plano de continuidade de negÓcios de ti em uma …

PLANO DE CONTINUIDADE DE NEGÓCIOS DE TI EM UMA EMPRESA DE TRANSPORTE DE CARGAS FRACIONADAS1

GUILHERME TELES PAZ

Abstract: Attacks on information systems and their components have increased, coinciding with the emergence of new digital threats. So, it’s a challenge to keep information and services available uninterruptedly. With the purpose of prepare the organization for a possible attack of success or occurrence of risks, a Business Continuity Plan (BCP) must be adopted. Therefore, this paper presents an analysis of a company in the field of transportation of fractional cargo, in order to identify its critical business processes and the threats that surround the information technology resources required by these processes and prepare it to recover in case of risk. This research allowed the formalization of a BCP that allows for relevant improvements to the company, in addition to understanding the values of the organization's business. Keywords: Risk. Processes. Business Continuity.

Resumo: Os ataques aos sistemas de informação e seus componentes tem aumentado, coincidindo com o surgimento de novas ameaças digitais. Torna-se um desafio manter as informações e os serviços disponíveis initerruptamente. Com o objetivo de preparar a organização para um possível ataque de sucesso ou ocorrência de riscos é que deve ser adotado um Plano de Continuidade de Negócio (PCN). Logo, o presente artigo apresenta uma análise de uma empresa do ramo de transporte de cargas fracionadas, visando identificar os seus processos críticos de negócio e as ameaças que cercam os recursos de tecnologia da informação necessários por estes processos e, prepará-la para se recuperar rapidamente em caso de ocorrência de riscos. Tal pesquisa permitiu a formalização de um PCN que viabiliza melhorias relevantes para a empresa, além da compreensão dos valores dos negócios da organização.

Palavras-chave: Riscos. Processos. Continuidade de Negócio.

1. INTRODUÇÃO

Entende-se que as empresas de transporte de cargas fracionadas dependem

cada vez mais da TI, pois a concorrência, custos de mão de obra e baixa

rentabilidade fazem com que as empresas necessitem ser mais ágeis e com

1 Artigo apresentado como Trabalho de Conclusão do Curso de Especialização em Gestão da Segurança

da Informação, da Universidade do Sul de Santa Catarina, como requisito parcial para a obtenção do

título de Especialista em Gestão da Segurança da Informação.

menor nível de erro, com isto vem o apoio direto do uso da inteligência de TI,

como facilitadora nos processos de tomada de decisão, informação e integração

entre processos que compõe as atividades primárias do negócio (Paz, 2015).

A empresa público alvo da pesquisa possui sistemas de tecnologia da

informação cujo os serviços essenciais para o negócio, juntamente com as

informações ficam centralizadas na matriz da empresa, disponíveis remotamente

para todos os usuários dos serviços de TI. Neste meio tempo, já ocorreram várias

interrupções das operações devido a falhas nos serviços de TI que impactaram

de forma considerável o negócio, financeiramente e na imagem externa da

organização.

A infraestrutura de hardware da empresa conta com uma sala em que

funciona o datacenter, inserido dentro do setor de TI na Matriz da organização.

A infraestrutura conta com 1 rack utilizado para os equipamentos de rede (switch,

firewall e central telefônica) e 1 rack para cerca de 5 servidores e 1 storage que

armazena e processa todas as informações da empresa.

O objetivo da pesquisa foi o de buscar junto a parte estratégica e táctica

da empresa, identificar os processos críticos de negócio, juntamente com os

serviços de tecnologia da informação (TI) essenciais para suportar estes

processos, de forma a criar um plano de continuidade de negócios (PCN) para

garantir que estes serviços e informações sejam reestabelecidos em casos de

incidente de segurança da informação.

No PCN proposto para organização foram definidas estratégias e ações a

serem adotadas com objetivo de possibilitar a redução de danos as informações.

Para tanto, tomou-se como base o diagnóstico feito através do Relatório de

Gestão de Riscos, que forneceu insumos relevantes para a elaboração do plano

de continuidade, uma vez que nele contem a identificação das principais

vulnerabilidades e ameaças que expõem aos riscos as informações dos

sistemas de informação que fazem parte dos processos críticos de negócio

mapeados.

A abordagem metodológica deste estudo classifica-se como um estudo

de natureza aplicada, pois busca entender um problema técnico e propor uma

solução na instituição pesquisada, além de classificar-se como uma pesquisa

teórica na etapa de revisão de literatura e empírica no momento em que foram

mapeados os processos da empresa objeto do estudo de caso.

O método de coleta de dados utilizado no presente trabalho foi

quantiqualitativo. Classificou-se por qualitativo por se tratar de um estudo de

caso centrado em um único caso, através do contato direto com a realidade da

organização pesquisada. E qualitativo, por selecionar um grupo específico de

pessoas do objeto da pesquisa. A pesquisa foi realizada na Matriz da empresa,

na cidade de Farroupilha em março de 2018. A estrutura de coleta de dados foi

com base na análise de documentos existentes, processos observados,

questionários aplicados para equipe estratégica e táctica, entrevistas realizadas

apenas com a equipe estratégica e através da realização de pesquisas

bibliográficas, ou seja, através de livros, artigos, normas técnicas e a Internet. O

questionário foi aplicado aos funcionários da empresa, buscando identificar

conhecimentos referentes a segurança da informação, processos de negócio e

ocorrência da interrupção de serviços de TI.

O presente artigo está organizado como se segue. Na Seção 2, são

apresentados o referencial teórico. Na Seção 3, são apresentados os resultados

e discussões. Finalmente, na Seção 4, são apresentadas as conclusões. Ao final

do artigo, foi incluído um apêndice com o questionário aplicado na pesquisa, o

roteiro de entrevista utilizado e um esboço do PCN proposto.

