Baixe o app para aproveitar ainda mais
Prévia do material em texto
Autor: Prof. Vinícius Hel Tai Pacheco Colaboradores: Prof. Ricardo Sewaybriker Profa. Christiane Mazur Doi Prof. José Carlos Morilla Prof. Mauro Kiehn Desastre, Recuperação e Gestão da Continuidade do Negócio Professor conteudista: Vinícius Hel Tai Pacheco Mestre em Engenharia Elétrica pela Escola Politécnica da Universidade de São Paulo (Poli-USP). Especialista em Microeletrônica pelo Institut National des Sciences Appliquées (INSA) de Toulouse, na França, em Tecnologias de Ensino a Distância (EaD) pela Universidade Paulista (UNIP) e em Gestão e Governança de Tecnologia da Informação pela mesma instituição. Bacharel em Engenharia Eletrônica pela Universidade Santa Cecília (Unisanta). Tecnólogo em Análise e Desenvolvimento de Sistemas e em Gestão da Tecnologia da Informação pela UNIP. © Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida por qualquer forma e/ou quaisquer meios (eletrônico, incluindo fotocópia e gravação) ou arquivada em qualquer sistema ou banco de dados sem permissão escrita da Universidade Paulista. Dados Internacionais de Catalogação na Publicação (CIP) Z13 Zacariotto, William Antonio Informática: Tecnologias Aplicadas à Educação. / William Antonio Zacariotto - São Paulo: Editora Sol. p., il. Nota: este volume está publicado nos Cadernos de Estudos e Pesquisas da UNIP, Série Didática, ISSN 1517-9230. 1.Informática e tecnologia educacional 2.Informática I.Título 681.3 U511.53 – 21 ??? Prof. Dr. João Carlos Di Genio Reitor Prof. Fábio Romeu de Carvalho Vice-Reitor de Planejamento, Administração e Finanças Profa. Melânia Dalla Torre Vice-Reitora de Unidades Universitárias Profa. Dra. Marília Ancona-Lopez Vice-Reitora de Pós-Graduação e Pesquisa Profa. Dra. Marília Ancona-Lopez Vice-Reitora de Graduação Unip Interativa – EaD Profa. Elisabete Brihy Prof. Marcello Vannini Prof. Dr. Luiz Felipe Scabar Prof. Ivan Daliberto Frugoli Material Didático – EaD Comissão editorial: Dra. Angélica L. Carlini (UNIP) Dr. Ivan Dias da Motta (CESUMAR) Dra. Kátia Mosorov Alonso (UFMT) Apoio: Profa. Cláudia Regina Baptista – EaD Profa. Deise Alcantara Carreiro – Comissão de Qualificação e Avaliação de Cursos Projeto gráfico: Prof. Alexandre Ponzetto Revisão: Lucas Ricardi Vitor Andrade Sumário Desastre, Recuperação e Gestão da Continuidade do Negócio APRESENTAÇÃO ......................................................................................................................................................9 INTRODUÇÃO ...........................................................................................................................................................9 Unidade I 1 CONTINUIDADE DO NEGÓCIO .................................................................................................................... 11 1.1 Diferença entre impacto importante e impacto crítico ....................................................... 13 1.2 Estudos de caso ..................................................................................................................................... 15 1.2.1 Bug do milênio no ano 2000 ............................................................................................................. 15 1.2.2 Greve dos caminhoneiros em 2018 ................................................................................................. 15 1.2.3 Lei Geral de Proteções de Dados (LGPD) ....................................................................................... 17 1.2.4 Pandemia da covid-19 em 2020....................................................................................................... 18 1.2.5 Conclusão ................................................................................................................................................... 19 1.3 Definições importantes sobre continuidade do negócio ..................................................... 21 1.3.1 Ameaça ....................................................................................................................................................... 21 1.3.2 Ativo de informação .............................................................................................................................. 21 1.3.3 Contingência ............................................................................................................................................ 22 1.3.4 Continuidade de negócios .................................................................................................................. 22 1.3.5 Crise .............................................................................................................................................................. 23 1.3.6 Desastre ...................................................................................................................................................... 23 1.3.7 Disponibilidade ........................................................................................................................................ 23 1.3.8 Disrupção ................................................................................................................................................... 23 1.3.9 Incidente de continuidade de negócios (incidente de interrupção) .................................. 23 1.3.10 Impacto .................................................................................................................................................... 24 1.3.11 Informação documentada ................................................................................................................ 24 1.3.12 Gestão de continuidade de negócios (GCN) ............................................................................. 25 1.3.13 Período máximo de interrupção tolerável ou MTPD (maximum tolerable period of disruption) ............................................................................................. 25 1.3.14 Partes interessadas (stakeholders) ................................................................................................. 25 1.3.15 Plano de Continuidade de Negócios (PCN) ............................................................................... 25 1.3.16 Resiliência................................................................................................................................................ 26 1.3.17 Resiliência organizacional ................................................................................................................ 26 1.3.18 Risco .......................................................................................................................................................... 26 1.3.19 Ponto objetivado de recuperação ou RPO (recovery point objective) ............................ 26 1.3.20 Tempo objetivado de recuperação ou RTO (recovery time objective) ............................ 27 1.3.21 Objetivo mínimo de continuidade de negócios ou MBCO (minimum business continuity objective) .............................................................................................. 27 1.3.22 Vulnerabilidades.................................................................................................................................... 27 1.4 Conceitos importantes sobre continuidade do negócio ...................................................... 27 1.4.1 Ciclo OODA ................................................................................................................................................ 28 1.4.2 Névoa de guerra ...................................................................................................................................... 29 1.4.3 Fricção (atrito) .......................................................................................................................................... 30 1.4.4 Matriz Raci ................................................................................................................................................30 1.4.5 Centro de gravidade .............................................................................................................................. 31 1.4.6 Unidade de comando ............................................................................................................................ 32 1.4.7 Manter a iniciativa ................................................................................................................................. 32 1.4.8 Perspectivas tática, operacional e estratégica ............................................................................ 32 1.4.9 Execução guiada por requisitos ........................................................................................................ 34 1.4.10 Estado final ............................................................................................................................................. 34 2 NORMAS EXISTENTES .................................................................................................................................... 36 2.1 ABNT NBR ISO/IEC 22301/2020 ...................................................................................................... 37 2.2 Família das normas ABNT NBR ISO/IEC 27000 ......................................................................... 38 2.3 ABNT NBR ISO/IEC 31000/2018 ...................................................................................................... 40 2.4 Lei Geral de Proteção de Dados (LGPD) – Lei n. 13.709/2018 ............................................ 41 Unidade II 3 PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN) OU BUSINESS CONTINUITY PLAN (BCP) ............................................................................................................ 