SlideShare uma empresa Scribd logo
GESTÃO DE CONTINUIDADE DE NEGÓCIOS COMO
FERRAMENTA ESTRATÉGICA
Gledson Scotti1
Andréia Ana Bernardini2
Resumo
Visando descrever a importância de plano de continuidade de negócios como ferramenta
estratégica para as organizações, onde muitas delas não possuem mapeados os seus
principais processos e serviços, não sabendo o quão crítico pode ser um determinado
processo ou serviço interrompido, este artigo explana o assunto de forma sucinta para
objetivar boas práticas nas organizações mitigando riscos e corrigindo-os.
Palavras-chave: Continuidade de negócios. Desastre. Recuperação. Gestão Estratégia.
Governança em TI.
1 INTRODUÇÃO
Entende-se como continuidade de negócios, toda e qualquer atitude tomada para
redundância de seus ativos, sendo eles processos ou equipamentos, ao qual a organização
julga importante e optar pela não parada destes, pois neles estão concentrados a maior “perda”
pro parada deste ativo.
O presente artigo irá descrever a importância de plano de continuidade de negócios
como ferramenta estratégica para as organizações, devido ao fato de mesmo nos dias de hoje,
empresas de médio e pequeno porte não terem um plano “B” necessário para a continuidade
do comprometimento e obrigações para com seus clientes e fornecedores.
No primeiro momento, o artigo trás uma abordagem teórica sobre a gestão estratégica.
A seguir, descreve-se a continuidade de negócios, focando a visão geral da gestão de
continuidade de negócios, a gestão de continuidade relacionada com a gestão de riscos, a
dependência do negócio em relação à tecnologia da informação, o papel da TI nas
organizações e os fatores que influenciam a continuidade. Por fim, será abordado os riscos e
avaliações necessárias para identificar e mensurar um ativo de uma organização.
Considerando a relevância do tema, este artigo tem como objetivo conscientizar as
empresas da necessidade da utilização de ferramentas estratégicas, pensando na continuidade
do negócio, já que nos tempos de hoje, um dia parado pode significar perdas gigantescas, seja
no campo financeiro, tecnológico e profissional.
2 GESTÃO ESTRATÉGICA
As formas de buscar novos elementos, objetivando as organizações para um mesmo
propósito, sendo sistemáticas na elaboração de projetos e no acompanhamento de suas
implementações, demonstram alguns pontos de gestão estratégica aplicada ao negócio.
1
Especialista em Gestão de Tecnologia da Informação. E-mail: gledsonscotti@hotmail.com
2
Mestre em Ciência da Computação, pela UFRGS. E-mail: andreia@esucri.com.br
2
Num mercado tão complexo e em constante evolução, as empresas não conseguem
sobreviver quando apenas alguns dos gestores estão envolvidos na formulação e
implementação de estratégias. Independentemente do nível e da área de especialidade,
os gestores devem conhecer e perceber os conceitos básicos da gestão estratégica.
(HENRIQUES, 2009).
Portanto, na gestão estratégica, o gestor precisa ter uma visão geral do negócio, nunca
focando somente uma determinada área. Além disso, deve estar comprometido e envolvido,
ser dominado pela prática, criar modelos, fazer planos, não sendo proibido teorizar desde que
oferecendo resultados para a organização. Assim, precisa preocupar-se também com o
portfólio de serviços e produtos oferecidos pela organização, sempre os renovando de acordo
com analise e necessidade, repensando na estrutura organizacional e seus processos
administrativos.
Enfim uma empresa com gestão estratégica eficiente esta sempre verificando seus
processos e sua real situação, examinando-os e corrigindo-os caso necessário, mantendo sua
sobrevivência, crescimento e diferenciação de forma competitiva no mercado. A visão do
futuro é um dos principais objetivos da gestão estratégica, permitindo ações antecipadas a
possíveis riscos a organização (CAMPOS, 2009).
3 CONTINUIDADE DE NEGÓCIOS
Observa-se que uma das discussões mais importantes de avaliar risco nas organizações
é a continuidade de negócios. Possuir planos de continuidade do negócio não se limita a
apenas possuir backups de sistemas de informação ou equipamentos, não se trata mais de
modismo e, sim, parte integrante da gestão estratégica dos negócios.
Logo depois dos atentados terroristas de 2001 que devastaram centenas de
companhias nos Estados Unidos – e que propagaram seus efeitos por todo o mundo –,
uma preocupação que ressoou entre boa parte das organizações esteve na elaboração
de planos de contingência de negócios. (FUSCO, 2007).
Elementos como processos, motores, servidores, comunicação, energia são ditos
contínuos quando em sua importância não possam sofrer qualquer parada. A continuidade se
faz a partir de uma avaliação do elemento em questão, qual sua importância e quanto será
perdido com sua parada. A partir desta avaliação um elemento que passaria despercebido pela
organização passa a se tornar um ativo.
3.1 VISÃO GERAL DA GESTÃO DE CONTINUIDADE DE NEGÓCIOS (GCN)
A gestão da continuidade de negócios visa estabelecer uma estrutura organizacional
adequada para (GESTÃO,2009):
• melhorar a resistência a um incidente nas organizações de forma proativa contra
interrupções de atingir seus principais objetivos no negócio;
• restabelecer uma organização fornecendo seus principais produtos e/ou serviços em níveis
e tempos previamente acordados após uma interrupção;
• obter o reconhecimento da capacidade de gerenciar uma interrupção no negócio
protegendo a marca e a reputação de uma organização.
De acordo com a ABNT NBR 15999-1 (2007, p.6, grifo nosso), menciona que ainda
que os processos de continuidade se diferenciem de acordo com o tamanho das organizações
a estrutura, as responsabilidades e os princípios básicos não se alteram, sendo elas
repartições públicas, privadas ou mesmo instituições de caridade, independentemente de
serem complexas ou não.
3
3.2 GESTÃO DE CONTINUIDADE RELACIONADA COM GESTÃO DE RISCOS
Complementar a uma estrutura de gestão de riscos, a GCN (Gestão de Continuidade de
Negócios) busca entender os riscos às operações e negócios, bem como suas conseqüências.
Gestão de riscos tem por objetivo administrar riscos relacionados aos principais produtos e
serviços fornecidos por uma organização (ABNT ISO/IEC 27002:2005:Código de Prática).
Focado no impacto da interrupção, o GCN visa identificar produtos e serviços dos
quais a organização depende para sobreviver, identificando o que é necessário para que
continue cumprindo com suas obrigações. De forma a proteger suas pessoas, instalações,
tecnologia, informações, cadeia de fornecimento, partes interessadas e reputação. Uma
organização através da GCN pode reconhecer o que precisa ser feito antes da ocorrência de
uma incidente.
3.3 DEPENDÊNCIA DO NEGÓCIO EM RELAÇÃO A TECNOLOGIA DA
INFORMAÇÃO (TI)
Quanto mais as organizações utilizam TI em seus processos e operações importantes,
percebe-se que a TI possui mais papel estratégico para esta Organização.
Analisando a Figura 1, afirma-se que quando a TI tem alto impacto nas operações
chaves e nas estratégias chaves é que a TI é estratégica para o negócio, já quando a TI possui
alto impacto nas operações chaves, mas baixo impacto nas estratégias chaves é que a TI
depende de seu negócio para o dia-a-dia, mas para seu futuro não. Ainda afirmam que quando
a TI tem baixo impacto nas operações chaves e nas estratégias chaves é que a TI esta
executando apenas tarefa de suporte e que quando tem baixo impacto nas operações e alto
impacto nas estratégias ela está exercendo um papel de mudança, apoiando fortemente o
direcionamento futuro da organização (FERNANDES; ABREU, 2008)
Figura 1 – Impacto da TI nas Organizações
Fonte: FERNANDES; ABREU (2008, p.12)
3.4 PAPEL DA TI NAS ORGANIZAÇÕES
Segundo Magalhães e Pinheiro (2007), a TI em uma organização líder desempenha um
papel de atuação movendo-se da eficiência e eficácia para a efetividade e economicidade,
relacionada a estratégia de negócio da organização. Esta, por sua vez, é forçada a implementar
4
um Gerenciamento de Serviços em TI, que a leve a geração de valor para organização,
maximizando o retorno para os negócios dos investimentos e das despesas efetuadas em TI.
[...] Neste novo cenário, jargões como “melhores práticas”, “otimização de
processos”, “qualidade do serviço” e “alinhamento estratégico dos serviços de TI ao
negócio” deixam de ser meros jogos de palavras e passam a ser parte do novo estilo de
