Desastre, Recuperação e Gestão da Continuidade do Negócio Livro-Texto Unidade I

Prévia do material em texto

Autor: Prof. Vinícius Hel Tai Pacheco
Colaboradores: Prof. Ricardo Sewaybriker
 Profa. Christiane Mazur Doi
 Prof. José Carlos Morilla
 Prof. Mauro Kiehn
Desastre, Recuperação e 
Gestão da Continuidade 
do Negócio
Professor conteudista: Vinícius Hel Tai Pacheco
Mestre em Engenharia Elétrica pela Escola Politécnica da Universidade de São Paulo (Poli-USP). Especialista em 
Microeletrônica pelo Institut National des Sciences Appliquées (INSA) de Toulouse, na França, em Tecnologias de 
Ensino a Distância (EaD) pela Universidade Paulista (UNIP) e em Gestão e Governança de Tecnologia da Informação 
pela mesma instituição. Bacharel em Engenharia Eletrônica pela Universidade Santa Cecília (Unisanta). Tecnólogo em 
Análise e Desenvolvimento de Sistemas e em Gestão da Tecnologia da Informação pela UNIP.
© Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida por qualquer forma e/ou 
quaisquer meios (eletrônico, incluindo fotocópia e gravação) ou arquivada em qualquer sistema ou banco de dados sem 
permissão escrita da Universidade Paulista.
Dados Internacionais de Catalogação na Publicação (CIP)
Z13 Zacariotto, William Antonio
Informática: Tecnologias Aplicadas à Educação. / William 
Antonio Zacariotto - São Paulo: Editora Sol.
p., il.
Nota: este volume está publicado nos Cadernos de Estudos e 
Pesquisas da UNIP, Série Didática, ISSN 1517-9230.
1.Informática e tecnologia educacional 2.Informática I.Título
681.3
U511.53 – 21
???
Prof. Dr. João Carlos Di Genio
Reitor
Prof. Fábio Romeu de Carvalho
Vice-Reitor de Planejamento, Administração e Finanças
Profa. Melânia Dalla Torre
Vice-Reitora de Unidades Universitárias
Profa. Dra. Marília Ancona-Lopez
Vice-Reitora de Pós-Graduação e Pesquisa
Profa. Dra. Marília Ancona-Lopez
Vice-Reitora de Graduação
Unip Interativa – EaD
Profa. Elisabete Brihy 
Prof. Marcello Vannini
Prof. Dr. Luiz Felipe Scabar
Prof. Ivan Daliberto Frugoli
 Material Didático – EaD
 Comissão editorial: 
 Dra. Angélica L. Carlini (UNIP)
 Dr. Ivan Dias da Motta (CESUMAR)
 Dra. Kátia Mosorov Alonso (UFMT)
 Apoio:
 Profa. Cláudia Regina Baptista – EaD
 Profa. Deise Alcantara Carreiro – Comissão de Qualificação e Avaliação de Cursos
 Projeto gráfico:
 Prof. Alexandre Ponzetto
 Revisão:
 Lucas Ricardi
 Vitor Andrade
Sumário
Desastre, Recuperação e Gestão da Continuidade 
do Negócio
APRESENTAÇÃO ......................................................................................................................................................9
INTRODUÇÃO ...........................................................................................................................................................9
Unidade I
1 CONTINUIDADE DO NEGÓCIO .................................................................................................................... 11
1.1 Diferença entre impacto importante e impacto crítico ....................................................... 13
1.2 Estudos de caso ..................................................................................................................................... 15
1.2.1 Bug do milênio no ano 2000 ............................................................................................................. 15
1.2.2 Greve dos caminhoneiros em 2018 ................................................................................................. 15
1.2.3 Lei Geral de Proteções de Dados (LGPD) ....................................................................................... 17
1.2.4 Pandemia da covid-19 em 2020....................................................................................................... 18
1.2.5 Conclusão ................................................................................................................................................... 19
1.3 Definições importantes sobre continuidade do negócio ..................................................... 21
1.3.1 Ameaça ....................................................................................................................................................... 21
1.3.2 Ativo de informação .............................................................................................................................. 21
1.3.3 Contingência ............................................................................................................................................ 22
1.3.4 Continuidade de negócios .................................................................................................................. 22
1.3.5 Crise .............................................................................................................................................................. 23
1.3.6 Desastre ...................................................................................................................................................... 23
1.3.7 Disponibilidade ........................................................................................................................................ 23
1.3.8 Disrupção ................................................................................................................................................... 23
1.3.9 Incidente de continuidade de negócios (incidente de interrupção) .................................. 23
1.3.10 Impacto .................................................................................................................................................... 24
1.3.11 Informação documentada ................................................................................................................ 24
1.3.12 Gestão de continuidade de negócios (GCN) ............................................................................. 25
1.3.13 Período máximo de interrupção tolerável ou MTPD
 (maximum tolerable period of disruption) ............................................................................................. 25
1.3.14 Partes interessadas (stakeholders) ................................................................................................. 25
1.3.15 Plano de Continuidade de Negócios (PCN) ............................................................................... 25
1.3.16 Resiliência................................................................................................................................................ 26
1.3.17 Resiliência organizacional ................................................................................................................ 26
1.3.18 Risco .......................................................................................................................................................... 26
1.3.19 Ponto objetivado de recuperação ou RPO (recovery point objective) ............................ 26
1.3.20 Tempo objetivado de recuperação ou RTO (recovery time objective) ............................ 27
1.3.21 Objetivo mínimo de continuidade de negócios ou MBCO
 (minimum business continuity objective) .............................................................................................. 27
1.3.22 Vulnerabilidades.................................................................................................................................... 27
1.4 Conceitos importantes sobre continuidade do negócio ...................................................... 27
1.4.1 Ciclo OODA ................................................................................................................................................ 28
1.4.2 Névoa de guerra ...................................................................................................................................... 29
1.4.3 Fricção (atrito) .......................................................................................................................................... 30
1.4.4 Matriz Raci ................................................................................................................................................30
1.4.5 Centro de gravidade .............................................................................................................................. 31
1.4.6 Unidade de comando ............................................................................................................................ 32
1.4.7 Manter a iniciativa ................................................................................................................................. 32
1.4.8 Perspectivas tática, operacional e estratégica ............................................................................ 32
1.4.9 Execução guiada por requisitos ........................................................................................................ 34
1.4.10 Estado final ............................................................................................................................................. 34
2 NORMAS EXISTENTES .................................................................................................................................... 36
2.1 ABNT NBR ISO/IEC 22301/2020 ...................................................................................................... 37
2.2 Família das normas ABNT NBR ISO/IEC 27000 ......................................................................... 38
2.3 ABNT NBR ISO/IEC 31000/2018 ...................................................................................................... 40
2.4 Lei Geral de Proteção de Dados (LGPD) – Lei n. 13.709/2018 ............................................ 41
Unidade II
3 PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN) OU 
BUSINESS CONTINUITY PLAN (BCP) ............................................................................................................ 48
3.1 Vantagens oriundas do PCN ............................................................................................................ 48
3.2 Estruturação do PCN ........................................................................................................................... 49
3.2.1 Responsabilidades, consequências e estruturação de um PCN ........................................... 51
3.3 Elaboração do PCN .............................................................................................................................. 55
3.3.1 Fase 1: planejamento ............................................................................................................................ 57
3.3.2 Fase 2: levantamento de dados ........................................................................................................ 67
3.3.3 Fase 3: análise do impacto nos negócios (BIA) ........................................................................... 80
3.3.4 Fase 4: estratégia de recuperação .................................................................................................... 93
4 DESENVOLVIMENTO DOS PLANOS ........................................................................................................... 94
4.1 Programa de Administração de Crise (PAC) ............................................................................... 94
4.2 Plano de Continuidade Operacional (PCO) ..............................................................................103
4.3 Plano de Recuperação de Desastres (PRD) ..............................................................................112
4.4 Plano de Gerenciamento de Incidentes (PGI) .........................................................................117
Unidade III
5 TESTE E VALIDAÇÃO DO PLANO DE CONTINUIDADE DO NEGÓCIO ...........................................134
5.1 Teste de mesa .......................................................................................................................................136
5.2 Teste walkthrough ..............................................................................................................................137
5.3 Teste de simulação .............................................................................................................................138
6 GESTÃO DE CONTINUIDADE DE NEGÓCIO ..........................................................................................143
6.1 Ciclo PDCA e ciclo PDCL ..................................................................................................................145
6.2 Equipe de gestão de continuidade de negócios ....................................................................148
6.3 Análise financeira da gestão de continuidade de negócio ...............................................150
Unidade IV
7 POLÍTICA DE CONTINUIDADE DE NEGÓCIOS ......................................................................................158
8 COMUNICAÇÃO NO PLANO DE CONTINUIDADE ..............................................................................168
9
APRESENTAÇÃO
A continuidade do negócio (CN) é um tema que a cada dia ganha mais popularidade no ambiente 
acadêmico e no cenário empresarial. Essa popularidade se dá em função das inúmeras transformações 
pelas quais passamos, em virtude de mudanças climáticas, pandemias, crises (financeiras e políticas) e 
evoluções da tecnologia, por exemplo, que levam as companhias ao enfrentamento de situações de crise 
que constantemente colocam em risco sua perenidade.