48 3.1 Vantagens oriundas do PCN ............................................................................................................ 48 3.2 Estruturação do PCN ........................................................................................................................... 49 3.2.1 Responsabilidades, consequências e estruturação de um PCN ........................................... 51 3.3 Elaboração do PCN .............................................................................................................................. 55 3.3.1 Fase 1: planejamento ............................................................................................................................ 57 3.3.2 Fase 2: levantamento de dados ........................................................................................................ 67 3.3.3 Fase 3: análise do impacto nos negócios (BIA) ........................................................................... 80 3.3.4 Fase 4: estratégia de recuperação .................................................................................................... 93 4 DESENVOLVIMENTO DOS PLANOS ........................................................................................................... 94 4.1 Programa de Administração de Crise (PAC) ............................................................................... 94 4.2 Plano de Continuidade Operacional (PCO) ..............................................................................103 4.3 Plano de Recuperação de Desastres (PRD) ..............................................................................112 4.4 Plano de Gerenciamento de Incidentes (PGI) .........................................................................117 Unidade III 5 TESTE E VALIDAÇÃO DO PLANO DE CONTINUIDADE DO NEGÓCIO ...........................................134 5.1 Teste de mesa .......................................................................................................................................136 5.2 Teste walkthrough ..............................................................................................................................137 5.3 Teste de simulação .............................................................................................................................138 6 GESTÃO DE CONTINUIDADE DE NEGÓCIO ..........................................................................................143 6.1 Ciclo PDCA e ciclo PDCL ..................................................................................................................145 6.2 Equipe de gestão de continuidade de negócios ....................................................................148 6.3 Análise financeira da gestão de continuidade de negócio ...............................................150 Unidade IV 7 POLÍTICA DE CONTINUIDADE DE NEGÓCIOS ......................................................................................158 8 COMUNICAÇÃO NO PLANO DE CONTINUIDADE ..............................................................................168 9 APRESENTAÇÃO A continuidade do negócio (CN) é um tema que a cada dia ganha mais popularidade no ambiente acadêmico e no cenário empresarial. Essa popularidade se dá em função das inúmeras transformações pelas quais passamos, em virtude de mudanças climáticas, pandemias, crises (financeiras e políticas) e evoluções da tecnologia, por exemplo, que levam as companhias ao enfrentamento de situações de crise que constantemente colocam em risco sua perenidade. Uma empresa, como um órgão organizado, não deve (e não consegue) enfrentar situações de crise sem que seja estabelecido um plano para isso. O enfrentamento de crises sem nenhum planejamento pode fazer com que ocorra o que chamamos de “solução de continuidade da empresa”. Conhecer o que é a continuidade do negócio (CN), como é desenvolvido um Plano de Continuidade de Negócios (PCN), como é composto um Sistema de Gestão de Continuidade do Negócio (SGCN) e quais são os documentos usados para isso é de fundamental importância para a sobrevivência da empresa em momentos de crise. Esses são os assuntos estudados no presente livro-texto. Além disso, serão abordados temas como a gestão de riscos, a governança corporativa (alicerces da continuidade do negócio) e as normalizações existentes, que são assuntos relacionados à CN. Todos esses tópicos serão estudados tendo como pano de fundo a área de segurança de informação. Assim, nosso objetivo é a capacitação do aluno para que ele possa entender e construir um PCN, a fim de que ele saiba atuar no gerenciamento de crises e na análise de impactos no negócio e esteja apto a elaborar planos de contingência e de recuperação de desastres. Bom estudo! INTRODUÇÃO Os conceitos mais elementares sobre CN estão inseridos na sociedade de forma intrínseca, e nem sempre nos damos conta de sua importância ou percebemos que eles fazem parte de nossa rotina. Na área empresarial, planejar opções para um evento não é ser cuidadoso em demasia: significa garantir a atividade. Na essência, isso é CN. Neste livro-texto, são apresentados os principais elementos que compõem a CN com o objetivo de estimular e orientar os alunos no estudo da continuidade do negócio, tendo como base a apresentação de exemplos, diagramas e modelos de documentos. Este livro-texto é dividido em quatro unidades, conforme explicado a seguir: • Na primeira unidade, apresentamos os conceitos sobre o que é continuidade de negócio (CN) e mostramos alguns estudos de caso que ilustram sua necessidade. Essa unidade é de suma importância para dar a base requerida para o desenvolvimento das demais. 10 • Na segunda unidade, apresentamos o Plano de Continuidade de Negócios (PCN). Nesse estudo, expomos a documentação associada ao PCN e mostramos aplicações de estratégias para a invocação do plano em um possível desastre. Abordamos as fases relativas à elaboração e ao desenvolvimento de um PCN. • Na terceira unidade, apresentamos algumas metodologias que auxiliam no desenvolvimento do PCN, como os testes e as validações, e estudamos a gestão de continuidade do negócio. • Na quarta unidade, focamos a Políticade Continuidade de Negócios e a comunicação no Plano de Continuidade. 11 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO Unidade I 1 CONTINUIDADE DO NEGÓCIO Vamos começar nosso estudo por meio de uma situação hipotética, que retrata uma viagem de férias para uma região litorânea do Brasil no período de verão. Para que essa viagem aconteça, é necessário que façamos uma preparação, constituída pelo estabelecimento do período em que a viagem será feita, pelas reservas de hotel, pela concepção dos meios de deslocamento usados até a região (revisão no automóvel se a viagem for feita com esse veículo, por exemplo), pela programação de atividades etc. Ou seja, devemos organizar um plano para que a viagem seja a mais proveitosa possível. No entanto, muitas vezes, esquecemos que imprevistos acontecem. Normalmente, não elaboramos um plano de contingências para eventuais problemas que possam ocorrer durante a viagem, como os mostrados a seguir: • Chegada de uma frente fria que provoca queda na temperatura e precipitação de chuva. • Ocorrência de problemas de saúde. • Impossibilidade de fazer pagamentos com cartão de crédito. • Ocorrência de problemas no carro (veículo de transporte). Esses problemas podem ser contornados por ações prévias, como as mostradas a seguir: • Levar roupas adequadas para temperaturas menores do que as esperadas. • Levar medicamentos para as indisposições mais comuns. • Levar algum dinheiro em espécie e um cartão de débito adicional. • Fazer uma revisão detalhada no carro. Devemos lembrar que imprevistos acontecem e que a maneira mais sensata de enfrentá-los é a preparação. Estar preparado para o futuro é a mais poderosa arma que temos para vencer as adversidades. Com relação aos negócios, isso não é diferente: a preparação para o futuro é uma das melhores formas que as empresas têm para manter suas atividades e projetar seu crescimento. Nesse sentido, a elaboração de planos de contingência é a base da gestão da continuidade do negócio. 12 Unidade I O conceito de continuidade do negócio segue os mesmos princípios que nortearam a preparação para viagem de férias mencionada anteriormente. Nos negócios, além de evitarmos a interrupção das atividades, devemos preparar processos e atividades para gerar valor para a empresa. Segundo o dicionário Aulete (2021), continuidade é um substantivo feminino que está ligado à qualidade ou à condição do que é contínuo. Significa prosseguimento ou persistência de um fato, um acontecimento ou um contexto. Continuidade está ligada à perenidade das coisas. Com relação aos negócios, uma das maneiras de entender seu significado é vê-lo como ocupações, atividades ou trabalhos realizados com fins lucrativos. Assim, podemos entender a continuidade do negócio como a manutenção do negócio sem a existência de interrupções das atividades nele exercidas. Devemos lembrar que um negócio se mantém quando não existe interrupção na entrega de valor para os clientes. Dessa forma, a continuidade do negócio está atrelada à continuidade e à preservação do fornecimento de valor, sem geração de impacto na entrega ao cliente. Em outras palavras, a continuidade do negócio está vinculada à manutenção da entrega de valor aos clientes, mesmo que, para isso, as atividades sofram influência de possíveis interferências, crises ou imprevistos. Para exemplificarmos e analisarmos o que é continuidade do negócio, vamos supor três cenários distintos, expostos a seguir: • Em uma emissora de televisão, ocorre falta de energia em sua antena de transmissão. Nesse caso, como a transmissão da programação é a principal atividade desenvolvida, para a continuidade do negócio (não interromper a transmissão ao público), a empresa deve dispor de meios alternativos para o fornecimento de energia elétrica. Manter a programação sendo transmitida é manter a continuidade do negócio. • Uma instituição financeira sofre um ataque de hackers que provoca vazamento de informações dos seus clientes. Para que isso não se repita e para que a continuidade do negócio seja mantida, há necessidade de que os dados dos clientes sejam protegidos por um sistema de segurança. Manter os dados dos clientes protegidos é manter a continuidade do negócio. • O automóvel de um motorista de aplicativo sofre uma colisão e deve ficar uma semana na oficina para conserto. Para que ele não fique sem trabalhar, deve ser previamente contratado um seguro de assistência veicular que inclua a possibilidade de uso de carro reserva durante o período em que o veículo estiver na oficina. Manter o serviço de transporte é manter a continuidade do negócio. Com base nos exemplos apresentados, podemos perceber que a melhor forma de minimizarmos os impactos de um imprevisto é a preparação. Essa preparação não deve ser encarada com algo estático, isto é, se feita uma vez, não será necessário realizá-la novamente. Os negócios sofrem alterações com o tempo e, por isso, a preparação para os imprevistos deve acompanhá-las. Uma empresa deve estar sempre analisando, atualizando e testando a sua continuidade do negócio. 