2. Processos Críticos de TI e PCN

A Tecnologia da Informação (TI) é um dos componentes mais importantes

do ambiente empresarial atual e, consiste em sistemas de informação,

ferramentas, hardware, software e recursos de tecnologia que possam ser

utilizados para gerar um maior controle das informações organizacionais.

As organizações brasileiras têm utilizado ampla e imensamente a

tecnologia, tanto em nível estratégico como operacional (Albertin e Albertin,

2008).

Quanto mais as operações diárias e a estratégias corporativas chaves

dependem da TI, maior é o papel estratégico da TI para a organização

(Fernandes & Abreu, 2014). A Tecnologia da Informação vem permeando todos

os processos gerenciais e operacionais das organizações, fazendo com que se

produza mais com menos, com menores custos, possibilitando também tomadas

de decisão com informações mais acuradas, melhorando o rendimento das

empresas no atendimento aos seus clientes e, gerando riquezas de forma direta

ou indireta para a sociedade onde está inserida (Santos e Baruque, 2010).

As organizações estão sujeitas regularmente a desastres naturais e

outras situações que causam disrupções e indisponibilidade no seu negócio.

Torna-se necessário a existência de uma política de gestão de risco e

continuidade que auxilie as organizações a minimizar estes riscos. Nenhuma

organização tem controle absoluto sobre o ambiente onde se encontra, e pode

enfrentar um evento anómalo que ameace a sua atividade. Torna-se assim

essencial assegurar a continuidade do negócio face à ocorrência dessas tais

situações anómalas, através da prevenção da sua ocorrência, diminuindo o

impacto provocado e garantindo que os processos de negócio são recuperados

de acordo com o estabelecido pela organização com serviços mínimos e

minimizando as perdas.

Atualmente as estratégias estão mudando para acomodar rápidos

desenvolvimentos tecnológicos. O cenário empresarial sempre foi dinâmico, mas

a tecnologia está potencializando isso. Conforme Hiles (2011), no que diz

respeito ao departamento de TI, os riscos de falha multiplicaram-se e as

pressões de tempo para recuperação tornam-se cada vez mais extremos até o

ponto de inatividade zero. As organizações devem estar preparadas para

absorver o impacto de qualquer incidente ou evento, com impacto mínimo em

seus negócios e sobre as informações e sistemas sobre os quais elas dependem

tanto.

Para garantir continuidade dos negócios, utiliza-se de um BCP (Business

Continuity Planning). O BCP é um plano de gerenciamento negócios e não plano

técnico. Dessa forma, o planejamento de contingência é baseado na

compreensão da organização, as ferramentas que apoiam as operações do

negócio, avaliando a perda de tais ferramentas, definindo quem irá lidar com uma

situação de crise e como irá proceder durante o processo.

Segundo Hiles (2011), um BCP pode ser definido como:

Identificação e proteção de processos e recursos críticos de

negócios necessários para manter a um nível aceitável,

protegendo esses recursos e criando procedimentos para

garantir a sobrevivência da organização quando ocorrer um

incidente de interrupção.

Para dar início ao desenvolvimento um plano de continuidade de negócio,

primeiramente faz-necessário a criação e definição de um projeto onde são

definidos o escopo, objetivos, requisitos, cronograma, entregas, apoio da alta

direção e envolvimento dos usuários.

A definição do projeto é um dos principais elementos do BCP, uma vez

que sem o total apoio da organização o plano será incompleto. Como um

profissional de TI, existem limites do que você pode fazer para criar e

implementar um plano de continuidade na organização. Por exemplo, um

profissional de TI sabe como definir permissões para um aplicativo de negócios

específico, mas, talvez não saiba como os usuários interagem com o aplicativo

e qual a real importância dele para o negócio. Perguntas como: Se o servidor da

aplicação é destruído, existe um servidor de backup? Como o negócio será

retomado? É possível continuar as operações sem o aplicativo em curto prazo

ou não? Para responder estas perguntas faz-se necessário a entrada e avalição

de especialistas em outros assuntos de outros departamentos e divisões. Obter

apoio da alta gerência de toda a empresa é chave para o sucesso de um plano

de BCP.

Snedaker (2007) define os passos básicos para a implantação de um

plano de continuidade de negócios e recuperação de desastres como: definição

do projeto, análise de riscos, análise de impacto no negócio (BIA), definição de

estratégia de mitigação, desenvolvimento do plano, Treinamento, Testes e

Auditoria e por fim, o plano de manutenção visando atualização constante do

plano.

2.1 Análise de Risco

Segundo Lento (2014), a crescente importância da TI para os

processos de negócio de uma empresa trouxe um aumento de problemas de

segurança em relação a informação, criando a necessidade de as empresas

conhecerem os riscos dos seus processos de negócio como um fator estratégico

para o seu sucesso. Mas o que é Risco?

A ISO/IEC 27002 (2005) define risco como a combinação da

probabilidade de um evento e as suas consequências, já a análise de riscos é

definida como o uso sistemático de informações para identificar fontes e estimar

o risco.

Hiles (2011) define risco como uma ameaça que um evento ou ação

afetará de forma adversa a capacidade de a organização alcançar com sucesso

seus objetivos comerciais e executar suas estratégias, implicando que devemos

olhar para a TI ou outras interrupções de negócios no contexto dos principais

riscos comerciais para sua empresa.

Uma dúvida que permeia entre alguns gestores é a diferenciação entre

Gerenciamento de Riscos e o BCP. No primeiro, os esforços são específicos

no sentido de se minimizar o risco da ocorrência de um incidente de segurança

da informação, mitigando riscos, reduzindo-os a níveis aceitáveis pela

organização. No segundo, o incidente já aconteceu.

