FACULDADE CRUZEIRO DO SUL – EAD

Programa de MBA em Segurança da Informação

Marchelo Xavier Storino – RGM: 28691741

Plano de Continuidade de Negócio - PCN

HRC - Hospital Regional de Cotia

Plano de Continuidade de Negócio – PCN,

apresentado a disciplina Continuidade de
Negócio do programa de MBA em
Segurança da Informação da Faculdade
Cruzeiro do Sul – EAD, requisito
obrigatório para entrega de tarefa.

Professor Me. Artur Ubaldo Marques

Junior

São Paulo, março 2022

 SUMÁRIO

1. SUMÁRIO EXECUTIVO ........................................................................................................ 1

1.1 Processos vitais ...................................................................................................... 1
1.2 Responsáveis pela continuidade de negócio ......................................................... 1
2. PREMISSAS E OBJETIVOS DO PROJETO ....................................................................... 1
3. SITE PRINCIPAL E SITE BACKUP ..................................................................................... 2
3.1 Site de backup ........................................................................................................ 2
3.2 Definição das áreas em caso de contingência ....................................................... 3
4. PLANO DE MONITORÇÃO E DECLARAÇÃO DE DESASTRE ......................................... 3
4.1 Monitoração e comunicação de eventos ................................................................ 3
4.2 Declaração de desastre ou contingência ............................................................... 5
4.3 Fluxograma declaração de desastre ou contingência ............................................ 6
5. PROCESSOS E SISTEMAS CRÍTICOS............................................................................... 7
5.1 Processos com MTD IMEDIATO ............................................................................ 7
6. ABRANGÊNCIAS ................................................................................................................. 8
6.1 Ameaças relacionadas ........................................................................................... 8
7. AÇÕES E PROCEDIMENTOS ............................................................................................. 9
7.1 Impossibilidade de acesso ao prédio ..................................................................... 9
7.1.1 Ações de 05 a 10 minutos após a evidência .......................................... 9
7.1.2 Ações em até 20 minutos após a etapa anterior .................................. 10
7.2 Falha na Infraestrutura e Tecnologia ................................................................... 11
7.3 Acionamento de contingência externa ................................................................. 11
8. PROCEDIMENTOS DE RETORNO AO SITE PRINCIPAL................................................ 12
9. ADMINISTRAÇÃO DO PCN ............................................................................................... 12
10. DIVULGAÇÃO E TREINAMENTO ..................................................................................... 13
10.1 Realização de testes .......................................................................................... 13
 Hospital Regional de Cotia
PCN – Plano de Continuidade de Negócio

1. SUMÁRIO EXECUTIVO

Os objetivos de Plano de Continuidade de Negócio do Hospital Regional de Cotia – HRC são:

 Definir as regras aplicáveis com base na estrutura do HRC;
 Assegurar que todos conheçam o Plano de Continuidade de Negócios.

1.1 Processos vitais

 Fornecimento de energia elétrica;

 Sistema de ERP e demais sistemas;
 Link de dados;
 Telefonia.

1.2 Responsáveis pela continuidade de negócio

STAF NOME CONTATO

Gerente de TI Leandro Dias Telefone: 11-97330-0185

e-mail: leandro.dias@hrc.org.br
leandro.dias235@gmail.com

Líder de contingência Adriana Reis Telefone: 11-99502-6781

e-mail: contato@hrc.org.br
adriana.reis.775@gmail.com

2. PREMISSAS E OBJETIVOS DO PROJETO

O plano de continuidade de negócio – PCN assegura ao Hospital Regional de Cotia - HRC a

continuidade dos seus negócios em caso de paralisação, decorrente de sinistros de um ou mais
de seus processos considerados críticos. O sinistro torna-se realidade quando ameaças externas
ou internas exploram as vulnerabilidades de seus processos.

Os processos críticos aos negócios do HRC foram mapeados por meio de entrevistas com os
gestores das principais áreas de negócio.

Foi determinado pela Administração que todos os processos do HRC são considerados
críticos, pois o Negócio atua em torno da Manutenção e Preservação da Vida Humana.

