RESUMO

Um plano de continuidade de negócios (PCN) é um sistema de

prevenção e recuperação de ameaças potenciais a uma empresa. O plano
garante que o pessoal e os ativos estejam protegidos e possam funcionar
rapidamente em caso de desastre.

O BCP envolve a definição de todo e qualquer risco que possa afetar as

operações da empresa, tornando-o uma parte importante da estratégia de
gestão de riscos da organização. Os riscos podem incluir desastres naturais,
incêndio, inundação ou eventos relacionados ao clima, e ataques cibernéticos.
Uma vez identificados os riscos, o plano também deve incluir: determinar como
esses riscos afetarão as operações, implementação de salvaguardas e
procedimentos para mitigar os riscos, procedimentos de teste para garantir que
funcionem e revisar o processo para certificar-se de que está atualizado.

Para aumentar a sua resiliência e garantir a continuidade do negócio, as

empresas optam por implementar planos de continuidade de negócio, mas
como pode ser operacionalizado um plano de continuidade de negócio?

Para responder a esta questão foi desenvolvido este trabalho de

pesquisa metodológica de estudo de caso por meio de uma resenha crítica.
Que após um processo de revisão da literatura relevante apurou um conjunto
de boas práticas a seguir num PCN. De modo a avaliar como é
operacionalizado PCN num contexto real, social e econômico específico, foi
construído um estudo de caso sobre uma instituição financeira a operar no
mercado português, que criou e implementou o seu próprio plano de
continuidade de negócio, explorando o processo, as opções tomadas e
tecnologia utilizada.
1 INTRODUÇÃO

A tecnologia da informação (TI) inclui muitos componentes, como redes,

servidores, computadores desktop e laptop e dispositivos sem fio. A
capacidade de executar tanto a produtividade do escritório quanto o software
corporativo é fundamental. Portanto, estratégias de recuperação de tecnologia
da informação devem ser desenvolvidas para que a tecnologia possa ser
restaurada a tempo de atender às necessidades do negócio. Soluções
alternativas manuais devem fazer parte do plano de TI para que os negócios
possam continuar enquanto os sistemas de computador estão sendo
restaurados (CHAGAS, 2017).

Nesse sentido os PCNs são uma parte importante de qualquer negócio.

Ameaças e interrupções significam perda de receita e custos mais altos, o que
leva a uma queda na lucratividade. E as empresas não podem contar apenas
com o seguro porque ele não cobre todos os custos e os clientes que migram
para a concorrência. Geralmente é concebido com antecedência e envolve a
contribuição das principais partes interessadas e do pessoal (SANTOS et al.,
2019).

As empresas são propensas a uma série de desastres que variam em grau de

menor a catastrófico. O planejamento de continuidade de negócios geralmente
visa ajudar uma empresa a continuar operando em caso de grandes desastres,
como incêndios. Os PCNs são diferentes de um plano de recuperação de
desastres, que se concentra na recuperação do sistema de TI de uma empresa
após uma crise (FACIOLI, 2016).

2 RESENHA

Esta resenha foi elaborada recorrendo à experiencia do investigador durante

seu percurso acadêmico. A pedido do professor será preservado o seu nome
assim como todos os detalhes confidenciais.

A resenha foi baseada no artigo “Plano de Continuidade de Negócio: Análise

de um Estudo de Caso” escrito por Ricardo Saragoça em 2015 e resenhado em
2022.
A empresa do artigo é a sucursal portuguesa filial de uma empresa
multinacional europeia atuante no ramo financeiro, especializada no crédito ao
consumo à distância, tendo na sua carteira soluções de crédito clássico,
revolving, consolidado e automóvel. Não possui uma rede de balcões físicos e
operacionaliza pelos canais à distância como internet e telefone.

Atualmente a empresa conta com cerca de 470 funcionários na sua sede em

na cidade de Lisboa, em Portugal, que tem em carteira mais de 350 mil clientes
com um volume de negócio de cerca de 125.632.691€, tendo um papel
importante na economia e emprego nacional.

Nesta empresa a componente de TI tem uma importância significativa, pois

todo o contato com o cliente é feito à distância, sendo que qualquer downtime
tem um impacto imediato no negócio e na imagem transmitida ao cliente.

No início de suas atividades a organização não contava com uma informática

própria, utilizando um sistema alojado numa empresa financeira concorrente,
levantando uma série de questões de concorrência, confidencialidade e
flexibilidade.

Assim, ficou evidente para a o corpo de gestão que a organização deveria ser
informaticamente independente, e por isso foi criado um departamento de
informática com desenvolvimento de sistemas próprios à medida, de modo a
preencher os requisitos do negócio, as aplicações de negócio foram
desenvolvidas com recurso a tecnologia web base facilitando o acesso às
aplicações através de um simples browser.

