Hoje será finalizada a sequência sobre GCN. Serão apresentados o Plano de Recuperação de Desastres, o Plano de Continuidade Operacional e a capacitação dos envolvidos. Ao final serão disponibilizados alguns documentos de apoio.
O Plano de Recuperação de Desastres
Este plano objetiva definir os procedimentos de restauração das operações de negócio aos seus níveis originais, no menor intervalo de tempo possível e dentro do tempo máximo de recuperação, nos casos de desastres (incidentes gravíssimos que causam a parada do negócio).
Pode-se optar por algumas estratégias de recuperação que causam impacto em três fatores na instituição: tempo, recursos humanos e recursos financeiros. Vejam algumas estratégias:
- Aceite: quando a análise do risco inferir que não causará impacto ao negócio, ou que a instituição, mesmo ciente dos impactos ao negócio, opta por aceitá-lo.
- Procedimento Administrativo: quando a instituição decide por contingenciar o impacto através de decisões administrativas, como, temporariamente, fazer uso de documentos em papel para posterior digitação.
- Fortificação: é quando a instituição decide por reforçar sua infraestrutura contra incidentes.
- Hot Site: datacenter primário com a infraestrutura duplicada (ou parcialmente) em site secundário. Faltam apenas os dados que poderão ser recuperados através de backups do site primário. Em caso de desastre, o site secundário fica disponível quase que imediatamente. Custo alto e tempo de recuperação baixa.
- Warm Site: é a implementação do Hot Site em baixa escala, pois o site secundário terá infraestrutura limitada e sem atualizações periódicas de software/dados, sendo realizada somente em caso de desastre. Custo menor que a opção anterior, mas tempo de recuperação maior.
- Cold Site: é a implementação de um Warm Site, sob demanda, em local reservado com apenas a infraestrutura básica disponível (energia elétrica, ar condicionado, etc). Custo muito baixo, tempo muito alto de recuperação.
- Mirrored Site: é a implementação do Hot Site, mas com o site secundário funcionando os mesmos serviços do site primário para manter seus dados sincronizados, em paralelo, em outra localidade. Custo altíssimo, mas com tempo de recuperação imediata.
- Consortium Arrangement: esta estratégia, na verdade, é a implementação de uma das quatro estratégias “Xxx Site” anteriores, mas com o custo dividido entre os participantes do consórcio. O custo de sua implementação é menor do que o custo da implementação da estratégia apenas pela instituição, mas a grande desvantagem é a Segurança da Informação, pois toda a infraestrutura é compartilhada com os outros participantes do consórcio.
- Outsourcing: é o uso da infraestrutura de terceiros para se estabelecer um site secundário.
- Vendor Supplied Equipment: nesta estratégia conta-se com os SLA estabelecidos em contratos de manutenção com fornecedores para a reposição de equipamentos. Possui baixo custo de implementação, mas um alto risco de não atendimento dentro do SLA e é difícil cobrir todos os incidentes em contratos de manutenção.
Plano de Continuidade Operacional
Este plano visa definir os procedimentos para contingenciar os ativos que suportam os processos de negócio, objetivando reduzir o tempo de indisponibilidade e os impactos causados por um incidente. Neste plano deverão ser inseridas as ações (mesmo em site de contingência) a serem executadas para que o negócio não sofra impacto ou que o impacto seja reduzido.
No plano deverão, no mínimo, constar:
- O objetivo do plano
- Pessoas chaves (equipe de comando e equipe de execução), com níveis de autoridade e responsabilidades, meios de contato e a cadeia de escalonamento
- A sala de guerra (War Room) local e externa (em caso de incidente grave) para o comando da operação.
- Processos críticos de negócio priorizados, suas condições para ativação (priorizadas, identificadas com seus responsáveis).
- Análise de possíveis dados perdidos e passos para tentativa de recuperação
- Lista de contatos dos clientes para informe do incidente e das ações tomadas para recuperação do negócio.
