DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO

Prévia do material em texto

Prof. MSc. Eng. Vinicius Heltai
UNIDADE I
Desastre, Recuperação 
e Gestão da 
Continuidade do 
Negócio
 A prática da “continuidade de negócio” está intrínseca na sociedade e nem sempre nos 
damos conta disso. 
 O termo “continuidade” é um termo do latim Continnuus, o qual significa “não dividido na 
extensão, não interrompido na sua duração”.
 O termo “negócio” deve ser compreendido como sendo uma ocupação, atividade ou trabalho 
o qual se realiza normalmente com fins lucrativos ou algo de valor que a organização oferece 
ao seu público-alvo.
 “Continuidade do negócio” remete o entendimento da 
continuidade, preservação no fornecimento de valor, sem 
gerar impacto de entrega ao seu público-alvo.
O que é “continuidade de negócio”?
 É não permitir que o resultado da entrega seja influenciado por possíveis interferências, 
crises ou imprevistos no decorrer do processo de transformação do negócio.
 A continuidade do negócio está atrelada à continuidade e à preservação do fornecimento de 
valor, sem geração de impacto na entrega ao cliente. 
 Exemplo – Greve em um banco:
E no mundo corporativo (empresarial)?
Fonte: Diário de Goiás (2020).
 Exemplo 1 – Emissora de Televisão (programação ao vivo ou transmissão gravada):
 Para a continuidade do negócio (não interromper a transmissão ao público), a empresa deve 
dispor de meios alternativos para o fornecimento de energia elétrica. Manter a programação 
sendo transmitida é manter a continuidade do negócio.
Exemplos de continuidade do negócio no mundo corporativo
Fonte: Dmix Eventos (2017). Fonte: O TV Foco (2017).
Exemplos de continuidade do negócio no mundo corporativo
Fonte: https://esportes.r7.com/futebol/santos-e-corinthians-empatam-em-jogo-
paralisado-por-falta-de-energia-06032018
 Transmissão da Rede Record durante a
falta de energia
 Exemplo 2 – Ataque hacker a uma instituição financeira.
 Qual o impacto de uma indisponibilidade?
 Quais as consequências para o negócio? 
Exemplos de continuidade do negócio no mundo corporativo
Fonte: https://www.acritica.net/editorias/geral/banco-central-
da-nova-zelandia-e-alvo-de-ataque-hacker/499187/
 Exemplo 3 – Acidente de um táxi.
Exemplos de continuidade do negócio no mundo corporativo
Fonte: https://g1.globo.com/mg/zona-da-mata/noticia/acidente-envolvendo-taxi-deixa-
feridos-no-bairro-manoel-honorio-em-juiz-de-fora.ghtml 
 Todo negócio está vulnerável a sofrer um possível impacto, podendo ou não comprometer 
sua continuidade. 
 A melhor forma de minimizar os impactos é a preparação (planejamento).
Diferença entre impacto importante e impacto crítico
Fonte: Adaptado de: Alevate (2014).
IMPORTÂNCIA CRITICIDADE
Critério que transforma 
importância em criticidade
Tempo
 Exemplo 1: Uma descarga atmosférica (raios) em uma empresa de programação.
a) Equipamentos foram danificados e exige-se a troca dos mesmos. Tempo longo – Crítico 
b) Equipamentos foram desligados, devendo ser recompostos e o sistema elétrico “rearmado” 
no quadro de luz. Tempo curto – Importante. 
Diferença entre impacto importante e impacto crítico
 Exemplo 2: Um ataque hacker no data center de uma empresa.
a) O ataque foi isolado em um storage de pouca relevância, não gerou um desastre. O tempo 
para corrigir pode ser longo, porém não gerou impacto ao usuários – Importante.
b) O ataque impactou maioria dos serviços e a recuperação leva um tempo significativo para 
ser corrigido. Tempo elevado – Crítico. 
Diferença entre impacto importante e impacto crítico
 Quanto maior o risco de interrupção de entrega de valor ao cliente, maior a criticidade.
Diferença entre impacto importante e impacto crítico
Importante Crítico
Sem entrega de valor
Com entrega de valor
Impacto
Fonte: Próprio autor (2021).
 Em função do tempo, a depender do critério de análise e em função do grau de interferência 
no negócio, a atividade pode passar de importante para crítica.
Diferença entre impacto importante e impacto crítico
Impacto
Crítico
Sem entrega de valor
Com entrega de valor
Importante
Fonte: Próprio autor (2021).
 Para reduzirem o impacto das criticidades, as empresas elaboram o que é conhecido como 
Plano de Continuidade do Negócio (PCN)
Diferença entre impacto importante e impacto crítico 
Impacto
PCN
Crítico
Sem entrega de valor
Com entrega de valor
Importante
Fonte: Próprio autor (2021).
