Paulo Beck

Como uma publicação pessoal no Facebook sacudiu a indústria de alimentos do Canadá e que lições tirar dessa história

noreply@blogger.com (Paulo Ricardo T. Beck) — Wed, 16 Mar 2016 12:50:00 +0000

Por Alexandre Inagaki

Fernandez publicou, em 23 de fevereiro, a foto de um pote de catchup da marca French's. Elogiou seu sabor e comentou que o produto era livre de conservantes. Mas, mais importante, ressaltou que se tratava de um catchup fabricado com tomates cultivados por agricultores canadenses, citando que a Heinz, marca mais conhecida do segmento, havia fechado sua fábrica na cidade de Leamington, deixando 740 pessoas desempregadas. Brian concluiu seu post dando um singelo adeus à marca que antes consumia:

"Bye. Bye. Heinz."

A história de Brian, que já tem sido reconhecido nas ruas de sua cidade como "the ketchup guy", acaba por valer algumas reflexões a respeito de toda a repercussão catalisada pelas mídias sociais:

1. A capacidade de influenciar independe de números quantitativos.

A rede de contatos de Fernandez no Facebook é constituída por pouco mais de 400 pessoas; se dependesse só desses números, ele jamais seria considerado um influenciador. Porém, graças à relevância dos conteúdos que compartilhou, criou uma mensagem que se alastrou feito fogo em palha seca nas mídias sociais.

2. A criação de um conteúdo relevante passa por uma boa pesquisa de informações

Em entrevista que concedeu ao jornal National Post, Brian comentou que, ao encontrar catchups da marca French’s - muito mais conhecida por suas mostardas - em um supermercado, ficou curioso e decidiu fazer uma pesquisa na internet a fim de saber se valeria experimentar a novidade, já que sempre comprava catchups da Heinz. Foi aí que descobriu que a Heinz havia fechado sua fábrica em Leamington, no interior de Ontario, desempregando 740 pessoas. E que a French's assumiu posteriormente essa mesma fábrica, produzindo seus catchups com tomates cultivados no Canadá. Se Brian não tivesse feito essa pesquisa, não teria se deparado com estas informações nem escrito o post que acabou por ganhar repercussão mundial.

3. Na era das mídias sociais, pessoas consideram mais a voz de um consumidor do que de corporações ou instituições tradicionais

A notícia de que a French's começou a produzir catchups feitos com tomates canadenses foi veiculada em janeiro deste ano e anunciada tanto na mídia como no site da empresa. No entanto, só teve impacto real nas vendas graças a um post no Facebook publicado por um consumidor comum.

4. Toda empresa precisa ter uma estratégia de comunicação digital para gerenciamento de crises

Não foi uma matéria de TV ou reportagem de revista que fez com que fosse deflagrada por todo o Canadá uma campanha de boicote aos produtos da marca Heinz. Foi a internet, com seu poder de disseminação viral, que tem causado prejuízos sérios à imagem da Heinz no país.
O pior é que o problema não foi de falta de tempo para planejar ações. Afinal, a fábrica da Heinz em Leamington, inaugurada em 1909, foi fechada em junho de 2014. E, enquanto o prejuízo em redes sociais se alastra desde o final de fevereiro, até agora nem o site da marca nem sua fanpage canadense se manifestaram. Foi o prefeito de Leamington, John Paterson, que precisou declarar que, apesar de ter descontinuado sua produção de catchups, a Heinz ainda ajuda a manter cerca de 400 empregos na cidade através da fabricação de outros itens da marca, como vinagre, suco de tomate e molho de macarrão.
É difícil entender como uma marca do porte da Heinz não se preocupou em sequer colocar em prática algum plano de gerenciamento de crises. E justamente no Canadá, país no qual está presente há 105 anos e que apresenta o segundo maior consumo per capita de catchups no mundo.

5. Monitoramento online é o mínimo que uma empresa precisa fazer na internet

Não, uma empresa não precisa estar em todas as redes sociais criando perfis oficiais em sites e aplicativos como LinkedIn, Snapchat, Twitter ou Facebook. Suas estratégias em mídias sociais dependerão do seu ramo de atuação, do público-alvo de suas marcas e serviços e da adequação de acordo com a sua missão e valores corporativos. Porém, em um cenário no qual seus clientes e consumidores em potencial participam ativamente da grande conversa de mesa de bar das redes sociais, compartilhando críticas, sugestões e elogios referentes aos produtos e marcas que consomem, é cada vez mais importante aproveitar todo esse manancial de informações, especialmente nestes tempos de big data.
Uma marca como a Heinz, que está bombando negativamente no boca a boca online, precisava no mínimo acompanhar as repercussões do post de Brian e dar uma resposta às campanhas online de boicote dos seus produtos, em vez de se omitir esperando que surjam espontaneamente manifestações como a do prefeito de Leamington.

*Alexandre Inagaki é jornalista, consultor de comunicação em redes sociais e autor do blog Pensar Enlouquece, Pense Nisso.

Porque precisamos que os Planos de Contingência sejam efetivos?

noreply@blogger.com (Paulo Ricardo T. Beck) — Wed, 09 Mar 2016 19:49:00 +0000

Origem e Necessidade dos Planos de Contingência

Negócios hoje dependem basicamente de uma infraestrutura disponível e adequada as operações da empresa. Esta disponibilidade depende por sua vez de um meio ambiente estável e sem riscos. Num mundo onde fazer negócios pressupõe riscos, cada vez mais executivos e empreendedores estão preocupados com ameaças do cotidiano moderno, como incêndios, inundações, panes em computadores e vírus de computador. Atualmente temos percebido um mundo bem diferente, onde desastres naturais, frutos de tempestades e furacões, e eventos geofísicos globais (conhecidos como GGE’s), como maremotos e tsunamis, tem atormentado o sono do homem moderno.

O Homem vive num mundo estável há cerca de 12 mil anos, desde quando tivemos o final da última estação glacial na terra. Até hoje os rios e lagos são reflexo deste degelo. Diversos desastres naturais tem ocorrido neste período, mas não tão fortes, violentos e em grande quantidade. Nos últimos dez anos o impacto dos desastres foi maior do que o ocorrido no último milênio. O avanço tecnológico que vivenciamos hoje começa a se deparar com desastres de grande magnitude, e que ocorrem em ciclos a milhões e milhões de anos.

O mundo moderno é feito de avanços muito recentes, onde da Renascença a meados do século XX, tivemos quatro séculos de grandes desenvolvimentos e descobertas na área das ciências, e que desencadearam realizações e invenções tecnológicas fenomenais que testemunhamos e vivenciamos nas décadas recentes.

Vivíamos até recentemente num mundo razoavelmente estável e separar ficção científica com fato científico nunca foi tão fácil, principalmente quando percebemos a cruel realidade de eventos cataclísmicos raros, capazes de ameaçar nossa zona de conforto.

A destruição causada pelo maremoto de 2004, quando perdemos mais de um terço de milhão de vidas em poucas horas, forneceu uma visão da realidade. Poucos meses depois, o drama de televisão da BBC "Supervolcano" nos deu uma amostra do que poderemos enfrentar no futuro. As reações aos dois eventos, um factual, outro fictício, foram contraditórias.

Por um lado, o maremoto asiático foi lamentado como difícil de ser previsto e de se preparar para ele, um acontecimento inesperado. Por outro lado, a BBC foi acusada por alguns de promover o medo ao acentuar as terríveis consequências de uma futura super-erupção vulcânica no parque nacional de Yellowstone, em Wyoming.

Mas não surpreende o fato de sermos pegos de surpresa não somente por eventos geofísicos extremos e desastres ambientais como estes, como também por tragédias em ambientes públicos, acidentes espetaculares, e muitas vezes a morte de centenas de crianças e adolescentes pelo simples desleixo de organizadores de festas, parques de diversão sem segurança e o descaso de governantes, quando as tentativas de educar e informar sobre a ameaça, e o perigo que representam, atraem tamanha hostilidade.

A verdade é que, nos dias de hoje, inúmeras ameaças nos rondam e "provocam" a nossa infraestrutura para fazer negócios, onde uma pequena e simples brecha nos controles internos pode permitir que incidentes ocorram, causando estragos, danos e paralisações em sistemas, aplicativos, banco de dados, link de comunicações, infra predial e até mesmo em pessoas. Uma simples paralisação pode acarretar em enormes perdas financeiras para empresas de diversos setores. Mais do que nunca os planos de contingência estão sendo colocados a prova no mundo inteiro, e tem ocorrido com frequência aqui no Brasil.

Exemplos de Desastres no mundo

noreply@blogger.com (Paulo Ricardo T. Beck) — Sun, 03 Mar 2013 01:05:00 +0000

Logo após os projetos relacionados ao bug do milênio, onde milhões de empresas prepararam computadores, softwares e aplicações para a mudança no dígito 00, do ano 2000, desenvolvendo diversos procedimentos de prevenção, contingência e de recuperação contra desastres, tivemos no mundo outros incidentes com proporções menores, mas não inferiores em termos de ameaça e impacto, e outros maiores, que causaram preocupação na continuidade de negócios.

Os anos 90 marcaram os EUA em termos de custos causados por furacões e seu poder de destruição. Enquanto o Furacão Andrew de 1969 foi o mais poderoso, o Furacão Andrew causou prejuízo de 26 bilhões de dólares e o Furacão Floyd em 1999 ultrapassou este registro em perdas. O furacão Katrina, em 2005, causou prejuízo de 200 bilhões de dólares. Este número era inimaginável para os melhores especialistas.

Considere um outro exemplo: a história do pior desastre da história de Monterrey, México, em 2010, com o furacão Alex. A maior parte da cidade tinha falta de serviços básicos (água, gás, eletricidade, telefonia). Rodovias e Avenidas desapareceram ao longo do antigo Rio Santa Catarina, com água pela primeira vez em 22 anos. Também a inundação e o deslizamento em áreas propensas perto das montanhas causaram o soterramento de casas, desaparecimento de ruas, e a destruição de carros e empresas. A precipitação medida foi considerada mais do dobro e em algumas partes do que o triplo do furacão Gilbert. Devido a constante e forte chuva, profundos buracos apareceram nas ruas devido às correntes de água que inundaram centenas de carros. Algumas áreas pareceram verdadeiras zonas de guerra. Casas de dois níveis foram enterradas com pedras e sujeira em algumas partes, algumas tinham pessoas dentro e isso é realmente chocante e nos sentimos impotentes. Milhares de pessoas foram evacuadas.

Por outro lado, vírus de computador estão no topo da lista de desastres potenciais feitos pelo homem. Nomes familiares como Melissa, Chernobyl, ExplorZIP, e Klez resultaram em enormes perdas financeiras a empresas no mundo inteiro. Este tipo de evento vem causando um aumento considerável nos gastos de TI, envolvendo prevenção, proteção e recuperação. Dirigido contra a infraestrutura de sistemas críticos de empresas de energia, telecomunicações, sistemas de controle de tráfego aéreo, este terrorismo computacional causado por maliciosos programas pode potencialmente ser devastador.

O Brasil, como muitos países tropicais, possui a maior parte da geração de energia vindo de hidrelétricas devido ao clima de toda a região e a freqüência de chuva que ocorre em excesso no verão. Em 2001, o Brasil foi assolado por uma crise de energia causada pela enorme escassez pluvial, o que resultou no racionamento forçado pelo governo, onde residências e empresas tiveram que se adequar a cotas rígidas de gastos de energia, causando um impacto significativo em muitos setores da economia. A implantação de um novo Sistema de Pagamentos Brasileiro – SPB, que integrou em tempo real todas as transações dos bancos que participavam do sistema financeiro no Brasil, representou uma grave ameaça as instituições que não estivessem adequadas, onde uma parada na operação do sistema podia resultar na parada operacional e na conseqüente perda financeira.

Porém, nenhum deles teve o impacto do desastre nas torres gêmeas do WTC de Nova York, ocorrido em 11 de setembro de 2001, onde a visão e o impacto do boeing-767, da American Airlines, colidindo com as torres gêmeas do complexo, sua posterior destruição, o desespero das pessoas, os prejuízos nas empresas e na infraestrutura ficarão na mente de muitas gerações, no mundo inteiro. Foi considerado o maior incidente de terrorismo ocorrido no mundo.

Voltamos aos desastres naturais, onde o processo de acomodação das placas tectônicas por sua vez não deu trégua para a humanidade. O Tsunami ocorrido na Ásia no dia 27 de dezembro de 2004 foi mais forte do que qualquer cientista poderia prever, onde a onda gerada pelo movimento das camadas da terra deslocou-se a velocidade de um jato, deixando 38 mil mortos somente no Siri Lanka, sendo 40% crianças. Quando as águas alcançaram os trilhos de um trem lotado deixaram mais de 800 mortos. Na Thailândia foram 8 mil mortos e 200 só na Somália.

A tecnologia tem acompanhado diversos destes movimentos, sendo considerado um importante mecanismo de prevenção. No Havaí, bóias ancoradas no Pacífico transmitem por satélite as informações coletadas, num poderoso modelo digital para prever trajétos de Tsunamis, já que uma onda do Alaska leva 6 horas para chegar no Havaí. Um satélite da NASA estava no momento exato do Tsunami de 2004, registrando elevações de 30cm, cuja energia se extenderia por 3km na costa. Tudo isto para salvar vidas. Na Ásia não existe ainda nenhum mecanismo de prevenção desta natureza. O Tsunami de 2004 foi um alerta. Atualmente 13 países estudam moldes semelhantes para prever qualquer desastre. O legado do maremoto asiático está contribuindo para a implementação de um sistema de prevenção, não apenas no Oceano Índico, mas também na bacia do Atlântico e Caribe, conseqüentemente aumentando drasticamente os prováveis índices de sobrevivência no futuro.

