09/12/21 1

 Edinaldo Cardoso
 Felipe Tadeu
 Fernando dos Santos
 Gustavo Gonçalves
 Renato Souza
 Rodrigo Foltran

Fonte:
http://www.sobreadministracao.com/wp-
content/uploads/2006/10/grupo3.jpg

09/12/21 2
 Introdução;  Modelo de Processo de
 Por que GCSTI? GCN;
 O que GCSTI abrange?  Invocando o Plano de
 O que GCSTI não abrange? Continuidade;
 Vídeo – Plano de
 Funções;
Contingência do Negócio;  IPDs;
 Regulamentação e  ROI;
Legislação;  Vídeo–Exemplos Negativos;
 Objetivos;  Conclusão;
 Responsabilidades;  Referências Bibliográficas.

09/12/21 3
 O Gerenciamento da Continuidade dos Serviços
de TI é um dos 26 processos presentes na ITIL
v3. Seu foco é gerenciar os riscos relacionados
a infra-estrutura de TI e desenvolver um plano
de contingência.
 Continuidade de Negócios trata do estudo de
identificação dos processos que dão vida a uma
empresa, ou seja, aqueles mais críticos e
impactantes. Traduzindo: o core business. A
partir dessa identificação são mapeadas as
ameaças e vulnerabilidades existentes.

09/12/21 4
 Vantagem competitiva;
 Atender a requerimentos regulatórios;
 Negociação dos prêmios com as seguradoras;
 Exigência inerente de determinados

Negócios;
 Necessidade do Negócio de continuar a

operar sem interrupções apesar das crises;

 Aumento das ameaças e dos riscos

associados aos Serviços de TI e ao Negócio;

 Reputação.

09/12/21 5
 Serviços de TI que dão suporte a processos
de negócios críticos. Isto inclui:
Sistemas e Aplicativos;
Rede;
Telecom;
Suporte técnico;
Central de Serviços.
 Identificação e minimização de impacto;
 Acordo para fornecer o nível mínimo de

operação dos negócios após uma interrupção

do serviço.

09/12/21 6
 Não abrange diretamente os riscos do
negócio de longo prazo;

 Não abrange pequenas falhas nem pequenas

interrupções.

09/12/21 7
 http://www.youtube.com/watch?v=bq-PjPyHPRI

09/12/21 8
 Norma NBR ISSO/IEC 17799;
 Decreto 3505;
 Acordo da Basiléia;
 Lei Sarbanes-Oxley.

09/12/21 9
 Título: Tecnologia da Informação Código de
Prática para a Gestão da Segurança da
Informação.
 Somente a parte 1 – Melhores Práticas.
 Cap. 11: Gestão da Continuidade do

Negócio – Foco Segurança da Informação.

 Recomenda: análises de risco e de impacto;

estratégias de recuperação;
desenvolvimento, testes e manutenção dos
planos.

09/12/21 10
 Trata da Política de Segurança da
Informação no âmbito federal.

 “... assegurar a confidencialidade, a

integridade, a autenticidade, o não repúdio
e a disponibilidade dos dados e das
informações tratadas ...”

09/12/21 11
 Trata basicamente de “Gestão de Riscos
Operacionais” em bancos.
 “Instituições financeiras deverão demonstrar

práticas eficazes de gerenciar e supervisionar

seus riscos operacionais”.
 Risco operacional:

 “o risco de perda resultante de uma falha ou

inadequação de um processo interno,

pessoas ou sistemas, ou ainda um evento
externo”.

09/12/21 12
 Princípio 7:
 “Bancos deverão ter planos de contingência e

continuidade dos negócios para assegurar

sua capacidade de operar de maneira
contínua com perdas limitadas na
eventualidade de uma interrupção
significativa nas suas operações de negócio”

(Sound Practices for the Management of Operational Risk)

09/12/21 13
 Válida para as empresas americanas –
15/06/2004.
 Empresas estrangeiras que operam no

mercado americano – 2005.

 Responsável: CEO e CFO.

“Executivos devem rever os seus controles internos

e publicar os resultados desta revisão”
Seção 404 fala da Continuidade das Operações.
 Penas de 15 até 20 anos de cadeia.
 Multas de US$ 15 milhões para os auditores.