A gestão de riscos consiste em um processo de identificação e avaliação

dos fatores de risco presentes no ambiente organizacional de forma a antecipar

possíveis incidentes de segurança da informação, permitindo uma visão do

impacto negativo causado as estratégias da organização (Manoel, 2014).

Um dos obstáculos mais comuns no planejamento de um BCP é que

existem milhares de coisas que podem dar errado e precisam ser planejadas,

mas poucas que realmente irão dar errado. De fato, ao identificarmos os riscos

poderemos: Eliminá-los, transferi-los, mitiga-los (reduzi-los) ou por fim aceita-los.

Dessa forma, conforme Snedaker (2007), o objetivo de executar a gestão de

riscos é permitir que a organização realize a sua missão garantindo da melhor

forma possível o funcionamento dos sistemas que armazenam, processam ou

transmitem informações.

2.2 Análise de impacto no negócio

Segundo (ABRAPP, 2012) a primeira pergunta que o desenvolvimento de

um BCP deve responder é: Quais os processos críticos do negócio, ou seja,

processos que não podem deixar de ser executados? Para respondermos a esta

questão faz-se necessário mapear os processos críticos de negócio da

organização, construindo a cadeia de valor, definindo os seus processos

primários, essenciais.

Conforme (ABPMP, 2009), existem 3 tipos diferentes de processos de

negócio: processos primários, processos de suporte e processos de

gerenciamento. Os processos primários são os processos ponta-a-ponta,

interfuncionais e entregam valor aos clientes. Estes processos são

frequentemente chamados de processo essenciais, pois representam as

atividades essenciais que uma organização desempenha para cumprir a sua

missão. Os processos primários/essenciais formam a cadeia de valor onde cada

passo agrega valor ao passo anterior, contribuindo na criação ou entrega de um

produto ou serviço, gerando valor aos clientes.

Michael Porter (1985) descreveu cadeias de valor como compostas de

atividades primárias e atividades de suporte. A cadeia de valor do processo de

negócio descreve a forma de contemplar a cadeia de processos que fornecem

valor ao cliente. As atividades primárias são aquelas envolvidas com a criação

física de um produto ou serviço, marketing e transferência ao comprador, e

suporte pós-venda, referidos como agregação de valor.

De acordo com (Susan, 2007), o BCI (Business Continuity Institute), líder

reconhecido em gestão de continuidade do negócio, define 4 objetivos principais

para a realização da análise de impacto no negócio (BIA):

• Obter uma compreensão dos objetivos mais críticos da organização e a prioridade de cada um, e o prazo para a retomada destes após uma interrupção não programada;

• Informar para cada função, as decisões que precisam ser tomadas após o tempo máximo que um processo crítico de negócio pode indisponível (MTO) for ultrapassado;

• Fornecer a informação de recursos a partir qual uma estratégia de recuperação apropriada pode ser determinada;

• Exibir as dependências que existem tanto internamente quanto externamente para alcançar os objetivos críticos do negócio.

A análise do impacto do negócio é o processo de descobrir e identificar

quais processos são críticos para o sucesso de uma empresa, e a compreensão

total do impacto de uma interrupção destes processos. Do ponto de vista da TI,

o objetivo é compreender as funções críticas do negócio e relacionar com os

sistemas existentes. Como parte dessa avaliação, as interdependências

precisam ser totalmente identificadas e compreendidas, sendo fundamentais

tanto para o plano de continuidade de negócio e recuperação de desastres de

uma perspectiva da TI. Por exemplo, até não realizarmos a análise de impacto

do negócio, não existe como saber se para recuperarmos um sistema X faz-se

necessário recuperar primeiramente o sistema Y do qual o sistema X é

dependente.

Os processos de missão crítica são aqueles que têm o maior impacto em

as operações da sua empresa. A maior parte dos colaboradores de uma

empresa tem uma compreensão congênita das operações de missão crítica

dentro de seu departamento. Susan (2007) diz que a chave é reunir todos esses

dados e desenvolver uma visão abrangente dos processos e missão crítica em

uma perspectiva organizacional. Quais são os processos que devem estar

presentes para a empresa gerar valor? Estes serão os processos de missão

crítica. O modo de fazer com que as pessoas se concentrem nas funções críticas

da missão é perguntar (seja através de questionário, entrevista ou workshops) o

que as primeiras das três ou cinco coisas que as pessoas fariam em seu

departamento após uma interrupção do negócio? Isso geralmente lhe dá a visão

mais clara da missão crítica. funções de negócios em cada departamento.

Lento (2014) ressalta que, independentemente do método utilizado para

determinar o grau de sensibilidade de um sistema de TI e os seus dados, os

donos do sistema e das informações são os únicos responsáveis em esclarecer

o nível de impacto em termos de perdas ou degradação de qualquer de uma das

propriedades de segurança ou pela combinação delas entre si. O autor ressalta

que a abordagem mais adequada na realização do BIA é a técnica de entrevista

com o dono do sistema e das informações.

2.3 Definição de estratégia de mitigação

Segundo Snedaker (2007), a mitigação do risco é definida como o ato de

tomar medidas para reduzir os efeitos adversos. Não existe uma estratégia pré-

definida para atender a todos os cenários. As estratégias de mitigação de riscos

devem atender aos objetivos financeiros, operacionais e de gerenciamento de

riscos.

Para Lento (2014), o processo de mitigar riscos está relacionado a

priorização, avaliação e implementação dos controles de segurança

recomendados na etapa de análise de riscos. O controle de segurança a ser

implantado deverá ser o mais adequado para conseguir reduzir o risco ao nível

aceitável, com menor custo e, proporcionando o menor impacto negativo as

recursos e funcionalidades.

Na prática, não existe nenhum cenário que torna uma empresa cem por

cento blindada contra eventuais problemas que afetam a continuidade do

negócio. A saída é minimizar as possibilidades de problemas. Apesar de a

tecnologia existente e políticas internas de segurança que protegem um

departamento de TI já bem estruturado, é preciso sempre assumir o risco como

uma possibilidade real e, dessa forma, criar planos de contingência para os

riscos existentes, minimizando os estragos.