A relação entre o impacto causado por um incidente é classificado como:
 Os incidentes que geram impactos são classificados como importantes;
 Os incidentes que geram desastres são classificados como críticos.
Relação entre o impacto causado por um incidente
Fonte: Próprio autor (2021).
Situação 
normal
Incidente – Evento
Desastre
Impacto
Critérios
Tempo
 Os computadores usavam dois dígitos para identificação de um ano (ex.: 1999 era operado 
como 99) e, na virada de 1999 para 2000, as operações poderiam retroagir para o ano 
de 1900. 
 Risco: Gerar indisponibilidade nos computadores.
 Solução: Corrigir a programação/banco de dados a tempo. 
 Resultado: Não houve impacto significativo no final da operação (em função de 
correções prévias).
 Classificação: Incidente Importante. 
Estudos de casos – Bug do milênio 
Fonte: UOL (2021).
 A greve dos caminhoneiros foi a paralisação do transporte rodoviário em 2018, um incidente 
que interferiu na continuidade do negócio de muitas empresas.
 Risco: Desabastecimento de insumos e mercadorias.
 Solução: Término da greve ou plano de minimização dos impactos (chamada 2º opção). 
 Resultado: Por não haver um PCN, houve desabastecimento e impacto em todas 
as empresas.
 Classificação: Incidente crítico. 
Estudos de casos – Greve dos caminhoneiros 
Fonte: Próprio autor (2021).
 A LGPD impõe regras muito rígidas a respeito do modo como as empresas (privadas e 
públicas) e as instituições precisam tratar os dados e as informações das pessoas em todo 
território nacional.
Reflexões sobre a LGPD em possíveis “vazamentos” de dados:
 O que as empresas devem fazer para acompanhar as normas de proteção de dados? 
 As empresas estão prevendo uma forma de recuperar dados de forma eficiente?
 Em caso de vazamento de dados, como as empresas devem agir? 
Estudos de casos – Lei Geral de Proteção de Dados (LGPD)
 Pandemia do vírus Covid-19 que iniciou em 2020, sem a existência de vacinas, remédios ou 
protocolo de tratamento, causando milhões de mortes e uma alta proliferação. 
 Para conter o avanço da doença, a medida adotada pela Organização Mundial de Saúde 
(OMS) foi o chamado “isolamento social”.
 O que as empresas devem fazer para continuar seus negócios? 
 Como continuar o negócio com o “isolamento social”?
 Em possíveis falecimentos, como manter a continuidade e preservação de informações?
Estudos de casos – Pandemia Covid-19 
De acordo com os conceitos sobre continuidade do negócio, podemos definir como alternativa 
verdadeira a opção:
a) Continuidade de negócio não preserva o fornecimento de valor, apenas se preocupa com o 
impacto de um incidente. 
b) Um impacto importante é aquele que tem como consequência o comprometimento da 
entrega de valor ao seu público-alvo.
c) Quanto maior o risco de interrupção de entrega de valor ao cliente, maior a criticidade.
d) O Plano de Continuidade do Negócio (PCN) não tem uma 
relação direta no impacto de um evento que possa gerar um 
incidente.
e) Um impacto importante, após ser classificado, não pode ser 
alterado para impacto crítico. 
Interatividade
De acordo com os conceitos sobre continuidade do negócio, podemos definir como alternativa 
verdadeira a opção:
a) Continuidade de negócio não preserva o fornecimento de valor, apenas se preocupa com o 
impacto de um incidente. 
b) Um impacto importante é aquele que tem como consequência o comprometimento da 
entrega de valor ao seu público-alvo.
c) Quanto maior o risco de interrupção de entrega de valor ao cliente, maior a criticidade.d) O Plano de Continuidade do Negócio (PCN) não tem uma 
relação direta no impacto de um evento que possa gerar um 
incidente.
e) Um impacto importante, após ser classificado, não pode ser 
alterado para impacto crítico. 
Resposta
 Algumas definições básicas precisam ser compreendidas para o entendimento do que é a 
continuidade do negócio.
 A maioria dos termos envolvidos em continuidade do negócio é extraída da Norma ISO 
22300:2018 – Security and Resilience – Vocabulary. 
Definições importantes sobre Continuidade do Negócio (CN) 
 Uma ameaça está associada à capacidade de os agentes ou as situações provocarem um 
incidente ou uma série de incidentes. 
 As ameaças sempre irão existir, elas precisam ser conhecidas, analisadas e estudadas. 
 O Plano de Continuidade de Negócios (PCN) deve prever todas as ameaças e descrever 
ações para minimizar e/ou eliminar os impactos gerados. 
