PLANO DE CONTINUIDADE DE NEGÓCIOS DE TI EM UMA EMPRESA DE

TRANSPORTE DE CARGAS FRACIONADAS1

GUILHERME TELES PAZ

Abstract: Attacks on information systems and their components have increased,

coinciding with the emergence of new digital threats. So, it’s a challenge to keep
information and services available uninterruptedly. With the purpose of prepare
the organization for a possible attack of success or occurrence of risks, a
Business Continuity Plan (BCP) must be adopted. Therefore, this paper presents
an analysis of a company in the field of transportation of fractional cargo, in order
to identify its critical business processes and the threats that surround the
information technology resources required by these processes and prepare it to
recover in case of risk. This research allowed the formalization of a BCP that
allows for relevant improvements to the company, in addition to understanding
the values of the organization's business.

Keywords: Risk. Processes. Business Continuity.

Resumo: Os ataques aos sistemas de informação e seus componentes tem

aumentado, coincidindo com o surgimento de novas ameaças digitais. Torna-se
um desafio manter as informações e os serviços disponíveis initerruptamente.
Com o objetivo de preparar a organização para um possível ataque de sucesso
ou ocorrência de riscos é que deve ser adotado um Plano de Continuidade de
Negócio (PCN). Logo, o presente artigo apresenta uma análise de uma empresa
do ramo de transporte de cargas fracionadas, visando identificar os seus
processos críticos de negócio e as ameaças que cercam os recursos de
tecnologia da informação necessários por estes processos e, prepará-la para se
recuperar rapidamente em caso de ocorrência de riscos. Tal pesquisa permitiu a
formalização de um PCN que viabiliza melhorias relevantes para a empresa,
além da compreensão dos valores dos negócios da organização.

Palavras-chave: Riscos. Processos. Continuidade de Negócio.

1. INTRODUÇÃO

Entende-se que as empresas de transporte de cargas fracionadas dependem

cada vez mais da TI, pois a concorrência, custos de mão de obra e baixa
rentabilidade fazem com que as empresas necessitem ser mais ágeis e com

1
Artigo apresentado como Trabalho de Conclusão do Curso de Especialização em Gestão da Segurança
da Informação, da Universidade do Sul de Santa Catarina, como requisito parcial para a obtenção do
título de Especialista em Gestão da Segurança da Informação.
menor nível de erro, com isto vem o apoio direto do uso da inteligência de TI,
como facilitadora nos processos de tomada de decisão, informação e integração
entre processos que compõe as atividades primárias do negócio (Paz, 2015).
A empresa público alvo da pesquisa possui sistemas de tecnologia da
informação cujo os serviços essenciais para o negócio, juntamente com as
informações ficam centralizadas na matriz da empresa, disponíveis remotamente
para todos os usuários dos serviços de TI. Neste meio tempo, já ocorreram várias
interrupções das operações devido a falhas nos serviços de TI que impactaram
de forma considerável o negócio, financeiramente e na imagem externa da
organização.
A infraestrutura de hardware da empresa conta com uma sala em que
funciona o datacenter, inserido dentro do setor de TI na Matriz da organização.
A infraestrutura conta com 1 rack utilizado para os equipamentos de rede (switch,
firewall e central telefônica) e 1 rack para cerca de 5 servidores e 1 storage que
armazena e processa todas as informações da empresa.
O objetivo da pesquisa foi o de buscar junto a parte estratégica e táctica
da empresa, identificar os processos críticos de negócio, juntamente com os
serviços de tecnologia da informação (TI) essenciais para suportar estes
processos, de forma a criar um plano de continuidade de negócios (PCN) para
garantir que estes serviços e informações sejam reestabelecidos em casos de
incidente de segurança da informação.
No PCN proposto para organização foram definidas estratégias e ações a
serem adotadas com objetivo de possibilitar a redução de danos as informações.
Para tanto, tomou-se como base o diagnóstico feito através do Relatório de
Gestão de Riscos, que forneceu insumos relevantes para a elaboração do plano
de continuidade, uma vez que nele contem a identificação das principais
vulnerabilidades e ameaças que expõem aos riscos as informações dos
sistemas de informação que fazem parte dos processos críticos de negócio
mapeados.
A abordagem metodológica deste estudo classifica-se como um estudo
de natureza aplicada, pois busca entender um problema técnico e propor uma
solução na instituição pesquisada, além de classificar-se como uma pesquisa
teórica na etapa de revisão de literatura e empírica no momento em que foram
mapeados os processos da empresa objeto do estudo de caso.
O método de coleta de dados utilizado no presente trabalho foi
quantiqualitativo. Classificou-se por qualitativo por se tratar de um estudo de
caso centrado em um único caso, através do contato direto com a realidade da
organização pesquisada. E qualitativo, por selecionar um grupo específico de
pessoas do objeto da pesquisa. A pesquisa foi realizada na Matriz da empresa,
na cidade de Farroupilha em março de 2018. A estrutura de coleta de dados foi
com base na análise de documentos existentes, processos observados,
questionários aplicados para equipe estratégica e táctica, entrevistas realizadas
apenas com a equipe estratégica e através da realização de pesquisas
bibliográficas, ou seja, através de livros, artigos, normas técnicas e a Internet. O
questionário foi aplicado aos funcionários da empresa, buscando identificar
conhecimentos referentes a segurança da informação, processos de negócio e
ocorrência da interrupção de serviços de TI.
O presente artigo está organizado como se segue. Na Seção 2, são
apresentados o referencial teórico. Na Seção 3, são apresentados os resultados
e discussões. Finalmente, na Seção 4, são apresentadas as conclusões. Ao final
do artigo, foi incluído um apêndice com o questionário aplicado na pesquisa, o
roteiro de entrevista utilizado e um esboço do PCN proposto.
2. Processos Críticos de TI e PCN