13 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO Com o surgimento de novas tecnologias e inovações nas metodologias de trabalho, as empresas têm a necessidade de mudar sua forma de atuar e, para isso, novas atitudes para a preservação e continuidade do negócio devem ser estabelecidas. Isso significa que as empresas com muito tempo de existência passaram por diversas ações que permitiram sua continuidade nos negócios (caso contrário, dificilmente elas teriam sobrevivido). Lembrete Continuidade do negócio significa não permitir que o resultado da entrega de valor ao cliente sofra interferência de possíveis crises ou de imprevistos no decorrer do processo de transformação do negócio. 1.1 Diferença entre impacto importante e impacto crítico Em um momento de crise, é difícil definir o que é crítico e o que é importante. Para entendermos essa diferença, há a necessidade de avaliarmos o impacto de um evento e saber quais são suas consequências na organização. Para exemplificar, vamos estudar dois casos. Como primeiro caso, vamos tomar o exemplo de um programador que está trabalhando em um computador em um dia com chuva, raios e trovões. Suponha que, em virtude das condições meteorológicas, ocorra uma descarga elétrica nos circuitos elétricos da empresa e isso afete o computador. Se tal descarga conseguiu atravessar todos os sistemas de proteção e atingiu os circuitos do computador, esse evento pode ser caracterizado como um desastre, pois todo o trabalho efetuado pelo programador pode ter sido perdido, e isso pode impactar negativamente na entrega de valor ao cliente. Essa situação é crítica. Por outro lado, se os sistemas de proteção não foram ultrapassados, é possível contornar rapidamente a situação anterior sem que a entrega de valor ao cliente seja afetada. Essa situação é importante. Como segundo caso, imagine que uma empresa de data center tenha sofrido um ataque de vírus. O resultado do ataque pode levar a dois cenários distintos, expostos a seguir: • O ataque foi isolado em um storage, no qual não constavam informações relevantes. O ataque não gerou um desastre. Essa situação é importante. • O ataque não foi isolado e tirou do ar 80% do serviço de pagamentos de uma instituição financeira, cujos dados estavam armazenados nesse data center. Nessas condições, o serviço demorará para ser recuperado e o evento se constitui em um desastre. Essa situação é crítica. Uma conclusão que podemos tirar da análise desses dois exemplos é que quanto maior o risco de interrupção de entrega de valor ao cliente, maior a criticidade. 14 Unidade I A figura a seguir apresenta um gráfico que mostra a diferença entre importância e criticidade: Importância Criticidade Tempo Critério que transforma importância em criticidade Figura 1 – Relação entre importância e criticidade Observamos na figura que, em função do tempo, a dependerdo critério de análise e em função do grau de interferência no negócio, a atividade pode passar de importante para crítica. Para reduzirem o impacto das criticidades, as empresas elaboram o que é conhecido como Plano de Continuidade do Negócio (ou PCN, estudado com mais detalhes na unidade seguinte), que deve ser constantemente alterado, uma vez que os fatores que geram a situação de criticidade mudam com o tempo, com o tipo de empresa e com os fatores ambientais externos. A relação entre o impacto causado por um incidente pode ser mais bem entendida na próxima figura: Situação normal Incidente - evento Impacto Desastre Critérios Tempo Figura 2 – Relação entre impacto e desastre após um incidente ou um evento Essa figura mostra uma empresa que está operando em uma situação normal quando ocorre um evento (incidente) que, a depender dos critérios de análise, dos tipos de ativos envolvidos e de todo o conjunto de elementos avaliados, pode ser considerado um desastre ou um impacto. Na metade superior da figura, o resultado do evento é visto como um desastre; na metade inferior, o resultado do evento é visto apenas como um impacto. 15 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO Assim, podemos entender que: • os incidentes que geram impactos são classificados como importantes; • os incidentes que geram desastres são classificados como críticos. A análise dessas relações será feita mais à frente. 1.2 Estudos de caso Nesta seção, serão apresentados alguns casos de situações vividas pelas organizações. Em tais casos, algumas empresas contavam com um PCN e puderam passar pelo momento sem maiores prejuízos, enquanto outras não estavam preparadas e foram obrigadas a encerrar suas atividades. 1.2.1 Bug do milênio no ano 2000 A virada do milênio, transição entre o ano de 1999 e o ano 2000, foi aguardada com muitas dúvidas e expectativas. Uma delas, conhecida como bug do milênio (também chamada de falha Y2Y ou apenas Y2Y), existia pelo fato de os computadores usarem dois dígitos para identificação de um ano (por exemplo, o ano de 1999 era operado como 99) e, com a virada de 1999 para 2000, as operações poderiam retroagir para o ano de 1900 (uma vez que o ano 2000 seria operado como 00). Apesar de o problema ter sido detectado com antecedência e terem sido tomadas providências para resolvê-lo, visto que foram feitas modernizações de todos os recursos envolvidos (softwares e hardwares), um alto valor financeiro foi investido e muitos profissionais passaram a virada do ano de plantão para sanar as eventuais dificuldades causadas pelo problema. Essa preparação visava à continuidade dos negócios. As consequências desse bug (termo utilizado pelos programadores quando uma falha é detectada) deixaram um legado importante na continuidade do negócio do segmento tecnologia. Devemos notar que apenas uma variável (ano) e a virada do milênio foram capazes de ameaçar ampla gama de empresas e de instituições bancárias. No final, a solução foi um sucesso, pois não houve notícias de grandes transtornos (a previsão dava conta de que os danos poderiam ter sido muito maiores do que foram), e a lição aprendida (legado) foi a mais valiosa. Esse incidente pode ser classificado como importante. 1.2.2 Greve dos caminhoneiros em 2018 A fim de entendermos o impacto da greve dos caminhoneiros que ocorreu em 2018, devemos pensar em dez dias nos quais nenhum caminhão (principal meio de transporte de cargas do Brasil) transportou mercadorias para as indústrias, para o comércio e para o cliente final. 16 Unidade I Observação O Brasil é o país que tem a maior concentração de transporte no modal rodoviário do mundo. Cerca de 58% do transporte no país são feitos por rodovias. Depois do Brasil, encontramos a Austrália, com 53%, e a China, com 50%. Quando se fala em cargas, cerca de 82% das cargas circulam no país pelo modal rodoviário. A greve dos caminhoneiros, como ficou conhecida a paralisação do transporte rodoviário em 2018, foi um incidente que interferiu na continuidade do negócio de muitas empresas. O fato de a cadeia produtiva brasileira ser quase totalmente abastecida por caminhões fez com que as empresas ficassem sem insumos para a produção, não permitiu o escoamento da produção que havia sido feita e impediu que o consumidor comprasse os produtos necessários ao seu dia a dia. Como consequência, houve aumento generalizado de preços e ocorreu a parada da produção de muitas empresas por falta de insumos e de funcionários (os meios de transportes foram interrompidos e não havia combustível para abastecer ônibus e automóveis). Os dez dias de paralisação geraram, segundo o governo federal, um prejuízo de aproximadamente 16 bilhões de reais. Outras fontes calculam que o prejuízo tenha sido bem maior, chegando a 75 bilhões (MANOEL, 2019). A questão que chamou a atenção de todos foi o fato de que o Governo Federal tinha conhecimento da possível paralisação semanas antes do corrido. O que fica claro é que faltou um PCN. Devemos lembrar que um PCN busca reduzir os impactos de um incidente e manter as empresas em operação. Saiba mais Assista ao vídeo em que a Federação das Empresas de Transportes de Cargas do Estado de São Paulo (Fetcesp) alerta sobre uma possível paralisação dos caminhoneiros e sua interferência na continuidade dos negócios: O QUE ACONTECERIA se os caminhões sumissem por 5 dias (reduzido). Brasil: Fetcesp, 2018. 2 min. Disponível em: https://bit.ly/3eg0pMc. Acesso em: 19 abr. 2021. 