Uma empresa, como um órgão organizado, não deve (e não consegue) enfrentar situações de crise 
sem que seja estabelecido um plano para isso. O enfrentamento de crises sem nenhum planejamento 
pode fazer com que ocorra o que chamamos de “solução de continuidade da empresa”.
Conhecer o que é a continuidade do negócio (CN), como é desenvolvido um Plano de Continuidade 
de Negócios (PCN), como é composto um Sistema de Gestão de Continuidade do Negócio (SGCN) e quais 
são os documentos usados para isso é de fundamental importância para a sobrevivência da empresa em 
momentos de crise. Esses são os assuntos estudados no presente livro-texto.
Além disso, serão abordados temas como a gestão de riscos, a governança corporativa (alicerces 
da continuidade do negócio) e as normalizações existentes, que são assuntos relacionados à CN. Todos 
esses tópicos serão estudados tendo como pano de fundo a área de segurança de informação.
Assim, nosso objetivo é a capacitação do aluno para que ele possa entender e construir um PCN, a 
fim de que ele saiba atuar no gerenciamento de crises e na análise de impactos no negócio e esteja apto 
a elaborar planos de contingência e de recuperação de desastres.
Bom estudo!
INTRODUÇÃO
Os conceitos mais elementares sobre CN estão inseridos na sociedade de forma intrínseca, e nem 
sempre nos damos conta de sua importância ou percebemos que eles fazem parte de nossa rotina.
Na área empresarial, planejar opções para um evento não é ser cuidadoso em demasia: significa 
garantir a atividade. Na essência, isso é CN.
Neste livro-texto, são apresentados os principais elementos que compõem a CN com o objetivo de 
estimular e orientar os alunos no estudo da continuidade do negócio, tendo como base a apresentação 
de exemplos, diagramas e modelos de documentos.
Este livro-texto é dividido em quatro unidades, conforme explicado a seguir:
• Na primeira unidade, apresentamos os conceitos sobre o que é continuidade de negócio (CN) 
e mostramos alguns estudos de caso que ilustram sua necessidade. Essa unidade é de suma 
importância para dar a base requerida para o desenvolvimento das demais.
10
• Na segunda unidade, apresentamos o Plano de Continuidade de Negócios (PCN). Nesse estudo, 
expomos a documentação associada ao PCN e mostramos aplicações de estratégias para a 
invocação do plano em um possível desastre. Abordamos as fases relativas à elaboração e ao 
desenvolvimento de um PCN.
• Na terceira unidade, apresentamos algumas metodologias que auxiliam no desenvolvimento do 
PCN, como os testes e as validações, e estudamos a gestão de continuidade do negócio.
• Na quarta unidade, focamos a Políticade Continuidade de Negócios e a comunicação no Plano de 
Continuidade.
11
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Unidade I
1 CONTINUIDADE DO NEGÓCIO
Vamos começar nosso estudo por meio de uma situação hipotética, que retrata uma viagem de férias 
para uma região litorânea do Brasil no período de verão. Para que essa viagem aconteça, é necessário 
que façamos uma preparação, constituída pelo estabelecimento do período em que a viagem será feita, 
pelas reservas de hotel, pela concepção dos meios de deslocamento usados até a região (revisão no 
automóvel se a viagem for feita com esse veículo, por exemplo), pela programação de atividades etc. 
Ou seja, devemos organizar um plano para que a viagem seja a mais proveitosa possível.
No entanto, muitas vezes, esquecemos que imprevistos acontecem. Normalmente, não elaboramos 
um plano de contingências para eventuais problemas que possam ocorrer durante a viagem, como os 
mostrados a seguir:
• Chegada de uma frente fria que provoca queda na temperatura e precipitação de chuva.
• Ocorrência de problemas de saúde.
• Impossibilidade de fazer pagamentos com cartão de crédito.
• Ocorrência de problemas no carro (veículo de transporte).
Esses problemas podem ser contornados por ações prévias, como as mostradas a seguir:
• Levar roupas adequadas para temperaturas menores do que as esperadas.
• Levar medicamentos para as indisposições mais comuns.
• Levar algum dinheiro em espécie e um cartão de débito adicional.
• Fazer uma revisão detalhada no carro.
Devemos lembrar que imprevistos acontecem e que a maneira mais sensata de enfrentá-los é a 
preparação. Estar preparado para o futuro é a mais poderosa arma que temos para vencer as adversidades.
Com relação aos negócios, isso não é diferente: a preparação para o futuro é uma das melhores 
formas que as empresas têm para manter suas atividades e projetar seu crescimento. Nesse sentido, a 
elaboração de planos de contingência é a base da gestão da continuidade do negócio.
12
Unidade I
O conceito de continuidade do negócio segue os mesmos princípios que nortearam a preparação 
para viagem de férias mencionada anteriormente. Nos negócios, além de evitarmos a interrupção das 
atividades, devemos preparar processos e atividades para gerar valor para a empresa.
Segundo o dicionário Aulete (2021), continuidade é um substantivo feminino que está ligado à 
qualidade ou à condição do que é contínuo. Significa prosseguimento ou persistência de um fato, um 
acontecimento ou um contexto. Continuidade está ligada à perenidade das coisas.
Com relação aos negócios, uma das maneiras de entender seu significado é vê-lo como ocupações, 
atividades ou trabalhos realizados com fins lucrativos. Assim, podemos entender a continuidade do 
negócio como a manutenção do negócio sem a existência de interrupções das atividades nele exercidas.
Devemos lembrar que um negócio se mantém quando não existe interrupção na entrega de valor 
para os clientes. Dessa forma, a continuidade do negócio está atrelada à continuidade e à preservação do 
fornecimento de valor, sem geração de impacto na entrega ao cliente. Em outras palavras, a continuidade 
do negócio está vinculada à manutenção da entrega de valor aos clientes, mesmo que, para isso, as 
atividades sofram influência de possíveis interferências, crises ou imprevistos.
Para exemplificarmos e analisarmos o que é continuidade do negócio, vamos supor três cenários 
distintos, expostos a seguir:
• Em uma emissora de televisão, ocorre falta de energia em sua antena de transmissão. Nesse caso, 
como a transmissão da programação é a principal atividade desenvolvida, para a continuidade do 
negócio (não interromper a transmissão ao público), a empresa deve dispor de meios alternativos 
para o fornecimento de energia elétrica. Manter a programação sendo transmitida é manter a 
continuidade do negócio.
• Uma instituição financeira sofre um ataque de hackers que provoca vazamento de informações 
dos seus clientes. Para que isso não se repita e para que a continuidade do negócio seja mantida, 
há necessidade de que os dados dos clientes sejam protegidos por um sistema de segurança. 
Manter os dados dos clientes protegidos é manter a continuidade do negócio.
• O automóvel de um motorista de aplicativo sofre uma colisão e deve ficar uma semana na oficina 
para conserto. Para que ele não fique sem trabalhar, deve ser previamente contratado um seguro 
de assistência veicular que inclua a possibilidade de uso de carro reserva durante o período em que 
o veículo estiver na oficina. Manter o serviço de transporte é manter a continuidade do negócio.
Com base nos exemplos apresentados, podemos perceber que a melhor forma de minimizarmos os 
impactos de um imprevisto é a preparação.
Essa preparação não deve ser encarada com algo estático, isto é, se feita uma vez, não será necessário 
realizá-la novamente. Os negócios sofrem alterações com o tempo e, por isso, a preparação para os 
imprevistos deve acompanhá-las. Uma empresa deve estar sempre analisando, atualizando e testando 
a sua continuidade do negócio.
13
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Com o surgimento de novas tecnologias e inovações nas metodologias de trabalho, as empresas 
têm a necessidade de mudar sua forma de atuar e, para isso, novas atitudes para a preservação e 
continuidade do negócio devem ser estabelecidas. Isso significa que as empresas com muito tempo de 
existência passaram por diversas ações que permitiram sua continuidade nos negócios (caso contrário, 
dificilmente elas teriam sobrevivido).
 Lembrete
Continuidade do negócio significa não permitir que o resultado da 
entrega de valor ao cliente sofra interferência de possíveis crises ou 
de imprevistos no decorrer do processo de transformação do negócio.
1.1 Diferença entre impacto importante e impacto crítico
Em um momento de crise, é difícil definir o que é crítico e o que é importante. Para entendermos essa 
diferença, há a necessidade de avaliarmos o impacto de um evento e saber quais são suas consequências 
na organização.
Para exemplificar, vamos estudar dois casos. Como primeiro caso, vamos tomar o exemplo de um 
programador que está trabalhando em um computador em um dia com chuva, raios e trovões. Suponha 
que, em virtude das condições meteorológicas, ocorra uma descarga elétrica nos circuitos elétricos da 
empresa e isso afete o computador. Se tal descarga conseguiu atravessar todos os sistemas de proteção 
e atingiu os circuitos do computador, esse evento pode ser caracterizado como um desastre, pois todo 
o trabalho efetuado pelo programador pode ter sido perdido, e isso pode impactar negativamente na 
entrega de valor ao cliente. Essa situação é crítica.
Por outro lado, se os sistemas de proteção não foram ultrapassados, é possível contornar rapidamente 
a situação anterior sem que a entrega de valor ao cliente seja afetada. Essa situação é importante.
Como segundo caso, imagine que uma empresa de data center tenha sofrido um ataque de vírus. 
O resultado do ataque pode levar a dois cenários distintos, expostos a seguir:
• O ataque foi isolado em um storage, no qual não constavam informações relevantes. O ataque 
não gerou um desastre. Essa situação é importante.