A Tecnologia da Informação (TI) é um dos componentes mais importantes

do ambiente empresarial atual e, consiste em sistemas de informação,
ferramentas, hardware, software e recursos de tecnologia que possam ser
utilizados para gerar um maior controle das informações organizacionais.
As organizações brasileiras têm utilizado ampla e imensamente a
tecnologia, tanto em nível estratégico como operacional (Albertin e Albertin,
2008).
Quanto mais as operações diárias e a estratégias corporativas chaves
dependem da TI, maior é o papel estratégico da TI para a organização
(Fernandes & Abreu, 2014). A Tecnologia da Informação vem permeando todos
os processos gerenciais e operacionais das organizações, fazendo com que se
produza mais com menos, com menores custos, possibilitando também tomadas
de decisão com informações mais acuradas, melhorando o rendimento das
empresas no atendimento aos seus clientes e, gerando riquezas de forma direta
ou indireta para a sociedade onde está inserida (Santos e Baruque, 2010).
As organizações estão sujeitas regularmente a desastres naturais e
outras situações que causam disrupções e indisponibilidade no seu negócio.
Torna-se necessário a existência de uma política de gestão de risco e
continuidade que auxilie as organizações a minimizar estes riscos. Nenhuma
organização tem controle absoluto sobre o ambiente onde se encontra, e pode
enfrentar um evento anómalo que ameace a sua atividade. Torna-se assim
essencial assegurar a continuidade do negócio face à ocorrência dessas tais
situações anómalas, através da prevenção da sua ocorrência, diminuindo o
impacto provocado e garantindo que os processos de negócio são recuperados
de acordo com o estabelecido pela organização com serviços mínimos e
minimizando as perdas.
Atualmente as estratégias estão mudando para acomodar rápidos
desenvolvimentos tecnológicos. O cenário empresarial sempre foi dinâmico, mas
a tecnologia está potencializando isso. Conforme Hiles (2011), no que diz
respeito ao departamento de TI, os riscos de falha multiplicaram-se e as
pressões de tempo para recuperação tornam-se cada vez mais extremos até o
ponto de inatividade zero. As organizações devem estar preparadas para
absorver o impacto de qualquer incidente ou evento, com impacto mínimo em
seus negócios e sobre as informações e sistemas sobre os quais elas dependem
tanto.
Para garantir continuidade dos negócios, utiliza-se de um BCP (Business
Continuity Planning). O BCP é um plano de gerenciamento negócios e não plano
técnico. Dessa forma, o planejamento de contingência é baseado na
compreensão da organização, as ferramentas que apoiam as operações do
negócio, avaliando a perda de tais ferramentas, definindo quem irá lidar com uma
situação de crise e como irá proceder durante o processo.
Segundo Hiles (2011), um BCP pode ser definido como:

Identificação e proteção de processos e recursos críticos de

negócios necessários para manter a um nível aceitável,
protegendo esses recursos e criando procedimentos para
garantir a sobrevivência da organização quando ocorrer um
incidente de interrupção.

Para dar início ao desenvolvimento um plano de continuidade de negócio,

primeiramente faz-necessário a criação e definição de um projeto onde são
definidos o escopo, objetivos, requisitos, cronograma, entregas, apoio da alta
direção e envolvimento dos usuários.
A definição do projeto é um dos principais elementos do BCP, uma vez
que sem o total apoio da organização o plano será incompleto. Como um
profissional de TI, existem limites do que você pode fazer para criar e
implementar um plano de continuidade na organização. Por exemplo, um
profissional de TI sabe como definir permissões para um aplicativo de negócios
específico, mas, talvez não saiba como os usuários interagem com o aplicativo
e qual a real importância dele para o negócio. Perguntas como: Se o servidor da
aplicação é destruído, existe um servidor de backup? Como o negócio será
retomado? É possível continuar as operações sem o aplicativo em curto prazo
ou não? Para responder estas perguntas faz-se necessário a entrada e avalição
de especialistas em outros assuntos de outros departamentos e divisões. Obter
apoio da alta gerência de toda a empresa é chave para o sucesso de um plano
de BCP.
Snedaker (2007) define os passos básicos para a implantação de um
plano de continuidade de negócios e recuperação de desastres como: definição
do projeto, análise de riscos, análise de impacto no negócio (BIA), definição de
estratégia de mitigação, desenvolvimento do plano, Treinamento, Testes e
Auditoria e por fim, o plano de manutenção visando atualização constante do
plano.
 2.1 Análise de Risco

Segundo Lento (2014), a crescente importância da TI para os

processos de negócio de uma empresa trouxe um aumento de problemas de
segurança em relação a informação, criando a necessidade de as empresas
conhecerem os riscos dos seus processos de negócio como um fator estratégico
para o seu sucesso. Mas o que é Risco?
A ISO/IEC 27002 (2005) define risco como a combinação da
probabilidade de um evento e as suas consequências, já a análise de riscos é
definida como o uso sistemático de informações para identificar fontes e estimar
o risco.
Hiles (2011) define risco como uma ameaça que um evento ou ação
afetará de forma adversa a capacidade de a organização alcançar com sucesso
seus objetivos comerciais e executar suas estratégias, implicando que devemos
olhar para a TI ou outras interrupções de negócios no contexto dos principais
riscos comerciais para sua empresa.
Uma dúvida que permeia entre alguns gestores é a diferenciação entre
Gerenciamento de Riscos e o BCP. No primeiro, os esforços são específicos
no sentido de se minimizar o risco da ocorrência de um incidente de segurança
da informação, mitigando riscos, reduzindo-os a níveis aceitáveis pela
organização. No segundo, o incidente já aconteceu.
A gestão de riscos consiste em um processo de identificação e avaliação
dos fatores de risco presentes no ambiente organizacional de forma a antecipar
possíveis incidentes de segurança da informação, permitindo uma visão do
impacto negativo causado as estratégias da organização (Manoel, 2014).
Um dos obstáculos mais comuns no planejamento de um BCP é que
existem milhares de coisas que podem dar errado e precisam ser planejadas,
mas poucas que realmente irão dar errado. De fato, ao identificarmos os riscos
poderemos: Eliminá-los, transferi-los, mitiga-los (reduzi-los) ou por fim aceita-los.
Dessa forma, conforme Snedaker (2007), o objetivo de executar a gestão de
riscos é permitir que a organização realize a sua missão garantindo da melhor
forma possível o funcionamento dos sistemas que armazenam, processam ou
transmitem informações.
2.2 Análise de impacto no negócio

