Escolar Documentos
Profissional Documentos
Cultura Documentos
e-Book 1
Sumário
INTRODUÇÃO������������������������������������������������� 3
O PROCESSO DE GERENCIAMENTO DE
CRISE������������������������������������������������������������� 4
Planejamento do gerenciamento de crise��������������������������� 7
Construindo um plano de crises���������������������������������������� 12
Elaborando um manual de crises�������������������������������������� 17
CONSIDERAÇÕES FINAIS���������������������������� 34
3
O PROCESSO DE
GERENCIAMENTO DE
CRISE
O processo de gerenciamento de crises tem como
objetivo criar um conjunto de boas práticas de
modo a evitar, prevenir ou reduzir os impactos
causados por uma crise para a organização ou
criar um modelo de condução de eventos para
crises que já ocorreram.
4
Figura 1: Elementos-chave no processo de gestão de crises
Plano
simples e
flexível
Ações
de
Porta-voz
comunicação
CRISE
Resposta
rápida Liderança
Partes
Interessadas
5
em gerenciamento de crises conseguiram elencar
pontos de atenção no planejamento de gestão de
crises, como:
y Plano de crise;
y Etapas da prevenção da crise;
y Auditoria de vulnerabilidades;
y Plano de contingência;
y Resposta a situações de emergência;
y Gerenciamento da crise;
y Comunicação de crise e de risco;
y Pós-crise, com aprendizagem, correções, re-
cuperação e avaliação.
6
de resposta a incêndio, plano de comunicação de
crise, plano de operações de emergência e plano
de emergência para a internet.
SAIBA MAIS
Os atentados terroristas ao World Trade Center, em
setembro de 2001, mostraram que diversas empresas
que possuíam escritórios nas duas torres não possuíam
planos de gerenciamento de crises e continuidade dos
negócios. Departamentos de Tecnologia da Informação
de várias empresas possuíam seus servidores de sites,
sistemas e bancos de dados, titulares e de backup, nas
duas torres e foram perdidos e nunca mais recuperados.
PLANEJAMENTO DO
GERENCIAMENTO DE CRISE
Embora seja impossível prevermos todas as crises
que podem afetar as empresas no âmbito de Tec-
nologia da Informação, podemos nos preparar para
tomar medidas para alguns tipos de crise vindos
de diversas fontes, em especial:
y Crises com situação potencial através de au-
ditoria de vulnerabilidades (invasão a sistemas e
7
redes, ataque hacker, perda de dados ou informa-
ções, vazamento de informações);
y Crises que já atingiram outras empresas no
âmbito de Tecnologia da Informação (redes so-
ciais, desenvolvedores de software e sistemas,
fabricantes de hardware, bancos);
y Atividades que venham de encontro aos inte-
resses das partes interessadas (clientes, parceiros,
usuários).
6) Testar tudo.
8
muitos casos confundem o gerenciamento de cri-
ses com planos de contingência (em alguns casos
conhecidos como planejamento de riscos, plano de
continuidade do negócio ou plano de recuperação
de desastres), que não são a mesma coisa.
9
do banco americano Capital One e obter acesso a
140.000 números de Previdência Social, 1 milhão
de números do Seguro Social canadense e 80.000
números de contas bancárias, além de um número
não revelado de nomes de pessoas, endereços,
pontuação de crédito, limites de crédito, saldos
e outras informações. Paige Thompson já havia
trabalhado na Amazon Web Services, onde fica-
vam hospedados os serviços em nuvem do banco
Capital One, e ela explorou o acesso ao firewall de
aplicativo da web mal configurado.
10
Diante disso, o que podemos afirmar é que geral-
mente as organizações estão despreparadas para
crises e são surpreendidas muitas vezes por não
se qualificarem como um negócio de risco.
11
Já os responsáveis pelas respostas aos eventos
devem possuir uma cópia do plano de crise, do
plano de contingência, do plano de comunicação
e do manual de gerenciamento de crises.
CONSTRUINDO UM PLANO DE
CRISES
Apesar de manuais de gestão de crises ajuda-
rem as empresas a estarem preparadas para es-
ses eventos, não são o suficiente para enfrentar
todos os problemas que possam acontecer.