• O ataque não foi isolado e tirou do ar 80% do serviço de pagamentos de uma instituição financeira, 
cujos dados estavam armazenados nesse data center. Nessas condições, o serviço demorará para 
ser recuperado e o evento se constitui em um desastre. Essa situação é crítica.
Uma conclusão que podemos tirar da análise desses dois exemplos é que quanto maior o risco de 
interrupção de entrega de valor ao cliente, maior a criticidade.
14
Unidade I
A figura a seguir apresenta um gráfico que mostra a diferença entre importância e criticidade:
Importância Criticidade
Tempo
Critério que transforma 
importância em criticidade
Figura 1 – Relação entre importância e criticidade
Observamos na figura que, em função do tempo, a dependerdo critério de análise e em função do 
grau de interferência no negócio, a atividade pode passar de importante para crítica.
Para reduzirem o impacto das criticidades, as empresas elaboram o que é conhecido como Plano 
de Continuidade do Negócio (ou PCN, estudado com mais detalhes na unidade seguinte), que deve ser 
constantemente alterado, uma vez que os fatores que geram a situação de criticidade mudam com o 
tempo, com o tipo de empresa e com os fatores ambientais externos.
A relação entre o impacto causado por um incidente pode ser mais bem entendida na próxima figura:
Situação 
normal
Incidente - evento
Impacto
Desastre
Critérios
Tempo
Figura 2 – Relação entre impacto e desastre após um incidente ou um evento
Essa figura mostra uma empresa que está operando em uma situação normal quando ocorre um 
evento (incidente) que, a depender dos critérios de análise, dos tipos de ativos envolvidos e de todo o 
conjunto de elementos avaliados, pode ser considerado um desastre ou um impacto.
Na metade superior da figura, o resultado do evento é visto como um desastre; na metade inferior, 
o resultado do evento é visto apenas como um impacto.
15
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Assim, podemos entender que:
• os incidentes que geram impactos são classificados como importantes;
• os incidentes que geram desastres são classificados como críticos.
A análise dessas relações será feita mais à frente.
1.2 Estudos de caso
Nesta seção, serão apresentados alguns casos de situações vividas pelas organizações. Em tais casos, 
algumas empresas contavam com um PCN e puderam passar pelo momento sem maiores prejuízos, 
enquanto outras não estavam preparadas e foram obrigadas a encerrar suas atividades.
1.2.1 Bug do milênio no ano 2000
A virada do milênio, transição entre o ano de 1999 e o ano 2000, foi aguardada com muitas 
dúvidas e expectativas. Uma delas, conhecida como bug do milênio (também chamada de falha Y2Y ou 
apenas Y2Y), existia pelo fato de os computadores usarem dois dígitos para identificação de um ano 
(por exemplo, o ano de 1999 era operado como 99) e, com a virada de 1999 para 2000, as operações 
poderiam retroagir para o ano de 1900 (uma vez que o ano 2000 seria operado como 00).
Apesar de o problema ter sido detectado com antecedência e terem sido tomadas providências 
para resolvê-lo, visto que foram feitas modernizações de todos os recursos envolvidos (softwares e 
hardwares), um alto valor financeiro foi investido e muitos profissionais passaram a virada do ano 
de plantão para sanar as eventuais dificuldades causadas pelo problema. Essa preparação visava à 
continuidade dos negócios.
As consequências desse bug (termo utilizado pelos programadores quando uma falha é detectada) 
deixaram um legado importante na continuidade do negócio do segmento tecnologia. Devemos notar 
que apenas uma variável (ano) e a virada do milênio foram capazes de ameaçar ampla gama de empresas 
e de instituições bancárias.
No final, a solução foi um sucesso, pois não houve notícias de grandes transtornos (a previsão dava 
conta de que os danos poderiam ter sido muito maiores do que foram), e a lição aprendida (legado) foi 
a mais valiosa. Esse incidente pode ser classificado como importante.
1.2.2 Greve dos caminhoneiros em 2018
A fim de entendermos o impacto da greve dos caminhoneiros que ocorreu em 2018, devemos pensar 
em dez dias nos quais nenhum caminhão (principal meio de transporte de cargas do Brasil) transportou 
mercadorias para as indústrias, para o comércio e para o cliente final.
16
Unidade I
 Observação
O Brasil é o país que tem a maior concentração de transporte no modal 
rodoviário do mundo. Cerca de 58% do transporte no país são feitos por 
rodovias. Depois do Brasil, encontramos a Austrália, com 53%, e a China, 
com 50%. Quando se fala em cargas, cerca de 82% das cargas circulam no 
país pelo modal rodoviário.
A greve dos caminhoneiros, como ficou conhecida a paralisação do transporte rodoviário em 2018, 
foi um incidente que interferiu na continuidade do negócio de muitas empresas.
O fato de a cadeia produtiva brasileira ser quase totalmente abastecida por caminhões fez com que 
as empresas ficassem sem insumos para a produção, não permitiu o escoamento da produção que havia 
sido feita e impediu que o consumidor comprasse os produtos necessários ao seu dia a dia.
Como consequência, houve aumento generalizado de preços e ocorreu a parada da produção de 
muitas empresas por falta de insumos e de funcionários (os meios de transportes foram interrompidos 
e não havia combustível para abastecer ônibus e automóveis).
Os dez dias de paralisação geraram, segundo o governo federal, um prejuízo de aproximadamente 
16 bilhões de reais. Outras fontes calculam que o prejuízo tenha sido bem maior, chegando a 75 bilhões 
(MANOEL, 2019).
A questão que chamou a atenção de todos foi o fato de que o Governo Federal tinha conhecimento 
da possível paralisação semanas antes do corrido. O que fica claro é que faltou um PCN.
Devemos lembrar que um PCN busca reduzir os impactos de um incidente e manter as empresas 
em operação.
 Saiba mais
Assista ao vídeo em que a Federação das Empresas de Transportes de 
Cargas do Estado de São Paulo (Fetcesp) alerta sobre uma possível paralisação 
dos caminhoneiros e sua interferência na continuidade dos negócios:
O QUE ACONTECERIA se os caminhões sumissem por 5 dias (reduzido). 
Brasil: Fetcesp, 2018. 2 min. Disponível em: https://bit.ly/3eg0pMc. Acesso em: 
19 abr. 2021.
17
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
1.2.3 Lei Geral de Proteções de Dados (LGPD)
A Lei Geral de Proteção de Dados ou Lei Geral de Proteção de Dados Pessoais (LGPD ou LGPDP), 
aprovada em 29 de maio de 2018, modificada pela Lei n. 13.853, de 8 de julho de 2019, e que entrou 
em vigor dia 18 de setembro de 2020, é a legislação brasileira que regula as atividades de tratamento de 
dados pessoais e que também altera os artigos 7º e 16º do Marco Civil da Internet.
A LGPD impõe regras muito rígidas a respeito do modo como as empresas (privadas e públicas) e 
as instituições precisam tratar os dados e as informações das pessoas em todo o território nacional 
(BRASIL, 2018).
A LGPD segue como princípio a General Data Protection Regulation (GDPR), que é o padrão de 
privacidade de dados em vigor na União Europeia. Vale ressaltar que as regras da GDPR são mais rígidas 
do que as regras da LGPD.
 Saiba mais
Para saber mais sobre a LGPD, consulte o documento a seguir:
BRASIL. Lei n. 13.853, de 8 de julho de 2019. Altera a Lei n. 13.709, de 14 
de agosto de 2018, para dispor sobre a proteção de dados pessoais e para 
criar a Autoridade Nacional de Proteção de Dados e dar outras providências. 
Brasília, 2019. Disponível em: https://bit.ly/3tzjI8f. Acesso em: 19 abr. 2021.
O objetivo da GDPR é propiciar aos cidadãos da União Europeia (UE) o poder e o controle sobre os 
seus dados pessoais e permitir que as atividades comerciais internacionais possam ser concretizadas de 
forma mais ágil e segura. A GDPR é aplicável não só às empresas com sede na área da União Europeia: 
ela também é aplicável às empresas que transitem ou processem informações e dados das pessoas da UE.
Na GDPR, são previstas penalidades que podem chegar a 4% da receita anual global da organização 
ou a 20 milhões de euros.
Pela GDPR, os processos empresariais que tratam dados pessoais são obrigados a apresentar 
medidas que respeitem os princípios da proteção de dados. Isso significa que os dados devem ser 
guardados usando pseudonimização ou anonimização completa. Os dados pessoais não podem 
ser disponibilizados sem consentimento explícito nem ser usados para identificar alguém sem o 
consentimento explícito do proprietário dos dados. O proprietário tem, ainda, o direito de revogar 
essa permissão a qualquer momento.
Mesmo antes da LGPD, o Banco Central do Brasil (Bacen), autarquia que regulamenta e fiscaliza todas 
as demais instituições financeiras brasileiras,divulgou, em 26 de abril de 2018, a Resolução n. 4.658. Essa 
resolução dispõe sobre as políticas de segurança cibernética e sobre os requisitos para a contratação 
18
Unidade I
de serviços de processamento e de armazenamento de dados e de computação em nuvem a serem 
observados pelas instituições financeiras e demais instituições autorizadas pelo Bacen a funcionar.
A Resolução n. 4.658 inclui vários pontos que estão relacionados com a continuidade dos negócios. 
