DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIOSlides de Aula II

Prévia do material em texto

Prof. MSc. Eng. Vinicius Heltai
UNIDADE II
Desastre, Recuperação 
e Gestão da 
Continuidade do 
Negócio
 O Plano de Continuidade do Negócio (PCN) é “um conjunto de procedimentos documentados 
que orientam as organizações a responder, recuperar, retomar e restaurar a um nível 
predefinido de operação após a interrupção” (ABNT, 2020).
 O PCN é um conjunto de planos e de procedimentos que devem ser utilizados em um 
processo de gerenciamento de crise, a fim de que sejam mantidas as atividades vitais para a 
organização naquele momento.
O que é um “Plano de Continuidade do Negócio”?
 O Plano de Continuidade do Negócio deve fazer parte de uma governança corporativa bem 
estruturada, amparada por boas práticas de gestão. 
 Não existem penalidades legais para uma empresa que não implementa um PCN; entretanto, 
devemos lembrar que as empresas dependem de clientes e que esses clientes desejam ser 
bem atendidos em suas aspirações e necessidades. 
 Em um Plano de Continuidade do Negócio (PCN), as diretrizes devem partir da alta 
administração e devem ser do conhecimento de todos os colaboradores da organização. 
 O PCN deve considerar as situações de risco com maior 
impacto (situações críticas), depois, ampliar seus estudos e 
buscar soluções para enfrentar outras situações de perigo.
O que é um “Plano de Continuidade do Negócio”?
 O objetivo é, passada a situação de crise, reestabelecer as funções normais da empresa. 
O que é um “Plano de Continuidade do Negócio”?
Fonte: NBR ISO/IEC 27031: 2015 (com adaptações).
Estado Operacional 
da empresa
Incidente100%
Depois da 
implementação 
de um PCN
Tempo
OMCN – Objetivo mínimo 
de continuidade de 
negócios
Antes da implementação 
de um PCN
A empresa que adota um PCN confirma que dispõe de boas práticas de gestão e 
governança e apresenta as seguintes vantagens:
 Identifica os processos críticos e de seus respectivos impactos.
 Determina o grau de exposição que os riscos podem gerar.
 Implementa respostas eficientes a possíveis interrupções.
 Manutenção da equipe preparada e treinada para eventuais ocorrências.
 Preservação da imagem da companhia.
 Minimização ou eliminação de possíveis impactos negativos 
(partes interessadas e nos bens ativos).
 Sobrevivência da empresa (continuidade do negócio).
 Transmissão clara para a sociedade da mensagem de que a 
companhia melhora constantemente. 
Vantagens do Plano de Continuidade do Negócio 
Para a construção de um PCN eficaz:
 O que de ruim pode acontecer e quais são as principais ameaças ao negócio?
 Como as ameaças podem impactar o negócio?
 O que fazer caso uma ameaça de fato se apresente?
Estrutura do Plano de Continuidade do Negócio 
Um PCN é estruturado em quatro subplanos menores:
 Plano de Contingências (PC) – Prevê as ações da empresa quando todas as prevenções 
falharem.
 Plano de Administração ou de Gerenciamento de Crises (PAC) – Define as funções e as 
responsabilidades das equipes envolvidas com o acionamento das ações de contingência 
antes, durante e após.
 Plano de Recuperação de Desastres (PRD) – Determina o 
que deve ser feito para que, uma vez controlada a 
contingência e passada a crise, a empresa retome seus níveis 
originais de operação.
 Plano de Continuidade Operacional (PCO) – Visa ao 
reestabelecimento do funcionamento dos principais ativos que 
suportam as operações da empresa.
Estrutura do Plano de Continuidade do Negócio 
 Apesar de todas as decisões serem tomadas por um grupo de pessoas, deve existir um 
responsável pelo PCN. 
 Pode haver um responsável para cada unidade (em grandes empresas), o que constitui uma 
equipe de responsáveis. 
 Esse(s) responsável(is) tem (têm) o poder de decisão, em qualquer situação de imprevisto 
ou de indisponibilidade, para colocar em prática o PCN.
 A oportunidade de uso do PCN deve ser analisada usando a 
matriz RACI como ferramenta de análise.
Responsabilidade do Plano de Continuidade do Negócio 
O PCN é baseado em alguns princípios:
 Prevenção de Incidentes – Proteger contra ameaças.
 Detecção de Incidentes – Detectar incidentes o mais cedo possível, minimizar impactos, 
reduzir esforços de recuperação e preservar a qualidade da entrega de valor para o cliente.
