Gestão de Risco e Planejamento de Continuidade de Negócios

1. Introdução
A Gestão de risco desempenha um papel crucial na proteção do acervo de informações da
organização na era digital tendo em vista que as mesmas dependem cada vez mais de sistemas de
tecnologia da informação automatizados para processar suas informações e oferecer melhor suporte à sua
missão. O planejamento da continuidade de negócios está intimamente ligado à gestão de riscos. Ele é
usado para neutralizar as interrupções das atividades de negócio e proteger os processos críticos dos
efeitos de grandes falhas ou desastres. A Gestão de risco e o planejamento da continuidade de negócios
tornaram-se componentes críticos de operações que mantêm as empresas funcionando.1

2. O que é Gestão de Risco?

A Gestão de riscos é um processo de identificação, avaliação de riscos, e de tomada de medidas para
reduzir o risco a um nível aceitável. A Gestão de risco engloba três processos de avaliação de riscos,
mitigação de risco e de avaliação e pesquisa. A gestão de riscos permite que gerentes de TI equilibrem os
custos operacionais e econômicos das medidas de proteção e obtenham ganhos de capacidade de
missão, protegendo os sistemas de TI e os dados que servem de apoio às missões da organização.

O principal objetivo da gestão de riscos é permitir que a organização realize suas missões visando
uma melhor segurança dos sistemas de TI que armazenam, processam ou transmitem informações
organizacionais. Evidências do processo de gestão de risco podem ajudar os gestores a tomar decisões
de gestão de riscos bem informadas, justificar os gastos de um orçamento de TI, e autorizar sistemas de
TI eficazes. Uma metodologia de gerenciamento de risco bem estruturada pode ajudar a administração a
identificar controles apropriados para fornecer capacidades de segurança essenciais a uma missão.

Bens de informações de uma organização enfrentam diversos riscos no ambiente de negócios atual. É
impossível proteger os bens da organização, se o risco não estiver claramente identificado. No entanto, é
necessário esclarecer que risco significa num contexto particular. O risco é a possibilidade de ocorrência
de um ato ou fato que possa prejudicar ou trazer prejuízo para a organização e seus bens de informações.
Riscos neste sentido referem-se aos riscos associados a um evento potencialmente danoso que ocorre na
ausência de controles específicos, que, de outra forma, impediriam o dano. O risco é o impacto negativo
de uma ameaça, pois pode explorar as vulnerabilidades dos bens de uma organização e causar perda ou
dano a esses bens. Geralmente, o risco é expresso por uma fórmula matemática:
 Risco = ameaças x vulnerabilidades x valor dos bens.

De acordo com essa fórmula, o risco é uma função da probabilidade de uma determinada ameaça
explorar uma vulnerabilidade particular potencial, e o impacto resultante desse evento adverso sobre os
bens da organização. Existem quatro tipos de riscos empresariais, que são definidos como:

 Risco financeiro. A maioria dos sistemas de informação potencialmente possuem algum

efeito sobre o desempenho financeiro da organização, e danos a estes, teriam um efeito
financeiro negativo, assim, o nível e potencial impacto de tais danos precisam ser
considerados.

 Risco estratégico. Sistemas de informação podem ter efeito estratégico direto sobre a
organização.

 Risco operacional. O risco operacional é mais comum do que qualquer um dos outros
fatores de risco de negócios, pois a maioria dos sistemas de informação são projetados para
afetar a forma e a eficácia da organização, uma vez que conduz sua atividade diária.

 Conformidade jurídica. Sistemas de informação podem ter um efeito direto sobre a forma
como a organização está em conformidade com as obrigações estatutárias.

Uma ameaça é o potencial para uma determinada fonte de ameaça explorar com sucesso a
vulnerabilidade particular. Uma fonte de ameaça pode explorar a vulnerabilidade intencionalmente ou pode
acionar acidentalmente a vulnerabilidade. A vulnerabilidade é uma falha ou fraqueza que pode ser
acionada acidentalmente ou explorada intencionalmente, para resultar em uma violação de segurança ou
uma violação da política de segurança. Uma fonte de ameaça não apresenta um risco, a menos que a
vulnerabilidade seja exercida. Para determinar a probabilidade de uma ameaça, deve-se considerar fontes
de ameaça, a vulnerabilidade potencial e controles existentes.

