FACULDADE DE ADMINISTRAO, CONTABILIDADE E ECONOMIA CURSO DE ADMINISTRAO DE EMPRESAS NFASE EM ANLISE DE SISTEMAS DE INFORMAO

PATRCIA MARQUES DA SILVEIRA

PLANO DE CONTINUIDADE DE NEGCIOS PARA A EMPRESA ALFA: UMA PROPOSTA COM BASE NA NBR 15999, NO ITIL E NO COBIT

Porto Alegre, junho de 2009

PATRCIA MARQUES DA SILVEIRA

PLANO DE CONTINUIDADE DE NEGCIOS PARA A EMPRESA ALFA: UMA PROPOSTA COM BASE NA NBR 15999, NO ITIL E NO COBIT

Trabalho de concluso de curso apresentado como requisito obteno do grau de Bacharel em Administrao de Empresas com nfase em Anlise de Sistemas de Informao, na Faculdade de Administrao, Contabilidade e Economia da Pontifcia Universidade Catlica do Rio Grande do Sul.

Professora Orientadora: Dr. Edimara Mezzomo Luciano

Porto Alegre junho de 2009

AGRADECIMENTOS

Primeiramente agradeo a Deus pela sade e determinao. Deixo meu especial agradecimento a Professora Edimara, pela excelente orientao, auxiliando-me com dedicao, compartilhando seus conhecimentos, bem como pelos momentos de incentivo. Agradeo aos meus colegas e amigos Luciana Soller e Luciano Oyarzabal, que sempre estiveram juntos nesta caminhada, compartilhando momentos de estudo e descontrao. Tambm aos demais professores e colegas do curso de Administrao, pelos momentos compartilhados. Agradeo a empresa em que ocorreu o estudo, pela oportunidade e incentivo na realizao da pesquisa. Aos colegas de trabalho pela compreenso nos momentos de ausncia e em especial aqueles que de alguma forma contriburam para meu trabalho com palavras de incentivo, mostrando interesse e auxiliando nos ajustes finais. Agradeo aos entrevistados pela contribuio com seus conhecimentos e pela disponibilidade de tempo, mesmo quando estavam ocupados com seus trabalhos. Dedico especial agradecimento ao meu tio Luiz Carlos Silveira Marques, que sempre se preocupou e incentivou os meus estudos. Agradeo aos meus padrinhos Mrcia e Wanderlei, que sempre se mostraram presentes quando precisei. Agradeo a minha me Maril pela sua infinita dedicao, amor e compreenso durante todos os momentos da minha vida. Tambm agradeo aos meus irmos Sabrina e Diogo por serem pessoas que sempre esto dispostas a ajudar e pelo amor que nos une. Agradeo a todos que amo pela compreenso nos momentos em que no pude estar presente. Agradeo a lembrana que meu gato Guri deixou antes de ausentar-se no incio deste trabalho, onde foi difcil suportar a dor. No entanto, fui presenteada com um novo gatinho, o Gabiru, que me trouxe alegria e companhia durante a elaborao e consluso deste trabalho. Presente este que nunca vou esquecer, pois foi a maior demonstrao de amor que j recebi. A todos, muito obrigada!

RESUMO

A cada dia que passa, o mercado de TI tem se tornado cada vez mais competitivo e exigente. Para acompanhar este mercado e atender as exigncias e requisitos de clientes, as organizaes se veem obrigadas a manter-se atualizadas quanto tecnologia e aos modelos de melhores prticas que tm sido utilizadas pelas organizaes. A empresa ALFA possui o seu negcio na rea de TI, onde oferece e presta servio de testes de software para diversas empresas, onde cada uma delas possui um tipo de software com uma determinada tecnologia e com diferentes requisitos e exigncias com relao entrega dos servios. Devido empresa possui uma grande diversidade de clientes, pertencendo eles aos variados setores do mercado, a empresa procura atender a todos os setores oferecendo garantia e qualidade nos servios. Desta forma, para atender os requisitos do setor bancrio, que um setor do mercado que a ALFA pretende explorar, a empresa verifica a necessidade de um Plano de Continuidade de Negcio (PCN), baseado em prticas e controles de reconhecimento internacional, pois este um dos requisitos exigidos por este setor. A justificativa deste trabalho garantir a continuidade do negcio da empresa ALFA com a elaborao de um PCN, fazendo com que a empresa atenda as expectativas de clientes internos e externos, no menor espao de tempo, em caso de incidente que afete instalaes, informaes ou pessoas. Desta forma, a empresa mantm-se competitiva e com capacidade de explorar novos setores no mercado de TI, agregando confiabilidade imagem da organizao. Portanto, o objetivo deste trabalho definir um PCN baseado nas prticas mais utilizadas pelas empresas atualmente, como a metodologia COBIT, as melhores prticas do ITIL e a ISO15999. De forma a atender o objetivo proposto para o trabalho, o mtodo utilizado para orientao da pesquisa foi o estudo de caso, com pesquisa qualitativa. Para a coleta de dados, foi realizada entrevista semiestruturada, observao participante e anlise de documentos. As entrevistas ocorreram com quatro funcionrios da alta gerncia da empresa ALFA e com quatro especialistas em segurana da informao que atuam no mercado de TI. Desta forma, aps a anlise das entrevistas, observao e anlise de documento, foram levantados os requisitos para elaborao da proposta. Entre estes requisitos, foram identificados os recursos das atividades crticas da empresa e para estes recursos foram definidas estratgias de contingncia. Como resultados dos estudos, este trabalho propem dois documentos como forma de gerenciar os incidentes que venham a ocorrer com os recursos da organizao. Os documentos foram elaborados conforme o objetivo proposto, sendo utilizadas as informaes do ITIL COBIT e

ISO15999. Um dos documentos o Plano de Gerenciamento de Incidentes (PGI) e o outro o Plano de Continuidade de Negcio (PCN). Com a elaborao destes planos para empresa ALFA, pretende-se que a empresa mantenha-se competitiva no mercado de TI, conquistando novos setores, agregando confiabilidade a imagem da empresa e que continue atendendo as expectativas dos clientes internos e externos com maior confiabilidade.

LISTA DE ILUSTRAES

Figura 1: Organograma da empresa ALFA...................................................................................................................14 Figura 2: Modelo das dimenses do uso de TI em benefcio dos negcios.............................................................22 Figura 3: Motivadores da Governana de TI .................................................................................................................24 Figura 4: O ciclo da Governana de TI ...........................................................................................................................25 Figura 5: Os domnios e competences da Governana de TI .....................................................................................27 Figura 6: Plano de Continuidade dos Negcios Etapas a seguir.............................................................................29 Figura 7: Relao de dependncia entre ativos, processos e o prprio negcio......................................................32 Figura 8: Quadrante do Risco medido pela relao de Probabilidade e Impacto ...................................................33 Figura 9: Fluxo de anlise das ameaas ..........................................................................................................................33 Figura 10: Ciclo de vida da gesto da continuidade de negcios ...............................................................................38 Figura 11: ITIL (Framework) ...........................................................................................................................................41 Figura 12: Associao entre processos............................................................................................................................44 Figura 13: Foco da Governana .......................................................................................................................................47 Figura 14: Domnios do COBIT (Framework).............................................................................................................48 Figura 15: Desenho de Pesquisa.......................................................................................................................................56

LISTA DE QUADROS

Quadro 1: Domnios e Processos do COBIT ............................................................................ 49 Quadro 2: Resumo dos principais conceitos relacionados a continuidade de negcio ............ 53 Quadro 3: Quadro de dimenses e variveis ............................................................................ 59 Quadro 4: Roteiro de entrevistas aplicado aos especialistas em Segurana da Informao..... 59 Quadro 5: Resumo das respostas da dimenso Poltica de Segurana ..................................... 62 Quadro 6: Resumo das respostas da dimenso Gerncia da Continuidade dos Negcios ....... 65 Quadro 7: Resumo das respostas da dimenso Gerenciamento da Continuidade dos Servios de TI.......................................................................................................................................... 68 Quadro 8: Resumo das respostas da dimenso Controle .......................................................... 69 Quadro 9: Resumo das respostas sobre a importncia da segurana da informao nas organizaes ............................................................................................................................. 72 Quadro 10: Resumo das respostas sobre o preparo das organizaes para contingenciar grandes desastres ...................................................................................................................... 74 Quadro 11: Resumo das respostas sobre a tendncia do mercado quanto a segurana da informao ................................................................................................................................ 76 Quadro 12: Resumo das respostas sobre anlise de riscos ....................................................... 78 Quadro 13: Resumo das respostas sobre modelos de melhores prticas utilizados pelas empresas ................................................................................................................................... 79 Quadro 14: Resumo das respostas sobre vantagens que uma empresa pode obter quando est preparada para dar continuidade aos seus servios .................................................................. 81 Quadro 15: Resumo das respostas sobre a influncia do PCN no fechamento de um negcio 82 Quadro 16: Resumo das respostas sobre a considerao de empresas que possuem PCN ...... 83 Quadro 17: Resumo das respostas sobre as vantagens que o PCN pode trazer para empresa . 85 Quadro 18: Resumo das respostas sobre a contribuio da SOX com o PCN ......................... 86 Quadro 19: Aes para elaborao da proposta do PCN e PGI ............................................... 87 Quadro 20: Anlise de impacto das possveis ameaas ............................................................ 88 Quadro 21: Estratgia de continuidade dos recursos humanos ................................................ 90 Quadro 22: Estratgia de continuidade para as instalaes ...................................................... 91 Quadro 23: Estratgia de continuidade da informao ............................................................. 92 Quadro 24: Estratgia de continuidade dos servios terceirizados........................................... 92

SUMRIO

1 2 2.1 2.2 2.3 2.4 2.5 2.6 3 4 5 5.1 5.2 6 6.1 6.2

INTRODUO...................................................................................................................................................10 CARACTERIZAO DA ORGANIZAO E DO SEU AMBIENTE .....................................11 HISTRICO.................................................................................................................................... 11 MISSO, VISO E VALORES................................................................................................... 11 OBJETIVOS.................................................................................................................................... 12 FORNECEDORES E CLIENTES ................................................................................................ 12 CONCORRENTES ........................................................................................................................ 13 ESTRUTURA ORGANIZACIONAL ......................................................................................... 13 SITUAO PROBLEMTICA ..................................................................................................................16 JUSTIFICATIVA DA ESCOLHA DO TEMA.......................................................................................18 OBJETIVOS.........................................................................................................................................................20 OBJETIVO GERAL....................................................................................................................... 20 OBJETIVOS ESPECFICOS ........................................................................................................ 20 REFERENCIAL TERICO..........................................................................................................................21 TI NAS ORGANIZAES .......................................................................................................... 21 GOVERNANA DE TI................................................................................................................. 23

6.2.1 Componentes da Governana de TI ........................................................................... 26 6.3 6.4 IMPORTNCIA DA SEGURANA DA INFORMAO..................................................... 27 GESTO DA CONTINUIDADE DO NEGCIO ..................................................................... 28

6.4.1 Etapas que envolvem o Plano de Continuidade dos Negcios ................................. 30 6.4.2 Gesto de Continuidade do Negcio segundo NBR 15999-1:2007 ........................... 37 6.4.3 Gerenciamento da Continuidade Segundo ITIL ....................................................... 41 6.4.5 Gerenciamento de Continuidade Segundo COBIT................................................... 46 6.4.6 Resumo dos principais conceitos relacionados Continuidade de Negcio ........... 52 7 7.1 8 8.1 MTODO DE PESQUISA..............................................................................................................................54 COLETA DE DADOS ................................................................................................................... 56 RESULTADOS....................................................................................................................................................60 ANLISE DE DADOS COLETADOS NA EMPRESA........................................................... 60

8.1.1 Poltica de Segurana ................................................................................................... 60 8.1.2 Gerncia da Continuidade dos Negcios .................................................................... 62 8.1.3 Gerenciamento da Continuidade dos Servios de TI ................................................ 65

8.1.4 Controle......................................................................................................................... 69 8.2 8.3 ANLISE DE DADOS COLETADOS NA ENTREVISTA COM ESPECIALISTAS ........ 70 PROPOSTA PARA PGI E PCN ................................................................................................... 86

8.3.1 Plano de ao para elaborao da proposta para PGI ............................................. 93 8.3.2 Plano de ao para elaborao da proposta para PCN ............................................ 93 9 CONSIDERAES FINAIS .........................................................................................................................94 REFERNCIAS..................................................................................................................................................97 APNDICE A DADOS DE IDENTIFICAO .............................................................................. 101 APNDICE B PROPOSTA PARA PLANO DE GERENCIAMENTO DE INCIDENTE .................................................................................................................................................................. 102 1 2 3 4 5 5.1 5.2 OBJETIVO ........................................................................................................................................................ 102 RESPONSVEIS DO PGI........................................................................................................................... 102 ESCOPO ............................................................................................................................................................. 102 ANLISE DE RISCOS E IMPACTOS .................................................................................................. 103 GERENCIAMENTO DE INCIDENTE PARA PERDA DAS INSTALAES .......... 103 PERDA DO LOCAL POR ALAGAMENTO/INCNDIO/DESABAMENTO ................... 103 ATIVIDADES E AES DOS RESPONSVEIS.................................................................. 104

5.2.1 Plano De Comunicao Do Incidente ....................................................................... 106 5.2.2 Desenho De Sequncia Das Atividades..................................................................... 106 5.2.3 Recursos Financeiros de contingncia...................................................................... 107 5.2.4 Lista de equipamentos necessrios ........................................................................... 107 5.2.5 Servios que devem ser contratados ......................................................................... 108 6 7 8 9 10 TELEFONES DE EMERGNCIA.......................................................................................................... 108 CONTATO DOS RESPONSVEIS PELA ATIVAO/EXECUO .................................. 109 CONTATO DA SEGURADORA E LOCAL SECUNDRIO...................................................... 109 CONTATO DE COLABORADORES ................................................................................................... 110 CONTATO DE CLIENTES........................................................................................................................ 110 APNDICE C PROPOSTA PARA PLANO DE CONTINUIDADE DE NEGCIOS ... 111 1 2 3 4 5 OBJETIVO ........................................................................................................................................................ 111 RESPONSVEIS DO PCN ......................................................................................................................... 111 ESCOPO ............................................................................................................................................................. 111 ANLISE DE RISCOS ................................................................................................................................. 111 RESPONSABILIDADES DE ATIVAO/EXECUO.............................................................. 112

5.1 6 6.1

CONTATO DOS RESPONSVEIS PELA ATIVAO/EXECUO .............................. 113 CONTINGNCIA PARA PERDA DE COLABORADOR CHAVE......................................... 113 FALTA DE COLABORADOR CHAVE .................................................................................. 114

6.1.1 LISTA DE TAREFAS................................................................................................................ 114 6.2 PERDA DE COLABORADOR CHAVE POR DESLIGAMENTO/MORTE ..................... 115

6.2.1 Lista de Tarefas .......................................................................................................... 116 6.3 PERDA DE COLABORADOR CHAVE POR PEDIDO DE DEMISSO .......................... 117

6.3.1 Lista de Tarefas .......................................................................................................... 117 7 7.1 CONTINGNCIA PARA PERDA DAS INFORMAES .......................................................... 118 PERDA DOS DADOS/INFORMAES DO SERVIDOR W .......................................... 118

7.1.1 Lista de Tarefas .......................................................................................................... 119 7.2 AVARIA DO SERVIDOR W ................................................................................................. 119

7.2.1 Lista de Tarefas .......................................................................................................... 120 7.3 PERDA DOS DADOS/INFORMAES DOS SERVIDORES X, Y E Z ................ 121

7.3.1 Lista de Tarefas .......................................................................................................... 121 7.4 AVARIA DOS SERVIDORES X, Y OU Z ................................................................... 122

7.4.1 Lista de Tarefas .......................................................................................................... 122 8 8.1 CONTINGNCIA PARA PERDA DE SERVIO DO FORNECEDOR................................. 123 FALTA DE ENERGIA ELTRICA .......................................................................................... 123

8.1.1 Lista de Tarefas .......................................................................................................... 124 8.2 FALHA NO LINK EXTERNO DE REDE (INTERNET) ....................................................... 124

8.2.1 Lista de Tarefas .......................................................................................................... 125 8.3 FALHA NO SERVIDOR DE EMAIL ....................................................................................... 125

8.3.1 Lista de Tarefas .......................................................................................................... 126 8.4 PERDA DE PERFORMANCE NO LINK DE INTERNET.................................................... 126

8.4.1 Lista de Tarefas .......................................................................................................... 127 9 10 11 RECURSO FINANCEIRO DE CONTINGNCIA........................................................................... 127 CONTATO DE FORNECEDORES........................................................................................................ 128 CONTATO DE CLIENTES........................................................................................................................ 128

10

1 INTRODUO

A cada dia que passa a Tecnologia da Informao tem se tornado fator de competitividade entre as organizaes, pois atravs da TI que as empresas organizam os dados e geram informaes para as tomadas de decises. Pelo valor que a TI tem hoje no ambiente organizacional e pelos impactos que poderiam ser ocasionados pela parada dos negcios devido a algum tipo de catstrofe, torna-se fundamental a importncia de um Plano de Continuidade de Negcio (PCN) que garanta a continuidade dos servios no menor espao de tempo possvel. Desta forma, o presente trabalho tem por objetivo a elaborao de um PCN para a empresa ALFA, pois a empresa possui uma cadeia de clientes de grande valor e com alto nvel de criticidade nos projetos trabalhados e deseja manter a qualidade e garantia dos servios prestados. A proposta para o PCN que o mesmo esteja inserido dentro de padres de melhores prticas de reconhecimento internacional. No captulo 2 so apresentadas as caractersticas da organizao e seu ambiente, onde descrito um breve histrico da empresa. O captulo 3 descreve a situao problemtica e o captulo 4 a justificativa da escolha do tema proposto. Os objetivos gerais e especficos esto descritos no captulo 5. O referencial terico utilizado como base para elaborao do trabalho est inserido no captulo 6. No captulo 7 realizada a apresentao do mtodo de pesquisa a ser utilizado para o trabalho. No captulo 8 so apresentados os resultados obtidos atravs das entrevistas, assim como o plano de ao para elaborao da proposta. No captulo 9 so apresentadas as consideraes finais do trabalho.

11

2 CARACTERIZAO DA ORGANIZAO E DO SEU AMBIENTE

O objetivo deste captulo apresentar a caracterizao da empresa em que foi realizado o trabalho, assim como uma breve descrio do histrico, viso e misso.

2.1 HISTRICO

Fundada em maro de 2004, a empresa ALFA teve seu incio devido ao empreendedora de um estudante de Anlise de Sistemas, que identificou a oportunidade do negcio quando participava de um evento referente qualidade de software, que ocorreu na prpria universidade em que estudava (PUCRS). Aps a identificao da oportunidade na rea de teste de software, a empresa ALFA iniciou seu negcio dentro da incubadora Raiar, localizada no TECNOPUC. No perodo que permaneceu incubada, a empresa adquiriu conhecimentos e tcnicas especializadas na rea de atuao. Esta especializao adquirida pela ALFA, fez com que o nmero de clientes aumentasse, ocasionando a sua graduao da incubadora em 2005. Desde ento, a empresa vem aumentando o nmero de clientes e procurando adaptar o seu trabalho s melhores prticas utilizadas atualmente e reconhecidas no mercado. Com uma carteira de clientes slida e de grande importncia, para continuar atendendo com alto nvel de qualidade, foi necessrio realizar modificaes internas para atender as diversificaes de projetos e suas exigncias. A ALFA criou reas de especializao, onde equipes especializadas so responsveis pela qualidade dos projetos que envolvem a sua rea de conhecimento. A empresa tambm possui especialistas que so capacitados para atender determinadas exigncias de projetos e que trabalham juntamente com as equipes de reas conforme as necessidades verificadas para cada projeto. Esta hierarquia apresentada claramente atravs do organograma ilustrado e comentado na seo 2.6.

2.2 MISSO, VISO E VALORES

A empresa ALFA tem por misso: Satisfazer o cliente provendo a melhor soluo e estratgia em qualidade de software. Esta misso refere-se qualidade de entrega dos servios oferecidos pela empresa, onde a empresa tem como premissa a entrega dos projetos dentro dos prazos contratados pelo cliente e com a qualidade esperada.

12

A viso projetada pela empresa : Ser a lder no Rio Grande do Sul em testes de software, ter uma representao no centro do pas e atuar solidamente usando o modelo de offshoring. A ALFA ainda estabelece como princpios de valores para a sua organizao as seguintes caractersticas:

Honra; Competncia; Qualidade na prestao de servios; Comprometimento; Trabalho em equipe.

Com estes valores, a empresa consegue manter a qualidade dos servios e um bom relacionamento entre os colaboradores e suas equipes de trabalho.

2.3 OBJETIVOS

O objetivo da ALFA garantir a qualidade dos produtos desenvolvidos pelos clientes atravs de testes de software. Esta garantia de qualidade efetivada atravs de processos de testes inseridos no processo de desenvolvimento do cliente, alm da simulao de situaes reais encontradas por usurio do software. A empresa tambm oferece consultoria QA (Quality Assurance), que busca auxiliar na melhoria de processos dos clientes com o objetivo de garantir a qualidade dos produtos.

2.4 FORNECEDORES E CLIENTES

Os fornecedores que a ALFA trabalha atualmente so empresas que prestam servios de internet, telefone, email, consultoria em marketing, assessoria em RH, contabilidade e fornecedores de hardware e software. Os clientes so empresas de desenvolvimento de software, empresas de TI e empresas particulares que j possuem um software implantado e necessitam de avaliao da qualidade do produto.

13

2.5 CONCORRENTES

A ALFA no possui concorrentes diretos na regio sul, atualmente os concorrentes esto localizados na regio sudeste. Aps o estabelecimento da ALFA no TECNOPUC, algumas empresas de desenvolvimento, que tambm estavam incubadas, passaram a oferecer o servio de testes de software. Mesmo que estas empresas tenham includo este servio para diversificao do negcio, elas no possuem o know-how que a ALFA possui, visto que a empresa inicialmente foi composta por bolsistas de iniciao cientfica e que faziam parte do laboratrio da Hewlett-Packard (HP), tambm localizada no TECNOPUC. Aps dois anos de estudos sobre metodologia de testes no laboratrio da HP a empresa hoje possui o know-how de como implantar as metodologias de testes. A maioria dos concorrentes da ALFA est localizada em So Paulo, onde existem concorrentes com o mesmo foco da empresa em estudo. No entanto, no mercado internacional, observa-se um grande nmero de empresas que so especializadas na rea de qualificao de software.

2.6 ESTRUTURA ORGANIZACIONAL

Atualmente a estrutura da ALFA est representada conforme o organograma ilustrado na Figura 1. A Diretoria Administrativa (DADM) responsvel por toda administrao da organizao, que inclui processo de prospeco, venda, marketing e planejamento estratgico. A pessoa responsvel pela diretoria administrativa, tambm administra e gerencia os backups dos servidores. A Gerncia Financeira, responsvel pelas finanas da empresa, est diretamente ligada a DADM e responde a esta administrao. A Diretoria de Projetos (DPJ) tambm responde para DADM e responsvel pela gerncia dos projetos, realizando a elaborao e controle de cronogramas. Este setor comunica-se diretamente com os clientes pra alinhar questes referentes aos projetos, escopo e prazos. O DPJ trabalha juntamente com o setor de Recursos Humanos (RH), pois as solicitaes de recursos e o conhecimento necessrio so definidos pelo DPJ. O processo de seleo realizado pelo setor de RH que possui todas as tcnicas e conhecimentos necessrios para um qualificado processo de seleo, que tem por objetivo atender as necessidades e solicitao do DPJ.

14

A Diretoria de Tecnologia da Informao (DTI) possui sob sua responsabilidade a gerncia dos recursos de TI utilizada pela empresa, este setor trabalha diretamente com o setor de SQA (Software Quality Assurance), que responsvel pelos processos e melhores prticas utilizadas pela empresa, controle e auditoria e reviso dos processos implantados. O SQA tambm tem sob suas responsabilidades a garantia da qualidade na entrega dos servios aos clientes.

Figura 1: Organograma da empresa ALFA

Abaixo da DPJ esto os Especialistas de reas que possuem conhecimentos especficos para a rea que atendem e esto em constante aprendizado para atender as demandas e os diferentes projetos que so trabalhados frequentemente. So responsveis por atender as solicitaes do cliente e mantm contato mais frequente com o cliente. Tambm tem sob responsabilidade o andamento e qualidade dos projetos que correspondem a sua rea de atuao. Os Analistas de Projetos respondem diretamente aos Especialistas de reas e so alocados nos projetos conforme o conhecimento adquirido em projetos j trabalhados. Possuem como funo a elaborao dos casos de testes a serem testados juntamente com os Testadores. Estes executam os casos de testes e reportam aos Analistas de Projetos.

15

O Suporte trabalha juntamente com os Especialistas de rea e suas respectivas equipes atendendo as demandas dos projetos, onde sua responsabilidade atender os requisitos de preparao do ambiente solicitado pelo cliente. Para atender as demandas especficas de cada rea, Especialistas em Segurana, Teste de Hardware, Suporte e Automao, trabalham entre as equipes Especialistas de Projetos para atender as necessidades cada projeto. Estes Especialistas procuram atualizar seus conhecimentos constantemente para que possam atender todos os tipos de projetos com as variadas tecnologias existentes.

16

3 SITUAO PROBLEMTICA

Nos ltimos anos, a Tecnologia da Informao (TI) passou a ser ferramenta de competitividade e destaque entre as empresas, principalmente para as empresas que tem no seu negcio o foco em servios de TI. Para as empresas prestadoras de servios, torna-se fundamental o desenvolvimento de aplicaes com base nas necessidades do negcio. Oferecer garantia de servios compatveis com a exigncia do negcio, agregando controle e minimizando os riscos so objetivos da ALFA. Para Weill e Ross (2006), negcios requerem mudanas constantes, onde implementao de TI envolvem investimentos imediatos e continuados em busca de resultados. A ALFA faz parte de uma destas empresas, pois o seu negcio especializado em Testes de Software e Consultoria QA (Quality Assurance), onde o offshoring uma especializao deste tipo de negcio voltada para o modelo internacional. Como prestadora de servios h mais de cinco anos no mercado, verifica-se esta competitividade pelo fato de os clientes exigirem fornecedores cada vez mais capacitados e adequados a modelos como ITIL, COBIT, CMMi entre outros. Devido ao rpido crescimento da empresa e frente s necessidades do negcio, a administrao da empresa vem trabalhando constantemente para que a infraestrutura de TI supra as necessidades encontradas no padro de trabalho de clientes mais estruturados. Desta forma, a empresa procura alinhar as exigncias de mercado ao modo de trabalho j existente, fazendo uma gesto eficaz e eficiente. A empresa ALFA j aderente ao modelo de CMMi e mantm um processo ativo de melhorias contnuas e estudo de metodologias para adequao ao processo de trabalho, visando garantia de servios aos clientes. As melhorias baseadas em metodologias esto fazendo com que a empresa construa uma estrutura slida e confivel, fazendo com que os clientes aps o contrato de um projeto voltem a contratar os servios. Com isto, a confiabilidade da empresa no mercado vem aumentando, fazendo com que novos clientes procurem os servios da empresa. Com o objetivo de dar continuidade ao processo de melhor adequao da TI aos requisitos do negcio, a empresa verifica a necessidade de estruturao de um Plano de Continuidade de Negcio (PCN) com base em conceitos tericos, melhores prticas e controle. Hoje a empresa possui um PCN, mas sem embasamentos tericos, prticas e controle com nvel de reconhecimento. A necessidade de aplicao ao negcio foi identificada

17

junto exigncia encontrada frente a uma RFI (Request for Information) de um grande banco com base no Brasil. Segundo Smola (2003, p.98), o objetivo do Plano de Continuidade de Negcios Garantir a continuidade de processos e informaes vitais sobrevivncia da empresa, no menor espao de tempo possvel, com o objetivo de minimizar os impactos do desastre.. O referido autor ainda cita que o Plano de Contingncia deve ser desenvolvido para cada ameaa considerada em cada um dos processos do negcio, onde devem ser definidos em detalhes os procedimentos a serem executados em estado de contingncia. Utilizando como base os principais modelos de administrao de TI que tem sido utilizado pelas empresas, como COBIT (Control Objectives for Information and Related Technology), ITIL (Information Technology Infrastructure Library) e a NBR 15999:2007, que a norma especfica para Gesto de continuidade de negcios. Este trabalho prope a responder a seguinte questo: como deve ser um Plano de Continuidade de Negcio de modo a minimizar os riscos, garantir a continuidade dos servios em caso de desastres e satisfazer as expectativas dos clientes (internos e externos)?

18

4 JUSTIFICATIVA DA ESCOLHA DO TEMA

Com a alta competitividade e lucratividade que gira em torno de negcios bem sucedidos de TI, verifica-se que a interrupo nos negcios pode gerar enormes transtornos e custos para as organizaes e seus clientes. Alm do transtorno de paradas no planejadas, as empresas correm o risco de perder clientes, projetos e ter a imagem prejudicada perante o mercado. Este trabalho importante diante da alta competitividade que gira em torno do mercado de TI, fazendo com clientes bem estruturados exijam garantia na prestao e continuidade dos servios. essencial que as organizaes se preocupem em definir um Plano de Continuidade de Negcio (PCN) para que, em caso de algum tipo de incidente, o planejamento possa minimizar a perda e perturbao que venha a ser causado para seus clientes e colaboradores. A administrao da empresa ALFA tem observado que com o crescimento da organizao tambm surgem novos requisitos para o negcio, devido ao alto nvel de criticidade de negcio de alguns clientes, perante a segurana de suas informaes e a importncia da no parada de seus negcios. Tendo em vista que o teste de software a ltima reviso antes de o produto ser lanado ao mercado e que em caso de uma parada crtica da ALFA, no somente os seus clientes sero afetados, mas toda a rede que depende da disponibilidade do software testado, aprovado para utilizao. A parada do servio estaria afetando e colocando em risco uma cadeia de fornecimento, onde ocorreriam prejuzos e transtornos incalculveis, afetando a imagem da ALFA, lucro da empresa cliente que deixa de colocar o software em produo e que por sua vez afeta os acionistas. Desta forma a empresa ALFA vem trabalhando para satisfazer as exigncias do mercado, fazendo com que a empresa busque a melhor alternativa para adoo e implantao destes requisitos que so considerados estratgicos para a empresa. Para atender a exigncias de clientes crticos e manter a boa imagem da empresa, em caso de algum tipo de desastre, evitando que a ALFA seja responsvel por afetar a cadeia de valores de todas as empresas envolvidas no projeto e seus stakeholders, torna-se vivel para a empresa ALFA um PCN que venha a garantir a segurana nos servios prestado, diferenciando a oferta de prestao de servios e garantindo maior qualidade e credibilidade perante os de clientes.

