a ser realizada

QUEM: Cargo do responsvel pela ao

QUANDO: Momento de execuo

COMO: Passo a passo das aes para ativao

DURAO: Tempo de durao da ao

Em virtude das constantes mudanas ao qual o ambiente de TI est sujeito,

aconselhvel documentar os procedimentos at a um nvel ttico, no incluindo
informaes de procedimentos como instalao de sistemas operacionais, bancos de
dados, etc. Estes procedimentos inclusive devem estar documentados separadamente em
outros locais como manuais e guias de sistemas da informao. Devendo a configurao
dos ambientes estar armazenada em cpias de segurana que sero restauradas no caso
da ocorrncia de incidentes. A Tabela 6.10 descreve os procedimentos definidos para o
processo de Vendas.

2
Modelo de plano de ao que define: responsabilidades, o que deve ser feito, quando, como, onde
porque e os custos e prazos.
 X Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais 279

Tabela 6.10. Registro de Procedimentos por Processo.

PLANO Vendas

RTO: 1h

RPO: 0h

CENRIO: Indisponibilidade do Data Centre Alpha

RESPONSVEL: Leonardo Silva - +55 55 555-5678

SUBSTITUTO: Rafael Alves - +55 55 555-8765

ORDEM 1

O QUE: Comunicar a indisponibilidade do Datacenter Alpha para o Gerente de TI

QUEM: Equipe de Monitoramento de TI da Voe Sempre

QUANDO: Aps a deteco da indisponibilidade do Data Center

COMO: Atravs de uma ligao telefnica, utilizando a rvore de chamadas

pr-estabelecida.

DURAO: 10 minutos

ORDEM 2

O QUE: Reunir o time de gesto de crises

QUEM: Gerente de TI

QUANDO: Aps receber a comunicao da indisponibilidade do Data Center

Alpha

COMO: Atravs de uma conferncia via telefone

DURAO: 10 minutos

ORDEM 3

O QUE: Decidir Ativar o Data Center Beta

QUEM: Time de Gesto de Crises

QUANDO: Durante a reunio via conferncia

COMO: Atravs da anlise das possibilidades

DURAO: 10min

ORDEM 3
280 Minicursos

O QUE: Ativar equipe de TI

QUEM: Equipe de Monitoramento de TI

QUANDO: Aps comunicar o gerente de TI

COMO: Atravs dos telefones celulares, contidos na rvore de chamadas

DURAO: 15 minutos

ORDEM 4

O QUE: Comunicar equipe para ativao do Datacenter Beta

QUEM: Gerente de TI

QUANDO: Aps deciso de ativar o Datacenter Beta

COMO: Atravs de uma ligao para equipe de Monitoramento de TI

DURAO: 15 minutos

ORDEM 5

O QUE: Ativar o Datacenter Beta

QUEM: Equipe de TI

QUANDO: Aps comunicao da equipe de monitoramento

COMO: Utilizando os procedimentos de ativao

DURAO: 2h

ORDEM 6

O QUE: Reunir equipe de Gesto de Crises

QUEM: Equipe de Gesto de Crises

QUANDO: Aps reunio via telefone do time de Gesto de Crises

COMO: Reunindo-se em um ponto de encontro a ser definido na reunio

DURAO: 30 minutos

ORDEM 7

O QUE: Preparar comunicados internos e externos

QUEM: Equipe de Gesto de Crises

QUANDO: Aps reunir-se

 X Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais 281

COMO: Em conjunto

DURAO: 1h

ORDEM 8

O QUE: Identificar a extenso dos danos e passos necessrios para recuperar o

Datacenter Alpha

QUEM: Equipe de Gesto de Crises

QUANDO: Aps reunio do time de Gesto de Crises

COMO: Atravs da anlise de dados obtidos de diversas reas, incluindo:

- Monitoramento de TI
- Segurana Corporativa
- Engenharia

DURAO: 45 minutos

Os servios relacionados ao ERP de vendas e check-in adotam a estratgia

denominada hot site e mesmo com a queda do datacenter Alpha continuaram em
operao. A equipe de infraestrutura foi ativada para recuperar os servios que adotam
as estratgias warm site e cold site da infraestrutura existente no datacenter Beta.