Dentro de um processo de mitigação de riscos, podemos trata-los da

seguinte forma: assumir, evitar, planejar, pesquisar e reconhecer e, transferi-lo

a terceiros.

Lento (2014) enfatiza que a forma de como o risco será tratado depende

de cada organização, assim como a definição de quais riscos serão tratados.

Através do resultado do BIA temos em mãos dados para poder definir que riscos

devem ser tratados por ela, nunca fugindo da premissa que o ideal é o controle

mais eficiente, mais barato e de menor impacto.

2.4 PDCA

As organizações estão em constante mudanças – mudança nas

operações, mudança de tecnologia, mudança de pessoal, mudança de

regulamentos, etc. Essas mudanças possuem impacto direto no plano de

continuidade e negócios criado. O plano é criado com base em dados de análise

de riscos e processos de negócio e, quando os mesmos sofrem alterações,

essas precisam refletir no plano de continuidade de negócios.

As mudanças podem afetar o plano de continuidade e precisam ser

monitoradas. Nem todas as mudanças terão impacto no plano, mas elas

precisam ser cuidadosamente avaliadas e monitoradas para determinar ser o

seu impacto e, como serão abordadas dentro do plano. (Snedaker,2007).

Com o intuito de minimizar o risco associado a acontecimentos disruptivos

foi criada a ISO 22301. Essa norma especifica os requisitos para planejar,

estabelecer, implementar, monitorar, rever, manter e otimizar continuamente um

sistema de gestão de continuidade de negócio. Ela foi escrita com base no ciclo

PDCA (Plan-Do-Check-Act) definindo que, para ter um sistema de

gerenciamento de continuidade de negócios eficaz, primeiramente deve-se

planejar (Plan), incluindo todos os objetivos. Após realizado o planejamento, é

possível implementar (Do) o que foi planejado, e então verificar (Check) os

resultados analisando se os objetivos foram alcançados. Na próxima etapa então

é possível agir (Act), realizando ações corretivas alinhando o que foi

desenvolvido com o que foi planejado (Kosutic, 2017).

Mesmo em concordância com o ciclo PDCA onde as normas como BS

25999 e mais recentemente a ISO 22301 são baseadas e reconhecendo o

sucesso de implementações de projetos de continuidade baseados nas normas,

Hiles (2011) cita que um dos maiores motivos de fracassos é falta de

comprometimento da alta direção e das pessoas chaves do negócio. Conforme

o autor, seguir o ciclo de vida do PDCA em sequência rígida demanda tempo e

recursos, desiludindo as pessoas chaves do negócio que ainda não entendem o

seu papel ou o que devem produzir. Como solução ele sugere a produção de um

primeiro plano de continuidade em um curto prazo, com informações básicas de

contato e dados de recursos, permitindo que as partes do negócio comecem a

entender os problemas envolvidos e o seu papel no processo.

3. Análise dos resultados e discussões

A análise dos resultados obtidos propicia um entendimento e uma

avaliação dos serviços de TI essenciais para as áreas de negócio da

transportadora, em um ponto de vista da própria área, identificando os seus

processos críticos e os impactos que cada área tem para cadeia de valor da

empresa.

Os questionários e entrevistas foram realizados com as áreas de gestão

e coordenação, uma vez que, estas áreas estão alinhandas com as estratégias

de negócio e, a opinião destes se torna imprescindível para entendermos os

processos críticos de cada área e iniciarmos um projeto de plano de continuidade

de negócio para cada processo, diagnosticando os riscos, identificando as

vulnerabilidades e ameaças que expõem aos riscos as informações manuseadas

e armazenadas pelos usuários da organização.

Somente a partir da identificação dos processos críticos junto as áreas de

negócio é que podemos elencar os principais processos que estão inseridos na

cadeia de valor que precisam ter um plano de continuidade de negócio

desenvolvido para garantir um RTO aceitável pela organização, juntamente com

o tratamento dos riscos e procedimentos que garantam a efetividade do plano.

Todas os colaboradores entrevistados fazem parte da empresa a mais de

5 anos, sendo que destes, mais de 30 por cento estão na empresa a mais de

uma década. Isso garante que os funcionários entrevistados conhecem os

processos de sua área, as estratégias de negócio utilizadas nos últimos anos e

também as relações e dependências de outros setores. É importante ressaltar

que oitenta por cento dos colaboradores envolvidos na pesquisa dizem conhecer

o que é um plano de contingência, porém, dividem-se ao opinar sobre a

existência de um plano de contingência para os serviços de TI utilizados pelo

seu setor. O setor de Tecnologia da Informação possui procedimentos de

contingência para evitar interrupcões de serviços que ela considera importantes

para o negócio, porém, não deixa claro para as áreas de negócio a existência

destes procedimentos bem como SLA ou RTO e RPO para os serviços de cada

área.

3.1 Conhecimento e Relevância de Normas de Segurança da

Informação

Os colaboradores da amostra de pesquisa mostraram-se familiarizados

com termos de segurança da informação, gestão de continuidade e plano de

continuidade para o negócio, porém, oitenta por cento desconhecem as normas

utilizadas para a segurança da informação. Sobre o conhecimento da aplicação

de termos utilizandos em um plano de continuidade (risco, impacto e incidente),

o resultado da pesquisa foi bem dividido, onde apenas cinquenta e três por cento

conhecem a aplicabilidade destes conceitos dentro de um plano PCN.