19

Este estudo oportuno para garantir a continuidade dos servios e do negcio da empresa ALFA atravs de um PCN baseado em prticas como a NBR 15999, ITIL e COBIT, fazendo com que a empresa atenda expectativas de clientes internos e externos, no menor espao de tempo em caso de incidente maior que afete instalaes, informaes ou pessoas. Segundo Fernandes e Abreu (2008), o objetivo das prticas do COBIT contribuir com o sucesso na entrega de servios e produtos de TI a partir das necessidades do negcio, mantendo o foco no controle. O objetivo do ITIL prover um conjunto de prticas de gerenciamento de servios em TI com foco no alinhamento e integrao com a necessidade dos clientes e usurios. Segundo a NBR 15999-1 (2007, pg. 31), o propsito no PCN permitir que uma organizao recupere ou mantenha suas atividades em caso de uma interrupo das operaes normais do negcio. Desta forma, utilizando como base as necessidades encontradas junto empresa, seria elaborado um plano de continuidade de negcio de forma a contingenciar os recursos que afetam diretamente as atividades identificadas como crticas na empresa.

20

5 OBJETIVOS

Neste captulo so apresentados o objetivo geral e os objetivos especficos do trabalho.

5.1 OBJETIVO GERAL

Definir um Plano de Continuidade de Negcio baseado nas prticas mais utilizadas pelas organizaes, que permita empresa qualificar as suas operaes e atender as expectativas dos clientes internos e externos.

5.2 OBJETIVOS ESPECFICOS

Os objetivos especficos a serem alcanados so: a) b) c) Identificar os elementos componentes de um PCN; Avaliar pontos crticos e vulnerveis a riscos; Elaborar um PCN de acordo com a NRB 15999:2007, a metodologia COBIT e as melhores prticas do ITIL.

21

6 REFERENCIAL TERICO

Este captulo abordar o referencial terico utilizado para estudo e argumentao do trabalho.

6.1 TI NAS ORGANIZAES

Atualmente a TI tem sido considerada como um dos componentes mais importantes nas organizaes, sendo que empresas brasileiras intensificaram o uso da TI tanto no nvel estratgico como no operacional. Este nvel de utilizao oferece grandes oportunidades para as empresas quando h sucesso na utilizao e aproveitamento dos benefcios oferecidos pelo uso. A oferta de TI e seu aproveitamento amplo e intenso pelos diversos setores das organizaes tm sido considerados condies bsicas para a competitividade e sobrevivncia das organizaes. (ALBERTIN e ALBERTIN, 2005a). Luciano e Freitas (2005) afirmam que a Tecnologia da Informao tem contribudo para a busca de vantagens competitivas entre as empresas como ferramenta capaz no s de reduzir custos e conferir qualidade a produtos e servios, mas como forma de agregar valor ao negcio atravs de melhor conhecimento e atendimento s expectativas dos clientes, assim como a criao de novos produtos e servios. Para Borges (1995) a TI, como ferramenta gerencial, utilizada para anlise dos dados, transformando-os em informaes teis ao negcio da empresa. Conforme as empresas convertem dados em informaes, modificam seu processo de deciso, sua estrutura administrativa e sua maneira de trabalhar, fazendo com que decises oportunistas transformem-se em diretrizes e estratgias. Laurindo (2002) afirma que nenhuma aplicao de TI, considerada isoladamente, pode manter uma vantagem competitiva, sendo que a competitividade somente poder ser obtida com a capacidade que a empresa tem de explorar de forma contnua o uso da TI. O autor afirma ainda que o uso eficaz da TI e a integrao da estratgia de TI do negcio so fatores de sucesso para as organizaes. O uso da TI deve ser avaliado por meio de suas dimenses, direcionadores, tipos de uso de TI, desempenho empresarial, administrao de TI e executivos de negcio, assim como as relaes existentes entre elas. A partir desta identificao foi sugerido pelos autores o Modelo das Dimenses do Uso de TI em Benefcio aos Negcios, conforme Figura 2. (ALBERTIN e ALBERTIN, 2005a).

22

Figura 2: Modelo das dimenses do uso de TI em benefcio dos negcios Fonte: Albertin e Albertin (2005b)

Segundo Albertin e Albertin (2005a), para as organizaes o uso da TI muito importante, pois orienta as aes internas e externas conforme os objetivos, estratgias e operao. O valor que a TI oferece est relacionado com os direcionadores de respostas organizacionais e a qualidade dos estudos destes direcionadores, assim como as diversas aplicaes de TI disponveis para as organizaes que possuem nveis diferentes de necessidades, onde ela pode contribuir inclusive para elaborao de novos modelos de negcio. O aproveitamento dos benefcios ocasionados pelo uso da TI nas organizaes, tanto na infraestrutura, como sua aplicao nos processos organizacionais oferece benefcios como custo, produtividade, qualidade, flexibilidade e inovao que devero ser mensurados nos negcios (ALBETIN, ALBERTIN, 2005a). Para Foina (2006), a Tecnologia da Informao se propem a garantir a qualidade e pontualidade das informaes dentro das organizaes atravs do uso adequado da tecnologia. Desta forma, assim como outras reas da empresa, a rea de TI tambm exige um Planejamento Estratgico. O PETI - Planejamento Estratgico de Tecnologia da Informao requer alteraes e atualizaes conforme as mudanas tecnolgicas do ambiente (interno ou

23

externo). Para o autor o Planejamento Estratgico de TI pode ser dividido da seguinte maneira:

diagnstico da situao atual da empresa; estabelecimento da situao desejada para o perodo de planejamento; definio das polticas e diretrizes bsicas; estabelecimento dos Planos de Ao (Tticos).

Devido crescente utilizao tecnolgica, alm da complexidade e mudana que ocorrem no ambiente externo e interno das organizaes e mercado, os desafios da administrao de TI tm aumentado. A administrao de TI, por ser responsvel pelas definies e aes decorrentes do uso da TI, deve ser decorrente do modelo de governana de TI (ALBERTIN, 2005, p.29). Weill e Ross (2006) afirmam que a unidade de TI no pode ser a nica, nem a principal, responsvel pelo sucesso do uso da informao e da Tecnologia da Informao, e que de competncia dos lderes organizacionais a capacidade de extrair o maior valor da TI. Empresas com melhor desempenho so aquelas que implantam uma Governana de TI eficiente para sustentar sua estratgia e que uma governana de TI eficaz o indicador mais importante do valor que a organizao aufere com a Tecnologia da Informao.

6.2 GOVERNANA DE TI

A Governana Corporativa teve sua importncia destacada nos negcios devido gravidade dos impactos causados pelos escndalos corporativos em meados de 2002, em algumas organizaes como Enron, Worldcom e Tyco. A governana corporativa no era nova, mas os impactos financeiros causados pelos escndalos fizeram com a confiana de investidores (institucionais e individuais) fosse abalada e que empresas privadas viessem a ter um aumento significativo na preocupao em proteger as pessoas envolvidas nos negcios das organizaes. Devido aos impactos ocasionados mundialmente, houve interveno do governo dos EUA e uma nova legislao passou a exigir mais rigor e exatido, aumentando o nvel de autorregulamentao (WEILL e ROSS, 2006). Para Fernandes e Abreu (2008), vrios fatores motivam a Governana de TI, embora o senso comum considere que a transparncia da administrao seja o principal motivador desse movimento no ambiente de TI das organizaes, conforme apresentado na Figura abaixo.

24

Figura 3: Motivadores da Governana de TI Fonte: Fernandes e Abreu (2008, pg. 9)

Ainda, segundo o autor, a implantao de um Programa de Governana de TI justificase pela necessidade de sucesso e funcionamento adequado de centros de servios compartilhados, desta forma se faz necessrios processos de TI, eficaz e eficiente. Segundo Weill e Ross (2006, p. 8), Governana de TI pode ser entendida como a especificao dos direitos decisrios e do framework de responsabilidades para estimular comportamentos desejveis na utilizao da TI. A definio de Governana de TI inserida pelos autores, apresenta que a governana determina quem tem os direitos decisrios e quem toma as decises atravs de mecanismos e procedimentos operacionais que assegurem que os objetivos sejam atingidos. Fernandes e Abreu (2008) ainda concluem que a Governana de TI objetiva o compartilhamento de decises de TI com os demais dirigentes da organizao, assim como estabelecer as regras, a organizao e os processos que envolvero o uso da tecnologia da informao pelos setores e usurios da organizao, assim como os clientes e fornecedores, desta forma a Governana de TI determina como a TI deve prover os servios para a empresa. A viso de Governana de TI apresentada por Fernandes e Abreu (2008), representado pelo que chamam de Ciclo de Governana de TI. Este ciclo composto por

25

quatro etapas: (1) alinhamento estratgico e compliance, (2) deciso, (3) estrutura e processo e (4) medio do desempenho da TI, conforme representado pela Figura 4.

Figura 4: O ciclo da Governana de TI Fonte: Fernandes e Abreu (2008, p.14)

No Ciclo de Governana de TI apresentando pelo referido autor, cada etapa refere-se a uma situao, conforme apresentado: A etapa (1), Alinhamento Estratgico e compliance, referem-se ao Planejamento Estratgico de TI alinhado com o Planejamento Estratgico de outras reas da empresa, assim como os requisitos de compliance externos. Etapa (2) deciso, compromisso, priorizao e alocao de recursos, definem o processo de tomada de decises, em que ocasio sero realizadas as decises relativas a TI, como a arquitetura de TI, servios de infraestrutura, investimentos, necessidade de aplicao e outros. A etapa (3) que inclui estrutura, processos, operaes e gesto, refere-se estrutura organizacional e funcional da TI, assim como os processos de gesto e operaes dos servios e produtos de TI. Nesta fase, alinhados com as necessidades estratgicas da empresa, so definidos ou redefinidos operaes da empresa, suporte tcnico, infraestrutura de TI, segurana da informao, etc. Por ltimo a etapa (4), medio do desempenho, que abrange coleta de dados e concluso dos indicadores de resultados referentes ao processo, produtos e servios de TI e sua contribuio para os objetivos da empresa. Conforme Albertin e Albertin (2005a), a Governana de TI encontra desafios em suas prprias funes como o alinhamento aos objetivos do negcio, a busca de benefcios (inovao), o melhor aproveitamento dos gastos e aumento da eficincia pela TI e o gerenciamento de riscos de investimentos de TI.

26

6.2.1 Componentes da Governana de TI

Weill e Ross (2006) afirmam que uma boa governana de TI deve harmonizar decises da administrao e a utilizao de TI com os objetivos do negcio. Os autores relacionam cinco decises de TI que, inter-relacionadas, objetivam uma governana eficaz, onde uma deciso motiva e influencia a outra. Estas decises so:

Princpios de TI inclui um conjunto de declaraes de alto nvel sobre com a tecnologia da informao utilizada no negcio. Este conjunto de declaraes referentes aos princpios de TI, tambm ajudam os administradores na tomada de decises sobre as estratgias tecnolgicas e sobre os investimentos em tecnologia que devem ser realizados. Como os princpios orientam todas as decises de TI, qualquer equvoco atinge as outras quatro decises comprometendo a eficcia das mesmas;

Arquitetura de TI define os requisitos de integrao e padronizao dos processos do negcio, estabelecendo uma organizao lgica para os dados e provendo o direcionamento para a infraestrutura e aplicaes;

Infraestrutura de TI determina a base do planejamento de TI, tanto tcnica quanto humana, que est disponvel em todo negcio como forma de servios compartilhados e de suporte. de deciso essencial da infraestrutura determinar os locais em que a infraestrutura deve ser posicionada, como devem ser avaliados e quando devem ser atualizados ou terceirizados. Mantendo uma infraestrutura correta faz com que a empresa tenha capacidade de adotar rapidamente novas aplicaes de negcio;

Necessidades de Aplicao de negcio considerada a menos madura das cinco decises, pois requer criatividade e disciplina por parte dos gerentes. Esta deciso especifica a necessidade comercial de TI comprada ou desenvolvida internamente.

Investimentos e priorizao de TI a deciso que frequentemente observada como sendo a mais controversa das cinco, pois envolve escolher quais projetos financiar e quanto gastar.

Fernandes e Abreu (2008, p.15) afirmam que o principal objetivo da Governana de TI alinhar a TI aos requisitos do negcio. O alinhamento tem o objetivo de garantir a continuidade do negcio, atendo as estratgias e compliance. O autor apresenta as etapas da

27

Governana de TI da seguinte forma:

Figura 5: Os domnios e competences da Governana de TI Fonte: Fernandes e Abreu (2008, p. 17)

Entre os componentes da etapa Estrutura, Processos, Operao e Gesto, est o componente Operaes de Segurana da Informao, que contempla atividades relacionadas segurana da infraestrutura de TI, como aplicativos, monitoramento da segurana, conscientizao da segurana da informao, gesto de problemas de segurana de informao, elaborao de plano de continuidade do negcio, anlise de vulnerabilidade de segurana da informao, assim como outras atividades relacionadas segurana da informao.

6.3 IMPORTNCIA DA SEGURANA DA INFORMAO

Segundo Caruso e Steffen (1999), o bem mais valioso que uma organizao possui a informao. Devido ao alto grau de relevncia que a informao possui para a organizao, muitas empresas no sobrevivem mais que poucos dias a um colapso do fluxo de informaes, no importando o meio de armazenagem das informaes. importante que as organizaes integrem ao ambiente de informao medidas de segurana efetiva a um custo aceitvel. Conforme Smola (2003) a Segurana da Informao tem o objetivo de proteger os ativos da informao contra acessos no autorizados, alteraes indevidas ou sua indisponibilidade. A segurana da informao pode ser considerada como a prtica de gesto de riscos de incidentes que impliquem no comprometimento dos trs princpios bsicos da segurana da informao:

Confidencialidade a informao deve ser protegida conforme o seu grau de confidencialidade, limitando o acesso e uso destas informaes por pessoas no autorizadas;

Integridade a informao deve ser protegida contra alteraes indevidas, acidentais ou intencionais, visando manter sua originalidade;

28

Disponibilidade toda informao gerada ou adquirida deve estar disponvel aos seus usurios no momento em que ela for necessria.

Segundo Silva et al. (2008) a segurana da informao formaliza seis servios de segurana:

Autenticao - prev a garantia da identidade de um usurio; Autorizao realiza o controle de acesso, protegendo contra acesso no autorizado;

Privacidade assegura que dados sigilosos no sero revelados a pessoas no autorizadas;

Integridade protege contra alteraes de dados, insero ou remoo imprpria;

No-repdio - garante as evidncias durante a comunicao impedindo que partes envolvidas neguem sua participao;

Disponibilidade garante que os sistemas, dados e recursos estejam disponveis para uso sem qualquer impedimento. Tambm garante a rpida disponibilidade no caso de incidentes.

Estes servios tornam os ativos protegidos contra ameaas segurana da informao e quando utilizados em conjunto com outras metodologias de segurana, tem com o objetivo de assegurar a garantia total do sistema.

6.4 GESTO DA CONTINUIDADE DO NEGCIO

Conforme declarao do presidente e diretor da DRI Disaster Recovery International, Johon Copenhaver, a importncia do Plano de Continuidade dos Negcios hoje reconhecida mundialmente. No importa onde a empresa est localizada, ela deve ser preparada para contingenciar incidentes (COPENHAVER, 2007). Este reconhecimento se deu recentemente, aps grandes desastres ocorridos, como o poderoso tsunami no Pacfico, furaco Katrina, o ataque terrorista de 11 de setembro em 2001 nos EUA. Estes so alguns exemplos que causaram impactos significativos em pessoas e organizaes do mundo, fazendo com que grandes empresas viessem a se preocupar com o planejamento da continuidade dos seus negcios, pois atualmente difcil encontrar empresas que no possuem tecnologia de informao e que se preocupem com a segurana destas informaes. Mesmo com o reconhecimento desta importncia, ainda hoje muitas companhias no possuem um plano de continuidade (SNEDAKER, 2007).

29

O plano de continuidade dos negcios tem o objetivo de garantir a continuidade dos processos e informaes vitais sobrevivncia da empresa, no menor espao de tempo possvel com o objetivo de reduzir os impactos de incidentes. O plano tem alto nvel de complexidade, pois pode assumir diversas formas devido abrangncia de sua atuao, sendo formado por diversos planos integrados e focados em diferentes meios, como fsicos, tecnolgicos ou humanos (SMOLA, 2003). Conforme declarao de Stanton (2007) revista InfoSecurity uma boa estratgia de continuidade de negcios comea com a idia de que falhas podem acontecer, onde se deve observar o risco em cada ambiente para avaliar se o planejamento da continuidade necessrio. Para Smitth e Sherwood (1995) a primeira etapa do processo de planejamento a anlise de risco e do impacto do negcio, pois o planejamento da continuidade deve preservar os servios e assistncias essenciais aos clientes, confiana do cliente (interno e externo) e a imagem pblica da organizao. O processo de planejamento da continuidade do negcio deve determinar os impactos que seriam sofridos pelo desastre, identificando as funes crticas e os recursos crticos dependentes das funes, assim como determinar prazos para a recuperao das funes conforme sua ordem de prioridades. Os autores apresentam um esboo para o processo de planejamento, conforme apresentado na Figura 6 abaixo.

Figura 6: Plano de Continuidade dos Negcios Etapas a seguir Fonte: Smitth e Sherwood (1995, p. 17)

30

A NBR ISO/IEC 17799 (2005, p.103) propem que o objetivo da gesto da continuidade do negcio no permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de falhas e desastres significativos, e assegurar a sua retomada em tempo hbil, se for o caso.. Ainda segundo a mesma norma, o processo de gesto da continuidade do negcio deve agregar os seguintes elementos: a) Identificao dos riscos ao qual a organizao est exposta, probabilidade do risco ocorrer e o impacto no tempo, assim como a identificao e priorizao dos processos crticos do negcio; b) c) Levantamento de todos ativos envolvidos nestes processos crticos; Entendimento do impacto que incidente de segurana da informao possam ocasionar sobre o negcio; d) e) f) Considerao quanto contratao de seguro para continuidade do negcio; Controles preventivos e mitigao; Identificao dos recursos da organizao (financeiros, organizacionais, tcnicos e ambientais) de forma a identificar os requisitos de segurana; g) Garantia da segurana de pessoal e proteo das informaes e dos bens da organizao; h) Elaborao detalhada dos planos de continuidade do negcio contemplando os requisitos de segurana; i) j) Testes e manutenes dos planos e processos; Garantia de que a gesto da continuidade est incorporada aos processos da organizao e gerenciamento dos processos de gesto da continuidade pela alta gerncia da organizao.

6.4.1 Etapas que envolvem o Plano de Continuidade dos Negcios

Nesta subseo ser apresentada a viso de diferentes autores sobre algumas etapas que so requisitos para elaborao do PCN, sendo que outras etapas, como treinamentos, testes e manuteno, servem para posterior elaborao, onde o plano avaliado e ajustado.

a) Poltica de Segurana da Informao Segundo Caruso e Steffen (1999) de grande importncia que as organizaes cerquem o ambiente de informao com medidas de segurana efetiva a um custo aceitvel.

31

Para isto, uma poltica de segurana deve ser elaborada, implantada e deve permanecer em contnuo processo de reviso. A poltica de segurana deve conter regras claras e simples, deve contemplar aspectos dos ativos de informaes quanto proteo contra acessos no autorizados e preveno contra incidentes. Alm da proteo fsica e lgica, a poltica de segurana deve contemplar a recuperao das operaes em caso de destruio total ou parcial das atividades. Para Carvalho (2003), a elaborao de uma poltica de segurana tem o propsito de definir diretrizes, normas, procedimentos e descarte de informao, ela deve formalizar parmetros e oficializar um cdigo de conduta no trato de informaes. Conforme a NBR ISO/IEC 17799 (2005p. 103) Convm que um processo de gesto seja desenvolvido e mantido para assegurar a continuidade do negcio por toda a organizao e que contemple os requisitos de segurana da informao necessrios para a continuidade do negcio da organizao..

b) Responsabilidades do Planejamento Entre outras coisas, a poltica deve definir as responsabilidades da gerncia para o planejamento da continuidade do negcio. essencial que estas responsabilidades sejam delegadas ao nvel superior dentro da estrutura de gerncia, encarregando pessoas capacitadas e responsveis. As responsabilidades de planejamento so da gerncia em geral, pois devem administrar o cumprimento do plano caso seja necessrio. Para as organizaes, o critrio principal de sucesso a habilidade da gerncia em estruturar e suportar o agravamento no menos espao de tempo possvel, com eficiente de respostas do problema, delegao das aes e agilidade da tomada de deciso (SMITH e SHERWOOD, 1995).

c) Anlise de Riscos A anlise de riscos e vulnerabilidades objetiva diagnosticar a situao atual da segurana da empresa, atravs do mapeamento dos processos do negcio e o relacionamento deles com os ativos fsicos, tecnolgicos e humanos que tendem a falhas de segurana. (SMOLA, 2003). O autor ainda apresenta a relao de dependncia entre os ativos, conforme Figura 7.

32

Figura 7: Relao de dependncia entre ativos, processos e o prprio negcio Fonte: Smola (2003, p. 109)

Para a anlise de riscos existem duas linhas metodolgicas para orientao. A quantitativa, que mensura os impactos financeiros provocados por incidentes, e a qualitativa, que permite estimar os impactos ao negcio provocados pela vulnerabilidade de ameaas. Ainda segundo o autor, devem ser considerados os seguintes aspectos para Anlise dos Riscos: a) b) c) d) e) f) g) Identificao da relevncia que o processo do negcio tem para organizao; Identificao da dependncia dos processos de negcio com o ativo; Entendimento do impacto resultante, no caso de ocorrncia de uma ameaa; Probabilidade da ameaa ocorrer; Severidade potencial na explorao no ativo; Qualificao das vulnerabilidades presentes no ativo; Qualificao das ameaas potenciais.

Aps identificao da probabilidade e severidade de uma ameaa atingir cada vulnerabilidade encontrada para o ativo, deve-se projetar o nvel do risco de cada processo do negcio considerando o risco de cada ativo. A Figura 8 representa o risco medido pela relao de probabilidade e impacto.

33

Figura 8: Quadrante do Risco medido pela relao de Probabilidade e Impacto Fonte: Smola (2003, p. 112)

Caruso e Steffen (1999) consideram a relao da segurana de ativos de informao com custo/benefcio, onde no se deve gastar mais dinheiro em segurana do que o valor do ativo protegido. Os autores ainda apresentam como forma mais eficiente de se obter a anlise de custo/benefcio, fazer com que os prprios usurios de cada sistema avaliem o valor para a organizao, pois afirmam que quem trabalha com as informaes o mais indicado para fazer a anlise do risco. Os autores apresentam o fluxo de anlise das ameaas conforme a Figura 9.

Figura 9: Fluxo de anlise das ameaas Fonte: Caruso e Steffen (1999, p.67)

Segundo a NBR ISO/IEC 17799 (2005, p. 104) convm identificar os eventos que podem causar interrupes aos processos de negcio, junto a probabilidade e impacto de tais interrupes e as consequncias para a segurana da informao.

34

d) Anlise de Impacto nos Negcios A anlise de impacto do negcio envolve a identificao de funes crticas do negcio dentro da organizao, determinando o impacto de no executar a funo do negcio e de no verificar as implicaes do custo. As finalidades de uma anlise de impacto so:

Identificar os riscos potenciais; Estimar os efeitos de um desastre no conjunto da organizao; Definir as exigncias para uma estratgia de recuperao, incluindo os recursos necessrios para a recuperao;

Fornecer recursos financeiros para a preparao e recuperao do desastre; Determinar a criticidade de cada funo do negcio baseado no impacto total da organizao e estabelecer prioridade de recuperao;

Avaliar os impactos financeiros e operacionais, determinando os efeitos quando possvel, como estimativa de rendimentos perdidos e produtividade;

Determinar prazos para a recuperao das funes.

Desta forma pode-se identificar o que critico para manter a organizao em operao e determinar a abrangncia do plano de continuidade (DEVARGAS, 1999).

e) Estratgias de Contingncias Ao avaliar as opes para recuperao da funo do negcio, devem-se utilizar critrios que assegurem que a estratgia esteja disponvel e seja til para a recuperao. A habilidade de contatar os recursos responsveis pela recuperao muito importante, portanto deve-se manter uma lista de contatos, equipamentos, telefones, softwares e outras informaes necessrias e fundamentais para colocar o PCN em funcionalidade (TEXAS DEPARTMENT OF INFORMATION RESOURCES, 2004). Segundo Smola (2003), as estratgias de contingncia so agrupadas normalmente nas seguintes categorias: a) Hot-site: refere-se a uma estratgia pronta para entrar em operao assim que uma situao de risco ocorrer, onde o tempo de operacionalizao desta estratgia est diretamente ligado ao tempo de tolerncia a falhas; b) Warm-sites: se aplica a funes que possuem maior tolerncia paralisao, podendo permanecer indisponvel por mais tempo at o retorno operacional da atividade. Um exemplo o servio de e-mail; c) Realocao de Operaes: esta estratgia tem a funo de desviar a atividade

35

atingida para outro ambiente fsico, equipamento ou link, pertencente a mesma empresa. Esta estratgia se torna possvel quando h recursos disponveis para alocao em situaes de crise; d) Bureau de servios: esta estratgia tem o objetivo de transferir as funes atingidas para um ambiente terceirizado, fora dos domnios da empresa. Esta estratgia torna-se restrita a algumas operaes pelo tempo de tolerncia maior em funo da reativao operacional da atividade; e) Acordo de reciprocidade: esta estratgia conveniente para contingncias que demandariam investimentos altos, pois propem um acordo formal com empresa semelhante que tambm esteja disposta a possuir uma alternativa de continuidade operacional. As empresas estabelecem as situaes de contingncia e definem os procedimentos de compartilhamento de recursos para alocao das atividades atingidas no ambiente da outra empresa; f) Cold-site: este modelo prope uma alternativa de contingncia aplicvel em situaes com tolerncia de indisponibilidade ainda maior, pois propem um ambiente com recursos mnimos de infraestrutura e telecomunicaes, desprovidos de recurso de processamento de dados; g) Autosuficincia: esta estratgia aplicada quando no h outra possibilidade de estratgia para determinada atividade. Geralmente ocorre quando nenhuma outra estratgia se aplica atividade, quando os impactos no so significativos ou quando se torna invivel financeiramente, tecnicamente ou estrategicamente.

f) Planos Funcionais Detalhados Conforme as estratgias de contingncia definidas, os planos detalhados devem ser elaborados para mostrar como a resposta e a recuperao ser efetuada. O planejamento detalhado do plano deve ser efetuado necessariamente pelas pessoas responsveis pelo conhecimento tcnico especfico do negcio (SMITH e SHERWOOD, 1995). Smola (2003) apresenta a diviso dos planos em trs mdulos distintos e complementares que tratam cada situao da empresa: a) Plano de administrao de crise tem o objetivo de descrever o passo a passo do funcionamento das equipes envolvidas no plano de contingncia antes, durante e depois da ocorrncia do incidente; b) Plano de continuidade operacional descreve os procedimentos de contingncia

36

para os ativos que suportam cada processo de negcio, com o objetivo de diminuir o tempo de indisponibilidade e impactos ao negcio; c) Plano de recuperao de desastres objetiva definir um plano de recuperao e restaurao das funcionalidades dos ativos afetados pelo incidente, com a finalidade de estabelecer as condies originais.

g) Integrao ao nvel Incorporado Nesta etapa, conforme Smitth e Sherwood (1995), cada unidade de negcio deve desenvolver seus prprios planos, aps o desenvolvimento do plano por cada unidade, deve-se integrar e coordenar os planos, assegurando que os objetivos sejam alcanados.

h) Procedimentos de Ativao Para cada plano deve haver um procedimento claro e definido, apresentando porque o incidente relatado, escalado, confirmado e ento selecionado para ser ativado em resposta ao incidente. Estes procedimentos devem ser definidos para todos os planos (SMITH e SHERWOOD, 1995).

i) Treinamento e Conscincia Conforme Herbane, Elliott e Swartz (2004) as organizaes que procuram inserir a continuidade dos negcios ao processo de trabalho podem utilizar uma combinao de meios para comunicar sua relevncia, onde podem ser realizados treinamentos, exerccios do levantamento de conscincia e reunies para levantar as necessidades. Estas medidas refletem a importncia da continuidade dos negcios para a organizao

j) Testes As etapas de anlise e desenvolvimento do PCN so apenas o comeo. O teste e a manuteno objetivam a validao e a atualizao da documentao j elaborada. Os testes, tambm chamados de exerccios, tm a finalidade de expor as reas do plano que necessitam ser revisadas, demonstram as aes de proteo a serem tomadas antes de um evento ocorrer, pois a execuo do teste demonstra como o plano trabalhar, caracterizando se a recuperao ser bem sucedida ou no. A execuo dos testes deve se concentrar nas funes prioritrias do negcio, conforme a determinao da anlise se impacto. Sendo que cada vez que forem executados os

37

testes e realizada atualizao ou alterao do plano, necessrio que sejam executados novos testes para validao da manuteno do plano (TEXAS DEPARTAMENT OF INFORMATION RESOURCES, 2004).

k) Manuteno e Reviso O plano de continuidade exige esforos que devem ser realizados para mant-lo dentro das mudanas tecnolgicas e exigncias de segurana. O plano de continuidade deve ser freqentemente avaliado para medir a eficcia do programa e a conscincia da organizao perante a sua importncia, onde deve ser verificada a necessidade de treinamentos. Deve-se avaliar se os procedimentos esto sendo seguidos para a segurana e os resultados devem ajudar a identificar e corrigir problemas (DEVARGAS, 1999).