Pelo mapeamento da vulnerabilidade a ameaças, e identificando o potencial impacto das ameaças

sobre os bens, a interação entre os diferentes fatores torna-se clara; esta interação é um dos conceitos
fundamentais da avaliação de risco. Pode ser observado que diferentes graus de vulnerabilidade permitem
ameaças a ocorrer com uma maior ou menor frequência ou impacto. Quanto maior a vulnerabilidade,
maior o risco de perda como resultado de uma ameaça.

3. Avaliação de Risco
O termo gestão de riscos caracteriza um processo global que é contínuo e de complexidade
crescente. A primeira fase é a avaliação de risco. Esta fase inclui a identificação de riscos, medidas para
redução de riscos e o impacto orçamental da implementação de decisões relacionadas à aceitação,
anulação ou transferência do risco. A segunda fase da gestão de risco inclui o processo de atribuição de
prioridade, orçamentos, implementação e manutenção de medidas de redução de risco adequadas.

Na era da informação, a segurança da informação torna-se efetivamente uma tarefa infinita de catch-
up conforme a tecnologia de armazenamento de informação, processamento, transferência e acesso
continua a desenvolver-se rapidamente. É essencial que o processo de análise e avaliação de risco sejam
bem compreendidos por todas as partes e executados em tempo hábil. Os riscos potencialmente
associados à informação e tecnologia da informação devem ser identificados e geridos de uma forma
rentável.

A análise de risco é o processo de análise de um ambiente alvo e identificação das relações entre
seus atributos relacionados a riscos. A análise deve identificar ameaças e vulnerabilidades, incluindo a
vulnerabilidade dos bens relacionados e associados. Ela deve identificar o potencial e a natureza de um
efeito ou resultado indesejável, e identificar e avaliar contramedidas de redução de risco.

A análise de risco continua a ser a espinha dorsal da boa gestão de segurança, pois os gerentes
precisam de um meio para compreender a segurança e os riscos a que suas organizações estão expostas.
A análise de riscos fornece a justificativa para o meio de comunicação e pode agir como tal, dentro da
organização.

O termo avaliação de risco refere-se à atribuição de um valor aos bens, à frequência de ameaças, às
consequências de um evento potencialmente prejudicial, e para quaisquer outros elementos casuais. Os
resultados da análise de risco podem ser usados em uma avaliação ou medição de risco. Assim, o termo
avaliação dos riscos é usado para caracterizar o processo e o resultado da análise e avaliação do risco.

A avaliação de risco é, portanto, uma consideração sistemática de:

 Probabilidade de dano ao negócio que resulta de uma falha de segurança, levando em

consideração as potenciais consequências de uma perda de confidencialidade, integridade,
ou disponibilidade de informações e outros bens.

 A probabilidade realista de uma falha que ocorre mediante ameaças e vulnerabilidades

prevalecentes, e os controles atualmente implementados.

O resultado desta avaliação pode ser usado para orientar e determinar a gestão adequada da ação e
prioridades para o gerenciamento de riscos de segurança de informações para implementação de
controles que tenham sido selecionados para proteção de tais riscos.

4. Abordagens Quantitativas versus Qualitativas

Existem duas abordagens fundamentalmente diferentes para a avaliação de risco; quantitativas e
qualitativas. Elas diferem na natureza dos indicadores que utilizam.

1. A abordagem quantitativa emprega dois elementos fundamentais: a probabilidade de

ocorrência de um evento e a provável perda, caso ocorra.

2. A abordagem quantitativa procura descrever o risco do ponto de vista puramente matemático;

a fixação de um valor numérico para cada risco, e usar isso como uma diretriz para as
decisões de gestão dos riscos.

A principal vantagem de uma abordagem quantitativa é que esta fornece uma medida da magnitude
do impacto, que pode ser usada na análise de controles de custo-benefício recomendada. A desvantagem
é que o significado da abordagem quantitativa pode não ser claro, dependendo dos intervalos numéricos
utilizados para expressar a medição. Os resultados podem precisar ser interpretados de uma forma
qualitativa. Os prós e contras associados à abordagem quantitativa estão listados abaixo.

4.1 Prós Quantitativos

  A avaliação e resultados suportam uma análise estatística significativa que se baseia em
processos objetivos substanciais independentes e indicadores.

 O valor da confidencialidade, integridade e disponibilidade da informação são expressos em

termos monetários, com apoio racional. Isto faz com que seja mais fácil compreender a perda
esperada.

