Apresentação do Plano de Continuidade de Negócios

Gestão de Riscos e Continuidade como Diferencial Competitivo

Agenda

• Quem somos ?

• Conceitos

• BIA – Business Impact Analysis: uma ferramenta de Gestão

• Como Funciona ?

• Como podemos ajudar ?

2

Quem Somos

FERNANDO MARINHO

• Economista

• Pós Graduado em Segurança de Dados e Sistemas.

• Especializado em Business Continuity pelo DRII e BCI.

• Professor do curso de Pós-Graduação da UFRJ em Continuidade de Negócios

• Vice-Presiente da AIGELAC – Associação Internacional de Gestores de Emergênciapara América Latina e Caribe e Country Manager do IAEM (International Association of Emergency Managers)

• Membro do GARP (Global Association of Risk Professionals)

• Autor dos únicos livros específicos sobre Continuidade e Contingência no Brasil

• Consultor responsável por centenas de Projetos de Contingência Operacional e Continuidade de Negócios (mais detalhes em www.fernandomarinho.com.br)

3

Você Sabia ?

Nos EUA, para cada US$ 1.00 investido

em prevenção, é possível economizar

até US$ 7.00 ?

No Brasil, onde os impostos são

maiores, de quanta economia

estamos falando ?

Fonte: United Nations Development Program em

http://www.undp.org/content/undp/en/home/presscenter/articles/2012/07/02/act-now-save-later-new-un-social-media-campaign-launched-/

4

Conceitos Iniciais

• Contingência x Emergência

• Evento x Desastre

• Risco

• Impacto

• Severidade

• Business Impact Analysis

• Criticidade

5

Plano de Contingência Operacional (PCO):É a definição de uma estratégia de negócio, processo ou infra alternativos

Análise de Impacto nos Negócios (BIA):Permite avaliar a prioridade na recuperação de processos/ativos

Plano de Recuperação de Deastres (PRD):É a definição de uma estratégia de negócio, processo ou infra alternativos

Plano de Comunicação (PCom):Orienta o fluxo de informações, identificando responsáveis e suas funções

Conteúdo

Conteúdo do PCN

Plano de Continuidade de Negócios

Plano de Contingência Operacional

Plano de Recuperação de Desastres

Plano de Comunicação

Análise de Impacto nos

Negócios

Início dasPrimeirasRespostas

Ocorre uma Emergência/Evento

Enquanto a resposta à emergência continua e as ações

diminuem; As atividades de continuidade

aumentam

Pico das Ações de Continuidade

As ações de BCP continuam com a tendência de redução das atividades até o retorno à

normalidade de operações

Continuidadede Negócios

Resposta àEmergência

[Tempo]

Emergência e Continuidade

Riscos Corporativos

• São agentes externos

• Podem ser mitigados em funçãodo Planejamento Estratégico e requisitos dos Planos de Ação

• Geralmente são estáticos(tratados e esquecidos)

• Raramente são acompanhadoslongo prazo

9

Pulo do Gato #1

Os maiores perigos residem nos riscos “invisíveis”:

• Erros humanos

• Eventos da natureza

• Concorrência

• “Inesperados” ou

“não mapeados” 10

Riscos Corporativos

• Podem existir sem acarretar perdas

• Podem se concretizar, sem acarretar impactos

• Podem existir, sem serem percebidos

• Um único risco pode acarretar diferentes impactos

11

Riscos Corporativos

• Um conjunto de riscos podeacarretar perda muito maior do que a soma de impactos de um risco isolado (“Efeito Dominó”)

• Geralmente não sãoacompanhados (“filho feio…”)

• Sua empresa possui hoje alguémresponsável pelo assunto ?

12

Evento

• Não confundir com “desastre” (evento de impactos maiores que a capacidade de resposta)

• Indica qualquer fato que ameace a normalidade dos processos

• Pode afetar diferentemente processos, setores ou mesmo organizações

• Nem sempre acarreta impactos

13

Evento

• Ato involuntário ou não, que apresenta Risco de Dano

14

Fonte: Disaster Recovery Journal

Impacto

• É acarretado por um Evento

• Geralmente acarreta perdas

• Afeta diferentemente processos,

setores ou mesmo organizações

• Apresenta indicadores qualitativos

e/ou quantitativos

• Trata-se do resultado indesejado

• Podem ser previstos e mitigados

16

Efeitos Colaterais da Crise

• Perda da confiança na habilidade de gerenciar crises

• Dano à “Marca”

• Depreciação de ações das companhias

• Mudanças na liderança executiva e gestão responsável

• Interrupção das operações das companhias desde gestão de crises até a recuperação

• Bilhões/Milhões de R$ anualmente pagos em multas, taxas e obrigações acessórias