Para tanto, o PCN é definido como (PCN = PAC + PCO + PRD), a saber:

1
 Hospital Regional de Cotia
PCN – Plano de Continuidade de Negócio

 PAC = Programa de Administração da Crise – É acionado após decretada a Crise, e

voltado para todo o processo. Tem seu término quando se volta à normalidade;
 PCO = Plano de Continuidade Operacional – São acionados os primeiros procedimentos
do PAC, e voltado aos processos de negócio;
 PRD = Plano de Recuperação de desastres – É acionado junto com o PCO, e focado na
recuperação/restauração de componentes que suportam o PCN.

O desenvolvimento do PCN foi baseado na avaliação dos processos críticos estabelecidos pela
Alta Administração compreendendo as suas principais etapas:

 Análise de riscos de TI;

 Análise de Impacto nos Negócios (BIA);
 Estratégia de recuperação.

Desta forma será necessário simular situações de emergências, definir responsabilidades e

escopo de atuação para cada colaborador na execução do PCN. A manutenção do PCN
atualizado e o treinamento dos colaboradores são fatores crítico de sucesso.

3. SITE PRINCIPAL E SITE BACKUP

O HRC conta com duas unidades: a principal e a de backup.

A unidade principal do HRC fica na Avenida Drº Odair Pacheco Pedroso, 171 – Cotia/SP.
A unidade de Backup contém exatamente todos os recursos tecnológicos da unidade principal,
podendo cada colaborador assumir suas funções/papeis imediatamente.
Em situações de contingência, todos funcionários designados devem se dirigir para esse
endereço de forma que haja o mínimo impacto possível dentro das atividades do HRC.

3.1 Site de backup

Localização HGIS – Hospital Geral de Itapecerica da Serra

Avenida Guacy Fernandes Domingues, 200 – Itapecerica da
Serra/SP.

Contato Cândido Silva

Telefone (11) 4668-8988

e-mail candido.oliveira@hgis.com.br

2
 Hospital Regional de Cotia
PCN – Plano de Continuidade de Negócio

3.2 Definição das áreas em caso de contingência

No caso de haver uma contingência os colaboradores deverão assumir suas posições conforme
a tabela a seguir:

ÁREA LOCAL DE CONTIGÊNCIA

Gestão Site de Backup

Diretoria e Administração Home Office

Telefonia Site Backup

TI Especialistas designados deverão se dividir entre

Site Principal e Site Backup

Médicos e Especialistas e equipe de Especialistas designados deverão se dividir entre

Enfermagem Site Principal e Site Backup

4. PLANO DE MONITORÇÃO E DECLARAÇÃO DE DESASTRE

Será considerado desastre quando o tempo total de recuperação dos processos for superior ao
tempo máximo apontado no item 5 – Processos e Sistemas Críticos.

4.1 Monitoração e comunicação de eventos

Qualquer colaborador do HRC, ao constatar alguma anormalidade que paralise quaisquer

processos apontados no item 5 deste Plano deverá comunicar a ocorrência ao seu superior
imediato. O superior imediato por sua vez comunicará o fato a um dos Líderes de Contingência,
a saber:

3
 Hospital Regional de Cotia
PCN – Plano de Continuidade de Negócio

STAF SETOR NOME CONTATO

Diretor de TI Leandro Dias Ramal: 2701

Contingência
11-97330-0185
leandro.dias@hrc.org.br
leandro.dias235@gmail.com

Líder de Comunicação Adriana Reis Ramal: 9

contingência 11-99502-6781
contato@hrc.org.br
adriana.reis.775@gmail.com

Líderes de setor UTI/CTI Márcia Silva Ramal: 2705

11-95506-0098
marcia.silva@hrc.org.br
mrcinha.silva@hotmail.com

Enfermagem Suzane Frias Ramal: 2711

11-93478-6531
suzane.frias@hrc.org.br
suzansfrias233@gmail.com

CCO Marina Raccó Ramal: 2716

11-93478-6531
suzane.frias@hrc.org.br
suzansfrias233@gmail.com

CME Oswaldo Chaves Ramal: 2727

11-98899-0499
Oswaldo.chaves@hrc.org.br
chaves.oswaldo767@gmail.com

Laboratório Laura Helena Ramal: 2710

11-95459-8656
laura.helena@hrc.org.br
helena.souza.1985@gmail.com

4
 Hospital Regional de Cotia
PCN – Plano de Continuidade de Negócio

4.2 Declaração de desastre ou contingência

Ao ocorrer quaisquer eventos que paralise algum processo essencial ao negócio, o líder de
Contingência avaliará a ocorrência e comunicará ao Diretor responsável pelo PCN.