12
partir desse momento, cada organização custo-
miza seu plano dentro do contexto de atuação da
companhia, que por sua vez responderá algumas
questões sobre como administrar crises previstas
pela organização.
13
ROTEIRO PARA O PLANO DE CRISES
Gabinete de Um time pequeno de executivos seniores
crise comandará as ações do quartel-general da
gestão de crise
Responsabi- Equipes suplementares de crise: recomenda-
lidades e atri- das para organizações com múltiplas sucur-
buições dos sais, até mesmo no exterior; equipes alternati-
membros vas de crise, para a eventualidade de falha ou
do gabinete ausência dos membros do gabinete de crise
de crise, no
caso de um
evento grave
Cenários de Eleger os piores e escolher dois ou três para
crise treinamento simulado, que poderá ocorrer uma
vez por ano
Desenvolver O material deve ser um documento práti-
um manual co, objetivo, com as principais diretrizes da
de gerencia- empresa, a maioria já constante do Plano de
mento de Contingência
crise
Auditoria de Anual ou semestralmente, a empresa proce-
vulnerabilida- derá a um levantamento para identificar todas
des as áreas e situações com probabilidade de
gerarem crises. Esse levantamento irá balizar o
plano de crise. Essa auditoria poderá ser feita,
preferencialmente, por empresa contratada
Recursos Infraestrutura necessária para manter contato
financeiros, com as demais equipes numa crise; incorporar
materiais e ao planejamento estratégico e contemplar
humanos da orçamentos para viagens, treinamento, simula-
equipe de ções, manuais, material de divulgação etc.
crise
14
ROTEIRO PARA O PLANO DE CRISES
Procedimen- Internos e externos; modelos de notas para di-
tos e alter- vulgação imediata, em casos de crises previs-
nativas de tas ou prováveis. Algumas notas, previamente
comunicados aprovadas pela área jurídica, poderão ser inclu-
para cada ídas no Manual de Gerenciamento de Crises.
cenário Obs.: os gestores devem rever regularmente
os procedimentos para o caso de revisões de
cenários, equipes ou rotinas.
Porta-vozes Diretores, gerentes ou empregados autorizados
a falar com a imprensa, treinados e prepara-
dos. O CEO pode ser o porta-voz, mas não ne-
cessariamente o principal. Cada crise poderá
ter um porta-voz específico, dependendo da
área, mas os porta-vozes devem ser treinados
antecipadamente em media training crisis
Uma vez por Os treinamentos poderão simular uma crise,
ano, ou se- inclusive com acionamento de intervenientes
mestralmen- externos e empregados. As conclusões e even-
te, organizar tuais falhas e correções devem ser cataloga-
uma crise das para a análise da equipe de crise
simulada
Internet Criar antecipadamente endereço alternativo
do site, para o caso de crise que afete a área
tecnológica da organização, como alternativa
para comunicação imediata com os principais
stakeholders. Esse plano B deve estar pronto
para ser acionado durante a crise
Call center Sistemas de atendimento emergencial para
uso durante a crise. Criar uma central com ca-
pacidade operacional para atendimento espe-
cial, pessoal especialmente treinado e suporte
técnico adequado. Lembrar que o atendimento,
numa situação de crise, é atípico
15
ROTEIRO PARA O PLANO DE CRISES
Proto- Fluxo de informações (sistemas e pesso-
colos de as) que recebem e processam informações
comunicação sobre crise na organização. Todos os nomes
e contatos devem constar no plano de crise,
abrangendo nomes, endereços, telefones,
qualquer tipo de contato de todos os membros
e suplentes do comitê de crise; distribuição a
todos os empregados da empresa, para que
estejam cientes do que fazer e saibam quem
chamar na eventualidade de uma crise. Nesse
cadastro, devem constar todas as intercone-