17 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO 1.2.3 Lei Geral de Proteções de Dados (LGPD) A Lei Geral de Proteção de Dados ou Lei Geral de Proteção de Dados Pessoais (LGPD ou LGPDP), aprovada em 29 de maio de 2018, modificada pela Lei n. 13.853, de 8 de julho de 2019, e que entrou em vigor dia 18 de setembro de 2020, é a legislação brasileira que regula as atividades de tratamento de dados pessoais e que também altera os artigos 7º e 16º do Marco Civil da Internet. A LGPD impõe regras muito rígidas a respeito do modo como as empresas (privadas e públicas) e as instituições precisam tratar os dados e as informações das pessoas em todo o território nacional (BRASIL, 2018). A LGPD segue como princípio a General Data Protection Regulation (GDPR), que é o padrão de privacidade de dados em vigor na União Europeia. Vale ressaltar que as regras da GDPR são mais rígidas do que as regras da LGPD. Saiba mais Para saber mais sobre a LGPD, consulte o documento a seguir: BRASIL. Lei n. 13.853, de 8 de julho de 2019. Altera a Lei n. 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados e dar outras providências. Brasília, 2019. Disponível em: https://bit.ly/3tzjI8f. Acesso em: 19 abr. 2021. O objetivo da GDPR é propiciar aos cidadãos da União Europeia (UE) o poder e o controle sobre os seus dados pessoais e permitir que as atividades comerciais internacionais possam ser concretizadas de forma mais ágil e segura. A GDPR é aplicável não só às empresas com sede na área da União Europeia: ela também é aplicável às empresas que transitem ou processem informações e dados das pessoas da UE. Na GDPR, são previstas penalidades que podem chegar a 4% da receita anual global da organização ou a 20 milhões de euros. Pela GDPR, os processos empresariais que tratam dados pessoais são obrigados a apresentar medidas que respeitem os princípios da proteção de dados. Isso significa que os dados devem ser guardados usando pseudonimização ou anonimização completa. Os dados pessoais não podem ser disponibilizados sem consentimento explícito nem ser usados para identificar alguém sem o consentimento explícito do proprietário dos dados. O proprietário tem, ainda, o direito de revogar essa permissão a qualquer momento. Mesmo antes da LGPD, o Banco Central do Brasil (Bacen), autarquia que regulamenta e fiscaliza todas as demais instituições financeiras brasileiras,divulgou, em 26 de abril de 2018, a Resolução n. 4.658. Essa resolução dispõe sobre as políticas de segurança cibernética e sobre os requisitos para a contratação 18 Unidade I de serviços de processamento e de armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas pelo Bacen a funcionar. A Resolução n. 4.658 inclui vários pontos que estão relacionados com a continuidade dos negócios. Os mais importantes estão destacados a seguir: • Art. 3º, parágrafo V, alínea “a”, a elaboração de cenários de incidentes considerados nos testes de continuidade de negócios. • Art. 16, parágrafo IV, a instituição contratante deve prever alternativas para a continuidade ou extinção do contrato de prestação de serviços. • Art. 19, as instituições referidas no art. 1º devem assegurar que suas políticas para gerenciamento de riscos previstas na regulamentação em vigor disponham, no tocante à continuidade de negócios, sobre: — III – os cenários de incidentes considerados nos testes de continuidade de negócios de que trata o art. 3º, inciso V, alínea “a” (BANCO CENTRAL DO BRASIL, 2018). Reflexões que não podem ser deixadas de lado são as expostas a seguir: • O que as empresas devem fazer para acompanhar as normas de proteção de dados? • As empresas estão prevendo uma forma de recuperar dados de forma eficiente? • Em caso de vazamento de dados, como as empresas devem agir? Muitas vezes, o impacto econômico do vazamento de dados não é crítico. O problema é que o impacto econômico não é o único fator que envolve a continuidade de negócio de uma empresa. Frequentemente, a perda de confiança e de credibilidade pode gerar um prejuízo muito maior do que uma multa ou um prejuízo financeiro momentâneo. 1.2.4 Pandemia da covid-19 em 2020 A pandemia da covid-19 em 2020 foi um incidente crítico para as atividades das empresas e provocou impactos muito grandes na continuidade dos negócios. Em situações como essa, o mais importante é buscarmos saber quais foram os impactos e o que foi feito para que fosse mantida a continuidade de negócios da empresa. A pandemia instalou-se em uma época em que não existiam vacinas, remédios, tratamentos nem qualquer outra medida que pudesse tratar as pessoas e evitar a mortalidade causada pela doença. Para conter o avanço da doença, a medida adotada pela Organização Mundial de Saúde (OMS) foi o chamado isolamento social. 19 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO Observação O isolamento social é o ato voluntário ou involuntário de manter um indivíduo isolado do convívio com outros indivíduos ou com a sociedade. Os reflexos do isolamento social nas empresas foram de múltiplas facetas: dificuldade de contar com seus colaboradores, impossibilidade de escoar a produção, quedas abruptas nas vendas e nas receitas etc. O que se assistiu foi a busca de adaptação, pelas empresas e pelas pessoas, à situação imposta. Houve uma explosão de operações de formas digitais, com alto consumo de dados pela internet. Muitos dos postos de trabalho que não foram encerrados passaram a operar no padrão home office (quando o funcionário trabalha de casa e remotamente) e muitas operações comerciais migraram para o modo digital. Ou seja, o uso de dados sofreu aumento expressivo em intervalo de tempo muito pequeno, sem que houvesse prévio aviso de que isso aconteceria. Essa situação deixou os dados processados por muitas empresas em situação de vulnerabilidade. Algumas empresas já contavam com um PCN para trabalhos em home office, mas outras nem sequer sabiam como desempenhar essa atividade. Saiba mais Para saber mais sobre o efeito da pandemia nas operações digitais, leia o artigo: USO de dados na pandemia moldará futuro da nossa privacidade. Uol, 29 abr. 2020. Disponível em: https://bit.ly/3n08xTL. Acesso em: 19 abr. 2021. 1.2.5 Conclusão Verificamos que, dos casos apresentados, alguns poderiam ter sido evitados e outros não. O importante é entendermos que algumas empresas conseguiram enfrentar essas transformações e outras não. A empresas que conseguiram enfrentar tais incidentes foram aquelas que tinham, ou estabeleceram em curto prazo, um PCN. 20 Unidade I Exemplo de aplicação Conforme vimos, a LGPD, que entrou em vigor dia 18 de setembro de 2020, é a legislação brasileira que regula as atividades de tratamento de dados pessoais. A LGPD impõe regras muito rígidas de como as empresas (privadas e públicas) e as instituições precisam tratar os dados e as informações das pessoas em todo o território nacional. Considerando o que dispõe a LGPD, analise as afirmativas a seguir e assinale a alternativa que indica as corretas: I – Garantia, aos titulares dos dados, de exatidão, clareza, relevância e atualização, de acordo com a necessidade. II – Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. III – Não necessidade de demonstração, por aquele que dispõe dos dados, de que existem medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais. IV – Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos. É correto o que se afirma em: A) I, II e IV, apenas. B) I e III, apenas. C) I e II, apenas. D) II e III, apenas. E) I, II, III e IV. Resolução I – Afirmativa correta. Justificativa: pela LGPD, os dados devem ser mantidos de forma clara, com exatidão, e devem ser mantidos atualizados. II – Afirmativa correta. Justificativa: os dados devem ser protegidos para evitar danos e vazamentos. 21 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO III – Afirmativa incorreta. Justificativa: o detentor dos dados deve mostrar que existem medidas que comprovem o cumprimento das normas de proteção de dados pessoais. IV – Afirmativa correta. Justificativa: não pode haver discriminação. 1.3 Definições importantes sobre continuidade do negócio Algumas definições básicas precisam ser apresentadas para o entendimento do que é a continuidade do negócio. A maioria dos termos envolvidos em continuidade do negócio são extraídos da Norma ISO 22300:2018 – Security and Resilience – Vocabulary (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION, 2018). 1.3.1 Ameaça Uma ameaça está associada à capacidade de os agentes ou as situações provocarem um incidente ou uma série de incidentes. Sempre irão existir ameaças. Nunca uma organização, um projeto ou um sistema ficará livre de eventuais ameaças. As ameaças precisam ser conhecidas, analisadas e estudadas durante o projeto de elaboração de um PCN. 1.3.2 Ativo de informação Um sistema de informação (SI) é definido por Laudon e Laudon (2014) como um conjunto de componentes inter-relacionados que coletam (ou recuperam), processam, armazenam e distribuem informações destinadas a apoiar a tomada de decisões, a coordenação e o controle em uma organização. Além disso, os sistemas de informação também auxiliam os gerentes e trabalhadores a analisar problemas, visualizar assuntos complexos e criar novos produtos. Todos os elementos que compõem um sistema de informação (como os elementos de entrada e o processamento de dados) geram informações. Os meios de armazenamento e os equipamentos de manuseio, transporte e descarte também são considerados ativos de informação. Os ativos de informação são classificados nas categorias indicadas a seguir: • Tecnologia: refere-se aos equipamentos de infraestrutura, às conexões, aos computadores, aos equipamentos celulares etc. 22 Unidade I • Pessoas: referem-se aos colaboradores, aos prestadores de serviço, aos fornecedores e a qualquer pessoa envolvida com o negócio. • Processos: referem-se às transformações de insumos que têm algum resultado final desejado. O processo nem sempre é de produto fabril; um processo de informação e o backup de dados também são vistos como processos que transformam insumos (dados e informações) emprodutos finais (aprendizado e informações estratégicas). • Ambiente físico: refere-se ao espaço físico onde são armazenadas as informações, no qual elas devem ser protegidas (sala técnica, data center, centro de processamento de dados etc.). Saiba mais Na matéria a seguir, Ajay Banga, CEO da Mastercard, faz uma reflexão interessante sobre esse novo ativo de informação: JULIO, R. A. “Dados são o novo petróleo”, diz CEO da Mastercard – exceto por um pequeno detalhe. Época Negócios, 5. jul. 2019. Disponível em: https://glo.bo/3aTtx9T. Acesso em: 19 abr. 2021. 