GESTÃO DE CRISES E

CONTINUIDADE DOS NEGÓCIOS

SAULO FERES HENRIQUE

e-Book 1
Sumário
INTRODUÇÃO������������������������������������������������� 3

O PROCESSO DE GERENCIAMENTO DE
CRISE������������������������������������������������������������� 4
Planejamento do gerenciamento de crise��������������������������� 7
Construindo um plano de crises���������������������������������������� 12
Elaborando um manual de crises�������������������������������������� 17

GESTÃO DE CRISE E SEGURANÇA DA

INFORMAÇÃO���������������������������������������������� 21

CONCEITOS BÁSICOS SOBRE

SEGURANÇA DA INFORMAÇÃO,
DIRECIONADOS PARA CRISES�������������������� 26

AMEAÇAS E SEUS ELEMENTOS������������������ 32

CONSIDERAÇÕES FINAIS���������������������������� 34

REFERÊNCIAS BIBLIOGRÁFICAS &

CONSULTADAS�������������������������������������������� 35
INTRODUÇÃO
Neste e-book abordaremos o processo de gerencia-
mento de crises, o planejamento de gerenciamento
de crise e alguns modelos de plano e manual de
crise. Em seguida, abordaremos os relacionamentos
entre crises e a segurança da informação. Por fim,
entraremos no tópico de segurança da informação
com foco em crises, os eventos negativos de cri-
ses em segurança da informação e as ameaças
e impactos da uma crise na empresa.

3
O PROCESSO DE
GERENCIAMENTO DE
CRISE
O processo de gerenciamento de crises tem como
objetivo criar um conjunto de boas práticas de
modo a evitar, prevenir ou reduzir os impactos
causados por uma crise para a organização ou
criar um modelo de condução de eventos para
crises que já ocorreram.

Na década de 1980, especialistas começaram a

estudar os eventos de crises e identificaram que
o momento adequado para se iniciar o gerencia-
mento de uma crise é antes do evento ocorrer, de
forma preventiva, e não durante ou após, como
era de costume.

De modo a simplificar o entendimento sobre o

processo de gerenciamento de crise, segundo
Forni (2019, p.97), alguns elementos-chave devem
ser considerados para uma adequada gestão dos
eventos considerados como crise.

4
 Figura 1: Elementos-chave no processo de gestão de crises

Plano
simples e
flexível
Ações
de
Porta-voz
comunicação

CRISE

Resposta
rápida Liderança

Partes
Interessadas

Fonte: adaptado de Forni (2019, p. 97).

Dessa forma, o gerenciamento de crise é um

conjunto de medidas que visam a antecipar acon-
tecimentos de crise ou mitigar o risco de uma
situação, fornecendo assim maior controle sobre
o decorrer do evento.

Então vamos entender neste e-book a evolução da

disciplina de gerenciamento de crise e como alguns
estudos realizados por organizações especializadas

5
em gerenciamento de crises conseguiram elencar
pontos de atenção no planejamento de gestão de
crises, como:
y Plano de crise;
y Etapas da prevenção da crise;
y Auditoria de vulnerabilidades;
y Plano de contingência;
y Resposta a situações de emergência;
y Gerenciamento da crise;
y Comunicação de crise e de risco;
y Pós-crise, com aprendizagem, correções, re-
cuperação e avaliação.

Tendo isso como principal foco, identificaremos

algumas formas de se criar planos de gestão de
crise para se lidar com esses eventos antes que
possam impactar a organização e também criar
um plano coeso entre todos os departamentos
da organização, ao contrário do que é visto no
atual mercado, em que diversos departamentos
da mesma companhia possuem planos de gestão
de crises e riscos diferentes e que não convergem
para a mesma estratégia.

A intenção é possuir uma coordenação entre todos

os planos, inclusive no que tange a Tecnologia da
Informação, para se lidar com eventos negativos
referentes a planos de resposta a desastres na-
turais, plano de emergência de instalações, plano

6
de resposta a incêndio, plano de comunicação de
crise, plano de operações de emergência e plano
de emergência para a internet.

SAIBA MAIS
Os atentados terroristas ao World Trade Center, em
setembro de 2001, mostraram que diversas empresas
que possuíam escritórios nas duas torres não possuíam
planos de gerenciamento de crises e continuidade dos
negócios. Departamentos de Tecnologia da Informação
de várias empresas possuíam seus servidores de sites,
sistemas e bancos de dados, titulares e de backup, nas
duas torres e foram perdidos e nunca mais recuperados.

Diversas empresas não possuíam planos de contingência

e desapareceram, incluindo seus proprietários.

