Contexto empresarial:

A empresa SomTech Audio Solutions, é uma pequena empresa que realiza a produção
de caixas de som, onde seu carro chefe são as Caixas de som Portáteis Bluetooth,
localizada em Campinas/SP.

A empresa realiza vendas através do seu site e outros parceiros, tanto lojas físicas como
virtuais. Logo existem muitas negociações entre parceiros e a SomTech e promoções
para os usuários que realizam a compra via site.

Para vendas via site, a empresa realiza um cadastro do usuário que contem dados
pessoais, como CPF, Nome, Data de Nascimento e endereço.

Os dados bancários não ficam sob responsabilidade da SomTech uma vez que eles tem
um parceiro para pagamentos, transferindo o risco relacionado aos cartões de credito e
também fazendo desnecessário a certificação PCI-DSS.

A pequena empresa possui um parque de TI bem reduzido, utilizando O365 para

gerenciamento de ativos, activity diretory, drive e comunicação interna e o ERP oracle
NetSuite, tudo em modelo SaaS, para evitar grandes custo com manutenção on-
premise.

A empresa também possui um time de desenvolvimento que realiza os

desenvolvimento via GitLab do site e dos updates necessários do software de produção
que está hospedado em um pequeno servidor no escritório da empresa =.

Para atendimento dos clientes a empresa possui um pequeno time de SAC que utiliza
as ferramentas da Atlassian para receber e atender os chamados que são direcionados
via site.

A empresa não conta com um CRM, então todas as demandas de sales também ficam
centralizadas no JIRA Atlassian.

O CEO da empresa após sofrer com muitos problemas com o site, software da
produção, com as reclamações de seus vendedores, clientes e times financeiros por
falhas nos sistemas ele solicitou ao diretor de TI a criação de planos de recuperação de
desastre para os principais ativos da empresa.
Business Impact Analisys - BIA:

Para iniciar a elaboração do plano de desastre a empresa irá realizar a analise de

impacto ao negocio, para isso serão conduzidas uma serie de entrevistas as áreas de
negocio para identificar os principais problemas e impacto ao negocio, utilizando a
metodologia 5W2H.

 O que?  Onde ?  Quem?

 Por que?  Quando?  Quanto?

Foram então identificados os ativos mais críticos para empresa:

 Software de Produção
 GitLab
 JIRA
 ERP Oracle NetSuite
 Microsoft Office 365 (O365)
 Sistema de Pagamento e Parceiro Financeiro:

Foram então mapeados os 3 principais processos que mais impactavam a empresa:

 Falha no Software de Produção de Caixas de Som:

o Impacto Financeiro: Atraso nas entregas e possíveis penalidades contratuais.
o Impacto Operacional: Interrupção na produção resultando em perda de receitas.
o Impacto Reputacional: Insatisfação dos clientes devido a atrasos e possíveis falhas nos
produtos.

 Site não Informa Pagamentos para o ERP (Contas a Receber):

o Impacto Financeiro: Parceiros negativos indevidamente, potenciais perda de negócios.
o Impacto Operacional: Dificuldade na reconciliação financeira e controle de inadimplência
e aumento no volume de chamados no SAC.
o Impacto Reputacional: Desconfiança por parte dos parceiros e clientes devido a questões
financeiras.

 NetSuite não gera Corretamente o Arquivo de retorno do Banco:

o Impacto Financeiro: Atraso nos processos bancários, possíveis bloqueios indevidos dos
parceiros e redução de receita;
o Impacto Operacional: Dificuldade na conciliação bancária e gestão de fluxo de caixa.
o Impacto Reputacional: Possíveis penalidades financeiras podem afetar a reputação da
empresa.

Para elaborar planos de desastre, foram realizadas analises para definição de prioridade
para resolução dos problemas, através das perguntas onde cada resposta tem um peso
para avaliação do impacto do processo;

1. Por quanto tempo o processo pode ficar parado?

a. Até 30 minutos – Impacto 5;
b. Até 2 horas – Impacto 4;
c. Até 24 horas – Impacto 3;
d. Até 3 dias– Impacto 1;
 e. Até 7 dias– Impacto 1;
2. Caso o prazo de resolução ultrapasse este tempo, qual o impacto financeiro?
a. Até R$ 30.000 – Impacto 1;
b. Até R$ 50.000 – Impacto 1;
c. Até R$ 100.00 – Impacto 3;
d. Até R$ 500.000 – Impacto 4;
e. Mais de R$ 500.000 – Impacto 5;
3. Caso o prazo de resolução ultrapasse este tempo, qual o impacto Operacional?
a. Não gera impacto – Impacto 1;
b. Impacta apenas 1 departamento – Impacto 2;
c. Impacta até 3 departamentos – Impacto 3;
d. Impacta mais de 3 departamentos – Impacto 4;
e. Impacta departamento de produção – Impacto 5;
4. Caso o prazo de resolução ultrapasse este tempo, qual o impacto Reputacional?
a. Não gera impacto – Impacto 1;
b. Impacta clientes – Impacto 3;
c. Impacta Parceiros – Impacto 4;
d. Impacta clientes e parceiros – Impacto 5;
e. Impacta em penalidades a empresa – Impacto 5;

Prosseguimos então com a analise 5W2H e de impacto:

Processo A: Falha no software de produção de Caixas de Som:

Descrição: Devido às falhas no software a produção falha constantemente e o TI não

consegue resolver o problema rapidamente.

5W2H:

 O que? Interrupção na produção de caixas de som.

