Escolar Documentos
Profissional Documentos
Cultura Documentos
Planejamento de Contingência
Versão 1
Julho 2008
Sumário Executivo
Com base nos padrões da série ISO/IEC 27000
e outras referências, este documento
descreve as responsabilidades e competências
comumente associadas às funções de
planejamento de contingência, continuidade
de negócios, retomada de negócios e
recuperação de desastres de TI em grandes
organizações do setor público ou privado.
Embora as funções sejam frequentemente
combinadas e simplificadas em organizações
menores, princípios amplamente semelhantes
geralmente se aplicam.
ISO27k Kit de Ferramentas Papéis e Responsabilidades Para Planejamento de Contingência
Conteúdo
Seção Página
1 Introdução .............................................................................................................................. 3
1.1 Histórico, conceitos e termos-chave ................................................................................. 3
1.2 Escopo e aplicabilidade deste documento ........................................................................ 4
1.3 Utilizando este documento - uma advertência importante ................................................. 5
8 Agradecimento ..................................................................................................................... 17
1 Introdução
1.1 Histórico, conceitos e termos-chave
A base fundamental do Planejamento de Contingência (PC) é que, desde que todos os riscos não
podem ser totalmente eliminados na prática, os riscos residuais sempre permanecem. Apesar dos
melhores esforços da organização para evitá-los, preveni-los ou mitigá-los, os incidentes ainda
ocorrerão.Situações particulares, combinações de eventos adversos ou ameaças e vulnerabilidades
imprevistas podem conspirar para contornar ou sobrecarregar até mesmo os melhores controles de
segurança da informação projetados para garantir a confidencialidade, integridade e disponibilidade
dos ativos de informação.
No contexto deste documento, PC é definido como a totalidade das atividades, controles, processos,
planos etc. relativos a grandes incidentes e desastres. É o ato de se preparar para grandes
incidentes e desastres, formular planos flexíveis e ordenar os recursos adequados que entrarão em
ação no evento, seja o que for. A própria palavra “contingência” implica que as atividades e recursos
que serão necessários após grandes incidentes ou desastres são contingentes (dependem) da
natureza exata dos incidentes e desastres que realmente se desenrolam. Nesse sentido, o PC
envolve a preparação para o inesperado e o planejamento para o desconhecido.
2.1.2 Competências:
• Conhecimento Especializado de PC
• Conhecimento detalhado da estrutura de gestão da organização, estratégias
comerciais, etc.;
• Conhecimento de trabalho de gerenciamento de projetos, PCD / PRD de TI, etc.
• Demonstrar habilidades de liderança;
• Habilidade de comunicar-se calmamente, efetivamente e com autoridade, inclusive em
uma crise.
2.2.2 Competências
• Conhecimento detalhado do PC, idealmente evidenciado por qualificações e
experiência relevantes;
• Conhecimento detalhado das políticas corporativas, leis e regulamentos que regem o
PC;
• Conhecimento detalhado do processo e requisitos de Certificação e Credenciamento
(C&A) [quando relevante];
• Experiência profissional em processos comerciais críticos e prioridades relativas;
• Capaz de articular e explicar as políticas de PC em termos operacionais, e identificar
as necessidades de treinamento e conscientização de PC, além de métodos de
treinamento e conscientização com boa relação custo-benefício;
• Capaz de desenvolver, medir e relatar métricas de PC adequadas Redação comercial,
apresentação e habilidades de comunicação relacionadas.
2.3 Escritório de PC
Assim como o Gerente de Incidentes, Coordenador de Crise, Gerente de PCN, Gerente de PRN,
Gerente de PRD de TI e outros, o Gerente de PC em grandes organizações pode ser apoiado por
2.3.2 Competências:
• Experiência profissional em PC, CN, RN, PRD TI etc;
• Capaz de construir e manter relações de trabalho produtivas com outros empresários;
• Habilidades administrativas gerais, com alguma exposição ao gerenciamento de
projetos, métricas/relatórios de gerenciamento, etc;
• Um olho para os detalhes, suficientemente diligente, persistente e eficiente para
completar adequadamente as atividades designadas dentro de prazos realistas;
• Capaz de se comunicar com calma, eficácia e autoridade, inclusive em uma crise;
3.1.2 Competências:
• Conhecimento especializado de PCN;
• Conhecimento detalhado de PRN;
• Experiência profissional nos processos críticos de negócios, políticas, apetite de
risco,etc..;
• Experiência profissional de PC e PRD de TI;
• Conhecimento prático das práticas de gestão de investimentos/finanças da
organização.
• Capaz de se comunicar com calma, eficácia e autoridade, inclusive em uma crise.
3.2.2 Competências:
• Conhecimento especializado em PRN;
• Conhecimento detalhado de PCN;
• Experiência profissional dos processos críticos de negócios da organização;
• Experiência profissional de PC e PRD de TI ;
3.3.2 Competências:
• Experiência profissional de CN, RN, PC, PRD IT etc.;
• Capaz de construir e manter relações de trabalho produtivas com outros funcionários;
• Habilidades administrativas gerais, com alguma exposição ao gerenciamento de
projetos, métricas/relatórios de gerenciamento, etc;
• Um olho para os detalhes, suficientemente diligente, persistente e eficiente para
completar adequadamente as atividades designadas dentro de prazos realistas;
• Capaz de se comunicar com calma, eficácia e autoridade, inclusive em uma crise.