Algo muito parecido aconteceu no Chile em 27 de fevereiro de 2010, quando um terremoto de magnitude 8,8 arrasou o pais inteiro e custou mais de US$ 2 bilhões para as seguradoras, segundo a firma AIR Worldwide, especializada em cálculos e estudos de catástrofes. O terremoto causou a morte de mais de 700 pessoas, destruiu ruas e estradas e afetou 1,5 milhão de casas, segundo as autoridades locais. As perdas econômicas poderão superar US$ 15 bilhões, disse a AIR Worldwide em comunicado obtido pela Bloomberg News.

Em novembro de 2008 o Sul do Brasil foi novamente atingido por um aumento inesperado nos níveis dos rios devido a forte chuva na região que duraram quase 3 meses, ocasionando enchentes devastadoras em cidades como Itajaí e Blumenau. Alguns rios da região subiram mais de 10 metros, e a terra encharcada e saturada com água ocasionou desmoronamentos generalizados na cidade e região. O evento inesperado que resultou em centenas de mortes, milhares de desabrigados, e proliferação de doenças infecciosas afetou diretamente hospitais, comunidades regionais e defesa civil. O resultado foi sentido fortemente na maior parte das empresas da região, envolvendo impactos na produção agrícola do estado de Santa Catarina, impacto no transporte e na cadeia logística e nos centros de distribuição e abastecimento. Além da ausência e perda de inúmeros funcionários, a destruição dos leitos dos principais portos da região – Itajaí e Navegantes, causou a inoperância dos mesmos, com grave impacto na importação e exportação de centenas de empresas que lá operavam. As perdas ainda estão sendo avaliadas e processadas.

Interessante são as informações fornecidas por Bill McGuire, professor de riscos geofísicos da University College London e membro do grupo de trabalho de riscos naturais do governo inglês. Autor do livro "Surviving Armageddon: Solutions for a Threatened Planet" (Sobrevivendo ao Armageddon: Soluções para um Planeta Ameaçado), publicado em Junho de 2005, Mc Guire aponta que fenômenos geofísicos bem mais letais e destrutivos que o maremoto asiático estão a caminho, conhecidos como eventos geofísicos globais (GGE’s – Global Geophysical Events).

Super-erupções vulcânicas, impactos de asteróide ou cometa e maremotos grandes o bastante para tornar pequeno o maremoto asiático já deixaram sua marca na superfície do nosso planeta durante seus 4,6 bilhões de anos de história, e eles não vão deixar de acontecer apenas porque entramos em um mundo moderno, repleto de descobertas e avanços científicos e tecnológicos.

Em termos de prejuízo financeiro, se o maremoto de 2004 estivesse ocorrido no Atlântico teria sido devastador em cidades grandes da américa do norte e Europa, mas no oceano indico as perdas econômicas foram consideradas em 13 bilhões de dólares, o que é muito pouco comparado com os 200 bilhões de dólares do furacão Katrina.

Em termos de eventos extremos – impactos de asteróides, que tem uma frequência de centenas de milhares de anos, super erupções vulcânicas, que ocorrem a cada 50 mil anos, e tsunamis gigantes – muito maior do que o Tsunâmi Indico – que podem ocorrer com o colapso de ilhas vulcânicas do aceano a cada 10 mil anos, que seriam realmente devastadores e impactantes, a mais eminente e que exerce maior pressão é a projeção do próximo grande terremoto a atingir o coração de Tóquio. Com mais de 30 milhões de habitantes afetados, este seria qualificado como um GGE de grande magnitude, porque quando ele ocorrer, previsto para o próximo século ou em dois, estão previstas perdas de 3 trilhões de dólares, com consequências devastadoras para a economia global – quebrando o sistema econômico e afetando o mundo inteiro. Eles tem enormes terremotos que ocorrem a cada pares de 100 anos e o último ocorreu em 1923.

Além disso, eventos perigosos associados à mudança climática provocada pelos seres humanos podem piorar ainda mais as coisas. Ela é absolutamente crítica, mesmo se consigamos cortar a emissão de gáses, porque as temperaturas estão sendo elevadas a séculos e o nível do oceano estão aumentando a centenas de anos. Os efeitos são apavorantes. No topo da lista está uma desaceleração ou paralisação da Corrente do Golfo e correntes oceânicas associadas, levando a invernos mais rigorosos na Europa e no leste da América do Norte; e um rápido aumento no nível dos oceanos em resposta ao derretimento catastrófico de um ou ambos lençóis de gelo da Groenlândia e do oeste da Antártida.

Se acontecer, nós teremos que nos adaptar da melhor forma possível, modificando nossa energia, transporte, agricultura e políticas de saúde para lidar com invernos mais rigorosos e estações de plantio mais curtas.

Outro ponto importante neste contexto, é que o homem nunca tirou tanto do meio ambiente como nos últimos cinqüenta anos. O avanço acelerado sobre a natureza, vista pela perspectiva dos avanços relativos de cada civilização, exibe brilho sem igual. A fartura inédita de alimentos, a tecnologia para salvar vidas e colocar foguetes na Lua e a compreensão científica e preventiva dos fenômenos naturais nunca foram maiores. A contrapartida preocupante é a perda acelerada de biodiversidade e a degradação do meio ambiente, a pressão sobre os estoques de água potável, e indícios de mudanças climáticas causadas não somente pela natureza, como também pela ação do homem. O que esse processo mostra é que os recursos naturais podem estar sendo consumidos em velocidade maior que a de reposição do planeta. Há evidências concretas do risco de não sobrar o suficiente para as gerações futuras.

A respeito disso, vale a pena prestar atenção no que diz o americano Jared Diamond. Geógrafo da Universidade da Califórnia, ele é autor de um livro de grande repercussão, Armas, Germes e Aço, lançado em 2001. Nele, explica como fatores ambientais influenciaram a ascensão de muitas civilizações. Mais recentemente, Diamond estudou o declínio e o sucesso de várias sociedades do passado e acredita ter encontrado um padrão na catástrofe: o desastre ambiental provocado por elas foi decisivo no próprio declínio. A queda de um povo nunca é o resultado de um único fator, diz o geógrafo. Ele pode simplesmente ser aniquilado por um invasor poderoso. Outras vezes, o colapso é provocado pela perda de uma conexão vital – um freguês tradicional para seu único produto de exportação, por exemplo. Pode ocorrer uma mudança climática ou um desastre natural. O elemento isolado mais poderoso, contudo, pelo menos nos exemplos estudados, foi a degradação ambiental. Quando a população cresce, em decorrência do sucesso da sociedade, a pressão por alimento se torna excessiva para os recursos naturais. O resultado é a fome, que leva à desagregação social e a guerra civil.

Deixando de lado estes desastres bastante óbvios, onde a estrela principal tem sido eles mesmos: tornados, vulcões, tsunamis, acidentes aéreos e hackers, outras crises e eventos não muito claros surgem no novo cenário, movidas pela nova onda de valorização e desvalorização das empresas em torno da ética empresarial, no que chamamos de governança corporativa.

Depois dos escândalos em torno de algumas empresas americanas, quanto aos aspectos de ordem financeira, diversos organismos voltados a melhoria da governança entram em cena, e com eles a necessidade de implementação de controles efetivos voltados a segurança e a tecnologia da informação. O conceito de Segurança e Continuidade de Negócios, como valor agregado ao mundo dos negócios, vem sendo recentemente popularizado por economistas, acionistas, investidores, consultores e executivos, depois de inúmeros incidentes ocorridos no mundo inteiro.

Porque ter um Plano de Contingência???

noreply@blogger.com (Paulo Ricardo T. Beck) — Fri, 01 Mar 2013 17:37:00 +0000

Origem e Necessidade dos Planos de Contingência

Segundo David Eliot e Arnold Brody, autores do livro “As Sete Maiores Descobertas Científicas da História”, alguns dos principais acontecimentos da ciência contribuíram, de certa forma, para mudanças radicais no comportamento humano. Diferenças significativas existem entre as descobertas do que é e do que foi inventado ou desenvolvido pela humanidade. A gravidade e as leis da física, por Isaac Newton, A estrutura do átomo, por Rutherford e Bohr, O princípio da relatividade, por Albert Einstein, O Big-Bang e a formação do universo, por Edwin Hubble, O princípio da Seleção Natural, por Charles Darwin, A célula e a genética, por Flemming e Mendell, e a Estrutura da molécula de DNA, por Francis Crick e James Watson, são 7 descobertas científicas que formam o alicerce que sustenta a enorme fonte de conhecimentos tecnológicos que se formou. Sem o conhecimento da física, não haveria Ônibus Espacial. Se não conhecêssemos a estrutura do átomo, não existiriam as usinas nucleares e a ameaça de guerra nuclear.

Cada grande descoberta assinalou uma nova época. O novo milênio tem um significado simbólico neste contexto, uma vez que incorpora em nossa mente a conclusão de dez séculos de rápidas evoluções tecnológicas que mudaram para sempre a sociedade e a cultura em que vivemos e acreditamos. A Revolução Industrial abriu caminho para a era do computador, e agora, a internet global e a World Wide Web iniciou a revolução entre o mundo dos átomos e o mundo virtual. A realidade digital da era da informação abre caminho para o século XXI.

Entendendo fenômenos da natureza e as ameaças cada vez mais intensas de catástrofes globais, estúdios de cinema e canais como Discovery Channel e National Geographic desencadearam uma sequência de filmes e documentários baseados nesta visão, evocando através da computação gráfica e de filmagens reais inúmeras devastações de grandes proporções causadas por desastres físicos, naturais, tecnológicos e muitos outros feitos pelo próprio homem.

Criando uma Estratégia para Testes de BCP/DRP

noreply@blogger.com (Paulo Ricardo T. Beck) — Thu, 10 Jan 2013 19:54:00 +0000

Tipos de Testes

Há três tipos de testes de plano de continuidade de negócios que podem ser usados, a saber:

• Teste de Leitura (Read-Through test), que consiste numa revisão de mesa (walk-though) do plano de continuidade de negócio e listas associadas de tarefa e ação para avaliar suficiência com os indivíduos (ou seus representantes nomeados) responsáveis pela realização dessas atividades,

• Teste de Cenário de Mesa (Scenario Desk test), onde participantes dos testes são reunidos numa sala de reuniões com observadores e o gerente de continuidade de negócio (ou nomeado). Os participantes do teste são apresentados a um desastre particular ou cenários de falhas e são solicitados a usar o plano de continuidade de negócio para simular alguma situação com eles. As circunstâncias dos cenários ocasionalmente podem ser mudadas para determinar como os participantes do teste reagem e assim a eficácia do plano de continuidade de negócio,

• Teste Real (Hands-on test), que envolve a realização efetiva das listas de tarefa e ação (p.ex. Mover pessoal-chave para um local alternativo com apoio de TI e instalações de voz).

Os testes de leitura são os mais simples e tem a menor quantidade de envolvimento de pessoal, e assim é a mais barata e menos intrusiva nas operações normais do negócio. As provas de cenário de mesa envolvem mais pessoas, não são muito intrusivas em operações normais do negócio, e trazem mais benefício do que os testes de leitura.

Os testes reais são potencialmente os mais complexos, envolve uma quantidade maior de envolvimento pessoal, pode ser valioso com o tempo e esforço, e é intrusivo às operações normais de negócio.

É possível envolver todos ou vários tipos de testes, dependendo do cenário e da complexidade da operação. É muito importante verificar a interdependência de ações, o cenário e a necessidade ou não de realizar testes integrados (p.ex. Processo de negócios X e determinados ativos que o suportam). Deve-se avançar para um nível mais complexo depois que o tipo de teste atual foi executado com êxito. Em outras palavras, só deve ser feito um teste de cenário de mesa uma vez que o teste de leitura foi executado com êxito, e então só deve ser feito o teste real depois que o teste de cenário de mesa foi realizado.

Estrutura dos Testes

Cada teste deverá ser estruturado para aumentar ao máximo o valor obtido dos recursos envolvidos. Não há nenhum sentido envolver um grande número de pessoas, e talvez recursos externos, durante um dia para um teste inicial que talvez fracasse nos primeiros 10 minutos. Os testes portanto devem ser e estar claramente focados.

Os testes iniciais devem ser curtos, e com objetivos bem limitados. Somente após a realização prévia de testes básicos, com um número limitado de cenários e tarefas, a cobertura pode ser estendida a um grupo maior de pessoas. A abordagem é iniciar com testes simples e gradualmente aumentar a complexidade e escopo, assim que testes prévios comprovem ser satisfatórios.

Como um guia para estruturar testes, os primeiros testes podem ser executados com pequenos grupos de listas de tarefa, usar cenários simples, usar a experiência de pessoas designadas dentro do plano para executar os procedimentos de contingência, uso restrito de recursos de uma única área ou unidade de negócio, e restringir testes aos testes de leitura e de cenário de mesa.

Testes posteriores poderão ser feitos com grupos maiores, para ações previamente testadas, aumentando gradativamente a quantidade de cenários, incluindo outros grupos de pessoas do staff e cuidadosamente conduzindo testes reais (Hands-On) como parte do planejamento.

