PLANO DE CONTINUIDADE DE NEGÓCIOS

Índice

O que é um Plano de Continuidade de Negócios (PCN)......................................................1

Propósito do Plano de Continuidade de Negócios (PCN)....................................................2
Conteúdo do PCN...................................................................................................................2
Recursos necessários..............................................................................................................3

O que é um Plano de Continuidade de Negócios (PCN)

O Plano de Continuidade de Negócios - PCN (do inglês Business Continuity Plan -
BCP), estabelecido pela norma ISO 22301, é o desenvolvimento preventivo de um
conjunto de estratégias e planos de ação de maneira a garantir que os serviços essenciais
sejam devidamente identificados e preservados após a ocorrência de um desastre, e até o
retorno à situação normal de funcionamento da empresa dentro do contexto do negócio
do qual faz parte.

A responsabilidade da implementação do plano de continuidade de negócios é dos

dirigentes da organização. A equipe de gestão da segurança pode auxiliar nessa tarefa,
na criação, manutenção, divulgação e coordenação do plano de contingências.

Sob o ponto de vista do PCN, o funcionamento de uma empresa deve-se a duas

variáveis:

 processos: as atividades realizadas para operar os negócios da empresa;

 componentes: todas as variáveis utilizadas para realização dos processos:
energia, telecomunicações, informática, infra-estrutura, pessoas. Todas elas
podem ser substituídas ou restauradas, de acordo com suas características.

O Plano de Continuidade de Negócios é constituído pelos seguintes planos:

 Plano de Contingência,
 Plano de Administração de Crises (PAC),
 Plano de Recuperação de Desastres (PRD) e
  Plano de Continuidade Operacional (PCO).

Todos estes planos têm como objetivo principal a formalização de ações a serem
tomadas para que, em momentos de crise, a recuperação, a continuidade e a retomada
possam ser efetivas, evitando que os processos críticos de negócio da organização sejam
afetados, o que pode acarretar em perdas financeiras.

No que diz respeito à necessidade de atualizações, o Plano de Continuidade de Negócios

deve ser revisto periodicamente, porque mudanças significativas em componentes,
atividades ou processos críticos de negócio podem fazer com que novas estratégias e
planos de ação sejam previstos, evitando assim com que eventuais desastres
desestabilizem profundamente o andamento regular do negócio da empresa.

Desastre pode ser entendido como qualquer situação que afete os processos
críticos do negócio de uma organização. Consequentemente, algumas
ocorrências podem ser caracterizadas como sendo desastres para uma
determinada empresa, mas não como tal em outra empresa.[1]

Propósito do Plano de Continuidade de Negócios

(PCN)
O propósito de um plano de continuidade de negócios, é permitir que uma organização
recupere ou mantenha suas atividades em caso de uma interrupção das operações
normais de negócios. O principal objetivo do PCN é ajudar a organização a recomeçar
as operações críticas, dentro de um prazo aceitável, após a interrupção.

Os PCN são ativados para dar suporte às atividades críticas necessárias para cumprir os
objetivos da organização. Eles podem ser executados integral ou parcialmente e em
qualquer etapa da resposta a um incidente.

O conteúdo e os componentes dos PCN variam de organização para organização e

possuem diferentes níveis de detalhe, dependendo da escala, ambiente, cultura e
complexidade técnica da organização.

Algumas organizações de grande porte podem necessitar de documentos separados para

cada uma de suas atividades críticas, enquanto as organizações menores podem ser
capazes de abordar todos os aspetos críticos em um único documento.

Conteúdo do PCN
Convém que os planos de ações incluam uma lista estruturada de tarefas em ordem de
prioridade, destacando-se:
  como o PCN é ativado;
 as pessoas responsáveis por ativar o plano de continuidade de negócios;
 o procedimento que esta pessoa deve adotar ao tomar esta decisão;
 as pessoas que devem ser consultadas antes desta decisão ser tomada;
 as pessoas que devem ser informadas quando a decisão for tomada;
 quem vai para onde e quando;
 que serviços estão disponíveis, onde e quando, incluindo como a organização
mobilizará seus recursos externos e de terceiros;
 como e quando esta informação será comunicada e
 se relevante, procedimentos detalhados para soluções manuais, recuperação dos
sistemas etc.