 Indício de acontecimento desagradável ou perigoso.
Definições Importantes – Ameaça 
 É tudo que possa gerar informação (ativos físicos, lógicos e capital humano). 
São classificados:
 Tecnologia – Equipamentos de infraestrutura, computadores e telefonia.
 Pessoas – Colaboradores, prestadores de serviço, fornecedores e qualquer pessoa 
envolvida com o negócio. 
 Processos – Processo que gere transformações de valores 
no resultado final desejado. 
 Ambiente Físico – Espaço físico onde são armazenadas as 
informações como sala técnica, data center, centro de 
processamento de dados etc.
Definições Importantes – Ativo de Informação
 Uma contingência é uma eventualidade, um acontecimento que tem como fundamento 
a incerteza.
 A contingência é algo que pode acontecer, algo que não pode ser controlado e que não é 
possível prever se acontecerá ou não.
 A continuidade do negócio está fortemente ligada com os itens de contingência.
Definições Importantes – Contingência 
 A continuidade de negócios é definida como a capacidade que uma organização tem em 
continuar (por determinado tempo) a entregar os seus serviços ou os seus produtos em um 
nível mínimo (pelo menos) aceitável, definido após um incidente. 
 A continuidade do negócio é a preservação do negócio com a manutenção do fornecimento 
de valor ao cliente.
Definições Importantes – Continuidade de Negócios 
 A crise é uma mudança brusca ou uma alteração importante em um processo ou 
situação normal.
 Institute for Crisis Management: “(Crise é) uma interrupção significativa nos negócios de uma 
organização que estimula uma cobertura extensiva pela mídia. O resultado da opinião 
pública pode afetar suas operações e ainda pode ter impactos políticos, legais e financeiros 
em seus negócios (ICM, 2020).”
Definições Importantes – Crise
 Um desastre é um acontecimento que causa sofrimento e prejuízo. 
 Um desastre tem como causa uma adversidade, que pode ser natural, artificial ou provocada 
de forma intencional. 
 Os desastres podem gerar distúrbios e impactos muito grandes em uma sociedade e ter 
como consequência a geração de extensas perdas humanas, materiais e financeiras. 
 Um desastre pode tirar da empresa a capacidade de lidar com 
o incidente por meios próprios. 
Definições Importantes – Desastre
Tipos de desastre
Definições Importantes – Desastre 
Desastre
Artificial
Natural
Intencional Não Intencional
• Fortes Chuvas
• Terremotos
• Incêndio
• Descargas 
atmosféricas
• Alteração de 
informações
• Hacking
• Códigos 
maliciosos
• Erro ou 
omissão
• Apagar arquivo
• Acidente físico
• Erro de 
procedimento
Fonte: Próprio autor (2021).
 O conceito de disponibilidade tem como foco o cliente, que é aquele que precisa receber um 
produto ou um serviço. 
 Disponibilidade é a condição ou qualidade de algo ou alguém que se encontra disponível, ou 
seja, livre e desocupado de determinadas funções ou obrigações.
Definições Importantes – Disponibilidade
 A disrupção é a interrupção do curso normal de um processo, de uma tendência do negócio, 
de uma entrega ou da execução de um serviço. 
 Sinaliza que o processo saiu da situação normal e começou a tomar outro caminho.
Definições Importantes – Disrupção
 Também conhecido como incidente de interrupção.
 Trata-se de situações que interrompem a continuidade do negócio e geram uma crise.
 Ameaça (conhecida ou não), gera um incidente e causa um impacto na Continuidade de 
Negócios e pode gerar uma crise – Incidente de Continuidade de negócios. 
Definições Importantes – Incidente de Continuidade de Negócios
 O impacto é a consequência de um incidente; 
 O impacto pode ser financeiro, humano ou imagem da empresa. 
 Os objetivos da Gestão da Continuidade do Negócio – GCN são minimizar os possíveis 
impactos e não permitir que os eventuais incidentes gerem desastres. 
Definições Importantes – Impacto/Gestão de Continuidade de Negócio
 O Período Máximo de Interrupção Tolerável é o tempo máximo para que o evento, a 
indisponibilidade, o incidente ou o desastre se torne intolerável. 
 MTPD – acrônimo do inglês Maximum Tolerable Period of Disruption. 
Definições Importantes – Período Máximo de Interrupção Tolerável
 Stakeholder é um termo da língua inglesa que tem como significado "grupo de interesse". 
 As partes interessadas são pessoas que têm algum tipo de interesse nos processos e nos 
resultados da empresa.