Os Passos dos Testes

Introdução

Os passos para a realização dos testes do plano de continuidade de negócio da empresa são: (a) Planejar o teste – crítico para o sucesso do programa de testes; (b) Testar o plano; (c) Revisar o teste; e (d) modificar o plano, se necessário. É importante salientar que isto é um processo interativo e os passos precisam ser revistos e refeitos cuidadosamente até que seja acordado que os objetivos dos testes tenham sido obtidos. Estes passos estão descritos nas sessões abaixo:

Planejar os Testes
A primeira tarefa é estabelecer os objetivos e alcance de cada teste, assegurando que todos participantes designados estão informados, e então criar o plano de teste do plano de continuidade de negócio. Abaixo segue a lista de itens que deverão ser incluídos no planejamento do teste:
• referência e número do teste - um número "central" de referência de teste,
• a área/equipe de negócio - o nome (nomes) da área de negócio (áreas) ou a equipe (as equipes) sob teste,
• tipos de testes – se testes de leitura, cenário de mesa ou real,
• fases sendo testadas - as fases do plano que serão testadas (e.g. emergência, operação, retorno),
• objetivos do teste - os objetivos reais dos testes, de forma que seu êxito possa ser medido após a conclusão. Estes podem ser objetivos gerais, e específicos à testes,
• alcance/limite dos testes - uma descrição do alcance/limite, limitações, etc. dos testes,
• cenários - uma descrição dos jogos de circunstâncias dentro de que os testes são colocados em pratica, cobrindo o desastre ou falha que ocorreu e a extensão de estrago, indisponibilidade de serviço, ausência do pessoal, etc.,
• data, tempo e situação de testes - a data, tempo e situação onde os testes serão executadas (e/ou onde participantes devem se encontrar inicialmente),
• duração programada de testes - a duração planejada dos testes de modo que participantes possam programar sua participação com seus outros deveres,
• nome do gerente do teste - a pessoa responsável para chamar, planejar e coordenar os testes (p.ex. o gerente de continuidade de negócio ou um de sua equipe),
• observadores "independentes" do teste - os nomes de quaisquer observadores 'independente" que observarão a conduta dos testes,
• observadores "internos" do teste – como relevante, os nomes de quaisquer observadores de outras áreas/equipes de negócio onde há uma interface a eles,
• participantes do teste - os nomes dos participantes necessários para executar os testes.

Dependendo do alcance do teste e jogo de cenário, esta lista pode ou não incluir todos esses membros da área/equipe particular do negócio sendo testado,
• referências de lista de tarefa e ação - as listas de tarefa de ação sendo testadas e, se relevante, definir as limitações nos testes (p.ex. ramifica-se "um" só, passos 1 a 5 único),
• recursos necessários - incluir recursos físicos específicos,
• data, tempo e situação de revisão do teste - detalhes de quando e onde a reunião de revisão de teste ocorrerá,
• autorização - o nome e firma do gerente de continuidade de negócio ou outro membro da equipe de coordenação que autoriza as testes,
• data de autorização - a data que os testes foram autorizadas.

Uma vez que o plano de teste tenha sido concluído e autorizado ele deve ser enviado a todos os participantes e observadores. Sempre que relevante, ajustes devem ser feitos com outras organizações de modo que estejam cientes das ações que necessitam ser realizadas e sua parte no plano. Então o gerente de teste poderá detalhar mais algumas atividades. Isto pode incluir:
• uma descrição mais detalhada da falha ou desastre relacionado, escopo e cenário dos testes,
• qualquer informação essencial inicial que pode representar “relatórios de situação” das fases anteriores da ativação do plano de continuidade de negócio, ou de outros indivíduos, áreas/equipes de negócio etc.,
• descrição de elementos envolvendo:
o quaisquer acontecimentos que precisam ser desvendados em pontos específicos nos testes (p.ex. por causa de problemas relacionados em outra parte, os serviços de emergência isolaram uma área de determinada localização),
o reações devem ser dadas a determinadas ações do plano de continuidade de negócio relativo aos participantes (p.ex. os serviços de emergência confirmam que o acesso a determinada área não será possível por 24 horas),
o intervalos de tempos devem ser endereçados (p.ex. o cenário de teste será alterado para 3 horas) e a situação revista no novo ponto com o tempo.
O gerente de testes fornecerá logs para ele e/ou qualquer outros observadores registrar problemas, observações e ações durante os testes. Mais ainda, a menos que um teste seja para estabelecer se o plano de continuidade de negócio pode ser encontrado numa emergência, uma cópia das partes relevantes do plano será fornecida a todos os participantes.

Testar o Plano

Uma explicação inicial feita pela gerente de testes deve preceder os testes, definindo as razões e objetivos do teste, os cenários e alcance dos testes, as regras de conduta nos testes, e os papéis dos participantes que estarão presentes.

O gerente de testes deve administrar o ambiente de teste, permitindo que a área/equipe de negócios execute os testes reais enquanto ele assegura que os testes são empreendidos de acordo com os scripts, contando apenas com os recursos previamente definidos nos planos (p.ex. uma cópia de papel da lista telefônica não pode ser usado para localizar alguém que deveria ser localizado pelas informações constantes no script).

Como necessário, o gerente de teste pode e deve agir como o papel de instrutor, com o intuito de treinar a equipe. Da mesma forma, se o gerente de teste está ciente de uma deficiência no plano sob teste ele pode guiar a equipe de teste a descobrir esta deficiência. (p.ex. perguntar como uma ação particular pode ser alcançada se não existe nenhum passo correspondente no plano).

Durante os testes, se necessário, o gerente de teste pode introduzir “acontecimentos” imprevistos visando testar a capacidade de reação da equipe para lidar com mudanças de acontecimentos. O gerente de teste e qualquer observador deverá documentar apropriadamente todas as dificuldades, problemas, deficiências, etc. exatamente como aparecem nos testes.

Revisar o Teste e Modificar o Plano

Após a conclusão dos testes, o gerente de teste presidirá uma reunião formal revisão do teste com os observadores e o pessoal designado envolvido nos testes, com a data, hora e local como indicado no plano original de teste. A reunião deve considerar se os objetivos determinados nos testes foram alcançados, quaisquer problemas, omissões, deficiências, problemas, etc. encontrado pelo pessoal de teste e observadores, e as lições aprendidas.

Subseqüentemente, um documento deve ser produzido identificando que áreas do plano de continuidade de negócio testado requerem modificação, com o gerente de continuidade de negócio assegurando que todas modificações foram feitas e, se for necessário, re-testado.

Além do mais, um relatório curto deve ser produzido para circulação a indivíduos relevantes, descrevendo as conclusões na conduta e eficácia dos testes, os problemas e deficiências mais importantes, o plano de ação, e o requisito para mais testes.

A Freqüência dos Testes

A freqüência dos Testes

Durante o desenvolvimento inicial do plano de continuidade de negócio, testes devem ser um processo interativo até que o plano seja julgado e considerado plenamente pronto para uso.

Uma vez que o plano está adequado, mais testes devem ocorrer assim que ocorram mudanças significativas nas operações de negócio ou na infra-estrutura de ativos e serviços de suporte (IT, voz, etc.) e/ou no próprio plano.

Os recursos necessários para tais testes dependerão da extensão de mudança. De todos modos, re-testes periódicos devem acontecer para assegurar que o plano permanece em linha com os requisitos de negócios e da corporação.

Ferramentas para Automatizar Planos de Continuidade de Negócios

noreply@blogger.com (Paulo Ricardo T. Beck) — Mon, 07 Jan 2013 18:11:00 +0000

A utilização de um sistema para automação dos diversos procedimentos descritos durante a elaboração de um plano de continuidade de negócios, tem que levar em conta a possibilidade de cadastramento de todo o ambiente envolvido, sejam pessoas, processos, ativos, crises, ameaças e todas as localidades envolvidas. Muitas empresas utilizam sistemas específicos na construção dos planos e esquecem do mais importante: a possibilidade de usabilidade numa situação de crise.

Um bom sistema de automação dos planos deve permitir, além da construção de todos procedimentos, a usabilidade pelos gestores de uma forma amigável e simplificada. Aqueles sistemas complexos, que geralmente são construídos com muitos campos para preenchimentos com detalhes específicos de entrevistas e de relacionamento com procedimentos operacionais, são ótimos para abranger as diversas atividades de uma contingência, mas muitas vezes se tornam impossíveis de serem implementados por gestores estratégicos, que querem somente consultar os procedimentos operacionais a serem executados por sua equipe em situações de crises e desastres. Muitos consultores acreditam que as atividades voltadas para a usabilidade do PCN são mais difíceis de serem implementadas do que a sua própria construção.

Entre diversos aspectos e características técnicas dois fatores merecem atenção especial na escolha da melhor ferramenta de apoio: a característica de ser uma ferramenta de apoio as diversas atividades que devem ser executadas pela equipe de trabalho, e não o contrário, e o fato da ferramenta possibilitar a visualização dos procedimentos que devem ser executados, ao invés de simplesmente informar os erros de sistemas e equipamentos ou detectar problemas. Algumas ferramentas não permitem alterações na sua forma de pensar, e as atividades são obrigadas a ser desenvolvidas de acordo com as etapas planejadas no sistema. Outras apenas agem como um “aviso de tempestade” e não informam os procedimentos para atuar na crise. Nestes casos as atividades desenvolvidas se tornam o apoio da ferramenta, e as conseqüências são bastante danosas para a usabilidade e implantação do sistema no ambiente corporativo. A empresa acaba se tornando pouco flexível e subordinada as regras do sistema. Nestes casos a possibilidade de implementação adicional as características da ferramenta se torna difícil de acontecer.

No desenvolvimento do PCN a equipe tem que testar, manter e atualizar os procedimentos de acordo com as regras do negócio. Um sistema eficiente de controle, automação e monitoramento dos procedimentos deve ser flexível o bastante para acompanhar as mudanças corporativas, na forma de operar e fazer negócios da empresa, sem deixar de manter um controle rígido de passos e atividades, através de uma metodologia aplicada ao desenvolvimento do projeto. Um sistema deve possuir um método de trabalho específico para o projeto PCN, onde as atividades de cadastramento, consultas e relatórios atendem os objetivos para o qual a aplicação foi desenvolvida, ou seja, acompanhar os diversos procedimentos que devem ser executados por pessoas numa situação de crises e desastres. A visão sistêmica da ferramenta deve andar sempre alinhada com a metodologia aplicada ao projeto, de forma que a visão do programador esteja orientada a da equipe de projeto.

CADASTRAMENTO

O sistema de gerenciamento do PCN deve permitir a integração e o cadastro de todos os elementos essenciais ao desenvolvimento do PCN:

-Pessoas: Todos os colaboradores devem ser compreendidos no sistema, assim como parceiros, terceirizados e contratados que, durante uma crise ou desastre, são de alguma forma acionados ou ativados na execução dos procedimentos. A possibilidade de integração com outras bases de colaboradores, já presentes em outros sistemas do ambiente de tecnologia, devem ser considerados no desenvolvimento do sistema;
-Processos de negócios: Todos os processos de negócios precisam ser cadastrados no sistema, assim como a descrição de suas funções e sua integração com os ativos que o suportam. O entendimento das alterações de funcionalidade ao longo da cadeia de valores deve ser compreendida no sistema, bem como as propiciadas pela função em locais diferentes. As vezes o atendimento a clientes, por exemplo, ocorre de forma diferenciada em função da localidade em que ocorre;
-Ativos: Todos os ativos de infra-estrutura que suportam os processos de negócios devem ser cadastrados no sistema e tratados de acordo com o seu tipo (TI, Não TI, IE, Provedores e Parceiros). Um campo de relacionamento com os processos se faz necessário;
-Ameaças: Todas as possíveis ameaças ao ambiente de negócios devem ser implementadas no cadastro do sistema, com a possibilidade de alocação de pesos específicos para cada localidade e devem permitir a inserção de notas, quando for necessário medir o grau de exposição dos ativos a estas ameaças;
-Impactos: Todos os impactos corporativos, fruto da conseqüência de uma crise causada pelo impacto de uma ameaça no ambiente de negócios, devem ser efetivamente cadastrados no sistema, bem como o peso corporativo para cada impacto;
-Procedimentos: Todos os procedimentos operacionais desenvolvidos para contingência, recuperação e gestão de crises devem ser cadastrados no sistema. Estes procedimentos são considerados o cérebro do sistema, e devem ser projetados para serem acessados pelos usuários em situações de crises de diversas formas. Pelo sistema, pela Web ou até mesmo por dispositivos móveis, de forma rápida e simplificada.

CONSULTAS

Entre todos os aspectos de cadastramento e funcionalidade, a área de consultas merece atenção redobrada. A usabilidade do sistema se torna uma realidade quando temos a facilidade de consulta aos procedimentos operacionais de forma direta e simplificada.

A consulta de cada procedimento operacional deve ser construída de forma separada. Uma consulta para recuperação de desastres, outra para gestão de crise, e assim por diante. Como cada procedimento operacional está construído por localidade, cada localidade deve presenciar cenários distintos para cada execução de procedimentos. Por exemplo, o procedimento para gerenciamento de crise no caso de incêndio em determinada localidade pode ter uma seqüência de passos diferente de outras localidades. Da mesma forma, este incêndio pode ter cenários diferentes. Pode ocorrer na fábrica, no escritório ou no refeitório. Cada cenário possui características próprias e as consultas ao sistema devem permitir a seleção e visualização destes locais, cenários e procedimentos distintos, de forma simples, descomplicada e sobretudo rápida.