6.4.2 Gesto de Continuidade do Negcio segundo NBR 15999-1:2007

A criao da NBR 15999-1: 2007 ocorreu atravs do conhecimento e experincias de especialistas da comunidade de continuidade de negcios. A norma tem por objetivo apresentar melhores prticas para a gesto da continuidade de negcios, servindo como referncia para as organizaes e aos setores interessado (NBR 15999-1, 2007). A norma sugere que se estabelea uma Gesto da Continuidade dos Negcios (GCN), onde a alta direo seja responsvel pelos processos de gesto e governana, mantendo as estratgias e os planos de recuperao de forma a garantir a continuidade do negcio, sendo que para a garantia da continuidade do negcio, devem-se realizar treinamentos, testes, manuteno e anlise crtica dos planos. Para a norma 15999-1, o GCN um processo da organizao que deve estabelecer uma estrutura estratgica e operacional adequada para preparar a organizao contra possveis paradas no planejadas, retomada dos servios dentro de um prazo predeterminado e capacidade de gerenciar uma parada de forma a proteger e manter a imagem da organizao. A norma ainda segue o modelo Plan-Do-Check-Act (PDCA) que se aplica a todas as partes do ciclo de vida da gesto da continuidade de negcio, de forma a garantir que a continuidade do negcio esteja devidamente gerenciada (NBR 15999-2, 2007). O ciclo de vida da gesto da continuidade de negcio, apresentado a NBR 15999-1: 2007, apresenta seis elementos, sendo que estes elementos podem ser implementados em

38

organizaes de diversos setores. A seguir, a Figura 10 ilustra o ciclo de vida da gesto da continuidade de negcios proposto pela norma 15999-1.

Figura 10: Ciclo de vida da gesto da continuidade de negcios Fonte: ABNT NBR 15999-1 (2007, p. 8)

O ciclo de vida da gesto da continuidade, apresentado pela norma, composto por seis elementos, onde so apresentadas algumas diretrizes conforme descrio abaixo:

a) Gesto do Programa de GCN

Atribuio de responsabilidades, onde se deve determinar as pessoas responsveis por implementar e manter o programa de GCN;

Implementao da continuidade do negcio na organizao, nesta etapa deve-se realizar a comunicao do programa aos interessados, treinamentos e testes para validao do PCN;

Gesto contnua da continuidade do negcio, onde se deve realizar analise crtica dos planos e solues de continuidade do negcio, manuteno nos processos, documentos e estratgias de continuidade. Nesta etapa tambm ocorre elaborao dos documentos de continuidade.

b) Entendendo a Organizao

39

Identificar os objetivos da organizao, as atividades, os ativos, os recursos (externos e internos);

Realizar a Anlise de Impacto, avaliando o impacto e consequncias sobre o tempo de falha das atividades, podendo estabelecer perodos como tempo mximo de parada de uma atividade, nvel mnimo de desempenho da atividade aps seu reincio e tempo mximo de retomata dos nveis normais.

Identificao das Atividades crticas; Determinao dos requisitos de continuidade, determinando os recursos necessrios para cada atividade durante a recuperao. Os requisitos devem ser aprovados pela alta direo;

Avaliao dos riscos, para entendimento dos riscos, critrios de aceitao, nveis de aceitao e estratgias de avaliao dos riscos para as atividades crticas da organizao.

c) Determinando as estratgias de continuidade de negcios, onde se devem estabelecer solues adequadas de forma a minimizar os efeitos de um incidente, fornecendo continuidade s atividades crticas durante e aps o incidente. A norma ainda menciona que importante que a organizao possua estratgias para as atividades crticas e paras os recursos que sero utilizados nestas atividades durante a restaurao. As estratgias dependem de fatores como o perodo mximo de interrupo, custo de implementao e as consequncias causadas pela no execuo da estratgia. Ainda segundo a ISO, as estratgias so necessrias para os seguintes recursos pessoas, instalaes, tecnologia, informao, suprimentos e partes interessadas, conforme as necessidades da empresa. As estratgias tambm devem passar pela aprovao da alta direo;

d) Desenvolvendo e implementando uma resposta de GCN, neste elemento deve-se elaborar e implementar os planos detalhados de continuidade conforme a anlise e identificao dos riscos. O contedo dos planos deve conter:

Objetivo e Escopo, onde se deve detalhar o objetivo do plano e o escopo das atividades crticas que necessitem de recuperao, assim como o tempo e nvel de recuperao;

40

Papis e responsabilidades, onde deve definir as pessoas envolvidas durante e aps o incidente, assim como os seus papis;

Ativao de planos, onde ocorre o detalhamento das informaes sobre o critrio para ativao dos planos, forma de comunicao com a equipe e locais de encontro;

Proprietrio, indicao do principal responsvel pelo plano; Detalhes de contado, onde se devem incluir no plano as informaes dos contatos interessados. Alm do contedo dos planos conforme descritos acima, a elaborao do plano ainda deve ser realizada em duas etapas:

Plano de Gerenciamento de Incidentes (PGI) tem por objetivo gerenciar a fase inicial de um incidente, de forma a cobrir os principais recursos necessrios para o gerenciamento do incidente.

Plano de Continuidade de Negcios (PCN) tem por objetivo recuperar e manter os servios e atividades da organizao em caso de interrupo.

A norma ainda menciona que, para empresas pequenas, pode-se incluir em um nico documento todos os planos de continuidade elaborados para os recursos da organizao, no sendo necessria a elaborao de um documento para cada risco. Quanto ao Plano de Retorno, a norma diz que este pode ser planejado enquanto a empresa est operando com o PCN.

e) Testando, mantendo e analisando criticamente os preparativos de GCN

Elaborar um programa de testes de forma a garantir e validar os preparativos de gerenciamento e continuidade de negcio.

Analisar criticamente todos os procedimentos de continuidade.

f) Incluindo a GCN na cultura da organizao

Elaborar um programa que mantenha e aumente a conscincia da organizao quanto a GCN.

Treinamento envolvendo as pessoas relacionadas diretamente GCN.

Na prxima subseo ser apresentado o gerenciamento da continuidade segundo o ITIL.

41

6.4.3 Gerenciamento da Continuidade Segundo ITIL

O desenvolvimento das melhores prticas do ITIL ocorreu no final dos anos 80 pelo CCTA (Central Computer and Telecommunications Agency) para atender a solicitao do governo britnico que estava insatisfeito com o nvel de qualidade dos servios de TI. Desta forma, foi solicitado o desenvolvimento de melhores prticas para o gerenciamento de TI, objetivando a utilizao eficiente e responsvel dos recursos de TI. Em abril de 2001, aps a incorporao do CCTA ao OGC (Office of Government Commerce) - que corresponde a um rgo responsvel pelas melhorias dos processos de contratao e gesto de servios este passou a ser o rgo responsvel pela evoluo e divulgao da ITIL (FERNANDES e ABREU, 2008). Pasqualetto e Luciano (2006) definem ITIL como um grupo de prticas que apresentaram resultados positivos e orientam as organizaes pelo melhor caminho dentro da TI. O ITIL possui uma abordagem de Gerenciamento de Servios de TI mais aceito no mundo, fornecendo um conjunto de melhores prticas, provenientes de setores pblicos e privados em nvel internacional (OGC, 2005a). A estrutura do ITIL composta por sete mdulos. Na Figura 11 est representada a estrutura do ITIL e um resumo de como os seus mdulos se relacionam com a tecnologia e o negcio.

Figura 11: ITIL (Framework) Fonte: OGC (2005a)

42

a) Perspectiva do Negcio A perspectiva do negcio tem o objetivo de alinhar a gesto empresarial com os componentes da Tecnologia da Informao e Comunicao (TIC), visando uma infraestrutura que suporte os processos de negcio e um melhor gerenciamento de padres e melhores prticas.

b) Gerenciamento de Infraestrutura de TIC Este mdulo cobre todos os aspectos da gerncia de infraestrutura da TIC no aspecto da identificao das necessidades do negcio atravs de processos, testes, distribuio das instalaes, suporte contnuo e manuteno dos componentes TIC e servios de TI.

c) Gerenciamento de Aplicaes A gerncia de aplicaes abrange o ciclo de vida de desenvolvimento do software e se estende para sustentao do ciclo de vida do software e de teste de servio. A gerncia de aplicaes possui influncia nas mudanas organizacionais conforme as exigncias encontradas nas necessidades do negcio.

d) Planejamento para Implantar o Gerenciamento de Servios Possui a finalidade de analisar questes e tarefas envolvidas no planejamento, execuo e melhoria dos servios e processos dentro das organizaes. Este mdulo tambm abrange questes culturais e mudana organizacional.

e) Suporte de Servios O objetivo garantir que os servios de TI estejam alinhados com as necessidades do negcio. fundamental que os servios de TI acompanhem e sustentem os processos do negcio, e que seja um facilitador de mudanas perante as transformaes da organizao. Os componentes que esto includos para o suporte de servios so:

Gerenciamento de Incidentes; Gerenciamento de Problemas; Gerenciamento de Mudanas; Gerenciamento de Liberaes; Gerenciamento de Configuraes.

43

f) Entrega de Servios Abrange os processos necessrios para o planejamento e entrega de servios, assegurando a qualidade aos servios entregues. Os componentes para entrega de servios so:

Gerenciamento de Nvel de Servio; Gerenciamento da Capacidade; Gerenciamento da Disponibilidade; Gerenciamento Financeiro; Gerenciamento da Continuidade dos Servios.

Para uma eficiente prestao de servio de TI nas organizaes, essencial o acompanhamento da evoluo e exigncias do negcio, desta forma obtm-se melhoramento contnuo na qualidade dos servios alinhado com os requisitos do negcio, e de forma rentvel. Para atingir os objetivos, necessrio considerar trs aspectos: as pessoas, com suas competncias; processos eficazes e eficientes; Infraestrutura de TI. Estes trs componentes, aplicados de forma adequada dentro de um objetivo, so um facilitador para realizao e concretizao dos objetivos planejados (OGC, 2005a).

g) Segurana de Servios Este mdulo refere-se aos processos de planejamento e gesto de segurana da informao e servios de TI, incluindo a gesto de incidentes, sendo que o ITIL serve como o alicerce para a gesto da segurana. Os processos do ITIL que possuem relao com a gesto da segurana so pertencentes ao mdulo Suporte de Servios e Entrega de Servios (OGC, 2005b). Os incidentes de segurana da informao correspondem a eventos que podem causar dano confidencialidade, integridade e disponibilidade da informao ou processamento da informao. A falta de segurana e da continuidade dos negcios custa dinheiro por parada dos servios, ocasionando uma publicidade negativa para a organizao e conseqentemente a perda da confiana do cliente. de grande importncia uma correta segurana da informao que venha a garantir a continuidade dos servios, para isto essencial uma rigorosa anlise de riscos, para o conhecimento do impacto e um planejamento para evitar (OGC, 2005b). Para Mansur (2007) o objetivo do Gerenciamento de Continuidade de TI proteger os servios de qualquer eventualidade que venha a ocorrer, reduzindo possveis erros e falhas,

44

restaurando os servios conforme o tempo estipulado no plano de preveno. O autor ainda cita algumas necessidades do negcio que justificam o gerenciamento da continuidade:

Aumentar da credibilidade no mercado; Reduzir a dependncia do negcio em relao a TI; Reduzir o custo e tempo de recuperao dos servios de TI; Eliminar ou reduzir multas contratuais provocadas por falhas nos servios de TI; Manter-se em operao em caso de grandes desastres.

Segundo Magalhes e Pinheiro (2007, p. 399) toda grande organizao tem seus negcios de algum modo dependentes de TI, tornando assim os servios de TI crticos para a continuidade do negcio da organizao. Os autores ainda reforam que alm da tecnologia existente nas organizaes, existem outros dois elementos pessoas e processos e que os trs elementos devem estar sempre sincronizados. O processo de Gerenciamento da Continuidade dos Negcios (GCN) base de suporte para um processo de Gerenciamento da Continuidade dos Servios de TI (GCS), pois o PCN determina os processos e sistemas crticos da rea de TI que suportam o negcio da organizao, orientando da melhor forma para evitar a indisponibilidade dos servios de TI. A Figura 12 est representada a associao entre os processos de GCN e GCS.

Figura 12: Associao entre processos Fonte: Magalhes e Pinheiro (2007, p. 400)

O Plano de Continuidade dos Negcios deve orientar de forma clara quando o plano deve ser ativado e possuir a capacidade de recuperao com sucesso, de modo a garantir a continuidade dos servios caso ocorra uma catstrofe. Desta forma, o plano garante a qualidade dos servios acordados com os clientes fazendo com que os mesmos continuem

45

com suas atividades normalmente no sendo afetados pela falta ou atraso na entrega do servio (OGC, 2005b). Para Magalhes e Pinhero (2007), a estrutura de um PCN deve ser composta pelo menos pelos seguintes tpicos: a) Sumrio executivo, contendo:

Propsito do plano; Autoridade e responsabilidades das pessoas-chave; Tipos de emergncia que podem ocorrer; Local e gerenciamento da operao.

b) Gerenciamento dos elementos de emergncia, contendo:

Direo e controle; Comunicao; Recuperao e restaurao; Administrao e logstica.

c) Procedimentos de resposta emergncia, onde deve conter uma lista com aes a serem tomadas pelo menos durante os trs primeiros dias:

Alertas, no caso de aviso de catstrofes naturais; Conduo da evacuao; Desligamento das operaes; Restaurao das operaes.

d) Documentos de suporte:

Lista de emergncia lista contendo o nome e telefone 24 horas das pessoas envolvidas no processo, assim como suas responsabilidades.

Planta das instalaes fsicas planta com as informaes de localizao dos hidrantes, extintores, caixa de energia, sadas e escadas.

Guias para disponibilidade desenho contendo as informaes da infraestrutura de TI alinhada aos fornecedores externos e internos.

Procedimentos para recuperao documento contendo a descrio dos processos para que, em caso de incidente, os servios possam ser restaurados no menor espao de tempo possvel.

46

e) Identificar desafios e priorizar atividades:

Elaborar uma lista de aes a serem executadas e determinar quem e quando. Determinar para quem sero encaminhados os problemas identificados na fase de levantamento das vulnerabilidades.

6.4.5 Gerenciamento de Continuidade Segundo COBIT

O COBIT um guia de melhores prticas criado em 1994 pela ISAFA (Information Systems Audit and Control Fundation). Seu desenvolvimento ocorreu atravs do consenso de especialistas com o objetivo de estabelecer melhores prticas para a gesto de TI. Desde a sua criao o COBIT vem evoluindo atravs da incorporao de padres internacionais e especficos para processos de TI. Em 1998 foi publicada e 2 edio e no ano de 2000 foi publicada a 3 edio pelo IT Governance Institute (ITGI), rgo criado pela ISACA. No ano de 2005 o modelo evoluiu com o alinhamento a modelos como COSO, ITIL e ISO/IEC 17799 e foi publicada a verso 4.0. Em 2007 o modelo passou por nova atualizao e foi publicada a verso 4.1, cujo foco a eficcia no controle e nos processos de avaliao e divulgao dos resultados (FERNANDES e ABREU, 2008) O objetivo do COBIT proporcionar boas prticas para o gerenciamento de TI, a partir das necessidades do negcio, atravs de uma estrutura com foco no controle e menos na execuo. A adoo das prticas ajuda a melhorar os investimentos de TI, assegura a entrega dos servios e fornece uma viso de quando de algo vai mal. O controle do COBIT contribui para as necessidades organizacionais atravs de: a) b) c) d) e) Estabelece uma ligao com os requisitos do negcio; Organiza as atividades de TI em um modelo de processos geralmente aceitos; Identifica os principais recursos de TI para um melhor aproveitamento; Defini os objetivos de controle de gesto que devem ser considerados. As melhores prticas do COBIT orientam as organizaes alinhando as metas da organizao s metas de TI, fornecendo mtricas e identificando

responsabilidades associadas ao processo do negcio e TI (IT GOVERNANCE INSTITUTE, 2007). Para Mansur (2007) a utilizao do COBIT aumenta a aceitao e reduz o tempo para efetivar o programa de governana de TI, pois permite o uso dos resultados das auditorias como uma oportunidade para melhorar os servios de TI.

47

Segundo IT Governance Institute (2007) a base de sustentao da Governana de TI pode ser representadas por cinco reas e seus respectivos focos, conforme Figura 13.

Figura 13: Foco da Governana Fonte: IT Governance Institute (2007, p.5)

Abaixo apresentado o objetivo de cada foco: a) Alinhamento Estratgico tem o objetivo de garantir o alinhamento entre o plano de negcio e o de TI, definindo manuteno e validao da preposio de valor de TI, e alinhar a TI com as operaes da empresa; b) Agregao de Valor deve executar a proposio de valor, assegurando que a TI proporcione os servios prometidos conforme a estratgia; c) Gerenciamento de Recursos otimizao dos investimentos e adequada gesto dos recursos crticos de TI (aplicaes, informaes, infraestrutura e pessoas); d) Gerenciamento de Riscos requer conhecimento dos riscos da organizao por parte da gerncia, compreenso dos requisitos, transparncia sobre os riscos significativos para a organizao e incorporao de responsabilidades para gesto de riscos; e) Medio de Desempenho acompanhamento e monitoramento da execuo da estratgia, concluso dos projetos, uso dos recursos, execuo dos processos e prestao de servios. Conforme Fernandes e Abreu (2008), o COBIT fornece um modelo padro de referncia e uma linguagem comum, permitindo que todos de uma organizao sejam capazes de distinguir e gerenciar atividades no mbito da TI. O modelo utiliza o ciclo de melhoria

48

contnua que inclui: planejar, construir, executar e monitorar. A Figura 14 ilustra a integrao entre os domnios na estrutura.

Figura 14: Domnios do COBIT (Framework) Fonte: IT Governance Institute (2007, p. 26)

O COBIT possui 34 processos de TI, sendo que estes processos esto divididos entre os quatro domnios relacionados ao negcio: Planejamento e Organizao, Aquisio e Implementao, Entrega e Suporte, e por ltimo Monitorao e Avaliao. O Quadro 1 apresenta os domnios e os processos de TI identificados pelo COBIT.

Definir um plano estratgico de TI; Definir a arquitetura da informao; Determinar a direo tecnolgica; Definir a organizao de TI, processos e relacionamentos; Gerenciar os investimentos em TI; Comunicar objetivos e direcionamentos gerenciais; Gerenciar recursos humanos; Gerenciar a qualidade; Avaliar e gerenciar os riscos de TI; Gerenciar projetos.

a) Planejamento e Organizao

49

Identificar solues automatizadas; Adquirir e manter software; Adquirir e manter infraestrutura tecnolgica; Viabilizar operao e utilizao; Adquirir recursos de TI; Gerenciar mudanas; Instalar e aprovar solues e mudanas. Definir e gerenciar nveis de servio; Gerenciar servios terceirizados; Gerenciar desempenho e capacidade; Garantir a continuidade dos servios; Garantir a segurana dos sistemas; Identificar e alocar recursos; Educar e treinar usurios; Gerenciar central de servios e incidentes; Gerenciar configuraes; Gerenciar problemas; Gerenciar dados; Gerenciar ambiente fsico; Gerenciar operaes. Monitorar e avaliar o desempenho da TI; Monitorar e avaliar os controles internos; Assegurar conformidades com requisitos externos; Fornecer governana para TI.

b) Aquisio e Implementao

c) Entrega e Suporte

d) Monitorao e Avaliao

Quadro 1: Domnios e Processos do COBIT Fonte: Fernandes e Abreu (2008)

Segundo IT Governance Institute (2007), os servios de TI exigem planos de continuidade que garantam a entrega, minimizando a ocorrncia e o impacto da interrupo dos servios relacionados s principais atividades organizacionais. O plano de continuidade dos servios necessita de contnuo desenvolvimento, manuteno e testes que garantam a sua efetividade. O controle oferecido pelos processos do COBIT tem o objetivo de garantir a continuidade dos servios atendendo os requisitos de negcio de TI e garantindo a

50

organizao o mnimo de impacto caso ocorra interrupo dos servios. O foco concentra-se na elaborao de solues alternativas e o desenvolvimento de planos de continuidade que envolva manuteno e testes. Estes requisitos podem ser atingidos atravs de: a) b) c) Desenvolvimento e manuteno da contingncia de TI; Treinamento e testes dos planos de contingncia; Disponibilizao de cpias dos planos de contingncias e dados de localizao (offsite); Logo abaixo so apresentados os processos para garantia da continuidade dos servios conforme COBIT:

a) Framework da Continuidade de TI Desenvolvimento de um framework de apoio a continuidade dos servios atravs de um processo consistente. O objetivo do framework auxiliar a determinar as flexibilidades da infraestrutura e conduzir o desenvolvimento de recuperao ps-catstrofe e planos de contingncia de TI. O framework deve abordar a estrutura organizacional para a gerncia de responsabilidades, assim como processos de planejamento para elaborao das regras e estruturas de documentao, testes e execuo do plano. O plano deve apontar os recursos crticos, monitorao e notificao da indisponibilidade, processos alternativos, assim como princpios de backup e recuperao.

b) Plano de Continuidade de TI Desenvolvimento do plano de continuidade com base no framework de forma a reduzir o impacto de um incidente nas funes e processos crticos para o negcio. Os planos devem ser desenvolvidos com base nos riscos e impactos no negcio, oferecendo recuperao e alternativas para processos crticos dos servios de TI. O plano tambm deve fornecer informaes orientando na utilizao, funes e responsabilidades, abordando procedimentos, processos de comunicao e testes.

c) Recursos Crticos de TI Garantir a continuidade estabelecendo prioridades de recuperao conforme as prioridades e necessidades da empresa, de forma a manter um nvel aceitvel e cumprimento das exigncias contratuais.

51

d) Manuteno do Plano de Continuidade de TI Definir e executar procedimentos de controle de mudanas que assegurem que o plano de continuidade seja mentido atualizado conforme as exigncias do negcio. As mudanas devem ser comunicadas em tempo oportuno.

e) Testes do Plano de Continuidade de TI Testes asseguram que os sistemas de TI possam ser recuperados, apontando deficincias no plano. Os testes devem ser monitorados atravs de documentao (relatrios) que apontem os resultados.

f) Treinamento do Plano de Continuidade de TI Desenvolver e executar treinamentos regulares para os envolvidos no processo, apresentando procedimentos, papis e responsabilidades em caso de desastres. Avaliar as necessidades de treinamentos conforme resultados dos testes de contingncia.

g) Distribuio de Plano de Contingncia de TI Determinao de estratgia para garantir que os planos sejam distribudos, de modo a assegurar que estejam disponveis aos interessados autorizados, quando e onde for necessrio, sendo acessvel independente do cenrio do desastre.

h) Recuperao e Retomada dos Servios de TI Planejar aes para o perodo de recuperao e recomeo dos servios de TI, onde deve ser includo locai alternativo, processo de iniciao, comunicao do cliente e interessados, assim como procedimentos alternativos de reestruturao, assegurando o tempo de recuperao, investimentos e tecnologia necessria para suporte da recuperao.

i) Offsite Backup de armazenamento Armazenar fora da organizao documentao e outros recursos de informao de TI necessrios para o plano de continuidade do negcio, determinando o contedo de backup entre a empresa e equipe de TI. A gerncia deve continuamente avaliar e assegurar as informaes armazenadas fora da organizao para fins de segurana. Garantir a

52

compatibilidade de hardware e software para restaurao dos dados e arquivos, testando e realizando atualizaes dos dados arquivados.

j) Reviso Ps Retomada Determinar se a gerncia estabeleceu procedimentos para avaliar a adequao do plano, referente ao sucesso de restaurao ps-catstrofe e atualizao do plano.

6.4.6 Resumo dos principais conceitos relacionados Continuidade de Negcio

Abaixo apresentado o resumo dos principais conceitos em relao continuidade de negcio verificados na ISO, no ITIL e no COBIT.

Etapas

Itens 1. Programa de Gesto da Continuidade de Negcios (GCN)

ISO 15999 X X X X X X X X X X X X X X X X X X X X

ITIL

COBIT

Planejamento

2. GCN x Estratgia organizacional 3. GCN x Gesto de Riscos 4. Poltica de gesto da continuidade de negcios 1. Anlise de impacto no negcio

X X

Analise de Riscos e Impactos

2. Estabelecimento de perodo mximo de interrupo da atividade 3. Estabelecimento de nvel mnimo de desempenho da atividade aps reincio 4. Estabelecimento de tempo mximo at retomada dos nveis normais das operaes 5. Identificao das atividades crticas 6. Determinao dos requisitos de continuidade (pessoas, local, recursos financeiros) 7. Aprovao dos requisitos pela alta direo 8. Anlise dos riscos

X X

X X

X X

X X X

Estratgias de continuidade de negcio

1. Determinao das Estratgias 2. Registro de medidas de mitigao do risco 3. Aprovao das estratgias pela alta direo 1. Objetivo e escopo

X X X

X X X

Contedo do Plano

2. Papis e responsabilidades 3. Instrues de ativao do plano 4. Definio do responsvel do plano (anlise crtica, atualizao) 5. Detalhes de Contatos

53

6. Lista de tarefas/aes 7. Atividade das pessoas 8. Contatos emergenciais 9. Comunicao 10. Plano de gerenciamento de incidentes 11. Plano de continuidade de negcios Teste 1. Teste para validao dos processos de restaurao 2. Relatrios documentando os resultados 1. Manuteno aps execuo dos testes

X X X X X X X X X

X X X X

X X

X X X X

Reviso/ Manuteno

2. Anlise critica dos componentes da GCN

Conscientizao da GCN

1. Treinamentos para os envolvidos no processo

2. Conscientizao

Quadro 2: Resumo dos principais conceitos relacionados continuidade de negcio

No prximo captulo ser apresentado o mtodo de pesquisa utilizado para o trabalho.

54

7 MTODO DE PESQUISA

Neste captulo ser apresentada a metodologia e tcnicas utilizadas para orientao no planejamento da pesquisa. Para Fachin (2006), o mtodo um instrumento de orientao utilizado como facilitador para o pesquisador planejar uma pesquisa, assim como executar, analisar e interpretar os resultados obtidos atravs do trabalho realizado. Neste trabalho foi realizada uma pesquisa do tipo exploratria. De acordo com Gil (1999) as pesquisas exploratrias tm como principal finalidade desenvolver, esclarecer e modificar conceitos, idias, tendo em vista, a formulao de problemas mais precisos ou hipteses pesquisveis para estudos posteriores. O autor ainda afirma que entre todos os tipos de pesquisa, esta a que menos apresenta rigidez no planejamento, onde se pode envolver levantamentos bibliogrficos, documentos, entrevistas no padronizadas e estudo de caso. Para Andrade (2003, p.124) a pesquisa exploratria o primeiro passo de todo trabalho cientfico, onde suas finalidades so obter maiores informaes sobre determinados assuntos atravs de bibliografias; facilitar a delimitao de um tema de trabalho; definir os objetivos de uma pesquisa ou formular hiptese ou descobrir um novo enfoque para o trabalho. A autora ainda afirma que atravs de pesquisas exploratrias que pode ser avaliada a possibilidade de desenvolvimento de uma boa pesquisa focando um determinado assunto. A pesquisa exploratria utilizada quando o pesquisador possui pouca informao a respeito do assunto, tornando-se instrumento de ajuda para identificar a melhor forma de atender as necessidades da empresa para o assunto em estudo. A vantagem da pesquisa exploratria a reviso de literatura que pode ser utilizada como base de estudo e consulta para obteno das informaes e melhor compreenso da questo. (HAIR et al., 2007). Pelo fato do trabalho se caracterizar por um estudo e proposta de um Plano de Continuidade dos Negcios para a empresa ALFA, o mtodo a ser utilizado para a pesquisa o estudo de caso. Segundo Fachin (2006) o estudo de caso caracterizado por ser um estudo intensivo, onde levada em considerao a compreenso, como um todo, do assunto investigado. Por ser um estudo intensivo possvel ter uma viso ampla e descobrir relaes que de outra forma no seriam descobertas. Conforme Costa e Costa (2001, p.62) o estudo de caso um estudo limitado a uma ou poucas unidades, que podem ser uma empresa, um setor, uma comunidade ou um pas. O autor ainda afirma que uma pesquisa detalhista e profunda.

55

Alm da importncia de detectar novas relaes, o estudo de caso pode ser auxiliado pela formulao de hipteses, assim como utilizando formulrios ou entrevistas. O questionrio tambm pode ser utilizado como instrumento de pesquisa (FACHIN, 2006). A autora ainda salienta que a principal funo do estudo de caso a explicao sistemtica dos fatos que ocorrem no contexto social, assim como seus relacionamentos com variveis. Para Gil (2009) o estudo de caso o processo de coleta de dados mais complexo que em outras pesquisas, pois utiliza mais de uma tcnica para a coleta dos dados. A obteno de dados por mais de um meio torna-se fundamental para garantir a qualidade dos resultados, pois garante a validade do estudo evitando as concluses pessoais do pesquisador. Costa e Costa (2001, p.62) falam que uma pesquisa pode ter uma abordagem qualitativa e/ou quantitativa. Onde a qualitativa preocupa-se com a realidade e no pode ser qualificada, pois ela trabalha com crenas, valores e atitudes. Tambm pode trabalhar com dados, mas no deve envolver estatstica avanada. J a abordagem quantitativa possui suporte em medidas e clculos mensurativos. Os autores ainda concluem que a abordagem qualitativa busca a compreenso e a quantitativa a explicao. O modo de pesquisa utilizado para este trabalho o modo qualitativo. De acordo com Roesch (2006) a pesquisa qualitativa apropriada quando o estudo tem o objetivo de melhorar o programa de um plano ou quando trata de propor um novo plano. A pesquisa qualitativa prev a coleta de dados a partir de interaes sociais entre pesquisador e o objeto de estudo, possibilitando que o pesquisador participe e tenha envolvimento nas observaes e anlise da pesquisa (APPOLINRIO, 2006). Para Hair et al. (2007, p.100) os dados qualitativos representam descries de coisas sem a atribuio direta de nmeros. Os dados qualitativos geralmente so coletados utilizando-se algum tipo de entrevista no-estruturada. O autor ainda fala que as tcnicas qualitativas so mais freqentes em projetos que possui o tipo de pesquisa exploratria e que os pesquisadores tm preferncia por dados qualitativos quando os entrevistados so livres para responder os questionamentos durante a entrevista, pois permite a identificao de questes que no seriam identificadas caso a entrevista ocorresse de forma estruturada, permitindo que o pesquisador analise e interprete os dados provenientes da pesquisa realizada. Abaixo est representado o fluxo de interao que foi elaborado para melhor orientao durante a pesquisa at a elaborao do Plano de Continuidade dos Negcios. Na Figura 15 representado o fluxo de interao que ter a pesquisa.