vida de todas as áreas TI. Sendo assim, tais áreas tendem a adotar processos guiados
pelas melhores práticas do mercado com o objetivo de não terem de aprender e crescer
por meio de tentativas, erros e atribulações já vivenciadas e superadas por outras
organizações. (MAGALHÃES; PINHEIRO, 2007, p.35).
3.5 FATORES QUE INFLUENCIAM A CONTINUIDADE
Conforme Fernandes e Abreu (2008), a norma BS 25999-1:2006, código de prática,
lançada pelo British Institute of Standards (Instituto Britânico de Normas) que trata de
Bussines Contimuity Management – BCM (Gestão da Continuidade do Negócio) relacionam
os fatores que influenciam a continuidade. São eles:
• Identificar impactos de interrupções operacionais de forma proativa;
• Ter uma resposta imediata que minimize o impacto de uma organização ao se depararem
com uma interrupção;
• Manter habilidade para gerenciar riscos não asseguráveis;
• Encorajar o trabalho entre equipes;
• Demonstrar capacidade de resposta através de um processo de teste do plano de
continuidade do negócio com credibilidade;
• Aumentar a reputação da Organização;
• Obter vantagem competitiva, estando em conformidade através de demonstração de
habilidade mantendo as entregas e prazos acordados para seus clientes.
Vale lembrar que esta norma é aplicável para qualquer pessoa responsável por uma
operação e sua continuidade.
4 AVALIANDO RISCOS
4.1 CONCEITUAÇÃO DE RISCO
O termo risco é proveniente da palavra risicu ou riscu, em latim, que significa ousar
(to dare, em inglês). Costuma-se entender “risco” como possibilidade de “algo não dar certo”,
mas seu conceito atual envolve a quantificação e qualificação da incerteza, tanto no que diz
respeito às “perdas” como aos “ganhos”, com relação ao rumo dos acontecimentos
planejados, seja por indivíduos, seja por organizações (IBGC, 2009).
O risco é inerente a qualquer atividade na vida pessoal, profissional ou nas
organizações, e pode envolver perdas, bem como oportunidades. Em Finanças, a relação
risco-retorno indica que quanto maior o nível de risco aceito, maior o retorno esperado dos
investimentos. Esta relação vale tanto para investimentos financeiros como para os negócios,
cujo “retorno” é determinado pelos dividendos e pelo aumento do valor econômico da
organização (IBGC, 2009).
4.1.1 Objetivos Estratégicos e Perfil a Riscos
Perfil a riscos deve ser orientado pelo objetivo estratégico da organização, este
definido por todos que investiram na organização. O conselho administrativo que reflete a
5
posição dos acionistas a quanta exposição a risco a organização aceita correr e o nível de
apetite quanto à tolerância a riscos (IBGC, 2009).
4.1.2 Categorização dos Riscos
Dentre os tipos de riscos, encontram-se dois que se relacionam: o risco pessoal e o
risco de reputação. O primeiro como o causador e o segundo como conseqüência de má
gestão de riscos. Eventos que podem atingir a reputação de um organização, geralmente
denominado “risco de imagem” os que se tornam público, como por exemplo: uma empresa
de marca conhecida e conceituada no mercado acusada por causar poluição ou contratação de
fornecedores com práticas trabalhistas condenáveis. Este impacto negativo pode servir de
ponto positivo para o concorrente.
Verificando em livros, guias, cadernos eletrônicos e outros, constata-se que não se
encontra uma classificação padrão de importância de risco para as organizações, pois um link
de dados pode ser pouco importante para uma empresa de suprimentos, porém crucial para
uma instituição bancária. Com isto, percebe-se que a classificação do risco deve-se de acordo
com as características de cada organização.
A categorização dos riscos pode ser expressa em forma de matriz considerando
origem, natureza e tipos dos riscos, conforme demonstrado no Quadro 1.
Tipos
Natureza dos riscos
Estratégico Operacional Financeiro
Origem
dos
eventos
Externo
Macroeconômicos
Ambiental
Social
Tecnológico
Legal
Interno
Financeiro
Ambiental
Social
Tecnológico
Conformidade
Quadro 1 - Categorização de Riscos
Fonte: IBGC (2009).
Quanto a origem dos eventos, os riscos podem ser externos e internos. No primeiro são
ameaças vindas de fora da empresa seja elas econômicas, políticas, sociais, naturais em que a
organização se encontra. Alguns exemplos seriam mudança de cenário político, catástrofe
ambiental, problemas de saúde pública, dentre outros. Já no segundo, são ameaças originadas
dentro da própria organização por algum processo, seu quadro pessoal ou seu ambiente
tecnológico (IBGC, 2009).
Quanto a natureza dos riscos, deve-se procurar classificá-la, permitindo agregação de
forma organizada. Risco de natureza estratégica, que resulta em fraudes relevantes nas
demonstrações financeiras causado por má gestão empresarial. Risco operacional ao qual
ocasionam parada total ou parcial nas atividades de uma organização causando perda de
imagem perante a sociedade. Risco financeiro ao qual a organização pode ser exposta,
mascarando informações financeiras, assim maximizando fluxo de caixa para falsa
valorização no mercado (Lei Sarbanes-Oxley) (IBGC, 2009).
6
4.1.3 Avaliação e Tratamento do Risco
A avaliação de riscos tem por objetivo elencar de uma forma ordenada por prioridade
a importância de um processo de negócio ou atividade suportada por um determinado ativo ou
conjunto de ativos. Se o processo ou ativo for julgado como de pouca importância, convém
que os riscos a ele associado sejam menos considerados (ABNT ISO/IEC 27005:2008).
O tratamento de risco deve ser avaliado com base em resultados de análise dos riscos
de uma organização. Quando com uma despesa relativamente pequena, uma organização poça
diminuir significativamente um determinado risco, diz-se estar efetuando a redução do risco
passando-o para um nível aceitável, assim com o nível aceitável esta organização opta pela
aceitação do risco (Retenção do Risco). Caso a organização se depare com um risco
demasiadamente elevado e os custos de seu tratamento excedem seus benefícios pode-se
decidir que o risco seja evitado por completo (Evitar Risco), podendo então, dependendo da
avaliação de riscos, transferir sua responsabilidade para um entidade capaz de gerenciá-lo de
forma eficaz (ABNT ISO/IEC 27005:2008). A figura 2 ilustra a atividade de tratamento de
risco aqui explanada.
Figura 2 – Atividade de tratamento do risco
Fonte: ABNT ISO/IEC 27005 (2008, p.18)
4.2 DOCUMENTOS QUE APONTAM MELHORES PRÁTICAS
Basicamente todas as normas relativas à segurança da informação originaram-se do
Governo Britânico. Os documentos que apontam melhores práticas na área de segurança em
Tecnologia da Informação estão contemplados na série ISO/IEC 27000.
ISO/IEC 27001 Requisitos para sistema de gestão para a segurança da informação,
originada da BS 7799-2:2002, visa instituir um modelo para estabelecer, implantar, operar,
monitorar, rever, manter e melhorar um sistema de gestão da segurança da informação
(Information Security Management System - ISMS).
7
Esta norma, importante para segurança da informação, possui o item A.14.1,
orientação que descreve os aspectos da gestão de continuidade do negócio relativos a
segurança da informação, com o objetivo de impedir a parada das atividades do negócio e
proteger os processos críticos contra falhas ou desastres significativos, assegurando sua
retomada em tempo hábil. Os itens necessários para obedecer estes aspectos são descritos no
Quadro 2.
Item Controle
Incluir segurança da
informação no processo de
gestão da continuidade de
negócio.
Um processo de gestão deve ser desenvolvido e mantido para
assegurar a continuidade do negócio por toda a organização e
que contemple os requisitos de segurança da informação
necessários para a continuidade do negócio da organização.
Continuidade de negócios e
análise/avaliação de risco.
Devem ser identificados os eventos que podem causar
interrupções aos processos de negócio, junto à probabilidade e
impacto de tais interrupções e as conseqüências para a
segurança de informação.
Desenvolvimento e
implementação de planos
de continuidade relativos à
segurança da informação
Os planos devem ser desenvolvidos e implementados para a
manutenção ou recuperação das operações e para assegurar a
disponibilidade da informação no nível requerido e na escala
de tempo requerida, após a ocorrência de interrupções ou
falhas dos processos críticos do negócio.
Estrutura do plano de
continuidade do negócio.
Uma estrutura básica dos planos de continuidade do negócio