Com base nas informações recebidas e avaliação do grau de impacto, compete ao Diretor
declarar ou não a contingência.

Em caso da ausência do Diretor responsável pelo PCN assumirá interinamente o 1º líder de

Contingência.

5
 Hospital Regional de Cotia
PCN – Plano de Continuidade de Negócio

4.3 Fluxograma declaração de desastre ou contingência

O fluxograma a seguir serve como base para declaração ou não de contingência:

Desastre

Colaborador aciona gestor da área

Gestor avalia os danos

Gestor comunica Líder de Contingência

Gestor aciona equipe de reparo

Sim
Reparo
concluído? Não aciona PCN

Não

Gestor aciona Líder de Contingência

Líder reúne Equipe de Contingência

Diretor Não
aciona
PCN? Não aciona PCN Término do PCN

Desativar PAC, PCO e PRD

Sim

Líder PCN aciona o PAC e PCO Sim

Reparo
PRD é acionado concluído?

Não

6
 Hospital Regional de Cotia
PCN – Plano de Continuidade de Negócio

5. PROCESSOS E SISTEMAS CRÍTICOS

Processo crítico pode ser definido como um processo de trabalho que uma vez paralisado por
tempo superior ao definido pela unidade gestora do negócio irá afetar sensivelmente as
operações e serviços da organização gerando maior impacto nos clientes internos e externos,
definido pela fórmula:

MTD = RTO + WRT.

Definição:

 MTD (Maximum Tolerable Downtime) = Trata-se do tempo máximo que um negócio pode
tolerar a ausência ou indisponibilidade de uma função de negócio em particular.
Diferentes funções de negócio terão diferentes MTD’s.

 RTO (Recovery Time Objective) = Tempo disponível para recuperar sistemas e recursos
de uma ruptura.

 WRT (Work Recovery Time) = Tempo que leva para copiar e rodar uma vez os sistemas
(hardware, software e configuração) a serem restaurados para as funções de negócios
críticas.

5.1 Processos com MTD IMEDIATO

São processos críticos ao negócio que devem ser suportados por medidas de redundância para
que não haja interrupções.
Em caso de interrupção precisam ser reparados imediatamente.

7
 Hospital Regional de Cotia
PCN – Plano de Continuidade de Negócio

ÁREA PROCESSOS SERVIÇOS

- Gestão/Administração Todos  ERP

 Demais sistemas
 Link de dados

- Telefonia Comunicação  PABX

 Telefonia móvel

- UTI/CTI (todas) Todos  Fornecimento de

- CCO energia elétrica
- CME
- Enfermagem
- Farmácia do CCO
- Laboratório de análises

6. ABRANGÊNCIAS

6.1 Ameaças relacionadas

No entendimento dos gestores das áreas avaliadas, as ameaças com grau de vulnerabilidade
significante estão divididas em:

a. Humanas
Greves, Distúrbio Civil, Falha de Prestador de Serviços/Parceiro, Acesso Indevido às
Instalações e Erro Humano não intencional.

b. Tecnológicas
Falha em Aplicativo (SW), Falha em Hardware (HW), Falha em sistemas Operacionais,
Vírus de Computador, Falha em Rede Interna (LAN), Falha na Entrada de Dados, Falha
em Rede Externa (WAN), Falha de Telecom – Dados e Falha em Sistema de Acesso.

c. Infraestrutura
Falha em Telecom - Voz, Falha em Sistema de Refrigeração, Interrupção de Energia
Elétrica, Falha em Instalações Elétricas.

d. Naturais
Alagamento Interno do Ambiente, Queda de Raios, Vendaval e Incêndio.

