Desastre, Recuperação e Gestão da Continuidade do Negócio Livro-Texto - Unidade III

Prévia do material em texto

134
Unidade III
Unidade III
5 TESTE E VALIDAÇÃO DO PLANO DE CONTINUIDADE DO NEGÓCIO
Mesmo que tenhamos elaborado os planos e feito as análises de ação, reação e contingenciamento, 
não há garantias de que o Sistema de Gestão de Continuidade de Negócio (SGCN) esteja livre de falhas.
Um SGCN deve ser “vivo” e estar pronto para ser ativado; quando isso ocorrer, tudo deve funcionar 
de forma coesa e acertada. Para assegurarmos que isso ocorra, fazemos testes que irão validar (ou 
não) os planos traçados. Logo, o SGCN deve abarcar um Plano de Teste e Validação (PTV), que será 
estudado a seguir.
O objetivo do teste de validação é assegurar que estratégias, políticas, planos e procedimentos 
estejam realmente preparados e que todas as pessoas envolvidas saibam como executar as tarefas 
elencadas no PCN.
Os exercícios e os testes são oportunidades para que o SGCN possa:
• promover a educação, a capacitação e a conscientização de todos os funcionários da empresa;
• estabelecer a cultura da importância em se manter todos os processos ativos e seguros;
• garantir que o PCN seja apropriado e bem desenvolvido e esteja livre de falhas e de dúvidas;
• detectar oportunidades de melhorias que deixaram de ser implantadas;
• verificar se toda a gestão e a comunicação está alinhada com os objetivos da empresa;
• desenvolver competências dos colaboradores.
 Lembrete
Precisamos lembrar que uma equipe treinada está mais bem preparada 
para enfrentar imprevistos.
Convém que a organização faça uso de exercícios e de seus resultados documentados para assegurar 
a eficácia e a prontidão de seu PCN.
135
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Os exercícios são atividades elaboradas para que seja possível examinar a capacidade dos 
colaboradores de reagir, recuperar e continuar eficazmente a execução das funções de negócio que lhes 
foram atribuídas em cenários de interrupção específicos.
Além disso, é importante que os exercícios sejam realísticos, planejados com cuidado e acordados 
com as partes interessadas, de modo que haja risco mínimo de interrupção aos processos de negócios. 
Isso pode ser conseguido pela realização do exercício dentro de um ambiente controlado e isolado, sem 
que tenhamos o comprometimento dos objetivos que estão sendo testados.
A norma ABNT NBR 22313:2020 fornece orientações para o planejamento, a criação, a implantação, 
a operação, o monitoramento, a análise crítica, a manutenção e a melhoria contínua de um SGCN 
documentado. Com isso, as organizações podem se preparar para responder a situações imprevistas do 
melhor modo possível e recuperar-se de incidentes de interrupção quando eles surgirem.
Os exercícios devem ser planejados e conduzidos de modo que forneçam:
• verificação de que os tempos objetivados de recuperação (RTO) são realizáveis;
• confiança de que as informações exigidas pelas atividades são apropriadas e atualizadas;
• compreensão efetiva da inter-relação entre as partes interessadas;
• consciência do contexto e das prioridades da organização;
• confiança na resposta a incidentes;
• oportunidades para a implementação de melhorias;
• possibilidade de análise da utilidade e da aplicabilidade de estratégias de continuidade de negócios;
• otimização da alocação de recursos;
• chances para identificar quaisquer outras insuficiências nos procedimentos de continuidade de 
negócios escritos e sua implementação;
• garantia de que os procedimentos de continuidade de negócios são capazes de serem 
implementados, quando necessário;
• confiança das partes interessadas sobre a preparação da organização;
• meios de cumprimento dos requisitos de governança regulamentares, contratuais ou organizacionais.
136
Unidade III
O quadro a seguir mostra, com base na ABNT NBR 22313:2020, os tipos de testes a serem feitos com 
suas respectivas periodicidades:
Quadro 54 – Tipos de testes de acordo com a complexibilidade
Complexibilidade Teste Processo Variações Frequência recomendada
Simples Teste de mesa
Revisão/correção de 
conteúdo Atualização/Validação
Ao menos 
anualmente
Questionário conteúdo 
do PCN Auditoria/Verificação Anualmente
Médio
Walkthrough Questionário conteúdo do PCN
Inclusão de interação 
e validação dos papéis 
dos participantes
Anualmente
Simulação
Simulação de um cenário 
de desastre para validar se 
os PCNs têm informações 
necessárias e suficientes 
de forma a permitir uma 
recuperação com sucesso
Incorporação dos 
planos associados
Anualmente ou 
duas vezes ao ano
Operação 
paralela
Execução paralela em 
ambiente controlado 
que não prejudique o 
andamento usual dos 
negócios
Execução dos 
processos de negócio 
no ambiente de 
contingência por um 
tempo determinado
Anualmente ou 
menos
Complexo Interrupção total
Teste que envolve toda a 
infraestrutura da GCN
Executar os planos 
com a infraestrutura 
principal desligada
Anualmente ou 
menos
Adaptado de: Manoel (2019).