CONTROLE DE ACESSO

Em muitos projetos a quantidade de processos e ativos é tão grande que o sistema necessita de um bom banco de dados para administração das diferentes bases e relacionamento. Neste sentido, uma preocupação bastante justificada é com a confidencialidade das informações. Ao mesmo tempo, uma base de dados enorme pode gerar problemas com a facilidade de uso e o controle de acesso as diversas informações do sistema.

O sistema deve permitir o controle de acesso para consulta, alteração e atualização dos procedimentos e das informações. O controle de acesso anda junto com a facilidade de uso. Um gestor de rede, por exemplo, deve visualizar somente os ativos de rede que são por ele geridos. A esta seção, deve ser configurado o tipo de acesso permitido, somente consulta, somente alteração, ou ambos. Desta forma, gestores de processos de negócios poderão visualizar seus processos de forma simples e direta, bem como controlar as atualizações necessárias para o perfeito andamento do PCN.

CONTROLE DE ATUALIZAÇÃO

Uma vez construído o PCN, os diversos procedimentos devem ser atualizados sempre que alguma alteração tenha sido realizada no ambiente de negócios ou de infra-estrutura. Note que as regras de atualização devem ser criadas de acordo com o ativo ou com o processo de negócio. Determinado ativo pode ter uma regra de atualização a cada três meses, adequada a sua característica funcional, como por exemplo um sistema operacional de um servidor. Outro ativo, como por exemplo um equipamento de rede, pode ter uma necessidade de atualização menos intensa. O sistema deve permitir estas regras de configuração.

Como temos muitos ativos, processos, gestores e, principalmente, tempos de atualização diferenciados, é desejável que o sistema tenha uma integração com software de envio de mensagens ou correio eletrônico, para que os gestores sejam avisados da necessidade uma atualização. É muito importante o controle destas atualizações, de forma que estes logs sejam armazenados e impressos em forma de relatórios, para o devido controle das atualizações do PCN.

A emissão de relatórios com os logs do sistema pode facilitar o trabalho de auditorias, criadas especificamente para acompanhar o andamento e a usabilidade do PCN.

PLANEJAMENTO DE TESTES

Da mesma forma que o PCN deve ser atualizado, a realização de testes assegura a usabilidade dos procedimentos em situações de crises e desastres. É importante que os gestores tenham em mente que procedimentos testados garantem a eficiência de sua área em situações de anormalidades e, sobretudo, a continuidade dos negócios.

O sistema de gerenciamento de procedimentos deve permitir o planejamento de testes para cada tipo de procedimento, localidade e cenário. O ideal é que o sistema aproveite as bases de procedimentos, previamente separadas por recuperação, gerenciamento e contingência, usando-as para selecionar um plano de testes.

Um plano de testes pode ser executado para um único procedimento operacional ou para um conjunto deles. Devem estar previstos seus relacionamentos, locais de testes, cenários e, principalmente, suas atividades que serão validadas por uma equipe de inspeção e acompanhamento durante a realização dos testes.

ARQUITETURA TECNOLÓGICA

Cada empresa possui uma arquitetura de desenvolvimento adequada a sua realidade financeira, operacional ou gerencial. Independente desta adequação, o sistema deve possibilitar principalmente o acesso via web, de forma que numa situação de crise possa ser acessado através de um browser, em qualquer ambiente com acesso a internet.

Um aspecto importante na escolha da melhor arquitetura para construção de um sistema, deve ser o posicionamento do fornecedor de ferramentas no mercado e as perspectivas de adequação e implementação de novas tecnologias, com padrões abertos e independentes.

Como o sistema deverá ser acessado através de um navegador da internet, e deverá ser disponibilizado para todas as pessoas que fazem parte de um plano de recuperação de desastres ou de gerenciamento de crises, é importante a escolha entre uma aplicação cliente/servidor ou de uma aplicação três camadas.

No ambiente cliente/servidor o sistema é instalado no servidor, mas necessita a instalação em todas as estações de trabalho. Esta arquitetura pode custar caro, caso o fabricante opte por uma política de preços baseada em número de usuários, e pode gerar alguns problemas em relação ao acesso via Web.

No ambiente três camadas, a aplicação roda no servidor, sobre uma camada de aplicação e o acesso pode ser feito através de um navegador, sem a necessidade de instalações adicionais nas estações de trabalho, o que favorece a disseminação do sistema no ambiente corporativo e pode ser implantado independente do número de usuários. Cabe ressaltar que cada fornecedor possui um ambiente de aplicação para ser instalado o sistema de forma particular. A Oracle utiliza o Oracle Application Server, a IBM o Websphere, a Microsoft o Internet Information Server, e assim por diante. Neste caso o sistema deverá rodar sobre uma destas plataformas.

A escolha da melhor arquitetura depende muito da atual tecnologia implantada na empresa e da escolha da melhor estratégia de médio e longo prazo. O mais importante é possibilitar acesso irrestrito através de um navegador de internet e permitir a integração com novas tecnologias como java, SMS – Short Messages Systems e equipamentos móveis, como celulares e hand helds.

Prefácio do Livro: "Continuidade de Negócios Passo a Passo"

noreply@blogger.com (Paulo Ricardo T. Beck) — Mon, 03 Dec 2012 18:55:00 +0000

Prefácio do Livro: Continuidade de Negócios Passo a Passo
Autor: Paulo Beck

A primeira edição deste livro começou a ser escrita logo após o tão previsto evento denominado “bug do milênio”, onde a possibilidade de uma crise generalizada que pudesse afetar a continuidade dos negócios nas empresas foi amplamente difundida, comentada e esperada no mundo inteiro. Aquela versão foi então revisada e atualizada depois de três grandes marcos na história da segurança: a ação terrorista que destruiu o World Trade Center, em setembro de 2001, os escândalos de empresas americanas que motivaram o Ato Sarbanes-Oxley por parte do governo Bush, nos EUA, e o maremoto asiático de 2004.

Apesar deste livro ter sido baseado em necessidades de subsidiárias de companhias internacionais, as ameaças aqui consideradas também fizeram parte do cotidiano de prevenção em países de toda América Latina, Estados Unidos, Europa e Ásia, assim como as melhores práticas sugeridas no livro estão alinhadas aos conceitos de governança corporativa e às publicações de entidas internacionais como DRI (Disaster Recovey Institute), BCI (Business Continuity Institute), BS7799 (British Standard), ISO (ISO17799 e ISO27000), ITIL (Information Technology Infrastructure Library), e COBIT (The Control Objectives for Information and related Technology).

Após os projetos relacionados ao bug do milênio, onde milhões de empresas prepararam computadores, softwares e aplicações para a mudança no dígito 00, do ano 2000, desenvolvendo diversos procedimentos de prevenção, contingência e de recuperação contra desastres, tivemos no mundo outros incidentes com proporções menores, mas não inferiores em termos de ameaça e impacto, e outros maiores, que causaram preocupação na continuidade de negócios.

Os anos 90 marcaram os EUA em termos de custos causados por furacões e seu poder de destruição. Enquanto o Furacão Andrew de 1969 foi o mais poderoso, o Furacão Andrew causou prejuízo de 26 bilhões de dólares e o Furacão Floyd em 1999 ultrapassou este registro em perdas. O furacão Katrina, em 2005, causou prejuízo de 200 bilhões de dólares. Este número era imaginável para os melhores especialistas.

Vírus de computador estão no topo da lista de desastres potenciais feitos pelo homem. Nomes familiares como Melissa, Chernobyl, ExplorZIP, e Klez tem resultado em enormes perdas financeiras a empresas no mundo inteiro. Este tipo de evento vem causando um aumento considerável nos gastos de TI, envolvendo prevenção, proteção e recuperação. Dirigido contra a infra-estrutura de sistemas críticos de empresas de energia, telecomunicações, sistemas de controle de tráfego aéreo, este terrorismo computacional causado por maliciosos programas pode potencialmente ser devastador.

O Brasil, como muitos países tropicais, possui a maior parte da geração de energia vindo de hidrelétricas devido ao clima de toda a região e a freqüência de chuva que ocorre em excesso no verão. Em 2001, o Brasil foi assolado por uma crise de energia causada pela enorme escassez pluvial, o que resultou no racionamento forçado pelo governo, onde residências e empresas tiveram que se adequar a cotas rígidas de gastos de energia, causando um impacto significativo em muitos setores da economia.

A implantação de um novo Sistema de Pagamentos Brasileiro – SPB, que integrou em tempo real todas as transações dos bancos que participavam do sistema financeiro no Brasil, representou uma grave ameaça as instituições que não estivessem adequadas, onde uma parada na operação do sistema podia resultar na parada operacional e na conseqüente perda financeira.

Porém, nenhum deles teve o impacto do desastre nas torres gêmeas do WTC de Nova York, ocorrido em 11 de setembro de 2001, onde a visão e o impacto do boeing-767, da American Airlines, colidindo com as torres gêmeas do complexo, sua posterior destruição, o desespero das pessoas, os prejuízos nas empresas e na infra-estrutura ficarão na mente de muitas gerações, no mundo inteiro. Foi considerado o maior incidente de terrorismo ocorrido no mundo.

O processo de acomodação das placas tectônicas por sua vez não deu trégua para a humanidade. O Tsunami ocorrido na Ásia no dia 27 de dezembro de 2004 foi mais forte do que qualquer cientista poderia prever, onde a onda gerada pelo movimento das camadas da terra deslocou-se a velocidade de um jato, deixando 38 mil mortos somente no Siri Lanka, sendo 40% crianças. Quando as águas alcançaram os trilhos de um trem lotado deixaram mais de 800 mortos. Na Thailândia foram 8 mil mortos e 200 só na Somália.

A tecnologia tem acompanhado diversos destes movimentos, sendo considerado um importante mecanismo de prevenção. No Havaí, bóias ancoradas no Pacífico transmitem por satélite as informações coletadas, num poderoso modelo digital para prever trajétos de Tsunamis, já que uma onda do Alaska leva 6 horas para chegar no Havaí. Um satélite da NASA estava no momento exato do Tsunami de 2004, registrando elevações de 30cm, cuja energia se extenderia por 3km na costa. Tudo isto para salvar vidas. Na Ásia não existe ainda nenhum mecanismo de prevenção desta natureza. O Tsunami de 2004 foi um alerta. Atualmente 13 países estudam moldes semelhantes para prever qualquer desastre. O legado do maremoto asiático está contribuindo para a implementação de um sistema de prevenção, não apenas no Oceano Índico, mas também na bacia do Atlântico e Caribe, conseqüentemente aumentando drasticamente os prováveis índices de sobrevivência no futuro.

Interessante são as informações fornecidas por Bill McGuire, professor de riscos geofísicos da University College London e membro do grupo de trabalho de riscos naturais do governo inglês. Autor do livro "Surviving Armageddon: Solutions for a Threatened Planet" (Sobrevivendo ao Armageddon: Soluções para um Planeta Ameaçado), publicado em Junho de 2005, Mc Guire aponta que fenômenos geofísicos bem mais letais e destrutivos que o maremoto asiático estão a caminho, conhecidos como eventos geofísicos globais (GGE’s – Global Geophysical Events).

Super-erupções vulcânicas, impactos de asteróide ou cometa e maremotos grandes o bastante para tornar pequeno o maremoto asiático já deixaram sua marca na superfície do nosso planeta durante seus 4,6 bilhões de anos de história, e eles não vão deixar de acontecer apenas porque entramos em um mundo moderno, repleto de descobertas e avanços científicos e tecnológicos.

Em termos de prejuízo financeiro, se o maremoto estivesse ocorrido no Atlântico teria sido devastador em cidades grandes da américa do norte e Europa, mas no oceano indico as perdas econômicas foram consideradas em 13 bilhões de dólares, o que é muito pouco comparado com os 200 bilhões de dólares do furacão Katrina.

Em termos de eventos extremos – impactos de asteróides, que tem uma frequência de centenas de milhares de anos, super erupções vulcânicas, que ocorrem a cada 50 mil anos, e tsunamis gigantes – muito maior do que o Tsunâmi Indico – que podem ocorrer com o colapso de ilhas vulcânicas do aceano a cada 10 mil anos, que seriam realmente devastadores e impactantes, a mais eminente e que exerce maior pressão é a projeção do próximo grande terremoto a atingir o coração de Tóquio. Com mais de 30 milhões de habitantes afetados, este seria qualificado como um GGE de grande magnitude, porque quando ele ocorrer, previsto para o próximo século ou em dois, estão previstas perdas de 3 trilhões de dólares, com consequências devastadoras para a economia global – quebrando o sistema econômico e afetando o mundo inteiro. Eles tem enormes terremotos que ocorrem a cada pares de 100 anos e o último ocorreu em 1923.

Além disso, eventos perigosos associados à mudança climática provocada pelos seres humanos podem piorar ainda mais as coisas. Ela é absolutamente crítica, mesmo se consigamos cortar a emissão de gáses, porque as temperaturas estão sendo elevadas a séculos e o nível do oceano estão aumentando a centenas de anos. Os efeitos são apavorantes. No topo da lista está uma desaceleração ou paralisação da Corrente do Golfo e correntes oceânicas associadas, levando a invernos mais rigorosos na Europa e no leste da América do Norte; e um rápido aumento no nível dos oceanos em resposta ao derretimento catastrófico de um ou ambos lençóis de gelo da Groenlândia e do oeste da Antártida.

Se acontecer, nós teremos que nos adaptar da melhor forma possível, modificando nossa energia, transporte, agricultura e políticas de saúde para lidar com invernos mais rigorosos e estações de plantio mais curtas.