A elaboração de um PCN na empresa foi considerada importante e para

a maioria dos pesquisados, oitenta por cento das respostas consideram a

adoção de um plano de continuidade é para o negócio onde a empresa está

inserido como relevante ou essencial. Existem clientes que estão começando a

exigir a existência de plano de contigência para a contratação do serviços. Estes

clientes normalmente possuem a sede administrativa em outro país e, suas

normas de qualidade exigem que prestadores de serviço possuam planos para

garantir a operacionabilidade dos serviços e não afetar processos de sua cadeia

de valor.

3.2 Dependências dos Serviços de TI

Antes de iniciar a discussão dos resultados com relação a dependência

de serviços de TI por parte do negócio, é pertinente conhecermos a cadeia de

valor da empresa da amostra.

Através da Figura 1, é possível verificar um desenho da cadeia de valor

da empresa objeto do estudo. A análise da cadeia de valor permite entender

quais processos estão inseridos dentro de cada área, sendo que os processos

primários são participam diretamente da entrega de valor ao cliente e os

impactos operacionais são elevados.

*Fonte: desenvolvida pelo autor

Figura 1: Cadeia de Valor

Na Figura 2 são apresentados dois índices extremamente importantes

obtidos através da pesquisa realizada: os períodos críticos de utilização de

serviços de Tecnologia da Informação e a dependência dos setores de negócio

com estes serviços.

*Fonte: pesquisa do autor

Figura 2: Gráficos de dependência e períodos críticos de utilização

Dentre os processos das áreas de negócio que dependem dos serviços

de TI, através da pesquisa foi possível identificar 5 áreas principais:

• Automação de depósito: Processos que realizam a automação de operações nos terminais, como: conferência de mercadorias, sorterização e apontamentos;

• Sistema de Gestão: Processos operacionais realizados dentro dos softwares de gestão (ERP);

• Mobilidade: Processos de gestão frota em trânsito: coletas e entregas, monitoramento de posicionamento dos veículos.

• Indicadores de Performance: Processos de gerenciamento de indicadores de performance e kpis;

• Comercial: Processos de tratativas e contatos com cliente.

Os processos das áreas de negócio da transportadora caracterizam-se

por ser altamente dependentes dos serviços e sistemas fornecidos pela TI.

Apenas o setor de controladoria informou que, de alguma forma, é possível

realizar os seus processos sem possuir acessos aos recursos TI.

Os colaboradores da amostra, em pergunta aberta informaram que o seu

setor não pode ficar sem os serviços de TI utilizados por nenhum minuto, ou seja,

tempo de parada zero. Entende-se que, dependendo do risco, torna-se inviável

para TI mitiga-lo de forma a garantir um serviço cem por cento disponível.

Fechando a pergunta, os colaboradores entenderam e, validou-se que é possível

ficar até 2 horas sem os principais recursos de TI até o acionamento do plano de

contingência e, entendendo que estar em contingência significa trabalhar com a

quantidade de recursos e serviços de forma muitas vezes reduzida, visando

atender especialmente os processos de negócio.

Períodos críticos de utilização dos serviços críticos de TI

Datas Comemorativas Fim de tarde/Noite

Quinzenas Sempre

Inicio e Fim de mês

93%

7%

Dependência dos serviços de TI

Altamente Dependente

Pouco Dependente

Os processos de missão crítica são aqueles que têm o maior impacto em

as operações da empresa. Foi possível identificar que a maior parte dos

colaboradores da empresa tem uma compreensão congênita das operações de

missão crítica dentro de seu departamento. Os processos de cada área são

sempre mais importantes para o colaborador daquela área, porém, muitas vezes

não geram impactos na operação da empresa. Como a empresa não possui um

plano de continuidade definido, faz-se necessário iniciar o desenvolvimento do

projeto de continuidade, focando inicialmente nos processos críticos

identificados.

3.3 Processos Críticos

Através dos dados coletados, foi possível identificar 5 processos críticos

do negócio que precisam ter um PCN definido, de modo a garantir a

confiabilidade, integridade e disponibilidade dos serviços de TI necessários para

o desempenho destes processos.

3.3.1 Automação de Depósito

Por automação de depósito, entende-se os processos de movimentação

de cargas dentro dos terminais, através da utilização de dispositivos móveis

(coletores de dados) para apontamento e conferência das cargas e descargas.

Conforme entrevista com os gestores, este processo classificado como o mais

crítico, uma vez que tem impacto direto na cadeia de valor.

Além de coletores de dados, o processo de automação de deposito utiliza-

se de um equipamento de sorterização para separação da carga em 3 dos seus

CDs, permitindo a realização da cubagem dos volumes transportados e também

o envio dos volumes para a rota correta.

Em caso de interrupção nos serviços de TI que suportam estes processos,

o custo financeiro e operacional é altíssimo, pois a operação é altamente

dependente dos serviços de TI para o funcionamento deste processo. O gestor

operacional da empresa cita na entrevista que, atualmente ele não vê os

processos de terminal acontecerem sem os serviços de TI que os suportam

disponíveis.

3.3.2 ERP

Todos os processos operacionais e de backoffice necessitam das

informações e processos do sistema de gestão corporativa. Não existe outra

forma de os processos da empresa serem realizados sem a utilização das rotinas

do sistema. A automação de depósito faz uso das informações alimentadas no

banco de dados do ERP.

3.3.3 SITE

O site da empresa é hoje o principal ponto de contato com clientes. Além

de ser o site institucional que é a imagem externa da empresa, são fornecidos

inúmeros serviços aos clientes como: cotação, coleta e informações sobre

embarques.

3.3.4 Mobilidade

Grande parte dos processos operacionais foram migrados para tarefas

móveis. As solicitações de coletas e efetivação de entregas foram desenvolvidas

em um ambiente móvel que permite monitorar e controlar cada atividade de

todos os veículos. Problemas neste processo impactam em não geração das

atividades para o motorista na ponta e falta de retroalimentação no sistema.