A seguir, são descritos alguns dos principais tipos de testes que são utilizados. Vale observar que 
esses testes podem ser utilizados tanto para o Plano de Teste e Validação como também para outros 
procedimentos e elaborações.
5.1 Teste de mesa
O teste de mesa é um teste manual utilizado para validar a lógica de determinado algoritmo. Ele é usado 
principalmente em algoritmos quando a linguagem empregada não conta com nenhuma ferramenta 
automatizada de depuração.
Trata-se de uma técnica muito utilizada em desenvolvimento de software, na qual testamos 
algoritmos e conferimos se os resultados obtidos são os esperados. Vale destacar que seu custo é muito 
baixo em comparação com os demais.
Para Leite (2006), no desenvolvimento de software, não há uma sequência de passos pré-estabelecida; 
entretanto, alguns passos básicos podem ser indicados, como os mostrados a seguir:
137
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
• Identificar todas as variáveis presentes no programa.
• Criar uma tabela em que a primeira coluna seja chamada de “Passo” e a segunda coluna seja 
chamada de “Linha”. Criar, também, uma coluna para cada variável do programa.
• Preencher, na primeira linha da tabela, a coluna “Passo” com “Início”. Preencher as colunas das 
variáveis com seus respectivos valores iniciais.
• Percorrer o código linha a linha, preenchendo a tabela. A coluna “Passo” deverá ser incrementada 
a cada nova linha na tabela; a coluna “Linha” deve indicar o número da linha no código que está 
sendo analisado e, em cada coluna das variáveis, deve constar o valor para cada variável após a 
linha de código a ser executada.
• Executar a etapa anterior até o programa ser finalizado.
Nesse tipo de teste, podem ser observadas, com muita facilidade, divergências de informações, como 
contatos e nomes de responsáveis, e ambiguidades de procedimentos.
 Saiba mais
Para saber mais sobre o teste de mesa, consulte o site a seguir, 
especializado em lógica de programação:
TESTE de mesa. DevsChannel, [s.d.]. Disponível em: https://bit.ly/2RbF9yb. 
Acesso em: 27 abr. 2021.
5.2 Teste walkthrough
A tradução literal do teste walkthrough é “teste por travessia”. Esse teste consiste na conferência de 
todos os passos descritos no PCN.
Por exemplo, na verificação de situações que envolvam a segurança física de colaboradores, um 
erro que pode ser detectado por esse teste é o fato de as portas de emergências estarem fechadas 
com cadeados ou terem acessos não descritos ou duvidosos. Na área de TI, um problema que pode 
ser detectado por esse tipo de teste é a disponibilidade, de forma inadequada, de informações que 
deveriam ser sigilosas e estar guardadas com acesso restrito. Podemos interpretar esse processo como 
uma espécie de vistoria/auditoria.
Esse tipo de teste pode também ser realizado em uma reunião, a fim de que todos os envolvidos 
acompanhem e garantam a eficiência dos processos.
138
Unidade III
 Saiba mais
Para saber mais sobre o teste walkthrough e encontrar um modelo de 
documento gerado por ele, visite a página indicadaa seguir:
TRIBUNAL DE CONTAS DO ESTADO DE MINAS GERAIS. Apêndice AE – 
Walkthrough. [s.d.]. Disponível em: https://bit.ly/3uaoQQs. Acesso em: 
27 abr. 2021.
5.3 Teste de simulação
O teste de simulação é um dos meios mais realistas e fiéis de garantirmos que o Plano de 
Desenvolvimento é coerente e efetivo. Nesse tipo de teste, todos os envolvidos são reunidos e é feita a 
comunicação de que haverá uma simulação do PCN. Assim, são realizadas as simulações de eventuais 
ocorrências como se elas estivessem acontecendo de fato.
O teste de simulação consiste nos testes dos principais pontos de um procedimento, com a finalidade 
de validar parcialmente o PCN. Esse tipo de teste ajuda a identificar gargalos no plano existente e a 
torná-lo robusto.
 Observação
Apesar de os tipos de testes terem sido criados com propósitos 
como desenvolvimento de software, qualidade e gestão, aplicam-se a 
outras finalidades.
A seguir, é apresentado um exemplo de modelo de Plano de Teste e Validação, tendo como teste um 
teste de mesa, que foi adaptado de Manoel (2019):
Exemplo de aplicação
Modelo de Plano de Teste e Validação
Quadro 55 
Empresa
H. V. Aidar Certo
Tipo: 
Plano
Código do documento: 
PL-SGCN-016
Plano de Teste e Validação 
 
Exercício e Testes do PL-SGCN-014 
Plano de Continuidade Operacional
Autor: Nome da pessoa ou do grupo 
Revisado em: 10/12/2019 
Aprovador: Nome da pessoa ou do grupo 
Versão: 1.00 
Aprovação: 10/02/2019
139
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Finalidade
O Plano de Teste e Validação contribui para a melhoria continua do SGCN, pois estabelece, após a 
elaboração dos planos, e nos contextos de desenvolvimento dos Planos de Continuidade de Negócios, 
os testes e os exercícios para executar as coletas de evidências (auditoria) e a correção de falhas que 
possam invalidar a eficiência dos planos. O plano deve:
• estar acessível aos responsáveis por sua manipulação e execução;
• ser aprovado pela alta direção e ser exercitado e treinado por aqueles que o colocarão em prática;
• estar sob a guarda de pessoas que tenham a responsabilidade de manter sua revisão, sua 
atualização e sua aprovação;
• estar sob um controle formal no que se refere a mudanças e à distribuição de cópias;
• ser revisado em intervalos de tempo definidos ou quando ocorrerem mudanças significativas em 
sua organização;
• estar alinhado com os outros PCNs.