6.4.4 Testando, Mantendo e Analisando Criticamente os preparativos de GCN

A organizao passou por um incidente crtico que foi o Black-out do seu datacenter
Alpha, esse evento serviu como um teste para seus planos de recuperao de desastres
em TI.
Os processos de manuteno e de analise crtica tambm so ativados no caso do
uso dos planos por motivos de incidente, porm sem os testes peridicos nenhum outro
processo dessa etapa possvel.

6.4.4.1 Testes Peridicos

Aps implementar um plano de recuperao de desastres em TI, deve-se testar a
soluo a fim de verificar se a mesma est adequadamente implantada ou requer
melhorias a fim de atingir as necessidades do negcio. Para isto, a organizao definiu:

Planos de Sistemas Crticos - devem ser testados anualmente via simulao real
com uma reviso a cada seis meses via teste de mesa
Testes de rvore de Chamadas devem ser realizados sem aviso prvio.

Para os testes de mesa essencial a definio dos papis e responsabilidades,

conforme a Tabela 6.11.
282 Minicursos

Tabela 6.11. Papis e Responsabilidades.

Pessoa/Cargo Papel no Teste

Gestor de Continuidade de Negcio Coordenador
Gestor da rea de Tecnologia da Informao Participante / Patrocinador
Dono do plano de continuidade de negcios Responsvel
Usurios da rea de negcio Participantes
Observadores Observadores

Os observadores so pessoas elencadas pelo Gestor de Continuidade de

Negcios para estarem atentos durante o andamento dos testes, j que cabe ao gestor
coordenar todas as atividades e desenvolver novas situaes durante a leitura dos planos.
Na definio do escopo do teste essencial avaliar os seguintes aspectos:

Escopo e a maturidade dos participantes e do plano

Tempo e oramento requerido
Definir objetivos e indicadores a serem medidos durante o teste
O cenrio e durao do teste de maneira a atingir seus objetivos
Entendimento de todos envolvidos dos planos
Encaminhar a todos participantes os objetivos e limitaes do teste

A Tabela 6.12 apresenta um registro de teste de mesa executado na organizao Voe

Sempre.

Tabela 6.12. Registro de Teste

Informao Inicial
Data: 23/08/2008
Hora de Incio: 22 h
Localizao: Unidade So Sebastio
Patrocinador: Joo Humberto Gonzaga
Responsvel: Luis Garcia
Coordenador: Manoel Elias
Processos de Negcio: Vendas
Sistemas Envolvidos: ERP Mdulo de Vendas
Cenrio: Cenrio 3 Falha de comunicao com a base de dados
RTO: 1h
RPO: 0h
- Os demais sistemas devem continuar ativos
- O teste ocorrer com participao via telefone para contato com
Pressupostos:
tcnicos
- A sincronia dever indisponibilizar somente a base de dados
 X Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais 283

central para rea de vendas

Neste caso, o cenrio a ser testado apresenta uma falha de sincronia entre bases
de dados e, como se pode ver nos pressupostos, o teste ocorrer somente com a rea de
Vendas, principal usuria deste sistema. Ou seja, no necessrio envolver todas as
reas que acessam determinado sistema se o mesmo ser testado, mas sim as reas que
dependem essencialmente deste sistema ou processo de negcio.
O teste de mesa executado percorrendo os procedimentos vigentes do plano de
continuidade em conjunto com as pessoas que constam como participantes no mesmo.
Cabe ao coordenador da atividade, o Gestor de Continuidade de Negcios, conduzir o
andamento passo-a-passo, cabendo ento aos observadores da atividade identificar: se o
passo passvel de ser executado, se no so necessrios passos adicionais ou se
existem oportunidades para racionalizar o plano. Um relatrio final de um teste de mesa
aplicado a uma aplicao deve obter como resultado:

Tempo requerido para restaurar a aplicao

Problemas encontrados
Aderncia ao plano documentado
Lies aprendidas
Plano de ao para resoluo dos problemas

A Tabela 6.13 rene os resultados obtidos aps a realizao do teste descrito

anteriormente.