Mesmo com ajuda financeira do governo americano,

50% das empresas nunca mais foram erguidas.

PLANEJAMENTO DO
GERENCIAMENTO DE CRISE
Embora seja impossível prevermos todas as crises
que podem afetar as empresas no âmbito de Tec-
nologia da Informação, podemos nos preparar para
tomar medidas para alguns tipos de crise vindos
de diversas fontes, em especial:
y Crises com situação potencial através de au-
ditoria de vulnerabilidades (invasão a sistemas e

7
redes, ataque hacker, perda de dados ou informa-
ções, vazamento de informações);
y Crises que já atingiram outras empresas no
âmbito de Tecnologia da Informação (redes so-
ciais, desenvolvedores de software e sistemas,
fabricantes de hardware, bancos);
y Atividades que venham de encontro aos inte-
resses das partes interessadas (clientes, parceiros,
usuários).

Sabendo suas origens mais comuns, segundo

Forni (2019, p.98), podemos pontuar alguns pas-
sos iniciais para iniciarmos o planejamento para
gerenciamento de crises:

1) Catalogar potenciais situações de crise;

2) Conceber políticas para sua prevenção;

3) Formular estratégias e táticas para conduzir

cada crise potencial;

4) Identificar quem pode ser afetado por elas;

5) Conceber efetivos canais de comunicação

para os afetados pela crise, como forma de
minimizar o dano à reputação da organização;

6) Testar tudo.

Empresas costumam não possuir um planejamento

de crise e frequentemente estão despreparadas
quando um desses incidentes acontecem, ou em

8
muitos casos confundem o gerenciamento de cri-
ses com planos de contingência (em alguns casos
conhecidos como planejamento de riscos, plano de
continuidade do negócio ou plano de recuperação
de desastres), que não são a mesma coisa.

Planos de gerenciamento de crise têm outra di-

mensão e significam estar preparado e saber o
que fazer nesses momentos decisivos, para assim
evitar uma desestabilização que pode afetar uma
marca, pessoas ou a vida financeira da companhia
com gastos inesperados.

Deve ser utilizado por todos os setores/depar-

tamentos da empresa de forma coesa e elencar
quais situações em uma crise são prioritárias e
como seriam gerenciadas, com papéis e respon-
sabilidades já definidas.

Mas por que, mesmo sabendo que crise é uma cer-

teza na vida de qualquer empresa, muitas não estão
preparadas e sequer conhecem o gerenciamento
de crise? Porque muitas empresas acreditam ser
infalíveis em seus processos, talvez pelo tamanho
da empresa, sobretudo as grandes corporações,
que tratam o assunto com certa arrogância por
parte de seus líderes.

Podemos lembrar da uma das maiores violações

de dados de todos os tempos, onde uma hacker,
Paige Thompson, foi acusada de invadir o servidor

9
do banco americano Capital One e obter acesso a
140.000 números de Previdência Social, 1 milhão
de números do Seguro Social canadense e 80.000
números de contas bancárias, além de um número
não revelado de nomes de pessoas, endereços,
pontuação de crédito, limites de crédito, saldos
e outras informações. Paige Thompson já havia
trabalhado na Amazon Web Services, onde fica-
vam hospedados os serviços em nuvem do banco
Capital One, e ela explorou o acesso ao firewall de
aplicativo da web mal configurado.

O banco só soube da exposição de dados de clien-

tes devido à denúncia de um usuário do GitHub
(plataforma de hospedagem de código-fonte e
arquivos com controle de versão de software), que
por sua vez acionou o Departamento Federal de
Investigações dos Estados Unidos (FBI).

A empresa indicou que corrigiu a vulnerabilidade

e disse ser “improvável que a informação tenha
sido usada para fraude ou disseminada por esse
indivíduo”.

Mesmo com as ações de contorno ao pós-crise, a

empresa contabiliza entre US$ 100 milhões e US$
150 milhões em custos relacionados ao hack e
suas ações caíram cerca de 5% nas negociações
da bolsa.

10
Diante disso, o que podemos afirmar é que geral-
mente as organizações estão despreparadas para
crises e são surpreendidas muitas vezes por não
se qualificarem como um negócio de risco.

Mesmo as crises possuindo fatores que dificultam

sua identificação antes de ocorrerem, é necessá-
rio planejar, e auditorias podem identificar alguns
problemas pouco prováveis de acontecer na visão
de muitos líderes.

Se olharmos para trás na história, podemos ver

inúmeros eventos de crises que afetaram peque-
nas e grandes empresas com consequências que
vão desde a perda de credibilidade e reputação até
prejuízos financeiros (que poderiam ser minimiza-
dos caso fosse investida uma pequena parte no
planejamento pré-crise).