 Resposta – Responder a um incidente da maneira mais apropriada possível.
 Recuperação – Identificar e implementar a estratégia de 
recuperação apropriada dentro de um tempo aceitável. 
 Melhoria – Usar as lições aprendidas de incidentes anteriores, 
o que é fundamental para o estabelecimento de um 
PCN eficaz. 
Princípios do Plano de Continuidade do Negócio 
Princípios do Plano de Continuidade do Negócio 
Fonte: NBR ISO/IEC 27301: 2020 (com adaptações).
Tempo Zero
Operação Normal
Mitigação de Risco e 
Monitoramento, 
Testes e Exercícios
Detecção Resposta Recuperação
Tempo de Recuperação
Tempo de Ativação do Plano
Tempo de 
Detecção
Os participantes são reunidos em três grupos:
 Grupo Estratégico – Responsável pelas decisões estratégicas da corporação e é composto 
por dois subgrupos: o Grupo executivo e o Grupo de Comunicação e de Apoio ao Executivo. 
 Grupo Executivo – Formado pela diretoria executiva, tem como função a determinação das 
diretrizes básicas do PCN e a tomada de decisões em eventos ou crises de contingências 
que afetem toda a empresa.
 Grupo de Comunicação e de Apoio ao Executivo – Formado 
pelos colaboradores que contribuem no processo de decisão 
do grupo executivo. Esse grupo reporta informações (aos 
interessados e internamente).
Estruturação de um Plano de Continuidade do Negócio 
 Grupo Tático – Conhecido como Grupo de Administração de Crises, o Grupo Tático é 
formado por todos os colaboradores que exercem a supervisão de um grupo operacional que 
garante a execução dos planos operacionais.
 Grupo Operacional – Formado por todos os colaboradores com responsabilidades 
operacionais que estão inseridos no Plano de Continuidade do Negócio (PC). Engloba os 
envolvidos com as questões administrativas e de infraestrutura física, lógica, de alimentação, 
de transporte, de segurança e de apoio. 
Estruturação de um Plano de Continuidade do Negócio 
Os participantes são reunidos em três grupos:
 Grupo Estratégico;
 Grupo Tático;
 Grupo Operacional.
Estruturação de um Plano de Continuidade do Negócio 
Fonte: Próprio autor (2021).
Política do PCN
Gerenciamento 
Riscos do PCN
Planos
TÁTICO
OPERACIONAL
ESTRA-
TÉGICO
O plano que define as funções e as responsabilidades das equipes envolvidas com o 
acionamento das ações de contingência antes, durante e após é definido como sendo:
a) Plano de Contingências (PC).
b) Plano de Administração ou de Gerenciamento de Crises (PAC).
c) Plano de Recuperação de Desastres (PRD).
d) Plano de Continuidade Operacional (PCO).
e) Plano de Resiliência (PR).
Interatividade
O plano que define as funções e as responsabilidades das equipes envolvidas com o 
acionamento das ações de contingência antes, durante e após é definido como sendo:
a) Plano de Contingências (PC).
b) Plano de Administração ou de Gerenciamento de Crises (PAC).
c) Plano de Recuperação de Desastres (PRD).
d) Plano de Continuidade Operacional (PCO).
e) Plano de Resiliência (PR).
Resposta
 A elaboração de um Plano de Continuidade do Negócio (PCN) exige um estudo detalhado 
dos processos da empresa (mapeamento dos principais processos).
 Após, deve ser feito o mapeamento das ameaças e das vulnerabilidades existentes, cujo 
objetivo é a detecção dos riscos e dos prováveis prejuízos.
 A próxima etapa é a realização de uma análise de riscos, que qualifica e quantifica os 
possíveis prejuízos. 
Como elaborar um Plano de Continuidade do Negócio (PCN)?
 O modelo de análise de risco indicado 
pela NBR ISO 27005:2019:
Elaboração de um Plano de Continuidade do Negócio (PCN)
Fonte: NBR ISO 27005:2019
DEFINIÇÃO DO CONTEXTO
IDENTIFICAÇÃO DE RISCOS
ESTIMATIVA DE RISCOSAVALIAÇÃO DE RISCOS
TRATAMENTO DO RISCO
M
O
N
IT
O
R
A
M
E
N
T
O
 E
 A
N
Á
L
IS
E
 C
R
ÍT
IC
A
 R
IS
C
O
S
 
ACEITAÇÃO DO RISCO
C
O
M
U
N
IC
A
Ç
Ã
O
 D
O
 R
IS
C
O
ANÁLISE/AVALIAÇÃO DE RISCOS
ANÁLISE DE RISCOS
PONTO DE DECISÃO 1
Avaliação satisfatória
Sim
Não
PONTO DE DECISÃO 2
Tratamento satisfatório Não
Sim
 As fases da análise de risco são seguidas de outras 
etapas que buscam montar um panorama do que 
pode ser feito caso uma ameaça se concretize. 
