BIA e BCP Reduzido
-
Upload
alessandra-fonseca -
Category
Documents
-
view
23 -
download
8
Transcript of BIA e BCP Reduzido
Prof Tsuruda - Segurança de Redes - Notas de Aula pág 1 de 10
Planejamento deContinuidade de Negócios
versão resumida
Ideia-chave1. Conheça o seu negócio2. Avalie os riscos3. Formule o plano4. Teste o plano
Lembre-se sempre que os planos devem ter a seguinte prioridade:1. proteger a vida e saúde das pessoas2. proteger o meio ambiente3. proteger os interesses dos acionistas
1. CONHEÇA O SEU NEGÓCIO
O primeiro passo no planejamento da Continuidade de Negócios é a deconsiderar os impactos potenciais de cada tipo de desastre ou evento.
Este é o ponto crítico - para se planejar adequadamente para um desastre vocêdeve ter uma idéia dos prováveis impactos na sua empresa em função de diferentescenários.
Basicamente, a Análise de Impacto nos Negócios (Business Impact Analysis -BIA) é um meio de avaliar de forma sistemática os impactos potenciais resultantes devários eventos ou incidentes.
Também neste estudo, devem ser considerados outros tipos de incidentes, porexemplo, a quebra de sigilo ou mesmo de integridade dos dados causada porfuncionários da empresa, uma vez que estes fatores também poderão ter alto impactono negócio).
Desta forma, a análise de impacto de negócios, ou "BIA", destina-se a ajudaraos planejadores compreenderem o grau de perda potencial e outros efeitosindesejáveis que poderiam ocorrer. Refere-se assim não apenas a perda financeiradireta, mas a muitas outras questões, como a perda de confiança dos clientes, danos àreputação, os efeitos de novas leis ou regulamentação do setor em que a empresaatua, e assim por diante.
Funções Críticas (ou Setores Críticos)O primeiro passo é determinar as funções críticas para o Negócio. Para
completar um BIA para cada função crítica, siga as orientações abaixo descritas.
Responda a pergunta: sem esta atividade/função o negócio deixaria de operar?
Prof Tsuruda - Segurança de Redes - Notas de Aula pág 2 de 10
Exemplos de funções críticas, tendo como exemplo uma pequena indústria :• Setor de Pagamento de pessoal• Departamento de TI• Vendas• Distribuição de mercadorias• Fabricação de mercadorias
Faça o BIA para cada uma de suas funções/equipes/setores críticos.
Efeito sobre o serviço Você deve considerar a importância da função sobre a sobrevivência do seu
negócio (calcule o impacto em Percentual da Renda ou Carga de Trabalho, no quãocrítica esta função é para outras funções, etc) e com que rapidez cada função deve serrestabelecida.
Para cada um dos intervalos de tempo, identificar qual seria o efeito da perdada função crítica. Por exemplo, perturbações na produção de mercadorias poderia ter oseguinte efeito sobre o negócio:
Tempo Efeito
Primeiras 24 horas Falta de estoque, causando atraso na produçãoFalta de espaço de armazenagem, impedindo a produção em48hrs
Entre 24 e 48 horas Parada na produção por falta de matérias-primasProblemas com parceiros comerciais
Até uma semana Prazos não cumpridos causam prejuízos financeirosNecessidade de terceirizar a produção para manter os clientes econtratos
Até 2 semanas Perda de clientesredução de funcionários devido à perda de contratos
Acima de 1 mês Falência da empresa
Recursos necessários Aqui o objetivo é ajudá-lo a identificar quais os recursos que você precisa e
quando você precisa deles. Quando completar esta seção, você precisa considerar osefeitos da perda da função / serviço, por período de tempo, conforme detalhado abaixo.
Número de Funcionários: Você provavelmente não irá precisar de toda a suaequipe imediatamente depois de uma emergência.Para cada intervalo de tempo databela acima, determine quantas pessoas você precisa.
Por exemplo, se você teve um problema com um fornecedor-chave e nenhumamercadoria estava disponível, você pode não precisar do motorista de empilhadeira,controladores de estoque etc, ou seja, todos trabalhando a plena capacidade dentrodas primeiras 24 horas.
Mudança/Relocação: Será que a função poderá ser realizada por sua equipeem qualquer outro lugar?