 Informações de segurança de tomada de decisão orçamentária são apoiadas por uma base
confiável de custo/benefício das medidas de atenuação de risco.

 O desempenho da gestão de risco pode ser facilmente monitorado e avaliado.

 O risco é melhor compreendido e os resultados da avaliação de risco são procedentes e

apresentados de uma maneira compreensível; o valor monetário, percentagens, e
probabilidade são mensurados anualmente

4.2 Contras Quantitativos

 Os cálculos são complexos. Sem explicações eficazes os gestores podem não ser
compreendidos e os resultados dos cálculos mal interpretados.

 Uma ferramenta automatizada reconhecida e a base de conhecimento associadas são

necessárias para executar uma avaliação quantitativa dos riscos. Esforços manuais também
são necessários.

 Uma quantidade substancial de informações sobre as informações alvo e seu ambiente de TI

deve ser recolhida.

 Pesquisa sobre população e frequência da ameaça deve ser realizada através do esforço dos
usuários quando não há base de conhecimento relevante.

Os problemas com este tipo de avaliação de risco são normalmente associados à insegurança e
imprecisão dos dados. A probabilidade raramente pode ser precisa, e pode, em alguns casos, promover a
complacência. Além disso, controles e medidas defensivas, muitas vezes enfrentam uma série de eventos
em potencial, e os eventos em si são frequentemente inter-relacionados. Não obstante as dificuldades,
uma série de organizações adotaram com sucesso a abordagem quantitativa.

Tem sido afirmado por muitos especialistas que uma abordagem puramente quantitativa não é
possível ou prática, devido à dificuldade na aferição de um valor numérico para amplos impactos de um
incidente. Por conseguinte, uma abordagem qualitativa também pode ser necessária.

A avaliação qualitativa dos riscos é o processo de avaliação de risco com base na análise de
diferentes cenários que exploram o impacto potencial e possível de vários incidentes e ameaças. Na
abordagem qualitativa, uma série de breves cenários de incidentes potenciais é delineada. Os cenários
são desenvolvidos ou pesquisados para examinar quais as áreas da corporação que seriam afetadas e a
provável extensão do dano apresentado no qual esse cenário nunca ocorreria.

A abordagem qualitativa é, de longe, a abordagem mais amplamente utilizada. Dados de

probabilidade não são necessários e só a perda estimada potencial é utilizada. Metodologias de avaliação
mais qualitativas de riscos fazem uso de uma série de elementos inter-relacionados: ameaças,
vulnerabilidades e bens. A principal vantagem da abordagem qualitativa é que ela prioriza os riscos e
identifica as áreas que necessitam de melhorias imediatas para solucionar uma vulnerabilidade. A
desvantagem da avaliação qualitativa é que ela não fornece medições específicas quantificáveis da
magnitude do impacto de um incidente, portanto, dificulta uma análise de custo-benefício de qualquer
controle recomendado.

4.3 Prós qualitativos

 Os cálculos são simples, facilmente compreendidos e executados.

 Não há necessidade de se determinar o valor monetário de confidencialidade, integridade e

disponibilidade de informações.

 Não é necessário determinar a frequência de ameaça quantitativa e impacto sobre os dados.

 Não há necessidade de estimar o custo das medidas de mitigação de risco recomendadas e

calcular o custo/benefício.

 Aborda uma indicação geral de áreas significativas de risco.

4.4 Contras Qualitativos

 A avaliação de riscos e resultados são essencialmente subjetivos no processo e aferições.

Aferições independentemente objetivas não são utilizadas.

 A percepção do valor dos bens de informação dirigidos não é desenvolvida em uma base
objetiva monetária, e pode não refletir o valor real em risco.

 Nenhuma base é fornecida para análise de custo/benefício das medidas de mitigação de

risco, apenas a indicação subjetiva de um problema.

 Não é possível acompanhar o desempenho de gestão de risco objetivamente, pois todas as

medidas são subjetivas.

No entanto, não é possível realizar uma avaliação dos riscos puramente qualitativa. Quantitativas e
qualitativas indicam a categorização binária de métricas de risco e técnicas de informação de gestão de
risco. Na realidade, existe um espectro entre essas abordagens e são praticamente sempre aplicadas em
combinação. Isso pressupõe, naturalmente, um nível elevado de entendimento e conhecimento sobre os
processos de uma empresa e os riscos potenciais.