Elaboração de um Plano de Continuidade do Negócio (PCN)
Fonte: Próprio autor (2021).
Fase 1
Planejamento
Fase 2
Levantamento de Dados
Fase 3
Análise de Impacto nos Negócios (BIA)
Fase 4
Estratégia de Recuperação
Fase 5
Desenvolvimento dos Planos
Fase 1 – Planejamento
 Deve ocorrer um planejamento detalhado de todo o 
processo para a elaboração desse plano.
 Definem-se equipes, grupos, responsáveis e periodicidade 
dos encontros e elaboramos a previsão orçamentária para 
a preparação e a implantação do PCN. 
Elaboração de um Plano de Continuidade do Negócio (PCN)
Fonte: Próprio autor (2021).
Fase 1
Planejamento
Fase 2
Levantamento de Dados
Fase 3
Análise de Impacto nos Negócios (BIA)
Fase 4
Estratégia de Recuperação
Fase 5
Desenvolvimento dos Planos
 O produto dessa fase do planejamento é a declaração de Escopo do Sistema de Gestão de 
Continuidade de Negócios (SGCN). 
Elaboração de um Plano de Continuidade do Negócio (PCN)
 Finalidade
 Aplicabilidade
 Funções e Responsabilidades
 Termos e Definições
 Regras e Procedimentos
 Inventário de Ativos
 Limitações do escopo
 Contextos (interno e externo)
 Impacto potencial sobre os incidentes de 
interrupção e impactos potenciais
 Apetite aos riscos da organização
 Partes Interessadas
 Interfaces Internas
 Fornecedores e prestadores de serviço para o 
Escopo do SGCN
 Referência Normativa
 Anexos
Fase 2 – Levantamento de Dados
 Durante essa etapa, levantamos possíveis ameaças, 
situações de vulnerabilidades e seus respectivos impactos.
 A melhor forma é através da análise de riscos (risk
assessment). Definidos nas normas ABNT NBR ISO 
27000:2019 e na ABNT NBR ISO 22301:2020. 
Elaboração de um Plano de Continuidade do Negócio (PCN)
Fase 1
Planejamento
Fase 2
Levantamento de Dados
Fase 3
Análise de Impacto nos Negócios (BIA)
Fase 4
Estratégia de Recuperação
Fase 5
Desenvolvimento dos Planos
Fonte: Próprio autor (2021).
O resultado de tudo isso é expresso em um relatório de critérios
Elaboração de um Plano de Continuidade do Negócio (PCN)
 Finalidade
 Aplicabilidade
 Funções e Responsabilidades
 Termos e Definições
 Regras e Procedimentos
 Referência Normativa
 Anexos
Fase 3 – Análise de Impacto nos Negócios (BIA)
 A Análise do Impacto nos Negócios (Business Impact
Analysis – BIA) tem o propósito de avaliar os recursos e 
os ativos necessários para enfrentar as 
supostas ameaças. 
 Permite uma previsão orçamentária, a redução do impacto 
e a minimização do tempo de recuperação.
Elaboração de um Plano de Continuidade do Negócio (PCN)
Fase 1
Planejamento
Fase 2
Levantamento de Dados
Fase 3
Análise de Impacto nos Negócios (BIA)
Fase 4
Estratégia de Recuperação
Fase 5
Desenvolvimento dos Planos
Fonte: Próprio autor (2021).
O relatório final deve apresentar pelo menos o que se expõe a seguir:
 Compilação dos processos e dos sistemas mapeados.
 Indicação dos prazos de tolerância à interrupção.
 Indicação dos impactos causados pela interrupção.
 Definição dos critérios de prioridade (custo x impacto).
 Determinação das pessoas responsáveis e dos substitutos, com os respectivos contatos.
 Indicação do RTO (Objetivo do Tempo de Recuperação).
 Indicação do RPO (Objetivo do Ponto de Recuperação), quando aplicável.
Elaboração de um Plano de Continuidade do Negócio (PCN)
Alguns pontos importantes a serem analisados em um BIA:
a) Tempo objetivado de Recuperação (Recovery Time Objective – RTO) 
Por essa análise, são estabelecidos os quatro níveis de impacto indicados a seguir.