Segundo (ABRAPP, 2012) a primeira pergunta que o desenvolvimento de

um BCP deve responder é: Quais os processos críticos do negócio, ou seja,
processos que não podem deixar de ser executados? Para respondermos a esta
questão faz-se necessário mapear os processos críticos de negócio da
organização, construindo a cadeia de valor, definindo os seus processos
primários, essenciais.
 Conforme (ABPMP, 2009), existem 3 tipos diferentes de processos de
negócio: processos primários, processos de suporte e processos de
gerenciamento. Os processos primários são os processos ponta-a-ponta,
interfuncionais e entregam valor aos clientes. Estes processos são
frequentemente chamados de processo essenciais, pois representam as
atividades essenciais que uma organização desempenha para cumprir a sua
missão. Os processos primários/essenciais formam a cadeia de valor onde cada
passo agrega valor ao passo anterior, contribuindo na criação ou entrega de um
produto ou serviço, gerando valor aos clientes.
Michael Porter (1985) descreveu cadeias de valor como compostas de
atividades primárias e atividades de suporte. A cadeia de valor do processo de
negócio descreve a forma de contemplar a cadeia de processos que fornecem
valor ao cliente. As atividades primárias são aquelas envolvidas com a criação
física de um produto ou serviço, marketing e transferência ao comprador, e
suporte pós-venda, referidos como agregação de valor.
De acordo com (Susan, 2007), o BCI (Business Continuity Institute), líder
reconhecido em gestão de continuidade do negócio, define 4 objetivos principais
para a realização da análise de impacto no negócio (BIA):
• Obter uma compreensão dos objetivos mais críticos da
organização e a prioridade de cada um, e o prazo para a retomada
destes após uma interrupção não programada;
• Informar para cada função, as decisões que precisam ser tomadas
após o tempo máximo que um processo crítico de negócio pode
indisponível (MTO) for ultrapassado;
• Fornecer a informação de recursos a partir qual uma estratégia de
recuperação apropriada pode ser determinada;
• Exibir as dependências que existem tanto internamente quanto
externamente para alcançar os objetivos críticos do negócio.

A análise do impacto do negócio é o processo de descobrir e identificar

quais processos são críticos para o sucesso de uma empresa, e a compreensão
total do impacto de uma interrupção destes processos. Do ponto de vista da TI,
o objetivo é compreender as funções críticas do negócio e relacionar com os
sistemas existentes. Como parte dessa avaliação, as interdependências
precisam ser totalmente identificadas e compreendidas, sendo fundamentais
tanto para o plano de continuidade de negócio e recuperação de desastres de
uma perspectiva da TI. Por exemplo, até não realizarmos a análise de impacto
do negócio, não existe como saber se para recuperarmos um sistema X faz-se
necessário recuperar primeiramente o sistema Y do qual o sistema X é
dependente.
Os processos de missão crítica são aqueles que têm o maior impacto em
as operações da sua empresa. A maior parte dos colaboradores de uma
empresa tem uma compreensão congênita das operações de missão crítica
dentro de seu departamento. Susan (2007) diz que a chave é reunir todos esses
dados e desenvolver uma visão abrangente dos processos e missão crítica em
uma perspectiva organizacional. Quais são os processos que devem estar
presentes para a empresa gerar valor? Estes serão os processos de missão
crítica. O modo de fazer com que as pessoas se concentrem nas funções críticas
da missão é perguntar (seja através de questionário, entrevista ou workshops) o
que as primeiras das três ou cinco coisas que as pessoas fariam em seu
departamento após uma interrupção do negócio? Isso geralmente lhe dá a visão
mais clara da missão crítica. funções de negócios em cada departamento.
Lento (2014) ressalta que, independentemente do método utilizado para
determinar o grau de sensibilidade de um sistema de TI e os seus dados, os
donos do sistema e das informações são os únicos responsáveis em esclarecer
o nível de impacto em termos de perdas ou degradação de qualquer de uma das
propriedades de segurança ou pela combinação delas entre si. O autor ressalta
que a abordagem mais adequada na realização do BIA é a técnica de entrevista
com o dono do sistema e das informações.
2.3 Definição de estratégia de mitigação

Segundo Snedaker (2007), a mitigação do risco é definida como o ato de

tomar medidas para reduzir os efeitos adversos. Não existe uma estratégia pré-
definida para atender a todos os cenários. As estratégias de mitigação de riscos
devem atender aos objetivos financeiros, operacionais e de gerenciamento de
riscos.
Para Lento (2014), o processo de mitigar riscos está relacionado a
priorização, avaliação e implementação dos controles de segurança
recomendados na etapa de análise de riscos. O controle de segurança a ser
implantado deverá ser o mais adequado para conseguir reduzir o risco ao nível
aceitável, com menor custo e, proporcionando o menor impacto negativo as
recursos e funcionalidades.
Na prática, não existe nenhum cenário que torna uma empresa cem por
cento blindada contra eventuais problemas que afetam a continuidade do
negócio. A saída é minimizar as possibilidades de problemas. Apesar de a
tecnologia existente e políticas internas de segurança que protegem um
departamento de TI já bem estruturado, é preciso sempre assumir o risco como
uma possibilidade real e, dessa forma, criar planos de contingência para os
riscos existentes, minimizando os estragos.
Dentro de um processo de mitigação de riscos, podemos trata-los da
seguinte forma: assumir, evitar, planejar, pesquisar e reconhecer e, transferi-lo
a terceiros.
Lento (2014) enfatiza que a forma de como o risco será tratado depende
de cada organização, assim como a definição de quais riscos serão tratados.
Através do resultado do BIA temos em mãos dados para poder definir que riscos
devem ser tratados por ela, nunca fugindo da premissa que o ideal é o controle
mais eficiente, mais barato e de menor impacto.
2.4 PDCA