Paralelamente ao desenvolvimento do novo sistema foi seguido o modelo ITIL

como referência para os processos de gestão de TI, garantindo a qualidade do
serviço prestado ao negócio.

Visando o alojamento da infraestrutura foi criado um PCN a partir de uma sala

comum com as seguintes características:

 Paredes falsas em madeira.

 Chão falso.
 Duas unidades de A/C de insuflação de ar frio através do chão falso.
 Sistema de detecção e extinção de incêndios.
E por não ser um PCN construído de raiz, e sim uma adaptação numa sala
comum, apresentava vários problemas entre os quais:

 O material das paredes não é resistente ao fogo.

 Mal isolamento térmico.
 O chão falso é demasiado baixo impossibilitando a correta circulação do
ar frio, provocando problemas de refrigeração.

Para a realização do PCN foi realizado um estudo do negócio e da

infraestrutura do local, objetivando a levantar os requisitos para uma solução,
que garantisse a continuidade das atividades do ponto de vista das TI’s e dos
processos de negócio em caso de algum desastre.

Para a realização da análise inicial e visando melhorar a compreensão dos

processos críticos para a organização foram realizadas as seguintes tarefas:

a) Compreensão das necessidades do negócio – Para melhor compreender as

necessidades do negócio foram feitas entrevistas a todas as direções, de modo
a compreender os processos e a sua criticidade para a cadeia de valor do
negócio, assim foram mapeadas:

 As principais responsabilidades.
 RTO, RPO, nível de criticidade e número mínimo de postos de trabalho
para cada macroprocesso.
 Impactos de uma paragem para as várias áreas da direção.
 Principais interdependências.
 Aplicações e sistemas de suporte com respetivo RTO e RPO.
 Momentos críticos.
 Recursos mínimos.

b) Mapeamento das aplicações com a infraestrutura que as suportam e

respetivos RTO e RPO tendo em conta o apurado na fase de entrevistas.

c) Com o resultado do levantamento efetuado, foi criado um BIA.

d) Análise de risco do centro de dados: documento de análise aos riscos do

PCN existente tendo em conta:

 Localização.
  Espaço físico.
 Sistemas estruturais.
 Sistemas de proteção de incêndio.
 Sistemas mecânicos.
 Sistemas elétricos.
 Sistemas de monitorização.
 Segurança física.

No final, toda a informação foi condensada num documento com toda a análise
efetuada. E na análise de riscos, foram considerados três tipos de desastre
como mostra a imagem abaixo.

Figura 1 – Tipos de Incidentes.

Fonte: Autor.

Riscos físicos:

 Localização em zona de risco sísmico.

 Localização junto a edifícios de habitação e serviço de que desconhece
a utilização.
 O edifício encontra-se no alinhamento de aproximação ao aeroporto da
portela. Foi detectada a presença de caixas de cartão no PCN.
  Existem pontos de acesso ao edifício fáceis de utilizar para fins de
intrusão. o Equipamento espalhado pela sala não acondicionado em
bastidores.
 Falta de vídeo vigilância no acesso ao CPD.

Sistemas estruturais

 A porta de acesso ao CPD é frágil e facilmente violável.

 Passagem de cabos para o CPD pelo teto de chão por aberturas não
seladas com material antifogo.
 A sala da UPS apresenta tubagem à vista o que representa risco de
inundação.
 Parte das divisórias do CPD são em vidro o que representa risco de
intrusão bem como risco de em caso de incêndio ou em caso de
ativação do sistema de extinção do vidro partir facilitando a propagação
do fogo.
 Parte das divisórias não tem resistência ao fogo.
 As paredes são pouco resistentes ao fogo e facilitam a condensação
exagerada de água, aumentando os níveis de umidade da sala.
 O CPD tem teto falso solto em alguns pontos podendo cair em cima de
pessoas ou equipamento.
 A sala da UPS não tem chão falso apresentado risco elevado em caso
de inundação.

Sistemas de proteção de incêndio

 A sala da UPS ao contrário do PCN não possui um sistema de detecção

e extinção de incêndios.

Sistemas mecânicos

 Nem todos os bastidores possuem aberturas para arrefecimento.

 Não existe sistema de renovação de ar e de extração de fumos.
 O PCN e sala da UPS não têm um sistema de detecção de água
debaixo do chão falso.

Sistemas elétricos
  Quadros elétricos dentro do CPD representam risco de incêndio e
dificultam o acesso em caso de emergência.
 A UPS alimenta todo o edifico incluindo o CPD existindo o risco de se
ligar um equipamento que cause ruido na rede elétrica numa tomada
socorrida.
 A UPS apresenta uma carga de 92%.
 Não existe gerador diesel.