56

Figura 15: Desenho de Pesquisa Fonte: Adaptado de Rech e Souza (2008, p.167)

7.1 COLETA DE DADOS

Com o objetivo de coletar informaes necessrias para a pesquisa, as tcnicas utilizadas para coleta de dados foi a entrevista semiestruturada, observao e anlise de documento. Conforme Roesch (2006, p.159) as entrevistas e observaes so as tcnicas mais utilizadas quando a pesquisa tem carter qualitativo. Em entrevistas semiestruturadas utilizam-se questes abertas, que permite ao entrevistador compreender e captar a perspectiva dos participantes da pesquisa, possibilitando que o pesquisador direcione as questes de forma a obter uma melhor explorao do assunto. A entrevista semiestruturada possibilita a obteno de maiores informaes, pois conforme as respostas do entrevistado o entrevistador fica livre para perguntas relacionadas ao assunto e que no foram originalmente includas no roteiro previamente definido. Desta forma os resultados das informaes se tornam mais detalhistas e esclarecedoras, melhorando o resultado da abordagem (HAIR et al., 2007). A observao participante foi utilizada no trabalho pelo fato da pesquisadora trabalhar na empresa ao qual ocorreu o estudo proposto. Segundo Gil (1999) a vantagem da observao participante o pesquisador estar inserido no grupo e poder chegar ao conhecimento requerido. Ainda sobre as vantagens dos dados observacionais, Hair et al. (2007) fala que pelo fato de ser uma abordagem no invasiva, pois os observados no possuem o conhecimento de

57

estarem participando de um projeto de pesquisa e no receberam nenhum tipo de influncia por questionrio ou instruo, faz com que o resultado da observao no sofra influncias ou tendncias. Conforme Yin (2005, p. 122) para alguns tpicos de pesquisa, pode no haver outro modo de coletar evidncias a no ser atravs da observao participante, atravs dela que o pesquisador possui a capacidade de perceber os fatos conforme o ponto de vista de algum de dentro da empresa, e no de um ponto de vista externo. Para Roesch (2006) a observao participante tem sido muito utilizada nas organizaes e pode combinar observao com entrevista durante o envolvimento com o grupo. Alm da observao participante, ser utilizada a anlise documental, pois tem como propsito descrever e explicar as idias das pessoas sobre determinado assunto (NEGRINE, 1999, p.79). Testa, Luciano e Rech (2008, p.85) falam que a pesquisa documental no necessita obrigatoriamente de instrumentos de coleta de dados formalmente estruturado para utilizao. Os autores ainda falam que se deve analisar a pertinncia de uso do documento, verificando a qualidade e confiabilidade das informaes contidas no documento, assim como sua contribuio para pesquisa. Segundo Testa, Luciano e Rech (2008, p.71) a construo dos roteiros de coleta de dados em entrevistas apresenta particularidades dependendo do grau de construo do mesmo. Quando menos estruturada a entrevista, mais flexibilidade existe no roteiro.. Os autores ainda falam que para estas situaes o roteiro deve ser composto de temas genricos baseados no referencial terico e na problemtica do trabalho, possibilitando ao entrevistado buscar as respostas para soluo do problema. Desta forma, os autores sugerem a elaborao do quadro de dimenses e variveis. A seguir apresentado o quadro de dimenses e variveis utilizado como base para as entrevistas.
Dimenses Segurana Poltica de

Variveis

Fonte Caruso e Steffen (1999) Smola (2003) Mansur (2007) NBR 17999 (2005) Smith e Sherwood

Questes 1. Existe uma poltica de segurana visando preveno contra incidentes de segurana da informao? 2. Ela passa por processos de reviso? Com que periodicidade? 3. Quem so os envolvidos no processo de reviso?

Gerncia da Continuidade dos

Gerncia de Incidentes

Segurana

Responsabilidades da

(1995) Magalhes e Pinheiro (2007) NBR15999-1 (2007) Smith e Sherwood (1995) NBR15999-1 (2007) Smola (2003)

4. Existem responsveis pela gerncia de incidentes de segurana da informao?

Negcios

5. Quais os critrios para escolha dos responsveis pela gerncia de incidentes de segurana da informao? 6. Como realizada a anlise de riscos aos quais os ativos da

58

NBR15999-1 (2007) Caruso e Steffen (1999) Magalhes e Pinheiro (2007) NBR15999-1 (2007) Anlise de Impacto nos Devargas (1999) ITGI (2007) Negcios NBR15999-1 (2007)

empresa esto impostos?

7. Quais os ativos (processos, pessoas, sistemas, informaes, etc.) que possuem maior valor para organizao?

8. Como realizada a anlise de impacto nas funes crticas do negcio dentro da organizao? 9. Qual o impacto (financeiro e no financeiro) da perda ocasionada pela no execuo das funes crticas para o negcio? 10. Como determinada a prioridade e prazos de recuperao para

Devargas (1999) NBR15999-1 (2007)

a funo atingida? 11. Como determinado o valor do recurso financeiro para preparao e recuperao de desastres? 12. Quais estratgias de contingncia que a empresa adota (Hot-

Estratgias de Recuperao

site, warm-sites, realocao de operaes, bureau de servios, acordo de reciprocidade, cold-site, auto-suficincia)? Qual o Smola (2003) ITGI (2007) NBR15999-1 (2007) motivo que a empresa possui para adotar tal estratgia? 13. A empresa acha conveniente assinar acordos de reciprocidade entre empresa semelhante de forma a garantir alternativa de continuidade para as empresas acordadas? 14. A empresa armazena fora da empresa documentao e outros recursos de informao de TI necessrios para o PCN? Estes recursos so continuamente atualizados? Smola (2003)

Gerenciamento da Continuidade dos Servios de TI

Mansur (2007) DRI (2007) ITGI (2007) NBR15999-1 (2007) Planos Funcionais Detalhados Smola (2003) ITGI (2007) NBR15999-1 (2007) ITGI (2007) NBR15999-1 (2007) Smith e Sherwood (1995) NBR15999-1 (2007) Magalhes e Pinheiro (2007) NBR15999-1 (2007)

15. O PCN da empresa foi desenvolvido com base na anlise dos riscos e impactos?

16. A empresa possui planos funcionais detalhados? Quais (plano de administrao de crises, plano de continuidade operacional, plano de recuperao de desastres)? 17. Os planos contm informaes sobre processos de iniciao e comunicao do cliente? 18. Quem so os responsveis pela elaborao dos planos funcionais? 19. Os responsveis pela elaborao dos planos possuem conhecimento tcnico e especfico do negcio? 20. O PCN possui documentos de suporte como lista de emergncia, planta das instalaes fsicas, guias para disponibilidade e procedimentos de recuperao?

Procedimen-

DRI (2004) Ativao tos de ITGI (2007) OGC (2005b) NBR15999-1 (2007) Herbane, Elliot e Swartz (2004) ITGI (2007) NBR15999-1 (2007)

21. A empresa possui procedimentos de ativao para os diferentes planos? Como so definidos estes procedimentos?

Conscincia

Treinamen-

22. Como e para quem realizada a comunicao da relevncia do PCN? 23. So realizados treinamentos ou reunies para disseminao do PCN?

to e

59

24. So realizados testes para validao do PCN? Testes DRI (2004) ITGI (2007) NBR15999-1 (2007) 25. Existe concentrao de testes nas funes prioritrias do negcio? 26. Com que frequncia so realizados os testes para validao do PCN? Manuteno e Devargas (1999) Reviso ITGI (2007) NBR15999-1 (2007) 27. Como realizada a avaliao e manuteno do PCN? 28. Com que freqncia realizada a reviso e manuteno do PCN?

Quadro 3: Quadro de dimenses e variveis

Controle

Alm das entrevistas semiestrurada aplicada os funcionrios de alta gerncia da empresa em estudo, foi elaborado um segundo questionrio com objetivo de coletar mais informaes sobre PCN. As perguntas deste segundo questionrio foram realizadas com quatro especialistas em Segurana da Informao. No Quadro 4 apresentado o roteiro de entrevistas que foi utilizado com os especialistas em Segurana da Informao.

Qual a importncia da segurana da informao nas organizaes? Qual a sua viso em relao ao preparo das organizaes para contingenciar grandes desastres? Qual a tendncia do mercado quanto segurana da informao? (SOC - security operaition center, Gesto de Riscos , PCN, Outsourcing, Certificaes) Como as empresas, que se preocupam com a segurana da informao, realizam a Anlise dos Riscos ? Entre os modelos ou melhores prticas atualmente utilizadas pelas empresas brasileiras, quais contribuem para a segurana da informao e continuidade dos negcios? Como ou em que aspecto? Quais vantagens que uma empresa pode obter externamente quando ela est preparada para dar continuidade aos seus servios em caso de incidente que afetem as suas instalaes? O fato de uma empresa possuir PCN pode influenciar uma empresa cliente no fechamento de um negcio? Como? Empresas que possuem um PCN podem ser consideradas como empresas inovadoras ou isso j commodity? Quais vantagens uma empresa pode obter quando ela possui um PCN bem estruturado? De que forma a SOX pode contribuir com o PCN? Quadro 4: Roteiro de entrevistas aplicado aos especialistas em Segurana da Informao

No prximo captulo ser apresentada a anlise dos resultados obtidos.

60

8 RESULTADOS

Na seo 8.1 deste captulo sero apresentados os resultados obtidos atravs da anlise das entrevistas semi-estruturadas realizadas com os profissionais da empresa em estudo. Os resultados obtidos atravs da anlise de documento e observao participante tambm sero apresentados nesta seo. Na seo 8.2 sero apresentados os resultados obtidos atravs das entrevistas realizadas com os especialistas em Segurana da Informao. Na seo 8.3 ser apresentado o plano de ao para elaborao da proposta.

8.1 ANLISE DE DADOS COLETADOS NA EMPRESA

As entrevistas semiestruturadas foram realizadas com o Diretor Administrativo, Diretor Financeiro, Diretor de TI (SQA) e Diretor de Projetos da empresa em estudo, onde os entrevistados responderam as questes apresentadas no Quadro dimenses e variveis do captulo 7. Estas entrevistas foram realizadas no prprio horrio e local de trabalho, resultando em uma hora e trinta minutos de gravaes. Antes de iniciar as entrevistas, foram apresentados os objetivos do trabalho, tambm foi informado aos entrevistados sobre a importncia das informaes obtidas com as perguntas do questionrio e que qualquer informao complementar ou observao seria de grande importncia para a anlise. Nas subsees abaixo, sero apresentados os resultados das entrevistas conforme a ordem em que foram realizadas e no pelo cargo que o profissional ocupa na empresa, sendo os entrevistados identificados como ENT1, ENT2, ENT3 e ENT4. As questes sero apresentadas conforme a dimenso na qual esto inseridas. Na subseo seguinte sero analisadas as questes relacionadas varivel da dimenso Poltica de Segurana.

8.1.1 Poltica de Segurana

A primeira pergunta realizada na dimenso Poltica de Segurana, foi se existe uma poltica de segurana visando preveno de incidentes de segurana da informao. Todos os entrevistados afirmaram que no h uma poltica se segurana da informao institucionalizada, o que a empresa possui um NDA com os colaboradores onde consta que

61

as informaes internas e as informaes obtidas de clientes devem ser mantidas sob sigilo. O entrevistado ENT2 ainda falou que, apesar da empresa possuir um NDA com os colaboradores, hoje a empresa no possui uma infraestrutura que permita o controle de cpias de documentos, assim como a sada destes documentos da empresa. Os entrevistados ENT1 e ENT3 ainda ressaltaram que a empresa possui normas de segurana referente ao controle de acesso s dependncias internas da empresa, sendo que estas normas so apresentadas para os colaboradores assim que so contratados. Em continuidade s entrevistas, perguntou-se aos entrevistados sobre o processo de reviso da poltica de segurana, periodicidade da reviso e os envolvidos neste processo. Os entrevistados ENT1 e ENT2 responderam que a poltica de segurana no passa por processos de reviso e que no h responsveis por este processo. J ENT3 no soube responder a questo. No entanto, ENT4 reconheceu a importncia e informou que deveria existir uma reviso, mas como hoje no existe uma poltica de segurana, logo tambm no existe processo de reviso. O entrevistado ainda informou que quando for formalizada uma poltica de segurana, a reviso dever ocorrer de seis em seis meses. Foi observado que a empresa possui um firewall onde realizado o controle e bloqueio de acesso a determinados contedos, tentativa de invaso rede e downloads conforme o contedo e tipo de arquivo. A empresa tambm possui controle de acesso a informaes e documentos, onde cada usurio possui um perfil de acesso ao repositrio, e que as informaes e os documentos so disponibilizados aos usurios conforme a necessidade de utilizao para cada projeto. Com base na entrevista com os profissionais da empresa e as observaes realizadas, constatou-se que no h documentos que formalize o desenvolvimento de uma Poltica de Segurana para a organizao, onde haja responsveis pelo seu desenvolvimento, reviso, manuteno e disseminao. Existem algumas regras de seguranas que so comunicadas aos colaboradores da empresa quando contratados, mas no h um controle para verificar se estas regras esto sendo seguidas. O quadro abaixo apresenta uma sntese referente dimenso de Poltica de Segurana.

Varivel Segurana

Sntese Os entrevistados informam que a empresa possui uma poltica de segurana, mas que ainda no est formalizada. Nota-se que a empresa no possui uma poltica de segurana adequada e formalizada, pois no

62

responsveis

pela

sua

manuteno,

reviso,

divulgao,

disseminao e controle.
Quadro 5: Resumo das respostas da dimenso Poltica de Segurana

Na prxima subseo sero analisadas as questes relacionadas s variveis da dimenso Gerncia da Continuidade dos Negcios.

8.1.2 Gerncia da Continuidade dos Negcios

Para esta dimenso a primeira pergunta abordou sobre a existncia de responsveis pela gerncia de incidentes de segurana da informao. ENT1 afirmou que h trs responsveis pela Gerncia de Incidentes: o Diretor Administrativo, o Diretor Financeiro e o Diretor de Projetos. ENT2 informou somente o Diretor Administrativo e o Diretor de Projetos. J ENT3 informou que o responsvel a Diretoria Administrativa. ENT4 afirmou que hoje existe um responsvel que o Diretor Administrativo, mas futuramente a idia que existam mais pessoas para esta gerncia. Na segunda pergunta abordou-se sobre os critrios para a escolha dos responsveis pela gerncia de incidentes de segurana da informao. O entrevistado ENT1 afirmou que para a escolha dos responsveis pela gerncia de incidentes foi considerado o conhecimento tcnico que cada uma das pessoas envolvidas possui na sua respectiva rea. Onde o Diretor Administrativo cuidaria da parte tcnica de suporte; Diretor Financeiro cuidaria dos custos envolvidos para recuperao; Diretor de Projetos para avaliao das perdas e comunicao com cliente. De acordo com ENT2 e ENT3, o entrevistado ENT4 afirmou que o critrio utilizado para escolha das pessoas envolvidas na gerncia de incidentes foi o nvel de responsabilidade que elas possuem por qualquer evento que ocorra na empresa. ENT4 ainda ressaltou que, alm do nvel de responsabilidade das pessoas dentro da empresa, foi considerado o conhecimento tcnico e do negcio. A terceira pergunta abordou sobre a realizao da Anlise de Riscos aos quais os ativos da empresa esto impostos. Concordando com ENT1, o entrevistado ENT2 afirmou que os riscos so avaliados com base em eventos j ocorridos na empresa e que a listagem dos riscos que a empresa possui hoje so em relao a incidentes que j ocorreram em projetos. Como incidentes que viessem a ocasionar grandes perdas nunca ocorreram, para o PCN foi realizado um levantamento dos possveis riscos que pudessem vir a ocorrer e causar maiores

63

impactos. ENT3 no soube responder a questo e ENT4 afirma que os riscos so mais estudados em nvel de projetos do que de uma maneira global. Dando continuidade ao mesmo assunto, na quarta pergunta abordou-se sobre os ativos de maior valor para a organizao. De acordo com ENT1, ENT2 afirmou que os ativos de maior valor para a organizao so as informaes, servidores e pessoas. J ENT3 e ENT4 concordam com os outros respondentes afirmando que a informao o maior ativo. Na quinta e sexta pergunta, abordou-se sobre a anlise de impacto nas funes crticas do negcio dentro da organizao e os impactos causados pela no execuo destas funes. De acordo com a resposta do ENT1, ENT2 falou que a anlise do impacto realizada conforme a ocorrncia do risco, podendo ser classificado como baixo, mdio ou alto. Segundo os entrevistados, os riscos que possuem impacto alto so os que mais preocupam a empresa, pois so os que no atendem as expectativas do cliente e que podem ocasionar grandes perdas financeiras e at mesmo a perda do cliente, prejudicando a confiabilidade e imagem da empresa. Os entrevistados ainda ressaltaram que o impacto tambm depende do acordo que realizado com o cliente, pois os SLAs determinam o valor da multa no caso de atraso nos servios. J ENT3 no soube responder a questo e ENT4 afirmou que hoje no existe um indicador de anlise que informe corretamente o valor da perda. Sabe-se, atravs da experincia do dia a dia, que a perda de informaes de um servidor ocasionaria um impacto muito alto, pois impactaria diretamente no cliente, podendo ocasionar perdas financeiras ou at mesmo a perda do cliente. Na stima pergunta abordou-se sobre a prioridade e prazos de recuperao para as funes atingidas por incidentes. ENT1 afirmou que o prazo mximo de recuperao de quatro dias para deixar a empresa operante para continuidade dos servios. Os entrevistados ENT2 e ENT4 no souberam responder exatamente os prazos de recuperao, mas afirmaram que qualquer funo atingida possui alta prioridade para recuperao, devendo possuir o menor prazo possvel. J ENT3 afirmou que os servios prestados pela empresa so de grande importncia e alta criticidade, no podendo ocorrer atrasos que causem grandes impactos para os clientes. Ento, qualquer evento que ocorra e que venham a prejudicar os clientes, deve ser tratado com a maior prioridade. A oitava pergunta abordou se a empresa possui recursos financeiros para a preparao e recuperao do desastre. Os entrevistados ENT1 e ENT3 afirmaram que a empresa possui hoje um seguro Bancrio que cobre a perda dos ativos fsicos da empresa, como mquinas e servidores. J ENT2 e ENT4 no souberam responder a questo.

64

Em anlise realizada em documento, verificou-se que existem responsveis pela gerncia de incidentes e que cada rea possui um responsvel direto. Foram listadas sete reas e sete responsveis, sendo que alguns responsveis nomeados no possuem responsabilidades de gerencia dentro da organizao. Verificou-se tambm que algumas pessoas que fazem parte desta listagem no prestam mais servios para a empresa. Ainda em anlise de documento, foi verificado que no atual PCN da empresa, so listados todos os riscos identificados e no apenas os riscos que vo ser contingenciados e os detalhes de recuperao para estes. No PCN atual, tambm no foram verificadas informaes referente ao valor do recurso financeiro disponvel para recuperao, assim como no foram verificadas informaes de telefone ou endereo do local secundrio. J em relao aos prazos para recuperao das funes atingidas, verificou-se que nem todas as contingncias listadas no documento possuem informaes de prazo de resoluo. No dia a dia da empresa foi observado que eventos que venham a ocasionar qualquer tipo de atraso na entrega dos servios ao cliente possuem tratamento com alta prioridade, pois o objetivo a entrega dos servios com qualidade e no prazo previsto e informado ao cliente. Conforme os resultados obtidos atravs das entrevistas, anlise de documento e observao verificou-se que nem todos os responsveis pela gerncia de incidentes listados no PCN atual sabem que so responsveis pelo gerenciamento de incidentes, demonstrando desconhecimento sobre suas atividades e aes quando ao gerenciamento do plano. O quadro abaixo apresenta uma sntese referente dimenso da Gerncia da Continuidade dos Negcios.

Varivel

Sntese

Responsabilidades A empresa possui responsveis de nvel gerencial para a Gerncia de da Gerncia de Incidentes Incidentes, no entanto nem todos os gerentes sabem que esto envolvidos no processo de continuidade, apresentando desconhecer suas atividades ou aes quanto ao gerenciamento do plano. Anlise de Riscos Os entrevistados informaram que para o PCN foi realizado um levantamento dos possveis riscos que pudessem vir a ocorrer e causar maiores impactos. Todos os entrevistados apresentaram concordncia ao afirmar que as informaes armazenadas nos servidores so o maior ativo que a empresa possui. Anlise de Foi informado pelos entrevistados que a anlise do impacto ocorre

65

Impacto nos Negcios

conforme a ocorrncia do risco, sendo que a empresa classifica os riscos em trs nveis: baixo, mdio e alto. O impacto alto o que mais preocupa a empresa, pois estes impactam no cliente deixando de atender suas expectativas, podendo ocasionar perdas financeira, perda do cliente e prejudicando a imagem da empresa. Os entrevistados ainda afirmam que a empresa determina sempre o menor prazo de recuperao dos servios quando o cliente atingido. Alguns entrevistados apresentaram concordncia ao afirmar que a empresa possui recursos financeiros que cobre perdas materiais, no entanto outros entrevistados mostraram desconhecer esta informao.

Quadro 6: Resumo das respostas da dimenso Gerncia da Continuidade dos Negcios

Na subseo seguinte sero analisadas as questes relacionadas s variveis da dimenso Gerenciamento da Continuidade de Servio.

8.1.3Gerenciamento da Continuidade dos Servios de TI

A primeira pergunta abordou sobre as estratgias de contingncia que a empresa adota, como hot-site, realocao de operaes, entre outros. ENT1 afirmou que hoje, na falta de um recurso humano, a empresa utiliza a realocao de recursos. No h outra estratgia imediata, a empresa considera-se auto-suficiente, pois outras estratgias teriam um custo muito alto J ENT2 afirmou que a empresa no possui estratgias de contingncia, mas considera importante estratgia como hot-site, principalmente para rea tcnica da empresa. ENT4 apresentou concordncia com ENT2 ao afirmar afirma que a empresa no possui nenhuma estratgia de contingncia, a no ser o webmail, pois o fornecedor de email possui o prprio plano de contingncia. J ENT3 afirmou no possuir o conhecimento sobre estratgias de contingncia adotadas pela empresa. A segunda pergunta, tambm abordou sobre estratgias de contingncia, onde foi perguntado se a empresa acha conveniente assinar acordo de reciprocidade com empresa semelhante de forma a garantir alternativa de continuidade para as empresas acordadas. Todos os entrevistados afirmam que hoje a empresa no possui este tipo de estratgia, mas deve ser avaliada, pois parece ser muito interessante e vivel.

66

Na terceira pergunta questionou-se sobre o armazenamento das informaes e documentos necessrios para o PCN e se estes recursos so continuamente atualizados. Todos os entrevistados afirmam que a empresa possui backup das informaes armazenadas em servidor fora da empresa e estas informaes so atualizadas periodicamente, inclusive um dos servidores possui backup automtico de uma em uma hora. Durante a entrevista com ENT1, foi realizado o questionamento sobre o backup de um determinado servidor, que novo na empresa. O entrevistado informou que ainda estava sendo providenciado o seu backup, mas o servidor ainda no possua uma forma segura de proteger as informaes ali armazenadas. Dando continuidade as perguntas sobre elaborao do PCN, na quinta pergunta foi abordado se o PCN foi desenvolvido com base na anlise dos riscos e impactos. ENT1 informou que o PCN foi elaborado com base nos riscos e impactos identificados pela empresa. J os respondentes ENT2 e ENT3 no souberam responder a pergunta. No entanto, ENT4 apresentou concordncia com RESP1 e afirmou que o PCN foi desenvolvido com base na anlise dos riscos e impactos, onde foram levantados os possveis riscos e analisados os impactos que poderiam ocasionar para o cliente. Na sexta pergunta questionou-se sobre os tipos de planos que a empresa possui, como plano de administrao de crise, plano de continuidade operacional e plano de recupero de desastres. ENT1 afirmou que atualmente existe apenas um nico plano, que o PCN, e que este possui informaes macro. Os outros entrevistados no souberam informar se a empresa possui diferentes planos. Na stima pergunta abordou-se sobre o detalhamento dos planos, se estes contm informaes sobre o processo de iniciao e comunicao com o cliente. ENT1 afirmou que o PCN no possui informaes detalhadas, com um passo a passo do que fazer, quem comunicar e quando comunicar. J ENT2 e ENT3 no souberam responder a pergunta. No entanto, ENT4 afirmou que a empresa no possui planos detalhados, mas reconheceu que deveria ter. Na oitava e nona pergunta abordou-se sobre os conhecimentos dos responsveis pela elaborao do PCN, se os envolvidos possuem conhecimento tcnico e especfico do negcio. ENT1 afirmou que contou com a ajuda de uma pessoa que tambm trabalha na empresa para a elaborao do PCN e que eles possuem conhecimento tcnico e do negcio, mas no conhecimentos especficos em segurana ou em formas de contingncia. J os outros entrevistados no souberam responder a pergunta, sendo que ENT4 ainda completou a

67

resposta informando que os responsveis deveriam ser o Suporte e o Diretor de TI, que so os responsveis pela tecnologia da empresa e que apesar deles possurem o conhecimento do negcio, deveriam aprimorar os conhecimentos relativos ao plano de continuidade e melhores estratgias de continuidade. Na dcima pergunta ainda na dimenso Gerenciamento da Continuidade dos Servios de TI, questionou-se sobre documentos de suporte, como lista de emergncia, planta das instalaes fsicas, guia para disponibilidade e procedimentos de recuperao. Os entrevistados ENT1 e ENT4 informaram que o PCN no possui estas informaes. J os respondentes ENT2 e ENT3 no souberam responder a pergunta. Sobre os procedimentos de ativao do PCN, na dcima primeira pergunta foi abordado se a empresa possui procedimentos de ativao para os diferentes planos e como so definidos estes procedimentos. ENT1 afirmou que o plano no possui procedimentos de ativao e os outros entrevistados no souberam responder a pergunta. Nas ltimas perguntas questionou-se como realizada a comunicao da relevncia do PCN e se so realizados treinamentos ou reunies para disseminao do PCN. Todos os entrevistados afirmam que no foi realizada a comunicao do PCN para os colaboradores da empresa e tambm no so realizados treinamentos para disseminao do PCN. Conforme anlise de documento verificou-se que a empresa possui estratgias de contingncia, como realocao de recurso, local secundrio para realocao das operaes e backup. O PCN alm de ser nico, contm informaes macro, no possuindo informaes detalhadas de quando deve ser ativado, quem deve ativar o plano, quem deve realizar a comunicao e quem deve ser comunicado. O plano tambm no contm uma lista de emergncia, telefones de contato dos colaboradores, telefone do local secundrio e seguradora. No entanto verificou-se que o documento foi elaborado com base na anlise dos riscos e impactos. Em observao dentro da empresa, verifica-se que nenhum dos colaboradores da empresa possui conhecimento sobre a existncia do plano de continuidade, constatando-se uma deficincia na parte de comunicao da relevncia do plano. Durante as entrevistas tambm foi observado a falta de conhecimento por parte dos envolvidos no gerenciamento de continuidade no que se refere s informaes contidas no PCN. Segundo anlise das entrevistas, documentao e observao, verificou-se que muitas das questes os entrevistados no souberam responder, pois nem todos os responsveis pela gerncia de incidentes possuem o conhecimento das informaes contidas no PCN,

68

constatando-se uma deficincia na comunicao entre os responsveis pela ativao e gerenciamento do PCN. Observa-se tambm uma falta de conhecimento sobre o processo de gesto de continuidade do negcio (GCN), visto que no so realizados treinamentos explicando procedimentos do plano para os prprios integrantes e participantes do gerenciamento PCN. O quadro abaixo apresenta uma sntese referente dimenso do Gerenciamento da Continuidade dos Servios de TI. Varivel Estratgias de Recuperao Sntese Um dos entrevistados informou que a empresa utiliza-se da estratgia de realocao de recursos e afirma ser autosuficiente em outros requisitos de estratgia de recuperao por motivos de custos. Os entrevistados afirmam que a empresa no possui acordos de reciprocidade com outra empresa, mas apresentaram interesse nesta estratgia. Os entrevistados afirmam que frequentemente so realizados backup das informaes internas da empresa e que estas informaes so armazenadas em servidor externo. Planos Funcionais O plano foi desenvolvido com base na anlise dos riscos e impactos Detalhados realizados pelos responsveis pela elaborao do documento. No entanto, o PCN atual no possui planos funcionais detalhados, possui tarefas macros do que deve ser feito e estas informaes esto contidas em um nico documento. O PCN tambm no possui informaes sobre o processo de iniciao e comunicao do cliente interno e externo. Os responsveis pela elaborao do plano possuem conhecimento tcnico e do negcio, mas no possuem conhecimento especfico sobre gesto de continuidade de negcios. Procedimentos de Ativao Um dos entrevistados afirmou que no h procedimentos ativao detalhando quando o PCN deve ser ativado Os outros respondentes no souberam responder a questo. Treinamento e Conscincia Todos os entrevistados afirmaram que no h procedimentos de treinamento.

Quadro 7: Resumo das respostas da dimenso Gerenciamento da Continuidade dos Servios de TI

69

Na prxima subseo sero analisadas as questes relacionadas s variveis da dimenso Controle.

8.1.4 Controle

Na a dimenso controle foram realizadas cinco perguntas. Nas trs primeiras perguntas, questionou-se sobre a realizao de testes para validao do PCN, se h concentrao de testes nas funes crticas e a periodicidade em que ocorrem. Todos os entrevistados afirmaram que no foram realizados testes para validao do PCN. Nas duas ltimas perguntas abordou-se sobre a manuteno no PCN e a periodicidade desta manuteno. Os entrevistados ENT1, ENT2 e ENT4 informaram que ainda no foram realizadas manutenes no PCN e o ENT3 no soube responder a questo. Conforme anlise de documento, verificou-se que no PCN no h informaes sobre manutenes ocorridas ou alteraes realizadas devido a resultados de testes realizados. Segundo anlise das perguntas realizadas na dimenso controle, verificou-se novamente a falta de conhecimento sobre uma gesto de continuidade de negcios, visto que no foram realizados testes para validao do plano, sendo que o teste um instrumento de avaliao do funcionamento das estratgias e dos tempos de respostas determinados durante a elaborao do plano. O quadro abaixo apresenta uma sntese referente dimenso Controle.