3.3.5 Integração com Clientes

A troca de informação com o cliente em ambos os sentidos é um processo

crucial na operação do negócio da transportadora. Através da integração com

clientes que a transportadora recebe os arquivos e solicitações de embarques e

envia ocorrências de entrega e dados de faturamento. Problemas com a

integração com os clientes causam problemas operacionais e, além disso,

dependendo do cliente pode afetar no faturamento, uma vez que existem

cláusulas garantindo o envio e o recebimento destas informações.

Atualmente, além de troca de arquivos via EDI (Eletronic Data

Interchange), a transportadora faz uso de tecnologias de webservice para

possibilitar uma comunicação em tempo real com clientes.

3.4 Elaboração do PCN

O ponto chave do processo de elaboração do PCN foi o de não subestimar

quaisquer ameaças identificadas no Relatório de Gestão de Riscos,

considerando inclusive ameaças oriundas de serviços de outsourcing. Por fim, o

PCN foi construído seguindo os passos a seguir: Identificação dos processos e

ativos críticos que necessitavam de proteção; Identificação do grau de exposição

dos ativos ao desastre (ameaça); Análise das medidas de proteção; e

Estratégias de contingência, envolvendo comunicação, responsabilidades e

priorização de atividades.

4.CONCLUSÕES

Um Plano de Continuidade de Negócios (PCN) não é um documento muito

comum na maioria das organizações brasileiras, sendo muito comum que após

a ocorrência de algum incidente de segurança da informação como ataque ou a

ocorrência de algum risco conhecido, os sistemas de informação fiquem dias

sem operação para seus clientes, demonstrando o total despreparo da

organização perante ação das ameaças.

A organização pesquisada não possuí um PCN e, no inicio da pesquisa,

durante o diagnóstico, foi possível identificar as ameaças e, como a empresa

estava despreparada para os mais diversos tipos de desastres, desde pequenos

incidentes como a falta de energia elétrica até os incidentes de maiores

proporções.

A criação da proposta de PCN para os serviços de TI que suportam os

processos críticos do negócio apresentou algumas dificuldades, uma vez que o

mapeamento de riscos existentes precisou ser atualizado para identificarmos as

ameaças aos processos. Além disso, a empresa depende muito dos seus

gestores gerais que definem e “alinham” os processos.

Os principais resultados alcançados através desta pesquisa foram os

esforços que devem ser realizados pelo departamento de TI para garantirem a

continuidade dos serviços de TI que suportam a cadeia de valor da empresa.

Estes esforços e procedimentos estão detalhados no PCN desenvolvido. Alguns

esforços dependem de projetos pontuais e outros de aportes financeiros (como

no caso de aquisição de equipamentos de backup e contingência).

Existem itens do PCN onde o risco foi transferido para terceiros, ou seja,

depende de um alinhamento entre empresa e fornecedor, definindo os processos

e níveis de acordo de serviço, bem como tempos de RTO e RPO.

Espera-se que as propostas apresentadas sejam utilizadas pela

organização pesquisada e, conforme a inclusão de novos processos e serviços,

ela seja atualizada, visando um alinhamento forte entre o PCN e a realidade da

empresa.

Como trabalhos futuros, espera-se a elaboração de planos de PDCA para

monitoramento e revisão dos processos, em conjunto com a utilização de

ferramentas e bibliotecas de boas práticas como: ITIL, COBIT e outras que

possam surgir.

REFERÊNCIAS

ABNT- Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002

– Tecnologia da informação – Técnicas de segurança – Código de prática para

a gestão da segurança da informação. Rio de Janeiro, ABNT, 2005.

ABPMP. BPM CBOK - Business Process Management Common Body of

Knowledge. Chicago: ABPMP, 2009

ABRAPP. Guia de Boas Práticas para Planos de Continuidade de

Negócios. São Paulo, 2012

ALBERTIN, A. L.; ALBERTIN R. D. Benefícios do uso de tecnologia de

informação para o desempenho empresarial. Revista de Administração Pública,

275-302. mar/abr.2008.

FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de.

Implantando a Governança de TI: da Estratégia à Gestão dos Processos e

Serviços. 4.ed. Rio de Janeiro: Brasport, 2014

HILES, A. The definitive handbook of business continuity management.

Chichester, England: John Wiley & Sons, 2011.

LENTO, Luiz Otávio Botelho; LUZ, Théo Augustus. Gestão de

Continuidade do Negócio – Livro Digital. Unisul Virtual, 2014

KOSUTIC, Dejan. Becoming Resilient – The Definitive Guide to ISO

22301 Implementation. Zagreb: Advisera Expert Solutions, 2017

MANOEL, Sérgio da Silva. Governança de Segurança da Informação:

como criar oportunidades para o seu negócio. Rio de Janeiro: Brasport, 2014

PAZ, Guilherme Teles. Boas Práticas de Governança de TI no setor de

Transporte de Cargas Fracionadas. Santa Cruz do Sul: Unisc, 2015

PORTER, M. E. Competitive Advantage . New York: Free Press, 1985

SÊMOLA, Marcos. Gestão da Segurança da Informação: Uma visão

executiva. 2.ed. Rio de Janeiro: Elsevier, 2014

SANTOS, L. C. dos; BARUQUE L. B. Governança em Tecnologia da

Informação. Rio de Janeiro: Fundação CECIERJ, 2010

SNEDAKER, S. Business Continuity & Disaster Recovery for IT

Professionals. Burlington: Elsevier Inc, 2007

Apêndice

Apêndice A: Roteiro de entrevista.

