Plano de Continuidade

de Negócio - PCN
Plano de Continuidade de Negócio

 Objetivo do Plano de Continuidade de Negócio (PCN)

Assegurar a continuidade das operações da organização na eventualidade de uma
indisponibilidade prolongada dos recursos que dão suporte à realização dessas operações
(equipamentos, sistemas de informação, instalações, pessoal e informações).

 Sobre a Gestão de Continuidade de Negócio (GCN)

A GCN estabelece uma estrutura estratégica e operacional adequada para:
 Melhorar proativamente a resiliência da organização, mitigando os riscos de
interrupções e diminuindo o tempo de resposta a possíveis incidentes;
 Recuperar a operacionalização por meio de um método sistemático para retorno em
um tempo aceitável dos serviços críticos após um incidente; e
 Obter capacidade de gerenciar uma interrupção no negócio de forma a evitar impactos
para o mercado, protegendo a reputação da organização.
 Ciclo de vida da GCN
 Fixar GCN na cultura organizacional  Levantamento de novos processos
(lições aprendidas)
 Acompanhamento de  Identificação de Ativos e Recursos
mudanças em TI
 Alinhamento com  Novos incidentes
políticas e procedimentos
Pessoas  Identificação e avaliação
 Exercícios, simulações e de ameaças
testes (treinamento)

Processos Metodologia
 Definição de resposta  Análise de Estratégia
a incidentes de TI de Recuperação

 Elaboração de Planos  Análise de Riscos

 Plano de ação para mitigar riscos físicos  Análise de Impacto no Negócio - BIA

 Plano de ação para mitigar riscos nos ativos de TI  Relatório de Inspeção Física - RIF
A importância de um PCN
 Toda atividade de negócio está sujeita a interrupções; ter um PCN fornece a capacidade de
reagir adequadamente às interrupções operacionais enquanto preserva a vida e protege o
bem estar e a segurança.
Ameaças
Falhas Terrorismo / Catástrofes
Pandemias Incêndio Fraudes
sistêmicas Sabotagem Naturais

Danos para a organização Stakeholders impactados

 Perda de pessoal  Interrupção no  Governo  Mercado

 Danos na infraestrutura fornecimento de itens  Leis, normas e  Agentes
 Perda de ativos primários (água, energia, regulamentos
 Perda de reputação comunicação)  ANEEL

Afetar o cumprimento dos objetivos estratégicos da CCEE

Diferença entre Crise e Contingência

CRISE é o momento em que ocorre qualquer incidente que

comprometa a operação normal da empresa

CONTINGÊNCIA é o momento em que há a mobilização de recursos

para responder ao evento e garantir a continuidade das atividades
críticas durante este evento

 A principal diferença entre um e o outro é que na contingência já ocorreu

uma tomada de decisão de acionamento de algum plano.
Níveis de Ruptura - Tipologia

Recursos de Tecnologia Instalações Físicas

Duração do Evento de Ruptura

I - Leve II - Moderado III - Alto IV - Severo
Evento de ruptura Evento de ruptura
Evento de ruptura Evento de ruptura
que considera a que considera a
que afeta que considera a
indisponibilidade de indisponibilidade
parcialmente os indisponibilidade
acesso às acesso às
recursos de parcial das
informações informações
tecnologia e não instalações físicas e
armazenadas nos armazenadas nos
afeta as operações não afeta as
sistemas da CCEE por sistemas da CCEE por
da CCEE operações da CCEE
até 5 dias úteis mais de 5 dias úteis
Atuando em Contingência

Incidente
Procedimento Procedimento
Operacional Procedimento Operacional em Contingência Operacional
Normal Normalizado

Pré-Crise Durante a crise... ...Recuperação Pós-Crise

Linha do
Tempo

 Caso um incidente provoque a parada dos processos

de negócio da CCEE, é necessário realizar atividades
que recuperem as principais informações em um
ambiente de contingência para manter os prazos de
entregas dos serviços e produtos.
 No caso da CCEE, garantir a Contabilização e
Liquidação do mercado.
Atuando em Contingência

O sucesso de um programa de
Continuidade de Negócio
depende principalmente de
Pessoas
Uso dos Planos
 Durante a resposta de um evento de  Após ativação, os contatos críticos de cada
crise, o Líder /Sub-Líder do Comitê de área serão informados para acionar os seus
Crises vão analisar a situação e decidir respectivos planos.
sobre a necessidade de ativar a
Contingência.

Os planos estão estruturados de forma a conter as

informações necessárias para que as pessoas-chave
possam dar continuidade às operações críticas da
organização em caso de contingência.
Roadmap de evolução do PCN da CCEE

Benchmarking
Adoção e estudo para
/manutenção Certificação
Capacitação de de solução de
Pessoas-chave Disaster
(simulações) Recovery
Acesso Remoto e
implementação
de site
alternativo
Grupo de Estudo
(comitê), BIA e
Planos

Estruturação (2012-2013) Consolidação (2014-2015) Evolução (2016-1017)

Contatos

Obrigado!
Jefferson Souza
Gerente de Segurança da Informação & Gestão de Risco
e-mail: jefferson.souza@ccee.org.br

Martin Gomes
Gerente Executivo de Compliance & Gestão de Risco
e-mail: martin.gomes@ccee.org.br