Tabela 6.13. Resultado de um Teste de Mesa.

Resultados

Resultado Geral: Completado com falhas.

Durante a execuo do passo 3, houve a necessidade de comunicao de
Aderncia ao plano:
mais uma pessoa
Tempo: 01:15:20
Demonstrou-se que o plano no prev situaes como horrio de
almoo e de sada, onde pode ocorrer que as pessoas estejam em locais
Problemas:
sem acesso a telefone, Internet ou que requeiram mais de 30 minutos de
deslocamento.
O tempo requerido para o passo 7, que deveria ser de 15 minutos, tomou
Lies Aprendidas: cerca de 20 minutos devido indisponibilidade do contato principal.
Logo, indicou-se um terceiro substituto que deve constar no plano.

No caso acima, pode-se notar que h uma falha no tempo estimado do plano e
que o mesmo pode falhar no caso de uma situao real ocorrer em horrios especficos.
Ento ser necessrio rever todo o plano para adequao do mesmo aos requisitos do
negcio.
284 Minicursos

6.5. Concluso
A proteo dos ativos e a continuidade do negcio so alguns dos principais objetivos
da segurana da informao. Para garantir a continuidade das operaes mesmo
mediante cenrios de desastres fundamental que as organizaes, independente do
segmento e/ou porte, coloquem em prtica um programa de gesto da continuidade de
negcio.
Esse programa, conforme discutido na seo 6.2, composto por planos que tm
como objetivo: gerenciar incidentes, garantir o estado de contingncia e a recuperao
da organizao. Nesse captulo foram apresentados conceitos, prticas e um estudo de
caso com foco na elaborao das estratgicas de contingncia para os recursos de
tecnologia da informao, normalmente denominado de plano de recuperao de
desastres.
A elaborao de planos de recuperao de desastres precisa ser cuidadosamente
planejada, definida e testada para assegurar que: (a) as estratgias de contingncia
escolhidas esto de acordo com o nvel de servio vigente e (b) que as pessoas estejam
devidamente capacitadas e cientes sobre como proceder mediante eventos que
comprometam a continuidade dos servios de TI.
O processo de construo desses planos compreende um conjunto coordenado
de atividades interdependentes que inicia com o entendimento das necessidades da
organizao. Nessa etapa necessrio obter informaes que permitam definir a
priorizao dos produtos e servios da organizao e a urgncia das atividades que so
necessrias para fornec-los. Isso estabelece os requisitos que iro definir a seleo das
estratgias de GCN apropriadas.
A definio da estratgia de continuidade permite que uma srie de estratgias
seja avaliada a fim de que uma resposta apropriada seja escolhida de modo que a
organizao possa continuar fornecendo esses produtos e servios em um nvel de
operaes aceitvel pelo tempo necessrio. Essas escolhas levaro em considerao
muitas variveis, entre elas a resilincia e as opes de contramedidas j presentes na
organizao.
Em seguida, chegado o momento de desenvolver e aplicar uma resposta de
gesto de continuidade de negcios para cada produto e/ou servio critico. No caso
especifico dos ativos de TI, conforme apresentado na seo 6.3, existe um conjunto de
boas prticas amplamente divulgadas e que servem de apoio no momento do
desenvolvimento das estratgias de contingncia. Essa resposta deve ser regularmente
testada, revista e auditada para que a organizao esteja ciente a que ponto as suas
estratgias e planos esto completos, atualizados.
Ao longo do desenvolvimento das atividades dos autores como profissionais da
rea de gesto de continuidade de negcio e das pesquisas realizadas para elaborao
deste captulo foram identificados os seguintes aspectos que podem vir a fomentar
questes de pesquisa: (a) a grande parte das ferramentas de apoio e suporte ao processo
de GCN realizam apenas a gesto da documentao, (b) inexistncia de sistema
especialista que possa contribuir para definio / estimativa de grandezas como RPO,
RTO e MTPD e (c) da mesma forma no foram identificados muitos trabalhos
cientficos focados no desenvolvimento de ambientes para simulao das estratgias de
 X Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais 285

contingncia como, por exemplo, no trabalho proposto em [Bartolini, Stefanelli and

Tortonesi 2009] e [Tjoa and Jakoubi 2008].