Aplicabilidade
O documento é aplicável às pessoas envolvidas nos exercícios e nos testes do Sistema de Gestão de 
Continuidade de Negócios.
Funções e responsabilidades
Seguem as funções e as responsabilidades do chefe de continuidade de negócios:
• Coordenar os exercícios e os testes.
• Acompanhar, esclarecer dúvidas e acionar áreas necessárias para a prestação de suporte 
durante os testes.
• Consolidar as informações documentadas referentes aos resultados dos testes.
• Avaliar e tratar as falhas, sob orientação do Comitê de Continuidade de Negócios, referentes à 
documentação e à governança do SGCN.
• Monitorar e coletar informações observadas durante a execução dos testes.
140
Unidade III
Seguem as funções e as responsabilidades do responsável pelo plano:
• Indicar os funcionários que irão atuar na equipe de contingência para participar do teste do plano.
• Apoiar o chefe de continuidade de negócios na elaboração dos documentos necessários para a 
avaliação do teste.
• Participar dos exercícios e dos testes e documentar os resultados observados bem como as 
melhorias identificadas.
Termos e definições
As definições dos termos e das expressões utilizados no documento constam nos termos e nas 
definições das Normas ABNT NBR ISO 22300:2018, ABNT NBR ISO 22301:2020 e ABNT NBR ISO 22313:2020.
Regras e procedimentos do plano
O documento faz parte do conjunto de Planos de Teste e Validação (PTV) e é parte integrante do 
Sistema de Gestão de Continuidade de Negócios (SGCN).
O conteúdo do plano está relacionado aos requisitos previstos no item 8.5 da norma ABNT NBR 
ISO 22301:2020.
As regras e os procedimentos a serem adotados nas atividades de elaboração, atualização e divulgação 
dos PTV são estabelecidos no PPL-SGCN-007 – Planejamento e Controle Operacional do Sistema de 
Gestão de Continuidade de Negócios.
Os PCNs somente serão considerados efetivos após a realização dos testes e a revisão do plano 
contendo as alterações necessárias de acordo com os resultados obtidos. Dessa forma, será implantada 
a melhora contínua no SGCN.
Os exercícios e testes devem ser conduzidos em intervalos planejados ou quando ocorram mudanças 
significativas dentro da organização ou no ambiente em que opera.
1 Pessoas envolvidas no plano
O documento compreende a execução do tipo teste de mesa do PL-SGCN-014 – Plano de 
Continuidade Operacional.
Devem participar dos testes os funcionários da equipe contingenciada, conforme indicado no 
quadro a seguir:
141
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Quadro 56 
Equipe de contingência
Função Nome
Líder Branch Breaker
Vice-líder Kaiarahi Tuarua
Participantes
Jaques Touvo Uficar
Fran Coati Rador
2 Tipo de teste do plano
Tipo de teste: teste de mesa.
Nesse tipo de teste, os participantes do plano reúnem-se para revisar os planos detalhadamente, 
visando à garantia de sua exatidão. O grupo revisa os objetivos do plano, discute o escopo e os 
pressupostos, revisa a estrutura da organização e avalia os requisitos descritos. O grupo discute ainda 
diferentes cenários e revisa o plano em detalhes, com o objetivo de certificar de que todos os pontos 
relevantes foram abordados. Esse processo aumenta a conscientização dos membros envolvidos no teste 
a respeito dos procedimentos de recuperação.
Não há investimento em aquisições de recursos para a execução dos exercícios e testes, somente o 
homem/hora dos profissionais envolvidos no teste do plano.
3 Cenário do teste do plano
O cenário do teste é a indisponibilidade do funcionamento do call center no prédio principal da 
organização, considerando o que segue:
• Indisponibilidade de acesso às instalações prediais.
• Perda total da sala de servidores de produção.
• Indisponibilidade dos recursos necessários para a execução do processo desenvolvido no prédio.