1.3.3 Contingência Uma contingência é uma eventualidade, um acontecimento que tem como fundamento a incerteza. A contingência é algo que é duvidoso: algo possível, mas incerto. A contingência é algo que pode acontecer, algo que não pode ser controlado e que não é possível prever se acontecerá ou não. A continuidade do negócio está fortemente ligada com os itens de contingência. Esses itens são os recursos de que a empresa dispõe e que podem ser usados para a continuidade do negócio. Algumas empresas mantêm escritórios e prédios de contingência para serem usados nos casos de greve. Como exemplo, podemos tomar as instituições bancárias brasileiras, que contam com um histórico de greve próximo da época de negociação de reajuste salarial. Para que os serviços bancários não parem, tais empresas contam com prédios e escritórios de contingência. 1.3.4 Continuidade de negócios A continuidade de negócios é definida como a capacidade que uma organização tem em continuar (por determinado tempo) a entregar os seus serviços ou os seus produtos em um nível mínimo (pelo menos) aceitável, definido após um incidente. 23 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO A continuidade do negócio é a preservação do negócio com a manutenção do fornecimento de valor ao cliente. 1.3.5 Crise Segundo Ferreira (2010), crise é o ponto de transição entre uma época de prosperidade e uma época de depressão. A crise é uma mudança brusca ou uma alteração importante em um processo ou situação normal. A melhor definição de crise é feita pelo Institute for Crisis Management (s.d.), conforme segue: “(Crise é) uma interrupção significativa nos negócios de uma organização que estimula uma cobertura extensiva pela mídia. O resultado da opinião pública pode afetar suas operações e ainda pode ter impactos políticos, legais e financeiros em seus negócios”. 1.3.6 Desastre Um desastre é um acontecimento que causa sofrimento e prejuízo. Um desastre tem como causa uma adversidade, que pode ser natural, artificial ou provocada de forma intencional. Os desastres podem gerar distúrbios e impactos muito grandes em uma sociedade e ter como consequência a geração de extensas perdas humanas, materiais e financeiras. Um desastre pode tirar da empresa a capacidade de lidar com o incidente por meios próprios. 1.3.7 Disponibilidade O conceito de disponibilidade tem como foco o cliente, que é aquele que precisa receber um produto ou um serviço. Um dos pontos abordados pela LGPD é a disponibilidade de informações: uma informação disponibilizada é aquela que só pode ser acessada por aqueles que necessitam e no momento em que precisam. 1.3.8 Disrupção A disrupção é a interrupção do curso normal de um processo, de uma tendência do negócio, de uma entrega ou da execução de um serviço. Sinaliza que o processo saiu da situação normal e começou a tomar outro caminho. 1.3.9 Incidente de continuidade de negócios (incidente de interrupção) Um incidente é um fato que provoca distúrbios na operação da empresa. Os incidentes são oriundos de ameaças que poderiam ser, ou não, conhecidas previamente. Mesmo que a ameaça seja conhecida, suas consequências podem englobar a perda de ativos, a indisponibilidade de recursos, o transtorno aos clientes etc. Essas situações comprometem todo o processo que leva valor aos negócios: são indesejadas e devem ser evitadas ao máximo. 24 Unidade I Em algumas situações, são inevitáveis as consequências de um incidente de interrupção: trata-se de situações que interrompem a continuidade do negócio e geram uma crise. 1.3.10 Impacto O impacto é a consequência de um incidente, é o que determinado evento causou (ou pode causar) no negócio. O impacto nem sempre é financeiro; muitas vezes ele se dá na imagem da empresa. Os objetivos da gestão da continuidade do negócio são minimizar os possíveis impactos e não permitir que os eventuais incidentes gerem desastres. Saiba mais Pela leitura do artigo a seguir é possível fazermos uma reflexão a respeito do impacto que um vazamento de informação pode gerar em uma empresa. Esse artigo está disponível no link: FIGO, A. Facebook derrete na bolsa em meio ao escândalo de vazamento de dados. exame., 20 dez. 2018. Disponível em:https://bit.ly/3eWBigo. Acesso em: 19 abr. 2021. 1.3.11 Informação documentada Com a quantidade significativa de informações geradas diariamente em uma organização, é inviável que toda ela seja armazenada de forma mental. Os dados e os planos devem ser devidamente documentados, controlados e organizados. Todas essas informações podem estar na forma impressa ou na forma digital. Entre as informações que devem ser documentadas, estão os relatórios de indicadores de desempenho oriundos do sistema de gestão, as informações relacionadas aos processos, as informações pertinentes à organização, os registros de resultados etc. Nesse quesito, um padrão muito usado nas empresas e que ajuda na elaboração da documentação das informações é a norma ISO 9000, a qual faz parte de um conjunto de normas técnicas desenvolvidas que visam estabelecer diretrizes e padrões para a criação de um sistema de gestão da qualidade. As normas que compõem a ISO 9000 para esse fim são as normas 9001, 9004 e 19011, que têm como objetivo a otimização dos processos da gestão de qualidade de um produto ou serviço. Um dos principais alicerces desse conjunto de normas é a documentação de informações (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION, 2018). 25 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO 1.3.12 Gestão de continuidade de negócios (GCN) Gestão é o processo de aferir, controlar e administrar uma atividade, um processo ou uma ação. Fazer a gestão de continuidade de negócios (GCN) significa realizar a gestão de todas as variáveis envolvidas para que o negócio não sofra problemas de descontinuidade. Podemos entender a GCN como o processo de detectar potenciais ameaças para uma organização e buscar as soluções para evitar que essas ameaças provoquem a interrupção do fornecimento de valor ao cliente. Isso consiste em mensurar, analisar e estudar os possíveis impactos envolvidos em toda a operação. A GCN fornece uma estrutura sólida e resiliente para a organização. Ela deve atuar para que todas as áreas da empresa estejam cientes do que fazer e de quando fazer, para que se tenha uma resposta eficiente aos incidentes e aos desastres. A gestão envolve os interesses da organização e das partes interessadas. Engloba, também, a imagem da organização e as atividades que têm valor no processo da empresa. 1.3.13 Período máximo de interrupção tolerável ou MTPD (maximum tolerable period of disruption) Um incidente ou um desastre pode provocar a indisponibilidade do serviço ou da atividade exercida pela empresa por determinado tempo. Definimos o período máximo de interrupção tolerável (MTPD – acrônimo do inglês maximum tolerable period of disruption) como o tempo máximo para que o evento, a indisponibilidade, o incidente ou o desastre se torne intolerável. Esse tempo é função do problema existente e da área de atuação da empresa. A falta de energia elétrica, por exemplo, para uma pessoa em sua residência, trabalhando em home office, que gere interrupção de 10 minutos não causará grandes transtornos. O mesmo tempo de interrupção em um hospital pode ocasionar a morte de muitos pacientes. 1.3.14 Partes interessadas (stakeholders) Stakeholderé um termo da língua inglesa que tem como significado “grupo de interesse”. Os stakeholders são pessoas que têm algum tipo de interesse nos processos e nos resultados da empresa. 1.3.15 Plano de Continuidade de Negócios (PCN) Em toda atividade de negócio, não importa qual seja o ramo de atuação ou o porte da empresa, há o risco de interrupções ou situações adversas que dificultem ou impeçam suas operações. Segundo Oliveira (2014), “o Plano de Continuidade de Negócios (PCN) é um conjunto de estratégias e planos de ação preventivos que garantem o pleno funcionamento dos serviços essenciais de uma empresa durante quaisquer tipos de falhas, até que a situação seja normalizada”. 26 Unidade I As organizações que contam com um PCN bem elaborado e bem estruturado garantem sua perenidade e sua sobrevivência diante de circunstâncias inesperadas. Em adição a essas características, elas acabam por ter uma visão integral e abrangente de seus processos de negócio. No PCN, todo o processo previsto e documentado é deixado à disposição para ser consultado pelos stakeholders da organização. 1.3.16 Resiliência No âmbito empresarial, podemos definir resiliência como a capacidade de a empresa suportar adversidades sem sofrer descontinuidade em seu negócio. É a habilidade que a organização tem de resistir às adversidades. Em outras palavras, a resiliência é a capacidade de uma organização sofrer uma falha e voltar a operar em seu estado normal. 1.3.17 Resiliência organizacional A resiliência organizacional é a capacidade de a organização adaptar-se às mudanças, absorvendo os eventuais problemas, sem alteração da meta pretendida. Observação No momento de pandemias, como a pandemia da covid-19 (apresentada nos estudos de casos na seção anterior), as organizações que tiveram mais resiliência organizacional e que souberam se adaptar e absorver todos os problemas que o cenário apresentou tornaram-se mais fortes. 