Os mais importantes estão destacados a seguir:
• Art. 3º, parágrafo V, alínea “a”, a elaboração de cenários de incidentes considerados nos testes de 
continuidade de negócios.
• Art. 16, parágrafo IV, a instituição contratante deve prever alternativas para a continuidade ou 
extinção do contrato de prestação de serviços.
• Art. 19, as instituições referidas no art. 1º devem assegurar que suas políticas para gerenciamento 
de riscos previstas na regulamentação em vigor disponham, no tocante à continuidade de 
negócios, sobre:
— III – os cenários de incidentes considerados nos testes de continuidade de negócios de que 
trata o art. 3º, inciso V, alínea “a” (BANCO CENTRAL DO BRASIL, 2018).
Reflexões que não podem ser deixadas de lado são as expostas a seguir:
• O que as empresas devem fazer para acompanhar as normas de proteção de dados?
• As empresas estão prevendo uma forma de recuperar dados de forma eficiente?
• Em caso de vazamento de dados, como as empresas devem agir?
Muitas vezes, o impacto econômico do vazamento de dados não é crítico. O problema é que o 
impacto econômico não é o único fator que envolve a continuidade de negócio de uma empresa. 
Frequentemente, a perda de confiança e de credibilidade pode gerar um prejuízo muito maior do que 
uma multa ou um prejuízo financeiro momentâneo.
1.2.4 Pandemia da covid-19 em 2020
A pandemia da covid-19 em 2020 foi um incidente crítico para as atividades das empresas e provocou 
impactos muito grandes na continuidade dos negócios.
Em situações como essa, o mais importante é buscarmos saber quais foram os impactos e o que foi 
feito para que fosse mantida a continuidade de negócios da empresa.
A pandemia instalou-se em uma época em que não existiam vacinas, remédios, tratamentos nem 
qualquer outra medida que pudesse tratar as pessoas e evitar a mortalidade causada pela doença. Para 
conter o avanço da doença, a medida adotada pela Organização Mundial de Saúde (OMS) foi o chamado 
isolamento social.
19
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
 Observação
O isolamento social é o ato voluntário ou involuntário de manter um 
indivíduo isolado do convívio com outros indivíduos ou com a sociedade.
Os reflexos do isolamento social nas empresas foram de múltiplas facetas: dificuldade de contar 
com seus colaboradores, impossibilidade de escoar a produção, quedas abruptas nas vendas e nas 
receitas etc.
O que se assistiu foi a busca de adaptação, pelas empresas e pelas pessoas, à situação imposta. 
Houve uma explosão de operações de formas digitais, com alto consumo de dados pela internet. Muitos 
dos postos de trabalho que não foram encerrados passaram a operar no padrão home office (quando 
o funcionário trabalha de casa e remotamente) e muitas operações comerciais migraram para o modo 
digital. Ou seja, o uso de dados sofreu aumento expressivo em intervalo de tempo muito pequeno, 
sem que houvesse prévio aviso de que isso aconteceria. Essa situação deixou os dados processados por 
muitas empresas em situação de vulnerabilidade.
Algumas empresas já contavam com um PCN para trabalhos em home office, mas outras nem sequer 
sabiam como desempenhar essa atividade.
 Saiba mais
Para saber mais sobre o efeito da pandemia nas operações digitais, 
leia o artigo:
USO de dados na pandemia moldará futuro da nossa privacidade. Uol, 
29 abr. 2020. Disponível em: https://bit.ly/3n08xTL. Acesso em: 19 abr. 2021.
1.2.5 Conclusão
Verificamos que, dos casos apresentados, alguns poderiam ter sido evitados e outros não. O importante é 
entendermos que algumas empresas conseguiram enfrentar essas transformações e outras não.
A empresas que conseguiram enfrentar tais incidentes foram aquelas que tinham, ou estabeleceram 
em curto prazo, um PCN.
20
Unidade I
Exemplo de aplicação
Conforme vimos, a LGPD, que entrou em vigor dia 18 de setembro de 2020, é a legislação brasileira 
que regula as atividades de tratamento de dados pessoais. A LGPD impõe regras muito rígidas de como 
as empresas (privadas e públicas) e as instituições precisam tratar os dados e as informações das pessoas 
em todo o território nacional.
Considerando o que dispõe a LGPD, analise as afirmativas a seguir e assinale a alternativa que indica 
as corretas:
I – Garantia, aos titulares dos dados, de exatidão, clareza, relevância e atualização, de acordo com 
a necessidade.
II – Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de 
dados pessoais.
III – Não necessidade de demonstração, por aquele que dispõe dos dados, de que existem medidas 
eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.
IV – Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
É correto o que se afirma em:
A) I, II e IV, apenas.
B) I e III, apenas.
C) I e II, apenas.
D) II e III, apenas.
E) I, II, III e IV.
Resolução
I – Afirmativa correta.
Justificativa: pela LGPD, os dados devem ser mantidos de forma clara, com exatidão, e devem ser 
mantidos atualizados.
II – Afirmativa correta.
Justificativa: os dados devem ser protegidos para evitar danos e vazamentos.
21
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
III – Afirmativa incorreta.
Justificativa: o detentor dos dados deve mostrar que existem medidas que comprovem o cumprimento 
das normas de proteção de dados pessoais.
IV – Afirmativa correta.
Justificativa: não pode haver discriminação.
1.3 Definições importantes sobre continuidade do negócio
Algumas definições básicas precisam ser apresentadas para o entendimento do que é a 
continuidade do negócio. A maioria dos termos envolvidos em continuidade do negócio são extraídos 
da Norma ISO 22300:2018 – Security and Resilience – Vocabulary (INTERNATIONAL ORGANIZATION 
FOR STANDARDIZATION, 2018).
1.3.1 Ameaça
Uma ameaça está associada à capacidade de os agentes ou as situações provocarem um incidente 
ou uma série de incidentes.
Sempre irão existir ameaças. Nunca uma organização, um projeto ou um sistema ficará livre de 
eventuais ameaças. As ameaças precisam ser conhecidas, analisadas e estudadas durante o projeto 
de elaboração de um PCN.
1.3.2 Ativo de informação
Um sistema de informação (SI) é definido por Laudon e Laudon (2014) como um conjunto de 
componentes inter-relacionados que coletam (ou recuperam), processam, armazenam e distribuem 
informações destinadas a apoiar a tomada de decisões, a coordenação e o controle em uma organização. 
Além disso, os sistemas de informação também auxiliam os gerentes e trabalhadores a analisar problemas, 
visualizar assuntos complexos e criar novos produtos.
Todos os elementos que compõem um sistema de informação (como os elementos de entrada e o 
processamento de dados) geram informações.
Os meios de armazenamento e os equipamentos de manuseio, transporte e descarte também são 
considerados ativos de informação.
Os ativos de informação são classificados nas categorias indicadas a seguir:
• Tecnologia: refere-se aos equipamentos de infraestrutura, às conexões, aos computadores, aos 
equipamentos celulares etc.
22
Unidade I
• Pessoas: referem-se aos colaboradores, aos prestadores de serviço, aos fornecedores e a qualquer 
pessoa envolvida com o negócio.
• Processos: referem-se às transformações de insumos que têm algum resultado final desejado. 
O processo nem sempre é de produto fabril; um processo de informação e o backup de dados 
também são vistos como processos que transformam insumos (dados e informações) emprodutos 
finais (aprendizado e informações estratégicas).
• Ambiente físico: refere-se ao espaço físico onde são armazenadas as informações, no qual elas 
devem ser protegidas (sala técnica, data center, centro de processamento de dados etc.).
 Saiba mais
Na matéria a seguir, Ajay Banga, CEO da Mastercard, faz uma reflexão 
interessante sobre esse novo ativo de informação:
JULIO, R. A. “Dados são o novo petróleo”, diz CEO da Mastercard – 
exceto por um pequeno detalhe. Época Negócios, 5. jul. 2019. Disponível em: 
https://glo.bo/3aTtx9T. Acesso em: 19 abr. 2021.
1.3.3 Contingência
Uma contingência é uma eventualidade, um acontecimento que tem como fundamento a incerteza. 
A contingência é algo que é duvidoso: algo possível, mas incerto.
A contingência é algo que pode acontecer, algo que não pode ser controlado e que não é possível 
prever se acontecerá ou não.
A continuidade do negócio está fortemente ligada com os itens de contingência. Esses itens são os 
recursos de que a empresa dispõe e que podem ser usados para a continuidade do negócio. Algumas 
empresas mantêm escritórios e prédios de contingência para serem usados nos casos de greve.
Como exemplo, podemos tomar as instituições bancárias brasileiras, que contam com um histórico 
de greve próximo da época de negociação de reajuste salarial. Para que os serviços bancários não parem, 
tais empresas contam com prédios e escritórios de contingência.
1.3.4 Continuidade de negócios
A continuidade de negócios é definida como a capacidade que uma organização tem em continuar 
(por determinado tempo) a entregar os seus serviços ou os seus produtos em um nível mínimo (pelo 
menos) aceitável, definido após um incidente.
23
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
A continuidade do negócio é a preservação do negócio com a manutenção do fornecimento de 
valor ao cliente.
1.3.5 Crise
Segundo Ferreira (2010), crise é o ponto de transição entre uma época de prosperidade e uma época 
de depressão.
A crise é uma mudança brusca ou uma alteração importante em um processo ou situação normal. 