4 Local do teste do plano
No caso deste plano de teste e validação, o ambiente de contingência funcionará como o local em 
que o plano será testado, de acordo com o quadro a seguir:
142
Unidade III
Quadro 57 
Nome Sala de reunião do Setor Comercial
Descrição Sala onde ficam os consultores externos e a equipe comercial
Ponto de encontro Corredor onde fica a sala principal do Setor Comercial
Local
Empresa H. V. Aidar Certo
Endereço Av. Marginal Pinheiros, 145
Complemento Bloco B
Bairro Centro
Cidade/UF São Paulo – SP
Telefone +55 11 5550-9898 – Ramal 5696
5 Infraestrutura para o teste
Por ser um teste de mesa, será necessário ter os recursos mostrados a seguir:
Quadro 58 
Código Finalidade Qtd. Descrição/Característica Software
Sala com datashow
Agrupar as pessoas 
diretamente envolvidas 
no PCN
1 Sala com mesa e cadeiras para no mínimo oito pessoas Não aplicável
Sala com datashow Estação de trabalho. Será utilizada no teste 1
Estação de trabalho com 
configuração para acesso à rede
MS-Office
Intranet/Intranet
6 Estratégias de teste e validação dos PCNs
As estratégias de teste e validação dos PCNs definidas e aprovadas são descritas nas seções 
subsequentes.
6.1 Teste de mesa
Quadro 59 
Objetivo do teste
Validar os procedimentos de continuidade de negócios descritos no PLSGCN-014 – Plano de 
Continuidade Operacional
Certificar as respostas dos envolvidos
Corrigir itens desatualizados
Verificar o conhecimento dos envolvidos em executar as atividades descritas no plano
Cenário Impossibilidade de acesso às instalações prediais e perda total da sala de servidores de produção ou a indisponibilidade de um ativo que serve de base ao funcionamento do call center
Tempo DD/MM/AAAA – Especificação da data e horário do teste(período) de até duas horas
Duração
Definição da duração planejada dos testes de modo que os envolvidos possam se programar 
sem afetar outros deveres
Este teste tem a estimativa de até duas horas de duração
143
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Participantes
Chefe de continuidade de negócios
Branch Breaker
Kaiarahi Tuarua
Jaques Touvo Uficar
Fran Coati Rador
Recursos de apoio
Espaço físico reservado (sala de reunião)
Estação de trabalho ou notebook
Datashow
Procedimento
1 Agrupar os envolvidos de um PCN específico
2 Expor o cenário de desastre
3 Executar cada atividade do procedimento
4 Verificar o conhecimento e a responsabilidade de cada envolvido sobre cada atividade
5 Verificar a comunicação
6 Coletar informações durante o teste
7 Finalizar o teste
8 Elaborar o documento de relatório de avaliação do teste
Ferramentas 
necessárias
Bloco para anotações
Cópias impressas do PCN a ser testado ou disponibilizadas na intranet
Notebook ou desktop com um editor de texto para correção e atualização do PCO
Datashow
Critérios de êxito
Revisão e atualização de todos os itens do PCO
Envolvimento de todas as pessoas responsáveis por procedimentos do PCO
Considerações É importante analisar o conhecimento das pessoas envolvidas no teste acerca dos aspectos de continuidade de negócios e da execução das atividades no momento de adversidade
Referências normativas
• ABNT NBR ISO 22301:2020 – Cláusula 8.5 exercícios e testes.
• PL-SGCN-008 – Planejamento e Controle Operacional do Sistema de Gestão de Continuidade 
de Negócios.
Anexos
Não aplicável.
6 GESTÃO DE CONTINUIDADE DE NEGÓCIO
A Norma ABNT NBR ISO 22301:2020 é um documento que especifica os requisitos para implementar, 
manter e melhorar um sistema de gestão, no sentido de proteger-se, reduzir a probabilidade de 
ocorrência, preparar-se e recuperar-se de eventuais disrupções.
144
Unidade III
A gestão é a atividade administrativa que visa atingir os objetivos da companhia de maneira eficaz, 
valorizando o conhecimento e as habilidades das pessoas. O gestor deve ser capaz de manter a sinergia 
entre o grupo de colaboradores, a estrutura e os recursos existentes.
A gestão tem como princípio fundamental incentivar e estimular a participação, a autonomia 
e a responsabilidade dos funcionários de uma empresa. Alguns autores falam da gestão como algo 
relacionado a “cuidado”, como se quem fizesse a gestão estivesse “cuidando” daquele tema específico. 
De qualquer forma, gestão é um processo político-administrativo que carrega variáveis.
Em resumo, a gestão da continuidade do negócio é um processo que identifica ameaças potenciais 
para uma organização e os possíveis impactos nas operações de negócio caso tais ameaças se 
concretizem. Para preveni-las e traçar os planos de continuidade do negócio, são usadas ferramentas 
de administração que visam ao fortalecimento da cultura organizacional, à melhoria contínua dos 
processos, à eficácia na montagem das equipes, à identificação de lideranças, à solução de questões 
financeiras e ao aprimoramento das comunicações.
Exemplo de aplicação
A norma ABNT NBR ISO 22313:2020 fornece orientação para o planejamento, a criação, a implantação, 
a operação, o monitoramento, a análise crítica, a manutenção e a melhoria contínua de um Sistema 
Gestão de Continuidade de Negócios (SGCN). De acordo coma NBR ISO 22313:2020, os exercícios devem 
ser planejados e conduzidos de modo que forneçam:
I – Meios para a efetivação de tempos objetivados de recuperação (RTO) superiores aos valores realizáveis.