1) Impacto marginal. Baixo dano ao negócio.
2) Impacto aceitável. Prejuízo administrável.
3) Impacto alto. Coloca o negócio em risco.
4) Impacto catastrófico. Risco de falência.
Elaboração de um Plano de Continuidade do Negócio (PCN)
Elaboração de um Plano de Continuidade do Negócio (PCN)
Questões qualitativas 
2 
horas 
4 
horas 
8 
horas 
24 
horas 
48 
horas 
1 
semana 
01 – Como seus clientes reagirão a 
uma interrupção? 
2 2 3 3 4 4 
02 – Qual será o impacto para 
outras atividades? 
1 2 2 3 3 4 
03 – Como a interrupção irá 
influenciar a perda de reputação? 
1 2 2 3 4 4 
04 – Quão difícil será recuperar o 
trabalho perdido (backlog)? 
1 1 2 2 3 3 
Questões quantitativas – em US$ 
05 – Qual será o custo das 
penalidades legais e contratuais? 
0 1.000 2.000 30.000 60.000 210.000 
06 – Quais serão os custos com 
reparos? 
0 0 5.000 20.000 25.000 40.000 
07 – Quanto de receita será 
perdida? 
0 0 0 10.000 20.000 70.000 
 
1) Impacto marginal. Baixo dano ao negócio.
2) Impacto aceitável. Prejuízo administrável.
3) Impacto alto. Coloca o negócio em risco.
4) Impacto catastrófico. Risco de falência.
Fonte: Kosutic (2020).
Questões qualitativas
01- Como seus clientes reagirão 
a uma interrupção?
03- Como a interrupção irá 
influenciar a perda de reputação?
04- Quão difícil será recuperar o 
trabalho perdido (backlog)?
Questões quantitativas – em US$
05- Qual será o custo das 
penalidades legais e contratuais?
06- Quais serão os custos com 
reparos?
07- Quanto de receita será perdida?
02- Qual será o impacto para 
outras atividades? 
2 
Horas
2
4 
Horas
2
8
Horas
3
24 
Horas
3
48 
Horas
4
1 
Semana
4
1
1
1
0
0
0
2 2
22
1 2 2
3
3 4 4
3 4
3 3
1.000 2.000 30.000 60.000 210.000
0
0
5.000 20.000 25.000 40.000
0 10.000 20.000 70.000
b) Levantamento – Ponto Mais Próximo de Recuperação (RPO – Recovery Point Objective) 
 Os entrevistados precisam listar e informar todas as suas bases de dados, todos os arquivos, 
aplicativos, caixas de e-mails e definir um limite aceitável para o caso de perdê-los.
Elaboração de um Plano de Continuidade do Negócio (PCN)
Fonte: Kosutic (2020).
Questões qualitativas
Software #1
Software #2
Base de dados XYZ
2
horas
4
horas
1
2
4
8
horas
24
horas
48
horas
1
semana
Documentação XYZ em papel 1
1
2
4
1
2
3
4
1
3
4
4
2
3
4
4
2
4
4
4
3
c) Objetivos Mínimos de Continuidade do Negócio (MBCO – Minimum Business 
Continuity Objectives) 
 Os entrevistados precisam especificar o nível de capacidade mínima aceitável para 
determinada atividade. 
 Deve-se levar em conta os aspectos de sazonalidade de demanda (horas ou dias). 
Elaboração de um Plano de Continuidade do Negócio (PCN)
c) Dependência e Fornecedores Externos
 O que não é executado por determinado departamento ou processo deve ser descrito como 
dependências internas ou de fornecedores externos.
 A dependência de outras atividades é considerada quando tais atividades forem internas 
à organização.
Elaboração de um Plano de Continuidade do Negócio (PCN)
A relação entre as atividades e suas dependências internas e de fornecedores externos:
Elaboração de um Plano de Continuidade do Negócio (PCN)
Fonte: ABNT NBR ISO/IEC 22301/2020
Fornecedores 
e Parceiros 
terceirizados
Produto/Serviço
Atividade
Atividade de 
Apoio
Atividade de 
Apoio
Atividade de 
Apoio
Clientes
Dependência e Atividades 
de Apoio
Produto/Serviço Produto/Serviço
Propósito da Organização
Organização Contexto Interno
Contexto 
Externo
Atividade Atividade Atividade Atividade Atividade
Ativos e Recursos
Dependências das informações: 
Elaboração de um Plano de Continuidade do Negócio (PCN)
Incidente
D-1 D+5D+2
RPO
Ponto Mais 
Próximo
RTO
Tempo para 
recuperação 
do ambiente
MTD
Tempo Máximo 
tolerável de 
inatividade (limiar do 
prejuízo para 
empresa)
MBCO
Quantoa empresa 
precisa retornar 
da sua capacidade 
de entrega
Tempo
Fonte: Próprio autor (2021).