A melhor definição de crise é feita pelo Institute for Crisis Management (s.d.), conforme segue: “(Crise é) 
uma interrupção significativa nos negócios de uma organização que estimula uma cobertura extensiva 
pela mídia. O resultado da opinião pública pode afetar suas operações e ainda pode ter impactos 
políticos, legais e financeiros em seus negócios”.
1.3.6 Desastre
Um desastre é um acontecimento que causa sofrimento e prejuízo. Um desastre tem como causa 
uma adversidade, que pode ser natural, artificial ou provocada de forma intencional.
Os desastres podem gerar distúrbios e impactos muito grandes em uma sociedade e ter como 
consequência a geração de extensas perdas humanas, materiais e financeiras. Um desastre pode tirar da 
empresa a capacidade de lidar com o incidente por meios próprios.
1.3.7 Disponibilidade
O conceito de disponibilidade tem como foco o cliente, que é aquele que precisa receber um produto 
ou um serviço. Um dos pontos abordados pela LGPD é a disponibilidade de informações: uma informação 
disponibilizada é aquela que só pode ser acessada por aqueles que necessitam e no momento em 
que precisam.
1.3.8 Disrupção
A disrupção é a interrupção do curso normal de um processo, de uma tendência do negócio, de uma 
entrega ou da execução de um serviço. Sinaliza que o processo saiu da situação normal e começou a 
tomar outro caminho.
1.3.9 Incidente de continuidade de negócios (incidente de interrupção)
Um incidente é um fato que provoca distúrbios na operação da empresa. Os incidentes são oriundos 
de ameaças que poderiam ser, ou não, conhecidas previamente.
Mesmo que a ameaça seja conhecida, suas consequências podem englobar a perda de ativos, a 
indisponibilidade de recursos, o transtorno aos clientes etc. Essas situações comprometem todo o 
processo que leva valor aos negócios: são indesejadas e devem ser evitadas ao máximo.
24
Unidade I
Em algumas situações, são inevitáveis as consequências de um incidente de interrupção: trata-se de 
situações que interrompem a continuidade do negócio e geram uma crise.
1.3.10 Impacto
O impacto é a consequência de um incidente, é o que determinado evento causou (ou pode causar) 
no negócio. O impacto nem sempre é financeiro; muitas vezes ele se dá na imagem da empresa.
Os objetivos da gestão da continuidade do negócio são minimizar os possíveis impactos e não 
permitir que os eventuais incidentes gerem desastres.
 Saiba mais
Pela leitura do artigo a seguir é possível fazermos uma reflexão a 
respeito do impacto que um vazamento de informação pode gerar em uma 
empresa. Esse artigo está disponível no link:
FIGO, A. Facebook derrete na bolsa em meio ao escândalo de vazamento 
de dados. exame., 20 dez. 2018. Disponível em:https://bit.ly/3eWBigo. 
Acesso em: 19 abr. 2021.
1.3.11 Informação documentada
Com a quantidade significativa de informações geradas diariamente em uma organização, é 
inviável que toda ela seja armazenada de forma mental. Os dados e os planos devem ser devidamente 
documentados, controlados e organizados. Todas essas informações podem estar na forma impressa ou 
na forma digital.
Entre as informações que devem ser documentadas, estão os relatórios de indicadores de 
desempenho oriundos do sistema de gestão, as informações relacionadas aos processos, as informações 
pertinentes à organização, os registros de resultados etc.
Nesse quesito, um padrão muito usado nas empresas e que ajuda na elaboração da documentação 
das informações é a norma ISO 9000, a qual faz parte de um conjunto de normas técnicas desenvolvidas 
que visam estabelecer diretrizes e padrões para a criação de um sistema de gestão da qualidade. 
As normas que compõem a ISO 9000 para esse fim são as normas 9001, 9004 e 19011, que têm como objetivo 
a otimização dos processos da gestão de qualidade de um produto ou serviço. Um dos principais alicerces 
desse conjunto de normas é a documentação de informações (INTERNATIONAL ORGANIZATION FOR 
STANDARDIZATION, 2018).
25
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
1.3.12 Gestão de continuidade de negócios (GCN)
Gestão é o processo de aferir, controlar e administrar uma atividade, um processo ou uma ação. 
Fazer a gestão de continuidade de negócios (GCN) significa realizar a gestão de todas as variáveis 
envolvidas para que o negócio não sofra problemas de descontinuidade.
Podemos entender a GCN como o processo de detectar potenciais ameaças para uma organização 
e buscar as soluções para evitar que essas ameaças provoquem a interrupção do fornecimento de 
valor ao cliente. Isso consiste em mensurar, analisar e estudar os possíveis impactos envolvidos em 
toda a operação.
A GCN fornece uma estrutura sólida e resiliente para a organização. Ela deve atuar para que todas 
as áreas da empresa estejam cientes do que fazer e de quando fazer, para que se tenha uma resposta 
eficiente aos incidentes e aos desastres.
A gestão envolve os interesses da organização e das partes interessadas. Engloba, também, a imagem 
da organização e as atividades que têm valor no processo da empresa.
1.3.13 Período máximo de interrupção tolerável ou MTPD (maximum tolerable period 
of disruption)
Um incidente ou um desastre pode provocar a indisponibilidade do serviço ou da atividade exercida 
pela empresa por determinado tempo. Definimos o período máximo de interrupção tolerável (MTPD – 
acrônimo do inglês maximum tolerable period of disruption) como o tempo máximo para que o evento, 
a indisponibilidade, o incidente ou o desastre se torne intolerável.
Esse tempo é função do problema existente e da área de atuação da empresa. A falta de energia 
elétrica, por exemplo, para uma pessoa em sua residência, trabalhando em home office, que gere 
interrupção de 10 minutos não causará grandes transtornos. O mesmo tempo de interrupção em um 
hospital pode ocasionar a morte de muitos pacientes.
1.3.14 Partes interessadas (stakeholders)
Stakeholderé um termo da língua inglesa que tem como significado “grupo de interesse”. Os stakeholders 
são pessoas que têm algum tipo de interesse nos processos e nos resultados da empresa.
1.3.15 Plano de Continuidade de Negócios (PCN)
Em toda atividade de negócio, não importa qual seja o ramo de atuação ou o porte da empresa, há 
o risco de interrupções ou situações adversas que dificultem ou impeçam suas operações.
Segundo Oliveira (2014), “o Plano de Continuidade de Negócios (PCN) é um conjunto de estratégias 
e planos de ação preventivos que garantem o pleno funcionamento dos serviços essenciais de uma 
empresa durante quaisquer tipos de falhas, até que a situação seja normalizada”.
26
Unidade I
As organizações que contam com um PCN bem elaborado e bem estruturado garantem sua 
perenidade e sua sobrevivência diante de circunstâncias inesperadas. Em adição a essas características, 
elas acabam por ter uma visão integral e abrangente de seus processos de negócio.
No PCN, todo o processo previsto e documentado é deixado à disposição para ser consultado pelos 
stakeholders da organização.
1.3.16 Resiliência
No âmbito empresarial, podemos definir resiliência como a capacidade de a empresa suportar 
adversidades sem sofrer descontinuidade em seu negócio. É a habilidade que a organização tem de 
resistir às adversidades. Em outras palavras, a resiliência é a capacidade de uma organização sofrer uma 
falha e voltar a operar em seu estado normal.
1.3.17 Resiliência organizacional
A resiliência organizacional é a capacidade de a organização adaptar-se às mudanças, absorvendo 
os eventuais problemas, sem alteração da meta pretendida.
 Observação
No momento de pandemias, como a pandemia da covid-19 (apresentada 
nos estudos de casos na seção anterior), as organizações que tiveram mais 
resiliência organizacional e que souberam se adaptar e absorver todos os 
problemas que o cenário apresentou tornaram-se mais fortes.
1.3.18 Risco
O risco pode ser associado à probabilidade de insucesso, em função de um acontecimento eventual 
ou incerto, cuja ocorrência não dependa exclusivamente da vontade dos interessados.
Em toda operação há risco. O risco é a probabilidade (mesmo que baixa) de um incidente ocorrer.
1.3.19 Ponto objetivado de recuperação ou RPO (recovery point objective)
O ponto objetivado de recuperação (RPO – acrônimo do inglês recovery point objective), também 
conhecido como perda máxima de dados, é o ponto em que as informações utilizadas no processo 
devem ser restauradas a fim de permitir que a operação e a atividade possam ser retomadas.
Uma analogia para o RPO pode ser feita com o alpinismo. Ao escalar uma montanha, um alpinista 
vai inserindo marcos de fixação das cordas de segurança a intervalos regulares (em geral, a cada 2 m). 
Caso o alpinista tenha algum problema e sofra uma queda, a altura máxima será de 2 m.
27
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Outro exemplo pode ser tirado dos softwares processadores de texto usados em microcomputadores. 
Esses softwares, em intervalos regulares, salvam o conteúdo que está sendo inserido. Isso significa 
que em uma eventual interrupção de energia, o conteúdo do documento será aquele existente no 
último salvamento.
1.3.20 Tempo objetivado de recuperação ou RTO (recovery time objective)
Quando uma indisponibilidade ocorre, o período para a retomada do serviço, da atividade ou do recurso 
é denominado tempo objetivado de recuperação (RTO – acrônimo do inglês recovery time objective).
O RTO deve ser o menor possível e, se possível, bem próximo a zero. Esse tempo deve ser acompanhado 
do período máximo de interrupção tolerável (MTTPD), já visto anteriormente, e não pode ser maior do 
que ele. A visão que qualquer gestor deve ter em mente é que, quanto maior o RTO, maiores e mais 
graves as consequências e impactos.