4.1.2 Competências
• Conhecimento especializado em PRD TI;
• Conhecimento detalhado de sistemas de TI, redes e aplicações que suportam
processos críticos de negócios;
• Conhecimento detalhado de gerenciamento de projetos;
• Experiência profissional de PC, PCN e PRN;
• Experiência profissional dos processos críticos de negócios;
• Experiência profissional de certificação e acreditação de processos [em situações onde
o PD de TI tem que ser avaliados e certificados de forma independente em relação a
critérios de toda a empresa e, em alguns casos, às obrigações legais/regulamentares;
• Capaz de contribuir proativamente na Análise de Impacto de Negócios;
• Capaz de se comunicar com calma, eficácia e autoridade, inclusive em uma crise.
4.2.2 Competências
• Conhecimento detalhado de práticas de conformidade;
• Conhecimento detalhado das políticas corporativas, leis e regulamentos que regem o
PRD de TI;
• Conhecimento detalhado do planejamento de RD TI como disciplina, idealmente
evidenciado por qualificações e experiência relevantes;
• Conhecimento detalhado do processo e requisitos de Certificação e Credenciamento
(C&A) [quando relevante]
• Experiência profissional de processos críticos de negócios e prioridades relacionadas;
• Capaz de articular e explicar as políticas de RD de TI em termos operacionais;
• Capaz de colaborar na entrega de treinamento e conscientização de RD de TI;
• Redação comercial, apresentação e habilidades de comunicação relacionadas.
4.3.2 Competências:
• Conhecimento detalhado de leis, regulamentos e requisitos de negócios em relação às
exigências de garantia do Planejamento de Contingência para comprovar os elementos
do Planejamento de Contingência em termos de Planejamento de Recuperação de
Desastres de TI para comprovar os elementos do Planejamento de Contingência em
termos de Planejamento de Recuperação de Desastres de TI;
4.4.2 Competências:
• Conhecimento especializado em PRD de TI;
• Experiência profissional de processos e prioridades comerciais críticas;
• Conhecimento prático de SLAs, contratos e memorandos de entendimento;
• Experiência profissional do ciclo de vida de desenvolvimento do sistema e
gerenciamento do projeto;
• Capaz de projetar e desenvolver planos realistas de RD de IT
4.5 Escritório de RD de TI
Dependendo da quantidade de trabalho envolvido no gerenciamento dos planos e atividades de RD
de TI, pode ser necessário um pessoal para dar suporte aos Gerentes de RD de TI. [Nota: o
Escritório de RD de TI pode fazer parte do Escritório de PC anotado anteriormente, mas está mais
4.5.2 Competências:
• Conhecimento de trabalho de CN, RN, PC, PRD de TI etc.
• Capaz de construir e manter relações de trabalho produtivas com outros funcionários;
• Habilidades administrativas gerais, com alguma exposição ao gerenciamento de
projetos, métricas/relatórios de gerenciamento, etc.
• Um olho para os detalhes, suficientemente diligente, persistente e eficiente para
completar adequadamente as atividades designadas dentro de prazos realistas;
• Capaz de se comunicar com calma, eficácia e autoridade, inclusive em uma crise.
5.5 Custodiantes
Após a AIN, as responsabilidades relacionadas à operação e proteção/segurança dos ativos de
informação que suportam processos comerciais críticos são normalmente delegadas aos
Custodiantes, normalmente dentro do Departamento de TI para sistemas e redes de TI.
Embora os Custodiantes não sejam formalmente responsáveis por fornecer e provar a adequação
do PRD de TI e outros acordos de contingência, eles têm o dever profissional de identificar e resolver
questões em seu domínio de especialização e/ou trazer riscos residuais à atenção da gerência,
incluindo os proprietários de ativos de informação, Gerentes de CN etc. Isto é especialmente
importante no caso de configurações técnicas complexas de PRD de TI onde as pessoas de TI que
estão familiarizadas com as tecnologias são mais propensas a notar problemas técnicos,
dependências etc. que tornariam os arranjos ineficazes em um cenário de RD genuíno.
comuns de TI, gerentes de rede/sistema, operadores, etc., mas podem estar operando em áreas
desconhecidas, por exemplo, cobertura para outros funcionários de TI que não podem trabalhar
normalmente devido a ferimentos, incapacidade ou outra indisponibilidade.
Os papéis de RD de TI abrangem muitas funções operacionais, por exemplo, administração de
sistemas/aplicações, administração de banco de dados, rede e telecomunicações, aquisição,
reabastecimento de servidores, Help/Service Desk de TI, etc.
Os papéis de RD de TI abrangem muitas funções operacionais, por exemplo, administração de
sistemas/aplicações, administração de banco de dados, rede e telecomunicações, compras,
reabastecimento de servidores, Help /Service Desk de TI, etc. Em tais papéis, os funcionários:
• Implementar os planos de RD de TI, tanto em testes como em incidentes reais;
• Avaliar a eficácia dos processos de RD de TI em testes e em eventos reais, fornecendo
feedback e lições aprendidas para atualizar os planos.
As competências das Operações de RD de TI incluem:
• Conhecimento de trabalho de processos comerciais críticos, prioridades de
recuperação e suporte a sistemas de TI, etc..;
• Conhecimento detalhado dos planos e procedimentos de RD para sistemas de TI etc.
pelos quais têm responsabilidades de recuperação, além de conhecimento
específico/especializado das plataformas de hardware associadas, sistemas
operacionais, middleware, software aplicativo, configurações etc
• Capaz de identificar pontos fracos nos processos de RD e sugerir soluções realistas,
por exemplo, como resultado de testes ou exercícios de RD.
8 Agradecimento
plenamente quaisquer obrigações legais ou regulatórias sobre uma organização para preparar
acordos de contingência adequados.