deve ser mantida para assegurar que todos os planos são
consistentes, para contemplar os requisitos de segurança da
informação e para identificar prioridades para testes e
manutenção.
Testes, manutenção e
reavaliação dos planos de
continuidade do negócio
Os planos de continuidade do negócio devem ser testados e
atualizados regularmente, de forma a assegurar sua permanente
atualização e efetividade.
Quadro 2 – Aspectos de GCN
Fonte: ABNT NBR ISO/IEC 27001:2006
ISO/IEC 27002 Código de prática para sistema de gestão da segurança da informação,
estabelece princípios gerais para iniciar, manter e melhorar a gestão da segurança da
informação em uma organização, provendo diretrizes sobre as metas geralmente aceitas para a
gestão da segurança da informação. A implantação dos objetivos de controles associados da
norma tem como finalidade atender aos requisitos identificados por meio da análise e
avaliação de riscos. A norma também serve como um guia prático para desenvolver os
procedimentos de segurança da informação e práticas eficientes de gestão, além de ajudar a
criar confiança nas atividades inter organizacionais. Antiga norma ISO/IEC 17799:2005.
ISO/IEC 27003 Orientação para implementação de um sistema de gestão da segurança
da informação. Esta norma ainda encontra-se em desenvolvimento.
ISO/IEC 27004:2009 fornece orientações sobre o desenvolvimento e a utilização de
medidas e medição, a fim de avaliar a eficácia de um sistema de gestão implementado a
Segurança da Informação (SGSI) e controles ou grupos de controles, conforme especificado
na ISO/IEC 27001. Esta norma ainda encontra-se em desenvolvimento.
ISO/IEC 27005:2008 Gestão de riscos, fornece orientações para a informação de
gestão de riscos de segurança. Ele suporta os conceitos gerais especificados na norma
8
ISO/IEC 27001 e é projetado para auxiliar a execução satisfatória da segurança da informação
baseada em uma abordagem de gestão de risco. Esta norma é aplicável a todos os tipos de
organizações (por exemplo, empresas comerciais, agências governamentais, organizações sem
fins lucrativos) que pretendam gerir os riscos que possam comprometer a segurança da
informação. Conhecimento dos conceitos, modelos, processos e terminologias descritos na
norma ISO/IEC 27001 e ISO/IEC 27002 é importante para um completo entendimento da
norma ISO/IEC 27005:2008.
ISO/IEC 27006 Requisitos para prestadores de serviços de auditoria e certificação de
sistemas de gestão da segurança da informação, que especifica requisitos fornecendo
orientação para empresas de auditoria e certificadoras do sistema de gestão da segurança da
informação de uma organização. Destinado principalmente a empresas certificadoras ISMS
(Information Security Management System).
4.3 CASO DE SUCESSO COM GESTÃO DE CONTINUIDADE APLICADA
Na gestão de continuidade aqui analisada, verifica-se que o objetivo é evitar a perda
financeira proporcionada pela continuidade de negócios. Comprovando este fato, tem-se o
incidente ocorrido na ilha de Florianópolis, em 29 de outubro de 2003, deixando a cidade com
45 horas e 47 minutos sem energia elétrica. Segundo a Folha de São Paulo, mais de 300 mil
pessoas foram atingidas (PREVISÃO, 2009).
[...] a explosão de um duto de gás localizado na ponte Colombo Salles, que liga o
continente à ilha, acabou rompendo os cabos de alta tensão que fornecem energia
elétrica à região e, por conseqüência, também os cabos de fibra óptica das empresas
de telefonia. (MESQUITA, 2003).
Nos jornais locais foi mencionado que, infelizmente, o cabo de contingência passava
ao lado do cabo de produção e com a explosão este também fora afetado. As perdas
financeiras foram estimadas em R$ 30 milhões, segundo o jornal ANotícia, de 01 de
novembro de 2003.
[...] “perdi quatro toneladas de produtos frigoríficos (carne, peixe e frango). Um
prejuízo entre R$ 40 e R$ 50 mil”, disse desconsolado Maurílio Nunes Filho, de 27
anos, proprietário dos restaurantes Maurílio I e Maurílio II (CAOS, 2003).
Algumas empresas acabaram se beneficiando com o problema, foi o caso da rede de
supermercados Angeloni, pois além de não terem prejuízos com o blecaute, aumentaram seu
faturamento devido ao fato de ser um dos únicos estabelecimentos operando normalmente.
[...] no posto de combustível do Angeloni, na Avenida Beira-Mar Norte, a presença
do gerador causou grande procura e enormes filas desde o início do blecaute. A
maioria dos postos permaneceu fechada durante todo o dia (DRIBLANDO, 2003).
5 CONSIDERAÇÕES FINAIS
Disponibilidade está se tornando uma palavra muito comum para uma organização que
tem a gestão de continuidade de negócios como ferramenta estratégica. A importância do
mapeamento dos processos, serviços e equipamentos denominados ativos são muito
importantes, pois fazem com que as organizações possam aperfeiçoar, mitigar riscos e corrigi-
los de maneira proativa.
Muitos são os fatores que podem influenciar a Gestão de continuidade de negócios em
uma organização, principalmente quando a estratégia de negócios alinha-se para a perspectiva
9
de clientes. A organização necessita demonstrar sua solides e maturidade, demonstrando aos
seus clientes, que estará pronta a atendê-los seja qual for a dificuldade que esteja enfrentando.
A credibilidade torna-se então, ponto crucial.
O nível de resiliência de uma organização está ligado diretamente a complexidade dos
processos e o custo aplicado na implantação de continuidade. Evitar um risco não se torna
então um investimento, pois não há um retorno e sim um “evitar perdas”, que será diluído
com o passar dos tempos, podendo gerar oportunidades conforme analisamos neste artigo.
Hoje, na grande maioria das organizações que tem ciência de que a tecnologia de
informação está inserida em sua estratégia de negócios, preocupam-se e dão ênfase a
disponibilidade de seus principais ativos, independente do seu tamanho.
6 REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 15999-1: gestão de
continuidade de negócios: código de pratica. Rio de Janeiro, 2007.
______. NBR ISO/IEC 27001:2006: tecnologia da informação: técnicas de segurança:
sistemas de gestão de segurança da informação: requisitos. Rio de Janeiro, 2006.
______. NBR ISO/IEC 27002:2005: código de prática para gestão de segurança da
informação. Rio de Janeiro, 2005.
______. NBR ISO/IEC 27005:2008: gestão de riscos da segurança da informação. Rio de
Janeiro, 2008.
CAMPOS, Wagner. O que é gestão estratégica. 2009. Portal da Administração. Disponível
em: < http://www.administradores.com.br/artigos/o_que_e_a_gestao_estrategica/28653/>.
Acesso em: 22 set. 2009.
CAOS E prejuízos em dois dias de blecaute em Florianópolis. 2003. Jornal Floripa.
Disponível em: <http://inforum.insite.com.br/6318/904733.html>. Acesso em: 16 set. 2009.
DRIBLANDO a falta de energia elétrica. Jornal ANotícia Online, Joinville, 31 out. 2003.
Disponível em: < http://www1.an.com.br/2003/out/31/0ger.htm>. Acesso em: 17 set. 2009,
00:19:37.
FERNANDES, A. A; ABREU, A. F. Implementando a governança de TI: da estratégia à
gestão dos processos e serviços. 2. ed. São Paulo: Brasport, 2008.
FUSCO, Camila. Continuidade de negócios ganha padrão específico. Computeworld.
Disponível em: <http://computerworld.uol.com.br/gestao/2007/07/02/idgnoticia.2007-06-
29.0119174543/>. Acesso em: 13 maio 2009.
GESTÃO da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999-
2:2007. TI Safe Segurança da Informação LTDA. Disponível em:
http://www.tisafe.com/Recursos/ppt/PAL_Gestao_Continuidade_e_Normas_TISafe.pdf.
Acesso em: 01 set. 2009.
HENRIQUES, José Paulo. É preciso gestão estratégica. Student. Disponível em:
<http://student.dei.uc.pt/~jpdias/gestao/Strategic/>. Acesso em: 9 maio 2009.
1
IBGC - INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Guia de
orientação para gerenciamento de riscos corporativos. Disponível em:
<http://www.ibgc.org.br/cadernosgovernanca.aspx>. Acesso em: 14 set. 2009.
MAGALHÃES, I.L; PINHEIRO, W.B. Gerenciamento de Serviços de TI na Prática: Uma
abordagem com base na ITIL. São Paulo: Novatec, 2007.
MESQUITA, Renata. Blecaute em Florianópolis afetou telefonia. Info. Disponível em:
<http://info.abril.com.br/aberto/infonews/102003/30102003-3.shl>. Acesso em: 16 set. 2009.
PREVISÃO para volta de energia em Florianópolis é novamente adiada. Folha Online.
Disponível em: < http://www1.folha.uol.com.br/folha/cotidiano/ult95u84839.shtml >. Acesso
em: 21 set. 2009.