1.3.18 Risco O risco pode ser associado à probabilidade de insucesso, em função de um acontecimento eventual ou incerto, cuja ocorrência não dependa exclusivamente da vontade dos interessados. Em toda operação há risco. O risco é a probabilidade (mesmo que baixa) de um incidente ocorrer. 1.3.19 Ponto objetivado de recuperação ou RPO (recovery point objective) O ponto objetivado de recuperação (RPO – acrônimo do inglês recovery point objective), também conhecido como perda máxima de dados, é o ponto em que as informações utilizadas no processo devem ser restauradas a fim de permitir que a operação e a atividade possam ser retomadas. Uma analogia para o RPO pode ser feita com o alpinismo. Ao escalar uma montanha, um alpinista vai inserindo marcos de fixação das cordas de segurança a intervalos regulares (em geral, a cada 2 m). Caso o alpinista tenha algum problema e sofra uma queda, a altura máxima será de 2 m. 27 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO Outro exemplo pode ser tirado dos softwares processadores de texto usados em microcomputadores. Esses softwares, em intervalos regulares, salvam o conteúdo que está sendo inserido. Isso significa que em uma eventual interrupção de energia, o conteúdo do documento será aquele existente no último salvamento. 1.3.20 Tempo objetivado de recuperação ou RTO (recovery time objective) Quando uma indisponibilidade ocorre, o período para a retomada do serviço, da atividade ou do recurso é denominado tempo objetivado de recuperação (RTO – acrônimo do inglês recovery time objective). O RTO deve ser o menor possível e, se possível, bem próximo a zero. Esse tempo deve ser acompanhado do período máximo de interrupção tolerável (MTTPD), já visto anteriormente, e não pode ser maior do que ele. A visão que qualquer gestor deve ter em mente é que, quanto maior o RTO, maiores e mais graves as consequências e impactos. 1.3.21 Objetivo mínimo de continuidade de negócios ou MBCO (minimum business continuity objective) Quando um provedor de internet sofre um problema (indisponibilidade de um ativo, por exemplo), nem sempre o serviço é interrompido. Podem existir, por exemplo, casos de diminuição de velocidade de transmissão. Em algumas organizações, o valor mínimo aceitável para o produto (ou serviço) pode ser firmado em contrato, a fim de garantir que o cliente mantenha suas operações. Esse valor mínimo é conhecido como objetivo mínimo de continuidade de negócios (MBCO – acrônimo do inglês minimum business continuity objective). Em outras palavras, trata-se do valor mínimo aceitável para que uma organização consiga manter seu negócio em operação. 1.3.22 Vulnerabilidades A vulnerabilidade implica uma situação de exposição, sendo que as organizações e seus ativos se encontram permanentemente expostos a possíveis riscos e danos de toda natureza e magnitude. Para mitigar esses riscos, a vulnerabilidade deve ser corrigida ou minimizada, de forma a evitar que o eventual risco se materialize. 1.4 Conceitos importantes sobre continuidade do negócio Com o crescimento constante do volume de informações em transação e das violações a dados, as empresas necessitam responder a essa situação de forma rápida e eficaz. A quais fatores podemos atribuir as falhas que permitem a ocorrência de ataques a sistemas e de violações de dados? 28 Unidade I Alguns desses fatores são apontados a seguir: • Produtos e informações sendo conectados sem preocupações com quesitos de segurança. • Modelo de negócio implantado sem definições do limite de confiança e da responsabilidade na proteção de dados. • Ferramentas e métodos de fácil uso por hackers amadores. • Ameaças cada vez mais sofisticadas, complexas e dirigidas. Nos últimos tempos, o avanço da tecnologia da informação, a expansão da internet (conectividade) e a geração de dados em massa pelos usuários (big data) demandaram, por parte das empresas, a utilização de sistemas de informações mais aprimorados, o que aumentou a vantagem competitiva das organizações, mas acarretou a necessidade de uma gestão efetiva de riscos em tecnologia da informação (TI). 1.4.1 Ciclo OODA Para McCarthy (2014), alguns conceitos são importantes para que o planejamento e a execução da resposta a incidentes de computador possam ser desenvolvidos. Um desses conceitos é o ciclo OODA, utilizado com sucesso pela Força Aérea Norte Americana na década de 1950, que permitiu tomadas de decisão rápidas e eficazes. OODA é a abreviação de quatro tarefas: observar, orientar, decidir e agir. Seja na preparação para uma batalha ou para a resposta a uma violação no sistema, observamos constantemente nosso ambiente. Juntamos essas observações em algum tipo de contexto, em geral vários, para que nos orientem sobre como elas podem nos afetar. Em seguida, tomamos decisões sobre como tratar, ou se será necessário tratar, esses eventos. E, se necessário, executamos alguma ação, mesmo se ela for a inação (MCCARTHY, 2014, p. 7). A metodologia OODA (iniciais de Observar, Orientar, Decidir e Agir, como indicado na figura a seguir) consiste na rotina de verificar constantemente possíveis ameaças, vulnerabilidades e riscos de sistemas e de processos. A observação e os indicadores resultantes permitem gerar orientações de como tais ameaças, vulnerabilidades e riscos podem prejudicar a continuidade dos negócios. A partir daí, há a necessidade da tomada de decisão, ou seja, há a necessidade da realização de opções de como tratar, sanar ou minimizar tais fatores. Para isso, espera-se a execução de uma ação imediata. 29 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO Agir Orientar Observar Decidir Figura 3 – Ciclo OODA Em momentos de crise, o ciclo OODA deve estar em interação de forma contínua e integral e em todos os níveis da empresa. Enquanto os níveis superiores executam seu ciclo OODA, gerando demandas e ações top-down (da alta cúpula da empresa para todas as demais camadas), cada camada deve executar seu próprio ciclo OODA na atividade que está interferindo ou ocasionandoimpacto. Em uma operação ou em um ciclo de crise, o ciclo OODA pode ser definido para operar em intervalos pré-determinados. Por exemplo, a cada 6 horas, a gestão de crise executaria um ciclo OODA, que estabeleceria as próximas ações para os demais níveis subordinados aplicarem seus próprios ciclos OODA. Nesse tempo, a primeira hora pode ser dedicada para as observações (por exemplo, o impacto da vulnerabilidade na corporação), as decisões e as ações, e as demais horas podem ser dedicadas para que cada grupo de trabalho conduza seus processos OODA. O ciclo permanece funcionando até o término da crise ou da vulnerabilidade (MCCARTHY, 2014). 1.4.2 Névoa de guerra Outro conceito apresentado por McCarthy (2014) é névoa de guerra. Uma névoa em um campo de batalha pode prejudicar a execução de estratégias militares estabelecidas. Tal conceito militar pode ser igualmente aplicado nas empresas no momento da eclosão de uma crise – ninguém sabe o que está acontecendo, e os líderes evitam tomar decisões porque não detêm todas as informações necessárias para tal, o que causa uma paralisação. Nesse momento, a névoa de guerra instaura-se sobre a organização. 30 Unidade I Além disso, uma névoa de guerra pode se manifestar quando as pessoas tentam especular e agir, sem um plano de execução, causando mais pânico e até prejudicando a situação. Tomar decisões “no escuro” pode prejudicar ainda mais a situação da empresa. 1.4.3 Fricção (atrito) O processo de fricção (atrito) gera desgastes. Por meio desse conceito, McCarthy (2014) lembra que, em tempos de crise, opiniões e pontos de vista diferentes podem gerar controvérsia e hostilidade dentro de uma empresa. Pelo fato de que muitas organizações não estão preparadas para enfrentar crises, isso pode desencadear discussões sobre quem é responsável por cada função. Mesmo em tempos de normalidade pode haver fricção. No entanto, em tempos de incerteza, essa fricção inevitavelmente aumentará. A prevenção da fricção não depende apenas de maturidade empresarial, mas engloba processos e responsabilidades bem determinados. Procedimentos claros, políticas de atuações bem definidas e a presença da chamada matriz Raci, que se presta a estabelecer de forma clara os envolvidos e as respectivas atribuições, são meios de atenuar atritos nos momentos de incerteza. 1.4.4 Matriz Raci A matriz Raci (ou matriz de responsabilidades) na gestão de projetos auxilia na representação dos membros de uma equipe e das tarefas a serem realizadas. O acrônimo Raci origina-se das palavras em inglês Responsible (Responsável), Accountable (Aprovador), Consulted (Consultado) e Informed (Informado). Nessa matriz, são atribuídas as responsabilidades e as respectivas tarefas para cada membro da equipe envolvido. Na matriz, as atividades que integram um projeto são dispostas usualmente em ordem cronológica e sequencial. A próxima etapa é designar os funcionários envolvidos, de acordo com a sua atuação, nas atividades do projeto, classificados em quatro papéis fundamentais, indicados a seguir: • O Responsável (Responsible) tem como papel realizar as tarefas e as entregas, ou seja, ele é responsável pela execução. • O Aprovador (Accountable) tem como papel aprovar a conclusão de uma etapa. • O Consultado (Consulted) tem como papel sugerir ou opinar (pode ser interno ou externo à empresa). Ele não se compromete com a realização da tarefa, mas pode participar da sua execução. • O Informado (Informed) é aquele que precisa ser avisado sobre o andamento das tarefas. Exemplos de Informados são clientes, stakeholders, colaboradores e empresas. 