09/12/21 14
 COBIT®
 CVM e SEC
 IAS 2005, semelhante à SOAX, na Europa
 ITIL – “IT Infrastructure Library”, conjunto de

melhores práticas
Complementa a BS 15000 (ISSO 15000?)
Capítulo de Disponibilidade e Continuidade
 MOF e MSF da Microsoft
 NBR ISSO/IEC 17799 – parte 2
 Regulamentações do BACEN

09/12/21 15
 Assegurar a sobrevivência do negócio reduzindo
o impacto do desastre ou falha grave;
 Reduzir a vulnerabilidade e o risco para o
negócio através de uma análise de riscos eficaz e
um gerenciamento de riscos. Isto tudo a um
custo justificável;
 Transferir o risco para um terceiro;
 Produzir planos de recuperação para TI que serão
integrados e darão suporte completo ao Plano de
Gerenciamento da Continuidade de Negócio
(GCN);
 Prevenir perda de segurança para o Cliente e
Usuário.

09/12/21 16
 São distribuídas entre:

 Gerenciamento da
Continuidade do Negócio
(GCN);

 Gerenciamento da
Continuidade do Serviços
de TI (GCSTI).

09/12/21 17
 Gerenciamento da Continuidade do Negócio
(GCN) se preocupa em gerenciar riscos,
garantindo que a organização continue a
operar pelo menos no mínimo nível pré-
determinado. O GCN envolve:
 Redução de riscos aceitáveis;
 Plano para a recuperação dos processos do

negócio quando ocorrer uma interrupção.

09/12/21 18
 Gerenciamento da Continuidade do Serviços
de TI (GCSTI) é parte do processo de GCN e
depende da informação vinda dele. Ele foca
na continuidade dos serviços de TI para o
negócio.

09/12/21 19
09/12/21 20
 Definição de Políticas;
 Termos específicos da referência e escopo;
 Alocação de recursos;
 Definição do projeto e estrutura de controle;
 Acordo dos planos de projeto.

09/12/21 21
 Análise de Impacto do negócio (AIN);
 Avaliação de Riscos;
 Estratégia de Continuidade do Negócio.

09/12/21 22
 Esta análise deve:
 Identificar os serviços críticos ao negócio;
 Determinar os efeitos da indisponibilidade;
 Avaliar cenários de impacto;
 Obrigações legais que a empresa deve cumprir;
 Analisar quanto tempo a empresa aguenta sem
os serviços de TI;
 Avaliar os requerimentos mínimos de
recuperação (pessoas, facilidades e serviços) para
manter os processos críticos para o negócio;
 Determinar o tempo mínimo e máximo dos níveis
de serviços a serem recuperados;
 Determinar quais processos de negócio devem
ser recuperados por completo.
09/12/21 23
 Entendimento da probabilidade que um
desastre ou outra interrupção no serviço irá
de fato ocorrer. A avaliação de risco
identifica:
Riscos a um serviço em particular ou processos;
Níveis de ameaças e vulnerabilidades;
Níveis de risco;
Medidas iniciais de redução de riscos.
 A falha na avaliação de todos os riscos
relevantes deixa a organização aberta a
possíveis interrupções.

09/12/21 24
 Para integrar a análise com o gerenciamento de
riscos, o método mais utilizado é o CRAMM (CCTA
Risk Analysis and Management Method)

09/12/21 25
09/12/21 26
 Definir as medidas de redução de riscos
apropriadas e o plano de continuidade das
operações;
 Decidir sobre as estratégias de recuperação

dos serviços de TI.

09/12/21 27
 Usar os dados do Gerenciamento de
Disponibilidade para maximizar a
disponibilidade;
 Eliminar os pontos únicos de falha;
 Aplicar o backup para as aplicações;
 Implementar ferramentas e metodologias;
 Considerar outsourcing de serviços para mais

de um fornecedor;
 Melhorar os controles de segurança.

09/12/21 28
09/12/21 29
 Organização e implementação do plano;
 Implementação;
Arranjos
Plano de Recuperação
Medidas de redução de riscos
 Desenvolvimento de Procedimentos;
 Testes.
09/12/21 30
Um plano de Continuidade deve ter 7 seções:
 Administração;
 Infra-estrutura de TI;
 Infra-estrutura de TI e procedimentos de

operação;
 Equipe técnica;
 Segurança;
 Site de Contingência;
 Retorno a operação normal.

09/12/21 31
 Educação, treinamento e conscientização;
 Revisão e auditoria;
 Testes;
 Gerenciamento de Mudança;
 Garantia.

09/12/21 32
 É feita pela equipe do gerenciamento de crise.
 A decisão de invocar necessita levar em conta
um número de fatores:
A extensão do dano e o escopo da interrupção;
A extensão provável da interrupção e a
indisponibilidade de instalações e/ou serviços;
O horário do dia/mês/ano e o impacto potencial
no negócio;
Requisitos específicos do negócio dependendo
do trabalho que está sendo realizado no
momento.