Além desses fatores, temos também o fator psi-

cológico, que expõe todas as partes envolvidas
dentro da empresa, que se tornam alvos da opinião
pública. Esse clima provoca um nível de estresse
alto e afeta o clima de toda a organização com uma
certa tensão, podendo levar a decisões incoerentes,
precipitadas e errôneas, que podem trazer mais
pânico a todas as partes interessadas.

Por esses motivos, é necessário que, além de se

ter um plano de crise, todos na empresa possuam
conhecimento de que existem planos e diretrizes.

11
Já os responsáveis pelas respostas aos eventos
devem possuir uma cópia do plano de crise, do
plano de contingência, do plano de comunicação
e do manual de gerenciamento de crises.

Com isso em mãos, é muito mais provável que um

líder transpareça um equilíbrio adequado perante
a situação, auxiliando a tomada de decisões racio-
nais e estratégias bem aplicadas perante o evento.

CONSTRUINDO UM PLANO DE
CRISES
Apesar de manuais de gestão de crises ajuda-
rem as empresas a estarem preparadas para es-
ses eventos, não são o suficiente para enfrentar
todos os problemas que possam acontecer.

O manual é apenas o resultado de um plano de

crises que por sua vez pode ser simples e flexível
e deve contemplar as principais ações a serem
adotadas.

De acordo com Forni (2019, p.105), “ele pode ser

construído em equipe, e deve ser realista para
evitar ou reduzir o impacto das crises. Deve ser
do amplo conhecimento da organização”.

Então, para construir um plano de gerenciamento

de crise é necessário um trabalho coletivo em
conjunto com um comitê de crise ou uma equipe
estratégica de prevenção previamente definida. A

12
partir desse momento, cada organização custo-
miza seu plano dentro do contexto de atuação da
companhia, que por sua vez responderá algumas
questões sobre como administrar crises previstas
pela organização.

Note que não existe uma resposta única de como

deve ser criado um plano de gerenciamento de
crise, já que cada companhia é única e atende a
expectativas de diferentes clientes, usuários e atua
em diferentes contextos, porém podemos através
de algumas premissas e justificativas adaptar um
roteiro básico que pode ser adaptado para alguns
cenários corporativos.

A seguir, vamos tomar como exemplo um roteiro

criado por João José Forni no livro Gestão de
Crises e Comunicação:
Tabela 1: Roteiro para o plano de crises
ROTEIRO PARA O PLANO DE CRISES
Índice Texto introdutório com objetivos, meta, escopo
e políticas relevantes, como um guia para a
equipe localizar o conteúdo com rapidez
Documenta- Oportunidade para o gabinete de crise conhe-
ção cer e enumerar as ações a serem executadas
durante uma crise; inclui também levantar con-
tatos imprescindíveis e informações (banco de
dados) a serem informados aos stakeholders,
e principalmente à mídia no caso de uma crise
Centro de Para ser usado pelo gabinete de crise (en-
operações de dereço, detalhes sobre instalações, serviços
emergência de comunicações, infraestrutura, segurança,
emergência)

13
ROTEIRO PARA O PLANO DE CRISES
Gabinete de Um time pequeno de executivos seniores
crise comandará as ações do quartel-general da
gestão de crise
Responsabi- Equipes suplementares de crise: recomenda-
lidades e atri- das para organizações com múltiplas sucur-
buições dos sais, até mesmo no exterior; equipes alternati-
membros vas de crise, para a eventualidade de falha ou
do gabinete ausência dos membros do gabinete de crise
de crise, no
caso de um
evento grave
Cenários de Eleger os piores e escolher dois ou três para
crise treinamento simulado, que poderá ocorrer uma
vez por ano
Desenvolver O material deve ser um documento práti-
um manual co, objetivo, com as principais diretrizes da
de gerencia- empresa, a maioria já constante do Plano de
mento de Contingência
crise
Auditoria de Anual ou semestralmente, a empresa proce-
vulnerabilida- derá a um levantamento para identificar todas
des as áreas e situações com probabilidade de
gerarem crises. Esse levantamento irá balizar o
plano de crise. Essa auditoria poderá ser feita,
preferencialmente, por empresa contratada
Recursos Infraestrutura necessária para manter contato
financeiros, com as demais equipes numa crise; incorporar
materiais e ao planejamento estratégico e contemplar
humanos da orçamentos para viagens, treinamento, simula-
equipe de ções, manuais, material de divulgação etc.
crise