Varivel Testes

Sntese Todos os entrevistados afirmaram que no h processos de testes para o PCN.

Manuteno e Reviso

Trs entrevistados afirmaram que ainda no houve manuteno no PCN, sendo que um dos entrevistados no soube responder a questo.

Quadro 8: Resumo das respostas da dimenso Controle

Na prxima subseo ser apresentada a anlise das entrevistas realizadas com especialistas em segurana da informao.

70

8.2 ANLISE DE DADOS COLETADOS NA ENTREVISTA COM ESPECIALISTAS

As entrevistas foram realizadas com quatro especialistas em segurana da informao e os entrevistados responderam as questes apresentadas no Quadro 4 do captulo 7. Estas entrevistas foram realizadas em locais e horrios diferentes, conforme a disponibilidade do entrevistado, resultando em uma hora e trinta minutos de gravao das entrevistas. Em todos os encontros realizados com os diferentes entrevistados, foram apresentados os objetivos do trabalho. Foi informado aos entrevistados sobre a importncia das informaes obtidas com as perguntas realizadas durante a entrevista e que qualquer informao complementar ou observao seria de grande importncia para a concluso da anlise. Os entrevistados sero identificados atravs das siglas ESP1, ESP2, ESP3 e ESP4, sendo apresentada somente a sua formao e rea de atuao. O primeiro entrevistado foi o ESP1, que possui graduao em Segurana da Informao na UNISINOS e Mestrado em Computao Aplicada na mesma universidade, j trabalhou com consultorias em segurana da informao para empresas de TI. O segundo entrevistado foi ESP2, este possui graduao em Administrao de Empresas com nfase em Anlise de Sistemas na PUCRS e atualmente trabalha na rea de segurana da informao. O terceiro entrevistado foi ESP3, que tambm possui formao em Administrao de Empresas com nfase em Anlise de Sistemas na PUCRS, atualmente faz ps-graduao em Gesto Estratgica da Tecnologia da Informao na mesma universidade. Atualmente trabalha com Governana e Segurana da Tecnologia da Informao, sendo que j trabalhou como Gerente de Riscos Operacional e Segurana, Gerente de Desenvolvimento de Sistemas e Programador. O quarto e ltimo entrevistado foi ESP4, bacharel em Sistemas de Informao pela ULBRA, atualmente trabalha na rea de Risco Operacional e Segurana, sendo sua especialidade em Continuidade do Negcio. Abaixo sero apresentados os resultados das entrevistas na ordem em que ocorreram. Na primeira pergunta abordou-se sobre a importncia da segurana da informao nas organizaes. O especialista ESP1 falou que desde que entramos na era da informao, no comeo do sculo, a informao tem ganhado muita importncia. O entrevistado falou que a segurana da informao est relacionada ao valor que ela representa para a organizao, ou seja, quanto mais importante a informao for para o negcio da organizao, mais importncia tem a segurana da informao no contexto da organizao. Seguindo a mesma idia, o especialista

71

ESP2 afirmou que hoje a segurana da informao primordial para as organizaes, pois tudo depende da tecnologia, o negcio depende da tecnologia. Um exemplo que o entrevistado comentou que se uma empresa disponibiliza suas informaes atravs de um acesso externo (internet), ento a primeira tarefa a fazer pensar na segurana da informao. O respondente tambm colocou que dependendo do tamanho da organizao, deve-se pensar no quanto se vai investir em segurana da informao, sendo que dependendo do tamanho da organizao o investimento pode ser maior ou menor. Em grandes empresas, onde as informaes requerem maior sigilo, fundamental que exista dentro das organizaes uma rea que trate somente das questes de segurana da informao. Alguns bancos j exigem a existncia de reas que tratem somente desta questo de segurana da informao. Em resposta a primeira pergunta, o especialista ESP3 falou que a segurana da informao cada vez mais tem conquistado seu espao nas organizaes. Infelizmente este espao tem sido conquistado no momento em que as empresas comeam a ter problemas com a segurana da informao, s ento este assunto comea a ser fator de preocupao dentro as organizaes. Na viso do respondente ESP3 e seguindo os conceitos da ISO, a segurana da informao visa proteo das informaes em relao confidencialidade, pois deve haver a preocupao em proteger os ativos de informaes da empresa, visto que o trabalho das pessoas da organizao transformado em informao e pode ser uma vantagem competitiva que a empresa possui; disponibilidade, onde a informao deve estar disponvel para seu pblico alvo; integridade, pois a informao precisa estar disponvel no tempo necessrio e com qualidade. O especialista ESP4 afirmou que hoje a informao o maior ativo de uma organizao. O entrevistado ESP4 apresentou concordncia com as informaes do ESP3, quando tambm mencionou que fazem parte deste ativo todas as informaes que as pessoas trazem para dentro da organizao atravs dos seus conhecimentos, logo se o ativo da informao o mais importante, ento se devem zelar estas informaes e proteger este ativo. O quadro abaixo apresenta uma sntese referente primeira pergunta.

Pergunta Abordou sobre a importncia da segurana

Sntese Todos os especialistas, de comum acordo, afirmaram que a segurana da informao importante para as organizaes. O ESP1 afirmou que quanto mais importante a informao for para o negcio da organizao, mais importncia tem a segurana da informao, j o ESP2 complementou

72

da informao nas

afirmando que dependendo do tamanho da organizao, deve-se avaliar os investimentos em segurana, sendo que dependendo do tamanho da organizao o investimento pode ser maior ou menor.

organizaes. O ESP3 falou que a informao o principal ativo de uma organizao. Apresentando a mesma opinio que o ESP3, ESP4 falou que faz parte do ativo de informao o conhecimento que as pessoas trazem para dentro da organizao, por isto a importncia de proteger este ativo.
Quadro 9: Resumo das respostas sobre a importncia da segurana da informao nas organizaes

Na segunda pergunta abordou-se sobre a viso dos entrevistados em relao ao preparo das organizaes para contingenciar grandes desastres. O especialista ESP1 falou que, em relao ao preparo das organizaes para contingenciar grandes desastres, atualmente as empresas tem a parte tcnica bem evoluda. A parte de gesto, que seria os planos (a documentao), fica difcil de analisar, pois geralmente as empresas no abrem estas informaes, pois abordam dados estratgicos e muito importantes. Nesta mesma questo, ainda foi questionado ao entrevistado a sua viso sobre a elaborao dos planos por diferentes reas. O entrevistado falou que quando se elabora um plano de gesto de continuidade do negcio, devem-se definir os processos. No se faz um plano de continuidade para uma organizao inteira, o que se deve fazer pegar um determinado processo e verificar quais reas esto relacionadas ao processo para ser mapeado. Para cada rea deve-se designar um responsvel, que vai responder por aquela pequena parte do plano de continuidade, sendo este tambm responsvel por designar subtarefas dentro da sua rea e isto vai se ramificando at a parte operacional. Ento, na parte estratgica se tem um profissional cuidando da gesto como um todo, na parte administrativa os responsveis cuidando das reas e na parte operacional os funcionrios que vo operar na continuidade. O entrevistado ainda conclui que quem est no topo deve ter uma viso geral do todo, por isto a documentao importante. O especialista ESP2 informou ter como conhecimento as informaes da empresa em que trabalha atualmente, onde existe um PCN. Para este plano exigido que sejam realizados testes de recuperao de desastres uma vez por ano, onde existe um site backup com os principais servios e uma vez por ano deve-se que testar para verificar o seu funcionamento. O entrevistado falou que muito caro manter uma contingncia para desastres, ento depende de quanto a empresa est disposta a gastar ou qual a importncia que ela d para os servios

73

dela. O entrevistado concluiu dizendo que o preparo est muito relacionado ao que a empresa est sendo cobrada e as exigncias. Para a segunda pergunta o especialista ESP3 afirmou que o tema de segurana da informao relativamente novo e vem ganhando espao nas organizaes, sendo que recuperao de desastres e PCN so assuntos mais novos ainda. Na opinio do entrevistado, o preparo das organizaes pode ser classificado em dois grupos. Um deles seriam Instituies Financeiras e empresas de Telecom, que por possurem uma srie de rgos regulatrios que acabam tornando estes requisitos como obrigatrios para estas organizaes, este assunto j tem uma importncia e uma estrutura de custo direcionada para o desenvolvimento deste tema. Estas organizaes j possuem este assunto difundido, possuem uma rea de segurana e uma equipe ou uma rea de continuidade do negcio que abordam a recuperao de desastres. No outro grupo esto outras organizaes que no tratam este assunto com tanta maturidade, pois sabem da importncia, conhecem os impactos, mas no tratam o problema. Estas empresas no investem na capacitao da equipe, na elaborao de um programa de gesto de continuidade do negcio desde a elaborao de uma poltica at o estabelecimento de processos, testes de recuperao de desastres e atualizao dos planos de continuidade. O especialista concluiu dizendo que hoje, no Brasil, Instituies Financeiras, empresas de Telecomunicaes e empresas que de alguma forma esto submetidas Sarbanes Oxley, seja por relacionamento com empresa no exterior ou por possuir um capital aberto, j enxergam o tema com bastante maturidade, sendo que outras empresas ainda esto imaturas com relao a este assunto. Respondendo a segunda pergunta, o especialista ESP4 afirmou que quando se trata de questes de grandes desastres, como as recentes enchentes de Santa Catarina, enchentes do Nordeste, pandemias como gripe aviria e gripe suna, verifica-se que o exterior est mais preparado para lidar e tratar destas situaes do que o Brasil. No Brasil a cultura continuidade do negcio ainda muito recente e est cultura est sendo utilizada muito mais para cumprir legislao do para a prpria continuidade do negcio das organizaes. O quadro abaixo apresenta uma sntese referente segunda pergunta.

Pergunta Abordou sobre a viso dos

Sntese ESP1 falou que quando se trata da parte tcnica (infraestrutura) verifica-se que as empresas esto bem preparadas, mas em relao a gesto e documentao fica difcil avaliar, pois as documentaes contm

74

especialistas em relao ao preparo das organizaes para contingenciar grandes desastres.

informaes confidenciais e geralmente as empresas no divulgam ou apresentam estas informaes. De comum acordo, os especialistas ESP2 e ESP3 afirmam que o preparo das organizaes est relacionado s exigncias ou regulamentaes impostas a ela. O ESP3 ainda informa que para Instituies Financeiras e empresas que possuem contratos com o exterior, esta questo j tratada com bastante maturidade, sendo que outras empresas ainda esto imaturas com relao a este assunto. J ESP4 afirmou que o exterior est mais preparado para lidar e tratar grandes desastres do que o Brasil, pois a cultura de continuidade dos negcios ainda muito recente no Brasil, sendo que a maioria das empresas que possuem um PCN por que esto cumprindo legislao.

Quadro 10: Resumo das respostas sobre o preparo das organizaes para contingenciar grandes desastres

Para a terceira pergunta abordou-se sobre a tendncia do mercado quanto segurana da informao. O especialista ESP1 falou que a informao ganhada mais importncia a cada dia e que a competitividade de uma empresa est relacionada ao nmero de informaes que ela possui do mercado e do negcio na qual ela atua, logo a segurana tem como tendncia crescer muito ainda. O entrevistado ainda complementou que hoje, por falta de conhecimento em segurana da informao de uma forma geral e principalmente na parte de gesto da segurana da informao, a terceirizao tem sido muito procurada pelas empresas, pois as organizaes tm dificuldades de encontrar no mercado profissionais qualificados, ento elas procuram terceirizar estes servios. O especialista ESP2 falou pela sua experincia nas empresas em que trabalhou, afirmando que as empresas esto investindo cada vez mais na segurana, sendo utilizado PCN, Gesto de Ricos, Certificaes, entre outras alternativas. O entrevistado ressalta que depende do quanto crtico a questo de segurana para a empresa, quanto mais crtico for, mais as empresas vo investir. Discordando de ESP1, ESP2 afirmou que segurana da informao normalmente no terceirizada, que desconhece empresas que terceirizem a parte de segurana. Em resposta a terceira pergunta, o especialista ESP3 afirmou que hoje as principais preocupaes quanto segurana da informao esto relacionados Gesto de Acessos, Gerenciamento de Riscos referente tecnologia da informao e Continuidade dos Negcios

75

que so temas importantes e bem discutidos atualmente. Em relao infraestrutura tecnolgica, a questo da segurana j est madura e desenvolvida h bastante tempo, sendo que as empresas j possuem um antivirus, um firewall e protees contra ameaas internas e externas. Com relao ao outsourcing, o que tem se praticado no mercado e o que se procura fazer um mix, onde se deve manter na empresa uma estrutura de segurana enxuta, que conhea muito bem a cultura e o negcio da organizao, j que a questo de segurana um aspecto cultural, e utilizar uma consultoria externa de apoio para verificar as atualizaes do mercado, as tendncias e as novidades em relao s ameaas. Quando se trata de infraestrutura de segurana da informao, alguns paradigmas j foram quebrados, sendo que algumas empresas j realizam a terceirizao por completo da infraestrutura, com administrao de firewall, administrao de IBS, IDS, monitoramento do ambiente, identificao de ameaas, resposta a ameaas, sendo que quem contrata estes servios recebe relatrios com o diagnstico do monitoramento, alm de ter a garantia dos servios atravs de contratos e SLAS. O entrevistado ainda refora que para Gesto da Segurana deve-se manter uma equipe interna. Respondendo a terceira pergunta, o especialista ESP4 falou que a principal tendncia do mercado est voltada para Gesto de Risco, pois este assunto abordado desde modelos como ITIL (que fala sobre Gesto de Mudanas, Continuidade do Negcio e que usam a Anlise Riscos) at os regulatrios de empresas Financeiras que utilizam Anlise de Risco Operacional, Risco de Mercado, Risco de Crdito que so obrigatrios nestas instituies. O quadro abaixo apresenta uma sntese referente terceira pergunta.

Pergunta Abordou sobre a tendncia do mercado quanto segurana da

Sntese O ESP1 falou que devido a falta de pessoas qualificadas no mercado e com conhecimento em segurana da informao, principalmente da gesto de segurana, a terceirizao tem sido uma alternativa adotada pelas organizaes. Em contrapartida, ESP2 afirma que desconhece empresas que terceirizem a parte de segurana. O entrevistado completou a resposta falando que as empresas esto investindo cada vez mais em segurana, sendo que PCN, Gesto de Riscos e Certificaes esto sendo mais utilizados. J o

informao. entrevistado ESP3 falou que a tendncia Gesto de Acessos, Gerenciamento de Riscos e Continuidade dos Negcios. O entrevistado ainda falou que a contratao de consultoria externa de segurana uma prtica que vem sendo

76

utilizada no mercado como apoio. O especialista ainda comentou que algumas empresas j terceirizam por completo a segurana de infraestrutura. Concordando com algumas tendncias j apontadas por ESP2 e ESP3, ESP4 apontou como tendncia a Gesto de Riscos.

Quadro 11: Resumo das respostas sobre a tendncia do mercado quanto a segurana da informao

A quarta pergunta abordou como as empresas, que se preocupam com a segurana da informao, realizam a anlise de riscos. O especialista ESP1 informou que at pouco tempo no existia nenhum guia que determinasse exatamente como ela deveria ser feita, e hoje tambm no existe, o que existe a ISO 27005 que possui as diretrizes bsicas que devem conter uma metodologia de gesto de risco de uma organizao. Ento, as empresa adotam, em alguns casos, metodologias j conhecidas como Octave ou adaptam as metodologias j existentes e geram suas prprias metodologias, pegando as informaes mais importantes para gerar o seu clculo como a probabilidade, o impacto, a severidade entre outros. Em continuidade a esta mesma questo, o entrevistado completou falando que quando definido um processo de negcio para fazer gesto de risco, deve-se mapear tudo que est relacionado e esta a maior dificuldade para se fazer um plano. O entrevistado ainda afirmou que a gesto de riscos nunca acaba, como o processo evolutivo do PDCA, pois vai estar sempre localizando novos riscos, calculando os novos riscos e relacionando novos ativos gesto de risco. A anlise do risco fornece o fator de risco que um nmero de acordo com a forma de clculo, mas para o plano de continuidade, alm da anlise do risco considerada a anlise de impacto do negcio e a gesto do risco. Para a gesto de riscos devem-se identificar todos os riscos que o processo est exposto, assumir o risco, mitigar e tratar. O entrevistado ainda conclui que o plano de continuidade dos negcios deve abordar o inesperado. O especialista ESP2 comentou que existe um clculo padro que envolve a probabilidade do problema, impacto e mitigao do controle. Sendo que quanto maior o controle, menor vai ser o risco e quanto menor o controle maior o risco. Como resposta para quarta pergunta, o especialista ESP3 falou que a Anlise dos Riscos funciona como o PDCA da administrao, onde se deve entender os processos da organizao, para os processos deve-se identificar os principais fatores de risco (que conforme a Basilia seriam pessoas, processos, tecnologia e fatores externos). Devem-se analisar os processos da organizao sobre estes quatro fatores de forma a identificar os fatores riscos.

77

Aps a identificao dos fatores, deve-se analisar a probabilidade do risco ocorrer e os impactos causados pelo risco. Depois da avaliao dos riscos, deve-se fazer o mapeamento dos controles. ESP3 ainda falou que a melhor prtica para avaliao dos riscos seria atravs de um Comit de Avaliao dos Riscos, composto pelos principais executivos da organizao, que avaliam sobre a tica dos impactos se o risco aceitvel ou no para a organizao, o quanto ofensor ou no. Sendo que para os riscos deve-se determinar um nvel de aceitao, neste caso o entrevistado exemplificou a analogia do 80-20, onde 20% dos fatores de riscos que podem gerar 80% das perdas. Aps a aceitao dos riscos e identificao dos mais ofensores, deve-se direcionar o esforo quanto ao gerenciamento do risco, onde vai se criar os planos de ao para o tratamento dos riscos. Ento, depois de identificar os riscos, avaliar os riscos, controles e identificar os riscos mais ofensores, deve-se fazer o tratamento do risco e monitorar os planos de ao. Tambm se recomendado manter em constante monitoramento os riscos identificados como aceitveis para avaliar se no passaram a ser ofensores, pois no momento em que estes outros riscos so identificados como ofensores, devem ser tratados e elaborados planos de ao. Respondendo a quarta pergunta, o especialista ESP4 falou que as Anlises de Riscos so feitas atravs da adaptao de modelos de frameworks existentes. O entrevistado afirmou que hoje este assunto ainda est muito emprico e muito no comeo, pois hoje as Anlises de Riscos so realizadas atravs de uma matriz simples e qualitativa onde se trabalha com vulnerabilidades versos ameaas, probabilidade, mas sempre em uma viso qualitativa indicando se baixa, mdia ou alta. As anlises no so baseadas em nmeros, em cima de uma viso quantitativa, onde exista um histrico. O quadro abaixo apresenta uma sntese referente quarta pergunta.

Pergunta Abordou como as empresas, que se preocupam com a segurana da informao, realizam a anlise de riscos.

Sntese ESP1 e ESP4 falaram que para anlise dos riscos normalmente as empresas adaptam metodologias j existentes e criam suas prprias metodologias. ESP4 ainda comentou que a anlise tem uma viso qualitativa. ESP2 comentou que para o clculo envolve probabilidade do problema, impacto, mitigao e controle. ESP1 e ESP3 falaram que a anlise de riscos funciona como o PDCA, onde ESP3 completou a resposta falando que se deve entender os

78

processos da organizao, identificar os principais fatores de riscos (pessoas, processos, tecnologia e fatores externos), analisar a probabilidade de o risco ocorrer e os impactos causados, mapear os controles e monitorar o plano de ao. O especialista ressalta que a melhor prtica para obteno dos riscos um Comit de Avaliao dos Riscos composto pela gerncia da organizao.
Quadro 12: Resumo das respostas sobre anlise de riscos

Na quinta pergunta questionou-se, entre os modelos de melhores prticas atualmente utilizados pelas empresas brasileiras, quais deles contribuem para a segurana da informao e continuidade dos negcios. Entre os modelos e melhores prticas identificadas como os mais utilizados atualmente pelas empresas, o especialista ESP1 apontou a ISO 27002 que, conforme informaes do entrevistado contm todos os controles necessrios para se ter um nvel aceitvel de segurana da informao dentro de uma organizao; guias como COBIT e ITIL que tambm esto relacionadas com a segurana, pois fazem a comunicao entre a parte mais estratgica e administrativa da empresa com a parte tcnica, no caso a TI; ISO 27005 para gesto de riscos, que est dentro do plano de continuidade dos negcios; DRI como principal referncia para continuidade dos negcios, pois este guia existe h bastante tempo; SOX, que apesar de no ser um guia uma lei que determina alguns controles necessrios e serve como incentivo para implementao de outros guias. No final da entrevista, ESP1 complementou sua resposta falando que a ISO 15999 nova e especfica para PCN. O especialista ESP2 informou que a ISO 27001 possui um foco maior na segurana da informao, pois especfica para este assunto, tratando sobre a gesto de incidentes, monitoria patrimonial, entre outros. O entrevistado no soube informar em que aspectos ou como ela poderia contribuir. O entrevistado ainda informou que o ITIL no tem muito foco na segurana da informao. Para a quinta pergunta, o especialista ESP3 falou que basicamente a ISO 17799 e a famlia de ISO originrias a ela, possuem as informaes referente a estrutura, polticas, controle e o processo de gerenciamento de segurana da informao; o ITIL tambm ajuda no gerenciamento de segurana da informao; o COBIT um framework importante para comear o processo de Governana de TI e tambm em relao a segurana, onde tem uma srie de objetivos de controle ligados a tecnologia da informao e gerenciamento de riscos; a BS25999 ligada a continuidade dos negcios, tambm um padro a ser utilizado, sendo que

79

no Brasil somente uma organizao certificada at o momento, que a CAIXA; o DRI tambm considerado como fonte de referncia principalmente para recuperao de desastres. Em resposta a quinta pergunta, o especialista ESP4 citou a BS25999/1 e BS25999/2 como modelo que vem sendo utilizado como melhores prticas para implementao da continuidade dos negcios. Tambm so utilizados como base normas ISO como a 27000, modelos como ITIL e COBIT para continuidade do negcio, gesto do servio e gesto da informao. O quadro abaixo apresenta uma sntese referente quinta pergunta.

Pergunta Abordou os modelos de melhores prticas atualmente utilizados pelas empresas brasileiras e quais contribuem para segurana da informao e continuidade dos negcios.

Sntese Em concordncia os especialistas ESP1, ESP2 e ESP3 citaram a norma BS25999 (ISO15999) e os modelos ITIL e COBIT. ESP1 e ESP2 ainda apresentaram concordncia ao citar o DRI como um modelo a ser utilizado e todos os especialistas citaram normas relacionadas segurana da informao sendo citada a norma ISO17799 e a famlia da ISO 27000. ESP1 ainda mencionou a lei SOX.

Quadro 13: Resumo das respostas sobre modelos de melhores prticas utilizados pelas empresas

A sexta pergunta abordou quais vantagens que uma empresa pode obter externamente quando ela est preparada para dar continuidade aos seus servios em caso de incidentes que afetem as suas instalaes. O especialista ESP1 comentou que a maior vantagem que uma empresa procura a financeira, pois as organizaes tm como premissa bsica a obteno do lucro. Ento, todos os controles, como segurana da informao, gesto de riscos ou PCN, tem como objetivo dar lucro a empresa reduzindo os custos de retrabalho, falhas e outras questes relacionadas segurana da informao. O marketing tambm foi identificado pelo entrevistado como uma vantagem, pois pode trazer algumas facilidades. Um dos exemplos de lucro citados pelo entrevistado foi o de um banco do estado do Rio Grande do Sul, que obteve um grande lucro por ser uma das primeiras empresas certificadas na ISO 17799, o que levou o banco a conseguir um financiamento na Europa com uma taxa de juro bem mais baixa por ser

80

certificado. Outro exemplo que ESP1 colocou relacionado governana corporativa, onde uma empresa que tem seus processos mapeados, que demonstra e evidencia maturidade nestes aspectos, ela consequentemente tem suas aes valorizadas e em algum momento ela vai vender as suas aes com um ganho de at 15% acima por implementar estes controles, ento tudo acaba lucro financeiro. O especialista ESP2 falou que um PCN passa credibilidade e isso influencia positivamente na imagem da empresa e consequentemente pode trazer mais lucros para a empresa. Em resposta a sexta pergunta o especialista ESP3 falou que a principal vantagem a perpetuidade do negcio, pois no caso de indisponibilidade de algum servio ou algum desastre que impea a continuidade do negcio, a empresa est sujeita a perdas, podendo ser por multas contratuais ou at mesmo a perda do cliente. O entrevistado ESP3 tambm falou do PCN como diferencial competitivo, onde empresas que possuem estratgias de continuidade, tambm tm recuperao rpida, fazendo com que eventos adversos no prejudiquem o servio que est sendo entregue ao cliente final. Respondendo a sexta pergunta, o especialista ESP4 informou que em Instituies Financeira a continuidade do negcio j obrigatria atravs da resoluo 3380, onde os parceiros devem ter continuidade do negcio. Ento, empresas que queiram ser parceiras de Instituies Financeiras e tambm parceiras de empresas que j fornecer trabalho ou servios para estas Instituies vo ser obrigadas a ter um PCN. O entrevistado conclui falando que esta questo do PCN vai acabar se tornar uma cadeia entre clientes e fornecedores, onde a continuidade dos negcios tende a ser tornar natural para todas as empresas. O quadro abaixo apresenta uma sntese referente sexta pergunta.

Pergunta Abordou quais

Sntese ESP1 falou que a maior vantagem o lucro, pois reduz o custo de

vantagens que uma retrabalho e contribui positivamente com o marketing da empresa. empresa pode Apresentando o mesmo pensamento que ESP1, o ESP2 falou que um

obter externamente PCN passa credibilidade e isso influencia positivamente na imagem quando ela est preparada para dar continuidade aos seus servios em da empresa e consequentemente traz lucros. J ESP3 falou que a principal vantagem a perpetuidade do negcio, evitando multas contratuais e perda do cliente. O especialista tambm falou da vantagem como um diferencial competitivo.

81

caso de incidentes que afetem as suas instalaes.

ESP4 falou que para Instituies Financeiras a continuidade dos negcios obrigatrio, ento empresas que querem ser fornecedoras destas Instituies, obrigatoriamente vo ter um PCN.

Quadro 14: Resumo das respostas sobre vantagens que uma empresa pode obter quando est preparada para dar continuidade aos seus servios

Na stima pergunta foi abordado se o fato de uma empresa possuir um PCN pode influenciar uma empresa cliente no fechamento de um negcio. O especialista ESP1 afirmou que pode influenciar sim, mas tambm depende da rea de atuao da empresa. Outro ponto apresentado pelo entrevistado custo de implementao do controle de continuidade do negcio e o valor real do negcio, pois se o custo de implementao for superior ao valor do negcio, ento no vale a pena ser implementada a continuidade. A empresa antes de implantar um controle de continuidade, deve analisar o quanto ela est disposta a pagar pela estratgia de contingncia a ser adotada. Outro exemplo apresentado pelo entrevistado o de uma grande empresa que faz hospedagem em servidor dedicado de diversos servios de diferentes clientes, esta empresa pegou fogo no final de 2008 e foram perdidos todos os servidores da empresa. Esta empresa fez deste desastre uma estratgia de marketing, pois iniciaram um processo de restaurao do site e em dois dias foram restaurados milhares de sites que estavam hospedados nos servidores dedicados da empresa. Com este exemplo, o entrevistado conclui que este tipo de contingncia tem um custo bem elevado, ento a empresa deve verificar at quanto est disposta a pagar pelo servio que garanta a restaurao e continuidade em pouco tempo. Logo, a deciso de investimento e o valor a ser investido, esto relacionados com a rea de atuao da empresa. O especialista tambm colocou que o PCN no deve ser relacionado com grandes negcios, pois empresas pequenas tambm podem ter PCN com um valor baixo, basta ter isto documentado. O especialista ESP2 afirma que pelo fato do PCN passar mais credibilidade para uma empresa que est contratando ou utilizando os servios, ela pode sim ser um requisito e um fator de deciso para o fechamento de um negcio. Em resposta a stima pergunta, e apresentando a mesma opinio que o entrevistado ESP2, o especialista ESP3 afirmou que um PCN pode ser fator de diferencial e deciso para ganhar uma concorrncia, tornando-se vantagem competitiva. O entrevistado ainda informa que se a questo de continuidade estiver difundida na cultura da empresa contratante, sem

82

dvida ela vai exigir o mesmo da contratada, inclusive empresas que exigem este requisito normalmente possuem uma equipe de auditoria para auditar o PCN da empresa a ser contratada. O entrevistado tambm afirma que empresas que no possuem esta cultura, no vo exigir da empresa contratada um PCN, sendo analisadas outras variveis como custo, SLAS de disponibilidade, entre outros. Respondendo a stima questo e apresentando o mesmo pensamento que os outros especialistas, o especialista ESP4 informou que um PCN pode sim influenciar no fechamento do negcio. ESP4 ainda completou a informao falando que se a empresa tem como regulamentao a obrigatoriedade de contratar somente parceiros que possuam PCN, esta empresa no vai fugir da regra. Em outros casos, o PCN pode ser visto como um diferencial quando informado que se tem um site secundrio ou que em caso de eventualidades o trabalho pode ser continuado sem prejuzos ou impacto para o cliente. O quadro abaixo apresenta uma sntese referente stima pergunta.

Pergunta Perguntou se o fato de uma empresa possuir um PCN pode influenciar uma empresa cliente no fechamento de um negcio

Sntese ESP1 falou que dependendo da rea de atuao da empresa um PCN pode influencia no fechamento de um negcio. O especialista tambm falou deve-se analisar o valor real do negcio com a estratgia de continuidade a ser adotada. Todos os especialistas apresentaram a mesma opinio quando afirmaram que um PCN pode ser fator de deciso para o fechamento de um negcio. Os especialistas ainda afirmaram que o PCN passa maior credibilidade para o cliente, pode ser visto como vantagem competitiva e diferencial.