Neste Apêndice é apresentado o roteiro de entrevista aplicada a

gestores gerais de cada área do negócio (primeiro na cadeia de direção

estratégica):

a) Nome:

b) Departamento:

c) Principais responsabilidades:

d) Processos críticos:

e) Impacto Financeiro:

f) Impacto Operacional:

g) Serviços e sistemas de TI utilizados:

h) Dependências de outras atividades ou setores:

i) Existe outra forma de realizar os processos sem os sistemas?

j) Na sua visão, qual o impacto de ficar sem um dos serviços de TI?

k) Em uma visão interdepartamental, quais serviços prestados pela TI

você considera mais importantes? (emissão de documentos fiscais, automação

de depósito, e-mail, internet,)

l) Qual o tempo máximo que você considera viável a empresa ficar sem

algum dos serviços?

m) Dentre as ameaças abaixo, classifique em ordem de maior para

menor com relação a importância em caso de ocorrência:

- Interrupção dos Serviços

- Perda de informação

- Roubo de Informação

- Destruição dos Recursos (hardwares)

- Modificação da informação

- Revelação da informação

Apêndice B: Questionário de pesquisa:

Neste Apêndice é apresentado o questionário aplicado a todos os

gestores gerais das áreas de negócio entrevistados e também aos seus

segundos em comando (cargos de liderança e coordenação).

Questionário da pesquisa

Informações gerais

Nome Completo:

_______________________________________________________

Setor:____________________________

Favor marcar com um X somente em uma única resposta que melhor se apresente

para você.

1. Seu cargo na empresa:

Direção Gerência Coordenação/liderança

Analista Técnico

2. Tempo em que você está na empresa:

1 ano ou menos mais de 1 a 3

anos

mais de 3 a 5 anos

mais de 5 a 10 anos mais de 10 anos

3. Grau de escolaridade:

Superior

Completo

Superior

incompleto

Técnico

Ensino Médio Ensino

Fundamental

4. Você conhece o termo “Plano de Contingência”

Sim Não

5. Você sabe se existe algum “Plano de Contingência” para os serviços de TI

utilizados pelo seu setor

Sim Não

Parte 1- Conhecimento das normas de segurança e plano de continuidade de

negócio.

a. Conhece o conceito de Segurança da Informação?

Sim

Não

b. Conhece algumas das Normas abaixo? Caso sim, assinale a

opção referente.

Sim

Não

ISO/IEC 27001:2006 ISO/IEC 27002:2005 ISO/IEC 27005:2008

c. Já ouviu falar sobre o termo “Gestão de Continuidade de

Negócio”?

Sim

Não

d. E sobre Plano de Continuidade de Negócio, sabe a que se

refere?

Sim

Não

e. Tem conhecimento ou já ouviu falar sobre os conceitos de risco

impacto e incidente?

Sim

Não

f. Ainda sobre o item d, você conhece as aplicações desses

conceitos no PCN?

Sim

Não

Parte 2 - Relevância das normas de segurança e do plano de continuidade de

negócio.

a. Considera importante a elaboração de um PCN na

empresa? Caso afirmativo, qual o grau de importância que

este representa à empresa?

Sim

Não

Bom Relevante Essencial

Indiferente

b. Considera a utilização das Normas citadas no item b

do questionário 1, importantes na elaboração de um PCN?

Sim

Não

c. Você acredita que o PCN é importante aos serviços de

T.I, na garantia de deixá-los disponíveis em casos de

incidentes?

Sim

Não

d. Ainda sobre o item c, considera útil o desenvolvimento

de um PCN voltado ao setor de T.I?

Sim

Não

e. Você acredita que com a adoção de um PCN, torna-se

mais fácil premeditar os impactos aos quais os serviços de

T.I estão expostos?

Sim

Não

Parte 3 – Dependência dos sistemas de TI

a. Cite os principais processos que dependem dos serviços

de TI:

________________________________________________

________________________________________________

________________________________________________

________________________________________________

b. Os principais processos do seu setor podem ser

realizados manualmente, sem o auxilio dos sistemas de TI?

Sim Não

c. As atividades do seu setor já foram interrompidas devido

a falhas em algum serviço de TI? Se sim, por quanto

tempo?

Sim

Não

__________________

d. Quanto tempo o seu setor pode ficar sem os recursos de

TI utilizados?

e. Existe um período do dia/semana/mês crítico para a disponibilidade dos serviços de

TI?

___________________

Apêndice C: Plano de Continuidade de Negócios Sugerido

Neste Apêndice é apresentado o PCN, propriamente dito, através da

Tabela 1.

Tabela 1: Plano de Continuidade de Negócio (PCN) proposto para a Transportadora de Cargas (Baseado nos processos críticos do negócio).

PLANO DE CONTINUIDADE DE NEGÓCIOS - PCN

Identificação de Incidentes Tratamento do Incidente

Incidente Causas Plano de Continuidade (PCO) Plano de Recuperação

(PRD)

Falta de Energia

Elétrica

Externa

O nobreak atual funciona por

até 4 horas. O PCO sugere a

instalação de um gerador na

Matriz para garantir a

continuidade dos serviços até

o reestabelecimento da

energia.

Acionamento junto a

prestadora de energia

elétrica o restabelecimento

dos serviços.

Interna

Utilização de nobreaks para

equipamentos do datacenter,

switches, antenas wireless e

microcomputadores dos

responsáveis pelos serviços

críticos

Acionar o setor de

patrimônio para que seja

feito reparos à rede elétrica

Nobreak

Substituição da fonte de

energia por outro nobreak ou

estabilizador

Levar o nobreak na

manutenção para reparos

Indisponibilidade

dos Serviços de

Redes

Switch Substituição do equipamento

por um reserva.