5. Mitigação de Riscos
Mitigação de riscos é o segundo processo da gestão de riscos. Trata-se de priorizar, avaliar e
implementar controles de redução de risco apropriados, recomendados a partir do processo de avaliação
de risco.

Geralmente para um negócio, controlar o risco a um nível administrável é a opção mais rentável. A
gestão do risco é o caminho atualmente favorecido pela maioria das organizações, pois a eliminação de
todos os riscos é geralmente impraticável ou quase impossível. A responsabilidade da gestão é usar a
abordagem mais eficaz e implementar os controles mais adequados para diminuir o risco a um nível
aceitável, com um impacto negativo mínimo sobre os recursos da organização e missão.

Mitigação de risco é uma metodologia sistemática utilizada pela alta administração para reduzir o
risco da missão. Ela pode ser alcançada através de qualquer uma das seguintes opções:

 Aceitação de riscos. Aceitar o risco potencial e continuar a operar o sistema de informação,

ou a implementação de controles para reduzir o risco a um nível aceitável.

 Prevenção de riscos. Evitar o risco, eliminando o caso de risco e/ou consequência (por
exemplo, abrir mão de certas funções do sistema ou desligar o sistema quando os riscos são
identificados).

 Limitação de riscos. Limitar o risco através da implementação de controles que minimizem o

impacto negativo da vulnerabilidade que exerça uma ameaça (por exemplo, utilização de
apoio, controles de prevenção, investigação).

 Planejamento de riscos. Gerenciar o risco através do desenvolvimento de um plano de

mitigação de risco, que priorize, implemente e mantenha controles.

 Pesquisa e reconhecimento. Reduzir o risco de perda, reconhecendo a vulnerabilidade, ou

falha, e pesquisar controles para corrigir a vulnerabilidade.

 Transferência de Risco. Transferir o risco usando outras opções para compensar a perda
(por exemplo, seguro de compra).

Os gerentes têm um forte interesse na identificação e aplicação de proteções que podem ser
esperados para mitigar a vulnerabilidade. Consequentemente, deve ser dada prioridade para identificação
de pares de ameaça e vulnerabilidade que têm o potencial de causar impacto significativo ou dano na
missão. É importante selecionar garantias apropriadas para cada vulnerabilidade alvo. Em seguida,
mapear ou confirmar o mapeamento de pares de proteção/vulnerabilidade de todas as ameaças
relacionadas, e, finalmente, determinar a extensão da redução do risco ativo a ser alcançada através da
aplicação de proteções para cada ameaça.

Controles técnicos de segurança podem ser configurados para proteção contra certos tipos de
ameaças no interesse de mitigação de risco. Esses controles, quando usados adequadamente, podem
evitar, limitar ou impedir a ameaça de danos à missão de uma organização. Esses controles técnicos
podem incluir apoio, detecção, prevenção e controle de recuperação. Todos esses controles devem
trabalhar juntos para proteger dados críticos e sensíveis, informações e funções de sistemas de TI.

6. Avaliação e Pesquisa
 O processo de gestão de riscos é um processo contínuo e em constante evolução. Isto se deve ao fato
de que a rede está em contínua expansão e atualização. Suas alterações de componentes e suas
aplicações de software são substituídas ou atualizadas com versões mais recentes. Além disso, mudanças
de equipe ocorrerão, e políticas de segurança podem ser alteradas ao longo do tempo. Estas alterações
podem trazer à tona novos riscos e os que foram previamente mitigados podem se tornar uma preocupação
novamente.

Portanto, um programa de gestão de risco precisa ser revisto e praticado periodicamente. Deve haver
uma programação específica para avaliar e mitigar riscos de missão. Processos realizados apenas
periodicamente também devem ser revistos e flexíveis o suficiente para permitir alterações sempre que
justificáveis.

Um programa de gestão de risco bem sucedido conta com o compromisso da alta administração e
todo o apoio e participação da equipe de TI. Ele também irá contar com a competência da equipe de
avaliação de risco. Essa equipe deve ter a experiência necessária para aplicar a metodologia de avaliação
de risco em um local e sistema específico, identificar os riscos da missão, e fornecer o custo-efetivo das
proteções que atendam às necessidades da organização. Além disso, a sensibilização e a cooperação de
membros da comunidade de usuários será importante, assim como uma avaliação contínua e dos riscos
da missão relacionados a TI.