Definições Importantes – Partes interessadas (Stakeholders) 
 Segundo Oliveira (2020): “O Plano de Continuidade de Negócios (PCN) é um conjunto de 
estratégias e planos de ação preventivos que garantem o pleno funcionamento dos serviços 
essenciais de uma empresa durante quaisquer tipos de falhas, até que a situação 
seja normalizada.”
 As organizações que contam com um PCN bem elaborado e bem estruturado garantem sua 
perenidade e sua sobrevivência diante de circunstâncias inesperadas. 
 No PCN, todo o processo previsto e documentado é deixado à 
disposição para ser consultado pelos stakeholders 
da organização.
Definições Importantes – Plano de Continuidade de Negócios (PCN) 
 Resiliência é a capacidade de a empresa suportar adversidades sem sofrer descontinuidade 
em seu negócio. 
 É a habilidade que a organização tem de resistir às adversidades. 
 É a capacidade de uma organização sofrer uma falha e voltar a operar em seu 
estado normal. 
 A resiliência organizacional é a capacidade de a organização 
adaptar-se às mudanças, absorvendo os eventuais 
problemas, sem alteração da meta pretendida. 
Definições Importantes – Resiliência/Resiliência Organizacional
 O risco pode ser associado à probabilidade de insucesso, em função de um acontecimento 
eventual ou incerto, cuja ocorrência não dependa exclusivamente da vontade dos 
interessados.
 Em toda operação há risco. 
 O risco é a probabilidade (mesmo que baixa) de um incidente ocorrer.
Definições Importantes – Risco 
 RPO – acrônimo do inglês Recovery Point Objective, também conhecido como “Perda 
Máxima de Dados”.
 É o ponto em que as informações utilizadas no processo devem ser restauradas a fim de 
permitir que a operação e a atividade possam ser retomadas.
Definições Importantes – Ponto Objetivado de Recuperação
 Também conhecido como RTO – acrônimo do inglês Recovery Time Objective.
 É o período (tempo) para a retomada do serviço, da atividade ou do recurso.
 O RTO deve ser o menor possível e, se possível, bem próximo a zero.
Definições Importantes – Tempo Objetivado de Recuperação
 Também conhecido como MBCO – acrônimo do inglês Minimum Business 
Continuity Objective.
 É o valor mínimo aceitável para que uma organização consiga manter seu negócio 
em operação.
Definições Importantes – Objetivo Mínimo de Continuidade de Negócios
 A vulnerabilidade implica uma situação de exposição, sendo que as organizações e seus 
ativos se encontram permanentemente expostos a possíveis riscos e danos de toda natureza 
e magnitude. 
 Para mitigar esses riscos,a vulnerabilidade deve ser corrigida ou minimizada, de forma a 
evitar que o eventual risco se materialize.
Definições Importantes – Vulnerabilidades
O período para a retomada do serviço, da atividade ou do recurso é definido como sendo:
a) Ponto Objetivado de Recuperação.
b) Período Máximo de Interrupção Tolerável.
c) Disponibilidade.
d) Perda Máxima de Dados.
e) Tempo Objetivado de Recuperação.
Interatividade
O período para a retomada do serviço, da atividade ou do recurso é definido como sendo:
a) Ponto Objetivado de Recuperação.
b) Período Máximo de Interrupção Tolerável.
c) Disponibilidade.
d) Perda Máxima de Dados.
e) Tempo Objetivado de Recuperação.
Resposta
 O mundo vem se tornando cada dia mais digital e o volume de informações vem crescendo 
cada vez mais e isso exige que as empresas tenham respostas rápidas e eficazes. 