Quadro 15: Resumo das respostas sobre a influncia do PCN no fechamento de um negcio

A oitava pergunta abordou se empresas que possuem um PCN podem ser consideradas como empresas inovadoras ou isso j commodity. Na opinio do especialista ESP1, o PCN no considerado como questo inovadora para uma empresa. O entrevistado considera que empresas que possuem um PCN so empresas conscientes. Um exemplo que o entrevistado colocou, foi o de uma empresa desenvolvera de software, que no possui um plano de continuidade. Esta empresa pode no ter um PCN, por que os gestores desta empresa no se preocuparam com este ponto, mas considerada inovadora por gerar novas tecnologias.

83

O especialista ESP2 informou que uma coisa a empresa possuir um PCN e outra possuir requisitos de infraestrutura para dar segurana. ESP2 concluiu a informao falando que o PCN no commodity, um diferencial. Hoje, muitas empresas fazem aes isoladas para dar continuidade aos servios, como um firewall, servidor de backup e outros equipamentos. Outra coisa manter um PCN com realizao de testes que d garantia da continuidade do negcio e no somente dos servios. Para oitava pergunta o especialista ESP3 afirmou que esta questo depende do mercado de atuao. No mercado Financeiro j commodity, devido s exigncias impostas a este setor, tornando o PCN uma obrigatoriedade. Para outros mercados pode ser uma questo de inovao e de diferencial competitivo diante de uma concorrncia. Em resposta a oitava questo, o especialista ESP4 informou que PCN est longe de ser commodity e afirma que o fato de uma empresa possuir um PCN considerada como inovadora. O entrevistado ainda completou a informao falando que as estratgias de continuidade mudaram muito nos dois ltimos anos, pois antes no se pensava em estratgia como se pensa hoje. Atualmente esta questo est madura em comparao h dois anos e tende a amadurecer cada vez mais. O quadro abaixo apresenta uma sntese referente oitava pergunta.

Pergunta Abordou se empresas que possuem um PCN podem ser consideradas como empresas inovadoras ou isso j uma commodity.

Sntese Na opinio de ESP1, o PCN no considerado questo inovadora, o especialista fala que empresas que possuem um PCN so empresas conscientes. J ESP2 afirmou que PCN no commodity, um diferencial. O especialista ainda falou que hoje muitas empresas fazem aes isoladas para dar continuidade aos servios, mas um PCN requer mais que aes isoladas, so necessrios testes para validao do plano. Na opinio de ESP3, o PCN est ligado ao mercado de atuao, onde no mercado Financeiro pode ser considerado commodity e em outros mercados uma questo de inovao e diferencial competitivo. Em contrapartida, ESP4 afirma que PCN est longe de ser commodity, e afirma que empresas que possuem PCN so consideradas inovadoras.

Quadro 16: Resumo das respostas sobre a considerao de empresas que possuem PCN

A nona pergunta abordou sobre as vantagens que uma empresa pode obter quando possui um PCN bem estruturado.

84

O especialista ESP1 indicou como vantagem o que o prprio plano de continuidade propem, pois em caso de um incidente ou desastre a empresa tem a garantia de que vai conseguir retornar. Nesta questo o entrevistado tambm ressaltou a importncia dos testes, pois a garantia da restaurao dos servios depende dos testes realizados no PCN. Desta forma, segundo o entrevistado o plano no tem chance de errar, ele vai funcionar. Para complementar a resposta, ESP1 ainda falou que uma vantagem de se ter um PCN seria a minimizar os prejuzos de um incidente ou desastre caso venha a ocorrer. Em resposta a nona pergunta, o especialista ESP2 informou que a vantagem obter um menor impacto para o negcio diante de um desastre e manter a disponibilidade dos servios. Para nona pergunta o especialista ESP3 afirmou que a principal vantagem a garantia de que eventos adversos no vo comprometer o negcio, tanto no caso de um desastre at as pequenas interrupes do dia a dia que podem acontecer. Fazendo com que a operao continue operando e volte a se restabelecer no menor espao de tempo possvel. Respondendo a nona questo, o entrevistado LAB afirmou que a maior vantagem a certeza de que o negcio no vai parar, este o objetivo do PCN. Quando se tem um PCN bem estruturado tambm deve-se ter um processo de Gesto de Continuidade que vai controlar a execuo dos testes, as atualizaes e a equipe de continuidade nas reas. No momento em que realizada uma mudana dentro da organizao, o PCN tambm pode sofrer alteraes, por isto a importncia da Gesto da Continuidade manter este controle. O entrevistado completou a resposta informando que quanto mais atualizado estiver o PCN melhor , pois nunca se sabe quando vai ocorrer um desastre. O entrevistado ainda completou a informao falando da importncia de teste real, avisados ou no, para verificar a efetividade do PCN. O quadro abaixo apresenta uma sntese referente nona pergunta.

Pergunta Abordou sobre as vantagens que uma empresa pode obter quando possui um PCN bem

Sntese Todos os entrevistados apontam como vantagem a garantia de continuidade do negcio e a minimizao dos impactos. ESP1 falou que a vantagem o que o prprio PCN propem, pois em caso de incidente ou desastre a empresa tem a garantia que vai conseguir retornar. Outra vantagem citada minimizar os prejuzos de um incidente. J ESP2 apresenta como vantagem obter o menor impacto

85

estruturado.

para o negcio diante de um desastre e manter a disponibilidade dos servios. ESP3 falou que a vantagem a garantia de que eventos adversos no vo comprometer o negcio, fazendo com que o negcio continue operando no menor espao de tempo. ESP4 afirmam que a maior vantagem a garantia de que o negcio no vai parar. O especialista ainda fala da importncia do controle da Gesto da Continuidade quanto a testes, manutenes e atualizaes.

Quadro 17: Resumo das respostas sobre as vantagens que o PCN pode trazer para empresa

Na dcima e ltima pergunta foi abordado aos especialistas sobre a contribuio da SOX com o PCN. O especialista ESP1 falou que a contribuio seria nas questes de auditoria e da responsabilidade social. O exemplo citado pelo entrevistado nesta questo foi uma grande fbrica em uma pequena cidade, sendo que uma grande parte da populao trabalha nesta fbrica que pega fogo, logo grande nmero de habitantes desta cidade vai estar desempregado. Neste caso, continuar o negcio seria a responsabilidade social considerada pela SOX, logo o plano de continuidade dos negcios est apoiado por uma das diretrizes bsicas do SOX. Apresentando a mesma opinio que ESP1, o especialista ESP2 afirmou que a SOX est voltada a auditoria, ento ela vai dar a garantia de que o PCN est adequado e apontar as questes que devem ser melhoradas no PCN. O especialista ESP3 optou por no responder esta questo informando no possuir maiores conhecimentos neste assunto. Em resposta a ltima questo, o especialista ESP4 informou que a SOX contribui muito com a parte de Segurana da empresa. A SOX garante a no ocorrncia de falhas dentro de uma organizao, desta forma ela contribui para continuidade dos negcios. O quadro abaixo apresenta uma sntese referente dcima pergunta.

Pergunta Foi abordado aos especialistas sobre a contribuio da

Sntese Todos os especialistas que responderam a pergunta apresentaram a mesma opinio informando que a SOX contribui com a auditoria garantindo a no ocorrncia de falhas no PCN.

86

SOX com o PCN.

ESP1 ainda aponta a responsabilidade social considerada pela SOX, pois a continuidade do negcio tambm est ligada a responsabilidade social.

Quadro 18: Resumo das respostas sobre a contribuio da SOX com o PCN

Na subseo seguinte sero apresentadas as aes para elaborao da proposta.

8.3 PROPOSTA PARA PGI E PCN

O plano de ao para elaborao da proposta foi desenvolvido a partir das informaes obtidas atravs da anlise dos dados e do referencial terico. Sendo utilizado como principal fonte as informaes da NBR 15999, ITIL e COBIT. Abaixo so apresentadas as aes e os requisitos iniciais para elaborao do PGI e PCN. Conforme o elemento Entendendo a Organizao da norma 15999-1, primeiramente foi realizado o entendimento da organizao, conforme as aes apresentadas no Quadro 19. As aes realizadas abaixo, tambm referem-se s consultas realizadas no COBIT e as melhores prticas do ITIL.

Ao Identificar os objetivos da organizao

Resultado - manter o nvel dos servios de forma a cumprir as SLAS dos projetos; - manter imagem confivel; - atender as expectativas dos clientes quanto qualidade e prazos de entrega. - servio de internet

Identificar as atividades crticas que necessitem recuperao

- servio de email - execuo dos projetos - entrega dos projetos - contato com cliente - acesso as informaes dos projetos e administrativas - informao

Identificar os ativos

- servidores - recursos humanos - equipamentos - Diretor Administrativo (nome)

Identificar os principais responsveis

- Diretor de Projetos (nome) - Diretor de TI (nome) - Gerente Financeiro (nome)

87

A anlise de impacto para as possveis ameaas foi realizada atravs da relao Identificar e avaliar as ameaas Anlise de Impacto no negcio da probabilidade e impacto causado nas atividades, sendo assim determinada a prioridade do risco. Para determinao da probabilidade e do impacto, foram utilizados os seguintes valores para as qualificaes: baixo = 1, mdio = 2 e alto = 3. Ver Quadro 20: Anlise de impacto das possveis ameaas. Para cada uma das atividades identificadas como crticas foram estabelecidos tempos de recuperao. Identificar o tempo mximo de interrupo de cada atividade. Tempo Mximo (TMP) = de parada, at que a atividade reinicie. Nvel Mnimo (NM) = de desempenho da atividade aps reincio. Tempo Mximo (TMR) = de retomada dos nveis normais de operao. Obs.: Para os riscos em que ocorre apenas a queda do nvel de servio, no so identificados os tempos de interrupo e retomada, pois o servio continuou operando. Ver Quadro 20: Anlise de impacto das possveis ameaas. As ameaas crticas foram determinadas aps a anlise dos riscos e impactos Identificao das ameaas crticas causados nas atividades da organizao. Sendo considerado como crtica aquelas que ocasionam grandes perdas nas atividades do negcio. A coluna AC do Quadro 20 apresenta quais ameaas foram consideradas crticas. Quadro 19: Aes para elaborao da proposta do PCN e PGI

Abaixo apresentado o Quadro 20, este quadro contm os resultados obtidos atravs das aes executadas do Quadro 19.
Recursos da Organizao Risco Falta de colaborados chave por motivo de doena. Perda de colaborador chave por desligamento Perda de colaborador chave por pedido de demisso. Pessoas Compartilhamento de recurso com outros projetos Superalocao de recurso Troca de recurso durante o projeto Falta de conhecimento tcnico da equipe de testes Troca de equipe do projeto durante a execuo do projeto Alagamento na parte interna da empresa por estouro de cano de gua Incndio total/parcial da empresa Probabilidade Baixa Impacto Alto Prioridade 4 Perodo de interrupo* TMP= 2d NM= 70% TMR= 3d TMP= 3d NM= 60% TMR= 4d TMP= 3d NM= 60% TMR= 4d AC** C

Baixa

Alto

Baixa Alta Mdia Baixa Mdia Baixa Baixa Baixa

Alto Alto Mdia Alto Mdia Alta Alta Alta

4 6 4 4 4 4 4 4

Instalaes

TMP= 4d NM= 80% TMR= 5d TMP= 4d

C C

88

Desabamento do prdio por catstrofe natural ou intencional Falha de equipamento Avaria no equipamento (computadores em geral) Avaria nos servidores Equipamentos de Tecnologia Uso no autorizado de equipamentos Uso no adequado dos meios de comunicao Falha na rede interna da empresa

Baixa

Alta

Mdia

Baixa

Mdia

Mdia

Mdia Mdia Mdia Mdia

Alta Mdia Alta Alta

5 4 5 5

NM= 80% TMR= 5d TMP= 4d NM= 80% TMR= 5d TMP= 0,5h NM= 100% TMR= 0,5h TMP= 0,5h NM= 100% TMR= 0,5h TMP= 1d NM= 90% TMR= 2d

Roubo de equipamento Restrio tecnolgica proveniente do cliente Acesso no autorizado a documentos/ informaes confidenciais da empresa (por meio externo) Acesso no autorizado a documentos/ informaes confidenciais da empresa (por meio interno) Alterao no autorizada de documentos Roubo de informaes/documentos confidenciais Perda de dados/informaes dos servidores Perda de backup Falta de energia eltrica Falha na telefonia, impossibilitando comunicao Fornecedores Falha no link externo de rede (internet) Perda de performance no link da internet Falha no servidor de e-mail

Baixa Baixa

Alta Mdia

4 3

TMP=1h NM=100% TMR=1h TMP= 0,5h NM= 100% TMR= 0,5h

Baixa

Alta

Baixa

Alta

Informao

Baixa Baixo

Alto Alto

4 4 TMP= 1d NM= 90% TMR= 1d C

Mdia Baixa Baixa Baixa Mdia

Alta Mdia Alta Baixa Mdia

5 3 4 2 4

TMP= 2h NM= 90% TMR= 3h

Mdia

Mdias

Baixa

Alto

TMP= 2h NM= 90% TMR= 4h TMP= 4h NM= 90% TMR= 6h TMP= 2h NM= 90% TMR= 3h

*Tempo Mximo (TMP) = de parada, at que a atividade reinicie. Nvel Mnimo (NM) = de desempenho da atividade aps reincio. Tempo Mximo (TMR) = de retomada dos nveis normais de operao. ** Atividades consideradas como crticas= AC

Quadro 20: Anlise de impacto das possveis ameaas

89

Depois de identificados os possveis riscos, realizada a anlise de impacto e identificadas as ameaas crticas, foram determinadas as estratgias de continuidade de negcios. A determinao das estratgias foi realizada para os recursos da organizao, conforme os quadros dos recursos abaixo.

a) Pessoas
Risco Falta de colaborador chave por motivo de doena. Consequncia de no se agir - atraso nas atividades antes executadas pelo colaborador; - atraso na entrega de projeto; - pagamento de multa por no cumprimento do contrato. Mitigao - manter documentos de trabalho sempre detalhados e atualizados; - manter estes documentos em repositrio no servidor interno da empresar; - manter documento detalhado contendo informaes das atividades crticas do projeto; - manter em documento atualizado informaes de contato com cliente e status do projeto; - manter programa de treinamentos atualizados; - manter treinamentos para cada setor, de forma a manter pessoas do mesmo setor com a mesma base de conhecimento. Perda de colaborador chave por desligamento /morte. - atraso nas atividades antes executadas pelo colaborador; - atraso na entrega de projeto; - pagamento de multa por no cumprimento do contrato. - manter documentos de trabalho sempre detalhados e atualizados; - manter estes documentos em repositrio no servidor interno da empresar; - manter documento detalhado contendo informaes das atividades crticas do projeto; - manter em documento atualizado informaes de contato com cliente e status do projeto; - manter planejamento de sucesso; - manter programa de treinamentos atualizados; - manter treinamentos para cada setor, de - substituir o colaborador pelo seu sucessor, conforme planejamento de sucesso; ou - contratar um novo colaborador com o mesmo nvel de conhecimento. Estratgia de continuidade de negcio - substituir o colaborador por outro da mesma equipe e que possua o mesmo nvel de conhecimento, ou - substituir o colaborador por outro de equipe diferente e que possua o mesmo nvel de conhecimento, ou - contratar um novo colaborador com o mesmo nvel de conhecimento.

90

forma a manter pessoas do mesmo setor com a mesma base de conhecimento. Perda de colaborador chave por pedido de demisso. - atraso nas atividades antes executadas pelo colaborador; - atraso na entrega de projeto; - pagamento de multa por no cumprimento do contrato. - manter documentos de trabalho sempre detalhados e atualizados; - manter estes documentos em repositrio no servidor interno da empresar; - manter documento detalhado contendo informaes das atividades crticas do projeto; - manter em documento atualizado informaes de contato com cliente e status do projeto; - manter planejamento de sucesso; - manter programa de reteno para os colaboradores; - manter programa de treinamentos atualizados; - manter treinamentos para cada setor, de forma a manter pessoas do mesmo setor com a mesma base de conhecimento. Quadro 21: Estratgia de continuidade dos recursos humanos - substituir o colaborador pelo seu sucessor, conforme planejamento de sucesso; ou - contratar um novo colaborador com o mesmo nvel de conhecimento.

b) Instalaes
Risco Consequncia de no se agir Mitigao Estratgia de continuidade de negcio Perda do local por alagamen to/incnd io/desaba mento. - multas contratuais por atraso e no entrega dos servios; - perda da confiabilidade na empresa por colaboradores e clientes; - perda de clientes; - perda de - no realizar alteraes/manutenes na estrutura do prdio sem antes consultar especialistas; - realizar vistorias programadas na estrutura fsica do prdio, incluindo hidrulica e eltrica; - contratar especialistas para manuteno quando necessrio; - realizar vistorias dirias na empresa ao final do expediente de forma a se certificar de que todas as torneiras esto fechadas, e cafeteiras e mquinas desligadas; - manter extintores de incndio dentro na empresa; - realizar treinamentos para utilizao de extintores; - realizar treinamentos apresentando opes de - seguro no valor de R$80.000,00 (oitenta mil reais) a fim de cobrir as perdas de mquinas. - possvel financiamento. - recurso no valor de R$50.000,00 (cinqenta mil reais) para cobrir gastos iniciais. - aluguel de sala em

91

colaboradores; - perda de parceiros; - imagem prejudicada.

sada de emergncia para os colaboradores; - realizar treinamentos de primeiros socorros; - conhecimento da infaestrutura do local que ser utilizado como alternativa para alocao da equipe.

Hotel (nome do Hotel) no centro de Porto Alegre.

Quadro 22: Estratgia de continuidade para as instalaes

c) Informao
Risco Consequncia de no se agir Mitigao Estratgia de continuidade de negcio Perda das informaes do servidor W. - perda de informaes de projetos; - multas contratuais por atraso e no entrega dos servios; - perda da confiabilidade na empresa por colaboradores e clientes. Avaria no servidor W. - perda de informaes de projetos; - multas contratuais por atraso e no entrega dos servios; - perda da confiabilidade na empresa por colaboradores e clientes. Perda das informaes dos servidores X, Y, Z. - perda de informaes de projetos; - perda de informaes estratgicas da empresa; - multas contratuais por atraso e no entrega dos servios; - perda da confiabilidade na empresa por - manter diferentes perfis de acesso para os usurios; - liberar acesso somente das informaes necessrias para o usurio; - realizar backup dirio do servidor 2, armazenando em fitas DDS2 fora da empresa; - uma vez por semana armazenar o buckup no servidor externo da - Subir a ltima atualizao do backup armazenado no servidor externo. - realizar backup automtico de uma em uma hora armazenando as informaes em servidor externo. Compra de pea ou novo servidor. Subir a ltima atualizao do backup armazenado no servidor externo em um novo servidor. - manter diferentes perfis de acesso para os usurios; - liberar acesso somente das informaes necessrias para o usurio; - realizar backup automtico de uma em uma hora armazenando as informaes em servidor externo. Subir a ltima atualizao do backup armazenado no servidor externo.

92

colaboradores e clientes. Avaria nos servidores X, Y, Z. - perda de informaes de projetos; - multas contratuais por atraso e no entrega dos servios; - perda da confiabilidade na empresa por colaboradores e clientes.

empresa. - realizar backup dirio do servidor 2, armazenando em fitas DDS2 fora da empresa; - uma vez por semana armazenar o buckup no servidor externo da empresa. - Acionar financeiro para compra de outro servidor utilizando o recurso de reserva para contingncias. - Subir a ltima atualizao do backup armazenado no servidor externo.

Quadro 23: Estratgia de continuidade da informao

d) Fornecedores
Risco Consequncia de no se agir Falta de energia eltrica - multas contratuais por atraso e no entrega dos servios; - manter gerador de energia. Acionar a empresa de energia eltrica para comunicao do ocorrido. Mitigao Estratgia de continuidade de negcio

Falha no link externo de rede (internet) Perda de performance no link da internet Falha no servidor de e-mail

- multas contratuais por atraso e no entrega dos servios;

- manter celulares com tecnologia 3G para contingncia.

- Acionar a empresa responsvel e utilizar os celulares para conexo com a internet at restabelecimento normal do servio.

- multas contratuais por atraso e no entrega dos servios;

- manter controle de performance.

- Acionar a empresa responsvel e utilizar a banda somente com os projetos essenciais at o restabelecimento normal do servio.

- atraso na comunicao com o cliente.

- manter controle para verificar falhas no servio de email.

- Acionar a empresa responsvel e transferir os registros de DNS que apontam para o sistema do datacenter para o servidor de backup da empresa.

Quadro 24: Estratgia de continuidade dos servios terceirizados

Aps a identificao dos requisitos acima, nas subsees 8.3.1 e 8.3.2 sero apresentadas as aes para elaborao dos Planos de Gerenciamento de Incidentes e Continuidade do Negcio.

93

8.3.1 Plano de ao para elaborao da proposta para PGI

A proposta do Plano de Gerenciamento de Incidentes (PGI) foi elaborada com o obejetivo de dar apoio ao gerenciamento de um incidente que envolva os principais recursos da organizao (pessoas, tecnologia, fornecedores, instalao), conforme sugerido pela NBR 15999:2007. Esta proposta inclui o gerenciamento do risco por perda de local, que afeta diretamente os recursos de pessoas, informao e servios prestados por fornecedores. Para elaborao do PGI, foram utilizados os requisitos extrados a partir dos resultados das aes apresentadas na seo 8.3. Sendo utilizadas as informaes resultantes da Anlise de Riscos, estratgia de contingncia, prazos de recuperao. A proposta de PGI apresentada no APNDICE B.

8.3.2 Plano de ao para elaborao da proposta para PCN

A proposta do PCN permitir que a empresa ALFA recupere e mantenha seus servios em caso de interrupo devido ocorrncia de incidente que afete a continuidade do negcio. Para esta proposta, foi includo em um nico documento os planos para os diferentes riscos identificados para os recursos de pessoas, informao e fornecedores. Para elaborao do PCN, foram utilizados os requisitos extrados a partir dos resultados das aes apresentadas na seo 8.3. Sendo utilizadas as informaes resultantes da Anlise de Riscos, estratgia de contingncia, prazos de recuperao. A proposta de PCN apresentada no APNDICE C.

94

9 CONSIDERAES FINAIS

Cada vez mais as empresas de TI buscam o aperfeioamento e a diferenciao para manter-se competitivas no mercado. atravs da adaptao e aderncia das exigncias e requisitos do mercado que as empresas buscam a diferenciao do seu negcio, em busca de novos setores do mercado e fidelidade dos clientes. A empresa ALFA verificou a necessidade de atender as exigncias do setor bancrio, setor que a empresa pretende atender, quanto ao requisito de garantir a entrega dos servios e continuidade de negcio com um PCN. Diante desta exigncia encontrada no setor bancrio, um PCN baseado em prticas de reconhecimento internacional, busca atender os requisitos encontrados para este setor e faz com que a empresa ALFA mantenha-se competitiva no mercado, atendendo as expectativas dos clientes internos e externos, com a garantia na entrega dos servios e continuidade do negcio em caso de incidente. A partir deste estudo, verificou-se que a cultura das organizaes em relao continuidade de negcios muito importante. atravs de uma cultura slida que as empresas tm efetividade e sucesso na implantao de uma gesto de continuidade de negcio. Durante as entrevistas com especialistas e na busca de literaturas para elaborao do trabalho, foi verificado que a cultura de continuidade de negcio possui um grande valor e reconhecimento para empresa do exterior, sendo que no Brasil esta cultura ainda no possui o reconhecimento devido. No entanto, grandes empresas brasileiras, como Instituies Financeiras, j possuem esta cultura difundida, visto que so obrigadas a seguir as regulamentaes impostas ao setor bancrio. Atravs das exigncias encontradas nas regulamentaes que as organizaes brasileiras esto aderindo cultura de continuidade de negcios, sendo que, as empresas ao aderirem a esta cultura tambm vo exigir a mesma garantia dos seus fornecedores, formando uma cadeia de clientes e fornecedores que aderem e exigem garantia na continuidade de negcio atravs de um PCN. Durante as entrevistas com a alta direo da empresa ALFA, pde-se verificar que h um reconhecimento da importncia da segurana das informaes e continuidade de negcio por parte de alguns entrevistados, no entanto no existe uma cultura dentro da organizao que faa com que esta importncia seja difundida entre todos os funcionrios que fazem parte da alta gerncia. O PCN que a empresa adotava no atendia algumas exigngias encontradas na NBR 15999 e no COBIT. Apesar de a proposta ter como objetivo a elaborao de um PCN

95

baseado nas melhores prticas de mercado, verifica-se que primeiramente necessrio difundir na organizao a importncia de se ter um plano de continuidade de negcio, fazendo com que a empresa adote as prticas da gesto de continuidade de negcio para gerenciar de forma eficiente e eficaz o PCN proposto neste trabalho. Durante o levantamento das informaes nas literaturas, verificou-se que a NBR15999 atendeu de forma completa as necessidades encontradas para elaborao do trabalho, apresentando informaes sobre a gesto da continuidade de negcios at os detalhamentos sobre as informaes contidas nos planos e controles que devem ser adotados. O COBIT teve sua contribuio nos requisitos essenciais para a elaborao e controle do PCN, e o ITIL apresentou de uma forma geral os objetivos do PCN e a sua contribuio para organizao. Com base nestas trs referncias, pode-se elaborar a proposta, sendo esta apresentada na seo 8.3. Os objetivos propostos para o trabalho foram alcanados, sendo estes apresentados aps a anlise dos dados coletados e apresentados no captulo 8. Os objetivos especficos (a) e (b) que procuram identificar os elementos componentes do plano de continuidade de negcio e a avaliao dos pontos crticos e vulnerveis a riscos, foram expostos na subseo 8.3. O objetivo especfico (d) apresentado nas subsees 8.3.1 e 8.3.2, onde so apresentadas as propostas para a continuidade do negcio. Entre os fatores de limite da pesquisa, um deles o fato do trabalho se tratar de um estudo de caso, o qual no permite generalizao, pois a proposta foi elaborada com base nas necessidades e informaes resultantes das entrevistas, observao e anlise de documentos da empresa ALFA. Outro fator limitante o fato de existirem poucos artigos e livros na lngua portuguesa que apresentem maiores informaes e detalhes sobre o assunto. Para pesquisas futuras, sugere-se o desenvolvimento completo de um plano de gesto de continuidade de negcio, contendo o programa de gesto para anlise de riscos, programa de conscientizao da organizao sobre a importncia do assunto e planos de teste para validao do PGI, PCN e da GCN. Tambm se sugere a elaborao de um programa de governana de TI para empresa ALFA para aperfeioamento dos processos de TI. O desenvolvimento deste trabalho proporcionou autora novos conhecimentos e grande experincia acadmica, sendo superada a expectativa inicial do trabalho com relao elaborao da proposta. O trabalho, alm de contribuir com os conhecimentos relacionados ao PCN, como segurana da informao, anlise de riscos e estratgias de continuidade de

96

negcio, proporcionou uma viso maior com relao s empresas terem a necessidade de e manterem-se atualizadas e em constante pesquisa, de forma a verificar e atender as exigncias de setores que pretendem atingir.

97

REFERNCIAS

ABNT NBR ISO/IEC 15999-1:2007. Gesto da Continuidade de Negcios. Parte 1: Cdigo de Prtica. Associao Brasileira de Normas Tcnicas. (Pedido 171863 Impresso: 25/05/2009)

ABNT NBR ISO/IEC 15999-2:2007. Gesto da Continuidade de Negcios. Parte 2: Requisitos. Associao Brasileira de Normas Tcnicas. (Pedido 171863 Impresso: 25/05/2009)

ABNT NBR ISO/IEC 17799:2005. Tecnologia da informao Tcnicas de segurana Cdigo de prtica para gesto da segurana da informao. Associao Brasileira de Normas Tcnicas. Rio de Janeiro, ABNT, 2005.

ALBERTIN, Alberto Luiz; ALBERTIN, Rosa Maria de Moura. Tecnologia de Informao: desafios da tecnologia de informao aplicada aos Negcios. So Paulo: Atlas, 2005a.

ALBERTIN, Alberto Luiz; ALBERTIN, Rosa Maria de Moura. Tecnologia de Informao e desempenho empresarial: as dimenses de seu uso e a sua relao com os benefcios de negcio. So Paulo: Atlas, 2005b. ALBERTIN, Alberto Luiz. Benefcios do uso de Tecnologia de Informao no desempenho empresarial. GVPesquisas. Relatrio 07/2005. Disponvel em <http://www.eaesp.fgvsp.br> Acesso em: 25 out.2008.

ANDRADE, Maria Margarida de. Introduo metodologia do trabalho cientfico: elaborao de trabalhos de graduao. So Paulo: Atlas, 2003. APPOLINRIO, Fabio. Metodologia da Cincia: Filosofia e prtica da pesquisa. So Paulo: Pioneira Thomson Learning, 2006. BORGES, Mnica Erichsen Nassif. A informao como recurso gerencial das organizaes na sociedade do conhecimento. Cincia da Informao, Vol 24, nmero 2, Ibict Instituto Brasileiro de Informao em Cincias e Tecnologia, 1995. Disponvel em <http://dici.ibict.br/archive/00000601/ >. Acesso em: 25 out.2008. CARVALHO, Rosangela Caubit de. A aplicao de um modelo de gesto de segurana da informao e a sua influncia na percepo de competitividade no setor de telecomunicaes e informtica. Universidade Federal Fluminense LATEC Laboratrio de Tecnologia, Gesto de Negcios e Meio Ambiente. p. 208. Niteri, 2003. Disponvel em <http://www.bdtd.ndc.uff.br/tde_busca/arquivo.php?codArquivo=1834>. Acessado em: 29 out. 2008.