As organizações estão em constante mudanças – mudança nas

operações, mudança de tecnologia, mudança de pessoal, mudança de
regulamentos, etc. Essas mudanças possuem impacto direto no plano de
continuidade e negócios criado. O plano é criado com base em dados de análise
de riscos e processos de negócio e, quando os mesmos sofrem alterações,
essas precisam refletir no plano de continuidade de negócios.
As mudanças podem afetar o plano de continuidade e precisam ser
monitoradas. Nem todas as mudanças terão impacto no plano, mas elas
precisam ser cuidadosamente avaliadas e monitoradas para determinar ser o
seu impacto e, como serão abordadas dentro do plano. (Snedaker,2007).
Com o intuito de minimizar o risco associado a acontecimentos disruptivos
foi criada a ISO 22301. Essa norma especifica os requisitos para planejar,
estabelecer, implementar, monitorar, rever, manter e otimizar continuamente um
sistema de gestão de continuidade de negócio. Ela foi escrita com base no ciclo
PDCA (Plan-Do-Check-Act) definindo que, para ter um sistema de
gerenciamento de continuidade de negócios eficaz, primeiramente deve-se
planejar (Plan), incluindo todos os objetivos. Após realizado o planejamento, é
possível implementar (Do) o que foi planejado, e então verificar (Check) os
resultados analisando se os objetivos foram alcançados. Na próxima etapa então
é possível agir (Act), realizando ações corretivas alinhando o que foi
desenvolvido com o que foi planejado (Kosutic, 2017).
Mesmo em concordância com o ciclo PDCA onde as normas como BS
25999 e mais recentemente a ISO 22301 são baseadas e reconhecendo o
sucesso de implementações de projetos de continuidade baseados nas normas,
Hiles (2011) cita que um dos maiores motivos de fracassos é falta de
comprometimento da alta direção e das pessoas chaves do negócio. Conforme
o autor, seguir o ciclo de vida do PDCA em sequência rígida demanda tempo e
recursos, desiludindo as pessoas chaves do negócio que ainda não entendem o
seu papel ou o que devem produzir. Como solução ele sugere a produção de um
primeiro plano de continuidade em um curto prazo, com informações básicas de
contato e dados de recursos, permitindo que as partes do negócio comecem a
entender os problemas envolvidos e o seu papel no processo.
3. Análise dos resultados e discussões

A análise dos resultados obtidos propicia um entendimento e uma

avaliação dos serviços de TI essenciais para as áreas de negócio da
transportadora, em um ponto de vista da própria área, identificando os seus
processos críticos e os impactos que cada área tem para cadeia de valor da
empresa.
Os questionários e entrevistas foram realizados com as áreas de gestão
e coordenação, uma vez que, estas áreas estão alinhandas com as estratégias
de negócio e, a opinião destes se torna imprescindível para entendermos os
processos críticos de cada área e iniciarmos um projeto de plano de continuidade
de negócio para cada processo, diagnosticando os riscos, identificando as
vulnerabilidades e ameaças que expõem aos riscos as informações manuseadas
e armazenadas pelos usuários da organização.
Somente a partir da identificação dos processos críticos junto as áreas de
negócio é que podemos elencar os principais processos que estão inseridos na
cadeia de valor que precisam ter um plano de continuidade de negócio
desenvolvido para garantir um RTO aceitável pela organização, juntamente com
o tratamento dos riscos e procedimentos que garantam a efetividade do plano.
Todas os colaboradores entrevistados fazem parte da empresa a mais de
5 anos, sendo que destes, mais de 30 por cento estão na empresa a mais de
uma década. Isso garante que os funcionários entrevistados conhecem os
processos de sua área, as estratégias de negócio utilizadas nos últimos anos e
também as relações e dependências de outros setores. É importante ressaltar
que oitenta por cento dos colaboradores envolvidos na pesquisa dizem conhecer
o que é um plano de contingência, porém, dividem-se ao opinar sobre a
existência de um plano de contingência para os serviços de TI utilizados pelo
seu setor. O setor de Tecnologia da Informação possui procedimentos de
contingência para evitar interrupcões de serviços que ela considera importantes
para o negócio, porém, não deixa claro para as áreas de negócio a existência
destes procedimentos bem como SLA ou RTO e RPO para os serviços de cada
área.
3.1 Conhecimento e Relevância de Normas de Segurança da
Informação

Os colaboradores da amostra de pesquisa mostraram-se familiarizados

com termos de segurança da informação, gestão de continuidade e plano de
continuidade para o negócio, porém, oitenta por cento desconhecem as normas
utilizadas para a segurança da informação. Sobre o conhecimento da aplicação
de termos utilizandos em um plano de continuidade (risco, impacto e incidente),
o resultado da pesquisa foi bem dividido, onde apenas cinquenta e três por cento
conhecem a aplicabilidade destes conceitos dentro de um plano PCN.
A elaboração de um PCN na empresa foi considerada importante e para
a maioria dos pesquisados, oitenta por cento das respostas consideram a
adoção de um plano de continuidade é para o negócio onde a empresa está
inserido como relevante ou essencial. Existem clientes que estão começando a
exigir a existência de plano de contigência para a contratação do serviços. Estes
clientes normalmente possuem a sede administrativa em outro país e, suas
normas de qualidade exigem que prestadores de serviço possuam planos para
garantir a operacionabilidade dos serviços e não afetar processos de sua cadeia
de valor.
3.2 Dependências dos Serviços de TI

Antes de iniciar a discussão dos resultados com relação a dependência

de serviços de TI por parte do negócio, é pertinente conhecermos a cadeia de
valor da empresa da amostra.
Através da Figura 1, é possível verificar um desenho da cadeia de valor
da empresa objeto do estudo. A análise da cadeia de valor permite entender
quais processos estão inseridos dentro de cada área, sendo que os processos
primários são participam diretamente da entrega de valor ao cliente e os
impactos operacionais são elevados.