Fase 4 – Estratégia de Recuperação
 Nesta fase se analisam as estratégias passíveis de serem 
adotadas para a recuperação e a continuidade do negócio.
 Nessa fase da elaboração, é gerado um relatório 
de estratégias. 
Elaboração de um Plano de Continuidade do Negócio (PCN)
Fonte: Próprio autor (2021).
Fase 1
Planejamento
Fase 2
Levantamento de Dados
Fase 3
Análise de Impacto nos Negócios (BIA)
Fase 4
Estratégia de Recuperação
Fase 5
Desenvolvimento dos Planos
A Análise do Impacto nos Negócios (Business Impact Analysis – BIA) tem o propósito de 
avaliar os recursos e os ativos necessários para enfrentar as supostas ameaças. Podemos 
entender como a opção verdadeira:
a) Tempo Objetivado de Recuperação (Recovery Time Objective – RTO) é o tempo 
necessário para que um processo possa ser recuperado sem impacto ao cliente.
b) O BIA permite uma previsão orçamentária, a redução do impacto e a minimização do tempo 
de recuperação.
c) Levantamento Ponto Mais Próximo de Recuperação (RPO –
Recovery Point Objective) é realizado através de observação.
d) A dependência de outras atividades é considerada 
fornecedores externos.
e) Em Tempo Objetivado de Recuperação (Recovery Time 
Objective – RTO), a classificação de “Impacto marginal” é 
aquela de alto dano ao negócio.
Interatividade
A Análise do Impacto nos Negócios (Business Impact Analysis – BIA) tem o propósito de 
avaliar os recursos e os ativos necessários para enfrentar as supostas ameaças. Podemos 
entender como a opção verdadeira:
a) Tempo Objetivado de Recuperação (Recovery Time Objective – RTO) é o tempo 
necessário para que um processo possa ser recuperado sem impacto ao cliente.
b) O BIA permite uma previsão orçamentária, a redução do impacto e a minimização do tempo 
de recuperação.
c) Levantamento Ponto Mais Próximo de Recuperação (RPO –
Recovery Point Objective) é realizado através de observação.
d) A dependência de outras atividades é considerada 
fornecedores externos.
e) Em Tempo Objetivado de Recuperação (Recovery Time 
Objective – RTO), a classificação de “Impacto marginal” é 
aquela de alto dano ao negócio.
Resposta
 O desenvolvimento dos planos é uma fase de detalhamento do que será implementado, em 
que são desenvolvidos todos os documentos, os planos e as formalizações vitais do Plano 
de Continuidade do Negócio (PCN).
 Nessa etapa, são concluídas as entrevistas do Programa de Administração de Crise (PAC), 
do Plano de Continuidade Operacional (PCO) e do Plano de Recuperação de 
Desastres (PRD). 
 Os resultados obtidos são transferidos para o programa e para 
os planos integrantes do Plano de Continuidade do 
Negócio (PCN).
Desenvolvimento dos Planos de Continuidade do Negócio (PCN)
 O Programa de Administração de Crise (PAC) tem por finalidade garantir a administração da 
situação de crise antes, durante e após a ocorrência de uma adversidade. 
 O programa também define quais ações devem ser tomadas no período de retorno 
à normalidade. 
 O desenvolvimento do PAC exige, dos seus responsáveis, características específicas, como 
agilidade, tranquilidade e versatilidade. 
 O PAC deve existir antes do início de uma crise, pois todos os 
colaboradores precisam estar treinados para lidar com sua 
eventual ocorrência. 
Programa de Administração de Crise (PAC)
Um roteiro importante para respaldar um Plano de Administração de Crise (PAC):
 Quais são os fatores que causaram determinada crise?
 Quais medidas devem ser tomadas no início da crise para que ela não se intensifique nem se 
transforme em uma catástrofe?
 Qual é a resolução mais indicada, viável e rápida para o caso?
 Quem será o administrador e quem fará parte da equipe estratégica na crise?
 Quais serão as equipes e quais serão as funções de cada membro delas na ocorrência de 
uma crise?