98

COPENHAVER, John. DRI International News. p.17. Jan, 2007. Disponvel em <https://www.drii.org/docs/DRIINewsletter1-07_9.pdf >. Acesso em: 27 out.2008. DEVARGAS, Mario. Survival is Not Compulsory: An Introduction to Business Continuity Planning. Computers & Security, p. 35 46, 18, 1999. Disponvel em < http://www.sciencedirect.com/science?_ob=ArticleURL&_udi=B6V8G-3W31NRB7&_user=10&_coverDate=12%2F31%2F1999&_alid=933512982&_rdoc=1&_fmt=high&_o rig=search&_cdi=5870&_sort=d&_docanchor=&view=c&_ct=2&_acct=C000050221&_versi on=1&_urlVersion=0&_userid=10&md5=b101ed899f9622103d2b06872850f23f> Acesso em 03 nov., 2008. CARUSO, Carlos Alberto Antnio; STEFFEN, Flvio Deny. Segurana em informtica e de informaes. So Paulo: SENAC, 1999. COSTA, Marco Antnio F. da; COSTA; Maria de Ftima Barrozo da. Metodologia da Pesquisa: conceitos tcnicos. Rio de Janeiro: Intercincia, 2001. FACHIN, Odlia. Fundamentos de Metodologia. 5. ed. - So Paulo: Saraiva, 2006. FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a governana de TI: da estratgia gesto dos processos e servios. Rio de Janeiro: Brasport, 2008.

FOINA, Paulo Rogrio. Tecnologia da Informao: planejamento e gesto. So Paulo: Atlas, 2006. GIL, Antonio Carlos. Mtodos e Tcnicas de Pesquisa Social. - 5 ed. So Paulo: Atlas, 1999. GIL, Antonio Carlos. Como elaborar projetos de pesquisa. - 4. ed. So Paulo: Atlas, 2009. HAIR JR., Joseph F.; BABIN, Barry; MONEY, Arthur H.; SAMOUEL, Phillip. Fundamentos de mtodos de pesquisa em administrao. Traduo Leon Belon Ribeiro. Porto Alegre: Bookman, 2005. HERBANE, Brahim; ELLIOTT, Dominic; SWARTZ, Ethn M. Business Continuity Management: time for a strategic role? Elsevier Ltda. All rights reserved, 2004. Disponvel em < http://www.sciencedirect.com/science?_ob=ArticleURL&_udi=B6V6K-4DDXMGV3&_user=10&_coverDate=10%2F31%2F2004&_alid=933512875&_rdoc=9&_fmt=high&_o rig=search&_cdi=5817&_sort=d&_docanchor=&view=c&_ct=12&_acct=C000050221&_ver sion=1&_urlVersion=0&_userid=10&md5=b6f402bbd59d46104e9a6549b4ecdeb0> Acesso em 05 nov., 2008.

99

IT GOVERNANCE INSTITUTE. COBIT 4.1: framework, control objectives, management guidelines, maturity models. Estados Unidos: Information Systems Audit and Control Fundation, 2007.

LAURINDO, Fernando Jos Barbi. Tecnologia da informao: eficcia nas organizaes. So Paulo: Futura, 2002.

LUCIANO, Edimara Mezzomo; FREITAS, Henrique. Application Solution Provider: uma nova estratgia para agregar valor ao negcio e reduzir custos de TI. In: Congresso Internacional de Gesto de Tecnologia e Sistemas de Informao, 2, 2005, So Paulo-SP. Anais So Paulo: TECSI/FEA/USP, 2005, p. 77 resumos (Anais em CD-ROM). Disponvel em < http://www.adm.ufrgs.br/professores/hfreitas/files/artigos/2005/2005_176_TECSI.pdf>. Acesso em: 25 out.2008. ARTIGO

MAGALHES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerencimento de Servios de TI na Prtica: uma obordagem com base no ITIL. So Paulo: Novatec Editora Ltda, 2007.

MANSUR, Ricardo. Governana de TI: metodologia, frameworks e melhores prticas. Rio de Janeiro: Brasport, 2007.

NEGRINE, Airton. Instrumentos de coleta de informaes na pesquisa qualitativa. In: TRIVIOS, Augusto Nibaldo Silva; MOLINA NETO, Vicente (org.). A pesquisa qualitativa na educao fsica: Alternativas metodolgicas. Porto Alegre: Ed. Universidade/UFRGS/Sulina, 1999 p. 61-93.

OFFICE OF GOVERNMENT COMMERCE. Planning to Implement Service Management. v2.0 Reino Unido: The Stationery Office, 2005a. Disponvel em <http://www.tso.co.uk/pism/app/frames.htm> Acesso em 01 out., 2008.

OFFICE OF GOVERNMENT COMMERCE. Business Perspective: The IS View on Delivering Services to the Business. v2.0 Reino Unido: The Stationery Office, 2005b.

PASQUALETTO, Loimar; LUCIANO, Edimara M. Implantao de Prticas ITIL: o caso do TRF4. In.: CATI - Congresso Anual de Tecnologia da Informao, So Paulo - SP. Anais do 3 CATI, 2006.

RECH, Ionara; SOUZA, Alessandro Nunes de. Gesto de TI. In: FOSSATTI, Nelson Costa; LUCIANO, Edimara Mezzomo (org.). Prtica Profissional em Administrao: cincia, mtodo e tcnica. Porto Alegre: Sulina, 2008, p. 157-174.

100

ROESCH, Sylvia Maria Azevedo. Projetos de Estgio e de Administrao: guia para estgios, trabalhos de concluso e estudos de caso. So Paulo: Atlas, 2006.

SILVA, Luiz Gustavo Cordeiro da; SILVA, Paulo Caetano da; BATISTA, Eduardo Mazza; HOMOLKA, Herbert Otto; JNIOR, Ivanildo Jose de Souza Aquino; LIMA, Marcelo Ferreira de. Certificao Digital - Conceitos e Aplicaes - Modelos Brasileiro e Australiano.Editora Cincia Moderna: Rio de Janeiro, 2008.

SMOLA, Marcos. Gesto da Segurana da Informao: viso executiva da segurana da informao: aplicada a Security Officer. Rio de Janeiro: Elsevier, 2003, oitava reimpresso.

SMITH, Martin; SHERWOOD, John. Business Continuity Planning. Computer & Security, p. 14-23. Elsevier Science Ltda, 1995. Disponvel em < http://www.sciencedirect.com/> Acesso em 01 nov., 2008

SNEDAKER, Susan. Business Continuity and Disaster Recovery Planning for IT Professionals. Elsevier, 2007. Disponvel em <http://www.sciencedirect.com/science/book/9781597491723> Acesso em 1 nov., 2008.

STANTON, Ray. Continuity in a disaster. INFORSECURITY. Volume 4, Issue 8, November-December 2007, p. 24-25 Nov/Dec. 2007. Disponvel em <http://www.sciencedirect.com/> Acesso em 1 nov., 2008.

TESTA, Mauricio Gregianin; LUCIANO, Edimara Mezzomo; RECH, Ionara. Tcnicas de coleta de dados. In: FOSSATTI, Nelson Costa; LUCIANO, Edimara Mezzomo (org.). Prtica Profissional em Administrao: cincia, mtodo e tcnica. Porto Alegre: Sulina, 2008, p. 67-85.

TEXAS DEPARTMENT OF INFORMATION RESOURCES. Businnes Continuity Planning. Rev. December, 2004. Austin, Texas. Disponvel em <http://www.dir.state.tx.us/pubs/bcpg/bcpg.pdf> Acesso em 6 nov., 2008.

WEILL, Peter; ROSS, Jeanne W. Governana de TI, Tecnologia da Inoformao. So Paulo: M. Books do Brasil Editora Ltda, 2006.

YIN, Robert K. Estudo de caso: planejamento e mtodos. Porto Alegre: Bookman, 2005.

101

APNDICE A DADOS DE IDENTIFICAO

DADOS DE IDENTIFICAO DA ALUNA Nome: Patrcia Marques da Silveira Endereo: Rua Visconde de Pelotas, 155/ap. 308 Data de nascimento: 26/04/1980 Fone para contato: (51) 91010948 Email: pati.marques@hotmail.com DADOS DE IDENTIFICAO DO SUPERVISOR Nome: Rafael Krug Marques Endereo: Praa Dr. Julio de Arago Bozzano, 25/14 Data de nascimento: 05/03/1979 Fone para contato: (51) 3388-3269 Email: rkm79@terra.com.br

102

APNDICE B PROPOSTA PARA PLANO DE GERENCIAMENTO DE INCIDENTE

1 OBJETIVO

Este documento tem por objetivo dar suporte ao gerenciamento da fase crtica de um incidente. Na ocorrncia de um incidente maior que afete o local onde est instalada a empresa, consequentemente o dano causado atingir de alguma forma a continuidade dos servios e do negcio, atingindo recursos e atividades crticas da organizao, pois so nas instalaes da empresa que esto localizados os colaboradores, os servidores com as informaes de clientes, projetos, pesquisas, informaes administrativas, estratgias, entre outras que possuem valor para a organizao. A execuo das atividades contidas neste documento deve garantir a continuidade do negcio, satisfazendo os interesses do cliente (interno/externo).

2 RESPONSVEIS DO PGI

Nesta seo sero apresentados os responsveis pela anlise do PGI, assim como pelas correes e manutenes que ocorram. Abaixo so apresentados os responsveis e as suas atividades com relao ao PGI: 3 ESCOPO Diretor Administrativo (nome) anlise crtica do plano. Diretor de TI (nome) anlise crtica do plano, correo e atualizao do plano.

O escopo de gerenciamento de incidente deste documento refere-se perda do local de trabalho, onde est includa a ativao do plano, com os primeiros contatos que devem ser realizados na ocorrncia do incidente, comunicaes das equipes e clientes, atividades e aes para execuo do plano. Outros planos podem ser ativados em paralelo a este, sendo

apontado o documento de Plano de Continuidade de Negcios (PCN) e a seo correspondente, visto que o incidente pode afetar os recursos internos do local.

103

4 ANLISE DE RISCOS E IMPACTOS

A anlise dos riscos foi realizada determinando a prioridade do risco atravs da anlise da probabilidade de ocorrncia do risco e os impactos causados pela ocorrncia do mesmo. Foram determinados indicativos (baixo=1, mdio =2 e alto=3) para qualificao da probabilidade e impacto, onde a soma dos indicadores resultou na prioridade do risco. Para os riscos que afetam as atividades crticas da empresa, foram elaborados os planos de contingncias com os seus respectivos responsveis e atividades. Abaixo so apresentadas as informaes pertinentes ao risco contido neste documento, assim como as informaes pertinentes de mitigao e continuidade do negcio quando ocorre a impossibilidade de uso do local original de instalao da empresa.

5 GERENCIAMENTO DE INCIDENTE PARA PERDA DAS INSTALAES

Nas subsees abaixo sero apresentadas as informaes teis para o gerenciamento inicial do incidente, assim com as atividades subsequentes. Na seo 5.1 sero apresentadas as informaes referentes ao risco, conseqncias de no se agir, as mitigaes para minimizar a ocorrncia do risco e as estratgias de continuidade, assim como os responsveis pela ativao e execuo do plano. Na seo 5.2 sero apresentadas as atividades pertinentes a cada um dos responsveis, desde o incio de ativao do PGI at a ativao do PCN para alguns recursos. Nas subsees sequentes apresentado o plano de comunicao, indicando a sequncia de realizao das comunicaes e responsveis, desenho de sequncia das atividades, recursos financeiros disponveis para contingncia, equipamentos necessrios e servios que devem ser contratados.

5.1 PERDA DO LOCAL POR ALAGAMENTO/INCNDIO/DESABAMENTO

Abaixo so apresentadas as informaes pertinentes de mitigao e continuidade quanto ocorre incidente maior que afete o local das instalaes da empresa.

104

Risco Probabilidade: Baixa Consequncias de no se agir

Perda do local por alagamento/incndio/desabamento. Impacto: Alto Prioridade: 4 multas contratuais por atraso e no entrega dos servios; perda da confiabilidade na empresa por colaboradores e clientes; perda de clientes; perda de colaboradores; perda de parceiros; imagem prejudicada. no realizar alteraes/manutenes na estrutura do prdio sem antes consultar especialistas; realizar vistorias programadas na estrutura fsica do prdio, incluindo hidrulica e eltrica; contratar especialistas para manuteno quando necessrio; realizar vistorias dirias na empresa ao final do expediente, de forma a se certificar de que todas as torneiras esto fechas, cafeteiras e mquinas desligadas; manter extintores de incndio dentro na empresa; realizar treinamentos para utilizao de extintores; realizar treinamentos apresentando opes de sada de emergncia para os colaboradores no caso de evacuao do local; realizar treinamentos de primeiros socorros; conhecimento da infaestrutura do local que ser utilizado como alternativa para alocao da equipe. seguro no valor de R$80.000,00 (oitenta mil reais) a fim de cobrir as perdas de mquinas; recurso de contingncia no valor de R$50.000,00 (cinquenta mil reais) para cobrir gastos iniciais com compras de equipamentos, mquinas e servidores necessrios; financiamento (caso necessrio); aluguel de sala em Hotel (nome do Hotel) no centro de Porto Alegre, priorizando a proximidade do local afetado. Diretor Administrativo (nome) Gerente de Projetos (nome) Diretor de TI (nome) Gerente Financeiro (nome) Especialista 1 (nome) Recursos Humanos (nome) Suporte (nome) TMP = 4 dias NM = 80%

Mitigao

ESTRATGIA DE CONTINUIDADE

Responsveis

Tempo de Recuperao*

TMR = 6 dias *Tempo de Recuperao: Mximo (TMP) = de parada, at que a atividade reinicie. Nvel Mnimo (NM) = de desempenho da atividade aps reincio. Tempo Mximo (TMR) = de retomada dos nveis normais de operao.

5.2 ATIVIDADES E AES DOS RESPONSVEIS

Abaixo so apresentadas as atividades que cada envolvido deve executar, assim como a comunicao dos interessados. Nas atividades no esto listadas aes de primeiros socorros, pois todos os colaboradores da empresa devem estar preparados para prestar este atendimento quando necessrio.

105

Responsvel Diretor Administrativo (nome)

Responsabilidade de atividades/aes 1- Avaliar a ocorrncia do risco. 2- Ativar o PGI e PCN quando confirmado o incidente. 3- Evacuao do local (opo 1)*. 4- Comunicar servios de emergncia (consultar seo 6). 5- Comunicar responsveis pela execuo das atividades e ativao de outros planos (consultar seo 7). 6- Disponibilizar o backup das mquinas e servidores. 7- Efetuar as instalaes dos backups.

Gerente Financeiro (nome)

1- Evacuao do local (opo 2)*. 2- Comunicar seguradora (consultar seo 8). 3- Comunicar local secundrio (Hotel) sobre a utilizao do local (consultar seo 8). 4- Marcar local e hora para reunio de comunicao j no local secundrio (consultar seo 8). 5- Disponibilizar os recursos financeiros de contingncia (consultar seo 5.2.3) para compra de equipamentos j definidos (consultar seo 5.2.4), como mquinas e servidores. 6- Contratar Datacenter para hospedagem das informaes do servidor W (consultar seo 5.2.5). 7- Contratar servio de internet 3G (consultar seo 5.2.5).

Gerente de Projetos (nome)

1- Comunicar equipes de trabalho e marcar a reunio de comunicao no local secundrio (consultar seo 9). 2- Comunicar e tranqilizar clientes (consultar seo 10). 3- Comunicar familiares de colaboradores quando necessrio (consultar seo 9). 4- Acompanhar as instalaes e preparao do ambiente secundrio. 5- Realizar processo seleo quando verificada necessidade por morte de colaborador (consultar PCN, seo 6.2 e 6.2.1).

Diretor de TI (nome)

1- Avaliar as perdas e, conforme as necessidades dos projetos em execuo, verificar o nmero de mquinas necessrias para compra. 2- Pegar o recurso financeiro e comprar equipamentos, mquinas e servidores identificados como necessrios (consultar seo 5.2.3 e 5.2.4). 3- Auxiliar todas as instalaes de mquinas, configuraes e atualizao do backup das mquinas e servidores. 4- Acompanhar e auxiliar todas as atividades de instalaes das mquinas e preparao do ambiente at a estabilidade para o reincio das atividades.

Suporte (nome)

1- Auxiliar na compra dos equipamentos, mquinas e servidores necessrios. 2- Preparar local secundrio (Hotel) para receber equipamentos. 3- Realizar instalao e configurao das mquinas e servidores. 4- Colorar em um roteador o servio de banda larga 3G (consultar 5.2.5). 5- Auxiliar nas instalaes dos backups das mquinas e servidores. 6- Certificar-se do funcionamento correto de todas as mquinas e servidores.

Especialista 1 (nome)

1- Realiza treinamentos quando realizado contratados novos colaboradores por motivo de perda dos anteriores (consultar PCN ndice 6.2 e 6.2.1). * Todos os colaboradores devem ter treinamento indicando local e procedimentos de sada no caso de evacuao do local. So dois os responsveis pelo alerta de orientao de evacuao, mas na ausncia dos responsveis, outros colaboradores podem iniciar o processo de evacuao.

106

5.2.1 Plano De Comunicao Do Incidente

Abaixo apresentado o desenho do Fluxo de Comunicao que dever ocorrer assim que identificado o incio do incidente de perda do local

Figura 1: Plano de Comunicao do Incidente

Responsvel pela comunicao Diretor Administrativo (nome)

Quem recebe a comunicao 1- Comunicar servios de emergncia (consultar seo 6). 2- Comunicar responsveis pelo PGI e PCN (consultar seo 7).

Gerente Financeiro (nome)

1- Comunicar seguradora (consultar seo 8). 2- Comunicar local secundrio (Hotel) sobre a utilizao do local (consultar seo 8). 3- Comunicar fornecedores (consultar seo 5.2.5).

Gerente de Projetos (nome)

1- Comunicar equipes de trabalho e marcar a reunio de comunicao no local secundrio (consultar seo 9). 2- Comunicar familiares quando ocorrer morte de colaborador. 3- Comunicar e tranqilizar clientes (consultar seo 10).

5.2.2 Desenho De Sequncia Das Atividades

Abaixo apresentado o desenho da sequncia de atividades e aes apresentadas no item 5.6 deste documento. Estas atividades devem ser realizadas pelos responsveis conforme o prazo determinado.

107

Figura 2: Desenho de sequncia das atividades

5.2.3 Recursos Financeiros de contingncia

Como forma de garantir a continuidade dos servios e consequentemente do negcio, a empresa disponibiliza recursos financeiros de forma contingenciar as perdas ocasionadas pelo incidente. Abaixo so apresentados os recursos disponveis para os gastos emergenciais.

Recurso Financeiro

Responsvel pelo recurso Gerente Financeiro

Valor (R$)

Quando acionar

Seguro de bens fsicos

80.000,00

Quando ocorrer perda do local de trabalho, o seguro cobre as perdas fsicas de mquinas e servidores (consultar seo 8). Para contingenciar gastos emergenciais.

Reserva de contingncia

Gerente Financeiro Gerente Financeiro

50.000,00

Financiamento

A empresa possui credibilidade no mercado financeiro, ficando vivel um financiamento para cobrir gastos emergenciais.

5.2.4 Lista de equipamentos necessrios

Para o reincio das atividades no ambiente secundrio, necessrio preparar o ambiente com equipamentos e mquinas necessrias para o incio das atividades. Ento, aps a avaliao das perdas e identificao das necessidades de cada projeto que est sendo executado, identificada a necessidade de compras extras, alm das que j estavam planejadas para o gerenciamento do incidente. Para os equipamentos, pode ser utilizado o

108

recurso financeiro de continuidade j disponvel ou um financiamento extra. Abaixo apresentada a lista dos equipamentos j programados para compra.

Equipamentos Mquina

Qnt. 1

Configurao Core 2DUO 2400+2.40GHz com 160 GB e 8GB de RAM AMD Turion 64 Mobile 1.58 GHz, com HD 160GB e 2GB de RAM Pentium 3 de 550MHZ Xenon com 2MD de Cach, um HD de 20 GB SCSI mais um HD de 9GB SCSI e 1,50GB de RAM

Funcionalidade Para virtualizar as informaes dos servidores X, Y e Z perdidos e subir os backups. Para restabelecimento administrativo. dos backups do

Notebooks

Mquina

Para recuperao do ambiente do servidor W e que deve ser hospedado em Datacenter contratado. Ver( ndice 5.6.3)

Alm das mquinas previstas listadas acima e as especficas conforme a verificao de necessidade dos projetos devem ser comprados cabos de rede e hubs suficientes para preparao do local secundrio de forma a atender os projetos em andamento.

5.2.5 Servios que devem ser contratados

Para recuperao e disponibilizao das informaes aos usurios que estaro operando durante o perodo de contingncias, necessrio a hospedagem das informaes do servidor W e disponibilizao de acesso a internet. Para estes servios sero contratados os servios listados abaixo:

Servio Datacenter

Fornecedor uolHost

Telefones 4003.9011

Endereo Rua General Bento Martins, 24. Porto Alegre Rua: Andradas, 1501, Centro. Porto Alegre

Funo Para hospedagem das informaes do servidor W. Para disponibilizao de acesso a internet.

Banda larga 3G sem fio

CLARO

1052

6 TELEFONES DE EMERGNCIA

Abaixo apresentada a lista dos contatos dos servios de emergncias, que deve ser acionado assim que for detectado o incidente.

109

TELEFONES DE EMERGNCIA Corpo de Bombeiros Polcia Civil Polcia Militar Servio de Atendimento Mdico de Urgncia (SAMU) 193 197 190 192

7 CONTATO DOS RESPONSVEIS PELA ATIVAO/EXECUO

Abaixo apresentada a lista dos primeiros contatos que devem ser realizados quando identificado que o local de trabalho foi afetado por um incidente. Estas pessoas so responsveis direta ou indiretamente pelo gerenciamento do incidente, por isto a importncia da primeira comunicao.

Responsvel Diretor Administrativo (nome) Gerente de Projetos (nome) Diretor de TI (nome) Gerente Financeiro (nome) Especialista 1 (nome) Recursos Humanos (nome) Suporte (nome)

Telef. Cel. 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999

Telef. Resid. 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333

Endereo Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA

8 CONTATO DA SEGURADORA E LOCAL SECUNDRIO

Abaixo apresentado o telefone de contato da seguradora, para acionamento do seguro e o telefone do local secundrio onde vai ser montada as instalaes para continuidade do negcio.

Nome do recurso Banco seguradora (nome) Hotel (nome)

Telefone 1 51-99999999 5191010102

Telefone 2 51-3333.3333 5133727272

Endereo Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA

110

9 CONTATO DE COLABORADORES

Abaixo apresentado o telefone dos colaboradores da empresa para comunicao do incidente e agendamento da primeira reunio de comunicao. Tambm apresentado o contato de um familiar dos colaboradores, para comunicao caso o incidente afete diretamente o colaborador.
Nome Diretor Administrativo (nome) Gerente de Projetos (nome) Diretor de TI (nome) Gerente Financeiro (nome) Recursos Humanos (nome) Suporte (nome) Analista de Projeto 2 (nome) Analista de Projeto 3 (nome) Analista de Projeto 3 (nome) Testador 1 (nome) Testador 2 (nome) Testador 3 (nome) Testador 4 (nome) Especialista 1 (nome) Especialista 2 (nome) Especialista 3 (nome) Telef. Cel. 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999 Telef. Resid. 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 Contato Familiar 51-3333.3333 (nome) 51-3333.3333 (nome) 51-3333.3333 (nome) 51-3333.3333 (nome) 51-3333.3333 (nome) 51-3333.3333 (nome) 51-3333.3333 (nome) 51-3333.3333 (nome) 51-3333.3333 (nome) 51-3333.3333 (nome) 51-3333.3333 (nome) 51-3333.3333 (nome) 51-3333.3333 (nome) 51-3333.3333 (nome) 51-3333.3333 (nome) 51-3333.3333 (nome) Endereo Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA

10 CONTATO DE CLIENTES

Abaixo so apresentados os telefones dos clientes da ALFA, onde o Gerente de Projetos dever realizar a comunicao do incidente e tranquilizar o cliente em relao garantia de entrega dos projetos que esto sendo executados. Aps o reincio das atividades, o Gerente de Projetos tambm deve comunicar o cliente.
Nome Empresa Beta Empresa Gama Empresa XYZ Empresa ABC Empresa JKM Empresa OPQ Empresa RST Telef. 1 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999 Telef. 2 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333

111

APNDICE C PROPOSTA PARA PLANO DE CONTINUIDADE DE NEGCIOS

1 OBJETIVO

Este documento tem por objetivo dar suporte ao restabelecimento dos servios no caso de incidente que afete as instalaes, garantindo a continuidade do negcio da empresa. Desta forma a empresa mantm o cumprimento dos contratos, fazendo com que o cliente receba os servios com a qualidade e o prazo planejado.

2 RESPONSVEIS DO PCN

Nesta seo sero apresentados os responsveis pelo PCN e as suas atividades com relao ao documento. 3 ESCOPO Diretor Administrativo (nome) anlise crtica do plano. Diretor de TI (nome) anlise crtica do plano, correo e atualizao do plano.

O escopo de continuidade deste documento refere-se recuperao dos recursos que influenciam diretamente nas atividades consideradas como crticas para organizao. A determinao deste escopo ocorreu atravs da anlise dos riscos e impactos. Abaixo apresentado o escopo de continuidade: Pessoas; Instalaes; Informao; e Fornecedores.

4 ANLISE DE RISCOS

A anlise dos riscos foi realizada determinando a prioridade do risco atravs da anlise da probabilidade de ocorrncia do risco e os impactos causados pela ocorrncia do mesmo.

112

Foram determinados indicativos (baixo=1, mdio =2 e alto=3) para qualificao da probabilidade e impacto, onde a soma dos indicadores resultou na prioridade do risco. Para os riscos que afetam as atividades crticas da empresa, foram elaborados os planos de contingncias com os seus respectivos responsveis e atividades. Para cada risco considerado como crtico foi elaborado um plano de contingncia. Todas as contingncias para os possveis riscos so apresentadas nas sees 6 a 9. Nestas sees, tambm apresentada a prioridade do risco, probabilidade e impacto identificados durante a anlise e as consequncias por no se tomar as aes devidas. Na prxima seo sero apresentados os responsveis pela ativao dos planos de contingncia, conforme o escopo dos recursos.

5 RESPONSABILIDADES DE ATIVAO/EXECUO

Abaixo so apresentados os papis e as responsabilidades das pessoas quanto tomada de deciso durante e aps incidente. Estas pessoas so os responsveis pela ativao dos planos, envolvimento com relao aos gastos financeiros necessrios para determinadas contingncias ou no auxilio para execuo de determinadas aes do plano.

Recurso Pessoas

Responsvel Gerente de Projetos (nome) 1- Ativar o Plano.

Responsabilidade

2- Analisar criticidade de projetos. 3- Realizar processo de seleo. 4- Realizar comunicao interna/externa. Recursos Humanos (nome) 1- Realiza processo de seleo. 2- Avaliar plano de sucesso. Especialista 1 (nome) Informao Diretor Administrativo (nome) 1- Realizar treinamentos. 1- Ativar o Plano. 2- Disponibilizar backup do servidor. 3- Efetuar a instalao de backup. Diretor de TI (nome) 1- Pegar recurso financeiro para compra de servidor. 2- Auxiliar nas instalaes de backup at que o ambiente esteja estvel para incio das atividades. Gerente de Projetos (nome) Gerente Financeiro (nome) Suporte (nome) Fornecedores Diretor de TI (nome) 1- Realizar comunicao interna/externa. 1- Liberar verbas de contingncia. 1- Auxiliar na instalao do backup. 1- Ativar Plano 2- Comunicar fornecedor.

113

Suporte (nome)

1- Ativar gerador de energia. 2- Entrar em contato com fornecedor

Gerente de Projetos (nome)

1- Realizar comunicao interna/externa.

5.1 CONTATO DOS RESPONSVEIS PELA ATIVAO/EXECUO

Abaixo apresentada a lista para contato dos responsveis pela ativao e execuo dos planos de contingncia contidos neste documento.

Responsvel Diretor Administrativo (nome) Gerente de Projetos (nome) Diretor de TI (nome) Gerente Financeiro (nome) Especialista 1 (nome) Recursos Humanos (nome) Suporte (nome)

Telef. Cel. 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999

Telef. Resid. 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333

Endereo Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA Rua: Beta, 2 - Centro POA

6 CONTINGNCIA PARA PERDA DE COLABORADOR CHAVE

Na falta de colaborador chave por motivo de doena, ausncia temporria, demisso ou morte, a empresa tem como garantir a continuidade dos servios prestados ao cliente, pois as informaes e conhecimentos adquiridos durante a execuo de um projeto so documentados e armazenados em repositrio interno da empresa. Este repositrio est localizado em um servidor dentro da organizao e o acesso a estas informaes so controladas, podendo o usurio acessar somente as informaes pertinentes ao seu projeto em execuo. Desta forma, outra pessoa com conhecimentos tcnicos tem a possibilidade de dar continuidade ao andamento de um projeto, mesmo que este projeto tenha sido iniciado por outra pessoa, pois a base de conhecimento necessrio para o andamento de um projeto est dentro da empresa. Ficando o cliente assegurando quanto ao andamento dos projetos. Abaixo so apresentados os tipos de incidentes que podem ocorrer e as mitigaes adotadas para cada tipo de ocorrncia, como forma de minimizar os efeitos do incidente. Tambm so apresentadas as estratgias de continuidade adotadas aps incio do incidente, as consequncias de no se agir e o prazo para restabelecimento do servio.

114

6.1 FALTA DE COLABORADOR CHAVE

Abaixo so apresentadas as informaes pertinentes de mitigao e continuidade quanto ocorre falta de colaborador chave.

Risco Probabilidade: Baixa Consequncias de no se agir

Falta de colabora-dor chave por motivo de doena. Impacto: Alto Prioridade: 4 atraso nas atividades antes executadas pelo colaborador; atraso na entrega de projeto; pagamento de multa por no cumprimento do contrato. manter documentos de trabalho sempre detalhados e atualizados; manter estes documentos em repositrio no servidor interno da empresar; manter documento detalhado contendo informaes das atividades crticas do projeto; manter em documento atualizado informaes de contato com cliente e status do projeto; manter programa de treinamentos atualizados; manter treinamentos para cada setor, de forma a manter pessoas do mesmo setor com a mesma base de conhecimento. substituir o colaborador por outro da mesma equipe e que possua o mesmo nvel de conhecimento, ou substituir o colaborador por outro de equipe diferente e que possua o mesmo nvel de conhecimento, ou contratar um novo colaborador com o mesmo nvel de conhecimento. Gerente de Projetos (nome) Recursos Humanos (nome) Especialista 1 (nome) TMP = 2 dias NM = 70%

Mitigao

ESTRATGIA DE CONTINUIDADE

Responsveis

Tempo de Recuperao*

TMR = 3dias *Tempo Mximo (TMP) = de parada, at que a atividade reinicie. Nvel Mnimo (NM) = de desempenho da atividade aps reincio. Tempo Mximo (TMR) = de retomada dos nveis normais de operao.