 Por quê? Sistema apresenta erro.
 Quando? Em todas as etapas da produção.
 Onde? No local de produção.
 Quem? Software de Produção
 Como? Criação de procedimentos e fornecedores alternativos.
 Quanto? 3xs por semana no mínimo.

Impacto:

o Tempo de Parada Aceitável: Até 30 minutos – Impacto 5;

o Impacto Financeiro: Até R$ 100.000 – Impacto 3;
o Impacto Operacional: Impacta departamento de produção – Impacto 5;
o Impacto Reputacional: Impacta em penalidades a empresa – Impacto 5;

Processo B: Contas a receber

Descrição: Site não informa o pagamento para o ERP e contas a receber, fazendo com
que os clientes não consigam efetuar a compra.

5W2H
  O que acontece? Sistema não identifica o pagamento do cliente;
 Por quê? Falha na integração entre site, sistema de pagamentos e ERP;
 Quando? Vendas ocorrem;
 Onde? Integração dos sistemas;
 Quem? Equipe de desenvolvimento;
 Como? Desenvolvimento com bugs;
 Quanto? R$ 200.000;

Impacto:

o Tempo de Parada Aceitável: Até 30 minutos – Impacto 5;

o Impacto Financeiro: Até R$ 500.000 – Impacto 4;
o Impacto Operacional: Impacta mais de 3 departamentos – Impacto 4;
o Impacto Reputacional: Impacta clientes – Impacto 3;

Processo C: NetSuite não gera corretamente o arquivo de retorno do banco:

Descrição: ERP não processa corretamente o arquivo de retorno do banco, fazendo

com que diversos parceiros sejam negativados;

5W2H

 O que acontece? Sistema não interpreta corretamente o arquivo de retorno declarando que
clientes não realizam os pagamentos;
 Por quê? Falha na interpretação do arquivo de retorno;
 Quando? Arquivo de retorno do banco chega;
 Onde? ERP;
 Quem? Equipe de desenvolvimento;
 Como? Revisando o arquivo de retorno;
 Quanto? R$ 1.000.000;

Impacto:

o Tempo de Parada Aceitável: Até 3 dias– Impacto 1;

o Impacto Financeiro: Mais de R$ 500.000 – Impacto 5;
o Impacto Operacional: Impacta até 3 departamentos – Impacto 3;
o Impacto Reputacional: Impacta clientes e parceiros – Impacto 5;

Conclusão do BIA:

A definição do impacto do processo é realizada de 1 a 5, onde cada impacto tem um

peso:

o Tempo de Parada Aceitável: 0,4

o Impacto Financeiro: 0,3
o Impacto Operacional: 0,2
o Impacto Reputacional: 0,1

Onde o valor do impacto de cada item é multiplicado pelo respectivo peso, após isso
todos os valores são somados, onde:
 o Impacto menor ou igual a 2 = Baixo
o Impacto menos que 4 = Médio
o Impacto Maior que 4 = Critico

O CEO da empresa definiu que todos os processos classificados como médios e/ou
críticos devem ter planos de DR.

Resultados:

Processo A: Falha no software de produção de Caixas de Som – Critico

Processo B: Contas a receber – Critico

Processo C: NetSuite não gera corretamente o arquivo de retorno do banco - Médio

Processo Parada Financeiro Operacional Reputacional Resultado

A 5 3 5 5 4,4
B 5 4 4 3 4,3
C 1 5 3 5 3
Disaster Recovery Plan (DRP)
1. Desenvolver e implementar políticas, normas, procedimentos e diretrizes de
Não
segurança.O aluno desenvolveu um plano de recuperação de desastres de forma clara
e coerente, identificando os principais gatilhos para a evocação do plano?
demonstrou o
item de rubric

1. Desenvolver e implementar políticas, normas, procedimentos e diretrizes de

Não
segurança.O escopo de proteção do plano de recuperação de desastres está bem
definido?
demonstrou o
item de rubric

1. Desenvolver e implementar políticas, normas, procedimentos e diretrizes de

Não
segurança.O papel e a assinatura da alta direção da empresa está colocado no plano
de recuperação de desastres?
demonstrou o
item de rubric

1. Desenvolver e implementar políticas, normas, procedimentos e diretrizes de

Não
segurança.Os procedimentos de teste do plano de recuperação de desatres estão bem
definidos?
demonstrou o
item de rubric

3. Aplicar conceitos de gerenciamento de risco e de metodologias de modelagem de

Não
ameaças.O aluno evidencia de que forma os riscos foram identificados para o plano de
recuperação de desastres?
demonstrou o
item de rubric

3. Aplicar conceitos de gerenciamento de risco e de metodologias de modelagem de

Não
ameaças.O apetite a riscos da organização foi documentado?
demonstrou o
item de rubric

3. Aplicar conceitos de gerenciamento de risco e de metodologias de modelagem de

Não
ameaças.O aluno demonstrou evidências de uma análise qualitativa de riscos?
demonstrou o
item de rubric

3. Aplicar conceitos de gerenciamento de risco e de metodologias de modelagem de

Não
ameaças.O aluno demonstrou evidências de uma análise quantitativa de riscos?
demonstrou o
item de rubric
4. Identificar e classificar informações e ativos.O plano de recuperação de desastres
Não
fornece evidências dos ativos da infraestrutura da empresa?
demonstrou o
item de rubric

4. Identificar e classificar informações e ativos.Os ativos são classificados em termos

Não
de criticidade?
demonstrou o
item de rubric

4. Identificar e classificar informações e ativos.As principais ameaças são identificadas?

Não
demonstrou o
item de rubric

4. Identificar e classificar informações e ativos.As principais vulnerabilidades são

Não
identicadas?
demonstrou o
item de rubric