 Quais serão as ações tomadas para sanar o problema de 
forma provisória e definitiva?
 Quais orientações serão dadas aos stakeholders envolvidos?
 Qual será a forma de comunicação utilizada para encaminhar 
as orientações aos stakeholders envolvidos?
Programa de Administração de Crise (PAC)
As principais informações relevantes que devem constar no PAC:
 Aplicabilidade especificando como e o que se aplica ao PAC. 
 Governança com as respectivas responsabilidades.
 Regras gerais e definições – Informando como serão feitas as comunicações, acionamento 
de crises, posto de comandos, estruturas necessárias do posto de comando etc.
 Contatos relevantes para acionamento da equipe e/ou suporte. 
Programa de Administração de Crise (PAC)
Modelo exemplificado de um Plano de 
Administração de Crise:
Programa de Administração de Crise (PAC)
Fonte: Adaptado de: Manoel (2019).
Modelo exemplificado de um Plano de 
Administração de Crise:
Programa de Administração de Crise (PAC)
Fonte: Adaptado de: Manoel (2019).
Modelo exemplificado de um Plano de 
Administração de Crise:
Programa de Administração de Crise (PAC)
Fonte: Adaptado de: Manoel (2019).
Planos Relacionados
Modelo exemplificado de um Plano de Administração de Crise:
Programa de Administração de Crise (PAC)
Fonte: Adaptado de: Manoel (2019).
5 Regras
Modelo exemplificado de um Plano 
de Administração de Crise:
Programa de Administração de Crise (PAC)
Fonte: Adaptado de: Manoel (2019).
EMERGÊNCIA
Modelo exemplificado de um Plano 
de Administração de Crise:
Programa de Administração de Crise (PAC)
Fonte: Adaptado de: Manoel (2019).
Explorer,
Microsoft
Outlook,
Modelo exemplificado de um Plano de 
Administração de Crise:
Programa de Administração de Crise (PAC)
Fonte: Adaptado de: Manoel (2019).
 A continuidade operacional diz respeito à faculdade da empresa de manter sua operação em 
funcionamento, mesmo em situação de crise. 
 O Plano de Continuidade Operacional (PCO) é utilizado quando as operações são 
interrompidas por conta de um evento adverso em uma empresa.
Exemplos:
a) Greves trabalhistas. (Ex.: bancários, metroviários etc.)
b) Acidente aéreo de uma companhia. (Ex.: acidente Airbus 
A320 JJ3053 – TAM)
c) Interrupção por um problema técnica das linhas de metro e 
trem. (Ex.: Plano de Atendimento entre Empresas em 
Situação de Emergência – PAESE da CPTM/Metro) 
Plano de Continuidade Operacional (PCO)
 Deve haver um PCO para cada um dos processos críticos detectados na Análise de Impacto 
no Negócio. 
Como documentos de entrada, o PCO utiliza:
 A declaração de escopo do Sistema de Gestão de Continuidade do Negócio (SGCN);
 Todos os relatórios de Análise de Impacto no Negócio;
 A Estratégia de Continuidade de Negócios já implantada. 
Plano de Continuidade Operacional (PCO)
Os principais problemas que geram incidentes e que colocam em prática o Plano de 
Continuidade de Operação são agrupados nos 3 tipos:
 Problemas de Primeiro Grau: Trata-se de quando a empresa não consegue operar o 
processo de negócio por conta do local físico de trabalho estar interditado. Exemplos: 
incêndio, alagamento e situações similares.
 Problemas de Segundo Grau: Trata-se de quando os funcionários não conseguem acessar 
os ativos de informações. Exemplos: problema na rede de computadores, indisponibilidade 
do servidor por conta de um ataque cibernético e situações similares. 
 Problemas de Terceiro Grau: Trata-se do estado em que os 
funcionários não conseguem chegar até o local de trabalho 
por conta de um problema de força maior e, dessa maneira, 
não conseguem operar o processo de negócio. Exemplos: 
ocorrência de uma passeata e situações similares.
Plano de Continuidade Operacional (PCO)
 O Plano de Continuidade de Operação tem como função resolver problemas e ser a solução 
para que tudo esteja, o quanto antes, de volta em operação.
 É fundamental que no Plano de Continuidade Operacional (PCO) sejam previstas todas as 
possibilidades em que a empresa estejavulnerável. 
 Reflexão: quantas empresas estavam preparadas para enfrentar uma pandemia como o 
Covid-19 em seu Plano de Continuidade Operacional (PCO)?