 Uma matéria “Os ataques cibernéticos explodem durante pandemia e expõem 
vulnerabilidades das empresas” – Autor: Marcelo Moura e Daniel Haidar – 23/09/2020 –
Revista Época Negócios – expõe alguns dados interessantes:
 Fonte: 
https://epocanegocios.globo.com/Tecnologia/noticia/2020/09/o
s-ataques-ciberneticos-explodem-durante-pandemia-e-
expoem-vulnerabilidades-das-empresas.html
Conceitos importantes sobre continuidade do negócio
Conceitos importantes sobre continuidade do negócio
Fonte: Adaptado https://epocanegocios.globo.com/Tecnologia/noticia/2020/09/os-ataques-
ciberneticos-explodem-durante-pandemia-e-expoem-vulnerabilidades-das-empresas.html
AMEAÇA INVISÍVEL
Os ataques 
cibernéticos custam à 
economia global
US$ 1,5
TRILHÃO
por ano
A expectativa é a de que 
esse valor chegue a
US$ 6
TRILHÕES
em 2021
Fonte: Julius Baer
Fonte: Julius Baer
68%
das violações levam 
meses para serem 
descobertas
87%
dos ataques 
acontecem em 
minutos
Fonte: Adaptado de: 
https://epocanegocios.globo.com/Tecnologi
a/noticia/2020/09/os-ataques-ciberneticos-
explodem-durante-pandemia-e-expoem-
vulnerabilidades-das-empresas.html
Conceitos importantes sobre continuidade do negócio
2
0
1
9
 I
N
T
E
IR
O
DISPARA O PREJUÍZO COM CIBERATAQUES À 
INDÚSTRIA DE SEGUROS
A perda de clientes que tinham contratados seguros cibernéticos já é bem 
maior até o fim de maio de 2020 do que em todo o ano de 2019
Receitas seguradoras
J
A
N
-M
A
IO
/2
0
1
9
Prejuízos reembolsados de 
segurados
Receitas seguradoras
Prejuízos reembolsados de 
segurados
Prejuízos reembolsados de 
segurados
J
A
N
-M
A
IO
/2
0
2
0
Fonte: Susep
R$ 14.170.127,00
R$ 12.269.893,00
R$ 9.663.291,00
R$ 69.749,00
R$ 811.476,00
Conceitos importantes sobre continuidade do negócio
Fonte: Adaptado de: 
https://epocanegocios.globo.com/Tecnologia/not
icia/2020/09/os-ataques-ciberneticos-explodem-
durante-pandemia-e-expoem-vulnerabilidades-
das-empresas.html
O CIBERCRIME NÃO É APENAS UMA QUESTÃO 
DO SETOR FINANCEIRO
Médias globais do setor (em milhões US$)
Serviços financeiros
Serviços públicos e energia
Aeroespacial e defesa
Cuidados de saúde
Tecnologia e Hardware
Serviços
Indústrias/fabricação
Varejo
Administração pública
Produtos de consumo
Transporte
Comunicações
Hospitalidade
Educação
Ciências da Vida
18
17
14,5
12,5
12,5
11
10,2
8,1
9,2
7,5
7,4
7,5
6,8
5
5
Fonte: Accenture, ponemon institute (os dados mostram gastos médios por empresa 
por ano, agrupados por setor)
Conceitos importantes sobre continuidade do negócio
Fonte: 
https://epocanegocios.globo.com/Tecnologia/noticia/2020/09/
os-ataques-ciberneticos-explodem-durante-pandemia-e-
expoem-vulnerabilidades-das-empresas.html
O ATAQUE DDOS SE TORNOU MUITO MAIS AGRESSIVO
1.800
1.600
1.400
1.200
1.000
800
600
400
200
0
2
0
0
4
Fonte: Cambridge Center for Risk Studies, Julius Baer, GBPS = Gigabyte por segundo
2
0
0
5
2
0
0
6
2
0
0
7
2
0
0
8
2
0
0
9
2
0
1
0
2
0
1
1
2
0
1
2
2
0
1
3
2
0
1
4
2
0
1
5
2
0
1
6
2
0
1
7
2
0
1
8
Tamanho máximo do ataque DDoS (Gbps)
Conceitos importantes sobre continuidade do negócio
Fonte: 
https://epocanegocios.globo.com/Tecnologia/noticia/2020/09/os-
ataques-ciberneticos-explodem-durante-pandemia-e-expoem-
vulnerabilidades-das-empresas.html
O CRESCIMENTO NO NÚMERO DE DISPOSITIVOS 
CONECTADOS E EXPONENCIAL
Bilhões de dispositivos
1994
1995
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
Fonte: New Signature, Julius Baer
0,18
0,22
0,25
0,3
0,34
0,38
0,42
0,45
0,5
0,93
1,35
1,79
2,22
2,65
2008
2009
2010
2011
2012
2013
2014
2015
2016
2017
2018
2019
2020
3,08
4,8
5,1
7,4
8,7
11,2
14,4
18,2
22,9
28,4
34,8
42,1
50,1
 A quais fatores podemos atribuir as falhas que permitem a ocorrência de ataques a sistemas 
e de violações de dados? 
 Alguns desses fatores são apontados a seguir.
a) Produtos e informações sendo conectados sem preocupações com quesitos de segurança.
b) Modelo de negócio implantado sem definições do limite de confiança e da responsabilidade 
na proteção de dados.
c) Ferramentas e métodos de fácil uso por 
hackers amadores.
d) Ameaças cada vez mais sofisticadas, complexas e dirigidas.
Conceitos importantes sobre continuidade do negócio
 Com o avanço das tecnologias: Internet das Coisas (IoT), Big Data, novas conectividades 
(IPv6, 5G etc.) geram mais adoção de solução computacional (tecnologia da informação). 
 Manter a Continuidade do Negócio exige planejamento e que a execução da resposta a 
incidentes de computador possa ser desenvolvida, pra isso alguns técnicas e metodologias 
são necessárias. 