1.3.21 Objetivo mínimo de continuidade de negócios ou MBCO (minimum business 
continuity objective)
Quando um provedor de internet sofre um problema (indisponibilidade de um ativo, por exemplo), 
nem sempre o serviço é interrompido. Podem existir, por exemplo, casos de diminuição de velocidade 
de transmissão.
Em algumas organizações, o valor mínimo aceitável para o produto (ou serviço) pode ser 
firmado em contrato, a fim de garantir que o cliente mantenha suas operações. Esse valor mínimo 
é conhecido como objetivo mínimo de continuidade de negócios (MBCO – acrônimo do inglês 
minimum business continuity objective). Em outras palavras, trata-se do valor mínimo aceitável 
para que uma organização consiga manter seu negócio em operação.
1.3.22 Vulnerabilidades
A vulnerabilidade implica uma situação de exposição, sendo que as organizações e seus ativos se 
encontram permanentemente expostos a possíveis riscos e danos de toda natureza e magnitude. Para 
mitigar esses riscos, a vulnerabilidade deve ser corrigida ou minimizada, de forma a evitar que o eventual 
risco se materialize.
1.4 Conceitos importantes sobre continuidade do negócio
Com o crescimento constante do volume de informações em transação e das violações a dados, as 
empresas necessitam responder a essa situação de forma rápida e eficaz.
A quais fatores podemos atribuir as falhas que permitem a ocorrência de ataques a sistemas e de 
violações de dados?
28
Unidade I
Alguns desses fatores são apontados a seguir:
• Produtos e informações sendo conectados sem preocupações com quesitos de segurança.
• Modelo de negócio implantado sem definições do limite de confiança e da responsabilidade na 
proteção de dados.
• Ferramentas e métodos de fácil uso por hackers amadores.
• Ameaças cada vez mais sofisticadas, complexas e dirigidas.
Nos últimos tempos, o avanço da tecnologia da informação, a expansão da internet (conectividade) 
e a geração de dados em massa pelos usuários (big data) demandaram, por parte das empresas, a 
utilização de sistemas de informações mais aprimorados, o que aumentou a vantagem competitiva 
das organizações, mas acarretou a necessidade de uma gestão efetiva de riscos em tecnologia da 
informação (TI).
1.4.1 Ciclo OODA
Para McCarthy (2014), alguns conceitos são importantes para que o planejamento e a execução da 
resposta a incidentes de computador possam ser desenvolvidos. Um desses conceitos é o ciclo OODA, 
utilizado com sucesso pela Força Aérea Norte Americana na década de 1950, que permitiu tomadas de 
decisão rápidas e eficazes.
OODA é a abreviação de quatro tarefas: observar, orientar, decidir e agir. 
Seja na preparação para uma batalha ou para a resposta a uma violação 
no sistema, observamos constantemente nosso ambiente. Juntamos essas 
observações em algum tipo de contexto, em geral vários, para que nos 
orientem sobre como elas podem nos afetar. Em seguida, tomamos decisões 
sobre como tratar, ou se será necessário tratar, esses eventos. E, se necessário, 
executamos alguma ação, mesmo se ela for a inação (MCCARTHY, 2014, p. 7).
A metodologia OODA (iniciais de Observar, Orientar, Decidir e Agir, como indicado na figura a seguir) 
consiste na rotina de verificar constantemente possíveis ameaças, vulnerabilidades e riscos de sistemas 
e de processos. A observação e os indicadores resultantes permitem gerar orientações de como tais 
ameaças, vulnerabilidades e riscos podem prejudicar a continuidade dos negócios. A partir daí, há a 
necessidade da tomada de decisão, ou seja, há a necessidade da realização de opções de como tratar, 
sanar ou minimizar tais fatores. Para isso, espera-se a execução de uma ação imediata.
29
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Agir Orientar
Observar
Decidir
Figura 3 – Ciclo OODA
Em momentos de crise, o ciclo OODA deve estar em interação de forma contínua e integral e em 
todos os níveis da empresa.
Enquanto os níveis superiores executam seu ciclo OODA, gerando demandas e ações top-down (da 
alta cúpula da empresa para todas as demais camadas), cada camada deve executar seu próprio ciclo 
OODA na atividade que está interferindo ou ocasionandoimpacto.
Em uma operação ou em um ciclo de crise, o ciclo OODA pode ser definido para operar em intervalos 
pré-determinados. Por exemplo, a cada 6 horas, a gestão de crise executaria um ciclo OODA, que 
estabeleceria as próximas ações para os demais níveis subordinados aplicarem seus próprios ciclos 
OODA. Nesse tempo, a primeira hora pode ser dedicada para as observações (por exemplo, o impacto da 
vulnerabilidade na corporação), as decisões e as ações, e as demais horas podem ser dedicadas para que 
cada grupo de trabalho conduza seus processos OODA. O ciclo permanece funcionando até o término 
da crise ou da vulnerabilidade (MCCARTHY, 2014).
1.4.2 Névoa de guerra
Outro conceito apresentado por McCarthy (2014) é névoa de guerra. Uma névoa em um campo 
de batalha pode prejudicar a execução de estratégias militares estabelecidas. Tal conceito militar 
pode ser igualmente aplicado nas empresas no momento da eclosão de uma crise – ninguém 
sabe o que está acontecendo, e os líderes evitam tomar decisões porque não detêm todas as 
informações necessárias para tal, o que causa uma paralisação. Nesse momento, a névoa de guerra 
instaura-se sobre a organização.
30
Unidade I
Além disso, uma névoa de guerra pode se manifestar quando as pessoas tentam especular e agir, 
sem um plano de execução, causando mais pânico e até prejudicando a situação. Tomar decisões 
“no escuro” pode prejudicar ainda mais a situação da empresa.
1.4.3 Fricção (atrito)
O processo de fricção (atrito) gera desgastes. Por meio desse conceito, McCarthy (2014) lembra 
que, em tempos de crise, opiniões e pontos de vista diferentes podem gerar controvérsia e hostilidade 
dentro de uma empresa. Pelo fato de que muitas organizações não estão preparadas para enfrentar 
crises, isso pode desencadear discussões sobre quem é responsável por cada função. Mesmo em 
tempos de normalidade pode haver fricção. No entanto, em tempos de incerteza, essa fricção 
inevitavelmente aumentará.
A prevenção da fricção não depende apenas de maturidade empresarial, mas engloba processos 
e responsabilidades bem determinados. Procedimentos claros, políticas de atuações bem definidas e 
a presença da chamada matriz Raci, que se presta a estabelecer de forma clara os envolvidos e as 
respectivas atribuições, são meios de atenuar atritos nos momentos de incerteza.
1.4.4 Matriz Raci
A matriz Raci (ou matriz de responsabilidades) na gestão de projetos auxilia na representação dos 
membros de uma equipe e das tarefas a serem realizadas. O acrônimo Raci origina-se das palavras 
em inglês Responsible (Responsável), Accountable (Aprovador), Consulted (Consultado) e Informed 
(Informado). Nessa matriz, são atribuídas as responsabilidades e as respectivas tarefas para cada membro 
da equipe envolvido.
Na matriz, as atividades que integram um projeto são dispostas usualmente em ordem cronológica 
e sequencial. A próxima etapa é designar os funcionários envolvidos, de acordo com a sua atuação, nas 
atividades do projeto, classificados em quatro papéis fundamentais, indicados a seguir:
• O Responsável (Responsible) tem como papel realizar as tarefas e as entregas, ou seja, ele é 
responsável pela execução.
• O Aprovador (Accountable) tem como papel aprovar a conclusão de uma etapa.
• O Consultado (Consulted) tem como papel sugerir ou opinar (pode ser interno ou externo à 
empresa). Ele não se compromete com a realização da tarefa, mas pode participar da sua execução.
• O Informado (Informed) é aquele que precisa ser avisado sobre o andamento das tarefas. Exemplos 
de Informados são clientes, stakeholders, colaboradores e empresas.
31
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
No quadro a seguir, temos um exemplo de uma matriz Raci:
Quadro 1 – Exemplo de uma Matriz Raci
Atividades Funcionário A Funcionário B Funcionário C Funcionário D
Atividade 1 A/C R I I
Atividade 2 A/C R/I
Atividade 3 R A I/C A
Atividade 4 R A/I C C
Atividade 5 C/A I R
Atividade 6 C C/I C R/A
Atividade 7 R I A/C
Observe que, no exemplo do quadro, as atividades estão na sequência (1 até 7) e que, para cada 
etapa, existe um funcionário ou um departamento com as atribuições R (Responsável), A (Aprovador), 
C (Consultado) ou I (Informado). Dessa forma, a comunicação é beneficiada, e os atritos e os desgastes 
são minimizados. A criação da matriz Raci deve ser feita em equipe, ou seja, com a participação de 
todos os envolvidos, a fim de se definir o processo em conjunto. Trata-se de uma ferramenta muito 
simples, mas que formaliza as responsabilidades perante todos.
A matriz Raci ajuda a eliminar a dúvida sobre as responsabilidades (principalmente em situações nas 
quais há o anseio de se resolver um problema e, por isso, ocorre um “atropelamento” das atribuições). 