*Fonte: desenvolvida pelo autor

Figura 1: Cadeia de Valor

Na Figura 2 são apresentados dois índices extremamente importantes

obtidos através da pesquisa realizada: os períodos críticos de utilização de
serviços de Tecnologia da Informação e a dependência dos setores de negócio
com estes serviços.
 Períodos críticos de utilização dos
Dependência dos
serviços críticos de TI
serviços de TI

7%

93%

Datas Comemorativas Fim de tarde/Noite

Quinzenas Sempre Altamente Dependente
Inicio e Fim de mês Pouco Dependente

*Fonte: pesquisa do autor

Figura 2: Gráficos de dependência e períodos críticos de utilização

Dentre os processos das áreas de negócio que dependem dos serviços

de TI, através da pesquisa foi possível identificar 5 áreas principais:
• Automação de depósito: Processos que realizam a automação
de operações nos terminais, como: conferência de mercadorias,
sorterização e apontamentos;
• Sistema de Gestão: Processos operacionais realizados dentro
dos softwares de gestão (ERP);
• Mobilidade: Processos de gestão frota em trânsito: coletas e
entregas, monitoramento de posicionamento dos veículos.
• Indicadores de Performance: Processos de gerenciamento de
indicadores de performance e kpis;
• Comercial: Processos de tratativas e contatos com cliente.

Os processos das áreas de negócio da transportadora caracterizam-se

por ser altamente dependentes dos serviços e sistemas fornecidos pela TI.
Apenas o setor de controladoria informou que, de alguma forma, é possível
realizar os seus processos sem possuir acessos aos recursos TI.
Os colaboradores da amostra, em pergunta aberta informaram que o seu
setor não pode ficar sem os serviços de TI utilizados por nenhum minuto, ou seja,
tempo de parada zero. Entende-se que, dependendo do risco, torna-se inviável
para TI mitiga-lo de forma a garantir um serviço cem por cento disponível.
Fechando a pergunta, os colaboradores entenderam e, validou-se que é possível
ficar até 2 horas sem os principais recursos de TI até o acionamento do plano de
contingência e, entendendo que estar em contingência significa trabalhar com a
quantidade de recursos e serviços de forma muitas vezes reduzida, visando
atender especialmente os processos de negócio.
 Os processos de missão crítica são aqueles que têm o maior impacto em
as operações da empresa. Foi possível identificar que a maior parte dos
colaboradores da empresa tem uma compreensão congênita das operações de
missão crítica dentro de seu departamento. Os processos de cada área são
sempre mais importantes para o colaborador daquela área, porém, muitas vezes
não geram impactos na operação da empresa. Como a empresa não possui um
plano de continuidade definido, faz-se necessário iniciar o desenvolvimento do
projeto de continuidade, focando inicialmente nos processos críticos
identificados.
3.3 Processos Críticos
Através dos dados coletados, foi possível identificar 5 processos críticos
do negócio que precisam ter um PCN definido, de modo a garantir a
confiabilidade, integridade e disponibilidade dos serviços de TI necessários para
o desempenho destes processos.
3.3.1 Automação de Depósito
Por automação de depósito, entende-se os processos de movimentação
de cargas dentro dos terminais, através da utilização de dispositivos móveis
(coletores de dados) para apontamento e conferência das cargas e descargas.
Conforme entrevista com os gestores, este processo classificado como o mais
crítico, uma vez que tem impacto direto na cadeia de valor.
Além de coletores de dados, o processo de automação de deposito utiliza-
se de um equipamento de sorterização para separação da carga em 3 dos seus
CDs, permitindo a realização da cubagem dos volumes transportados e também
o envio dos volumes para a rota correta.
Em caso de interrupção nos serviços de TI que suportam estes processos,
o custo financeiro e operacional é altíssimo, pois a operação é altamente
dependente dos serviços de TI para o funcionamento deste processo. O gestor
operacional da empresa cita na entrevista que, atualmente ele não vê os
processos de terminal acontecerem sem os serviços de TI que os suportam
disponíveis.
3.3.2 ERP
Todos os processos operacionais e de backoffice necessitam das
informações e processos do sistema de gestão corporativa. Não existe outra
forma de os processos da empresa serem realizados sem a utilização das rotinas
do sistema. A automação de depósito faz uso das informações alimentadas no
banco de dados do ERP.
3.3.3 SITE
O site da empresa é hoje o principal ponto de contato com clientes. Além
de ser o site institucional que é a imagem externa da empresa, são fornecidos
inúmeros serviços aos clientes como: cotação, coleta e informações sobre
embarques.
3.3.4 Mobilidade
Grande parte dos processos operacionais foram migrados para tarefas
móveis. As solicitações de coletas e efetivação de entregas foram desenvolvidas
em um ambiente móvel que permite monitorar e controlar cada atividade de
todos os veículos. Problemas neste processo impactam em não geração das
atividades para o motorista na ponta e falta de retroalimentação no sistema.
3.3.5 Integração com Clientes
A troca de informação com o cliente em ambos os sentidos é um processo
crucial na operação do negócio da transportadora. Através da integração com
clientes que a transportadora recebe os arquivos e solicitações de embarques e
envia ocorrências de entrega e dados de faturamento. Problemas com a
integração com os clientes causam problemas operacionais e, além disso,
dependendo do cliente pode afetar no faturamento, uma vez que existem
cláusulas garantindo o envio e o recebimento destas informações.
Atualmente, além de troca de arquivos via EDI (Eletronic Data
Interchange), a transportadora faz uso de tecnologias de webservice para
possibilitar uma comunicação em tempo real com clientes.
3.4 Elaboração do PCN
O ponto chave do processo de elaboração do PCN foi o de não subestimar
quaisquer ameaças identificadas no Relatório de Gestão de Riscos,
considerando inclusive ameaças oriundas de serviços de outsourcing. Por fim, o
PCN foi construído seguindo os passos a seguir: Identificação dos processos e
ativos críticos que necessitavam de proteção; Identificação do grau de exposição
dos ativos ao desastre (ameaça); Análise das medidas de proteção; e
Estratégias de contingência, envolvendo comunicação, responsabilidades e
priorização de atividades.
4.CONCLUSÕES