Um programa de gestão de risco bem administrado e integrado pode ajudar os gestores a melhorar
de forma significativa o desempenho de custo-benefício do ambiente de tecnologia da informação, e
garantir baixo custo de conformidade com os requisitos regulamentares aplicáveis. A capacidade de uma
agência do governo identificar os riscos e prevenir incidentes ou exposições, é um benefício significativo
para garantir a viabilidade do negócio e crescimento contínuo, mesmo em meio a crescentes ameaças e
pressões.

7. Planejamento de Continuidade de Negócios (PCN)

Planejamento de Continuidade de Negócios é composto de planos testados e procedimentos
construídos em processos normais de operações, que permitem que uma empresa se proteja contra
ameaças. Inclui monitoramento, gestão de crises, resposta de emergência, recuperação, redução de
danos, mitigação e aceitação de risco residual. Não é um plano de recuperação de desastres, um plano de
contingência, ou um plano de resposta de emergência, embora estes possam de fato ser vistos como
parte do processo de planejamento de continuidade dos negócios. Inventário, bens, processos e pessoas
são fatores essenciais que devem ser considerados no planejamento de continuidade de negócios. O
sucesso do planejamento de continuidade de negócios se baseia na capacidade da organização de
integrar a recuperação do sistema no maior esforço de planejamento global.

Planejamento de continuidade de negócios é um processo de gestão orientado a negócios holísticos,

que identifica o potencial impacto de um incidente que ameaça uma organização. Ele fornece uma
estrutura para a construção de resiliência e capacidade de resposta eficaz para proteger os interesses dos
seus principais intervenientes, a reputação, a marca, e atividades de criação de valor. PCN é uma questão
de negócios, ao invés de uma questão técnica.

7.1 Objetivo do PCN

Devido aos avanços na tecnologia da informação, as organizações dependem fortemente de TI. Com
o surgimento do e-government, e-commerce e e-business, um único período de tempo de inatividade
poderia ter consequências desastrosas para uma organização. Um plano de continuidade de negócios
abrangente e rigoroso é necessário para atingir um estado de continuidade de negócios, onde sistemas
críticos e redes estão disponíveis continuamente.

Planejamento de continuidade de negócios de uma organização se destina a fornecer um quadro

genérico e abordagem padronizada para ativar e informar o processo. Ele é projetado para neutralizar as
interrupções das atividades de negócio e proteger os processos críticos dos efeitos de grandes falhas ou
desastres. Portanto, uma organização precisa garantir que sua competência e capacidade de PCN
satisfaça a natureza, a escala e a complexidade das suas atividades, e reflita sua cultura individual e
ambiente operacional.

Planejamento de continuidade de negócios deve ser implementado para reduzir a interrupção

causada por desastres e falhas de segurança (que podem ser resultado de desastres naturais, acidentes,
falhas de equipamentos e ações deliberadas) em um nível aceitável através de uma combinação de
controles preventivos e de recuperação. As consequências de desastres, falhas de segurança e perda de
serviço devem ser analisadas. O PCN deve incluir controles para identificar e reduzir os riscos e limitar as
consequências dos incidentes prejudiciais. Os planos de contingência devem ser desenvolvidos e
implementados. Tais planos devem ser mantidos e praticados para que se tornem parte integrante de
todos os outros processos de gestão, a fim de garantir que os processos de negócio e operações
essenciais sejam restaurados dentro das escalas de tempo exigidas.

Planejamento de continuidade de negócios não é um planejamento de algo que nunca pode

acontecer; é um planejamento de algo que é provável que aconteça. Após os ataques terroristas em Nova
Iorque em 11 de Setembro de 2001, a alta administração tem reconhecido o valor de tornar os dados de
sua organização e sistemas de comunicação mais robustos através do PCN. Mais organizações têm
aumentado seu orçamento em PCN, pois ter um processo gerenciado por um PCN é útil para desenvolver
e manter a continuidade dos negócios em toda a organização.