II – Confiança de que as informações exigidas pelas atividades são apropriadas e atuais.
III – Avaliação da utilidade e aplicabilidade de estratégias de continuidade de negócios.
É correto o que se cita em:
A) I, apenas.
B) II, apenas.
C) III, apenas.
D) II e III, apenas.
E) I, II e III.
145
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Resolução
De acordo com a NBR ISO 22313:2020, os exercícios devem ser planejados e conduzidos de modo 
que forneçam:
• verificação de que os tempos objetivados de recuperação (RTO) são realizáveis;
• confiança de que as informações exigidas pelas atividades são apropriadas e atuais;
• melhora da compreensão da inter-relação entre as partes interessadas;
• consciência do contexto e das prioridades da organização;
• melhoria da confiança na resposta a incidentes;
• oportunidade para melhorar as capacidades;
• avaliação da utilidade e aplicabilidade de estratégias de continuidade de negócios;
• avaliação da adequação das capacidades desenvolvidas e da alocação de recursos;
• oportunidade para identificar quaisquer outras insuficiências nos procedimentos de continuidade 
de negócios escritos e sua implementação;
• garantia de que os procedimentos de continuidade de negócios são capazes de serem 
implementados, quando necessário;
• melhoria da confiança das partes interessadas sobre a preparação da organização;
• um meio de cumprimento dos requisitos de governança regulamentares, contratuais ou organizacionais. 
A resposta correta, portanto, é a alternativa D.
6.1 Ciclo PDCA e ciclo PDCL
A principal ferramenta usada no processo do SGCN é a metodologia do ciclo PDCA. O ciclo PDCA 
foi criado e desenvolvido em 1920 por Walter Andrew Shewhart e difundido por William E. Deming 
na busca de formas de melhorar a qualidade no processo de fabricação. Vale ressaltar que, naquela 
ocasião, não existia nenhuma ferramenta para melhoria de processos. Os processos eram estabelecidos 
e executados.
Embora o ciclo PDCA seja uma ferramenta desenvolvida para melhora do processo produtivo, ela é 
usada em qualquer processo que busca melhora contínua.
146
Unidade III
 Saiba mais
Para saber mais sobre o ciclo PDCA, visite o site a seguir:
NAPOLEÃO, B. M. PDCA. Ferramentas da Qualidade, 3 out. 2018. 
Disponível em: https://bit.ly/3xvtfzO. Acesso em: 27 abr. 2021.
Leia, também, o capítulo 20 da obra a seguir:
DAYCHOUW, M. 40 ferramentas e técnicas de gerenciamento. 
Rio de Janeiro: Brasport, 2006.
O nome do ciclo (PDCA) é formado pelas iniciais de:
• Plan – Planejar;
• Do – Executar;
• Check – Checar;
• Act – Agir.
A figura a seguir mostra um ciclo PDCA aplicado no SGCN:
Partes interessadas
Gerenciamento da 
continuidade de 
negócios
Partes interessadas
Requisitos para 
continuidade de 
negócios
Melhoria contínua do sistema 
de gestão de continuidade 
de negócios (SGCN)
Estabelecer 
(Plan)
GCN
(Check)
Monitorar e 
analisar
(Act)
M
anter e 
m
elhorar (
Do
)
Im
pl
em
en
ta
r 
e 
op
er
ar
Figura 15 – Ciclo PDCA
147
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Assim, esse processo envolve as etapas de planejar (P), fazer (D), checar (C) e agir (A). Devemos 
observar que o final de cada ciclo coincide com o início do ciclo seguinte, isto é, se o ciclo PDCA for 
aplicado a um problema ou a um cenário, ele é executado constantemente. A cada aplicação do ciclo 
PDCA, observamos aprofundamentos do processo por meio de correções de erros e de implementações 
de melhorias contínuas.
A norma ABNT NBR ISO 22301: 2020 adota o modelo do ciclo PDCA para planejar, estabelecer, 
implementar, operar, monitorar, analisar criticamente, manter e melhorar continuamente a eficácia do 
SGCN de uma corporação. A figura a seguir, obtida dessa norma, mostra a relação entre um SGCN e 
o ciclo PDCA:
Partes interessadas
Gerenciamento da 
continuidade de 
negócios
Melhoria contínua do sistema de gestão
de continuidade de negócios (SGCN)
Partes interessadas
Requisitos para 
continuidade de 
negócios
Estabelecer
(planejar)
Monitorar e analisar 
criticamente
(checar)
Manter e melhorar 
(Agir) e aprender
Implementar e operar
(fazer)
Figura 16 – Modelo do PDCA aplicado na melhoria no SGCN
Se observarmos a figura, poderemos analisar cada atividade nela presente, conforme feito a seguir:
• Planejar (estabelecer): trata-se da etapa em que há necessidade de se estabelecer uma Política 
deContinuidade de Negócios, que deve estar alinhada com as demais políticas da empresa.
• Fazer (implementar e operar): trata-se da etapa em que a Política de Continuidade de Negócios 
estabelecida na fase anterior deve ser implantada e operacionalizada.