Um Plano de Continuidade de Negócios (PCN) não é um documento muito

comum na maioria das organizações brasileiras, sendo muito comum que após
a ocorrência de algum incidente de segurança da informação como ataque ou a
ocorrência de algum risco conhecido, os sistemas de informação fiquem dias
sem operação para seus clientes, demonstrando o total despreparo da
organização perante ação das ameaças.
A organização pesquisada não possuí um PCN e, no inicio da pesquisa,
durante o diagnóstico, foi possível identificar as ameaças e, como a empresa
estava despreparada para os mais diversos tipos de desastres, desde pequenos
incidentes como a falta de energia elétrica até os incidentes de maiores
proporções.
A criação da proposta de PCN para os serviços de TI que suportam os
processos críticos do negócio apresentou algumas dificuldades, uma vez que o
mapeamento de riscos existentes precisou ser atualizado para identificarmos as
ameaças aos processos. Além disso, a empresa depende muito dos seus
gestores gerais que definem e “alinham” os processos.
Os principais resultados alcançados através desta pesquisa foram os
esforços que devem ser realizados pelo departamento de TI para garantirem a
continuidade dos serviços de TI que suportam a cadeia de valor da empresa.
Estes esforços e procedimentos estão detalhados no PCN desenvolvido. Alguns
esforços dependem de projetos pontuais e outros de aportes financeiros (como
no caso de aquisição de equipamentos de backup e contingência).
Existem itens do PCN onde o risco foi transferido para terceiros, ou seja,
depende de um alinhamento entre empresa e fornecedor, definindo os processos
e níveis de acordo de serviço, bem como tempos de RTO e RPO.
Espera-se que as propostas apresentadas sejam utilizadas pela
organização pesquisada e, conforme a inclusão de novos processos e serviços,
ela seja atualizada, visando um alinhamento forte entre o PCN e a realidade da
empresa.
Como trabalhos futuros, espera-se a elaboração de planos de PDCA para
monitoramento e revisão dos processos, em conjunto com a utilização de
ferramentas e bibliotecas de boas práticas como: ITIL, COBIT e outras que
possam surgir.

REFERÊNCIAS

ABNT- Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002

– Tecnologia da informação – Técnicas de segurança – Código de prática para
a gestão da segurança da informação. Rio de Janeiro, ABNT, 2005.

ABPMP. BPM CBOK - Business Process Management Common Body of

Knowledge. Chicago: ABPMP, 2009

ABRAPP. Guia de Boas Práticas para Planos de Continuidade de

Negócios. São Paulo, 2012
 ALBERTIN, A. L.; ALBERTIN R. D. Benefícios do uso de tecnologia de
informação para o desempenho empresarial. Revista de Administração Pública,
275-302. mar/abr.2008.

FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de.

Implantando a Governança de TI: da Estratégia à Gestão dos Processos e
Serviços. 4.ed. Rio de Janeiro: Brasport, 2014

HILES, A. The definitive handbook of business continuity management.

Chichester, England: John Wiley & Sons, 2011.

LENTO, Luiz Otávio Botelho; LUZ, Théo Augustus. Gestão de

Continuidade do Negócio – Livro Digital. Unisul Virtual, 2014

KOSUTIC, Dejan. Becoming Resilient – The Definitive Guide to ISO

22301 Implementation. Zagreb: Advisera Expert Solutions, 2017

MANOEL, Sérgio da Silva. Governança de Segurança da Informação:

como criar oportunidades para o seu negócio. Rio de Janeiro: Brasport, 2014

PAZ, Guilherme Teles. Boas Práticas de Governança de TI no setor de

Transporte de Cargas Fracionadas. Santa Cruz do Sul: Unisc, 2015
PORTER, M. E. Competitive Advantage . New York: Free Press, 1985

SÊMOLA, Marcos. Gestão da Segurança da Informação: Uma visão

executiva. 2.ed. Rio de Janeiro: Elsevier, 2014

SANTOS, L. C. dos; BARUQUE L. B. Governança em Tecnologia da

Informação. Rio de Janeiro: Fundação CECIERJ, 2010

SNEDAKER, S. Business Continuity & Disaster Recovery for IT

Professionals. Burlington: Elsevier Inc, 2007
Apêndice

Apêndice A: Roteiro de entrevista.