Monitorização

 Não existe um sistema central que reúna os alarmes dos detentores de

 incêndio, águas, A/C.
 A UPS não está ligada a um sistema de alarme o que provoca que em
caso de alarme ninguém seja avisado ficando o alarme na UPS.

Segurança Física

 Não existe sistema de vídeo vigilância no PCN.

Devido a questões de confidencialidade os detalhes da análise de impacto no

negócio serão omissos. Nesta fase foram identificados os seguintes pontos:

 Áreas de negócio e respetivos macroprocessos críticos para o negócio.

 Impacto de falhas nas áreas ou macroprocessos de negócio críticos.
 Tempo máximo de paragem máximo admissível (RTO).
 Tempo máximo de perda de dados admissível (RPO).
 Níveis de criticidade.

Diante dos fatos apurados foram equacionados vários cenários de

recuperação, tendo em conta os tiers de recuperação definidos pelo grupo
SHARE em 1992 (SHARE Inc, 2007).
As imagens a seguir mostram as estratégias de recuperação.

Figura 2 - Cenário baseado na transferência de tapes para um site secundário

sem infraestrutura instalada.
Figura 3 – Cenário baseado na transferência de tapes para um site remoto que
contém infraestrutura que pode ser iniciada a pedido.
 Figura 4 – Cenário em que os backups são transferidos ou executados em
tempo real para um site remoto que contém toda a infraestrutura operacional.

Por critério didático não foi relatado nesta resenha todo o processo de
implementação do novo PCN para a empresa do estudo. Assim, este trabalho
demostrou como uma organização inserida num contexto social e econômico
difícil como o que se tem vivido em Portugal nos últimos anos, implementou
com sucesso um plano de continuidade da atividade.

Assim, foi demostrada a dependência das empresas das TI e o resultado dos

períodos de downtime num estudo feito a nível global que conclui que os
períodos de downtime levam em média a uma perda de receita de 36% e ao
atraso no desenvolvimento de produtos em cerca de 34% outra das conclusões
aponta para uma baixa taxa de empresas com disaster recovery, cerca de 51%
e mais grave 71% do pessoal de TI não confia na sua capacidade de recuperar
informação.

Além disso, vale ressaltar que o PCN não é um documento muito comum na
maioria das organizações brasileiras, sendo muito comum que após a
ocorrência de algum incidente de segurança da informação como ataque ou a
ocorrência de algum risco conhecido, os sistemas de informação fiquem dias
sem operação para seus clientes, demonstrando o total despreparo da
organização perante ação das ameaças.
Os principais resultados alcançados através desta análise foram os esforços
que devem ser realizados pelo departamento de TI para garantirem a
continuidade dos serviços de TI que suportam a cadeia de valor da empresa.

Como investigações futuras o autor sugere a realização de estudos

semelhantes a empresas do mesmo sector de atividade de modo a obter uma
base de resultados que permita generalizar conclusões a organizações no
mesmo setor de atividade.
REFERÊNCIAS

ABNT- Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002–

Tecnologia da informação – Técnicas de segurança – Código de prática para a
gestão da segurança da informação. Rio de Janeiro, ABNT, 2005.

CHAGAS, Felipe das. Proposta de plano de continuidade de negócios para

uma empresa privada de Brasília. 2017.

COUTINHO, Flávio de Almeida. Gestão da continuidade de negócios: entraves

para utilização da metodologia em uma empresa nacional do ramo financeiro
sediada em Brasília (DF). 2010.

FACIOLI, Alcindo. Plano de continuidade de negócios aplicado à empresa de

pequeno porte. 2016.

GREGGIO, Michelly Cogo; JARONSKI, Priscilla Garbelini. Plano de Negócios

como Ferramenta nas Organizações. Faculdade Sant'Ana em Revista, v. 4, n.
1, p. 74-87, 2020.

RUSSO, Nelson Godinho Canaveira. Guia de Apoio à conceção de Plano de

Continuidade de Negócio nas organizações com programas informáticos de
faturação. 2019. Tese de Doutorado.

SANTOS, Paulino Joaquim Ferreira dos et al. Plano de continuidade de

negócio. 2019. Dissertação de Mestrado.

SARAGOÇA, Ricardo Jorge Fernandes. Plano de Continuidade de Negócio:

Análise de um Estudo de Caso. 2015. Trabalho de Conclusão de Curso.

SARAGOÇA, Ricardo Jorge Fernandes. Plano de Continuidade de Negócio:

Análise de um Estudo de Caso. 2015. Trabalho de Conclusão de Curso.

SILVA, Felipe Biondo da. Plano de continuidade de negócios para indústrias de

pequeno e médio porte. 2016.

SILVA, Pedro Miguel Soares da. Diretrizes para a elaboração de um plano de

continuidade de negócio: estudo de caso. 2016. Tese de Doutorado. Instituto
Politécnico de Setúbal. Escola Superior de Ciências Empresariais.