Acionar a garantia do

equipamento junto ao

fabricante




(PRD)

Danos ao

cabeamento

Substituição do acesso,

disponibilizando acesso via

wireless ou por outro cabo de

spare devidamente preparado

Substituir ou reparar o cabo

danificado

Servidores/Storage

Manter servidores e storage

em cluster com a HA (High

Availbility), mantendo a

possibilidade de falha de pelo

menos 1 equipamento

(storage ou servidor)

possibilitando

Acionar a garantia do

equipamento junto ao

fabricante

Danos ao servidor

de Aplicação de

Arquivos, File

Server, Domínio,

Banco de Dados

Substituição dos dados de

backup da VM dos mesmos

até o último backup realizado.

O RPO de cada serviços

deve ser definido

Identificar as causas que

ocasionaram o dano e

criação de plano de ação

para garantir que o

problema não se repita

Moderação

acidental de dados

Restauração de backup.

Lembrando que o RPO deve

ser acordado com o negócio

Identificar meios pelos

quais foram possíveis de

realizar as moderações e

tratá-los conforme política

de SI, solicitando correções

nos sistemas se necessário

ou permissões.

Moderação

proposital

Remoção

proposital

Identificar os meios pelos

quais foram possíveis

realizar a remoção e tratá-

los conforme política de SI.

Indisponibilidade

da

Comunicação

(Internet)

Danos de fibra

óptica

Acionamento de um link

extra, diferente da tecnologia

utilizada que permita a

liberação de serviços críticos

que necessitam

exclusivamente da internet e

rede MPLS até que os

serviços normais sejam

reestabelecidos.

Acionar a operadora da

prestação de serviços de

telecomunicação, o qual

realizará os diagnósticos e

o devido reparo. Para a

rede fechada MPLS, contar

com tratamento de

proatividade.

Danos ao

roteador/modem

Danos a linha

telefônica




(PRD)

Problema com o

equipamento de

gateway

Trabalhar com alta

disponibilidade na Matriz. Nas

comunicações das filiais,

trabalhar com um roteamento

de contingência baseado na

rede fechada MPLS, através

de rota em switch.

Acionar o fornecedor

responsável pelos serviços

de MSSP (Managed

Security Services).

Vírus

Contaminação por

vírus Isolamento das máquinas

afetadas para evitar a

proliferação às demais.

Fazer atualização e

varredura de antivírus e

identificar os meios que

possibilitaram a

contaminação, tratando-os

segundo política de SI

adotada.

Ransomware Buscar o backup mais

recente anterior a infeção.

Indisponibilidade

de restauração

de backups

Danos as mídias

de armazenamento

de backup

Dar continuidade aos serviços

que não dependam das

informações do backup até

que estas estejam

recuperadas.

Fazer restauração através

de softwares e

equipamentos específicos,

buscar outro POR e

registrar plano de ação

para evitar recorrência,

como testar a mídias de

backup através de rotinas

automatizadas.

Falhas de

Hardwares

Danos a

impressoras (laser

e térmicas)

Substituição da impressora

danificada por uma reserva

ou a configuração para

impressão em outra

impressora até o reparo

Acionar o fornecedor

responsável pelo contrato

de impressão

Danos a

microcomputadores

Substituição da máquina


até o reparo

Encaminhar a máquina

danificada para Matriz.

Falhas de

Software

Danos ao sistema

operacional

Substituição da máquina


até o reparo

Identificar a causa do dano

e, caso necessário, realizar

a reinstalação do SO.




(PRD)

Danos causados

por atualização de

softwares próprios

Restabelecer os serviços

através da restauração de

backups, conforme RDM.

Identificar as causas do

problema e saná-las.

Danos causados

por atualização de

softwares de

terceiros

Fazer isolamento do módulo

danificado e, se necessário,

voltar a versão.

Solicitar a imediata

manutenção ao proprietário

do software danificado.

Dano à software

utilitário

No caso de departamentos

que realizam interações com

clientes, devem fazê-los

manualmente para garantir o

andamento das atividades até

o restabelecimento do

aplicativo.

Reparo através de backup

ou através da reinstalação

e/ou atualização do

software

Casos de máquina de acesso

a banco e que necessitam de

autorizações, verificar os

procedimentos de liberação

junto ao fornecedor.

No caso de aplicações de

missão crítica que possuam

software específico, como o

equipamento de sorterização,

possuir máquina backup em

spare.

Demais casos devem fazer

uso de outra máquina até que

seja feito o devido reparo.

Falta de

Refrigeração

Danos aos

aparelhos de ar-

condicionado

Utilização do aparelho

reserva (pode ser portátil)

Acionar o setor de

patrimônio para que sejam

feitos os reparos e

consertos no mesmo

Danos causados

a mídias de

backup

Armazenamento

Inadequado Fazer uso da penúltima cópia

Verificar o local de

armazenamento e,

providenciar mídias extras

e armazenar em outro local




(PRD)

Serviços de

Integração

(Clientes,

Sorter)

Interrupção dos

serviços

Monitorar os serviços de

integração, corrigindo o

problema

Criar plano de ação para

verificar o que ocasionou a

falha e buscar correção

Incêndio

Desconhecida

No caso da Matriz, onde fica

o datacenter, acionar

estrutura de contingência em

outro local para os serviços

críticos de TI com RTO e

RPO acordados com o

negócio.

Montagem de recursos de

hardwares e softwares que

permitam o

restabelecimento imediato

dos serviços críticos do

negócio.

No caso de departamentos

que realizam interações com

clientes, devem fazê-los

manualmente para garantir o

andamento das atividades até

o restabelecimento do

aplicativo.

Montagem de recursos de

hardwares e softwares que

permitam o

restabelecimento imediato

dos serviços críticos

Casos de máquinas que

possuem aplicativos em

máquinas específicas, como

(sorter, atslog, acesso a

bancos) as mesmas devem

ser reconfiguradas para

trabalho autônomo e liberado

o uso

Demais casos, aguardar o

reparo ou disponibilização de

máquina de backup

Fonte: desenvolvido pelo autor

plano de continuidade de negÓcios de ti em uma …

Documents