Os planos devem referenciar as pessoas, instalações, tecnologia, informação,

fornecimentos e partes interessadas identificados na fase de estratégia. Devem ser
incluídas premissas claras e detalhes sobre quaisquer recursos necessários para
implementar os planos. Caso a falta de um serviço ou recurso torne os objetivos desse
plano inalcançáveis, um procedimento claro deve ser definido para que o problema seja
escalado a um nível mais alto.

Recursos necessários
Convém que os recursos necessários para a continuidade e recuperação dos negócios
sejam identificados em diferentes pontos no tempo. Estes podem incluir:

 pessoas, o que pode incluir:

o segurança,
o logística de transporte,
o necessidades de bem-estar e
o gastos de emergência;
 instalações;
 tecnologia, incluindo comunicações;
 informações, o que pode incluir:
o detalhes financeiros (por exemplo, folha de pagamento),
o registos de contas de clientes,
o detalhes de fornecedores e partes interessadas,
o documentos legais (por exemplo, contratos, apólices de seguro, escrituras
etc.), e
o outros documentos de serviços (por exemplo, acordos de nível de
serviços);
 fornecimentos e
 gestão das partes interessadas e da comunicação com estas.
Além disso o plano também deve especificar:

 Responsáveis: convém que a organização identifique e designe um responsável

para gerir as fases da continuidade e da recuperação dos negócios que ocorrem
após uma interrupção de serviços. Em muitos casos, é desejável que a
organização designe os mesmos indivíduos identificados no plano de gestão de
incidentes para gerir as questões de longo prazo.
 Formulários e anexos: quando apropriado, convém que o PCN possua detalhes
de contacto atualizados das entidades pertinentes internas e externas,
organizações e fornecedores que possam ser necessários para o suporte da
organização. Convém que o plano de continuidade de negócios inclua um registo
de incidentes ou formulários para o registo de informações vitais, principalmente
como consequência de decisões tomadas durante sua execução. O plano pode
incluir também formulários para armazenar dados administrativos, como, por
exemplo, os recursos usados, material para controle de despesas, mapas,
desenhos e plantas do local e do escritório, especialmente aqueles relacionados
com instalações alternativas, tais como áreas de recuperação do local de trabalho
e de armazenagem.

ANÁLISE DE IMPACTO AOS NEGÓCIOS (BIA)

Uma Análise de Impacto aos Negócios (BIA – Business Impact Analysis) é um
processo essencial no desenvolvimento de um PCN – Plano de Continuidade
de Negócios bem estruturado, pois ajuda a definir a estratégia de recuperação
e a redução destes custos.

 Com a BIA os gestores do negócio podem entender precisamente quais são

os riscos de perda com a ocorrência de um desastre ou uma crise, a Análise de
Impacto aos Negócios foca em conhecer a perda para o negócio, para os seus
processos críticos, o tempo tolerável e o que se deve saber para traçar
estratégias de recuperação se ocorrer.

 Quando se implementa um processo para gerar um BIA o nível de

consciencialização dos colaboradores da empresa aumenta significativamente
após as entrevistas, questionários e análises tomadas em conjunto.

 O BIA é muitas vezes confundido com a Análise de Risco (AR). A AR é

associada com a determinação do potencial de perda de uma ameaça contra o
custo de medidas de proteção contra o valor de um ativo, determinando,
quanto se deve gastar de prevenção e proteção.

A análise do impacto nos negócios determina o impacto potencial de uma

interrupção para a empresa. O BIA pode abranger desde estimativas qualitativas
de alto nível até a análise detalhada de impactos tangíveis ou intangíveis na
empresa. As funções críticas da empresa são identificadas e priorizadas e o
impacto de fechá-las é estimado ao longo do tempo