Ela também evita sobrecarregar um único funcionário ou um único departamento em determinada 
atividade: com o uso dessa matriz, a transferência de atividades para equipes diferentes acontece de 
forma mais eficaz.
1.4.5 Centro de gravidade
O conceito de “centro de gravidade” diz respeito à essência da empresa. Conforme McCarthy (2014), 
as perguntas relacionadas a esse conceito são as que seguem.
• Qual é a real essência da empresa?
• O que a empresa faz que a torna diferenciada para os seus clientes e o seu mercado?
• O que a empresa faz que a torna diferente das demais empresas?
O denominado centro de gravidade pode ser um ativo, uma imagem (logomarca da empresa) ou a 
propriedade intelectual.
Assim, podemos entender o conceito de centro de gravidade como o conjunto de parâmetros 
intrínsecos que mantém a empresa ativa, gerando receitas e mantendo sua existência. O conhecimento 
integral desses parâmetros permite que decisões sejam tomadas de forma mais rápida e que os 
valores (produtos e serviços) que realmente importam sejam preservados. Em um momento de crise, é 
fundamental que a empresa saiba o que deve ser prioritariamente protegido.
32
Unidade I
1.4.6 Unidade de comando
Os momentos de crise, como temos extensamente observado, geram desgastes, estresse e, 
principalmente, incertezas. O conceito de unidade de comando, proveniente do âmbito militar, pressupõe 
o respeito pela hierarquia e pelas ordens superiores. Na esfera empresarial, trata-se de um grupo formado 
por líderes de múltiplas áreas (preferencialmente, com um responsável de cada área) que precisam 
tomar decisões em momentos de crise. Isso pode ocorrer em uma sala específica, equipada com recursos 
apropriados, conhecida como sala de crise, que pode ser considerada a unidade de comando.
O conceito de unidade de comando é utilizado nas situações imprevisíveis, que exigem a presença 
de um comando, a fim de evitar o aumento da “fricção” durante um momento de “névoa”. O emprego 
do ciclo OODA pela unidade de comando tende a amenizar esses efeitos.
A grande vantagem de uma unidade de comando é a centralização do planejamento e da dinâmica 
de ação, sendo que o poder de coesão que a empresa adquire é benéfico para sua sobrevivência. Observe 
que não estamos nos referindo a um tipo específico de crise: todas as crises podem ser decididas por 
meio de uma unidade de comando.
1.4.7 Manter a iniciativa
Conforme McCarthy (2014), na esfera militar, manter a iniciativa pode ser traduzido como fazer o 
melhor para se antecipar aos eventos, ou seja, o inimigo é que deve reagir às nossas ações, e não o inverso. 
Na perspectiva empresarial, esse conceito pode ser empregado no sentido de a empresa se preparar 
para momentos de crise, e não simplesmente permanecer em uma posição reativa. Se a organização for 
capaz de se estruturar para enfrentar 80% das possíveis ameaças, sobrarão 20% delas que certamente 
serão objeto de atenção exclusiva.
Vamos analisar, por exemplo, um cenário de invasão de dados de uma organização. O agente 
mal-intencionado deve manter o ritmo da invasão e ditar as regras ou a empresa e toda a estrutura de 
segurança da informação devem estar preparadas para combater a invasão? É evidente que a preparaçãoproporcionará à empresa grande vantagem de atuação.
Os ataques e as crises devem ser previsíveis. Um conceito milenar de Sun Tzu, na obra A arte da 
guerra – um tratado militar, escrito durante o século IV a.C., composto por treze capítulos, oferece 
um aprendizado que vai ao encontro do conceito de “mantendo iniciativa”, pois diz que aquele que se 
empenha em resolver as dificuldades resolve-as antes que elas surjam e aquele que se ultrapassa para 
vencer os inimigos triunfa antes que as suas ameaças se concretizem (TZU, 2008). O conceito militar fica 
evidente quando falamos de ataques, ações e propósitos de combate.
1.4.8 Perspectivas tática, operacional e estratégica
As perspectivas tática, operacional e estratégica são de importância fundamental para as empresas. 
Quando falamos sobre essas perspectivas, defrontamos com o conceito de governança corporativa, 
amplamente consolidado por meio do framework Cobit 5 de boas práticas de governança e de 
gerenciamento empresarial de tecnologia da informação (DE HAES; GREMBERGEN, 2015).
33
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
O conceito do ciclo OODA deve ser aderente às perspectivas táticas, operacionais e estratégicas. Mais 
adiante, vamos comentar com mais detalhes a governança voltada para a continuidade de negócio, 
porém alguns conceitos básicos precisam ser esclarecidos.
As organizações, em momentos de crise ou não, necessitam considerar as três perspectivas 
apresentadas a seguir:
• Perspectiva tática: as questões táticas de linha de frente em uma crise são geridas nessa perspectiva. 
O contato com os clientes, os acionistas e a própria fonte da crise deve ser mediado pelos envolvidos 
na perspectiva tática.
• Perspectiva operacional: toda estratégia da alta cúpula da empresa (decidida por meio das 
perspectivas estratégicas) deve ser passada ao operacional por meio dos superintendentes. O foco 
é identificar as ações que devem ser executadas.
• Perspectiva estratégica: essa perspectiva envolve as grandes estratégias, comandadas pela alta 
cúpula da organização, como as diretorias. No caso de crises de segurança da informação, engloba 
os diretores de informações e os executivos.
No entanto, a visão das perspectivas não deve ser avaliada de forma isolada: as perspectivas precisam 
ser consideradas em termos de visão global. Um dos maiores erros das organizações em tempo de crise 
é não estarem preparadas nos níveis operacional, tático e estratégico para tal situação. A melhor forma 
de manter as camadas das diferentes perspectivas engajadas é criar requisitos, utilizar o ciclo OODA e 
atribuir o tempo necessário de atuação para que todos estejam sincronizados.
Na figura a seguir, podemos visualizar um diagrama que representa a interação entre as camadas 
das perspectivas.
Estratégia
Tática
Ciclo OODACiclo OODA
Operacional
Figura 4 – Diagrama das perspectivas de uma organização 
no que diz respeito à governança corporativa
34
Unidade I
1.4.9 Execução guiada por requisitos
Todas as organizações têm obrigações contratuais (estatutárias) e obrigações diversas, como 
as relacionadas à responsabilidade social. Tais obrigações fazem com que os executivos da camada 
estratégica da organização protejam o negócio e mantenham o “centro de gravidade” dela.
Segundo McCarthy (2014), para manter esses elementos, há a necessidade de identificarmos os 
requisitos que devem ser atendidos em caso de crise. Imagine uma empresa de grande porte, por 
exemplo, uma instituição bancária, que, abatida por uma crise, fecha as portas por decretar falência. 
Como ficam seus milhões de clientes? Já imaginou o prejuízo financeiro que isso pode gerar? Pense no 
caso de uma organização que sofre violação de seus dados em virtude da execução de um ataque de 
phishing ou de malware e no caso de empresas que precisem fazer o recall de um produto. Veja que 
as responsabilidades de uma organização vão além das leis estabelecidas nos códigos civil e penal 
(para as localizadas no Brasil) e devem atender às normas internacionais, como a Lei Geral de Proteção 
de Dados Pessoais (LGPD).
 Observação
No Brasil, existe o Fundo Garantidor de Crédito (FGC), uma entidade 
privada, sem fins lucrativos, que tem como objetivo garantir os depósitos e 
outros ativos de clientes em até R$ 250.000,00, em caso de quebra ou de 
falência de alguma instituição financeira filiada.
1.4.10 Estado final
O estado final é o conceito vinculado ao sucesso de uma organização. Definido em poucas palavras, 
usualmente deve responder a indagações dos tipos “quem”, “o que”, “quando”, “onde” e “por quê”.
De modo mais detalhado, o estado final soluciona dúvidas como as expostas a seguir:
• Para onde a empresa pretende ir?
• O que significa sucesso para a empresa, considerando sua missão?
• Qual é a importância desse estado final para a empresa?
Sem uma visão de objetivo, nenhuma organização consegue caminhar para a melhora. As buscas 
pelo ideal, pelo estado final e pelo êxito devem ocorrer todos os dias e em todos os momentos, mesmo 
que a organização já esteja fazendo sucesso.
35
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Exemplo de aplicação
A matriz Raci (ou matriz de responsabilidades) auxilia na representação dos membros de uma equipe 
e das tarefas a serem por eles realizadas. Ou seja, nessa matriz, são atribuídas as responsabilidades e 
as respectivas tarefas para cada membro da equipe envolvido. A matriz Raci é um modelo usado para 
ajudar a definir papéis e responsabilidades de cada indivíduo frente às atividades de um processo.
Com base no exposto, podemos dizer que, em uma matriz Raci,
A) para uma mesma atividade, apenas uma pessoa deve ser consultada (há apenas um Consulted).
B) uma tarefa precisa ter um responsável (Responsible) a ela associado.
C) uma tarefa não precisa ter um prestador de contas (Accountable) a ela associado.
D) uma pessoa consultada em uma atividade não pode ser consultada em outra.
E) podemos ter uma tarefa que dispense o consultor (Consulted) e o prestador de contas (Accountable), 
desde que haja um responsável (Responsible).
Resolução
A) Alternativa incorreta.
Justificativa: podemos ter mais do que um consultado. Estamos falando de pessoas que serão 
consultadas antes da execução da tarefa, pois suas opiniões são importantes para tal execução. O consultado 
é aquele que deve ser consultado e participar da decisão ou da atividade no momento em que 
for executada.