Outro ponto importante neste contexto, é que o homem nunca tirou tanto do meio ambiente como nos últimos cinqüenta anos. O avanço acelerado sobre a natureza, vista pela perspectiva dos avanços relativos de cada civilização, exibe brilho sem igual. A fartura inédita de alimentos, a tecnologia para salvar vidas e colocar foguetes na Lua e a compreensão científica e preventiva dos fenômenos naturais nunca foram maiores. A contrapartida preocupante é a perda acelerada de biodiversidade e a degradação do meio ambiente, a pressão sobre os estoques de água potável, e indícios de mudanças climáticas causadas não somente pela natureza, como também pela ação do homem. O que esse processo mostra é que os recursos naturais podem estar sendo consumidos em velocidade maior que a de reposição do planeta. Há evidências concretas do risco de não sobrar o suficiente para as gerações futuras.

A respeito disso, vale a pena prestar atenção no que diz o americano Jared Diamond. Geógrafo da Universidade da Califórnia, ele é autor de um livro de grande repercussão, Armas, Germes e Aço, lançado em 2001. Nele, explica como fatores ambientais influenciaram a ascensão de muitas civilizações. Mais recentemente, Diamond estudou o declínio e o sucesso de várias sociedades do passado e acredita ter encontrado um padrão na catástrofe: o desastre ambiental provocado por elas foi decisivo no próprio declínio. A queda de um povo nunca é o resultado de um único fator, diz o geógrafo. Ele pode simplesmente ser aniquilado por um invasor poderoso. Outras vezes, o colapso é provocado pela perda de uma conexão vital – um freguês tradicional para seu único produto de exportação, por exemplo. Pode ocorrer uma mudança climática ou um desastre natural. O elemento isolado mais poderoso, contudo, pelo menos nos exemplos estudados, foi a degradação ambiental. Quando a população cresce, em decorrência do sucesso da sociedade, a pressão por alimento se torna excessiva para os recursos naturais. O resultado é a fome, que leva à desagregação social e a guerra civil.

Deixando de lado estes desastres bastante óbvios, onde a estrela principal tem sido eles mesmos: tornados, vulcões, tsunamis, acidentes aéreos e hackers, outras crises e eventos não muito claros surgem no novo cenário, movidas pela nova onda de valorização e desvalorização das empresas em torno da ética empresarial, no que chamamos de governança corporativa.

Pressionadas por exigências legais ou do próprio negócio, companhias do mundo inteiro investem para continuar a funcionar em caso de desastre, acidentes, ataques e panes, estabelecendo níveis aceitáveis de interrupção. Depois dos escândalos em torno de algumas empresas americanas, quanto aos aspectos de ordem financeira, diversos organismos voltados a melhoria da governança entram em cena, e com eles a necessidade de implementação de controles efetivos voltados a segurança e a tecnologia da informação.

O conceito de Segurança e Continuidade de Negócios, como valor agregado ao mundo dos negócios, vem sendo recentemente popularizado por economistas, acionistas, investidores, consultores e executivos, depois de inúmeros incidentes ocorridos no mundo inteiro. Num mundo dinâmico, amplamente baseado em tecnologia e repleto de mudanças organizacionais, um pequeno incidente pode alterar a paisagem do mercado competitivo em que as empresas vivem. Pensando nisto, cada vez mais regulamentações e normativas vem sendo desenvolvidas e levadas ao mercado visando proteger o investimento de acionistas e assegurar a continuidade de negócios nas empresas.

Organizações internacionais como British Standard (BS7799), ISO (ISO17799 e ISO27000), ITIL (IT Infrastructure Library), e COBIT (Control Objectives for Related Information Technology), entre outras, há muito tempo vem motivando corporações a adequarem-se as normas e padrões de mercado, no que chamamos “Melhores Práticas” e “Governança Corporativa e de TI”, contemplando em suas seções as disciplinas de Segurança, Análise de Riscos e Continuidade de Negócios.

Outro fator importante por trás do aumento dos investimentos em planos de continuidade de negócios no mundo é a exposição de um grande número de empresas a novos regulamentos e normas internacionais, como o Acordo Basiléia II e a lei norte-americana de responsabilidade corporativa Sarbanes-Oxley (SOX).

A entidade americana Securities And Exchange Comission – SEC, emitiu regulamentação relativa a prática de “Business Continuity and Contingency Planning”, para empresas que tenham ações na Bolsa de Valores de Nova Iorque (“NYSE” – New York Stock Exchange), exigindo que “os membros afiliados precisam desenvolver e manter um plano de continuidade de negócios escrito, com procedimentos a serem seguidos no caso de uma emergência ou significativa parada operacional. Os membros precisam disponibilizar os planos para aprovação da NYSE…”.

A prática de Análise de Riscos é bastante mencionada nas seções do Ato Sarbanes-Oxley, assinado pelo presidente dos EUA, George W. Bush, movida principalmente pelos prejuízos causados pelos casos Enron e Arthur Andersen. Basicamente o Ato obriga o atendimento imediato as exigências de Governança Corporativa, Compliance e Controles Internos, onde os executivos devem possuir “…bom entendimento dos principais riscos da organização e controle dos negócios”.

O Banco Central do Brasil recentemente emitiu a resolução 3380, determinando as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil a implementação de estrutura de gerenciamento do risco operacional.

Enquanto muitas entidades e agências nacionais reguladoras de mercado exigem das empresas prestadoras de serviços públicos a elaboração de Planos de Contingência ou de Continuidade de Negócios, governos de diversos países votam leis de responsabilidade corporativa, causando uma série de debates em torno da questão relacionada a responsabilidades dos dirigentes. Uma área que recebeu muita atenção foi a importância da due diligence na análise do crime de gestão temerária em que poderiam incorrer seus dirigentes por não realizar ou negligenciar atividades voltadas para a mitigação de incidentes. É mandatário que o negócio, sabendo que a potencialidade de uma situação de perigo exista, realize passos e atividades para retificar a situação ou mitigar suas conseqüências. Isto ocorre em casos onde normativas ou mandatos legislativos requerem o planejamento da recuperação de desastres e os testes destes planos (no setor financeiro, por exemplo). De fato acionistas e consumidores podem ficar receosos se um evento venha causar impacto nos negócios ou interrupções na operação normal por algum período de tempo.

Se por um lado dirigentes e gestores de segurança estão cada vez mais preocupados com os acontecimentos do mundo inteiro, onde o atraso de alguns minutos na operação resulta em enormes perdas financeiras, por outro lado, para especialistas de segurança, estes eventos tem resultado em uma grande oportunidade. Esta relação simbiótica permite a crescente oferta e procura por ferramentas de gestão de incidentes e metodologias associadas à gestão do risco.

Um plano bem desenvolvido gera proteção contra uma variedade de ameaças, problemas, incidentes, crises e desastres, mesmo que ocorram em diferentes cenários. O controle dos incidentes, sua localização e o contínuo enfoque na disponibilidade de ativos garante a continuidade e a manutenção dos processos que geram negócios.

Qualquer revolução [...] começa com algum ato definido, freqüentemente destinado a purificar práticas corruptas e restaurar aquilo que algum radical conservador imagina ser um estado de coisas prístino.

CHARLES C. GILLISPIE
The edge of objectivity (1960)

Análise e Gestão de Riscos

noreply@blogger.com (Paulo Ricardo T. Beck) — Tue, 06 Nov 2012 19:34:00 +0000

Atendimento a normativas e regulamentações visam uma boa governança de TI. Análise e gestão de riscos é mandatório. Sua empresa está preparada?
GESTÃO DE RISCOS

Muito antes do mundo dos negócios se comportar num mundo globalizado, as pessoas já tinham uma noção da complexidade do inter-relacionamento entre processos de negócios e infra-estrutura nos diferentes ecossistemas corporativos e dos efeitos do clima, da topografia e de outros fatores ambientais sobre a sobrevivência das empresas. Como fazer negócios em diversos continentes pressupõe por sí só alguns riscos, consultorias especializadas em recuperação de desastres expandiram essa noção de sobrevivência para conceitos de continuidade de negócios.

Ao mesmo tempo em que especialistas estavam reunindo informações que nos permitiram acompanhar a consistência, freqüência e cenários de ameaças, novos indícios de contingência e recuperação estavam emergindo para explicar uma causa espantosa e antes desconhecida para muitas dessas ameaças e pressões ambientais externas que desencadeiam a necessidade de proteção para os negócios. Manter-se operacional no mercado significa operar com menos riscos e para isto temos que, no mínimo, conhecê-los.

O entendimento da criticidade de um ambiente de TI vai além do simples apontamento de vulnerabilidades, é um trabalho que exige a sistemática classificação dos ativos, associados a uma matriz que analisa as ameaças, os impactos e a existência de controles para diminuir a janela de vulnerabilidade apresentada.

A Análise de Riscos identifica as ameaças mais prováveis de ocorrência, analisando as vulnerabilidades encontradas na organização e possibilitando a tomada de decisão em relação aos riscos principais. Conhecendo os riscos principais pode-se tomar uma das seguintes medidas: Eliminá-los, Minimizá-los, Compartilhá-los ou Assumí-los.

Conhecer e entender o relacionamento entre processos e ativos é fator de sucesso crítico e decisivo no processo de segurança da Informação. A metodologia pode ser dividida em três partes: reconhecimento (todas as informações sobre o ativo devem ser coletadas), análise (devem ser identificados os relacionamentos existentes) e classificação (baseada na verificação das ameaças, impactos, controles e riscos de cada ativo).

O objetivo primário na recuperação de desastres é garantir a proteção dos ativos críticos frente a determinadas ameaças. Uma ameaça em potencial afeta diretamente aqueles ativos que estão mais expostos, e esta exposição é medida pelo grau de vulnerabilidade aquelas ameaças principais. Neste contexto, a análise de riscos entra em cena. Cada área funcional da organização deve ser analisada para determinar o risco potencial e o impacto relacionado a vários desastres ou ameaças, o que chamamos processo de análise de riscos.

BUSCANDO UM MODELO DE ANÁLISE DE RISCOS

Existem diversas técnicas e métodos de análise de riscos, sendo impossível determinar qual o método mais eficiente, uma vez que qualquer forma de detectar riscos enquadra-se na teoria de análise. Como a idéia não é comparar metodologias, o objetivo desta seção é o de demonstrar para o leitor de uma forma didática os aspectos mais importantes e os principais conceitos e dados que devem ser levados em conta no decorrer das atividades de análise de riscos.

Antes de se buscar um modelo de referência, para se obter uma análise profunda do risco, deve-se entender a fórmula que o determina. O risco deve ser calculado pela multiplicação da vulnerabilidade pela importância. Isto significa que quanto mais vulnerável um determinado processo e mais importante sua função no ambiente de negócios, ou quanto mais vulnerável um ativo e mais importante os processos por ele suportados, maior o seu risco e maiores são os investimentos que devem ser norteados a fim de minimizar esta janela de vulnerabilidade.

Desta forma, três diferentes visões temos que obter do cenário de negócios que a empresa está operando. Primeiramente, temos que entender a probabilidade real de ocorrência de ameaças ou incidentes neste ambiente formado por negócios e infra-estrutura. Em seguida, temos que analisar o grau de exposição que este ambiente apresenta frente aquelas principais e prováveis ameaças. Finalmente, temos que classificar a extensão do impacto ou prejuízo eventualmente causado, após determinada ocorrência.

Temos então três classificações importantes na análise de riscos:

1. Probabilidade de Ocorrência, sob a ótica das Ameaças;
2. Grau de exposição, sob a ótica dos Ativos e Vulnerabilidades;
3. Probabilidade de Impacto, sob a ótica dos Prejuízos.

Embora a natureza exata de desastres potenciais ou as conseqüências resultantes deles seja difícil determinar, é benéfico executar uma taxa de risco em todas as ameaças com probabilidade de ocorrência na organização. Independente do tipo de ameaça, o objetivo das metas de recuperação planejadas é assegurar a segurança de clientes, pessoas e informações durante e depois de um desastre.

O processo de análise de risco sustenta todo o esforço para a recuperação de desastres e continuidade de negócios. Pode haver terminologias e diferenças de definição relacionadas à análise de riscos, grau de risco e análise de impacto de negócio. Embora várias definições são possíveis e podem sobrepor, para propósitos deste artigo consideramos as definições seguintes:

Análise de Vulnerabilidade de Ativos: A Análise da Vulnerabilidade está relacionada com a análise do grau de exposição e de suficiência da segurança física, ambiental e de controles, diante da probabilidade de ocorrência de ameaças potenciais da organização;
Avaliação de Riscos de Ativos (Risk Assessment): O processo de avaliação de riscos de ativos tem como objetivo principal comparar as vulnerabilidades de ativos, em uma determinada localidade, com os impactos de parada nos processos de negócios suportados. Estes dados são levantados através de entrevistas ou workshop com os principais gestores destes ativos e dos processos associados.
Análise de Impacto nos Negócios (BIA – Business Impact Analysis): A Análise de Impacto nos Negócios envolve a identificação das funções empresariais críticas dentro da organização, determinando o impacto corporativo de não executar esta função de negócios além de um limite de autonomia aceitável;
Avaliação dos Custos de Parada em TI: A avaliação dos custos de parada em TI tem como objetivo principal avaliar os impactos financeiros através do cálculo dos eventuais custos causados por uma falha, interrupção ou parada operacional na infra-estrutura tecnológica da empresa.

A AVALIAÇÃO PRELIMINAR DO AMBIENTE

O primeiro passo no processo de análise de riscos é a identificação preliminar do ambiente que suporta os negócios, onde uma análise criteriosa de toda a infra-estrutura deve ser realizada. Esta análise pode ser iniciada pela abordagem de uma inspeção física, seguindo-se pelo mapeamento dos processos de negócios, dos ativos que o suportam, das ameaças de cada localidade e dos controles existentes para garantir um ambiente seguro e protegido.