Mais conteúdo relacionado

Mais procurados

Plano de continuidade de negocios
Plano de continuidade de negociosPlano de continuidade de negocios
Plano de continuidade de negocios
Fernando Pessoal
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de Negócios
InformaGroup
 
Plano contigencia-ti-reagir-desastres
Plano contigencia-ti-reagir-desastresPlano contigencia-ti-reagir-desastres
Plano contigencia-ti-reagir-desastres
camara municipal de ananindeua
 
Palestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosPalestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de Negócios
GLM Consultoria
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
Alvaro Gulliver
 
Disaster Recovery
Disaster RecoveryDisaster Recovery
Disaster Recovery
Tiago Assentiz Alberto, CSM
 
Gestão da Continuidade de Negócios - mini curso
Gestão da Continuidade de Negócios - mini cursoGestão da Continuidade de Negócios - mini curso
Gestão da Continuidade de Negócios - mini curso
bioiniciativa - Estratégias Sustentáveis
 
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
Sidney Modenesi, MBCI
 
Continuidade do Negócio
Continuidade do NegócioContinuidade do Negócio
Continuidade do Negócio
Future Press, E-Press, Presentations,
 
GCN - Gestão de Continuidade de Negócios
GCN - Gestão de Continuidade de NegóciosGCN - Gestão de Continuidade de Negócios
GCN - Gestão de Continuidade de Negócios
Cassio Henrique. F. Ramos, CRISC
 
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
Marcelo Veloso
 
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioImplantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Sidney Modenesi, MBCI
 
Silva, w. lopes da jesus
Silva, w. lopes da   jesusSilva, w. lopes da   jesus
Silva, w. lopes da jesus
rasnnther
 
e-book DRP Alinhado às Necessidades do Negócio
e-book DRP Alinhado às Necessidades do Negócioe-book DRP Alinhado às Necessidades do Negócio
e-book DRP Alinhado às Necessidades do Negócio
Sidney Modenesi, MBCI
 
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
Sidney Modenesi, MBCI
 
Estrutura do plano de contingência para suporte de crise
Estrutura do plano de contingência para suporte de criseEstrutura do plano de contingência para suporte de crise
Estrutura do plano de contingência para suporte de crise
mpetersonss
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de Riscos
Carlos Henrique Martins da Silva
 
Plano contigência
Plano contigênciaPlano contigência
Plano contigência
leopp
 
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios noData Center do FuturoEscalabilidade, Resiliência e Continuidade de Negócios noData Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
Sidney Modenesi, MBCI
 
WannaCry 3.0
WannaCry 3.0WannaCry 3.0
WannaCry 3.0
Sidney Modenesi, MBCI
 

Mais procurados (20)

Plano de continuidade de negocios
Plano de continuidade de negociosPlano de continuidade de negocios
Plano de continuidade de negocios
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de Negócios
 
Plano contigencia-ti-reagir-desastres
Plano contigencia-ti-reagir-desastresPlano contigencia-ti-reagir-desastres
Plano contigencia-ti-reagir-desastres
 
Palestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosPalestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de Negócios
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
 
Disaster Recovery
Disaster RecoveryDisaster Recovery
Disaster Recovery
 
Gestão da Continuidade de Negócios - mini curso
Gestão da Continuidade de Negócios - mini cursoGestão da Continuidade de Negócios - mini curso
Gestão da Continuidade de Negócios - mini curso
 
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
 
Continuidade do Negócio
Continuidade do NegócioContinuidade do Negócio
Continuidade do Negócio
 
GCN - Gestão de Continuidade de Negócios
GCN - Gestão de Continuidade de NegóciosGCN - Gestão de Continuidade de Negócios
GCN - Gestão de Continuidade de Negócios
 
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
 
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioImplantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
 
Silva, w. lopes da jesus
Silva, w. lopes da   jesusSilva, w. lopes da   jesus
Silva, w. lopes da jesus
 
e-book DRP Alinhado às Necessidades do Negócio
e-book DRP Alinhado às Necessidades do Negócioe-book DRP Alinhado às Necessidades do Negócio
e-book DRP Alinhado às Necessidades do Negócio
 
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
 
Estrutura do plano de contingência para suporte de crise
Estrutura do plano de contingência para suporte de criseEstrutura do plano de contingência para suporte de crise
Estrutura do plano de contingência para suporte de crise
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de Riscos
 
Plano contigência
Plano contigênciaPlano contigência
Plano contigência
 
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios noData Center do FuturoEscalabilidade, Resiliência e Continuidade de Negócios noData Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
 
WannaCry 3.0
WannaCry 3.0WannaCry 3.0
WannaCry 3.0
 

Semelhante a Gestão de Continuidade de Negócios como Ferramenta Estratégica

Site amory serviços-planejamento est ok
Site amory serviços-planejamento est okSite amory serviços-planejamento est ok
Site amory serviços-planejamento est ok
Amory Serviços Ltda.
 
Artigo caso fleury
Artigo caso fleuryArtigo caso fleury
Artigo caso fleury
zeusi9iuto
 
Arquivo 2 artigo caso fleury
Arquivo 2   artigo caso fleuryArquivo 2   artigo caso fleury
Arquivo 2 artigo caso fleury
zeusi9iuto
 
6 (seis) motivos pelos quais as empresas fracassam na execução de suas estrat...
6 (seis) motivos pelos quais as empresas fracassam na execução de suas estrat...6 (seis) motivos pelos quais as empresas fracassam na execução de suas estrat...
6 (seis) motivos pelos quais as empresas fracassam na execução de suas estrat...
RICARDO MATTOS
 
Artigo+6+ indicadores+de+desempenho+empresarial+co
Artigo+6+ indicadores+de+desempenho+empresarial+coArtigo+6+ indicadores+de+desempenho+empresarial+co
Artigo+6+ indicadores+de+desempenho+empresarial+co
Graciele Soares
 
(NOVO)+O+gerenciamento+de+processos+de+negócios+como+uma+estratégia+de+gestão...
(NOVO)+O+gerenciamento+de+processos+de+negócios+como+uma+estratégia+de+gestão...(NOVO)+O+gerenciamento+de+processos+de+negócios+como+uma+estratégia+de+gestão...
(NOVO)+O+gerenciamento+de+processos+de+negócios+como+uma+estratégia+de+gestão...
JaquelineSakon
 
Como fidelizar clientes através do Planejamento estratégico
Como fidelizar clientes através do Planejamento estratégicoComo fidelizar clientes através do Planejamento estratégico
Como fidelizar clientes através do Planejamento estratégico
Amory Serviços Ltda.
 