Conceitos importantes sobre continuidade do negócio
 O ciclo OODA é a abreviação de quatro tarefas: Observar, Orientar, Decidir e Agir. 
 O ciclo OODA, utilizado com sucesso pela Força Aérea norte-americana na década de 1950, 
que permitiu tomadas de decisão rápidas e eficazes.
 Em momentos de crise, o ciclo OODA deve estar em interação de forma contínua e integral e 
em todos os níveis da empresa. 
Ciclo OODA
Fonte: Próprio autor (2021).
 Observar constantemente possíveis ameaças, vulnerabilidades e riscos de sistemas e 
de processos.
 Orientação de como tais ameaças, vulnerabilidades e riscos podem prejudicar a continuidade 
dos negócios.
 Decidir a partir das orientações (etapas anteriores).
 Agir (as decisões em práticas) a fim de sanar ou minimizar tais fatores de risco. 
Ciclo OODA
Fonte: Próprio autor (2021).
 McCarthy (2014) diz que uma névoa em um campo de batalha pode prejudicar a execução 
de estratégias militares estabelecidas. 
 Névoa de Guerra é o termo adotado quando ninguém sabe o que fazer ou como agir. 
 As especulações e agir sem plano de execução causam mais pânico e até prejudicam ainda 
mais a situação (tomar decisões “no escuro”). 
Névoa de Guerra
 O processo de fricção (atrito) gera desgastes. 
 Em tempos de crise, opiniões e pontos de vista diferentes podem gerar controvérsia e 
hostilidade dentro de uma empresa.
 Em tempos de normalidade pode haver fricção, em tempos de incerteza, essa fricção 
inevitavelmente aumentará.
 A prevenção da fricção não depende apenas de maturidade 
empresarial, mas engloba processos e responsabilidades 
bem determinados. 
Fricção (atrito)
 RACI origina-se das palavras em inglês Responsible (Responsável), Accountable
(Aprovador), Consulted (Consultado) e Informed (Informado). 
 Responsável realiza as tarefas e as entregas (responsável pela execução).
 Aprovador aprova a conclusão de uma etapa.
 Consultado sugerir ou opinar (pode ser interno ou externo à empresa). 
 Informado precisa ser avisado sobre o andamento das tarefas. 
Matriz RACI
Fonte: Próprio autor (2021).
ATIVIDADES Funcionário A Funcionário B Funcionário C Departamento
Atividade 01 A/C R I I
Atividade 02 A/C R/I
Atividade 03 R A I/C A
Atividade 04 R A/I C C
Atividade 05 C/A I R
Atividade 06 C C/I C R/A
Atividade 07 R I A/C
 O conceito de “centro de gravidade” diz respeito à essência da empresa. O “centro de gravidade” é o conjunto de parâmetros intrínsecos que mantém a empresa 
ativa, gerando receitas e mantendo sua existência. 
 Em um momento de crise, é fundamental que a empresa saiba o que deve ser 
prioritariamente protegido.
Centro de Gravidade
 Os momentos de crise, como temos extensamente observado, geram desgastes, estresse e, 
principalmente, incertezas. 
 O conceito de “unidade de comando”, proveniente do âmbito militar, pressupõe o respeito 
pela hierarquia e pelas ordens superiores. 
 Na esfera empresarial, trata-se de um grupo formado por líderes de múltiplas áreas 
(preferencialmente, com um responsável de cada área) que precisam tomar decisões em 
momentos de crise.
 A grande vantagem de uma “unidade de comando” é a 
centralização do planejamento e da dinâmica de ação.
Unidade de Comando
 Na esfera militar, manter a iniciativa pode ser traduzido como fazer o melhor para se 
antecipar aos eventos, ou seja, o inimigo é que deve reagir às nossas ações, e não 
o inverso. 
 Na perspectiva empresarial, esse conceito pode ser empregado no sentido de a empresa se 
preparar para momentos de crise, e não, simplesmente, permanecer em uma 
posição reativa.
 Se a organização for capaz de se estruturar para enfrentar 
80% das possíveis ameaças, sobrarão 20% delas que 
certamente serão objeto de atenção exclusiva.
Manter a iniciativa
 O conceito de “governança corporativa”, amplamente consolidado por meio do framework
COBIT 5 de boas práticas de governança e de gerenciamento empresarial de Tecnologia da 
Informação consolida as três perspectivas. 
 As organizações necessitam considerar as três perspectivas:
Perspectivas Tática, Operacional e Estratégica
Fonte: Próprio autor (2021).
Ciclo OODA Ciclo OODA
Estratégia
Operacional
Tática
 Todas as organizações têm obrigações contratuais (estatutárias) e obrigações diversas, 
como as relacionadas à responsabilidade social. 