De uma forma geral, os processos de negócios vitais para a organização devem ser identificados e associados com os prinicpais ativos e serviços, que passam a ser considerados de missão-crítica, especificando quão rápido esses serviços precisam estar disponíveis de forma que o negócio não seja interrompido severamente.

Basicamente, uma avaliação preliminar de ambiente é realizada in-loco e seguida de vistorias e entrevistas com os principais gestores de ativos e de processos de negócios, contemplando as seguintes atividades:

• Inspeção física do ambiente
• Identificação de processos de negócios
• Identificação de ativos
• Identificação de ameaças
• Identificação de impactos

ANÁLISE DE VULNERABILIDADES

A análise de vulnerabilidade está totalmente voltada para os ativos, pois são eles que estão expostos a determinadas ameaças. Assim que uma ameaça encontra uma janela de vulnerabilidade atinge o ativo exposto, causando falhas e interrupções.

Neste sentido, a vulnerabilidade é calculada pela multiplicação da probabilidade de ocorrência de ameaças (0 – 5), demonstrada na seção anterior, pelo grau de exposição dos ativos (0 – 5), conforme veremos nesta seção.

O grau de exposição, sob a ótica das Vulnerabilidades

Cada um dos ativos identificados na fase inicial deve ser analisado quanto a sua exposição a uma série de ameaças previamente identificadas em cada uma das localidades, e que possuem uma probabilidade de ocorrência definida.

Para cada ameaça identificada e medida quanto a sua probabilidade de ocorrência, devemos medir o respectivo grau de exposição do ativo, que também poderá ser feito em 5 classificações.

Na medida em que efetuamos o cruzamento entre probabilidade de ocorrência e grau de exposição à ameaças, notamos uma probabilidade única de ocorrência para cada ameaça identificada em determinada localidade, e um grau específico de exposição à esta ameaça para cada ativo ou grupo de ativos.

Desta forma, teremos para cada ativo ou grupo de ativo a relação de ameaças, com a sua probabilidade de ocorrência em determinada localidade, seu grau de exposição à estas ameaças, e um valor final de vulnerabilidade onde podemos classificar o ativo em conformidade com a tabela acima.

Como resultado final da vulnerabilidade, teremos um resultado específico de probabilidade de ocorrência para cada ameaça localizada em determinada localidade, e diferentes graus de exposição a estas ameaças em diversos ativos.

Para certas suposições pode ser necessário aplicar avaliações uniformes para cada ameaça potencial. Abaixo segue alguns critérios que podem ser usados durante o processo de análise da taxa de risco:

1. Embora avaliações de extensões de impacto possam variar entre 1 e 5 para qualquer facilidade, dado um jogo específico de circunstâncias, avaliações aplicadas devem refletir antecipadamente o provável ou esperado impacto em cada área.
2. Deve ser assumido que cada ameaça potencial seja “localizada” para a facilidade que é avaliada.
3. Embora uma ameaça potencial possa conduzir a outra ameaça potencial (por exemplo, um pequeno incêndio poderia desencadear outros incêndios), nenhum efeito dominó deve ser assumido.
4. Se o resultado da ameaça não cause movimento a um site alternativo, nenhum impacto deve ser taxado maior do que um “2.”
5. A taxa de risco deve ser executada por facilidade. Para medir os riscos potenciais, deve ser usado um ponto de peso que taxa o sistema.

Calcular a vulnerabilidade não é o suficiente, temos que ainda definir a importância dos processos de negócios sob a ótica da importância e dos danos.

ANÁLISE DE IMPACTO NOS NEGÓCIOS

A análise de riscos está muito ligada ao impacto nos negócios, e sua abordagem deverá identificar os sistemas de missão-crítica e os processos de negócios que são vitais para a organização, especificando quão rápidos esses sistemas e processos precisam estar disponíveis de forma que o negócio não seja interrompido severamente.

Isto significa que o time de consultores precisará sair e entrevistar pessoas em muitos departamentos diferentes. Operações, vendas, marketing, contabilidade e recursos humanos são alguns exemplos de departamentos que confiam em computadores e de quem determinadas funções paralisadas podem afetar as funções críticas da corporação.

Outros departamentos, dentro de uma companhia específica, também precisarão ser identificados. A administração sênior também deve ser entrevistada para determinar quais departamentos dentro da companhia podem impactar estratégias empresariais globais severamente.

Geralmente a análise de impacto empresarial produzirá um gráfico com elementos para a administração, demonstrando que os impactos causados por interrupção crescem exponencialmente com o passar do tempo. Reciprocamente, o custo de recuperação diminuirá com o tempo. Um equilíbrio deve ser achado entre o custo de um desastre potencial e o custo de recuperação.

Diversos tipos de critérios podem ser usados para avaliar o impacto de uma falha ou interrupção na infra-estrutura que suporta os principais processos de negócios como: parada no atendimento aos consumidores, atraso na produção ou na entrega de produtos, impedimento de execução de operações internas, como faturamento e processamento da folha de pagamento, e diversos outros de origem legal/estatutária, administrativa ou financeira.

As análises finais devem ser qualitativas e quantitativas. A maioria dos negócios depende pesadamente de tecnologia e de sistemas automatizados, e o seu rompimento durante até mesmo algumas horas pode causar uma perda financeira severa e ameaçar a sobrevivência da empresa. As operações continuadas de uma organização dependem da consciência de administração de desastres potenciais, na sua habilidade para desenvolver um plano para minimizar rompimentos de missão e funções críticas, e a capacidade para recuperar operações em seu expediente. O processo de análise de risco provê a fundação para a recuperação inteira que se planeja esforço.

A importância, sob a ótica do prejuízo aos negócios

Se o cálculo do risco é obtido pela multiplicação da vulnerabilidade encontrada em determinado ambiente de negócios pela sua importância, em termos de impacto ou prejuízo para os negócios, isto significa que, um determinado processo que esteja apontado como altamente vulnerável a uma determinada ameaça, e possui a probabilidade de ocasionar sérios prejuízos a empresa, no caso de uma parada, o que o torna importante sob o ponto de vista do prejuízo operacional, é definido como de alto risco ou alta criticidade.

Diferente daqueles processos que, embora possam estar alocados em um quadrante de alta vulnerabilidade, apresentam pequenos impactos financeiros, operacionais ou estratégicos para a empresa, no caso de uma parada operacional, sendo considerados de baixo risco ou de baixa criticidade.

O leitor poderá entender que determinados processos, sob o ponto de vista desta avaliação, podem ser definidos como de alto risco mais pelo impacto causado a empresa, no caso de uma parada operacional, do que propriamente pela vulnerabilidade dos ativos que o suportam frente a determinadas ameaças.

Na medida em que conseguimos definir diferentes taxas de riscos, podemos criar um ranking de todos os processos de negócios. Daquele que apresenta maior risco até o que se identifica sob nenhum risco á operação da empresa. A criticidade será configurada entre os processos de maior risco e, obviamente, entre os ativos de infra-estrutura que os suportam.

Como vimos nas seções anteriores, a importância de um processo de negócio está vinculada ao pressuposto da necessidade de continuidade de negócios. Um processo é classificado então como importante, quando entendemos que uma eventual parada operacional poderá causar algum tipo severo de prejuízo a empresa, seja operacional, financeiro, institucional ou estratégico.

Desta forma, teremos uma coluna com a severidade de todos os possíveis impactos corporativos. E outra coluna com a sensibilidade das diferentes probabilidades a estes impactos, entre todos os processos de negócios selecionados.

Como resultado final da importância, teremos uma taxa específica para cada impacto corporativo em quaisquer localidades, devidamente homologado pelos dirigentes da empresa, e diversas taxas de probabilidade de impacto em cada processo de negócios.

Para se obter uma medida específica, ao ponto de determinar o nível de importância, devemos utilizar uma tabela crescente onde temos um intervalo do baixo impacto ao muito alto. A idéia é criar numa tabela uma pontuação de forma que cada processo de negócios possa ser medido e classificado em ordem de importância.

Na medida em que efetuamos o cruzamento entre a severidade corporativa dos impactos cadastrados na fase de identificação de impactos e sensibilidade de cada processo à falhas de ativos, notamos uma sensibilidade única de ocorrência para cada impacto corporativo identificado, e um grau específico de sensibilidade à este impacto para cada processo de negócios.

Desta forma, teremos para cada processo de negócios uma relação de impactos, com a sua sensibilidade, seu grau de sensibilidade à estes impactos, e um valor final de importância onde podemos classificar o processo de negócio em conformidade com a tabela acima.

Uma vez que selecionamos os principais processos de negócios da empresa, compreendendo através de um bom inventário quais os ativos de infra-estrutura que o suportam, passamos então a aplicar a fórmula da vulnerabilidade versus a importância para definirmos o diferente grau de risco entre estes processos.

Como notamos que o cálculo desta importância afeta diretamente o cálculo da criticidade ou da matriz de risco da empresa, uma vez que devemos multiplicar a taxa final desta importância pela sua vulnerabilidade para se obter o seu risco real para os negócios, devemos inicialmente criar uma tabela de possíveis impactos corporativos e taxar cada um destes impactos (0 – 5).

Logo, com a mesma tabela dos processos de negócios, selecionados na fase da análise de vulnerabilidade, devemos definir uma taxa de probabilidade de impacto (0 – 5) para cada processo, ou seja, cada processo de negócio terá uma avaliação final com um somatório de impactos causados a empresa, no caso de uma eventual parada operacional, motivado por uma falha ou interrupção na infra-estrutura que o suporta.

Se a probabilidade de enchentes é considerada alta (5 pontos) para uma determinada localidade (indicando que um movimento para alternar instalações seja requerido), cada ativo deverá ser analisado quanto ao seu grau de exposição a esta ameaça. Um ativo que funciona com uma infra-estrutura que pode ser facilmente abalada em caso de enchentes seria classificado com fator 5 (5 x 5), para esta ameaça.

Em seguida multiplica-se este valor pelo peso atribuído para cada diferente prejuízo definido e mensurado pela companhia. Por exemplo, se a falha ou interrupção de um processo de negócios, suportado por aquele ativo, pode acarretar prejuízo financeiro de nível 20 (pelo somatório de todos os possíveis impactos corporativos), então o peso final da taxa de risco será 500 (20 X 25), para este processo, naquela localidade e para esta ameaça.

Na medida em que temos outros pesos para outras ameaças, temos então uma variedade de somatórios determinantes para se obter o grau de vulnerabilidade e o grau de importância, definindo-se então diferentes graus de riscos, que chamamos de matriz de criticidade.

Baseado neste método de avaliação, ameaças que possuem o maior risco (por exemplo, 4 pontos ou mais) podem ser identificadas com facilidade e a partir deste dado, formar um escopo de ativos para ser analisado e direcionado esforços para os processos de negócios por eles suportados.

Considerações analisando risco incluem:

1. Investigar a freqüência de tipos particulares de desastres (freqüentemente contra raramente).
2. Determinar o grau de previsibilidade do desastre.
3. Analisar a velocidade de ocorrência do desastre (súbito contra gradual).
4. Determinar a quantia de prevenção associada com o desastre.
5. Calcular a duração do desastre.
6. Considerar o impacto de um desastre baseado em dois enredos:
a. São destruídos registros vitais;
b. Não são destruídos registros vitais.
7. Identificar as conseqüências de um desastre, como:
a. Indisponibilidade de pessoal;
b. Danos pessoais;
c. Perda de capacidade operacional;
d. Perda de recursos;
e. Dano de facilidade.
8. Determinar a necessidade e os níveis de redundância exigidos ao longo da organização para acomodar sistemas críticos e funções, incluindo:
a. Hardware;
b. Informação;
c. Comunicação;
d. Pessoal;
e. Serviços.
9. Perda financeira potencial calculando:
a. Aumento no custo operacional;
b. Perda de oportunidades empresariais;
c. Perda de captação de administração financeira;
d. Perda de recursos;
e. Cobertura de mídia negativa;
f. Perda de confiança de acionista;
g. Perda de benevolência
h. Perda de renda
i. Perda de extremidade competitiva
j. Ações legais.
10. Perdas potenciais calculadas para cada função empresarial baseado no impacto financeiro e de serviços, e a duração de tempo que a organização pode operar sem esta função de negócio. O impacto de um desastre relacionado a uma função empresarial depende do tipo de interrupção que acontece e o tempo que decorre antes das operações normais serem retomadas.
11. Determinar o custo de planejamento de contingência ou de prevenção de desastres (porque uma meta de recuperação de negócios é assegurar a segurança de pessoal e recursos durante e depois de um desastre). Um aspecto crítico do processo de análise de risco é identificar o grau de preparação e de medidas preventivas por localização, ao invés de em qualquer ponto.

ANÁLISE DOS CUSTOS DE PARADA

O leitor pode entender que até esta seção conseguimos analisar os conceitos de “população” e “amostragem”, onde foi demonstrado através de uma análise qualitativa a importância da classificação dos processos de negócios, do mais crítico ao menos crítico. Se na análise de riscos temos o conceito da qualificação, na avaliação de riscos o que se busca é a análise quantitativa, das probabilidades de perdas e impactos definidos previamente.

Para os processos considerados críticos, deve se determinar o impacto financeiro para a empresa no caso de uma parada operacional e para isto é fundamental o entendimento do funcionamento de cada processo crítico, e sua relação com a cadeia de valores da empresa e com os dados e informações financeiras.