14
ROTEIRO PARA O PLANO DE CRISES
Procedimen- Internos e externos; modelos de notas para di-
tos e alter- vulgação imediata, em casos de crises previs-
nativas de tas ou prováveis. Algumas notas, previamente
comunicados aprovadas pela área jurídica, poderão ser inclu-
para cada ídas no Manual de Gerenciamento de Crises.
cenário Obs.: os gestores devem rever regularmente
os procedimentos para o caso de revisões de
cenários, equipes ou rotinas.
Porta-vozes Diretores, gerentes ou empregados autorizados
a falar com a imprensa, treinados e prepara-
dos. O CEO pode ser o porta-voz, mas não ne-
cessariamente o principal. Cada crise poderá
ter um porta-voz específico, dependendo da
área, mas os porta-vozes devem ser treinados
antecipadamente em media training crisis
Uma vez por Os treinamentos poderão simular uma crise,
ano, ou se- inclusive com acionamento de intervenientes
mestralmen- externos e empregados. As conclusões e even-
te, organizar tuais falhas e correções devem ser cataloga-
uma crise das para a análise da equipe de crise
simulada
Internet Criar antecipadamente endereço alternativo
do site, para o caso de crise que afete a área
tecnológica da organização, como alternativa
para comunicação imediata com os principais
stakeholders. Esse plano B deve estar pronto
para ser acionado durante a crise
Call center Sistemas de atendimento emergencial para
uso durante a crise. Criar uma central com ca-
pacidade operacional para atendimento espe-
cial, pessoal especialmente treinado e suporte
técnico adequado. Lembrar que o atendimento,
numa situação de crise, é atípico

15
ROTEIRO PARA O PLANO DE CRISES
Proto- Fluxo de informações (sistemas e pesso-
colos de as) que recebem e processam informações
comunicação sobre crise na organização. Todos os nomes
e contatos devem constar no plano de crise,
abrangendo nomes, endereços, telefones,
qualquer tipo de contato de todos os membros
e suplentes do comitê de crise; distribuição a
todos os empregados da empresa, para que
estejam cientes do que fazer e saibam quem
chamar na eventualidade de uma crise. Nesse
cadastro, devem constar todas as intercone-
xões da empresa. No caso de uma crise, todos
sabem quem devem chamar. Essa cadeia
aciona e mobiliza rapidamente a empresa para
enfrentar uma crise. Os empregados devem ter
conhecimento do plano de crise, preservando
temas sigilosos. Em caso de emergência, o
plano precisa ser acionado imediatamente,
mesmo sem autorização ou conhecimento da
diretoria. Nos treinamentos, deve-se enfatizar a
autonomia e a responsabilidade dos diretores,
gerentes e demais, em consonância com o pri-
meiro mandamento da gestão de crise: rapidez
de decisão
Stakeholders Relacionar todos os públicos de interesse da
(Partes organização, a começar pelos principais: em-
interessadas) pregados, acionistas, clientes, fornecedores,
parlamentares, sindicatos, mídia, associações
locais, autoridades policiais, Defesa Civil etc. A
mídia deve merecer atenção especial

16
ROTEIRO PARA O PLANO DE CRISES
Métodos de Cada grupo de stakeholders deve estar rela-
comunicação cionado com e-mails, SMS, telefone e demais
das ações dados antecipadamente, além dos tipos de
informação que cada um deve receber durante
a crise. Considerar alternativas de comuni-
cação em situações de emergência, telefone
grátis (0800) e até site alternativo, no caso de
pane geral ou ataque à sede ou sucursais da
organização. Em caso de crise com mortes,
analisar a possibilidade de adaptar as cores e
o leiaute do site à tonalidade de luto
Fonte: Adaptado de Forni, 2019, p. 107.

ELABORANDO UM MANUAL DE
CRISES
Abaixo desse guarda-chuva chamado plano de
gerenciamento de crises existem alguns instru-
mentos, dentre eles o manual de crises. Trata-se
de um documento simples no qual são envol-
vidos diversos setores da organização durante
sua criação.

Esse manual é composto de normas básicas de

prevenção, remediação e gerenciamento de crises
e é criado por uma equipe de gerenciamento de
crises e pela equipe de comunicação após a realiza-
ção de uma auditoria de riscos e vulnerabilidades.

Por se tratar de um documento estratégico, que

possui informações sobre o diagnóstico de riscos
e vulnerabilidades da companhia e planos de con-
tingência, deve ser confidencial e ter seu acesso

17
completo limitado a um grupo restrito de papéis
na empresa, de preferência à equipe de gerencia-
mento de crises e diretoria.