- Lista de contato com fornecedores para informe de mudança de local de trabalho, por exemplo, caso atuem dentro do site substituir ou para troca temporária de endereço de entrega de equipamentos, peças, insumos ou execução de serviços.
- Manutenção dos processos críticos de negócio
Plano de Capacitação do PCN
De nada adianta termos uma plena gestão sobre a continuidade do negócio, termos todas as ações referentes ao tratamento de incidentes, identificadas, analisadas e detalhadas em documentos, mas ninguém as conhecer ou fazer uso. Tão importante quanto prover o treinamento às pessoas comprometidas com os planos, evidenciando seus papeis e responsabilidades, é envolver a alta direção, diretores, gestores, funcionários e colaboradores diversos nestas capacitações, pois, de algum modo, todos são stakeholders em uma situação de desastre.
Veja abaixo um modelo de capacitação em GCN para apoiar na produção do seu próprio guia de treinamento.
Veja abaixo um modelo de capacitação em GCN para apoiar na produção do seu próprio guia de treinamento.
Fluxo da GCN com a ocorrência de um incidente
Estamos em um dia normal de trabalho e acontece um incidente... o que devemos fazer?
Bem, se tivermos com equipes preparadas, com planos atualizados e disseminados na instituição, basta analisar e executar o PCN.
A GCN e um incidente
- Passo 1: a resposta ao incidente - no intervalo de minutos a horas, deverá ocorrer a localização da Equipe e de visitantes; as fatalidades já deverão estar gerenciadas; os danos causados pelo incidente já deverão ter sido contidos/limitados e avaliados; a execução imediata do PCN é fundamental para o sucesso da continuidade do negócio.
- O objetivo geral desta etapa é garantir a segurança das pessoas e conter os danos.
- Avaliar e executar o PC/PGI até onde for necessário.
- Avaliar e executar o PAC, até onde for necessário.
- Passo 2: a continuidade do negócio - no intervalo de minutos a dias, deverá ocorrer o contato com clientes, fornecedores e outros stakeholders; a recuperação dos processos críticos ao negócio, com a recuperação de trabalho perdido, quando necessário.
- O objetivo geral desta etapa é dar continuidade ao negócio, independente do impacto causado pelo dano.
- Executar o PCO.
- Passo 3: a recuperação do negócio - no intervalo de semanas a meses, deverá ocorrer o reparo/substituição do dano; o retorno das atividades ao local original de trabalho; a recuperação dos custos de seguros.
- O objetivo geral desta etapa é retornar à normalidade operacional anterior à ocorrência do incidente.
- Executar o PRD.
Abaixo, estão alguns arquivos para serem utilizados como referência na produção dos documentos de Continuidade de Negócio de sua instituição.
ATENÇÃO: a instituição que hoje ignora a ocorrência de um incidente com o pensamento "Qual é a probabilidade disto acontecer?" deve ficar atenta a pontos críticos com relação ao seu negócio:
E passar a pensar sobre o incidente e seus impactos de outro modo: "E quando isto acontecer?"
ATENÇÃO: a instituição que hoje ignora a ocorrência de um incidente com o pensamento "Qual é a probabilidade disto acontecer?" deve ficar atenta a pontos críticos com relação ao seu negócio:
- atender aos clientes (direitos, satisfação, imagem e reputação)
- atender às regulamentações (deveres, contratos, leis, processos judiciais)
- atender ao board da instituição (perda de ativos, de receitas, de credibilidade e de poder)
- manter-se no mercado (estabilidade e sobrevivência)
E passar a pensar sobre o incidente e seus impactos de outro modo: "E quando isto acontecer?"
SEFAZ - Metodologia de GCN
SEFAZ - Modelos GCN (Questionário BIA, Estratégia de Continuidade, Plano de Testes)
SEFAZ - Modelos GCN (Questionário BIA, Estratégia de Continuidade, Plano de Testes)
É isso aí! Aumente a resiliência de sua instituição garantindo sua continuidade do negócio... e até a próxima!
Este comentário foi removido pelo autor.
ResponderExcluir