Referncias
[ABNT 2005] ABNT (2005). Tecnologia da Informao Tcnicas de Segurana -
Cdigo de Prtica para a Gesto da Segurana da Informao. ABNT NBR ISO/IEC
27002:2005.
[ABNT 2008a] ABNT (2008). Gesto de Continuidade de Negcios Parte 1: Cdigo de
Prtica. ABNT NBR 15991-1:2008.
[ABNT 2008b] ABNT (2008). Gesto de Continuidade de Negcios Parte 2: Requisitos.
ABNT NBR 15991-2:2008.
[ABNT 2008c] ABNT (2008). Gerenciamento de Servios de TI Parte 1: Especificao.
ABNT NBR ISO/IEC 2000-1:2008.
[Bartolini, Stefanelli and Tortonesi 2009] Bartolini, C., Stefanelli, C., Tortonesi, M.
(2009). Business-impact analysis and simulation of critical incidents in IT service
management. University of Ferrara, Ferrara, Italy.
[BCI 2010] BCI (2010). The Business Continuity Institute Good Practice Guidelines.
Disponvel em: http://www.thebcicertificate.org/bci_gpgdownload.html. Acessado
em 21 de mar. de 2010.
[Cegiela 2006] Cegiela, R. (2006). Selecting Technology for Disaster Recovery.
Warsaw University of Technology, Institute of Control and Computation
Engineering, Warsaw, Poland.
[Continuity Central 2006] Continuity Central (2006). Business Continuity Unwrapped,
Disponvel em: http://www.continuitycentral.com/feature0358.htm (em ingls),
acessado em 21 de mar. de 2010.
[DRII 2010] DRII (2010). Disaster Recovery International Institute: Professional
Practices. Disponvel em: https://www.drii.org/docs/profprac_details.pdf. Acessado
em 21 de mar. de 2010.
[Husdal 2008]. Husdal (2008). Ericsson versus Nokia the now classic case of supply
chain disruption. Disponvel em: http://www.husdal.com/2008/10/18/ericsson-
versus-nokia-the-now-classic-case-of-supply-chain-disruption/print/. Acessado em
21 de mar. de 2010.
[IBM Global Services 2007]. IBM Global Services (2007). Continuidade de negcios e
resilincia Disponvel em: http://www.ibm.com/br/services/bcr/. Acessado em 21
de mar. de 2010.
[IT Governance Institute 2008a]. IT Governance Institute (2008). IT Governance
Institute (2007). COBIT - Control Objectives for Information and related
Technology. Disponvel em http://www.isaca.org/Knowledge-
Center/COBIT/Pages/Overview.aspx. Acessado em 20/06/2010.
[IT Governance Institute 2008b]. IT Governance Institute (2008). Aligning CobiT 4.1,
ITIL V3 and ISO/IEC 27002 for Business Benefit. Disponvel em
http://www.isaca.org/knowledge-
286 Minicursos

center/Research/ResearchDeliverables/Pages/Aligning-COBIT-4-1-ITIL-V3-and-
ISO-IEC-27002-for-BusinessBenefit.aspx. Acessado em 20/08/2010.
[Tjoa and Jakoubi 2008] Tjoa, S., Jakoubi, S. (2008). Enhancing Business Impact
Analysis and Risk Assessment applying a Risk-Aware Business Process Modeling
and Simulation Methodology. The Third International Conference on Availability,
Reliability and Security, EUA.
[Wei 2009] Wei, N.Z.W. (2009). The strategic skills of business continuity managers:
Putting business continuity management into corporate long-term planning. Journal
of Business Continuity & Emergency Planning Vol. 4 No. 1, pp. 6268. United
Kingdom.
[Wiboonrat 2008] Wiboonrat, M. (2008). An Empirical IT Contingency Planning Model
for Disaster Recovery Strategy Selection. Graduate School of Information
Technology, Assumption University. Bangkok, Thailand.