6.1.1 LISTA DE TAREFAS

Abaixo est a lista de aes e tarefas a serem tomadas, assim que identificado o incidente, de forma a contingenciar a falta/ausncia do colaborador chave.

Passo 1

Responsvel Recursos Humanos (nome)

Procedimento 1.1- Assim que detectada a ausncia do colaborador, Recursos Humanos deve entrar em contato com o colaborador para verificar a situao de sade e tempo de ausncia. 1.2- Colaborador confirmou doena e ausncia temporria, passar para prximo passo (2).

115

Gerente de Projetos (nome)

2.1- Gerente de Projetos deve avaliar o nvel de criticidade do projeto e tomar as decises entre aguardar por 2 dias o retorno ou colaborador ou ativar o plano de continuidade. 2.2- Projeto identificado como crtico e colaborador necessita ficar afastado por mais de 2 dias, Gerente de Projetos ativa o plano de continuidade. Passa para o passo (3).

Gerente de Projetos (nome)

3.1- Gerente de Projetos avalia se tem recurso capacitado dentro da prpria equipe de projeto para substituir colaborador chave. 3.1.1- Tendo recurso disponvel na prpria equipe, comunica ao substituto, a equipe e ao cliente sobre a substituio (fim). 3.1.2- No tendo recurso dentro da prpria equipe de projeto, passa para passo 3.2. 3.2- Gerente de Projetos avalia se tem recurso capacitado e disponvel dentro de outra equipe de projeto para substituir colaborador chave. 3.2.1- Tendo recurso disponvel em outra equipe, comunica ao substituto, a equipe e ao cliente sobre a substituio (fim). 3.2.2- No tendo recurso dentro da outra equipe, passa para o passo (4).

Recursos Humanos (nome) Gerente de Projetos (nome)

4.1- Recursos Humanos e Gerente de Projetos reavaliam os currculos de pessoas j entrevistadas pela empresa. 4.2- Recursos Humanos marca entrevistas. 4.3- Recursos Humanos e Gerente de Projetos realizam a entrevista e seleo. 4.4- Recursos Humanos comunica para a empresa o novo colaborador. Passa para passo (5). 4.5 - Gerente de Projetos comunica a equipe e ao cliente sobre o novo colaborador que ir realizar a substituio.

Especialista 1 (nome)

5.1- Especialista 1 realiza treinamento para o novo colaborador e apresenta o projeto que vai ser continuado por ele (fim).

6.2 PERDA DE COLABORADOR CHAVE POR DESLIGAMENTO/MORTE

Abaixo so apresentadas as informaes pertinentes de mitigao e continuidade quanto ocorre a perda do colaborador chave por desligamento ou morte.

Risco Probabilidade: Baixa Consequncias de no se agir

Perda de colaborador chave por desligamento /morte. Impacto: Alto Prioridade: 4 atraso nas atividades antes executadas pelo colaborador; atraso na entrega de projeto; pagamento de multa por no cumprimento do contrato. manter documentos de trabalho sempre detalhados e atualizados; manter estes documentos em repositrio no servidor interno da empresar; manter documento detalhado contendo informaes das atividades crticas do projeto; manter em documento atualizado informaes de contato com cliente e status do projeto; manter planejamento de sucesso; manter programa de treinamentos atualizados; manter treinamentos para cada setor, de forma a manter pessoas do mesmo setor com a mesma base de conhecimento.

Mitigao

116

ESTRATGIA DE CONTINUIDADE Responsveis

substituir o colaborador pelo seu sucessor, conforme planejamento de sucesso; ou contratar um novo colaborador com o mesmo nvel de conhecimento. Gerente de Projetos (nome) Recursos Humanos (nome) Especialista 1 (nome) TMP = 3 dias NM = 60%

Tempo de Recuperao*

TMR = 4dias *Tempo Mximo (TMP) = de parada, at que a atividade reinicie. Nvel Mnimo (NM) = de desempenho da atividade aps reincio. Tempo Mximo (TMR) = de retomada dos nveis normais de operao.

6.2.1 Lista de Tarefas

Abaixo est a lista de aes e tarefas a serem tomadas, assim que identificada a ocorrncia do incidente, de forma a contingenciar o desligamento ou a morte do colaborador chave.

Passo 1

Responsvel Gerente de Projetos (nome)

Procedimento 1.1 - Assim que for confirmada a ausncia do colaborador, Gerente de Projetos deve ativar o plano. 1.2 - Gerente de projetos deve comunicar Recursos Humanos e Especialista 1.

Recursos Humanos (nome)

2.1- Recursos Humanos deve avaliar plano de sucesso e verificar o sucessor para o colaborador ausente. 2.2- Recursos Humanos identificou que h sucessor para o colaborador. Passar para o prximo passo (3). 2.3- Recursos Humanos no identificou sucessor para o colaborador . Passar para o prximo passo (4).

Gerente de Projetos (nome) Especialista 1 (nome)

3.1- Gerente de Projetos deve comunicar ao sucessor, a equipe e ao cliente sobre a substituio. 3.2- Especialista 1 deve realizar treinamento para o novo sucessor (fim).

Recursos Humanos (nome) Gerente de Projetos (nome)

4.1- Recursos Humanos e Gerente de Projetos reavaliam os currculos de pessoas j entrevistadas pela empresa. 4.2- Recursos Humanos marca entrevistas. 4.3- Recursos Humanos e Gerente de Projetos realizam a entrevista e seleo. 4.4- Recursos Humanos comunica para a empresa o novo colaborador. Passa para passo (4) 4.5 - Gerente de Projetos comunica a equipe e ao cliente sobre o novo colaborador que ir realizar a substituio.

Especialista 1 (nome)

5.1- Especialista 1 passa treinamento para o novo colaborador e apresenta o projeto que vai ser continuado por ele (fim).

117

6.3 PERDA DE COLABORADOR CHAVE POR PEDIDO DE DEMISSO

Abaixo so apresentadas as informaes pertinentes de mitigao e continuidade quanto ocorre a perda do colaborador chave por pedido de demisso.

Risco Probabilidade: Baixa Consequncias de no se agir

Perda de colaborador chave por pedido de demisso. Impacto: Alto Prioridade: 4 atraso nas atividades antes executadas pelo colaborador; atraso na entrega de projeto; pagamento de multa por no cumprimento do contrato. manter documentos de trabalho sempre detalhados e atualizados; manter estes documentos em repositrio no servidor interno da empresar; manter documento detalhado contendo informaes das atividades crticas do projeto; manter em documento atualizado informaes de contato com cliente e status do projeto; manter planejamento de sucesso; manter programa de reteno para os colaboradores; manter programa de treinamentos atualizados; manter treinamentos para cada setor, de forma a manter pessoas do mesmo setor com a mesma base de conhecimento. substituir o colaborador pelo seu sucessor, conforme planejamento de sucesso; ou contratar um novo colaborador com o mesmo nvel de conhecimento. Gerente de Projetos (nome) Recursos Humanos (nome) Especialista 1 (nome) TMP = 3 dias NM = 60%

Mitigao

ESTRATGIA DE CONTINUIDADE Responsveis

Tempo de Recuperao*

TMR = 4dias *Tempo Mximo (TMP) = de parada, at que a atividade reinicie. Nvel Mnimo (NM) = de desempenho da atividade aps reincio. Tempo Mximo (TMR) = de retomada dos nveis normais de operao.

6.3.1 Lista de Tarefas

Abaixo est a lista de aes e tarefas a serem tomadas, assim que identificada o incidente, de forma a contingenciar o pedido de demisso do colaborador chave.

Passo 1

Responsvel Gerente de Projetos (nome)

Procedimento 1.1- Assim que for confirmada demisso do colaborador, Gerente de Projetos deve ativar o plano. 2.1- Recursos Humanos deve avaliar plano de sucesso e verificar o sucessor para o colaborador ausente. 2.2- Recursos Humanos identificou que h sucessor para o colaborador. Passar para o prximo passo (3).

Recursos Humanos (nome)

118

2.3- Recursos Humanos no identificou sucessor para o colaborador . Passar para o prximo passo (4). 3 Gerente de Projetos (nome) Especialista 1 (nome) 3.1- Gerente de Projetos deve comunicar ao sucessor, a equipe e ao cliente sobre a substituio. 3.2- Especialista 1 deve passar treinamento para o novo sucessor (fim). 4 Recursos Humanos (nome) Gerente de Projetos (nome) 4.1- Recursos Humanos e Gerente de Projetos reavaliam os currculos de pessoas j entrevistadas pela empresa. 4.2- Recursos Humanos marca entrevistas. 4.3- Recursos Humanos e Gerente de Projetos realizam a entrevista e seleo. 4.4- Recursos Humanos comunica para a empresa o novo colaborador. Passa para passo (5) 5 Especialista 1 (nome) 5.1- Especialista 1 passa treinamento para o novo colaborador e apresenta o projeto que vai ser continuado por ele (fim).

7 CONTINGNCIA PARA PERDA DAS INFORMAES

Na ocorrncia de incidente que afete as informaes, este plano de contingncia dever ser ativado de modo a garantir a continuidade dos servios e entrega dos projetos. Alm do plano de continuidade, a empresa mantm uma lista de mitigaes de forma a minimizar os danos que venham a ocorrer no caso de incidente. Abaixo so apresentadas, para cada uma das ocorrncias, as mitigaes adotadas e as consequncias de no se agir caso os eventos ocorram.

7.1 PERDA DOS DADOS/INFORMAES DO SERVIDOR W

Abaixo so apresentadas as informaes pertinentes de mitigao e continuidade quanto ocorre perda dos dados/informaes do servidor W.

Risco Probabilidade: Mdia Consequncias de no se agir

Perda dos dados/informaes do servidor W. Impacto: Alto Prioridade: 5 perda de informaes de projetos; multas contratuais por atraso e no entrega dos servios; perda da confiabilidade na empresa por colaboradores e clientes. manter diferentes perfis de acesso para os usurios; liberar acesso somente das informaes necessrias para o usurio; realizar backup automtico de uma em uma hora armazenando as informaes em servidor externo. subir a ltima atualizao do backup armazenado no servidor externo.

Mitigao

ESTRATGIA DE CONTINUIDADE Responsveis

Diretor Administrativo (nome) Gerente de Projetos (nome)

119

Diretor de TI (nome) Suporte (nome) TMP = 1 dia NM = 90% TMR = 2 dias *Tempo Mximo (TMP) = de parada, at que a atividade reinicie. Nvel Mnimo (NM) = de desempenho da atividade aps reincio. Tempo Mximo (TMR) = de retomada dos nveis normais de operao.

Tempo de Recuperao*

7.1.1 Lista de Tarefas

Abaixo est a lista de aes e tarefas a serem tomadas, assim que identificado o incidente, de forma a contingenciar a perda dos dados/informaes do servidor W.

Passo 1

Responsvel Diretor Administrativo (nome)

Procedimento 1.1- Assim que for confirmada a perda das informaes do servidor W, Diretor Administrativo deve ativar o Plano. 1.2- Diretor Administrativo de comunicar Gerente de Projetos, Gerente de TI e Suporte.

Gerente de Projetos (nome)

2.1- Gerente de Projetos deve comunicar as equipes. 2.2- Gerente de Projetos deve comunicar a indisponibilidade do ambiente e o prazo para o cliente.

Diretor Administrativo (nome) Suporte (nome)

3.1- Diretor Administrativo deve disponibilizar backup do servidor W. 3.2- Diretor Administrativo deve instalar o backup no servidor. 3.3- Suporte deve auxiliar na instalao do backup.

Diretor de TI (nome)

4.1- Diretor de TI deve auxiliar nas instalaes at que o ambiente esteja estvel para incio das atividades. 5.1- Gerente de Projetos comunica as equipes disponibilizao do ambiente. 5.2- Gerente de Projetos comunica ao cliente a disponibilizao do ambiente.

Gerente de Projetos (nome)

7.2 AVARIA DO SERVIDOR W

Abaixo so apresentadas as informaes pertinentes de mitigao e continuidade quanto ocorre avaria no servidor W.

Risco Probabilidade: Mdia Consequncias de no se agir

Avaria do servidor W. Impacto: Alto Prioridade: 5 perda de informaes de projetos; multas contratuais por atraso e no entrega dos servios; perda da confiabilidade na empresa por colaboradores e clientes.

120

Mitigao ESTRATGIA DE CONTINUIDADE Responsveis

realizar backup automtico de uma em uma hora armazenando as informaes em servidor externo. comprar novo servidor ou pea de substituio. subir a ltima atualizao do backup armazenado no servidor externo. Diretor Administrativo (nome) Gerente de Projetos (nome) Diretor de TI (nome) Suporte (nome) Financeiro (nome) TMP = 2 dias NM = 90%

Tempo de Recuperao*

TMR = 3 dias *Tempo Mximo (TMP) = de parada, at que a atividade reinicie. Nvel Mnimo (NM) = de desempenho da atividade aps reincio. Tempo Mximo (TMR) = de retomada dos nveis normais de operao.

7.2.1 Lista de Tarefas

Abaixo est a lista de aes e tarefas a serem tomadas no momento de identificao do incidente de forma a contingenciar a avaria do servidor W.

Passo 1

Responsvel Diretor Administrativo (nome)

Procedimento 1.1- Assim que for confirmada a avaria do servidor W, Diretor Administrativo deve ativar o Plano. 1.2- Diretor Administrativo de comunicar Gerente Financeiro, Gerente de Projetos, Gerente de TI e Suporte. 1.3- Diretor Administrativo deve avaliar os danos do servidor e decidir compra de pea de substituio ou troca de servidor.

Gerente de Projetos (nome)

2.1- Gerente de Projetos deve comunicar as equipes. 2.2- Gerente de Projetos deve comunicar a indisponibilidade do ambiente e o prazo para o cliente.

Gerente Financeiro (nome)

3.1- Gerente Financeiro deve liberar recurso de contingncia para compra de pea ou compra de servidor. 4.1- Diretor Administrativo deve disponibilizar backup do servidor W. 4.2- Diretor Administrativo deve instalar o backup no servidor. 4.3- Suporte deve auxiliar na instalao do backup.

Diretor Administrativo (nome) Suporte (nome)

Diretor de TI (nome)

5.1- Diretor de TI deve auxiliar nas instalaes at que o ambiente esteja estvel para incio das atividades. 6.1- Gerente de Projetos comunica as equipes disponibilizao do ambiente. 6.2- Gerente de Projetos comunica ao cliente a disponibilizao do ambiente.

Gerente de Projetos (nome)

121

7.3 PERDA DOS DADOS/INFORMAES DOS SERVIDORES X, Y E Z

Abaixo so apresentadas as informaes pertinentes de mitigao e continuidade quanto ocorre perda dos dados/informaes dos servidores X, You Z.

Risco Probabilidade: Mdia Consequncias de no se agir

Perda dos dados/informaes do servidor X, Y ou Z. Impacto: Alto Prioridade: 5 perda de informaes de projetos e administrativas; multas contratuais por atraso e no entrega dos servios; perda da confiabilidade na empresa por colaboradores e clientes. manter diferentes perfis de acesso para os usurios; liberar acesso somente das informaes necessrias para o usurio; realizar backup dirio do servidor 2, armazenando em fitas DDS2 fora da empresa; uma vez por semana armazenar o backup no servidor externo da empresa. subir a ltima atualizao do backup armazenado no servidor externo ou das fitas DDS2. Diretor Administrativo (nome) Gerente de Projetos (nome) Diretor de TI (nome) Suporte (nome) TMP = 1 dia NM = 90%

Mitigao

ESTRATGIA DE CONTINUIDADE Responsveis

Tempo de Recuperao*

TMR = 2 dias *Tempo Mximo (TMP) = de parada, at que a atividade reinicie. Nvel Mnimo (NM) = de desempenho da atividade aps reincio. Tempo Mximo (TMR) = de retomada dos nveis normais de operao.

7.3.1 Lista de Tarefas

Abaixo est a lista de aes e tarefas a serem tomadas, assim que identificado o incidente, de forma a contingenciar a perda dos dados/informaes dos servidores X, Y ou Z.

Passo 1

Responsvel Diretor Administrativo (nome)

Procedimento 1.1- Assim que for confirmada a perda das informaes de um dos servidores: X, Y, ou Z, Diretor Administrativo deve ativar o Plano. 1.2-Diretor Administrativo de comunicar Gerente de Projetos, Gerente de TI e Suporte.

Gerente de Projetos (nome)

2.1- Gerente de Projetos deve comunicar as equipes de projeto e administrativas. 3.1- Diretor Administrativo deve disponibilizar backup dos servidores que ocorreu a perda das informaes: X, Y, ou Z. 3.2- Diretor Administrativo deve instalar o backup nos servidores em que ocorreu

Diretor Administrativo (nome) Suporte (nome)

122

o incidente. 3.3- Suporte deve auxiliar na instalao do backup. 4 Diretor de TI (nome) 4.1- Diretor de TI deve auxiliar nas instalaes at que o ambiente esteja estvel para incio das atividades. 5.1- Gerente de Projetos comunica as equipes de projetos e administrativas sobre a disponibilizao do ambiente.

Gerente de Projetos (nome)

7.4 AVARIA DOS SERVIDORES X, Y OU Z

Abaixo so apresentadas as informaes pertinentes de mitigao e continuidade quanto ocorre avaria em um dos servidores X, Y ou Z.

Risco Probabilidade: Mdia Consequncias de no se agir

Avaria dos servidores X, Y ou Z. Impacto: Alto Prioridade: 5 perda de informaes de projetos; multas contratuais por atraso e no entrega dos servios; perda da confiabilidade na empresa por colaboradores e clientes. realizar backup dirio do servidor 2, armazenando em fitas DDS2 fora da empresa; uma vez por semana armazenar o backup no servidor externo da empresa. comprar novo servidor ou pea de substituio. subir a ltima atualizao do backup armazenado no servidor externo. Diretor Administrativo (nome) Gerente de Projetos (nome) Diretor de TI (nome) Suporte (nome) Financeiro (nome) TMP = 2 dias NM = 90%

Mitigao ESTRATGIA DE CONTINUIDADE Responsveis

Tempo de Recuperao*

TMR = 3 dias *Tempo Mximo (TMP) = de parada, at que a atividade reinicie. Nvel Mnimo (NM) = de desempenho da atividade aps reincio. Tempo Mximo (TMR) = de retomada dos nveis normais de operao.

7.4.1 Lista de Tarefas

Abaixo est a lista de aes e tarefas a serem tomadas, assim que identificado o incidente,de forma a contingenciar a avaria dos servidores X, Y e Z.

Passo 1

Responsvel Diretor Administrativo (nome)

Procedimento 1.1- Assim que for confirmada a avaria de um dos servidores: X, Y ou Z. Diretor Administrativo deve ativar o Plano. 1.2- Diretor Administrativo de comunicar Gerente Financeiro, Gerente de

123

Projetos, Gerente de TI e Suporte. 1.3- Diretor Administrativo deve avaliar os danos do servidor e decidir compra de pea de substituio ou troca de servidor. 2 3 Gerente de Projetos (nome) Gerente Financeiro (nome) 2.1- Gerente de Projetos deve comunicar as equipes. 3.1- Gerente Financeiro deve liberar recurso de contingncia para compra de pea ou compra de servidor. 4.1- Diretor Administrativo deve disponibilizar backup do servidor W. 4.2- Diretor Administrativo deve instalar o backup no servidor. 4.3- Suporte deve auxiliar na instalao do backup. 5 Diretor de TI (nome) 5.1- Diretor de TI deve auxiliar nas instalaes at que o ambiente esteja estvel para incio das atividades. 6.1- Gerente de Projetos comunica as equipes a disponibilizao do ambiente.

Diretor Administrativo (nome) Suporte (nome)

Gerente de Projetos (nome)

8 CONTINGNCIA PARA PERDA DE SERVIO DO FORNECEDOR

Este plano de continuidade deve ser ativado de modo a garantir a continuidade dos servios terceirizados, pois estes afetam diretamente no andamento dos projetos executados pela ALFA. Abaixo apresentado, para cada uma das ocorrncias referente a perda de servio do fornecedor, as mitigaes adotadas e as consequncias de no se agir caso os eventos ocorram.

8.1 FALTA DE ENERGIA ELTRICA

Abaixo so apresentadas as informaes pertinentes de mitigao e continuidade quanto ocorre a falta de energia eltrica. O respectivo fornecedor e contato so apresentados na seo 10.

Risco Probabilidade: Mdia Consequncias de no se agir Mitigao ESTRATGIA DE CONTINUIDADE Responsveis

Falta de energia eltrica. Impacto: Mdia Prioridade: 4 multas contratuais por atraso e no entrega dos servios. manter celulares com tecnologia 3G para contingncia. acionar a empresa de energia eltrica comunicando o ocorrido e verificando prazos de retorno. Utilizar celulares de tecnologia 3G para acesso internet. Gerente de Projetos (nome) Diretor de TI (nome) Suporte (nome)

124

Tempo de Recuperao*

TMP = 2 horas NM = 90%

TMR = 4 horas *Tempo Mximo (TMP) = de parada, at que a atividade reinicie. Nvel Mnimo (NM) = de desempenho da atividade aps reincio. Tempo Mximo (TMR) = de retomada dos nveis normais de operao.

8.1.1 Lista de Tarefas

Abaixo est a lista de aes e tarefas a serem tomadas, assim que identificado o incidente, de forma a contingenciar a falta de energia eltrica.

Passo 1

Responsvel Diretor de TI (nome)

Procedimento 1.1- Assim que for confirmada a falta de energia eltrica, Diretor de TI deve ativar o Plano. 1.2- Diretor de TI de comunicar Gerente de Projetos e Suporte. 1.3- Diretor de TI deve comunicar o fornecedor sobre a ocorrncia.

Gerente de Projetos (nome)

2.1- Gerente de Projetos deve comunicar as equipes. 2.2- Gerente de Projetos deve comunicar a indisponibilidade do ambiente e o prazo para o cliente. 2.3- Gerente de Projetos deve avaliar os projetos crticos para o uso do gerador.

Suporte (nome)

3.1- Suporte deve verificar e acionar o gerador de energia para ser utilizado com os projetos crticos. 4.1- Gerente de Projetos comunica as equipes disponibilizao do ambiente. 4.2- Gerente de Projetos comunica ao cliente a disponibilizao do ambiente.

Gerente de Projetos (nome)

8.2 FALHA NO LINK EXTERNO DE REDE (INTERNET)

Abaixo so apresentadas as informaes pertinentes de mitigao e continuidade quanto ocorre falha no servio de internet. O respectivo fornecedor e contato so apresentados na seo 10.

Risco Probabilidade: Baixa Consequncias de no se agir Mitigao ESTRATGIA DE CONTINUIDADE

Falha no link externo de rede (internet). Impacto: Alto Prioridade: 4 multas contratuais por atraso e no entrega dos servios. manter celulares com tecnologia EDGE. acionar a empresa fornecedora de internet comunicando o ocorrido e verificando prazos de retorno. Utilizar celulares de tecnologia EDGE para emular internet para toda empresa. Gerente de Projetos (nome)

125

Diretor de TI (nome) Suporte (nome) TMP = 2 horas NM = 90% TMR = 4 horas *Tempo Mximo (TMP) = de parada, at que a atividade reinicie. Nvel Mnimo (NM) = de desempenho da atividade aps reincio. Tempo Mximo (TMR) = de retomada dos nveis normais de operao.

Tempo de Recuperao*

8.2.1 Lista de Tarefas

Abaixo est a lista de aes e tarefas a serem tomadas, assim que identificado o incidente, de forma a contingenciar a falha no link de internet.

Passo 1

Responsvel Diretor de TI (nome)

Procedimento 1.1- Assim que for confirmada a falha internet, Diretor de TI deve ativar o Plano. 1.2- Diretor de TI de comunicar Gerente de Projetos e Suporte. 1.3- Diretor de TI deve comunicar o fornecedor da ocorrncia.

2 3

Gerente de Projetos (nome) Suporte (nome)

2.1- Gerente de Projetos deve comunicar as equipes. 3.1- Suporte deve verificar os celulares para acesso a internet. 3.2- Suporte deve conectar o celular com tecnologia EDGE no servidor de gateway da ALFA. 3.3- Suporte deve definir interface de rede fixa da empresa com DHCP para obteno de endereo dinmico.

Gerente de Projetos (nome)

4.1- Gerente de Projetos comunica as equipes a disponibilizao do ambiente.

8.3 FALHA NO SERVIDOR DE EMAIL

Abaixo so apresentadas as informaes pertinentes de mitigao e continuidade quanto ocorre falha no servidor de email. O respectivo fornecedor e contato so apresentados na seo 10.

Risco Probabilidade: Baixa Consequncias de no se agir Mitigao ESTRATGIA DE CONTINUIDADE

Falha no servidor de email. Impacto: Alta Prioridade: 4 atraso na comunicao com o cliente. manter controle para verificar falhas no servio de email. acionar a empresa fornecedora do servio de email comunicando o ocorrido e verificando prazos de retorno. transferir os registros de DNS que apontam para o sistema do datacenter para o servidor de backup da empresa.

126

Gerente de Projetos (nome) Diretor de TI (nome) Suporte (nome) TMP = 2 horas NM = 90% TMR = 3 horas *Tempo Mximo (TMP) = de parada, at que a atividade reinicie. Nvel Mnimo (NM) = de desempenho da atividade aps reincio. Tempo Mximo (TMR) = de retomada dos nveis normais de operao.

Tempo de Recuperao*

8.3.1 Lista de Tarefas

Abaixo est a lista de aes e tarefas a serem tomadas, assim que identificado o incidente, de forma a contingenciar a falta dos servios de email.

Passo 1

Responsvel Diretor de TI (nome)

Procedimento 1.1- Assim que for confirmada a falha de email, Diretor de TI deve ativar o Plano. 1.2- Diretor de TI de comunicar Gerente de Projetos e Suporte. 1.3- Diretor de TI deve comunicar o fornecedor da ocorrncia.

Gerente de Projetos (nome)

2.1- Gerente de Projetos deve comunicar as equipes sobre a indisponibilidade. 2.2- Gerente de Projetos deve comunicar o cliente sobre a indisponibilidade.

Suporte (nome)

2.1- Suporte deve entrar em contato com o datacenter e pedir alterao dos registros MX da empresa para o endereo IP XXX.YYY.XXX.YYY. 2.2- Suporte deve modificar todas as configuraes dos clientes internos da ALFA para obter os novos emails no servidor interno da ALFA.

Gerente de Projetos (nome)

4.1- Gerente de Projetos comunica as equipes a disponibilizao do servio. 4.2- Gerente de Projetos deve comunicar cliente do retorno do servio.

8.4 PERDA DE PERFORMANCE NO LINK DE INTERNET

Abaixo so apresentadas as informaes pertinentes de mitigao e continuidade quanto ocorre perda de performance no link de internet.

Risco Probabilidade: Mdia Consequncias de no se agir Mitigao ESTRATGIA DE CONTINUIDADE

Perda de performance no link de internet. Impacto: Mdias Prioridade: 4

multas contratuais por atraso e no entrega dos servios. manter controle de performance do servio de internet. acionar a empresa fornecedora do servio internet comunicando o ocorrido e verificando prazos de retorno. Utilizar a banda somente com os projetos essenciais at o restabelecimento normal

127

do servio. Gerente de Projetos (nome) Diretor de TI (nome) Suporte (nome) TMP = 4 horas NM = 90% TMR = 6 horas *Tempo Mximo (TMP) = de parada, at que a atividade reinicie. Nvel Mnimo (NM) = de desempenho da atividade aps reincio. Tempo Mximo (TMR) = de retomada dos nveis normais de operao.

Tempo de Recuperao*

8.4.1 Lista de Tarefas

Abaixo est a lista de aes e tarefas a serem tomadas, assim que identificado o incidente, de forma a contingenciar a falha de performance no link de internet.

Passo 1

Responsvel Diretor de TI (nome)

Procedimento 1.4- Assim que for confirmada a falha de email, Diretor de TI deve ativar o Plano. 1.5- Diretor de TI de comunicar Gerente de Projetos e Suporte. 1.6- Diretor de TI deve comunicar o fornecedor da ocorrncia.

Gerente de Projetos (nome)

2.1- Gerente de Projetos deve avaliar os projetos crticos para utilizao da banda com estes projetos. 2.2- Gerente de Projetos deve comunicar as equipes sobre a falha de performance e informar que somente os projetos essenciais deve continuar operando .

Suporte (nome)

2.1- Suporte deve fechar range de IP dos projetos no essenciais para acesso a internet. 4.1- Gerente de Projetos comunica as equipes a disponibilizao do servio.

Gerente de Projetos (nome)

9 RECURSO FINANCEIRO DE CONTINGNCIA

Como forma de garantir a continuidade dos servios e consequentemente do negcio, a empresa disponibiliza recursos financeiros de forma contingenciar as perdas ocasionadas pelo incidente. Abaixo apresentado o recurso disponvel para os gastos emergenciais.

Recurso Financeiro

Responsvel pelo recurso Gerente Financeiro

Valor (R$)

Quando acionar

Reserva de contingncia

50.000,00

Para contingenciar gastos emergenciais, como compra de peas para manuteno em servidores e compra de servidor.

128

10 CONTATO DE FORNECEDORES

Abaixo apresenta a lista dos fornecedores e telefones para contato. Os fornecedores devem ser comunicados assim que identificada a indisponibilidade dos servios prestados por eles.

Fornecedor CEEE uol Host Southtech

Servio Energia eltrica email Internet

Telefone 1 51-3382.4900 4003.9011 51-3026.2006

Telefone 2 0800 72 12333 0800 88 78324

11 CONTATO DE CLIENTES

Abaixo so apresentados os telefones dos clientes da ALFA, onde o Gerente de Projetos dever realizar a comunicao do incidente e tranqilizar o cliente em relao garantia de entrega dos projetos que esto sendo executados. Aps o reincio das atividades, o Gerente de Projetos tambm deve comunicar o cliente.

Nome Empresa Beta Empresa Gama Empresa XYZ Empresa ABC Empresa JKM Empresa OPQ Empresa RST

Telef. 1 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999 51-99999999

Telef. 2 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333 51-3333.3333