Aplicação da governança em ti nas micro empresas
Aplicação da governança em ti nas micro empresasAplicação da governança em ti nas micro empresas
Aplicação da governança em ti nas micro empresas
Guilherme
 
Tcc Adolfo Stochiero - BPM - Business Process Management
Tcc Adolfo Stochiero - BPM - Business Process ManagementTcc Adolfo Stochiero - BPM - Business Process Management
Tcc Adolfo Stochiero - BPM - Business Process Management
Adolfo Stochiero de Assis Mates
 
Aula 9 ferramentas de gestão estratégica
Aula 9   ferramentas de gestão estratégicaAula 9   ferramentas de gestão estratégica
Aula 9 ferramentas de gestão estratégica
AndraSimoneMachiavel
 
A teoria do negocio
A teoria do negocioA teoria do negocio
A teoria do negocio
André Ótica Brasil
 
14.01.02 business intelligence no ambiente
14.01.02    business intelligence no ambiente14.01.02    business intelligence no ambiente
14.01.02 business intelligence no ambiente
Talita Lima
 
Etapa 4 de processo administrativo
Etapa 4 de processo administrativo Etapa 4 de processo administrativo
Etapa 4 de processo administrativo
tiago201301
 
Tecnicas de gerenciamento adm
Tecnicas de gerenciamento admTecnicas de gerenciamento adm
Tecnicas de gerenciamento adm
Wagner Santiago
 
Tecnicas de gerenciamento
Tecnicas de gerenciamentoTecnicas de gerenciamento
Tecnicas de gerenciamento
Wagner Santiago
 
Tecnicas de gerenciamento=_trabalho
Tecnicas de gerenciamento=_trabalhoTecnicas de gerenciamento=_trabalho
Tecnicas de gerenciamento=_trabalho
Wagner Santiago
 
Trabalho gti
Trabalho gtiTrabalho gti
Gestão Empresarial.pdf
Gestão Empresarial.pdfGestão Empresarial.pdf
Gestão Empresarial.pdf
Ernesto Thurmann
 
AvaliaçãO Da GestãO De Programas De Qvt
AvaliaçãO Da GestãO De Programas De QvtAvaliaçãO Da GestãO De Programas De Qvt
AvaliaçãO Da GestãO De Programas De Qvt
Luciana Bernadete Felix
 
Indicadores de ti utilizando itil® e balanced scorecard
Indicadores de ti utilizando itil® e balanced scorecardIndicadores de ti utilizando itil® e balanced scorecard
Indicadores de ti utilizando itil® e balanced scorecard
Guilherme Balestro
 

Semelhante a Gestão de Continuidade de Negócios como Ferramenta Estratégica (20)

Site amory serviços-planejamento est ok
Site amory serviços-planejamento est okSite amory serviços-planejamento est ok
Site amory serviços-planejamento est ok
 
Artigo caso fleury
Artigo caso fleuryArtigo caso fleury
Artigo caso fleury
 
Arquivo 2 artigo caso fleury
Arquivo 2   artigo caso fleuryArquivo 2   artigo caso fleury
Arquivo 2 artigo caso fleury
 
6 (seis) motivos pelos quais as empresas fracassam na execução de suas estrat...
6 (seis) motivos pelos quais as empresas fracassam na execução de suas estrat...6 (seis) motivos pelos quais as empresas fracassam na execução de suas estrat...
6 (seis) motivos pelos quais as empresas fracassam na execução de suas estrat...
 
Artigo+6+ indicadores+de+desempenho+empresarial+co
Artigo+6+ indicadores+de+desempenho+empresarial+coArtigo+6+ indicadores+de+desempenho+empresarial+co
Artigo+6+ indicadores+de+desempenho+empresarial+co
 
(NOVO)+O+gerenciamento+de+processos+de+negócios+como+uma+estratégia+de+gestão...
(NOVO)+O+gerenciamento+de+processos+de+negócios+como+uma+estratégia+de+gestão...(NOVO)+O+gerenciamento+de+processos+de+negócios+como+uma+estratégia+de+gestão...
(NOVO)+O+gerenciamento+de+processos+de+negócios+como+uma+estratégia+de+gestão...
 
Como fidelizar clientes através do Planejamento estratégico
Como fidelizar clientes através do Planejamento estratégicoComo fidelizar clientes através do Planejamento estratégico
Como fidelizar clientes através do Planejamento estratégico
 
Aplicação da governança em ti nas micro empresas
Aplicação da governança em ti nas micro empresasAplicação da governança em ti nas micro empresas
Aplicação da governança em ti nas micro empresas
 
Tcc Adolfo Stochiero - BPM - Business Process Management
Tcc Adolfo Stochiero - BPM - Business Process ManagementTcc Adolfo Stochiero - BPM - Business Process Management
Tcc Adolfo Stochiero - BPM - Business Process Management
 
Aula 9 ferramentas de gestão estratégica
Aula 9   ferramentas de gestão estratégicaAula 9   ferramentas de gestão estratégica
Aula 9 ferramentas de gestão estratégica
 
A teoria do negocio
A teoria do negocioA teoria do negocio
A teoria do negocio
 
14.01.02 business intelligence no ambiente
14.01.02    business intelligence no ambiente14.01.02    business intelligence no ambiente
14.01.02 business intelligence no ambiente
 
Etapa 4 de processo administrativo
Etapa 4 de processo administrativo Etapa 4 de processo administrativo
Etapa 4 de processo administrativo
 
Tecnicas de gerenciamento adm
Tecnicas de gerenciamento admTecnicas de gerenciamento adm
Tecnicas de gerenciamento adm
 
Tecnicas de gerenciamento
Tecnicas de gerenciamentoTecnicas de gerenciamento
Tecnicas de gerenciamento
 
Tecnicas de gerenciamento=_trabalho
Tecnicas de gerenciamento=_trabalhoTecnicas de gerenciamento=_trabalho
Tecnicas de gerenciamento=_trabalho
 
Trabalho gti
Trabalho gtiTrabalho gti
Trabalho gti
 
Gestão Empresarial.pdf
Gestão Empresarial.pdfGestão Empresarial.pdf
Gestão Empresarial.pdf
 
AvaliaçãO Da GestãO De Programas De Qvt
AvaliaçãO Da GestãO De Programas De QvtAvaliaçãO Da GestãO De Programas De Qvt
AvaliaçãO Da GestãO De Programas De Qvt
 
Indicadores de ti utilizando itil® e balanced scorecard
Indicadores de ti utilizando itil® e balanced scorecardIndicadores de ti utilizando itil® e balanced scorecard
Indicadores de ti utilizando itil® e balanced scorecard
 