O levantamento das informações pode ser realizado através de entrevistas com o gestor do processo de negócio e, após a compreensão do seu funcionamento, algumas perguntas podem ser feitas, como:

• Por quanto tempo o processo pode ficar operacional, numa situação de contingência, até que os ativos voltem após um incidente?
• Apartir deste tempo, quais são os impactos financeiros que podem ser causados em função desta indisponibilidade do processo?
• Qual a relação do processo com o faturamento, pagamentos de contas, multas contratuais, recuperação de créditos, recebimento de clientes e outros aspectos financeiros?

Uma boa forma de entendimendo do impacto financeiro é a análise contábil da empresa e os dados gerados pelos aplicativos administrativos e financeiros da empresa. Por exemplo, no caso de uma empresa que possui um sistema de recuperação de crédito, aqui considerado o processo de negócios de uma unidade de recuperação de créditos, não ficaria muito difícil obter o impacto financeiro de uma paralisação no sistema que o suporta. Recomendamos inicialmente buscar o entendimento do processo com o gestor, a quantidade de créditos recuperados mensalmente no sistema específico e aí entender o impacto em intervalos de tempos.

ANÁLISE DE TEMPOS E DISPONIBILIDADE DOS ATIVOS

Em meio à recuperação de diversos tipos de desastres, uma situação bastante comum entre os prejudicados é o sentimento de culpa, em função da falta de atenção aos quesitos de proteção e disponibilidade da infra-estrutura, normalmente danificada por um determinado evento. Neste contexto, existem muitas coisas na vida que não podemos controlar. Até recentemente, pensávamos que uma delas era a Mãe Natureza. Agora, no século 21, temos que incluir terrorismo, guerra cibernética e outros mais. A boa notícia, entretanto, na onda do 11 de Setembro, é que a tecnologia e os serviços existem para assegurar a disponibilidade de informações de ambos desastres, naturais e feitos pelo homem.

Esta seção irá prover ao leitor uma visão geral do processo de continuidade de negócios sob a ótica dos tempos de disponibilidade dos ativos que suportam as operações da empresa. A Análise da Disponibilidade de Ativos é parte integrante da Análise de Riscos e tem um papel fundamental na análise de vulnerabilidades, uma vez que pode informar graficamente a criticidade de ativos que suportam os principais processos de negócios da empresa, e determinar elementos importantes para a gestão de níveis de serviços (SLA – Service Level Agreement).

Atualmente, as empresas estão cada vez mais dependentes da tecnologia para suportar, operar e gerir seus negócios. Uma parada operacional em um servidor de médio porte pode significar graves prejuízos operacionais, financeiros ou estratégicos. Desta forma, garantindo a alta disponibilidade dos ativos estaremos garantindo a continuidade dos negócios.

Cada parada ou falha em determinado componente afeta diretamente outros ativos e processos de negócios por eles suportados. Mais tarde, quando tivermos elaborando e descrevendo procedimentos de gestão de crises, se faz importante entender esta integração, para rapidamente direcionar esforços para a gestão dos procedimentos de contingências dos processos de negócios e de recuperação de desastres dos ativos.

CONCLUSÃO DA ANÁLISE DE RISCOS

O processo de análise de risco é um aspecto importante no planejamento da continuidade dos negócios e da recuperação empresarial. Fazer negócios pressupõe riscos, mas a analogia de que quanto maiores os riscos maiores são os lucros, aplicam-se também aos prejuízos. A probabilidade de ocorrência de um desastre numa organização é altamente incerta e os fatores de proteção estão altamente associados ao lucro. Este é um ciclo que não pode ser renegado pelos administradores.

Um plano de continuidade de negócios e de recuperação empresarial é semelhante a um seguro de obrigação. Provê um certo nível de conforto ao administrador e aos acionistas saber que se uma catástrofe principal acontece, não resultará em desastre financeiro para a organização.

Assegurar a disponibilidade contínua de recursos críticos e continuidade de operações só é possível quando se conhece suas vulnerabilidades e o seu grau de exposição frente determinadas ameaças. A análise de riscos é fator primordial no conhecimento das vulnerabilidades e dos impactos nos negócios, norteando os esforços necessários no desenvolvimento de procedimentos efetivos, mensurando recursos necessários e locais alternativos de processamento, suporte e operação.

Treinamento e Conscientização da Continuidade de Negócios

noreply@blogger.com (Paulo Ricardo T. Beck) — Sat, 20 Oct 2012 00:51:00 +0000

Uma GCN efetiva ajuda as organizações a aumentar sua resiliência e proteger seus empregados, ativos e processos de negócios.

Muitos planos da GCN falham devido a falta de treinamento e conscientização dentro da organização. Logo, é importante assegurar que a organização considere business continuity em todas suas atividades.

Cultivando uma conscientização coletiva.

Cultivar um entendimento e conscientização no staff é fundamental para a efetividade da GCN – isto é um elemento chave dentro da BS 25999. Entretanto, isto permanence como um desafio para muitas organizações, principalmente para as mais complexas com alto volume de staff, múltiplas localidades e diferentes culturas para influenciar.

Gerentes locais da GCN não devem tomar decisões rápidas para replicar internamente programas de treinamento e conscientização sem avaliação e análise preliminar do ambiente. Um programa como este precisa ser único para toda organização, endereçando todos os componentes da GCN, como análise de riscos, gerenciamento de crises, planos de comunicação, procedimentos de contingência e recuperação de ativos, e atividades de ongoing, como atualização e monitoramento.

Aqui estão alguns elementos simples para aludar os planejadores da GCN a construir e nutrir uma conscientização da continuidade de negócios para toda a organização:

Use terceiros, como consultores, auditores e clientes para ajudar a mostrar a importância do planejamento da continuidade de negócios;
Mostre como seus concorrentes estão construindo os programas de continuidade de negócios;
Use o programa para gerar publicidade para a organização. Divulgue testes e exercícios para a mídia e comunidade local, para mostrar que sua organização tem compromisso com as operações de negócio;
Use um sistema de notificação de emergência, como o XCORP Mobile para anunciar mudanças ou benefícios ou distribuição de procedimentos e testes;
Use eventos atuais para ressaltar a importância da GCN ou do PCN. Notícias sobre empresas que conseguem dar continuidade aos negócios após rompimentos ou incidentes graves são uma grande fonte para isso.

Para aqueles que querem se envolver internamente:

Faça PCN ou GCN parte da descrição de vagas para gerentes de unidade de negócios e assegure que esteja incluída no processo de revisão anual. Por exemplo, uma grande empresa farmacêutica estava tendo problemas com auditoria de BCP. Eles adicionaram Business Continuity dentro das revisões de performance e os planos ficaram prontos e completos no tempo certo e com uma boa organização e desenvolvimento. Isto também promoveu debates entre os funcionários e seus gerentes, e com outros departamentos, e ações de sensibilização e conscientização para toda a organização.
Mencione o plano em publicações internas frequentemente;
Torne os exercícios de testes divertidos e sempre traga comida. O conceito "lunch and learn" ajuda a manter um clima adequado para um aculturamento de toda a organização;
Peça ajuda ao departamento de marketing na produção de brindes que ressaltam a importância do PCN. Kits para desastres ou crises são uma grande idéia.
Eventos sociais - crie alguma idéia que ao mesmo tempo que eles queiram atender eles temem;
Instrua os funcionários sobre prevenção de incidentes que podem ocorrer no trabalho e sobre outros que podem ocorrer em casa.

Outras idéias que podem ajudar a gerar apoio e sensibilização em toda a empresa incluem:

Proporcione reconhecimento público de realizações pessoais no PCN ou na GCN. Tem alguém em sua empresa que desenvolveu com sucesso a construção de um plano, ou se envolveu mais do que outros?
Use as ferramentas de continuidade de negócio para outros fins, para gerar familiaridade e conforto. Por exemplo, várias empresas têm utilizado o BIA para classificar processos críticos dentro de um projeto específico, como a Nota Fiscal eletrônica;
Inclua artigos sobre BCP em revistas de sua organização e também na sua intranet. Uma empresa de energia assegurou que um link com o Software XCORP iContingency estava em cada página de departamento na intranet corporativa;
Faça do treinamento de continuidade de negócios parte de orientações e imersões das novas contratações de empregados;
Promova passeios para empregados até o datacenter secundário;
Patrocine um evento de BCP interno ou externo. Algumas empresas de consultoria levam clientes a eventos como o DRJ, outras enviam seus próprios funcionários.

Onde está o valor agregado?

Programas de treinamento e conscientização da continuidade de negócio tem o potencial de agregar valor para toda a organização. Um programa efetivo de treinamento e conscientização está correlacionado com a habilidade da empresa em se recuperar de forma efetiva depois de uma crise ou desastre, assegurando a continuidade dos seus negócios dentro dos tempos pré-definidos. Sua empresa rodando como sempre. Para sempre.

Planos de Contingência e Recuperação - BCP/DRP

noreply@blogger.com (Paulo Ricardo T. Beck) — Thu, 13 Oct 2011 00:32:00 +0000

QUESTÃO POPULAR: UM PLANO DE CONTINUIDADE DE NEGÓCIOS É EFETIVO?

Para saber o quanto um plano de continuidade de negócios pode ser efetivo é preciso estabelecer sua abrangência, escopo e entender sua cobertura entre as diversas atividades e processos de negócios da empresa. Os funcionários precisam saber o que, quando e como fazer, se seu local de trabalho for evacuado ou destruído durante uma crise. Para isto é necessário estabelecer diferentes cenários de crise e documentar os procedimentos para cada cenário diferente. O plano precisa conhecer a importância de estabelecer interfaces específicas, canal de informações, relacionamento com provedores e necessidade de recursos.

SOBRE GESTORES QUE PARTICIPAM DO TIME DE RECUPERAÇÃO

Os gestores dos processos de negócios e dos ativos devem ser ativados por um coordenador da gestão de crises. Como normalmente estes profissionais, com alta capacidade de criação, acabam induzindo a procedimentos personalizados, uma das preocupaçoes do plano de continuidade de negócios é evitar a criatividade destes gestores, para isto é importante manter os procedimentos bem descritos, documentados e sempre atualizados. Questões necessárias:

Os gestores de processos de negócios e ativos entendem que é sua responsabilidade manter atualizados os procedimentos operacionais?
O grupo de gestão de crises tem a visão de todos os gestores que participam do time de recuperação, sabe o momento certo para ativá-los e consegue manter comunicação efetiva com eles?
Estão detalhados os recursos necessários para serem utilizados em situação de contingência?
Os tempos de ativação da contingência, de recuperação de ativos e de ativação de sites alternativos estão definidos? Os procedimentos operacionais descritos estão vinculados a estes tempos?

Nesta etapa do projeto serão realizadas diversas atividades voltadas para o planejamento e documentação dos procedimentos de contingência que serão utilizados pela empresa numa situação de crise ou de um desastre. Através de entrevistas com os principais gestores, serão identificados os responsáveis pela ativação e operação dos procedimentos, e detalhadas a seqüência de ações que serão realizadas pelos gestores.

ENTREVISTAS COM GESTORES DE PROCESSOS DE NEGÓCIOS E ATIVOS

A análise de risco desenvolvida pela empresa tende a nortear a seleção da melhor estratégia de contingência ou recuperação que será tomada para proteger o ambiente de negócios, formado por processos e infra-estrutura. Independente desta escolha, são os gestores que colocarão em prática a operação de contingência previamente selecionada. No decorrer de todo o projeto de continuidade de negócios, podemos definir o relacionamento com estes gestores um dos maiores desafios do projeto.

Normalmente a inspeção física realizada para mapear processos de negócios, ativos e vulnerabilidades é uma importante forma de se obter informações sobre a situação física e estrutural do ambiente que suporta a operação da empresa, porém são através das entrevistas com gestores que se obtém a maior parte dos dados que serão utilizados durante uma crise.

As entrevistas são realizadas desde o início para coletar dados, entender escopo e abrangência do projeto e, principalmente, descrever os diversos procedimentos que serão utilizados numa situação de contingência. Tendo em vista que serão descritos os diversos procedimentos visando a continuidade dos processos de negócios e a recuperação de desastres de ativos, dentro da melhor estratégia de recuperação optada, as entrevistas são realizadas em três níveis básicos:

Nível 1: UN1 Entrevista de identificação de Unidades de Negócios
Nível 2: PN1 Entrevista inicial de Processos de Negócios
AT1 Entrevista inicial de Ativos
Nível 3: PN2 Entrevista final de Processos de Negócios
AT2 Entrevista final de Ativos.

UN1 - ENTREVISTA DE IDENTIFICAÇÃO DE UNIDADES DE NEGÓCIOS
As entrevistas UN1 devem ser realizadas com os principais gestores de unidades de negócios ou departamentos da empresa e seu objetivo principal é identificar os principais processos de negócios da empresa e sua localização dentro do organograma corporativo ou cadeia de valores da empresa.

PN1 - ENTREVISTA INICIAL DE PROCESSOS DE NEGÓCIOS
As entrevistas PN1 são realizadas para cada um dos processos de negócios listados e obtidos através das informações coletadas nas entrevistas UN1. As entrevistas PN1 devem ser realizadas com os principais gestores de processos de negócios da empresa e seu objetivo principal é o de identificar informações relativas a funcionalidade, limites de autonomia, relacionamento com ativos, vulnerabilidades frente a eventos danosos e impactos em caso de parada operacional.