 Para manter esses elementos, há a necessidade de identificarmos os requisitos que devem 
ser atendidos em caso de crise. 
 As responsabilidades de uma empresa devem ser executadas e guiadas em requisitos. 
Execução guiada por requisitos
 O “estado final” é o conceito vinculado ao sucesso de uma organização. 
 Definido em poucas palavras, usualmente deve responder a indagações dos tipos: “quem, o 
que, quando, onde e por que”.
 Para onde a empresa pretende ir?
 O que significa sucesso para a empresa, considerando sua missão?
 Qual é a importância desse “estado final” para a empresa?
 Sem uma visão de objetivo, nenhuma organização consegue 
caminhar para a melhora. 
Estado Final
A quantidade de informação digital que a sociedade vem produzindo nos últimos tempos exige 
que métodos “militares” sejam utilizados a fim de enfrentar uma “guerra” na continuidade do 
negócio. Nesta perspectiva, podemos entender como a opção verdadeira em relação ao 
Ciclo OODA:
a) O ciclo OODA é utilizado apenas em momento de crise pela cúpula da empresa.
b) A etapa Observação tem como objetivo detectar possíveis ameaças, vulnerabilidades e 
riscos de sistemas e de processos.
c) A etapa de decisão não precisa necessariamente seguir as etapas anteriores.
d) O método (ciclo OODA) permite tomar decisões eficazes, 
porém demoradas. 
e) A etapa “Agir” tem o objetivo de testar a vulnerabilidade 
previamente.
Interatividade
A quantidade de informação digital que a sociedade vem produzindo nos últimos tempos exige 
que métodos “militares” sejam utilizados a fim de enfrentar uma “guerra” na continuidade do 
negócio. Nesta perspectiva, podemos entender como a opção verdadeira em relação ao 
Ciclo OODA:
a) O ciclo OODA é utilizado apenas em momento de crise pela cúpula da empresa.
b) A etapa Observação tem como objetivo detectar possíveis ameaças, vulnerabilidades e 
riscos de sistemas e de processos.
c) A etapa de decisão não precisa necessariamente seguir as etapas anteriores.
d) O método (ciclo OODA) permite tomar decisões eficazes, 
porém demoradas. 
e) A etapa “Agir” tem o objetivo de testar a vulnerabilidade 
previamente.
Resposta
 Melhor do que confiar em produtos comercializados é confiar em padrões e em 
procedimentos sedimentados por comitês e especialistas por meio de normas. 
 As normas e procedimentos são criados por agências regulatórias (estaduais, federais e 
independentes), formadas por comitês e profissionais altamente competentes.
 O objetivo é estabelecer, de forma pragmática, padrões mínimos e aceitáveis de segurança.
 A certificação deixa de ser apenas uma estratégia de 
marketing e passa a ser um reforço para a proteção da 
organização, a fim de manter a continuidade do negócio e, 
principalmente, apresentar um diferencial competitivo 
no mercado.
Normas Existentes
 A ABNT – Associação Brasileira de Normas Técnicas é o único foro nacional de 
normalização, é reconhecida pelo Governo Federal, por regulamentação legislativa, como 
responsável pela elaboração das Normas Brasileiras (NBR).
 A ABNT é membro ativo da Associação Mercosul de Normalização (AMN), da Comissão 
Pan-Americana de Normas Técnicas (Copant) e da parte de normalização internacional da 
International Organization for Standardization (ISO) e da International Electrotechnical 
Commission (IEC).
 A ABNT representa tais instituições e aplica para o Brasil as 
normas vigentes internacionalmente (adaptadas, 
quando necessário). 
Normas Existentes
 A norma internacional ISO 22301/2020, denominada “Segurança e resiliência – Sistema de 
gestão de continuidade de negócios – Requisitos”, é considerada a norma mais importante 
na temática de continuidade de negócio e pode ser aplicada a qualquer organização 
(independentemente do seu porte, do seu segmento ou dos produtos e dos serviços 
oferecidos). 
 A norma NBR ISO/IEC 22301/2020 deve ser aplicada sobre a NBR ISO/IEC 22300/2018 –
“Security and Resilience – Vocabulary” 
 A norma especifica os requisitos para implementar, manter e 
melhorar um sistema de gestão a fim de a organização 
proteger-se e conseguir reduzir a probabilidade de ocorrência 
de disrupções.
ABNT NBR ISO/IEC 22301/2020
Com a referida norma, seguindo à risca todos os seus elementos, é possível:
 Identificar e gerenciar ameaças (atuais e futuras) do negócio;
 Manter uma atitude de proatividade com o objetivo de minimizar o incidente;
 Preservar as atividades e as funções críticas de uma empresa em período de crise;
 Mostrar resiliência aos acionistas, clientes e demais envolvidos na atividade corporativa.