Prof Tsuruda - Segurança de Redes - Notas de Aula pág 3 de 10
Por exemplo, trabalhar em casa, em outra filial, em uma Lan House , etcEquipamentos necessários: Para cada intervalo de tempo, a lista de quais
recursos são necessários, por exemplo• pessoas• computadores (hardware e software)• veículos• máquinas• equipamentos de comunicação (telefones fixos / móveis)
Dados necessáriosA partir das informações dos Proprietários da Informação de cada Setor, liste
quais dados são essenciais para a prestação do serviço / eg função crítica, por ex:• Os detalhes de contato do Cliente• Os detalhes do contato do Fornecedor• Números de contrato de Serviço / manutenção• Os detalhes de Seguros• Valores de Custeio• Trabalhos em curso• Uma informação critica aqui será a maior perda possível de informação sem
afetar de forma significativa esta Função (RPO1)
Ao concluir a Análise de Impacto de Negócios (BIA) você terá condições depriorizar quais funções ou serviço que você deve restabelecer em primeiro lugardurante uma emergência.
Usando suas análises de impacto na empresa, completam a lista de PrioridadeCrítica função do modelo do plano.
2. AVALIE OS RISCOS
Risco é uma avaliação sobre a chance de acontecer algo que vai impactar noseu objetivo de negócio. O risco é normalmente considerado em termos de Impacto eProbabilidade. Ao avaliar os riscos, você será capaz de priorizar suas atividades deredução de risco
Há muitos riscos que podem comprometer o seu negócio e incluem:• Inundações• A falha / perda de dados / perda de documentos-chave• Falha de equipamentos• Fogo ou explosão• Acidente de transporte• Condições meteorológicas extremas• Perda de instalações• As questões de pessoal
Estes riscos afetarão diferentes negócios e as funções críticas dentro deles, emgraus variados.
1 RPO (Recovery Point Objective): Indica o nível máximo de perda de informação aceitável
Prof Tsuruda - Segurança de Redes - Notas de Aula pág 4 de 10
A tabela de análise de risco lista os riscos para o seu negócio, o impacto decada risco, qualquer redução no lugar ou possível e a pontuação matriz de risco
Ameaças consideradas Listar os perigos enfrentados pelo negócio
Impacto estimado Listagem de problemas físicos esperadosListar as implicações financeiras destainterrupçãoListar as pessoas afetadas (funcionários, clientes,parceiros) vejamos um exemplo para enchente:
• perda de máquinas• perda de estoque • multas devido à poluição causada no meio
ambiente pelo vazamento de substânciastóxicas
• danos causados a equipamentos declientes
Mitigação necessária Listar o que existe de medidas preventivas parareduzir os riscos, por exemplo
• mudar a fábrica de local para eviatrenchente
• implantação de processo demonitoramento na produção
• seguros contratados
A matriz de risco tem como finalidade ajudar a identificar os riscos de maiorprioridade para o seu negócio. Ao considerar a pontuação, você deve pensar emqualquer atenuação atualmente implantada.
Ao determinar a probabilidade de o risco de ocorrência (alta ou baixa), emseguida, determinar o impacto que os riscos tem em seu negócio, é possível classificaro risco como A, B, C ou D.
Por exemplo: A probabilidade de um vazamento químico em seu negócio:BAIXO (B ou D) o impacto de um derramamento químico teria no seu negócio: ALTO(A ou B) A pontuação de matriz de risco seria B.
Quando concluída, a tabela de Análise de Perigos mostra quais são os maioresriscos para o seu negócio. A partir deste diagnóstico, é possível decidir como gerenciaro risco.
ACEITAR: você pode decidir que você é feliz "viver com" o risco como o custode implementação de todas as estratégias de risco podem superar os benefícios.
TRATAR: você quer tratar o risco tomar medidas para reduzir o impacto ou areduzir a probabilidade (mitigação possível), porque o risco é muito tratamento paraseu negócio.
Não é possível mitigar contra todos os riscos, é por isso é necessário um plano.TRANSFERIR, ..ELIMINAR .....