Neste Apêndice é apresentado o roteiro de entrevista aplicada a

gestores gerais de cada área do negócio (primeiro na cadeia de direção
estratégica):

a) Nome:
b) Departamento:
c) Principais responsabilidades:
d) Processos críticos:
e) Impacto Financeiro:
f) Impacto Operacional:
g) Serviços e sistemas de TI utilizados:
h) Dependências de outras atividades ou setores:
i) Existe outra forma de realizar os processos sem os sistemas?
j) Na sua visão, qual o impacto de ficar sem um dos serviços de TI?
k) Em uma visão interdepartamental, quais serviços prestados pela TI
você considera mais importantes? (emissão de documentos fiscais, automação
de depósito, e-mail, internet,)
l) Qual o tempo máximo que você considera viável a empresa ficar sem
algum dos serviços?
m) Dentre as ameaças abaixo, classifique em ordem de maior para
menor com relação a importância em caso de ocorrência:
- Interrupção dos Serviços
- Perda de informação
- Roubo de Informação
- Destruição dos Recursos (hardwares)
- Modificação da informação
- Revelação da informação
Apêndice B: Questionário de pesquisa:

Neste Apêndice é apresentado o questionário aplicado a todos os

gestores gerais das áreas de negócio entrevistados e também aos seus
segundos em comando (cargos de liderança e coordenação).
Questionário da pesquisa

Informações gerais

Nome Completo:
_______________________________________________________
Setor:____________________________

Favor marcar com um X somente em uma única resposta que melhor se apresente
para você.

1. Seu cargo na empresa:

Direção Gerência Coordenação/liderança

Analista Técnico

2. Tempo em que você está na empresa:

1 ano ou menos mais de 1 a 3 mais de 3 a 5 anos
anos

mais de 5 a 10 anos mais de 10 anos

3. Grau de escolaridade:

Superior Superior Técnico

Completo incompleto

Ensino Médio Ensino

Fundamental
4. Você conhece o termo “Plano de Contingência”
Sim Não

5. Você sabe se existe algum “Plano de Contingência” para os serviços de TI

utilizados pelo seu setor
Sim Não

Parte 1- Conhecimento das normas de segurança e plano de continuidade de

negócio.

a. Conhece o conceito de Segurança da Informação? Sim Não

b. Conhece algumas das Normas abaixo? Caso sim, assinale a

Sim Não
opção referente.

ISO/IEC 27001:2006 ISO/IEC 27002:2005 ISO/IEC 27005:2008

c. Já ouviu falar sobre o termo “Gestão de Continuidade de

Sim Não
Negócio”?

d. E sobre Plano de Continuidade de Negócio, sabe a que se

Sim Não
refere?

e. Tem conhecimento ou já ouviu falar sobre os conceitos de risco

Sim Não
impacto e incidente?

f. Ainda sobre o item d, você conhece as aplicações desses

Sim Não
conceitos no PCN?

Parte 2 - Relevância das normas de segurança e do plano de continuidade de

negócio.

a. Considera importante a elaboração de um PCN na

empresa? Caso afirmativo, qual o grau de importância que Sim Não
este representa à empresa?
 Bom Relevante Essencial

Indiferente

b. Considera a utilização das Normas citadas no item b

Sim Não
do questionário 1, importantes na elaboração de um PCN?

c. Você acredita que o PCN é importante aos serviços de

T.I, na garantia de deixá-los disponíveis em casos de Sim Não
incidentes?

d. Ainda sobre o item c, considera útil o desenvolvimento

Sim Não
de um PCN voltado ao setor de T.I?

e. Você acredita que com a adoção de um PCN, torna-se

mais fácil premeditar os impactos aos quais os serviços de Sim Não
T.I estão expostos?

Parte 3 – Dependência dos sistemas de TI

a. Cite os principais processos que dependem dos serviços

de TI:

________________________________________________

________________________________________________

________________________________________________

________________________________________________

b. Os principais processos do seu setor podem ser

Sim Não
realizados manualmente, sem o auxilio dos sistemas de TI?

c. As atividades do seu setor já foram interrompidas devido

a falhas em algum serviço de TI? Se sim, por quanto Sim Não
tempo?

__________________
 d. Quanto tempo o seu setor pode ficar sem os recursos de
TI utilizados?

e. Existe um período do dia/semana/mês crítico para a disponibilidade dos serviços de

TI?

___________________

Apêndice C: Plano de Continuidade de Negócios Sugerido

Neste Apêndice é apresentado o PCN, propriamente dito, através da

Tabela 1.
Tabela 1: Plano de Continuidade de Negócio (PCN) proposto para a
Transportadora de Cargas (Baseado nos processos críticos do negócio).
PLANO DE CONTINUIDADE DE NEGÓCIOS - PCN
Identificação de Incidentes Tratamento do Incidente
Plano de Recuperação
Incidente Causas Plano de Continuidade (PCO)
(PRD)
O nobreak atual funciona por
até 4 horas. O PCO sugere a
Acionamento junto a
instalação de um gerador na
prestadora de energia
Externa Matriz para garantir a
elétrica o restabelecimento
continuidade dos serviços até
dos serviços.
o reestabelecimento da
energia.
Falta de Energia Utilização de nobreaks para
Elétrica equipamentos do datacenter,
Acionar o setor de
switches, antenas wireless e
Interna patrimônio para que seja
microcomputadores dos
feito reparos à rede elétrica
responsáveis pelos serviços
críticos

Substituição da fonte de
Levar o nobreak na
Nobreak energia por outro nobreak ou
manutenção para reparos
estabilizador

Indisponibilidade Acionar a garantia do

Substituição do equipamento
dos Serviços de Switch equipamento junto ao
por um reserva.
Redes fabricante
 PLANO DE CONTINUIDADE DE NEGÓCIOS - PCN
Identificação de Incidentes Tratamento do Incidente
Plano de Recuperação
Incidente Causas Plano de Continuidade (PCO)
(PRD)
Substituição do acesso,
Danos ao disponibilizando acesso via Substituir ou reparar o cabo
cabeamento wireless ou por outro cabo de danificado
spare devidamente preparado
Manter servidores e storage
em cluster com a HA (High
Availbility), mantendo a Acionar a garantia do
Servidores/Storage possibilidade de falha de pelo equipamento junto ao
menos 1 equipamento fabricante
(storage ou servidor)
possibilitando
Danos ao servidor Substituição dos dados de Identificar as causas que
de Aplicação de backup da VM dos mesmos ocasionaram o dano e
Arquivos, File até o último backup realizado. criação de plano de ação
Server, Domínio, O RPO de cada serviços para garantir que o
Banco de Dados deve ser definido problema não se repita

Moderação Identificar meios pelos

acidental de dados quais foram possíveis de
realizar as moderações e
tratá-los conforme política
Moderação Restauração de backup. de SI, solicitando correções
proposital Lembrando que o RPO deve nos sistemas se necessário
ser acordado com o negócio ou permissões.
Identificar os meios pelos
Remoção quais foram possíveis
proposital realizar a remoção e tratá-
los conforme política de SI.