B) Alternativa correta.
Justificativa: a matriz Raci é utilizada para a definição de papéis e de responsabilidades em atividades. 
Nesse modelo, uma tarefa precisa ter um responsável (Responsible) a ela associado.
C) Alternativa incorreta.
Justificativa: na matriz Raci, dada tarefa deve apresentar um prestador de contas (Accountable) a 
ela vinculado.
D) Alternativa incorreta.
Justificativa: os consultores são pessoas que serão consultadas antes da execução da tarefa, pois suas 
opiniões são importantes para a execução da atividade. Eles podem participar de mais de uma atividade.
36
Unidade I
E) Alternativa incorreta.
Justificativa: não há como existir atividade sem responsável nem prestador de contas.
2 NORMAS EXISTENTES
Quando falamos em proteção de dados, de informações e de ativos para evitar uma parada ou 
uma crise em uma empresa, não existe uma solução pronta. Softwares como antivírus, antimalwares, 
DLPs (data loss prevention – sistema contra perda de dados) ou demais meios de prevenção não são 
capazes de promover segurança total.
Mas por que não, se são vendidos com esse objetivo?
Evidentemente, tais softwares contribuem muito para a segurança. No entanto, não podem oferecer 
100% de segurança. Para compreendermos melhor essa condição, vamos fazer uma analogia com um 
cadeado. Ele fecha um portão residencial e mantém o portão trancado evitando uma invasão? Sim e 
não. Para a maioria dos invasores, ele cumpre sua finalidade, mas existe aquele invasor que vai conseguir 
arrombá-lo, usando de meios já bem conhecidospara abrir o cadeado, como uma chave denominada 
micha, utilizada por chaveiros. Assim, é possível que uma pessoa abra o portão e acesse a residência. 
Se a probabilidade de sucesso na invasão era de 100% sem o cadeado, podemos considerar que essa 
probabilidade cai para 5% com a colocação do cadeado. Contudo, não chegamos à situação de 100% 
de segurança.
Melhor do que confiar em produtos comercializados é confiar em padrões e em procedimentos 
sedimentados por comitês e especialistas por meio de normas. McCarthy (2014) nos ensina que medo 
do risco desconhecido ou de falhar podem ser bons fatores de motivação para a adoção de padrões, mas 
há outros. No fim das contas, a maioria das empresas (se não todas) será obrigada, por forças externas, 
a adotar padrões.
Com o objetivo de maximizar a segurança corporativa e a continuidade do negócio, e por conta 
de diversas práticas insatisfatórias de segurança e privacidade da informação, as agências regulatórias 
(estaduais, federais e independentes) objetivam a criação de normas e procedimentos de recomendações 
a serem adotados.
A meta dessas legislações é estabelecer, de forma pragmática, padrões mínimos e aceitáveis de 
segurança. Obviamente, não se trata de uma mera imposição. Mesmo que uma empresa não seja 
obrigada por força maior a cumprir e a certificar-se perante tais normas, temos de considerar que o 
mercado é dinâmico e que os clientes têm o poder de escolha, por exemplo, entre permitir o uso de seus 
dados de forma protegida ou não (principalmente quando isso envolve montantes financeiros). Dessa 
forma, a certificação deixa de ser apenas uma estratégia de marketing e passa a ser um reforço para a 
proteção da organização, a fim de manter a continuidade do negócio e, principalmente, apresentar um 
diferencial competitivo no mercado.
37
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
A seguir, serão apresentadas algumas das normas mais relevantes para a continuidade do negócio. 
No Brasil, as normas são geridas, aprovadas e regulamentadas pela Associação Brasileiras de Normas 
Técnicas (ABNT).
A ABNT é o único foro nacional de normalização. Fundada em 28 de setembro de 1940, a ABNT é 
reconhecida pelo Governo Federal, por regulamentação legislativa, como responsável pela elaboração 
das Normas Brasileiras (NBR).
A ABNT é membro ativo da Associação Mercosul de Normalização (AMN), da Comissão Pan-Americana 
de Normas Técnicas (Copant) e da parte de normalização internacional da International Organization 
for Standardization (ISO) e da International Electrotechnical Commission (IEC), isto é, a ABNT representa 
tais instituições e aplica para o Brasil as normas vigentes internacionalmente (adaptadas, quando 
necessário).
As principais normas relativas à continuidade do negócio e que estão envolvidas em nosso estudo 
serão apresentadas a seguir.
2.1 ABNT NBR ISO/IEC 22301/2020
A norma internacional ISO 22301/2020, denominada Segurança e resiliência – Sistema de gestão 
de continuidade de negócios – Requisitos (ABNT, 2020a), é considerada a norma mais importante na 
temática de continuidade de negócio e pode ser aplicada a qualquer organização (independentemente do 
seu porte, do seu segmento ou dos produtos e dos serviços oferecidos). Houve uma grande incorporação 
nessa norma internacional em junho de 2020, que foi a inclusão de uma abordagem de processo, com a 
introdução do Ciclo PDCA (Plan-Do-Check-Act) e do pensamento baseado no risco. Com suas 24 páginas, 
a norma especifica os requisitos para implementar, manter e melhorar um sistema de gestão a fim de a 
organização proteger-se, conseguir reduzir a probabilidade de ocorrência de disrupções, preparar-se, 
responder e recuperar-se de disrupções quando elas ocorrerem. A norma NBR ISO/IEC 22301/2020 deve 
ser aplicada sobre a NBR ISO/IEC 22300/2018 – Security and Resilience – Vocabulary.
A continuidade de negócios tem como premissas a manutenção da capacidade de uma organização 
em continuar a entrega de produtos ou serviços em níveis aceitáveis e pré-definidos e a preservação da 
imagem da empresa, sem danos nem prejuízos inesperados, após um incidente de interrupção.
Dessa forma, a norma ampara a gestão de continuidade (processo fundamental para alcançar 
a continuidade do negócio) e a preparação para lidar com incidentes de interrupção que poderiam 
impedir a empresa de atingir seus objetivos. Com a referida norma, seguindo à risca todos os seus 
elementos, é possível:
• identificar e gerenciar ameaças (atuais e futuras) do negócio;
• manter uma atitude de proatividade com o objetivo de minimizar o incidente;
38
Unidade I
• preservar as atividades e as funções críticas de uma empresa em período de crise;
• mostrar resiliência aos acionistas, clientes e demais envolvidos na atividade corporativa.
A norma NBR ISO/IEC 22301/2020 especifica requisitos para o planejamento, o estabelecimento, a 
implementação, a operação, o monitoramento, a revisão, a manutenção e a melhoria constante de um 
Sistema de Gestão de Continuidade do Negócio. Na norma, para o alcance dos seus objetivos, há ênfase 
nos aspectos indicados a seguir:
• Compreensão das necessidades da organização para manter o prosseguimento de determinada 
política de gestão de continuidade de negócio.
• Implementação e operação de medidas de controle e de gerenciamento da capacidade global de 
uma organização no que diz respeito à gestão de incidentes que possam causar interrupções nas 
operações normais.
• Acompanhamento e avaliação constantes do desempenho e da eficiência do Sistema de Gestão 
de Continuidade do Negócio.
• Estabelecimento de melhorias contínuas nos processos com base em resultados de medições 
objetivas.
Como a NBR ISO/IEC 22301/2020 trata exclusivamente do Sistema de Gestão de Continuidade do 
Negócio, esse tema será apresentado na unidade III, que abordará exclusivamente tal assunto.
2.2 Família das normas ABNT NBR ISO/IEC 27000
A ABNT NBR ISO/IEC 27000/2018 é denominada Tecnologia da informação – Técnicas de segurança – 
Sistemas de gestão de segurança da informação – Visão geral e vocabulário, ou simplesmente Gestão da 
Segurança da Informação (quando se refere a todas as normas juntas, cada uma com suas características, 
conforme descrições e detalhamentos próprios).
Na realidade, trata-se de uma família de normas, que foi criada e aprovada pelo comitê ISO/IEC/JTC 
1 Information Technology, comitê técnico que desenvolve e mantém os padrões nas áreas de tecnologia 
da informação e comunicação. Sua publicação foi efetuada em fevereiro de 2018 pela International 
Organization for Standardization (ISO), em 27 páginas. Alguns exemplos de normas e das suas respectivas 
nomenclaturas podem ser visualizados no quadro a seguir:
39
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Quadro 2 – Normas da família ABNT ISO/IEC 27000 envolvidas em 
continuidade do negócio (nomenclatura/ano e nome da norma)
ISO/IEC 27000/2018 Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Visão geral e vocabulário
ISO/IEC 27002/2013 Tecnologia da informação – Técnicas de segurança – Código de prática para controles de segurança da informação
ISO/IEC 27004/2017 Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Monitoramento, medição, análise e avaliação
ISO/IEC 27005/2019 Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação
ISO/IEC 27015/2012 Tecnologia da informação – Técnicas de segurança – Diretrizes de gestão de segurança da informação para serviços financeiros
ISO/IEC 27019/2017 Tecnologia da informação – Técnicas de segurança – Controles de segurança da informação para a indústria de energia
ISO/IEC 27031/2011 Tecnologia da informação – Técnicas de segurança – Diretrizes para prontidão da tecnologia da informação e comunicação para a continuidade dos negócios
ISO/IEC 27039/2015 Tecnologia da informação – Técnicas de segurança – Seleção,