• Redução da base de clientes e perda de participação no mercado

• O processo de recuperação leva anos para terminar

• Regulamentos adicionais17

Severidade

• Indica a variação das perdas relacionadas aos Impactos

• Ocorrem diferentemente sobre processos, áreas ou mesmo organizações

• São imprevísíveis

18

E as Perdas e Danos

19

Business Impact Analysis

Estabelece um referencial para ser gerenciado ao longo do tempo: Criticidade

• Baseado nas Impactos acarretados pela concretização de riscos

• Considera custos quantitativos ou qualitativos

• Indica os limites de tempo para ocorrência dos impactos

• Permite a priorização dos riscos em relação aos custos e aosprazos

20

Criticidade

• Diferente da importância, que é relativa (pessoal)

• Varia em função do processo e do negócio

• Considera o momentodo evento

• Torna-se uma métricapara Planejamento

21

Business Impact Analysis

22

Business Impact Analysis

Benefícios

• Identifica as possíveis consequências caso impacto se concretize;

• Avalia o prazo necessário para que os prejuízos acarretadospelos riscos se manifestem;

• Permite ordenar de acordo com o montante de perdas ou emrelação à tolerância de interrupção, cada um dos impactos;

• Oferece um patamar de perdas caso os riscos se concretizem, permitindo a avaliação dos custos envolvidos.

23

O papel dos Riscos nos Custos

• Custo Total = Custo Fixos + Custos Variáveis

• Custos Fixos = Conhecidos

• Custos Variáveis = Previstos + Imprevistos

Como reduzir o percentual das despesas

acarretadas por variáveis imprevistas ?

Podemos nos preparar para o imprevisível ?

24

Janela de Recuperação (Operacional)

25

Custo

Tempo

Restauração

Parada

“n” Horas/Dias

“x” K Reais

Estratégias de Recuperação(Técnicas)

26

Te

mp

o d

e In

terr

up

çã

o

Montante de Dados Perdidos

CLUSTER

MULTI-SITE

REPLICAÇÃO

SÍNCRONA

REPLICAÇÃO

ASÍNCRONA

SALA-COFRE

COM DR SITE

“COLD”

DR SITE

FITAS

BACK UP

OFF-SITE

Estratégias “on-line” ou baseadas

Em replicação

Estratégias “off-line” ou baseadas

em cópias de segurança

1 Segundo 1 Semana

30 minutos

1 Semana

Como Funciona ?

27

Um processo de negócio ou aplicativodepende (é sustentado) por “n” tiposde Componentes

Processo de Negócio

Como Funciona ?

28

Na caso de indisponibilidade de um ouMais destes componentes, um Plano deContingência ou Continuidade pode seracionado.

Processo de Negócio

Como Funciona ?

29

O Plano de Contingência (PCO)permite a execução do PN, mesmoque um Componente encontre-seindisponível (p.e.: como trabalharsem telefonia ?).

Como Funciona ?

30

Um Plano de Recuperação de Desastres(PRD) visa a reposição/restauração de umdos Componentes que suportam os PNs(p.e: a troca de um Servidor de Rede).

Como Funciona ?

31

Um PCN traça um plano aonde o PCO eo PRD são executados simultaneamente,garantindo a continuidade do PN e a reposição/restauração do Componenteparalelamente

Como Funciona ?

32

Um PGC cuida dos aspectos de atualização,acionamento e término de cada um dos outrosPlanos, parametrizando-os.

Tendências Comuns

• O pior só acontece no vizinho

• Deixa que eu faço

• Planos não consideram respostas aos impactos possíveis (“Isso nunca vai acontecer”)

• Planos inadequados à magnitude dos riscos identificados (“Se isso acontecer, só vai pegar 01…”)

• Planos não escalonáveis

• Planos ignoram ações de gestão e recuperação

• Comunicações de estratégias e crise inadequadas

33

Tendências Comuns

• Desafios na Gestão de Informações

• Falta de treinamento/ teste ou exercicio mínimo dos planos

• Ausência de sincronia entre o ambiente de TI e a necessidade dos negócios

• Falha em definir as expectativas de sucesso

• Falta de uma estrutura de Comando de Incidentes(ICS) e/ou Gestão de Crises

34

Dúvidas

35

36

“...se existirem duas ou mais formas de fazer uma tarefa, e uma delas puder provocar um desastre, alguém irá adotá-la...”

Edward Murphy Jr. (1918-1990)

Lembrete

“É mais barato criar uma solução para Continuidade de Negócios do que reduzir seus riscos a zero.”

Fernando Marinho (1964-)

Lembrete # 2Lembrete

Juntos Podemos Controlar os Resultados

Escritório: 21 2543 6000

Celular: 21 98154 9940

E-mail: contato@fernandomarinho.com.br

Site: www.fernandomarinho.com.br38