8
 Hospital Regional de Cotia
PCN – Plano de Continuidade de Negócio

e. Físicas
Problema Estrutural ou de Instalações e Rompimento de Tubulação Interna (água,
esgoto e gás).

Cabe ressaltar que paradas não programadas podem resultar em perdas tangíveis e intangíveis
aos negócios do HRC, acarretando perda de confiança de colaboradores e clientes nos
processos de negócios. Desta forma, os potenciais impactos apontados pelos gestores numa
eventual interrupção no negócio são:

 Interrupção de prestação de serviços a pacientes;

 Processos Judiciais, multas e sanções;
 Perda da capacidade de gestão e controle;
 Comprometimento da imagem do HRC;
 Exposição negativa na mídia e perda de vantagem competitiva.

7. AÇÕES E PROCEDIMENTOS

Qualquer colaborador deverá estar apto a identificar as ameaças que possam levar a paralisação
das atividades e comunicar imediatamente ao líder do Plano de Continuidade de Negócios.

7.1 Impossibilidade de acesso ao prédio

Dentre as ameaças que impossibilitam acesso ao prédio, destacam-se:

 Incêndio;
 Ameaça de bomba;
 Bloqueios;
 Graves/Manifestações;

7.1.1 Ações de 05 a 10 minutos após a evidência

Responsável: Líder do PCN

Procedimentos:
Entrar em contato com a Administração do HRC para informar a concretização da ameaça.
Caso seja necessário, comunicar aos seguintes órgãos públicos:

9
 Hospital Regional de Cotia
PCN – Plano de Continuidade de Negócio

ORGÃO CONTATO

Secretaria de Saúde do Estado de São Paulo 11 - 3257-9368

Secretaria de Comunicação do Estado de São Paulo 11- 2193-8520

Bombeiros 193

Defesa Civil de Cotia/SP 11- 4616-0466

Polícia Militar 190

7.1.2 Ações em até 20 minutos após a etapa anterior

 Entrar em contato com responsável pelo site de backup, conforme indicado no subitem
3.1, para avisá-lo sobre a ocupação dos integrantes das áreas contingenciadas e
disponibilizar local, notebooks, impressoras, acesso à internet;
 Comunicar aos integrantes das áreas contingenciadas para que se dirijam ao site de
backup, ou às suas residências para atuação em regime de Home Office, atentando-se
à relação a seguir:

ÁREA LOCAL DE CONTIGÊNCIA

Gestão Site de Backup

Diretoria e Administração Home Office

Telefonia Site Backup

TI Especialistas designados deverão se dividir entre

Site Principal e Site Backup

Médicos e Especialistas e equipe de Especialistas designados deverão se dividir entre

Enfermagem Site Principal e Site Backup

 Disponibilizar alertas no site do HRC indicando o status de contingência e telefones do

site backup para atendimento.

10
 Hospital Regional de Cotia
PCN – Plano de Continuidade de Negócio

7.2 Falha na Infraestrutura e Tecnologia

Para não haver interrupções nas atividades o ambiente de TI no site principal, a Unidade de
Backup será o site de contingência da sede.

A comunicação entre as unidades é feita por links redundantes. A seguir destacamos a

infraestrutura de TI de cada unidade de negócio.

 Servidores
 Telecom
 Energia Elétrica

Na falta de energia elétrica, além das baterias próprias dos Notebooks, são ativados
automaticamente os geradores localizados no site principal com autonomia de 12 horas.
As áreas abastecidas pelos Nobreaks são as mesmas mapeadas com processos críticos pelo
BIA.

 Gestão/Administração
 Telefonia
 UTI/CTI (todas)
 CCO
 CME
 Enfermagem
 Farmácia do CCO
 Laboratório de análises

7.3 Acionamento de contingência externa

 Manter contato com o gestor da empresa contratada para prestação de serviços de

redundância / backup e contingência e avisar do início do processo de contingência.
 As equipes irão para o lugar destinado a cada uma delas.
 Manter contato com a Empresa Vivo (Operadora de Telefonia) através do telefone 10315
e solicitar o desvio de todas as chamadas de entrada do tronco do HRC para o tronco
do HGIS.