De modo a facilitar a criação de um manual de

crises para empresas, Forni (2019) elenca um
roteiro básico com informações indispensáveis,
cabendo a quem necessita criar um manual de
crises adaptá-lo às necessidades de cada tipo de
organização.

A estrutura do manual de gerenciamento de crises,

segundo Forni (2019, p.255), deve conter:
y Introdução ou sumário, com a apresentação e os
objetivos do manual, como usá-lo, expectativas dos
membros do comitê e da equipe de Comunicação;
y Definição de crise, com foco no negócio da
organização. Eleger os tipos de crise e a diferença
entre crise, emergência e problemas;
y Descrição resumida dos procedimentos a se-
rem seguidos no caso de crises graves na organi-
zação. Por amostragem, dar alguns exemplos de
crise grave, especificar os procedimentos, origem,
ameaças e grau de risco para a organização. É
possível contemplar pelo menos a maior parte
das ameaças;
y Comitê de Crise e equipe de comunicação:
hierarquia, nomes e cargos, contatos telefônicos,
inclusive celulares, e-mails, redes sociais de todos
os membros da equipe e suplentes, descrição dos

18
papéis e das responsabilidades dos membros do
comitê, localização, contatos internos e externos
de apoio, no caso de crises, como apoio jurídico,
assistência social, psicólogos, consultores de
Relações Públicas e Comunicação;
y Demais públicos: listar os grupos intervenientes,
no caso de crises na organização, desde a área
parlamentar até a área operacional, com endere-
ços e telefones (como autoridades do governo,
policiais, bombeiros, serviços de emergência,
hospitais conveniados, Defesa Civil, órgãos am-
bientais etc.). Alternativas de comunicação com
os empregados, sites alternativos, além do oficial,
endereços e telefones alternativos de localização
do comitê, em caso de crise grave que interdite a
sede ou instalações estratégicas.

Comunicação: resumo das mensagens a serem

divulgadas nas crises previstas, previamente apro-
vadas, para o público interno e externo, incluindo
todos os stakeholders: empregados, terceirizados,
aposentados, acionistas, clientes, fornecedores,
parlamentares etc.

Recursos materiais: descrição do centro de crise ou

sala de emergência, também chamada de sala de
situação, modelos de formulários, material de apoio
às rotinas do comitê de crise, material interno de
divulgação do comitê, minutas de comunicados a
autoridades e clientes, conforme os tipos de crise

19
mais prováveis, normas internas, suporte de call
center, telefones etc.;

Relações com a mídia: checklist dos procedimentos

de relacionamento com a imprensa, no caso de
crise: porta-vozes, limites de atuação, divulgação
de notas, normas e locais para entrevistas exclusi-
vas ou coletivas, relação dos jornalistas, editores
e diretores que interagem com a organização,
mailing list com os principais jornalistas e órgãos
de imprensa;
y Banco de dados: informações básicas sobre
onde encontrar balanços e informações-chave da
empresa, inclusive com os nomes, telefones, e-mails
e endereços nas redes sociais dos empregados
que sejam fontes dessas informações;
y Relações externas: elencar todos os interlocu-
tores externos alvos prioritários de informações
sobre a crise, que não sejam autoridades ou órgãos
de emergência, como fornecedores nacionais e
internacionais, investidores, benfeitores ou mante-
nedores da organização, além de públicos especiais;
y Normas internas sobre crises, inclusive con-
fidenciais, contemplando medidas do plano de
contingência, elencando para cada ameaça de
crise grave o tipo de providência.

20
GESTÃO DE CRISE
E SEGURANÇA DA
INFORMAÇÃO
Neste tópico vamos abordar a convergência que
ocorre entre a gestão de crise e a segurança da
informação, além de alguns casos que podem
servir de exemplo para gestores atentarem-se
a como uma falha na segurança da informação
pode gerar uma crise de grandes proporções.

Conheceremos também a importância de audi-

torias em sistemas que auxiliam a mitigação de
eventuais eventos negativos.

Em muitos casos é possível verificar que a desa-

tenção de gestores, o excesso de confiança, os
desvios de responsabilidade ou a falta de uma
auditoria em departamentos ou parceiros de ne-
gócios geraram eventos críticos que afetaram a
imagem de grandes companhias e governos.

O que falta, em muitos casos, são informações e

análises realizadas por sistemas de segurança da
informação e diagnósticos precisos que apontam
de onde a ameaça pode vir, criando, assim, estra-
tégias de prevenção.

Nos últimos anos ficou muito comum hackers in-

vadirem instituições públicas e privadas de modo

21
a interromper sua operação, explorar vulnerabi-
lidades, interceptar tráfego de rede, destruir ou
sequestrar dados.