Plano de Continuidade Operacional (PCO)
Em uma empresa de tecnologia, a maioria dos funcionários entrou em greve por questões 
salariais. Neste dia chovia muito e apesar de todos os problemas o funcionário responsável 
pela Continuidade de Negócio resolveu se dirigir até a empresa. Chegando próximo da região, 
ficou impedido de adentrar a empresa em função das ruas em volta da empresa estarem 
completamente alagadas. Temos neste cenário os seguintes problemas:
a) Problemas de 1º Grau e Problema de 2º Grau.
b) Problemas de 3º Grau e Problema de 1º Grau.
c) Problemas de 2º Grau e Problema de 3º Grau.
d) Problemas de 1º Grau e Problema de 3º Grau.
e) Problemas de 3º Grau e Problema de 2º Grau.
Interatividade
Em uma empresa de tecnologia, a maioria dos funcionários entrou em greve por questões 
salariais. Neste dia chovia muito e apesar de todos os problemas o funcionário responsável 
pela Continuidade de Negócio resolveu se dirigir até a empresa. Chegando próximo da região, 
ficou impedido de adentrar a empresa em função das ruas em volta da empresa estarem 
completamente alagadas. Temos neste cenário os seguintes problemas:
a) Problemas de 1º Grau e Problema de 2º Grau.
b) Problemas de 3º Grau e Problema de 1º Grau.
c) Problemas de 2º Grau e Problema de 3º Grau.
d) Problemas de 1º Grau e Problema de 3º Grau.
e) Problemas de 3º Grau e Problema de 2º Grau.
Resposta
 O Plano de Recuperação de Desastres (PRD) tem como objetivo restaurar e recuperar, no 
menor tempo possível, todos os ativos danificados, com a intenção de restabelecer os 
processos, a fim de que voltem a operar normalmente. 
 É um dos principais planos do Sistema de Gestão de Continuidade do Negócio (SGCN).
 O PRD está alicerçado na norma ABNT ISO 22301:2020, em especial nas suas cláusulas 
8.4.4 e 8.4.5, que estabelece que um ativo de informação, ao sofrer um incidente, deve ser 
recuperado o mais rapidamente possível.
Plano de Recuperação de Desastres (PRD)
No PRD constam informações como:
 Definições relevantes de cada item do Plano.
 Quem são os responsáveis.
 Procedimento de continuidade com instruções de operação, tempo e equipe responsável em 
cada possibilidade.
 Contramedidas e Premissas.
Plano de Recuperação de Desastres (PRD)
Modelo exemplificado de um Plano de 
Recuperação de Desastres (PRD):
Plano de Recuperação de Desastres (PRD)
Fonte: Adaptado de: Manoel (2019).
cópias;
Modelo exemplificado de um Plano de 
Recuperação de Desastres (PRD):
Plano de Recuperação de Desastres (PRD)
Fonte: Adaptado de: Manoel (2019).
Grupos funcionais que 
irão atuar no Plano:
Modelo exemplificado de um Plano 
de Recuperação de Desastres (PRD):
Plano de Recuperação de Desastres (PRD)
Fonte: Adaptado de MANOEL, 2019
Modelo exemplificado de um Plano de Recuperação de Desastres (PRD):
Plano de Recuperação de Desastres (PRD)
Fonte: Adaptado de: Manoel (2019).
Modelo exemplificado de um Plano de 
Recuperação de Desastres (PRD):
Plano de Recuperação de Desastres (PRD)
Fonte: Adaptado de: Manoel (2019).
Modelo exemplificado de um Plano de 
Recuperação de Desastres (PRD):
Plano de Recuperação de Desastres (PRD)
Fonte: Adaptado de: Manoel (2019).
Modelo exemplificado de um Plano de 
Recuperação de Desastres (PRD):
Plano de Recuperação de Desastres (PRD)
Fonte: Adaptado de: Manoel (2019).
 O Plano de Gerenciamento de Incidentes (PGI) tem como objetivo recuperar a operação ou o 
serviço do negócio o mais rapidamente possível, de forma a minimizar os impactos de um 
possível incidente. 
O PGI deve:
 Ser flexível, viável e pertinente;
 Ser de fácil leitura e entendimento;
 Prever as possíveis dúvidas e apontar os esclarecimentos às 
partes interessadas;
 Ter o apoio e a aprovação da alta direção, inclusive em 
relação aos aspectos orçamentários do plano.