Prof Tsuruda - Segurança de Redes - Notas de Aula pág 5 de 10
Matriz de Risco A- Probabilidade Alta e Impacto alto
B Alto Impacto e Baixa probabilidadeC Probabilidade Baixa e Impacto BaixoD Baixo Impacto e Alta Probabilidade
Outra matriz de risco, com maior granularidade:
Probabilidade
Altíssima Alta Média Baixa Baixíssima Nula
Impacto
Altíssimo Altíssimo Altíssimo Alto Médio Baixo Nulo
Alto Altíssimo Alto Médio Baixo Baixíssimo Nulo
Médio Alto Médio Baixo Baixo Baixíssimo Nulo
Baixo Médio Baixo Baixo Baixíssimo Baixíssimo Nulo
Baixíssimo Baixo Baixíssimo Baixíssimo Baixíssimo Baixíssimo Nulo
Nulo Nulo Nulo Nulo Nulo Nulo NuloQuadro 1: Matriz impacto x probabilidade fonte: A Importância do Gerenciamento de Risco em Projetos. 2007. Disponível em: http://www.tenstep.com.br/br/Newsletter/AImportanciadoGerenciamentodeRisco.htm
3. PLANO DE CONTINUIDADE DOS NEGÓCIOS – BCP
Tendo concluído o Business Impact Analysis (BIA) e sua tabela de análise deriscos, agora você precisa para desenvolver uma lista de ações que podem serapropriadas quando ocorra uma emergência.
Você deve adicionar ao plano todos os contratos que você já tem no local,incluindo um check-list das ações específicas que você precisa tomar, apólices deseguro, autoridades que devem ser imediatamente informadas, contratos específicos eas providencias já tomadas para gerenciar as emergências.
A lista pode ser usada durante uma emergência para garantir que não hátarefas importantes são esquecidos.
Anotar as ações tomadas
O pessoal deve ser treinado para anotar ( gerar um LOG ) as açõestomadas, quem foi acionado, e a hora que cada atividade é realizada.Estas informações serão vitais para análise posterior e ainda para ocaso da empresa necessitar de defesa perante algum tribunal para
B
C D
A
IMPACTO
PROBABILIDADE
Prof Tsuruda - Segurança de Redes - Notas de Aula pág 6 de 10
justificar as ações (e omissões) tomadas.
Ligações com as autoridades
Se as autoridades forem acionadas, é essencial nomear alguém paraatuar em ligação com as autoridades. Esta pessoa precisa para passarinformações entre a resposta de Serviços de Emergência e sua equipede resposta interna, identificar todos os danos tão rapidamente quantopossível ( apenas se seguro fazê-lo) e realizar uma avaliação emrelação à extensão dos danos causados pela emergência.
Identificação dos danos
Sempre busque documentar o seguinte:• Lesão aos funcionários, empreiteiros e ao público• danos em edifícios• Os danos à planta, equipamentos / veículos• danos ao estoque• danos à reputação
Fuções/Setores comprometidos
Identificar funções/setores comprometidos e se possível aextensão do dano
Convocar sua equipe de recuperação de negócios
Você precisa nomear com antecedência quem irá compor a equipe queirá gerenciar a resposta e recuperação da emergência. Se aemergência é tal que você precisa chamar a equipe, você precisafazê-lo o mais rápido possível.Mantenha uma lista atualizada de contatos para as emergências
Informe o pessoal daempresa
Fornecer informações aos funcionários é essencial para mantersua equipe informada sobre
• as ações de emergência e as respostas a serem tomadas.• O pessoal pode estar preocupado com:• Os colegas que podem estar feridos;
▪ O que se espera deles hoje• Se eles se voltam ao trabalho amanhã; • se ainda haverá ainda um trabalho para eles, • Considere a emissão de um número de apoio para o pessoal da
empresa ligar;• dependendo da escala e do tipo de emergência pense em
anúncios, e-mail e intranet, cartaz em uma área de recepção,rádio ou telefone para chamar todo o pessoal.
• Lembre-se: fornecer informações rapidamente vai parar deboatos!