31 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO No quadro a seguir, temos um exemplo de uma matriz Raci: Quadro 1 – Exemplo de uma Matriz Raci Atividades Funcionário A Funcionário B Funcionário C Funcionário D Atividade 1 A/C R I I Atividade 2 A/C R/I Atividade 3 R A I/C A Atividade 4 R A/I C C Atividade 5 C/A I R Atividade 6 C C/I C R/A Atividade 7 R I A/C Observe que, no exemplo do quadro, as atividades estão na sequência (1 até 7) e que, para cada etapa, existe um funcionário ou um departamento com as atribuições R (Responsável), A (Aprovador), C (Consultado) ou I (Informado). Dessa forma, a comunicação é beneficiada, e os atritos e os desgastes são minimizados. A criação da matriz Raci deve ser feita em equipe, ou seja, com a participação de todos os envolvidos, a fim de se definir o processo em conjunto. Trata-se de uma ferramenta muito simples, mas que formaliza as responsabilidades perante todos. A matriz Raci ajuda a eliminar a dúvida sobre as responsabilidades (principalmente em situações nas quais há o anseio de se resolver um problema e, por isso, ocorre um “atropelamento” das atribuições). Ela também evita sobrecarregar um único funcionário ou um único departamento em determinada atividade: com o uso dessa matriz, a transferência de atividades para equipes diferentes acontece de forma mais eficaz. 1.4.5 Centro de gravidade O conceito de “centro de gravidade” diz respeito à essência da empresa. Conforme McCarthy (2014), as perguntas relacionadas a esse conceito são as que seguem. • Qual é a real essência da empresa? • O que a empresa faz que a torna diferenciada para os seus clientes e o seu mercado? • O que a empresa faz que a torna diferente das demais empresas? O denominado centro de gravidade pode ser um ativo, uma imagem (logomarca da empresa) ou a propriedade intelectual. Assim, podemos entender o conceito de centro de gravidade como o conjunto de parâmetros intrínsecos que mantém a empresa ativa, gerando receitas e mantendo sua existência. O conhecimento integral desses parâmetros permite que decisões sejam tomadas de forma mais rápida e que os valores (produtos e serviços) que realmente importam sejam preservados. Em um momento de crise, é fundamental que a empresa saiba o que deve ser prioritariamente protegido. 32 Unidade I 1.4.6 Unidade de comando Os momentos de crise, como temos extensamente observado, geram desgastes, estresse e, principalmente, incertezas. O conceito de unidade de comando, proveniente do âmbito militar, pressupõe o respeito pela hierarquia e pelas ordens superiores. Na esfera empresarial, trata-se de um grupo formado por líderes de múltiplas áreas (preferencialmente, com um responsável de cada área) que precisam tomar decisões em momentos de crise. Isso pode ocorrer em uma sala específica, equipada com recursos apropriados, conhecida como sala de crise, que pode ser considerada a unidade de comando. O conceito de unidade de comando é utilizado nas situações imprevisíveis, que exigem a presença de um comando, a fim de evitar o aumento da “fricção” durante um momento de “névoa”. O emprego do ciclo OODA pela unidade de comando tende a amenizar esses efeitos. A grande vantagem de uma unidade de comando é a centralização do planejamento e da dinâmica de ação, sendo que o poder de coesão que a empresa adquire é benéfico para sua sobrevivência. Observe que não estamos nos referindo a um tipo específico de crise: todas as crises podem ser decididas por meio de uma unidade de comando. 1.4.7 Manter a iniciativa Conforme McCarthy (2014), na esfera militar, manter a iniciativa pode ser traduzido como fazer o melhor para se antecipar aos eventos, ou seja, o inimigo é que deve reagir às nossas ações, e não o inverso. Na perspectiva empresarial, esse conceito pode ser empregado no sentido de a empresa se preparar para momentos de crise, e não simplesmente permanecer em uma posição reativa. Se a organização for capaz de se estruturar para enfrentar 80% das possíveis ameaças, sobrarão 20% delas que certamente serão objeto de atenção exclusiva. Vamos analisar, por exemplo, um cenário de invasão de dados de uma organização. O agente mal-intencionado deve manter o ritmo da invasão e ditar as regras ou a empresa e toda a estrutura de segurança da informação devem estar preparadas para combater a invasão? É evidente que a preparaçãoproporcionará à empresa grande vantagem de atuação. Os ataques e as crises devem ser previsíveis. Um conceito milenar de Sun Tzu, na obra A arte da guerra – um tratado militar, escrito durante o século IV a.C., composto por treze capítulos, oferece um aprendizado que vai ao encontro do conceito de “mantendo iniciativa”, pois diz que aquele que se empenha em resolver as dificuldades resolve-as antes que elas surjam e aquele que se ultrapassa para vencer os inimigos triunfa antes que as suas ameaças se concretizem (TZU, 2008). O conceito militar fica evidente quando falamos de ataques, ações e propósitos de combate. 1.4.8 Perspectivas tática, operacional e estratégica As perspectivas tática, operacional e estratégica são de importância fundamental para as empresas. Quando falamos sobre essas perspectivas, defrontamos com o conceito de governança corporativa, amplamente consolidado por meio do framework Cobit 5 de boas práticas de governança e de gerenciamento empresarial de tecnologia da informação (DE HAES; GREMBERGEN, 2015). 33 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO O conceito do ciclo OODA deve ser aderente às perspectivas táticas, operacionais e estratégicas. Mais adiante, vamos comentar com mais detalhes a governança voltada para a continuidade de negócio, porém alguns conceitos básicos precisam ser esclarecidos. As organizações, em momentos de crise ou não, necessitam considerar as três perspectivas apresentadas a seguir: • Perspectiva tática: as questões táticas de linha de frente em uma crise são geridas nessa perspectiva. O contato com os clientes, os acionistas e a própria fonte da crise deve ser mediado pelos envolvidos na perspectiva tática. • Perspectiva operacional: toda estratégia da alta cúpula da empresa (decidida por meio das perspectivas estratégicas) deve ser passada ao operacional por meio dos superintendentes. O foco é identificar as ações que devem ser executadas. • Perspectiva estratégica: essa perspectiva envolve as grandes estratégias, comandadas pela alta cúpula da organização, como as diretorias. No caso de crises de segurança da informação, engloba os diretores de informações e os executivos. No entanto, a visão das perspectivas não deve ser avaliada de forma isolada: as perspectivas precisam ser consideradas em termos de visão global. Um dos maiores erros das organizações em tempo de crise é não estarem preparadas nos níveis operacional, tático e estratégico para tal situação. A melhor forma de manter as camadas das diferentes perspectivas engajadas é criar requisitos, utilizar o ciclo OODA e atribuir o tempo necessário de atuação para que todos estejam sincronizados. Na figura a seguir, podemos visualizar um diagrama que representa a interação entre as camadas das perspectivas. Estratégia Tática Ciclo OODACiclo OODA Operacional Figura 4 – Diagrama das perspectivas de uma organização no que diz respeito à governança corporativa 34 Unidade I 1.4.9 Execução guiada por requisitos Todas as organizações têm obrigações contratuais (estatutárias) e obrigações diversas, como as relacionadas à responsabilidade social. Tais obrigações fazem com que os executivos da camada estratégica da organização protejam o negócio e mantenham o “centro de gravidade” dela. Segundo McCarthy (2014), para manter esses elementos, há a necessidade de identificarmos os requisitos que devem ser atendidos em caso de crise. Imagine uma empresa de grande porte, por exemplo, uma instituição bancária, que, abatida por uma crise, fecha as portas por decretar falência. Como ficam seus milhões de clientes? Já imaginou o prejuízo financeiro que isso pode gerar? Pense no caso de uma organização que sofre violação de seus dados em virtude da execução de um ataque de phishing ou de malware e no caso de empresas que precisem fazer o recall de um produto. Veja que as responsabilidades de uma organização vão além das leis estabelecidas nos códigos civil e penal (para as localizadas no Brasil) e devem atender às normas internacionais, como a Lei Geral de Proteção de Dados Pessoais (LGPD). Observação No Brasil, existe o Fundo Garantidor de Crédito (FGC), uma entidade privada, sem fins lucrativos, que tem como objetivo garantir os depósitos e outros ativos de clientes em até R$ 250.000,00, em caso de quebra ou de falência de alguma instituição financeira filiada. 1.4.10 Estado final O estado final é o conceito vinculado ao sucesso de uma organização. Definido em poucas palavras, usualmente deve responder a indagações dos tipos “quem”, “o que”, “quando”, “onde” e “por quê”. De modo mais detalhado, o estado final soluciona dúvidas como as expostas a seguir: • Para onde a empresa pretende ir? • O que significa sucesso para a empresa, considerando sua missão? • Qual é a importância desse estado final para a empresa? Sem uma visão de objetivo, nenhuma organização consegue caminhar para a melhora. As buscas pelo ideal, pelo estado final e pelo êxito devem ocorrer todos os dias e em todos os momentos, mesmo que a organização já esteja fazendo sucesso. 