Gestão de Continuidade de Negócios como Ferramenta Estratégica

  • 1. GESTÃO DE CONTINUIDADE DE NEGÓCIOS COMO FERRAMENTA ESTRATÉGICA Gledson Scotti1 Andréia Ana Bernardini2 Resumo Visando descrever a importância de plano de continuidade de negócios como ferramenta estratégica para as organizações, onde muitas delas não possuem mapeados os seus principais processos e serviços, não sabendo o quão crítico pode ser um determinado processo ou serviço interrompido, este artigo explana o assunto de forma sucinta para objetivar boas práticas nas organizações mitigando riscos e corrigindo-os. Palavras-chave: Continuidade de negócios. Desastre. Recuperação. Gestão Estratégia. Governança em TI. 1 INTRODUÇÃO Entende-se como continuidade de negócios, toda e qualquer atitude tomada para redundância de seus ativos, sendo eles processos ou equipamentos, ao qual a organização julga importante e optar pela não parada destes, pois neles estão concentrados a maior “perda” pro parada deste ativo. O presente artigo irá descrever a importância de plano de continuidade de negócios como ferramenta estratégica para as organizações, devido ao fato de mesmo nos dias de hoje, empresas de médio e pequeno porte não terem um plano “B” necessário para a continuidade do comprometimento e obrigações para com seus clientes e fornecedores. No primeiro momento, o artigo trás uma abordagem teórica sobre a gestão estratégica. A seguir, descreve-se a continuidade de negócios, focando a visão geral da gestão de continuidade de negócios, a gestão de continuidade relacionada com a gestão de riscos, a dependência do negócio em relação à tecnologia da informação, o papel da TI nas organizações e os fatores que influenciam a continuidade. Por fim, será abordado os riscos e avaliações necessárias para identificar e mensurar um ativo de uma organização. Considerando a relevância do tema, este artigo tem como objetivo conscientizar as empresas da necessidade da utilização de ferramentas estratégicas, pensando na continuidade do negócio, já que nos tempos de hoje, um dia parado pode significar perdas gigantescas, seja no campo financeiro, tecnológico e profissional. 2 GESTÃO ESTRATÉGICA As formas de buscar novos elementos, objetivando as organizações para um mesmo propósito, sendo sistemáticas na elaboração de projetos e no acompanhamento de suas implementações, demonstram alguns pontos de gestão estratégica aplicada ao negócio. 1 Especialista em Gestão de Tecnologia da Informação. E-mail: gledsonscotti@hotmail.com 2 Mestre em Ciência da Computação, pela UFRGS. E-mail: andreia@esucri.com.br
  • 2. 2 Num mercado tão complexo e em constante evolução, as empresas não conseguem sobreviver quando apenas alguns dos gestores estão envolvidos na formulação e implementação de estratégias. Independentemente do nível e da área de especialidade, os gestores devem conhecer e perceber os conceitos básicos da gestão estratégica. (HENRIQUES, 2009). Portanto, na gestão estratégica, o gestor precisa ter uma visão geral do negócio, nunca focando somente uma determinada área. Além disso, deve estar comprometido e envolvido, ser dominado pela prática, criar modelos, fazer planos, não sendo proibido teorizar desde que oferecendo resultados para a organização. Assim, precisa preocupar-se também com o portfólio de serviços e produtos oferecidos pela organização, sempre os renovando de acordo com analise e necessidade, repensando na estrutura organizacional e seus processos administrativos. Enfim uma empresa com gestão estratégica eficiente esta sempre verificando seus processos e sua real situação, examinando-os e corrigindo-os caso necessário, mantendo sua sobrevivência, crescimento e diferenciação de forma competitiva no mercado. A visão do futuro é um dos principais objetivos da gestão estratégica, permitindo ações antecipadas a possíveis riscos a organização (CAMPOS, 2009). 3 CONTINUIDADE DE NEGÓCIOS Observa-se que uma das discussões mais importantes de avaliar risco nas organizações é a continuidade de negócios. Possuir planos de continuidade do negócio não se limita a apenas possuir backups de sistemas de informação ou equipamentos, não se trata mais de modismo e, sim, parte integrante da gestão estratégica dos negócios. Logo depois dos atentados terroristas de 2001 que devastaram centenas de companhias nos Estados Unidos – e que propagaram seus efeitos por todo o mundo –, uma preocupação que ressoou entre boa parte das organizações esteve na elaboração de planos de contingência de negócios. (FUSCO, 2007). Elementos como processos, motores, servidores, comunicação, energia são ditos contínuos quando em sua importância não possam sofrer qualquer parada. A continuidade se faz a partir de uma avaliação do elemento em questão, qual sua importância e quanto será perdido com sua parada. A partir desta avaliação um elemento que passaria despercebido pela organização passa a se tornar um ativo. 3.1 VISÃO GERAL DA GESTÃO DE CONTINUIDADE DE NEGÓCIOS (GCN) A gestão da continuidade de negócios visa estabelecer uma estrutura organizacional adequada para (GESTÃO,2009): • melhorar a resistência a um incidente nas organizações de forma proativa contra interrupções de atingir seus principais objetivos no negócio; • restabelecer uma organização fornecendo seus principais produtos e/ou serviços em níveis e tempos previamente acordados após uma interrupção; • obter o reconhecimento da capacidade de gerenciar uma interrupção no negócio protegendo a marca e a reputação de uma organização. De acordo com a ABNT NBR 15999-1 (2007, p.6, grifo nosso), menciona que ainda que os processos de continuidade se diferenciem de acordo com o tamanho das organizações a estrutura, as responsabilidades e os princípios básicos não se alteram, sendo elas repartições públicas, privadas ou mesmo instituições de caridade, independentemente de serem complexas ou não.
  • 3. 3 3.2 GESTÃO DE CONTINUIDADE RELACIONADA COM GESTÃO DE RISCOS Complementar a uma estrutura de gestão de riscos, a GCN (Gestão de Continuidade de Negócios) busca entender os riscos às operações e negócios, bem como suas conseqüências. Gestão de riscos tem por objetivo administrar riscos relacionados aos principais produtos e serviços fornecidos por uma organização (ABNT ISO/IEC 27002:2005:Código de Prática). Focado no impacto da interrupção, o GCN visa identificar produtos e serviços dos quais a organização depende para sobreviver, identificando o que é necessário para que continue cumprindo com suas obrigações. De forma a proteger suas pessoas, instalações, tecnologia, informações, cadeia de fornecimento, partes interessadas e reputação. Uma organização através da GCN pode reconhecer o que precisa ser feito antes da ocorrência de uma incidente. 3.3 DEPENDÊNCIA DO NEGÓCIO EM RELAÇÃO A TECNOLOGIA DA INFORMAÇÃO (TI) Quanto mais as organizações utilizam TI em seus processos e operações importantes, percebe-se que a TI possui mais papel estratégico para esta Organização. Analisando a Figura 1, afirma-se que quando a TI tem alto impacto nas operações chaves e nas estratégias chaves é que a TI é estratégica para o negócio, já quando a TI possui alto impacto nas operações chaves, mas baixo impacto nas estratégias chaves é que a TI depende de seu negócio para o dia-a-dia, mas para seu futuro não. Ainda afirmam que quando a TI tem baixo impacto nas operações chaves e nas estratégias chaves é que a TI esta executando apenas tarefa de suporte e que quando tem baixo impacto nas operações e alto impacto nas estratégias ela está exercendo um papel de mudança, apoiando fortemente o direcionamento futuro da organização (FERNANDES; ABREU, 2008) Figura 1 – Impacto da TI nas Organizações Fonte: FERNANDES; ABREU (2008, p.12) 3.4 PAPEL DA TI NAS ORGANIZAÇÕES Segundo Magalhães e Pinheiro (2007), a TI em uma organização líder desempenha um papel de atuação movendo-se da eficiência e eficácia para a efetividade e economicidade, relacionada a estratégia de negócio da organização. Esta, por sua vez, é forçada a implementar