Acionamento de um link
Danos de fibra Acionar a operadora da
extra, diferente da tecnologia
óptica prestação de serviços de
utilizada que permita a
Indisponibilidade telecomunicação, o qual
liberação de serviços críticos
da realizará os diagnósticos e
que necessitam
Comunicação o devido reparo. Para a
exclusivamente da internet e
(Internet) rede fechada MPLS, contar
Danos ao rede MPLS até que os
com tratamento de
roteador/modem serviços normais sejam
proatividade.
reestabelecidos.
Danos a linha
telefônica
 PLANO DE CONTINUIDADE DE NEGÓCIOS - PCN
Identificação de Incidentes Tratamento do Incidente
Plano de Recuperação
Incidente Causas Plano de Continuidade (PCO)
(PRD)
Trabalhar com alta
disponibilidade na Matriz. Nas
Acionar o fornecedor
Problema com o comunicações das filiais,
responsável pelos serviços
equipamento de trabalhar com um roteamento
de MSSP (Managed
gateway de contingência baseado na
Security Services).
rede fechada MPLS, através
de rota em switch.
Fazer atualização e
varredura de antivírus e
identificar os meios que
Contaminação por
Isolamento das máquinas possibilitaram a
vírus
Vírus afetadas para evitar a contaminação, tratando-os
proliferação às demais. segundo política de SI
adotada.
Buscar o backup mais
Ransomware
recente anterior a infeção.
Fazer restauração através
de softwares e
Dar continuidade aos serviços equipamentos específicos,
Indisponibilidade Danos as mídias que não dependam das buscar outro POR e
de restauração de armazenamento informações do backup até registrar plano de ação
de backups de backup que estas estejam para evitar recorrência,
recuperadas. como testar a mídias de
backup através de rotinas
automatizadas.
Substituição da impressora
Danos a danificada por uma reserva Acionar o fornecedor
impressoras (laser ou a configuração para responsável pelo contrato
Falhas de e térmicas) impressão em outra de impressão
Hardwares impressora até o reparo
Substituição da máquina
Danos a Encaminhar a máquina
danificada por uma reserva
microcomputadores danificada para Matriz.
até o reparo
Substituição da máquina Identificar a causa do dano
Falhas de Danos ao sistema
danificada por uma reserva e, caso necessário, realizar
Software operacional
até o reparo a reinstalação do SO.
 PLANO DE CONTINUIDADE DE NEGÓCIOS - PCN
Identificação de Incidentes Tratamento do Incidente
Plano de Recuperação
Incidente Causas Plano de Continuidade (PCO)
(PRD)
Danos causados Restabelecer os serviços
Identificar as causas do
por atualização de através da restauração de
problema e saná-las.
softwares próprios backups, conforme RDM.
Danos causados
Fazer isolamento do módulo Solicitar a imediata
por atualização de
danificado e, se necessário, manutenção ao proprietário
softwares de
voltar a versão. do software danificado.
terceiros
No caso de departamentos
que realizam interações com
clientes, devem fazê-los
manualmente para garantir o
andamento das atividades até
o restabelecimento do
aplicativo.
Casos de máquina de acesso
a banco e que necessitam de
autorizações, verificar os Reparo através de backup
Dano à software procedimentos de liberação ou através da reinstalação
utilitário junto ao fornecedor. e/ou atualização do
software
No caso de aplicações de
missão crítica que possuam
software específico, como o
equipamento de sorterização,
possuir máquina backup em
spare.
Demais casos devem fazer
uso de outra máquina até que
seja feito o devido reparo.
Acionar o setor de
Danos aos
Falta de Utilização do aparelho patrimônio para que sejam
aparelhos de ar-
Refrigeração reserva (pode ser portátil) feitos os reparos e
condicionado
consertos no mesmo
Verificar o local de
Danos causados
Armazenamento armazenamento e,
a mídias de Fazer uso da penúltima cópia
Inadequado providenciar mídias extras
backup
e armazenar em outro local
 PLANO DE CONTINUIDADE DE NEGÓCIOS - PCN
Identificação de Incidentes Tratamento do Incidente
Plano de Recuperação
Incidente Causas Plano de Continuidade (PCO)
(PRD)
Serviços de
Monitorar os serviços de Criar plano de ação para
Integração Interrupção dos
integração, corrigindo o verificar o que ocasionou a
(Clientes, serviços
problema falha e buscar correção
Sorter)
No caso da Matriz, onde fica
Montagem de recursos de
o datacenter, acionar
hardwares e softwares que
estrutura de contingência em
permitam o
Desconhecida outro local para os serviços
restabelecimento imediato
críticos de TI com RTO e
dos serviços críticos do
RPO acordados com o
negócio.
negócio.
No caso de departamentos
que realizam interações com
clientes, devem fazê-los
manualmente para garantir o
andamento das atividades até
Incêndio o restabelecimento do
aplicativo.
Montagem de recursos de
Casos de máquinas que
hardwares e softwares que
possuem aplicativos em
permitam o
máquinas específicas, como
restabelecimento imediato
(sorter, atslog, acesso a
dos serviços críticos
bancos) as mesmas devem
ser reconfiguradas para
trabalho autônomo e liberado
o uso
Demais casos, aguardar o
reparo ou disponibilização de
máquina de backup
Fonte: desenvolvido pelo autor