Plano de Gerenciamento de Incidentes (PGI)
Um PGI deve ser composto, basicamente, pelas seguintes partes:
 Objetivo e escopo: O objetivo e o escopo para cada item do plano devem ser alinhados com 
a alta diretoria e devem sempre estar ajustados com o programa geral de continuidade 
do negócio.
 Papéis e responsabilidades: Precisamos definir previamente o que cada colaborador vai 
realizar e quais são as suas responsabilidades. Isso evita situações de conflito e 
ações ineficientes.
 Ativação do plano: Na ativação do plano, determinamos quem 
é o responsável por autorizar o acionamento, ou seja, “dar a 
partida” no plano. 
 Responsável pelo plano e sua manutenção: O responsável 
por tais incumbências deve formalizar as atualizações do 
plano e participar isso às partes interessadas. 
Plano de Gerenciamento de Incidentes (PGI)
 Contatos: Relação completa das partes interessadas envolvidas e os seus 
respectivos contatos. 
 Lista de tarefas e de ações: Detalhes das tarefas e as ações destinadas a lidar com os 
efeitos e as consequências de um incidente. Essas tarefas e ações precisam garantir a 
segurança dos envolvidos, mitigar perdas e administrar uma possível descontinuação 
das atividades.
 Contatos de emergência: Os contatos de emergência 
contemplam a relação dos contatos dos envolvidos, como 
parentes e familiares. Essa relação deve estar sempre 
atualizada, dada a imprevisibilidade de um incidente. 
 Atividades das pessoas: O plano também deve designar as 
pessoas que atuarão em necessidades fundamentais, como 
propiciar a evacuação do local, agir nos primeiros socorros e 
contatar serviços de emergência, entre outras providências.
Plano de Gerenciamento de Incidentes (PGI)
 Comunicação à mídia: Na ocorrência de um incidente, a transparência é fundamental e a 
comunicação deve ser disponibilizada de forma célere. Para isso, o plano deve apresentar 
detalhes de como a comunicação à mídia será efetuada.
 Anexos: Os anexos contêm documentos que podem servir para suporte ao plano, materiais 
relevantes como plantas, fotos e outros detalhes elucidativos.
Plano de Gerenciamento de Incidentes (PGI)
Modelo exemplificado de um Plano de Gerenciamento de Incidentes (PGI):
 (partes mais relevantes)
Plano de Gerenciamento de Incidentes (PGI)
Fonte: Adaptado de MANOEL, 2019
Grupos funcionais que 
irão atuar no Plano:
Modelo exemplificado de um Plano de Gerenciamento de Incidentes (PGI):
 (partes mais relevantes)
Plano de Gerenciamento de Incidentes (PGI)
Fonte: Adaptado de: Manoel (2019).
Modelo exemplificado de um Plano de Gerenciamento de Incidentes (PGI):
 (partes mais relevantes)
Plano de Gerenciamento de Incidentes (PGI)
Fonte: Adaptado de: Manoel (2019).
Em relação ao Plano de Recuperação de Desastres (PRD) e ao Plano de Gerenciamento de 
Incidentes (PGI), podemos definir como a opção verdadeira:
a) O PRD tem como objetivo restaurar e recuperar, no menor tempo possível, todos os ativos 
danificados a fim de estabelecer os processos para que voltem a operar normalmente. 
b) O PRD trata-se de um plano sem grande importância ao Sistema de Gestão de 
Continuidade do Negócio (SGCN), porém de grande importância para a imagem da 
empresa (responsabilidade social).
c) O PRD não está alicerçado por nenhuma norma, porém as boas práticas recomendam. 
d) O contato de emergência no PGI contempla apenas os 
hospitais próximos. 
e) O PGI e PRD são planos que têm como objetivo apenas 
manter os ativos em operação. 
Interatividade
Em relação ao Plano de Recuperação de Desastres (PRD) e ao Plano de Gerenciamento de 
Incidentes (PGI), podemos definir como a opção verdadeira:
a) O PRD tem como objetivo restaurar e recuperar, no menor tempo possível, todos os ativos 
danificados a fim de estabelecer os processos para que voltem a operar normalmente. 
b) O PRD trata-se de um plano sem grande importância ao Sistema de Gestão de 
Continuidade do Negócio (SGCN), porém degrande importância para a imagem da 
empresa (responsabilidade social).
c) O PRD não está alicerçado por nenhuma norma, porém as boas práticas recomendam. 
d) O contato de emergência no PGI contempla apenas os 
hospitais próximos. 
e) O PGI e PRD são planos que têm como objetivo apenas 
manter os ativos em operação. 
Resposta
ATÉ A PRÓXIMA!