11
 Hospital Regional de Cotia
PCN – Plano de Continuidade de Negócio

8. PROCEDIMENTOS DE RETORNO AO SITE PRINCIPAL

Cabe ao Líder da Contingência encerrar o PCN e comunicar ao Diretor e aos Gestores envolvidos
no processo.

Quando o acesso ao prédio estiver liberado e em condições de normalidade, comunicar a todos

os colaboradores do HRC por meio de seus gestores para que retornem aos seus postos de
trabalho no dia seguinte.

Solicitar à área de TI que retire o comunicado publicado no site do HRC sobre a situação de
contingência.

Após retorno, comunicar o término da contingência e retorno à normalidade das funções do HRC
aos órgãos:
 Secretaria de Saúde do Estado de São Paulo;
 Secretária de Comunicação do Estado de São Paulo.

9. ADMINISTRAÇÃO DO PCN

A continuidade de negócios de uma organização, assim como a recuperação de desastres é o

resultado da execução e da manutenção de um processo contínuo que envolve planejamento,
formalização, monitoração e melhorias.

O processo de Continuidade de Negócios é de responsabilidade e gestão da área de

Compliance, que determina o ciclo e as etapas que deverão ser executadas para que tanto os
cenários de risco e impacto sobre os negócios como as estruturas e estratégias que embasam o
PCN possam ser atualizadas refletindo o ambiente de trabalho do HRC.

Para que a área de TI possa verificar o grau de atualização do PCN e decidir quanto ao momento
em que o processo de continuidade de negócios será atualizado, os processos de planejamento
de negócios e tecnológico, gerenciamento de mudanças, gerenciamento de riscos, tratamento
de problemas e de incidentes devem prever a participação desta área nas decisões relevantes
destes processos.

12
 Hospital Regional de Cotia
PCN – Plano de Continuidade de Negócio

10. DIVULGAÇÃO E TREINAMENTO

Um dos fatores primordiais para o funcionamento deste plano são o conhecimento e a

familiaridade das pessoas e demais envolvidos na execução das atividades de continuidade de
negócios e recuperação de desastres com as estratégias e recursos definidos no planejamento.

Para que seja possível esta familiaridade e conhecimento do plano, conferindo-lhe credibilidade,
a equipe do HRC definiu que serão realizadas trimestralmente sessões de divulgação a todos os
colaboradores e envolvidos no planejamento de continuidade de negócios, e divulgação imediata
em caso de quaisquer alterações de PCN.

Estas sessões serão organizadas pela área de TI em conjunto com a área de Administrativa com
o objetivo de manter os colaboradores atualizados sobre os conceitos de continuidade adotados,
os objetivos pretendidos com o planejamento e sobre o funcionamento da estratégia de
recuperação de desastres e continuidade de negócios.

Para que este conhecimento seja preservado, os colaboradores admitidos e os transferidos para
funções de negócios críticas, principalmente aqueles que pertencem à equipe de contingência,
deverão ser instruídos das suas respectivas responsabilidades no plano.

O programa de treinamento deverá contemplar os riscos, ameaças, controles, responsabilidades,

premissas e as estratégias do PCN, incluindo as alterações recentes.

10.1 Realização de testes

Os testes têm por objetivo assegurar a eficiência e a efetividade do PCN e deverão ser
planejados e executados com periodicidade mínima semestral a partir da data da sua
implantação/alteração.

A responsabilidade pelo planejamento e organização dos testes, assim como pela definição dos
cenários a serem contemplados é da área de Tecnologia da Informação.

Os cenários deverão ser definidos e registrados em um documento formal que deverá ser
aprovado pela alta administração, que deverá ser arquivado por um período mínimo de 5 (cinco)
anos.

Os testes não deverão provocar quaisquer tipos de indisponibilidade ou parada nos ambientes
de negócios do HRC e deverão ser conduzidos pela equipe de contingência em total
conformidade com o definido. As simulações deverão ser realizadas sobre cenários e ameaças
contemplados no plano, devendo cobrir os riscos e ameaças com maior probabilidade de
ocorrência.

13