• Checar (monitorar e analisar criticamente): trata-se da etapa em que o monitoramento e a 
análise crítica dos resultados fornecem a base para a realização das correções necessárias, a fim 
de que seja garantida a melhora contínua do sistema.
• Agir (aprender e melhorar): trata-se da etapa em que as ações de correção devem ser executadas 
e em que seus resultados devem ser divulgados para a empresa. Essa etapa é muito importante, 
pois serve de base para o aprendizado sobre as consequências das ações anteriores. As lições precisam 
ser extraídas e compartilhadas com todos.
148
Unidade III
Vemos que, na última etapa do ciclo da figura anterior, a ação de aprender é fundamental para evitar 
repetições de enganos.
Nesse sentido, o ciclo PDCL é uma evolução do PDCA. No ciclo PDCL, a inicial A (de Act, ou Agir) foi 
substituída pela inicial L, de Learn, cujo significado em português é “aprender”. A ideia é que, a cada final 
de ciclo, a equipe, antes de agir, tenha aprendido com o que aconteceu e que o processo evolua junto 
com a equipe.
O ciclo PDCL é visto como indicado na figura a seguir:
8 Operação
8.2.2 Análise de impacto no negócio
8.2.3 Avaliação de riscos
8.3 Estratégias de CN
8.4.2 Estrutura de resposta a incidentes
8.4.3 Aviso e comunicação
8.4.4 Planos de continuidade de negócio
8.5 Exercitando e testando
4 Contexto da organização
5 Liderança
6 Planejamento
7 Apoio
9 Avaliação do desempenho
9.1 Monitoramento, medição, análise e 
avaliação
9.2 Auditoria interna
9.3 Análise crítica pela direção
10 Melhoria
10.1 Não confomidade e ação corretiva
10.2 Melhoraia contínua
DC
PL
Learn
Aprendizado e 
melhoria do SGCN
Check
Monitoramento e 
revisão do SGCN
Plan
Estabelecendo 
o SGCN
DO
Implementação e 
operação do SGCN
Figura 17 – Ciclo PDCL (evolução do ciclo PDCA)
6.2 Equipe de gestão de continuidade de negócios
Todo o processo de gestão de continuidade de negócios precisa ter um responsável e uma equipe 
engajada, coesa e particularmente destinada a essa tarefa.
A implantação do SGCN deve partir da alta direção da empresa, pois seu desempenho tem vínculos 
com a visão da direção da empresa sobre tal sistema. Se a direção da empresa julgar que o SGCN não é 
importante, o processo enfrentará grande resistência e dificilmente resultará em ações efetivas.
149
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Assim, a aprovação da implantação deve partir da presidência da empresa, ou seja, a implantação 
deve ser de forma top-down, com suporte e apoio a todos os envolvidos.
Aprovada a implantação, o passo seguinte é a nomeação de um responsável pela função. Cabe a 
esse responsável a apresentação dos resultados de todas as fases de implantação. O título desse cargo é 
CBCO, acrônimo do inglês chief business continuity officer (chefe de continuidade de negócios), 
como já usado em exemplos de aplicação feitos em itens anteriores.
 Observação
No organograma das empresas, é comum encontrarmos o CBCO em 
uma posição hierárquica semelhante à posição de uma diretoria.
O CBCO é um cargo de extrema importância para a empresa e exige, de quem o ocupa, capacidade 
técnica elevada em gestão e em outras áreas de conhecimento específicas da empresa. Além disso, o 
responsável pelo cargo deve ser articulado o suficiente para que o diálogo com as demais áreas da 
empresa seja constante e fluente.
O detentor do cargo terá acesso a dados sigilosos da empresa e deverá conhecer com detalhes 
as etapas dos processos desenvolvidos na organização. As ações desse cargo têm impacto direto nas 
finanças e na imagem da empresa.
Logo, um eventual postulante ao cargo de CBCO deve ter alguns atributos essenciais, como os 
apresentados a seguir:
• Conhecer os processos da organização e saber identificar quais deles são críticos e quais deles dão 
lucro à empresa.
• Conhecer as características gerenciais dos líderes, gestores e dos membros das equipes envolvidas.
• Saber como manter boas relações com as pessoas.
• Ter visão holística do negócio e, ao mesmo tempo, ter capacidade de focar detalhadamente em 
cada processo.
• Ser capaz de tomar decisões.
• Ser capaz de estabelecer uma agenda de negociação (visto que muitos problemas podem ser 
resolvidos por meio de negociação).
• Ser agente de mudança.
150
Unidade III
O CBCO é um executivo que operacionaliza as normas e as regras elaboradas pelo Comitê de 
Continuidade de Negócios. Esse comitê reúne um grupo de pessoas que serão o que chamamos 
de “a inteligência por trás das ações”. As funções e as responsabilidades do CBCO são descritas nos itens 
5.2, 5.3, 5.4, 6.2 e 9.3 da norma ABNT NBR ISO 22301:2020.