xões da empresa. No caso de uma crise, todos
sabem quem devem chamar. Essa cadeia
aciona e mobiliza rapidamente a empresa para
enfrentar uma crise. Os empregados devem ter
conhecimento do plano de crise, preservando
temas sigilosos. Em caso de emergência, o
plano precisa ser acionado imediatamente,
mesmo sem autorização ou conhecimento da
diretoria. Nos treinamentos, deve-se enfatizar a
autonomia e a responsabilidade dos diretores,
gerentes e demais, em consonância com o pri-
meiro mandamento da gestão de crise: rapidez
de decisão
Stakeholders Relacionar todos os públicos de interesse da
(Partes organização, a começar pelos principais: em-
interessadas) pregados, acionistas, clientes, fornecedores,
parlamentares, sindicatos, mídia, associações
locais, autoridades policiais, Defesa Civil etc. A
mídia deve merecer atenção especial
16
ROTEIRO PARA O PLANO DE CRISES
Métodos de Cada grupo de stakeholders deve estar rela-
comunicação cionado com e-mails, SMS, telefone e demais
das ações dados antecipadamente, além dos tipos de
informação que cada um deve receber durante
a crise. Considerar alternativas de comuni-
cação em situações de emergência, telefone
grátis (0800) e até site alternativo, no caso de
pane geral ou ataque à sede ou sucursais da
organização. Em caso de crise com mortes,
analisar a possibilidade de adaptar as cores e
o leiaute do site à tonalidade de luto
Fonte: Adaptado de Forni, 2019, p. 107.
ELABORANDO UM MANUAL DE
CRISES
Abaixo desse guarda-chuva chamado plano de
gerenciamento de crises existem alguns instru-
mentos, dentre eles o manual de crises. Trata-se
de um documento simples no qual são envol-
vidos diversos setores da organização durante
sua criação.
17
completo limitado a um grupo restrito de papéis
na empresa, de preferência à equipe de gerencia-
mento de crises e diretoria.
18
papéis e das responsabilidades dos membros do
comitê, localização, contatos internos e externos
de apoio, no caso de crises, como apoio jurídico,
assistência social, psicólogos, consultores de
Relações Públicas e Comunicação;
y Demais públicos: listar os grupos intervenientes,
no caso de crises na organização, desde a área
parlamentar até a área operacional, com endere-
ços e telefones (como autoridades do governo,
policiais, bombeiros, serviços de emergência,
hospitais conveniados, Defesa Civil, órgãos am-
bientais etc.). Alternativas de comunicação com
os empregados, sites alternativos, além do oficial,
endereços e telefones alternativos de localização
do comitê, em caso de crise grave que interdite a
sede ou instalações estratégicas.
19
mais prováveis, normas internas, suporte de call
center, telefones etc.;
20
GESTÃO DE CRISE
E SEGURANÇA DA
INFORMAÇÃO
Neste tópico vamos abordar a convergência que
ocorre entre a gestão de crise e a segurança da
informação, além de alguns casos que podem
servir de exemplo para gestores atentarem-se
a como uma falha na segurança da informação
pode gerar uma crise de grandes proporções.
21
a interromper sua operação, explorar vulnerabi-
lidades, interceptar tráfego de rede, destruir ou
sequestrar dados.
22
Tabela 2: Relatório anual de 2020 de crimes cibernéticos em 10
países
Países analisados Até dezembro Em 2020
de 2019 (*em (*em milhões)
milhões)
Índia 158.3 131.2
Estados Unidos 157.6 109.9
Japão 44.4 24.6
França 31.6 19.3
Itália 27.4 19.1
Alemanha 32.0 17.7
Reino Unido 28.3 16.5
Austrália 10.6 6.1
Holanda 7.0 3.7
Nova Zelândia 2.1 1.3
Fonte: adaptado de https://br.norton.com/
nortonlifelock-cyber-safety-report
23
sável pela violação de dados de clientes no valor
de US$ 650 milhões.
24
riscos em TI nas organizações, utilizando-se de
boas práticas recomendadas para evitar riscos de
acesso não autorizado, interrupção ou destruição
de sistemas.