  • 4. 4 um Gerenciamento de Serviços em TI, que a leve a geração de valor para organização, maximizando o retorno para os negócios dos investimentos e das despesas efetuadas em TI. [...] Neste novo cenário, jargões como “melhores práticas”, “otimização de processos”, “qualidade do serviço” e “alinhamento estratégico dos serviços de TI ao negócio” deixam de ser meros jogos de palavras e passam a ser parte do novo estilo de vida de todas as áreas TI. Sendo assim, tais áreas tendem a adotar processos guiados pelas melhores práticas do mercado com o objetivo de não terem de aprender e crescer por meio de tentativas, erros e atribulações já vivenciadas e superadas por outras organizações. (MAGALHÃES; PINHEIRO, 2007, p.35). 3.5 FATORES QUE INFLUENCIAM A CONTINUIDADE Conforme Fernandes e Abreu (2008), a norma BS 25999-1:2006, código de prática, lançada pelo British Institute of Standards (Instituto Britânico de Normas) que trata de Bussines Contimuity Management – BCM (Gestão da Continuidade do Negócio) relacionam os fatores que influenciam a continuidade. São eles: • Identificar impactos de interrupções operacionais de forma proativa; • Ter uma resposta imediata que minimize o impacto de uma organização ao se depararem com uma interrupção; • Manter habilidade para gerenciar riscos não asseguráveis; • Encorajar o trabalho entre equipes; • Demonstrar capacidade de resposta através de um processo de teste do plano de continuidade do negócio com credibilidade; • Aumentar a reputação da Organização; • Obter vantagem competitiva, estando em conformidade através de demonstração de habilidade mantendo as entregas e prazos acordados para seus clientes. Vale lembrar que esta norma é aplicável para qualquer pessoa responsável por uma operação e sua continuidade. 4 AVALIANDO RISCOS 4.1 CONCEITUAÇÃO DE RISCO O termo risco é proveniente da palavra risicu ou riscu, em latim, que significa ousar (to dare, em inglês). Costuma-se entender “risco” como possibilidade de “algo não dar certo”, mas seu conceito atual envolve a quantificação e qualificação da incerteza, tanto no que diz respeito às “perdas” como aos “ganhos”, com relação ao rumo dos acontecimentos planejados, seja por indivíduos, seja por organizações (IBGC, 2009). O risco é inerente a qualquer atividade na vida pessoal, profissional ou nas organizações, e pode envolver perdas, bem como oportunidades. Em Finanças, a relação risco-retorno indica que quanto maior o nível de risco aceito, maior o retorno esperado dos investimentos. Esta relação vale tanto para investimentos financeiros como para os negócios, cujo “retorno” é determinado pelos dividendos e pelo aumento do valor econômico da organização (IBGC, 2009). 4.1.1 Objetivos Estratégicos e Perfil a Riscos Perfil a riscos deve ser orientado pelo objetivo estratégico da organização, este definido por todos que investiram na organização. O conselho administrativo que reflete a
  • 5. 5 posição dos acionistas a quanta exposição a risco a organização aceita correr e o nível de apetite quanto à tolerância a riscos (IBGC, 2009). 4.1.2 Categorização dos Riscos Dentre os tipos de riscos, encontram-se dois que se relacionam: o risco pessoal e o risco de reputação. O primeiro como o causador e o segundo como conseqüência de má gestão de riscos. Eventos que podem atingir a reputação de um organização, geralmente denominado “risco de imagem” os que se tornam público, como por exemplo: uma empresa de marca conhecida e conceituada no mercado acusada por causar poluição ou contratação de fornecedores com práticas trabalhistas condenáveis. Este impacto negativo pode servir de ponto positivo para o concorrente. Verificando em livros, guias, cadernos eletrônicos e outros, constata-se que não se encontra uma classificação padrão de importância de risco para as organizações, pois um link de dados pode ser pouco importante para uma empresa de suprimentos, porém crucial para uma instituição bancária. Com isto, percebe-se que a classificação do risco deve-se de acordo com as características de cada organização. A categorização dos riscos pode ser expressa em forma de matriz considerando origem, natureza e tipos dos riscos, conforme demonstrado no Quadro 1. Tipos Natureza dos riscos Estratégico Operacional Financeiro Origem dos eventos Externo Macroeconômicos Ambiental Social Tecnológico Legal Interno Financeiro Ambiental Social Tecnológico Conformidade Quadro 1 - Categorização de Riscos Fonte: IBGC (2009). Quanto a origem dos eventos, os riscos podem ser externos e internos. No primeiro são ameaças vindas de fora da empresa seja elas econômicas, políticas, sociais, naturais em que a organização se encontra. Alguns exemplos seriam mudança de cenário político, catástrofe ambiental, problemas de saúde pública, dentre outros. Já no segundo, são ameaças originadas dentro da própria organização por algum processo, seu quadro pessoal ou seu ambiente tecnológico (IBGC, 2009). Quanto a natureza dos riscos, deve-se procurar classificá-la, permitindo agregação de forma organizada. Risco de natureza estratégica, que resulta em fraudes relevantes nas demonstrações financeiras causado por má gestão empresarial. Risco operacional ao qual ocasionam parada total ou parcial nas atividades de uma organização causando perda de imagem perante a sociedade. Risco financeiro ao qual a organização pode ser exposta, mascarando informações financeiras, assim maximizando fluxo de caixa para falsa valorização no mercado (Lei Sarbanes-Oxley) (IBGC, 2009).
  • 6. 6 4.1.3 Avaliação e Tratamento do Risco A avaliação de riscos tem por objetivo elencar de uma forma ordenada por prioridade a importância de um processo de negócio ou atividade suportada por um determinado ativo ou conjunto de ativos. Se o processo ou ativo for julgado como de pouca importância, convém que os riscos a ele associado sejam menos considerados (ABNT ISO/IEC 27005:2008). O tratamento de risco deve ser avaliado com base em resultados de análise dos riscos de uma organização. Quando com uma despesa relativamente pequena, uma organização poça diminuir significativamente um determinado risco, diz-se estar efetuando a redução do risco passando-o para um nível aceitável, assim com o nível aceitável esta organização opta pela aceitação do risco (Retenção do Risco). Caso a organização se depare com um risco demasiadamente elevado e os custos de seu tratamento excedem seus benefícios pode-se decidir que o risco seja evitado por completo (Evitar Risco), podendo então, dependendo da avaliação de riscos, transferir sua responsabilidade para um entidade capaz de gerenciá-lo de forma eficaz (ABNT ISO/IEC 27005:2008). A figura 2 ilustra a atividade de tratamento de risco aqui explanada. Figura 2 – Atividade de tratamento do risco Fonte: ABNT ISO/IEC 27005 (2008, p.18) 4.2 DOCUMENTOS QUE APONTAM MELHORES PRÁTICAS Basicamente todas as normas relativas à segurança da informação originaram-se do Governo Britânico. Os documentos que apontam melhores práticas na área de segurança em Tecnologia da Informação estão contemplados na série ISO/IEC 27000. ISO/IEC 27001 Requisitos para sistema de gestão para a segurança da informação, originada da BS 7799-2:2002, visa instituir um modelo para estabelecer, implantar, operar, monitorar, rever, manter e melhorar um sistema de gestão da segurança da informação (Information Security Management System - ISMS).
  • 7. 7 Esta norma, importante para segurança da informação, possui o item A.14.1, orientação que descreve os aspectos da gestão de continuidade do negócio relativos a segurança da informação, com o objetivo de impedir a parada das atividades do negócio e proteger os processos críticos contra falhas ou desastres significativos, assegurando sua retomada em tempo hábil. Os itens necessários para obedecer estes aspectos são descritos no Quadro 2. Item Controle Incluir segurança da informação no processo de gestão da continuidade de negócio. Um processo de gestão deve ser desenvolvido e mantido para assegurar a continuidade do negócio por toda a organização e que contemple os requisitos de segurança da informação necessários para a continuidade do negócio da organização. Continuidade de negócios e análise/avaliação de risco. Devem ser identificados os eventos que podem causar interrupções aos processos de negócio, junto à probabilidade e impacto de tais interrupções e as conseqüências para a segurança de informação. Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação Os planos devem ser desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio. Estrutura do plano de continuidade do negócio. Uma estrutura básica dos planos de continuidade do negócio deve ser mantida para assegurar que todos os planos são consistentes, para contemplar os requisitos de segurança da informação e para identificar prioridades para testes e manutenção. Testes, manutenção e reavaliação dos planos de continuidade do negócio Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade. Quadro 2 – Aspectos de GCN Fonte: ABNT NBR ISO/IEC 27001:2006 ISO/IEC 27002 Código de prática para sistema de gestão da segurança da informação, estabelece princípios gerais para iniciar, manter e melhorar a gestão da segurança da informação em uma organização, provendo diretrizes sobre as metas geralmente aceitas para a gestão da segurança da informação. A implantação dos objetivos de controles associados da norma tem como finalidade atender aos requisitos identificados por meio da análise e avaliação de riscos. A norma também serve como um guia prático para desenvolver os procedimentos de segurança da informação e práticas eficientes de gestão, além de ajudar a criar confiança nas atividades inter organizacionais. Antiga norma ISO/IEC 17799:2005. ISO/IEC 27003 Orientação para implementação de um sistema de gestão da segurança da informação. Esta norma ainda encontra-se em desenvolvimento. ISO/IEC 27004:2009 fornece orientações sobre o desenvolvimento e a utilização de medidas e medição, a fim de avaliar a eficácia de um sistema de gestão implementado a Segurança da Informação (SGSI) e controles ou grupos de controles, conforme especificado na ISO/IEC 27001. Esta norma ainda encontra-se em desenvolvimento. ISO/IEC 27005:2008 Gestão de riscos, fornece orientações para a informação de gestão de riscos de segurança. Ele suporta os conceitos gerais especificados na norma
  • 8. 8 ISO/IEC 27001 e é projetado para auxiliar a execução satisfatória da segurança da informação baseada em uma abordagem de gestão de risco. Esta norma é aplicável a todos os tipos de organizações (por exemplo, empresas comerciais, agências governamentais, organizações sem fins lucrativos) que pretendam gerir os riscos que possam comprometer a segurança da informação. Conhecimento dos conceitos, modelos, processos e terminologias descritos na norma ISO/IEC 27001 e ISO/IEC 27002 é importante para um completo entendimento da norma ISO/IEC 27005:2008. ISO/IEC 27006 Requisitos para prestadores de serviços de auditoria e certificação de sistemas de gestão da segurança da informação, que especifica requisitos fornecendo orientação para empresas de auditoria e certificadoras do sistema de gestão da segurança da informação de uma organização. Destinado principalmente a empresas certificadoras ISMS (Information Security Management System). 4.3 CASO DE SUCESSO COM GESTÃO DE CONTINUIDADE APLICADA Na gestão de continuidade aqui analisada, verifica-se que o objetivo é evitar a perda financeira proporcionada pela continuidade de negócios. Comprovando este fato, tem-se o incidente ocorrido na ilha de Florianópolis, em 29 de outubro de 2003, deixando a cidade com 45 horas e 47 minutos sem energia elétrica. Segundo a Folha de São Paulo, mais de 300 mil pessoas foram atingidas (PREVISÃO, 2009). [...] a explosão de um duto de gás localizado na ponte Colombo Salles, que liga o continente à ilha, acabou rompendo os cabos de alta tensão que fornecem energia elétrica à região e, por conseqüência, também os cabos de fibra óptica das empresas de telefonia. (MESQUITA, 2003). Nos jornais locais foi mencionado que, infelizmente, o cabo de contingência passava ao lado do cabo de produção e com a explosão este também fora afetado. As perdas financeiras foram estimadas em R$ 30 milhões, segundo o jornal ANotícia, de 01 de novembro de 2003. [...] “perdi quatro toneladas de produtos frigoríficos (carne, peixe e frango). Um prejuízo entre R$ 40 e R$ 50 mil”, disse desconsolado Maurílio Nunes Filho, de 27 anos, proprietário dos restaurantes Maurílio I e Maurílio II (CAOS, 2003). Algumas empresas acabaram se beneficiando com o problema, foi o caso da rede de supermercados Angeloni, pois além de não terem prejuízos com o blecaute, aumentaram seu faturamento devido ao fato de ser um dos únicos estabelecimentos operando normalmente. [...] no posto de combustível do Angeloni, na Avenida Beira-Mar Norte, a presença do gerador causou grande procura e enormes filas desde o início do blecaute. A maioria dos postos permaneceu fechada durante todo o dia (DRIBLANDO, 2003). 5 CONSIDERAÇÕES FINAIS Disponibilidade está se tornando uma palavra muito comum para uma organização que tem a gestão de continuidade de negócios como ferramenta estratégica. A importância do mapeamento dos processos, serviços e equipamentos denominados ativos são muito importantes, pois fazem com que as organizações possam aperfeiçoar, mitigar riscos e corrigi- los de maneira proativa. Muitos são os fatores que podem influenciar a Gestão de continuidade de negócios em uma organização, principalmente quando a estratégia de negócios alinha-se para a perspectiva
  • 9. 9 de clientes. A organização necessita demonstrar sua solides e maturidade, demonstrando aos seus clientes, que estará pronta a atendê-los seja qual for a dificuldade que esteja enfrentando. A credibilidade torna-se então, ponto crucial. O nível de resiliência de uma organização está ligado diretamente a complexidade dos processos e o custo aplicado na implantação de continuidade. Evitar um risco não se torna então um investimento, pois não há um retorno e sim um “evitar perdas”, que será diluído com o passar dos tempos, podendo gerar oportunidades conforme analisamos neste artigo. Hoje, na grande maioria das organizações que tem ciência de que a tecnologia de informação está inserida em sua estratégia de negócios, preocupam-se e dão ênfase a disponibilidade de seus principais ativos, independente do seu tamanho. 6 REFERÊNCIAS ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 15999-1: gestão de continuidade de negócios: código de pratica. Rio de Janeiro, 2007. ______. NBR ISO/IEC 27001:2006: tecnologia da informação: técnicas de segurança: sistemas de gestão de segurança da informação: requisitos. Rio de Janeiro, 2006. ______. NBR ISO/IEC 27002:2005: código de prática para gestão de segurança da informação. Rio de Janeiro, 2005. ______. NBR ISO/IEC 27005:2008: gestão de riscos da segurança da informação. Rio de Janeiro, 2008. CAMPOS, Wagner. O que é gestão estratégica. 2009. Portal da Administração. Disponível em: < http://www.administradores.com.br/artigos/o_que_e_a_gestao_estrategica/28653/>. Acesso em: 22 set. 2009. CAOS E prejuízos em dois dias de blecaute em Florianópolis. 2003. Jornal Floripa. Disponível em: <http://inforum.insite.com.br/6318/904733.html>. Acesso em: 16 set. 2009. DRIBLANDO a falta de energia elétrica. Jornal ANotícia Online, Joinville, 31 out. 2003. Disponível em: < http://www1.an.com.br/2003/out/31/0ger.htm>. Acesso em: 17 set. 2009, 00:19:37. FERNANDES, A. A; ABREU, A. F. Implementando a governança de TI: da estratégia à gestão dos processos e serviços. 2. ed. São Paulo: Brasport, 2008. FUSCO, Camila. Continuidade de negócios ganha padrão específico. Computeworld. Disponível em: <http://computerworld.uol.com.br/gestao/2007/07/02/idgnoticia.2007-06- 29.0119174543/>. Acesso em: 13 maio 2009. GESTÃO da Continuidade de Negócios e as Normas ABNT NBR 15999-1:2007 e BS 25999- 2:2007. TI Safe Segurança da Informação LTDA. Disponível em: http://www.tisafe.com/Recursos/ppt/PAL_Gestao_Continuidade_e_Normas_TISafe.pdf. Acesso em: 01 set. 2009. HENRIQUES, José Paulo. É preciso gestão estratégica. Student. Disponível em: <http://student.dei.uc.pt/~jpdias/gestao/Strategic/>. Acesso em: 9 maio 2009.
  • 10. 1 IBGC - INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Guia de orientação para gerenciamento de riscos corporativos. Disponível em: <http://www.ibgc.org.br/cadernosgovernanca.aspx>. Acesso em: 14 set. 2009. MAGALHÃES, I.L; PINHEIRO, W.B. Gerenciamento de Serviços de TI na Prática: Uma abordagem com base na ITIL. São Paulo: Novatec, 2007. MESQUITA, Renata. Blecaute em Florianópolis afetou telefonia. Info. Disponível em: <http://info.abril.com.br/aberto/infonews/102003/30102003-3.shl>. Acesso em: 16 set. 2009. PREVISÃO para volta de energia em Florianópolis é novamente adiada. Folha Online. Disponível em: < http://www1.folha.uol.com.br/folha/cotidiano/ult95u84839.shtml >. Acesso em: 21 set. 2009.