 A norma especifica requisitos para o planejamento, o 
estabelecimento, a implementação, a operação, o 
monitoramento, a revisão, a manutenção e a melhoria 
constante de um sistema de gestão de continuidade 
do negócio. 
ABNT NBR ISO/IEC 22301/2020
 A ABNT NBR ISO/IEC 27000/2018 é denominada “Tecnologia da informação – Técnicas de 
segurança – Sistemas de gestão de segurança da informação – Visão geral e vocabulário” 
ou simplesmente “Gestão da Segurança da Informação” (quando se refere a todas as 
normas juntas).
 Trata-se de uma família de normas, que foi criada e aprovada pelo comitê ISO/IEC/JTC 1 
Information Technology, comitê técnico que desenvolve e mantém os padrões nas áreas de 
Tecnologia da Informação e Comunicação.
Família das Normas ABNT NBR ISSO/IEC 27000
Família das Normas ABNT NBR ISSO/IEC 27000
Fonte: Próprio autor (2021).
Família das Normas ABNT NBR ISSO/IEC 27000
Fonte: Próprio autor (2021).
Família das Normas ABNT NBR ISSO/IEC 27000
Fonte: Próprio autor (2021).
 A norma ABNT NBR ISO/IEC 31000/2018 denominada “Gestão de Riscos – Diretrizes” é 
uma norma imprescindível para a manutenção e a continuidade do negócio.
 A gestão de risco definida pela norma é fundamental para o gerenciamento de riscos (risk 
management). 
A gestão de riscos abrange um processo que envolve algumas etapas:
 Etapa 1 – Comunicação e consulta.
 Etapa 2 – Monitoramentoe análise crítica.
 Etapa 3 – Estabelecimento do contexto.
 Etapa 4 – Processo de avaliação de riscos, que contém as 
fases de identificação, análise e avaliação.
 Etapa 5 – Tratamento do risco.
ABNT NBR ISO/IEC 31000/2018
 Na norma é apresentado um diagrama em que está descrita a contribuição do processo de 
avaliação de riscos para o processo de gestão de riscos.
ABNT NBR ISO/IEC 31000/2018
Fonte: Adaptado de: ABNT NBR ISO/IEC 31010/2012
Para a efetiva gestão de riscos, a ABNT NBR ISO/IEC 31000/2018 deve ser implantada 
com outras normas complementares. 
 ABNT NBR ISO/IEC 31010/2012 “Gestão de riscos – Técnicas para o processo de avaliação 
de riscos”,
 ABNT NBR ISO/Guia 73, “Gestão de riscos – Vocabulário”.
ABNT NBR ISO/IEC 31000/2018
 Lei 13.709, mais conhecida como Lei Geral de Proteção de Dados (LGPD), foi aprovada em 
2018, mas só em 2020 entrou em vigor. 
 Essa lei não é uma inovação em termos mundiais: trata-se de uma adaptação da General 
Data Protection Regulation (GDPR), da Europa. 
 A LGPD estabelece que, independentemente da localização física de origem da organização, 
se há processamento de dados de pessoas, a lei deve ser acatada e cumprida em todo 
território brasileiro. 
 Espera-se, com isso, que todas as empresas que atuem no 
território brasileiro ajam de acordo com a LGPD. 
 A continuidade de negócio não ficou de fora da LGPD. Um 
plano de contingência, auditorias e ações para sanar o mais 
rapidamente possível um vazamento.
Lei Geral de Proteção de Dados (LGPD) – Lei n. 13.709/2018 
A norma mais importante na temática de continuidade de negócio e pode ser aplicada a 
qualquer organização (independentemente do seu porte, do seu segmento ou dos produtos e 
dos serviços oferecidos) é a norma:
a) ABNT NBR ISO/IEC 22310/2020.
b) ABNT NBR ISO/IEC 31000/2018.
c) ABNT NBR ISO/IEC 31010/2012.
d) ABNT NBR ISO/IEC 22301/2020.
e) ABNT NBR ISO/Guia 73.
Interatividade
A norma mais importante na temática de continuidade de negócio e pode ser aplicada a 
qualquer organização (independentemente do seu porte, do seu segmento ou dos produtos e 
dos serviços oferecidos) é a norma:
a) ABNT NBR ISO/IEC 22310/2020.
b) ABNT NBR ISO/IEC 31000/2018.
c) ABNT NBR ISO/IEC 31010/2012.
d) ABNT NBR ISO/IEC 22301/2020.
e) ABNT NBR ISO/Guia 73.
Resposta
ATÉ A PRÓXIMA!