Segundo a empresa de cibersegurança Kaspersky,

em 2020, o Brasil foi o país da América Latina com
maior número de ataques de softwares malicio-
sos que atuam como sequestradores de dados e
exigem pagamento para o resgate deles.
Figura 2: Ataques ransomware na América Latina

Fonte: adaptado de https://www.kaspersky.com.br/blog/

brasileiros-alvo-metade-ransomware/16562/

Segundo o relatório anual de 2020 da empresa

de cibersegurança Norton, quase 500 milhões de
consumidores foram vítimas de crime cibernético,
com quase 350 milhões só no último ano.

22
Tabela 2: Relatório anual de 2020 de crimes cibernéticos em 10
países
Países analisados Até dezembro Em 2020
de 2019 (*em (*em milhões)
milhões)
Índia 158.3 131.2
Estados Unidos 157.6 109.9
Japão 44.4 24.6
França 31.6 19.3
Itália 27.4 19.1
Alemanha 32.0 17.7
Reino Unido 28.3 16.5
Austrália 10.6 6.1
Holanda 7.0 3.7
Nova Zelândia 2.1 1.3
Fonte: adaptado de https://br.norton.com/
nortonlifelock-cyber-safety-report

Esses dados representam pessoas físicas, jurídi-

cas e governo, porém o principal alvo de ataques
continua sendo grandes grupos multinacionais que
têm seus sistemas de tecnologia da informação
invadidos, manchando assim sua marca no mer-
cado. Segundo a Verizon, que adquiriu o Yahoo,
mais de 3 bilhões de usuários teriam sido vítimas
de invasão a suas contas em 2013.

Mas esse tipo de exposição de clientes não é ex-

clusividade de empresas de tecnologia, ocorrendo
em todos os seguimentos.

Uma agência de crédito em 2019 realizou o maior

acordo com a justiça americana por ser respon-

23
sável pela violação de dados de clientes no valor
de US$ 650 milhões.

Em muitos casos, o prejuízo à reputação é ainda

maior, pois há perda de confiança na companhia.
E o que pequenas empresas podem fazer em si-
tuações como essa, onde há prejuízos financeiros
e à marca? Em muitos casos, pode ser o fim de
muitas delas.

Por esse motivo, é essencial que empresas se

previnam de ataques, principalmente as que lidam
com dados financeiros e pessoais de seus clientes.

Isso afeta diretamente as pessoas envolvidas, pois

dados de identidade roubados podem servir para
outros golpes, tirando o sossego de muitas pes-
soas que podem ter contas bloqueadas e créditos
cancelados, além de toda perturbação e perda de
tempo e dinheiro até tudo ser regularizado.

Há também ataques a governos inteiros, que

podem afetar a soberania de um país e toda sua
população, muitas vezes comprometendo sistemas
essenciais de toda comunidade, como sistemas
de energia, abastecimento, saúde, educação, se-
gurança e justiça.

Então, a única maneira de se proteger e minimizar

crises é investindo em segurança. E é nesse mo-
mento que entram os planos de gerenciamento de

24
riscos em TI nas organizações, utilizando-se de
boas práticas recomendadas para evitar riscos de
acesso não autorizado, interrupção ou destruição
de sistemas.

Podemos aqui elencar algumas recomendações de

proteção perante tantos riscos, sendo, dessa ma-
neira, um passo no caminho à prevenção de crises:
y Segurança física: ambiente de escritório seguro,
sistemas de intrusão, acesso somente a pessoas
confiáveis, acesso a servidores somente por es-
pecialistas experientes, segurança física à rede;
y Plano e estratégias de backup de dados: backup
de todos os dados da organização, duplicação de
backup em data centers distintos geograficamente,
seguir normas referentes à área de atuação da
empresa, contratar especialistas em arquitetura
e segurança da informação;
y Monitoramento em todas as esferas: moni-
toramento de rede 24 horas, monitoramento de
sites, monitoramento de sistemas de backup, mo-
nitoramento de ameaças de invasão, proibição de
acesso de laptops e dispositivos móveis pessoais
e particulares à rede corporativa;
y Política de senhas: cuidado especial a sistemas
críticos (servidores de dados e arquivos), política
de responsabilidade de senhas, política de viola-
ção de informações sensíveis e dados reservados,
instruções de troca de senha constante.

25
CONCEITOS BÁSICOS
SOBRE SEGURANÇA
DA INFORMAÇÃO,
DIRECIONADOS PARA
CRISES
Conforme abordamos nos capítulos anteriores,
gerenciar crises tem como objetivo utilizar-se de
boas práticas para evitar, prevenir ou reduzir os
impactos de uma crise e a condução adequada
de eventos de crises.