35 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO Exemplo de aplicação A matriz Raci (ou matriz de responsabilidades) auxilia na representação dos membros de uma equipe e das tarefas a serem por eles realizadas. Ou seja, nessa matriz, são atribuídas as responsabilidades e as respectivas tarefas para cada membro da equipe envolvido. A matriz Raci é um modelo usado para ajudar a definir papéis e responsabilidades de cada indivíduo frente às atividades de um processo. Com base no exposto, podemos dizer que, em uma matriz Raci, A) para uma mesma atividade, apenas uma pessoa deve ser consultada (há apenas um Consulted). B) uma tarefa precisa ter um responsável (Responsible) a ela associado. C) uma tarefa não precisa ter um prestador de contas (Accountable) a ela associado. D) uma pessoa consultada em uma atividade não pode ser consultada em outra. E) podemos ter uma tarefa que dispense o consultor (Consulted) e o prestador de contas (Accountable), desde que haja um responsável (Responsible). Resolução A) Alternativa incorreta. Justificativa: podemos ter mais do que um consultado. Estamos falando de pessoas que serão consultadas antes da execução da tarefa, pois suas opiniões são importantes para tal execução. O consultado é aquele que deve ser consultado e participar da decisão ou da atividade no momento em que for executada. B) Alternativa correta. Justificativa: a matriz Raci é utilizada para a definição de papéis e de responsabilidades em atividades. Nesse modelo, uma tarefa precisa ter um responsável (Responsible) a ela associado. C) Alternativa incorreta. Justificativa: na matriz Raci, dada tarefa deve apresentar um prestador de contas (Accountable) a ela vinculado. D) Alternativa incorreta. Justificativa: os consultores são pessoas que serão consultadas antes da execução da tarefa, pois suas opiniões são importantes para a execução da atividade. Eles podem participar de mais de uma atividade. 36 Unidade I E) Alternativa incorreta. Justificativa: não há como existir atividade sem responsável nem prestador de contas. 2 NORMAS EXISTENTES Quando falamos em proteção de dados, de informações e de ativos para evitar uma parada ou uma crise em uma empresa, não existe uma solução pronta. Softwares como antivírus, antimalwares, DLPs (data loss prevention – sistema contra perda de dados) ou demais meios de prevenção não são capazes de promover segurança total. Mas por que não, se são vendidos com esse objetivo? Evidentemente, tais softwares contribuem muito para a segurança. No entanto, não podem oferecer 100% de segurança. Para compreendermos melhor essa condição, vamos fazer uma analogia com um cadeado. Ele fecha um portão residencial e mantém o portão trancado evitando uma invasão? Sim e não. Para a maioria dos invasores, ele cumpre sua finalidade, mas existe aquele invasor que vai conseguir arrombá-lo, usando de meios já bem conhecidospara abrir o cadeado, como uma chave denominada micha, utilizada por chaveiros. Assim, é possível que uma pessoa abra o portão e acesse a residência. Se a probabilidade de sucesso na invasão era de 100% sem o cadeado, podemos considerar que essa probabilidade cai para 5% com a colocação do cadeado. Contudo, não chegamos à situação de 100% de segurança. Melhor do que confiar em produtos comercializados é confiar em padrões e em procedimentos sedimentados por comitês e especialistas por meio de normas. McCarthy (2014) nos ensina que medo do risco desconhecido ou de falhar podem ser bons fatores de motivação para a adoção de padrões, mas há outros. No fim das contas, a maioria das empresas (se não todas) será obrigada, por forças externas, a adotar padrões. Com o objetivo de maximizar a segurança corporativa e a continuidade do negócio, e por conta de diversas práticas insatisfatórias de segurança e privacidade da informação, as agências regulatórias (estaduais, federais e independentes) objetivam a criação de normas e procedimentos de recomendações a serem adotados. A meta dessas legislações é estabelecer, de forma pragmática, padrões mínimos e aceitáveis de segurança. Obviamente, não se trata de uma mera imposição. Mesmo que uma empresa não seja obrigada por força maior a cumprir e a certificar-se perante tais normas, temos de considerar que o mercado é dinâmico e que os clientes têm o poder de escolha, por exemplo, entre permitir o uso de seus dados de forma protegida ou não (principalmente quando isso envolve montantes financeiros). Dessa forma, a certificação deixa de ser apenas uma estratégia de marketing e passa a ser um reforço para a proteção da organização, a fim de manter a continuidade do negócio e, principalmente, apresentar um diferencial competitivo no mercado. 37 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO A seguir, serão apresentadas algumas das normas mais relevantes para a continuidade do negócio. No Brasil, as normas são geridas, aprovadas e regulamentadas pela Associação Brasileiras de Normas Técnicas (ABNT). A ABNT é o único foro nacional de normalização. Fundada em 28 de setembro de 1940, a ABNT é reconhecida pelo Governo Federal, por regulamentação legislativa, como responsável pela elaboração das Normas Brasileiras (NBR). A ABNT é membro ativo da Associação Mercosul de Normalização (AMN), da Comissão Pan-Americana de Normas Técnicas (Copant) e da parte de normalização internacional da International Organization for Standardization (ISO) e da International Electrotechnical Commission (IEC), isto é, a ABNT representa tais instituições e aplica para o Brasil as normas vigentes internacionalmente (adaptadas, quando necessário). As principais normas relativas à continuidade do negócio e que estão envolvidas em nosso estudo serão apresentadas a seguir. 2.1 ABNT NBR ISO/IEC 22301/2020 A norma internacional ISO 22301/2020, denominada Segurança e resiliência – Sistema de gestão de continuidade de negócios – Requisitos (ABNT, 2020a), é considerada a norma mais importante na temática de continuidade de negócio e pode ser aplicada a qualquer organização (independentemente do seu porte, do seu segmento ou dos produtos e dos serviços oferecidos). Houve uma grande incorporação nessa norma internacional em junho de 2020, que foi a inclusão de uma abordagem de processo, com a introdução do Ciclo PDCA (Plan-Do-Check-Act) e do pensamento baseado no risco. Com suas 24 páginas, a norma especifica os requisitos para implementar, manter e melhorar um sistema de gestão a fim de a organização proteger-se, conseguir reduzir a probabilidade de ocorrência de disrupções, preparar-se, responder e recuperar-se de disrupções quando elas ocorrerem. A norma NBR ISO/IEC 22301/2020 deve ser aplicada sobre a NBR ISO/IEC 22300/2018 – Security and Resilience – Vocabulary. A continuidade de negócios tem como premissas a manutenção da capacidade de uma organização em continuar a entrega de produtos ou serviços em níveis aceitáveis e pré-definidos e a preservação da imagem da empresa, sem danos nem prejuízos inesperados, após um incidente de interrupção. Dessa forma, a norma ampara a gestão de continuidade (processo fundamental para alcançar a continuidade do negócio) e a preparação para lidar com incidentes de interrupção que poderiam impedir a empresa de atingir seus objetivos. Com a referida norma, seguindo à risca todos os seus elementos, é possível: • identificar e gerenciar ameaças (atuais e futuras) do negócio; • manter uma atitude de proatividade com o objetivo de minimizar o incidente; 38 Unidade I • preservar as atividades e as funções críticas de uma empresa em período de crise; • mostrar resiliência aos acionistas, clientes e demais envolvidos na atividade corporativa. A norma NBR ISO/IEC 22301/2020 especifica requisitos para o planejamento, o estabelecimento, a implementação, a operação, o monitoramento, a revisão, a manutenção e a melhoria constante de um Sistema de Gestão de Continuidade do Negócio. Na norma, para o alcance dos seus objetivos, há ênfase nos aspectos indicados a seguir: • Compreensão das necessidades da organização para manter o prosseguimento de determinada política de gestão de continuidade de negócio. • Implementação e operação de medidas de controle e de gerenciamento da capacidade global de uma organização no que diz respeito à gestão de incidentes que possam causar interrupções nas operações normais. • Acompanhamento e avaliação constantes do desempenho e da eficiência do Sistema de Gestão de Continuidade do Negócio. • Estabelecimento de melhorias contínuas nos processos com base em resultados de medições objetivas. Como a NBR ISO/IEC 22301/2020 trata exclusivamente do Sistema de Gestão de Continuidade do Negócio, esse tema será apresentado na unidade III, que abordará exclusivamente tal assunto. 2.2 Família das normas ABNT NBR ISO/IEC 27000 A ABNT NBR ISO/IEC 27000/2018 é denominada Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Visão geral e vocabulário, ou simplesmente Gestão da Segurança da Informação (quando se refere a todas as normas juntas, cada uma com suas características, conforme descrições e detalhamentos próprios). Na realidade, trata-se de uma família de normas, que foi criada e aprovada pelo comitê ISO/IEC/JTC 1 Information Technology, comitê técnico que desenvolve e mantém os padrões nas áreas de tecnologia da informação e comunicação. Sua publicação foi efetuada em fevereiro de 2018 pela International Organization for Standardization (ISO), em 27 páginas. Alguns exemplos de normas e das suas respectivas nomenclaturas podem ser visualizados no quadro a seguir: 39 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO Quadro 2 – Normas da família ABNT ISO/IEC 27000 envolvidas em continuidade do negócio (nomenclatura/ano e nome da norma) ISO/IEC 27000/2018 Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Visão geral e vocabulário ISO/IEC 27002/2013 Tecnologia da informação – Técnicas de segurança – Código de prática para controles de segurança da informação ISO/IEC 27004/2017 Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Monitoramento, medição, análise e avaliação ISO/IEC 27005/2019 Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação ISO/IEC 27015/2012 Tecnologia da informação – Técnicas de segurança – Diretrizes de gestão de segurança da informação para serviços financeiros ISO/IEC 27019/2017 Tecnologia da informação – Técnicas de segurança – Controles de segurança da informação para a indústria de energia ISO/IEC 27031/2011 Tecnologia da informação – Técnicas de segurança – Diretrizes para prontidão da tecnologia da informação e comunicação para a continuidade dos negócios ISO/IEC 27039/2015 Tecnologia da informação – Técnicas de segurança – Seleção,
Compartilhar