A hierarquia das equipes que tratam da continuidade de negócio pode ser observada na figura 
a seguir:
Chefe de 
continuidade de 
negócios
Funcionários
Comitê
Figura 18 – Dimensionamento de equipe do SGCN
6.3 Análise financeira da gestão de continuidade de negócio
As despesas decorrentes da implantação do Plano de Continuidade do Negócio são contabilizadas 
em duas contas:
• uma conta decorrente do investimento para implantação, que é denominada contabilmente de 
Capex (capital expenditure, ou despesas de capital);
• uma conta necessária para manter o plano em ação, denominada contabilmente de Opex 
(operational expenditure, ou despesas operacionais).
Fora da visão contábil, a implantação de um PCN pode ser encarada como um investimento, já 
que ela gera reflexos como o aumento da disponibilidade operacional, a elevação da produtividade e a 
redução do tempo de interrupções.
Vale notar que o desenvolvimento e a implantação de um PCN necessitam de investimentos 
iniciais: adequação do espaço, instalação de rede de energia elétrica e de rede de telefonia, compra de 
mesas, cadeiras e estações de trabalho e volume de recursos para cobrir as despesas recorrentes para 
a manutenção de toda a infraestrutura e as despesas eventuais para a realização dos exercícios e dos 
testes de validação.
O valor de investimento usado na implantação e desenvolvimento de um PCN é função do valor das 
perdas financeiras decorrentes da interrupção. Existe um ponto de equilíbrio, apresentado na figura a seguir, 
que mostra o quanto deve ser investido em função das perdas financeiras e do tempo de recuperação.
151
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
t1<t0 t0 t2>t0
Tempo
R$
Investimento 
em prevenção e 
contingência
Perdas 
financeiras e 
operacionais
Menor apetite 
pelo risco
Maior apetite 
pelo risco
Figura 19 – Gráfico de ponto de equilíbrio para o “apetite pelo risco”
No gráfico, vemos que quanto maior for o investimento em prevenção, menor será o tempo de 
recuperação e menores serão as perdas. Observamos, também, que existe um valor de investimento que 
é igual ao valor das perdas. Esse valor é o ponto de equilíbrio.
Note que o ponto de equilíbrio permite a recuperação no tempo que, na figura, foi indicado por t0.
Assim, temos os casos 1 e 2 a seguir:
• Caso 1: se o tempo requerido de recuperação for menor do que t0, os investimentos em 
prevenção serão maiores do que as perdas. Nessa situação, dizemos que a organização tem pouco 
apetite ao risco.
• Caso 2: se o tempo requerido de recuperação for maior do que t0, as perdas serão maiores do que 
o investimento. Nessa situação, dizemos que a organização tem elevado apetite ao risco.
 Lembrete
O lado financeiro deve sempre ser observado em um PCN. Uma má 
gestão desse investimento pode transformá-lo em uma despesa.
Exemplo de aplicação
Em uma organização, foi detectado que um incidente na sua área de TI provoca perdas financeiras e 
operacionais que variam segundo uma função linear com o tempo dada por:
R$
P 3.750,00 .t
h
=
152
Unidade III
Na expressão anterior, P éa perda em R$ e t é o tempo em horas.
O investimento previsto (I) para o estabelecimento de um PCN é de R$ 120.000,00 para a recuperação 
em uma hora e de R$ 50.000,00 para a recuperação em três horas.
Considerando que a variação do investimento com o tempo também seja linear, determine o ponto 
de equilíbrio e o valor a ser investido.
Resolução
Vamos começar a resolução determinando a função de relação do investimento. Se indicarmos por 
a e b as constantes dessa relação que, segundo o enunciado, é linear, teremos:
I = a ∙ t + b
Para t = 1 hora → I = R$ 120.000,00. Logo:
R$ 120.000,00 = a ∙ 1h + b
R$ 120.000,00 - ah = b
Para t = 3 horas → I = R$ 50.000,00. Logo:
R$ 50.000,00 = a ∙ 3h + b
Substituindo b, temos:
R$ 50.000,00 = a ∙ 3h + R$ 120.000,00 - ah
-R$ 70.000,00 = a ∙ 2h
R$ 35.000,00
a
h
−=
Lembramos que:
R$ 120.000,00 = a ∙ 1 + b
153
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Substituindo o valor de a, temos:
R$ 35.000,00
R$1 20.000,00 .1h b
h
−= +
b = R$ 155.000,00
Assim, a função de relação do investimento com o tempo fica:
I = a ∙ t + b
R$ 35.000,00
I .t R$1 55.000,00
h
−= +
O ponto de equilíbrio ocorre quando o investimento é igual às perdas, ou seja:
I = P
R$ 35.000,00 R$
.t R$1 55.000,00 3.750,00 .t
h h
− + =
R$ 38.750,00
R$1 55.000,00 .t
h
=
R$1 55.000,00
t h
R$ 38.750,00
=
t 4h=
Os valores do investimento e das perdas nesse ponto podem ser determinados por:
R$
P 3.750,00 .t
h
=
R$
P 3.750,00 .4h
h
=
P R$1 5.000,00=
154
Unidade III
O gráfico da figura a seguir mostra as funções de variação e o ponto de equilíbrio:
180.000,00
140.000,00
100.000,00
60.000,00
160.000,00
120.000,00
80.000,00
40.000,00
20.000,00
0 1 2 3 40,5 1,5 2,5 3,5 4,5
 Perdas
 Investimentos
Figura 20 – Funções de variação e ponto de equilíbrio
 Resumo
Nesta unidade, foram pontuadas as estratégias para a criação do Plano 
de Continuidade de Negócios (PCN).