Desse modo, a segurança da informação deve ser

utilizada como um complemento por companhias
em que a preocupação em evitar danos à imagem
e à operação possa servir de fator competitivo para
garantir a conformidade de uma operação.

Partindo desse princípio, a segurança da informação

possui dispositivos para garantir a confidenciali-
dade, a integridade e a disponibilidade dos ativos
de informação da empresa, evitando assim riscos
de ataque que possam comprometê-la.

Utilizando-se do gerenciamento de crises, empre-

sas estão sempre tentando prever crises de modo
proativo e assim estão atentas a vulnerabilidades
de tecnologia da informação para abordar de forma
adequada as ameaças existentes.

26
Aqui observaremos a segurança da informação
como uma camada extra de prevenção a crises or-
ganizacionais e os motivos que levam companhias
a investirem cada vez mais nesse tipo de proteção.

Com o propósito de proteger os ativos de informação

da empresa, ou seja, os dados em diversas formas
de representação que agregam valor estratégico
à companhia, a segurança da informação deve
se fundamentar nos três pilares da segurança da
informação:
y Confidencialidade: capacidade de um sistema
impedir acesso não autorizado a determinada
informação a que somente usuários autorizados
tenham permissão;
y Integridade: característica de segurança que
garante que a informação seja manipulada somente
de forma autorizada, correta e completa;
y Disponibilidade: quantidade de vezes que o
sistema cumpriu uma tarefa sem falhas, para um
número de vezes em que foi solicitado a fazer a
tarefa.

Assim, companhias veem o gerenciamento de

crises, o gerenciamento de riscos e a segurança
da informação como uma estratégia inseparável
para os desafios diários de manter seus negócios
em plena operação e protegidos de intempéries da

27
tecnologia. Alguns desses eventos negativos que
podem afetar qualquer tipo de empresa, eles são:
y Roubo de informações: elas são o maior
bem de uma empresa, seja de qualquer porte ou
segmento. Não importa se é um banco com mi-
lhares de clientes, um fabricante de aviões com
informações industriais sensíveis ou a pequena
empresa de desenvolvimento de software. A per-
da ou extravio de informações pode resultar em
perda de competitividade e credibilidade perante
usuários e clientes;
y Impacto na operacionalização da empresa: a
maioria absoluta das empresas não pode operar
um único dia sem seus sistemas apoiando a ope-
ração. Um grande hipermercado ou um pequeno
posto de combustível pode ter impactos financeiros,
operacionais e de credibilidade com seus clientes
caso sua operação seja interrompida por um ataque
ou vulnerabilidade em seu servidor que sustenta
todas as suas atividades;
y Sequestro de dados: muito comum atualmente,
grandes empresas, governos e pequenos negócios
sofrem com essa prática que bloqueia a base de
dados e solicita um resgate para ter acesso nova-
mente às informações.
y Vazamentos de dados confidenciais de clientes
e usuários: seja uma empresa do setor financeiro,
jurídico ou uma rede social, ela é responsável pela
guarda das informações dos clientes de forma

28
prudente e responsável e deve tomar todas as
medidas necessárias para evitar vulnerabilidades
que possibilitem o extravio dessas informações;
y Danos à imagem: qualquer um dos eventos
pode gerar desconforto por parte de usuários e
clientes, quebra de confiança, perda financeira e
de credibilidade.

Por esses motivos a segurança da informação

possui um objetivo constante de gerenciar riscos
que estão ao redor de todos os eventos ligados à
tecnologia da informação.

Da mesma forma que analisamos anteriormente o

planejamento de crises, a gestão de riscos também
tenta prever o que acontecerá no futuro a fim de
se preparar para lidar da melhor forma com esses
eventos negativos e lidar com a probabilidade e o
impacto resultantes deles.

SAIBA MAIS
A gestão de risco com base na segurança da informa-
ção é padronizada e estruturada em diversos padrões
e metodologias, dentre elas:

ISO 27000 (Sistema de gestão de segurança da infor-

mação), ISO 27005 (Gestão de risco da segurança da
informação), NIST 800-30, COBIT, COSO, OCTAVE, ANZ
4360 e FAIR.

29
No contexto da segurança da informação, tentamos
prever os riscos que são iminentes à tecnologia da
informação e planejar as respostas a esses riscos.
Mas não conseguimos prever ou criar respostas
a todos os riscos, então, em um processo cíclico,
realizamos constantemente uma análise dos riscos
que podem impactar uma operação e classificamos
os riscos que possuem maior probabilidade e que
causem maior impacto na operação.