Decidir sobre curso de ação
Decida o que você precisa fazer e prepare um plano de ação;Use a Lista de Prioridade Crítica de Função/Setor e a BIA para ajudá-lo;
Comunique o que vai fazer
Comunique suas decisões aos parceiros de pessoal e de negócios
Informação ao público
Forneça informação pública para manter a reputação e os negóciosNomear um membro do pessoal para atuar como seu representante deimprensa. Esta pessoa deve ser treinado em técnicas de resposta demídia e ser capaz de responder a perguntas sobre a situação deemergência e os negócios em geral.O seu representante de imprensa devem trabalhar em colaboração como porta voz dos serviços de emergência, se possívelUma declaração segurando poderia ser pré-preparado para o seu
Prof Tsuruda - Segurança de Redes - Notas de Aula pág 7 de 10
negócio de modo que você apenas tem que preencher os espaços embranco no momento.
Reveja seu BCPOrganize um de-brief depois da emergência, isto é muito importantepara manter e documentar o histórico dos acontecimentos e para quevocê possa aprender com a experiência.
Cada setor deverá ter as observações pertinentes, principalmente quanto aosdados importantes e pessoal.
4. Teste e Ensaie seu Bussiness Continuity Plan Este é o momento mais importante do plano, quando os planejamentos serão postos à
prova. Nesta ocasião normalmente são descobertas as falhas em comunicação e deprocedimentos das pessoas-chave. Deve-se avaliar os pontos fortes e fracos do planejamento,realizar os ajustes e buscar nova ocasião para os treinamentos.
→ Os marinheiros treinam semanalmente suas funções em caso de incêndio no navio.Um navio em alto mar não pode contar com auxílio de ninguém, de forma que os profissionaisdevem saber o que fazer mesmo que um incêndio ocorra à 3h30 da madrugada e não hajaluzes nos corredores. É necessário controlar o público e eliminar ou pelo menos retardar oincêndio, em como é absolutamente indispensável saber as funções criticas do navio.
Abaixo vejamos um “template” do BIA/BCP da empresa.
Prof Tsuruda - Segurança de Redes - Notas de Aula pág 8 de 10
[Logotipo e Nome da Empresa]
Plano de Continuidade dos Negócios
Data:versão:
----------- nova página ---------------
Meta deste planoPreparar a empresa para o caso de emergências blablabla
Objetivos• Definir e priorizar as Funções/Setores Críticos ao negócio• Analisar os riscos para os negócios• detalhar as respostas às emergências• identificar as pessoas-chave durante as emergências• .....
Lista de DistribuiçãoCopia Nr Nome Telefone Localidade
001
002
003
Se houver necessidade de modificação neste documento, avisar XXX, [email protected]
Documentos relacionados ao planoDocumento Localidade
Contrato de locação de site backup, empresaxyz
Setor Jurídico, Sr xxxx
Prof Tsuruda - Segurança de Redes - Notas de Aula pág 9 de 10
Business Impact Analysis - BIA
Listagem de Funções/Setores CríticosPrioridade Função / Setor
1 Setor de pagamento de Pessoal
2 Planta fabril de Pinhais/PR
3 Xxx yxyx xx
4 nononononon
Para cada setor considerado crítico, faça as tabelas abaixo. Comece cada setor em uma nova página, de forma que possa destacar e substituir folhas quando for necessário realizar alterações no Plano.
1 – (exemplo) Setor de Pagamento de Pessoal
Função Crítica Setor de Pagamento de Pessoal
Listagem de Riscos do SetorAmeaças Impacto Mitigação no
localMitigaçãoPossível
Matriz de Riscos
Enchente Perda deequipamentos edocumentos
nenhuma Trocar de andar B
Falha de Storage A
Falta de Eletricidade
A
Incêndio B
Perda de pessoalcrítico
B
Perda de dado crítico
C
Matriz de RiscosA Probabilidade Alta e Impacto altoB Alto Impacto e Baixa probabilidadeC Probabilidade Baixa e Impacto BaixoD Baixo Impacto e Alta Probabilidade
Prof Tsuruda - Segurança de Redes - Notas de Aula pág 10 de 10
Efeito nos NegóciosTempo Efeitos
24 horas
24 a 48 horas
Uma semana
Duas semanas
1 mês
Recursos a recuperarTempo Pessoal Relocação?
(S/N)Recursos (eqp,
rede etcDados (sistema,
bkp etc)
24 horas
24 a 48 horas
Uma semana
Duas semanas
1 mês