Um planejamento de continuidade de negócios forte pode ajudar as organizações a se recuperar

rapidamente, proporcionando uma continuidade confiável e transparente das operações. Ele também pode
proteger ativos da organização, fornecer controle de gestão de riscos e exposições, oferecer medidas
preventivas, se for o caso, e assumir o controle de gestão pró-ativa de interrupção dos negócios. Muitas
grandes organizações usam o planejamento de continuidade de negócios como parte chave do processo
de negócio para aumentar a produtividade global. As contribuições que um processo de planejamento de
continuidade de negócios bem gerido pode trazer a uma organização incluem

 Crescimento e inovação sustentáveis.

 Melhoria de satisfação de clientes.

 Atendimento das necessidades das pessoas.

 Melhoria da qualidade do processo global de missão crítica.

 Proporcionar práticas métricas financeiras.

8. Abordagem do Planejamento de Continuidade de Negócios.

Planejamento de continuidade de negócios é um processo interativo constituído das cinco fases seguintes.

8.1 Escopo e Planejamento do Projeto de PCN

Esta é a fase inicial que irá direcionar as fases subsequentes da atividade. A primeira ação é analisar
as operações de negócios distintas e serviços de suporte ao sistema de informação. Atividades de
planejamento de projetos envolvem a definição do escopo preciso, organização, tempo, recursos humanos
(especialmente aqueles que irão desempenhar um papel vital no desenvolvimento do PCN), e outras
questões, de modo que o status do projeto e os requisitos podem ser articulados em toda a organização.

8.2 Avaliação de Impacto nos Negócios

Esta fase envolve a compreensão do tamanho das potenciais ameaças, e a provável magnitude do
seu impacto, em termos de capacidade de interromper os sistemas de informação e serviços de
comunicação da organização. Esse impacto pode ser financeiro (perda monetária, por exemplo), ou de
natureza operacional (por exemplo, a incapacidade da prestação e monitoramento de serviço de qualidade
ao cliente).

8.3 Desenvolvimento de Estratégia de Recuperação

Durante esta fase, a avaliação de alternativas de recuperação com opção de estimativas de custo
serão elaboradas e apresentadas à administração. As informações coletadas na segunda fase podem ser
empregadas para aproximar os recursos de recuperação necessários para apoiar as funções de negócios
com tempo crítico.

8.4 Desenvolvimento do Plano de Recuperação

Esta fase envolve o desenvolvimento real de um plano de continuidade de negócios. Documentação

explícita é necessária para a execução de um processo de recuperação eficaz, que inclui informações de
inventário administrativo e um plano de ação detalhado da equipe de recuperação.

8.5 Implementação, Teste e Manutenção

Esta é a fase final de um PCN, que envolve o estabelecimento de teste rigoroso e programa de
gestão de manutenção, bem como aborda o teste inicial e contínuo e atividades de manutenção.

9. Princípios de Planejamento de Continuidade de Negócios

Ao desenvolver um plano de continuidade de negócios organizacional, é importante considerar os
seguintes princípios.

1. Planejamento de continuidade de negócios é uma parte integrante da governança da organização.

2. As atividades de planejamento devem corresponder, concentrar, e apoiar diretamente a estratégia

de negócios e os objetivos da organização.

3. O PCN deve fornecer resiliência organizacional para otimizar a produtividade e disponibilidade de

serviço.
4. O PCN deve ser um processo de gestão de custos eficaz. Ele agrega valor a um processo de
gestão de negócios ao invés de governança ou considerações regulatórias.

5. A organização e seus componentes são responsáveis pela manutenção de exercícios

consistentes, simulação e teste de programa para assegurar uma resposta eficaz, atualizada e
apta à finalidade da competência e capacidade do PCN.

6. Todas as estratégias, planos e soluções do PCN devem ser proprietarios e orientado a negócios.
Elas devem ser baseadas nas atividades críticas de negócios da missão.

7. É necessário que a política e estratégia da organização seja acordada, publicada e distribuída,

juntamente com orientações práticas associadas ao PCN.

8. Os requisitos legais e regulamentares devem ser identificados, definidos e compreendidos antes

de empreender um programa de PCN.

9. Implicações do PCN devem ser consideradas em todas as fases do desenvolvimento de novas

operações, produtos, serviços e projetos de infraestrutura organizacional.

10. Implicações do PCN devem ser consideradas como parte essencial do processo de gestão de
alterações de negócios.

11. Todos os terceiros dos quais uma organização é extremamente dependente devem ser obrigados
a demonstrar uma eficácia comprovada, e aptidão à finalidade da capacidade do PCN.