Com isso, é possível construir uma lista priorizada

de riscos mais agressivos à continuidade do negócio
e, assim, criamos respostas adequadas ao risco,
visando a maximizar a relação de custo-benefício
das medidas de segurança.

Uma das formas mais comuns de representar a

magnitude de um risco é a matriz de probabilidade
e o impacto do risco de forma qualitativa:
Tabela 3: Matriz probabilidade x impacto
Risco = Probabilidade x Impacto�
1 Média Média Alta Alta Alta
Probabilidade

0,75 Baixa Média Alta Alta Alta

0,50 Baixa Média Média Alta Alta

0,25 Baixa Baixa Média Média Alta

0,10 Baixa Baixa Baixa Média Média

0,10 0,25 0,50 0,75 1

Impacto

Fonte: elaborado pelo autor.

30
Com os riscos identificados, é possível realizar
tratativas diferentes para cada tipo de risco, por
exemplo:
y Mitigar o risco: ações para reduzir a probabili-
dade e o impacto do risco.
y Aceitar o risco: quando o risco é aceitável
pela organização e nenhuma ação é tomada em
relação a ele.
y Transferir o risco: transferir o risco para ou-
tra entidade através de seguros ou para outros
fornecedores.

31
AMEAÇAS E SEUS
ELEMENTOS
Um dos maiores desafios da área de segurança
da informação é lidar com momentos de crises
e vulnerabilidades. É nesse momento de vulnera-
bilidade que se concretizam os “eventos”, conhe-
cidos também por “ameaças”.

As ameaças podem ser oriundas de eventos como

terremotos, incêndio, ataque à rede, captura de
informações ou sequestro de dados. Elas podem
ocorrer com ou sem um agente causador (desastre
natural, por exemplo, como maremoto). Porém,
quando há alguém por trás da ameaça, esse
elemento recebe o título de “agente de ameaça”.
Entre os agentes de ameaça podemos citar como
exemplo: funcionários, hackers, terroristas e até
softwares maliciosos como malware.

Quando a ameaça se concretiza, o prejuízo, dano ou

perda causada é conhecida como “impacto”. Esse,
por sua vez, é caracterizado pelo comprometimento
de um ou mais pilares básicos da segurança da
informação: confidencialidade, integridade e dis-
ponibilidade, resultando usualmente em prejuízo
monetário ou de reputação da companhia.

Os componentes afetados pelas ameaças que se

concretizam são conhecidos como “ativos”, que

32
podem ser sites, bancos de dados, servidores,
serviços, aplicações, sistemas, dentre outras en-
tidades concretas ou abstratas.

33
CONSIDERAÇÕES FINAIS
Neste e-book conhecemos o processo de geren-
ciamento de crises, desde a fase de planejamen-
to de gerenciamento de crise até a análise de
modelos de plano e manual de crise. Abordamos
o relacionamento entre crise e a segurança da
informação. Por fim, passamos pelo tópico de
segurança da informação com foco em crises,
os eventos negativos de crises em segurança da
informação e as ameaças e impactos da uma
crise na empresa.

34
Referências Bibliográficas
& Consultadas
ALEVATE, W. Gestão da Continuidade de
Negócios. Rio de Janeiro: Campus, 2013.
[Minha Biblioteca].

CABRAL, C.; CAPRINO, W. Trilhas em

Segurança da Informação: Caminhos e
ideias para proteção de dados. Rio de Janeiro:
Brasport, 2015. [Biblioteca Virtual].

CARVALHO, F. C. A. de. Gestão de Projetos.

São Paulo: Pearson Education do Brasil, 2015.
[Biblioteca Virtual].

FORNI, J. J. Gestão de Crises e Comunicação:

o que gestores e profissionais de comunicação
precisam saber para enfrentar crises
corporativas. 3. ed. São Paulo: Atlas, 2019.
[Minha Biblioteca].

FRAPORTI, S.; BARRETO, J. dos S.

Gerenciamento de Riscos. Porto Alegre:
SAGAH, 2018. [Minha Biblioteca].

GALVÃO, M. da C. Fundamentos da Segurança

da Informação. São Paulo: Pearson Education
do Brasil, 2015. [Biblioteca Virtual].
MANOEL, S. da S. Governança de Segurança
da Informação: como criar oportunidades para
o seu negócio. Rio de Janeiro: Brasport, 2014.
[Biblioteca Virtual].

MARINHO, F. Guia de Plano de Continuidade

de Negócios (PCN). Rio de Janeiro: Elsevier,
2018. [Minha Biblioteca].