Por meio dos tópicos abordados nesta unidade, foi possível entendermos 
os pontos fundamentais para a criação de um Escopo de um Plano de 
Continuidade do Negócio (EPCN), mostrando a relação entre as partes 
envolvidas e as ferramentas usadas.
Foi indicada a relevância da realização dos testes para avaliação do 
PCN. Foi exposta a importância da execução da análise financeira para a 
implantação de um PCN.
155
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
 Exercícios
Questão 1. Mesmo que os responsáveis pelo Sistema de Gestão de Continuidade de Negócio (SGCN) 
tenham sido rigorosos na elaboração dos planos que fazem parte desse sistema e tenham realizado as 
análises de ação, reação e contingenciamento, não há garantias de que não existam falhas. Logo, o 
SGCN deve abarcar um Plano de Teste e Validação (PTV).
Nesse contexto, avalie os itens a seguir:
I – Promover a educação, a capacitação e a conscientização de todos os funcionários da empresa.
II – Estabelecer a cultura da importância em se manter todos os processos ativos e seguros.
III – Garantir que o PCN seja apropriado e bem desenvolvido e esteja livre de falhas e de dúvidas.
IV – Detectar oportunidades de melhorias que deixaram de ser implantadas.
V – Verificar se toda a gestão e a comunicação estão alinhadas com os objetivos da empresa.
Faz parte das oportunidades geradas pela aplicação plano de teste e validação (PTV) o que se 
expõe nos itens:
A) I, II, III e IV, apenas.
B) I, II e III, apenas.
C) II, III e IV, apenas.
D) II, III, IV e V, apenas.
E) I, II, III, IV e V.
Resposta correta: alternativa E.
Análise da questão
O objetivo da aplicação Plano de Teste e Validação (PTV) é assegurar que as estratégias, as políticas, 
os planos e os procedimentos de continuidade de negócios estejam realmente preparados e que todas 
as pessoas envolvidas saibam como executar as tarefas elencadas no PCN. Devemos reforçar que uma 
equipe treinada, capacitada e consciente está mais bem preparada para enfrentar imprevistos.
156
Unidade III
Convém que a organização faça uso de exercícios e de seus resultados documentados para assegurar 
a eficácia e a prontidão de seu PCN, reafirmando seu bom desenvolvimento, confirmando a ausência 
de falhas e detectando oportunidades de melhorias que eventualmente deixaram de ser implantadas.
Os exercícios do PTV são atividades elaboradas para que seja possível examinar a capacidade dos 
colaboradores de reagir, recuperar e continuar eficazmente a execução das funções de negócio que lhes 
foram atribuídas em cenários de interrupção específicos. Para isso, a gestão e a comunicação devem 
estar alinhadas com os objetivos da empresa.
Questão 2. Leia o texto a seguir:
Para testar se as funcionalidades implementadas em um algoritmo estão corretas, é necessário 
testar o algoritmo, verificando o conteúdo das variáveis. Para efetuar essa tarefa, costuma-se utilizar o 
chamado teste de mesa ou teste exaustivo. Realizar esse teste significa seguir passo a passo as instruções 
do algoritmo, de maneira precisa, para verificar se o que foi implementado está correto ou não, a 
partir dos resultados gerados e dos valores parciais. Esse teste permitirá que o programador visualize o 
comportamento de todo o processo, cheque se o algoritmo está correto e corrija eventuais erros.
Adaptado de: https://bit.ly/3eC1ddb. Acesso em: 28 abr. 2021.
Com base no exposto e nos seus conhecimentos, avalie as asserções a seguir e a relação entre elas.
I – O teste de mesa é uma técnica utilizada em desenvolvimento de software, por meio da qual 
testamos algoritmos e conferimos se os resultados obtidos são os esperados.
porque
II – O teste de mesa é uma técnica de aplicação complexa e de custo muito mais alto do que os 
custos de testes similares.
A respeito dessas asserções, assinale a opção correta.
A) As asserções I e II são proposições verdadeiras, e a II justifica a I.
B) As asserções I e II são proposições verdadeiras, e a II não justifica a I.
C) A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
D) A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
E) As asserções I e II são proposições falsas.
Resposta correta: alternativa C.
157
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Análise das asserções
I – Asserção verdadeira.
Justificativa: o teste de mesa é uma técnica bastante empregada para certificarmos se determinado 
algoritmo comporta-se corretamente, conforme suas especificações.
II – Asserção falsa.
Justificativa: o teste de mesa é uma técnica de aplicação relativamente simples e de custo geralmente 
mais baixo do que os custos de testes similares.