25
CONCEITOS BÁSICOS
SOBRE SEGURANÇA
DA INFORMAÇÃO,
DIRECIONADOS PARA
CRISES
Conforme abordamos nos capítulos anteriores,
gerenciar crises tem como objetivo utilizar-se de
boas práticas para evitar, prevenir ou reduzir os
impactos de uma crise e a condução adequada
de eventos de crises.
26
Aqui observaremos a segurança da informação
como uma camada extra de prevenção a crises or-
ganizacionais e os motivos que levam companhias
a investirem cada vez mais nesse tipo de proteção.
27
tecnologia. Alguns desses eventos negativos que
podem afetar qualquer tipo de empresa, eles são:
y Roubo de informações: elas são o maior
bem de uma empresa, seja de qualquer porte ou
segmento. Não importa se é um banco com mi-
lhares de clientes, um fabricante de aviões com
informações industriais sensíveis ou a pequena
empresa de desenvolvimento de software. A per-
da ou extravio de informações pode resultar em
perda de competitividade e credibilidade perante
usuários e clientes;
y Impacto na operacionalização da empresa: a
maioria absoluta das empresas não pode operar
um único dia sem seus sistemas apoiando a ope-
ração. Um grande hipermercado ou um pequeno
posto de combustível pode ter impactos financeiros,
operacionais e de credibilidade com seus clientes
caso sua operação seja interrompida por um ataque
ou vulnerabilidade em seu servidor que sustenta
todas as suas atividades;
y Sequestro de dados: muito comum atualmente,
grandes empresas, governos e pequenos negócios
sofrem com essa prática que bloqueia a base de
dados e solicita um resgate para ter acesso nova-
mente às informações.
y Vazamentos de dados confidenciais de clientes
e usuários: seja uma empresa do setor financeiro,
jurídico ou uma rede social, ela é responsável pela
guarda das informações dos clientes de forma
28
prudente e responsável e deve tomar todas as
medidas necessárias para evitar vulnerabilidades
que possibilitem o extravio dessas informações;
y Danos à imagem: qualquer um dos eventos
pode gerar desconforto por parte de usuários e
clientes, quebra de confiança, perda financeira e
de credibilidade.
SAIBA MAIS
A gestão de risco com base na segurança da informa-
ção é padronizada e estruturada em diversos padrões
e metodologias, dentre elas:
29
No contexto da segurança da informação, tentamos
prever os riscos que são iminentes à tecnologia da
informação e planejar as respostas a esses riscos.
Mas não conseguimos prever ou criar respostas
a todos os riscos, então, em um processo cíclico,
realizamos constantemente uma análise dos riscos
que podem impactar uma operação e classificamos
os riscos que possuem maior probabilidade e que
causem maior impacto na operação.
Impacto
30
Com os riscos identificados, é possível realizar
tratativas diferentes para cada tipo de risco, por
exemplo:
y Mitigar o risco: ações para reduzir a probabili-
dade e o impacto do risco.
y Aceitar o risco: quando o risco é aceitável
pela organização e nenhuma ação é tomada em
relação a ele.
y Transferir o risco: transferir o risco para ou-
tra entidade através de seguros ou para outros
fornecedores.
31
AMEAÇAS E SEUS
ELEMENTOS
Um dos maiores desafios da área de segurança
da informação é lidar com momentos de crises
e vulnerabilidades. É nesse momento de vulnera-
bilidade que se concretizam os “eventos”, conhe-
cidos também por “ameaças”.
32
podem ser sites, bancos de dados, servidores,
serviços, aplicações, sistemas, dentre outras en-
tidades concretas ou abstratas.
33
CONSIDERAÇÕES FINAIS
Neste e-book conhecemos o processo de geren-
ciamento de crises, desde a fase de planejamen-
to de gerenciamento de crise até a análise de
modelos de plano e manual de crise. Abordamos
o relacionamento entre crise e a segurança da
informação. Por fim, passamos pelo tópico de
segurança da informação com foco em crises,
os eventos negativos de crises em segurança da
informação e as ameaças e impactos da uma
crise na empresa.
34
Referências Bibliográficas
& Consultadas
ALEVATE, W. Gestão da Continuidade de
Negócios. Rio de Janeiro: Campus, 2013.
[Minha Biblioteca].