09/12/21 33
 O plano de GCSTI deve incluir detalhes das
atividades que necessitam ser realizadas,
incluindo:
Recuperação de fitas de backup ou uso de cofre de
dados para recuperar dados;
Recuperação de documentação essencial,
procedimentos, imagens de workstation, etc,
armazenadas off-site;
Mobilização de pessoal técnico apropriado;
Entrar em contato e deixar em alerta fornecedores de
telecomunicações, serviços;
 de suporte, distribuidores de aplicativos, etc.

09/12/21 34
 A distinção pode ser feita nas funções e
responsabilidades dentro e fora dos períodos
de crise. Diferentes níveis dentro deste
processo podem ser definidos, começando
pelo Presidente, Diretores, Gerentes,
Supervisores e Equipe. É vital documentar as
responsabilidades e funções de cada um.

09/12/21 35
09/12/21 36
 O gerente de continuidade deve ter as seguintes
habilidades:
Estar ciente sobre os níveis de serviços acordados;
Experiência em GCSTI;
Conhecimento e experiência em gestão de contratos;
Habilidade de transcrever os requerimentos de
recuperação do negócio em requerimentos técnicos;
Bons conhecimentos técnicos de TI para capacitar a
assistência de qualidade nos procedimentos;
Habilidade de se comunicar com todos os níveis da
organização.

09/12/21 37
09/12/21 38
 Alguns problemas podem ser encontrados ao
implementar o processo de GCSTI:
 Não há recursos suficientes para implementar o processo;
 O GCSTI não é baseado no GCN;
 Falta de comprometimento do Gerente de TI e gerentes de
negócio;
 Análise superficial dos componentes críticos causando má
interpretação nos impactos do negócio;
 A recuperação não funciona como deveria por falta de testes;
 Falta de conscientização e suporte dos usuários e equipe de
TI fazendo com que o processo falhe quando ocorrer o
desastre.

09/12/21 39
 Gerenciamento de riscos e conseqüente redução do impacto
da falha;
 Redução possível no prêmio do seguro;
 Melhora no relacionamento entre o Negócio e TI, fazendo
com que a TI tenha consciência dos impactos e prioridades
que os serviços de TI tem para o negócio;
 Conformidade com requisitos regulatórios (Basileia II, SOX);
 Reduz a interrupção do negócio durante um incidente com a
habilidade de recuperar os serviços de forma eficiente para o
negócio;
 Aumenta a confiança do cliente;
 Gasto anual com GCSTI pode ser controlado;
 As medidas de riscos serão a um custo justificável.

09/12/21 40
 Quantidade de funções críticas cobertas pelo
Plano de Continuidade.
 Número e freqüência dos testes de

simulações;
 Quantidade de vezes que o Plano de

Continuidade foi invocado;

 Custos das alternativas de Recuperação;
 Resultado dos Testes de Continuidade.

09/12/21 41
 A implantação deste processo garantirá a
continuidade dos Serviços de TI,
independente de acidentes que venham a
ocorrer.
 Exemplo do Benefício:

 Suponha que uma enchente alague a sala de

servidores e que se leve 1 dia para voltar a

operar os servidores. Isto provocaria uma
perda de R$200.000,00 (500 funcionários x 8
horas x R$50,00 hora).

09/12/21 42
 Gerencia de Risco - Alteração nos requisitos
 http://www.youtube.com/watch?v=e_QgCSDuhu4

 Planejamento da continuidade dos negócios

 http://www.youtube.com/watch?v=9HlZTW_Lftw

09/12/21 43
 Continuidade e Contingência do Negócio busca informar
como os gestores deverão proceder em caso de um incidente,
ação por ação, explicando o que fazer, quem deve fazer,
quando fazer, como fazer, quais são os pontos críticos e o
tempo das ações para uma recuperação dos processos mais
importantes e vitais para o negócio, seja de uma pequena
média ou grande empresa. 
Para isso é essencial o comprometimento das pessoas, pois
em todos os estágios e no momento da ação dos
procedimentos elas serão as responsáveis.
Em um cenário mundial de alto risco e negócios cada vez
mais interconectados e dependentes, identificar no curto
prazo qual é o valor real do risco e definir o escopo com
maior precisão é, sem dúvida alguma, a maior justificativa
para se realizar um Plano de Continuidade de Negócios.

09/12/21 44
 http://pt.wikipedia.org/wiki/ITILv3#Processos
 Aula2_ASSI_1s2011.ppt - Professor Ricardo Crepalde.
 http://www.best-management-
practice.com/gempdf/ITILV3_Glossary_Brazilian_Portuguese_
v3.1.24.pdf
 http://www.timaster.com.br/revista/artigos/main_artigo.asp?
codigo=949

09/12/21 45
09/12/21 46