Os dados levantados com a entrevista PN1 serão utilizados para (a) realização da Análise de Impacto de Negócios (BIA – Business Impact Analysis), onde os processos de negócios serão classificados em nível de importância e vulnerabilidade, e/ou (b) para entender o funcionamento primário do processos de negócios; (b) seus tempos de autonomia; e (c) conhecer os ativos que o suportam. Com base nestas informações a Análise de Riscos classifica os processos em imperativo, crítico, essencial ou periférico.

PN2 - ENTREVISTA FINAL DE PROCESSOS DE NEGÓCIOS FINAL
As entrevistas PN2 são realizadas somente para aqueles processos de negócios identificados como imperativo ou crítico, pela análise de impacto nos negócios. Este procedimento visa focar os esforços para o que realmente é crítico para empresa, na visão da continuidade dos negócios. Da mesma forma que as entrevistas PN1, a PN2 deve ser realizada com os mesmos gestores de processos de negócios da empresa e seu objetivo principal é o de identificar informações relativas aos tempos de ativação da contingência, listas de contatos, recursos utilizados e, principalmente, aos procedimentos que serão realizados em situações de crises e desastres.

Os dados levantados com a entrevista PN2 serão utilizados para a realização dos procedimentos de contingência, onde serão descritas as ações a serem tomadas, seus responsáveis, tempos e formas de execução.

AT1 - ENTREVISTA DE ATIVOS
As entrevistas EAT1 são realizadas para cada um dos ativos listados e obtidos através das informações coletadas nas entrevistas PN1. As entrevistas AT1 devem ser realizadas com os principais gestores de ativos da empresa e seu objetivo principal é o de identificar (a) informações relativas a funcionalidade; (b) tempos estimado de recuperação; e (c) vulnerabilidades e grau de exposição de ativos frente a diversas ameaças.

AT2 - ENTREVISTA DE ATIVOS FINAL
As entrevistas AT2 são realizadas somente para aqueles ativos considerados críticos, ou pela análise vulnerabilidade ou por suportarem processos de negócios críticos. Este procedimento visa focar os esforços para o que realmente é crítico para empresa, na visão da recuperação de desastres. Da mesma forma que as entrevistas AT1, a AT2 deve ser realizada com os mesmos gestores de ativos e seu objetivo principal é o de identificar informações relativas aos tempos de recuperação, disponibilidade de ativos secundários, listas de contatos, recursos utilizados e, principalmente, aos procedimentos que serão realizados em situações de falhas e interrupções nos ativos.

Os dados levantados com a entrevista AT2 serão utilizados para a realização dos procedimentos de recuperação de desastres, onde serão descritas as ações a serem tomadas, seus responsáveis, tempos e formas de execução.

ESCREVENDO OS PROCEDIMENTOS BASEADO NA ISO

A descrição dos procedimentos tem seu início com a descrição das tarefas a serem realizadas numa situação de crise. Estas tarefas serão executadas por diferentes colaboradores e eventualmente serão executadas por provedores e parceiros, tendo inclusive a necessidade de controlar tempo, aguardar instrução ou até mesmo delegar atividades e adquirir recursos e serviços de terceiros.

Depois de definido os diferentes locais e cenários de uma crise, e iniciando a descrição dos procedimentos, sejam eles de recuperação, contingência ou gestão de crises, entender as fases de cada procedimento e a diferença entre um procedimento emergencial e um procedimento de retorno é imprescindível.

As Fases do Procedimento

De acordo com as entrevistas e as coletas de dados realizadas, são descritos os procedimentos operacionais que serão utilizados pelos gestores em caso de crises e desastres. As diversas atividades de cada procedimento do fluxo da ISO podem ser divididas em:

• Emergencial: Onde são descritos todos os procedimentos iniciais e emergenciais, geralmente necessários para ativar pessoas, recursos ou até mesmo ativar local externo, sem que signifique que as ações a serem tomadas sejam de recuperação;
• Operacional: É o corpo principal do procedimento operacional, geralmente executado após o procedimento emergencial, e que define todas as fases da recuperação do componente ou da função de negócio;
• De retorno: É o procedimento de fechamento do ciclo, quando já foram realizados os procedimentos emergenciais e operacionais. Nesta fase são descritos os procedimentos de finalização da crise, de divulgação da situação de controle e de retorno ao ambiente primário.

O padrão ISO

Todas as ações são descritas em um template padrão que segue as melhores práticas da segurança, baseado em disciplinas do DRI, ITIL, COBIT, BS7799, NBR ISO17799 e ISO9000. Cada procedimento é orientado por localização e cenário de ocorrência, e as ações detalhadas pelo PDCA – Plan, Do, Check and Act, da ISO 9000. Serão estabelecidos os pontos de controle e de auditoria e as bases com os quesitos necessários à sua execução, no conceito da ISO, onde será empregada a técnica conhecida por 5W2H (o que, quem, como, quando e pontos críticos).

FERRAMENTAS DE APOIO

O módulo integrado de contingência (OPCIONAL) denominado XCORP iContingency™, de propriedade da XCORP (www.xcorpsoftware.com) permite a construção de procedimentos operacionais de contingência para toda empresa, sendo estabelecidos os pontos de controle e auditoria com os quesitos necessários à sua execução, no conceito da ISO (o que deve ser feito, quem executa, como, quando e pontos críticos). Através de uma interface amigável, gestores de processos de negócios e de ativos podem facilmente construir, atualizar, simular, monitorar e enviar os diversos procedimentos operacionais.

TIPOS DE PROCEDIMENTOS

Os procedimentos operacionais podem ser divididos em:

Procedimentos Operacionais de Contingência: São procedimentos realizados por gestores de processos de negócios visando a continuidade operacional de seus processos, no caso de falhas ou interrupções nos ativos que o suportam;
Procedimentos Operacionais de Recuperação: São procedimentos realizados por gestores de ativos visando a recuperação de desastres, no caso de falhas ou interrupções causados por eventos danosos;
Procedimentos Operacionais de Gestão de Crises: São procedimentos realizados pelo Grupo de Gestão de Crises visando o gerenciamento da crise e o monitoramento dos diversos procedimentos executados por gestores de processos e de ativos.
Procedimentos Operacionais de Ação Emergencial: São procedimentos realizados pelos colaboradores visando o acionamento de determinadas ações de emergência, no caso de uma crise ou declaração de emergência.

Criando Estratégias de Recuperação e de Alta Disponibilidade

noreply@blogger.com (Paulo Ricardo T. Beck) — Sat, 06 Aug 2011 18:55:00 +0000

Atendimento a normativas e regulamentações visam uma boa governança de TI. Sua empresa está preparada?
ESTRATÉGIAS DE RECUPERAÇÃO

Pense no custo de uma parada operacional da empresa depois que uma inundação danificou a estrutura do seu principal centro de computação. Vale realmente a pena investir e manter uma infra-estrutura paralela que possibilite a rápida recuperação dos sistemas e aplicativos críticos, depois de um desastre? Este tipo de pergunta é comum no meio empresarial, principalmente entre os CIO’s de empresas que dependem em grande grau dos ativos de TI. Vem ganhando atenção, e entrou definitivamente na agenda dos executivos, depois dos atentados do WTC, em 2001, em Nova Iorque.

Construir um ambiente favorável a continuidade de negócios, em situações de crises e disfunções, requer um movimento preciso na escolha de uma estratégia que seja efetiva na proteção da infra-estrutura da empresa. Entender quais são os principais processos de negócios que compõem o core-business e mapear os ativos que os suportam é a base desta estratégia. Definir corretamento o fator “tempo de interrupção aceitável” ou “tempo de recuperação” é essencial para garantir um ambiente confiável. É a partir destes dados que as empresas passam a desenhar as melhores soluções que sejam ao mesmo tempo eficientes e factíveis financeiramente, comparado com o custo causado por uma eventual interrupção.

Uma vez classificados os principais processos de negócios da empresa, sem os quais a empresa poderia parar de operar ou até mesmo operar com alto grau de risco operacional, é de extrema importância o reconhecimento de todos ativos que suportam a operação destes processos. Esta compreensão se inicia com um inventário atualizado e completo de cada componente, sua completa descrição, localização, e regras de funcionamento.

Estabelecer uma boa estratégia requer um compreensivo estudo da infra-estrutura e do funcionamento da operação que gere os negócios da empresa. O entendimento de sua vulnerabilidade e de seus impactos corporativos, na eventual falha ou interrupção causada por alguma ameaça potencial, é a base do estudo que definirá a melhor estratégia de recuperação e de continuidade dos negócios.

Neste cenário, cada vez mais centros de recuperação de desastres são fornecidos pelas principais empresas de tecnologia no mundo inteiro, por onde o conteúdo de informações do centro de computação local podem ser copiados, através da extensa malha de telefonia e dados de diversas operadoras de telecomunicações.

Neste contexto diversos nomes são usados para definir o nível de serviço de centros alternativos, e o mercado geralmente classifica as soluções em três categorias - Cold Standby, Warm Standby e Hot Standby, entre outros. Em alguns casos, a estrutura pode garantir total disponibilidade e continuidade, com retorno a normalidade em apenas alguns pares de minutos. Cabe aos gestores dos ativos garantir a necessidade de readequação de estratégias de continuidade, através do mapeamento de toda a infra-estrutura e sistemas que suportam os serviços e processos críticos de uma empresa, verificando se estão adequados para garantir continuidade de negócios.

O que diferencia este modelos é o tempo que cada solução promete recuperar as funções consideradas críticas para o negócio, depois de uma interrupção no site principal, e a infra-estrutura disponível no site alternativo. Quanto mais rápida a retomada das atividades, mais sofisticada, complexa e cara será a solução. Uma solução Cold Stand-by, por exemplo, pode ser indicada para situações em que a empresa está mais preocupada com a preservação dos dados praticamente, do que com o tempo de retomada à normalidade, sendo uma alternativa de menor custo, normalmente envolvendo o backup de dados em outro ambiente para recuperação posterior, dependendo dos requisitos de cada negócio ou sistema.

Opções de Warm Standby normalmente contam com tempos menores de recuperação, mas geralmente sem espelhamento de dados ou com espelhamento parcial. Hot Standby é sem dúvida a melhor opção quando a necessidade de recuperação é imediata, sob pena da empresa ter um forte impacto operacional ou financeiro devido a uma paralisação. Esta solução inclui espelhamento de funções críticas, contratos de missão-crítica e links de comunicação de alta velocidade. Esta é a solução mais usada pelo setor financeiro, devido a grande necessidade de disponibilidade de informações, e também é a mais sofisticada e dispendiosa, dentre todas as opções de contingência e recuperação.

Para garantir disponibilidade de informações em menor tempo, muitas soluções apostam na implantação de redes de comunicação com rotas alternativas, equipamentos redundantes e múltiplos sites.

CUSTOS DE PARADA VERSUS INVESTIMENTOS EM TECNOLOGIA

Muitas vezes as empresas não tem uma sensibilidade efetiva dos esforços e investimentos que devem ser realizados para garantir uma maior disponibilidade de sua infra-estrutura para suportar a continuidade de negócios. Esta falta de sensibilidade ocorre pela falta de critérios comparativos.

Em condições práticas isto significa que, se o impacto de ter os dados de missão-crítica fora do ar durante 48 horas valerá a firma $50,000 em renda perdida e produtividade, não faz sentido gastar $100,000 por ano em recuperação de desastres. Por outro lado, se o impacto de uma perda da central de processamento de dados é de $5,000,000, durante as primeiras dez horas, então um planejador de contingência está justificado pedindo um orçamento de $1,000,000 para uma determinada solução de recuperação que usa estratégia de atualização eletrônica. Este mesmo tipo de análise deve ser usado para avaliar o impacto da perda em outras funções de negócio.

A análise de impacto empresarial também pode economizar dinheiro da companhia. Nem toda aplicação de computador ou função de negócio é missão crítica para uma companhia. Isto não significa que todo o equipamento no local primário terá que ser duplicado no local alternativo. O local primário de uma companhia pode ter 600 Gbytes de DASD e um IBM 3090 600S para processamento. A análise de impacto pode mostrar que para sobreviver em uma emergência, precisará de somente 300 Gbytes de DASD e um IBM 3090 400s de processamento para a companhia.

A mesma lógica aplica à recuperação de funções de negócios críticos. O escritório primário pode ter 50 telefones e 30 PCs, mas em uma situação de emergência o pessoal pode sobreviver com somente 10 telefones e 10 PCs - novamente, existem economias razoáveis.

Como a administração sênior olha todos os projetos com um olho para a linha de fundo, a análise de impacto empresarial é uma ferramenta importante para justificar o plano de continuidade de negócios. Utilizada inteligentemente, poderá ser a chave para selecionar a mais efetiva estratégia e solução de recuperação.

A ESCOLHA DA MELHOR ALTERNATIVA DE RECUPERAÇÃO

A empresa precisa definir dentre diversas alternativas e custos para criar um ambiente de alta disponibilidade, que possa operar com segurança para garantir a continuidade requerida pelos processos de continuidade de negócios em situações de crises e desastres.

Baseado em que custo é primordial para a escolha, uma vez que a empresa já compreende a necessidade de proteção de determinados ativos, e o impacto causado numa eventual parada operacional, a escolha tem início no momento de definir entre uma solução de contingência interna ou terceirizada, fora do ambiente de negócios da empresa.

Muitas empresas utilizam as duas soluções, uma contingência interna, para utilizar em crises não tão severas, e outra externa, que garantirá a continuidade na operação dos negócios em um ambiente em crise ou em extrema adversidade.

SELECIONANDO FORNECEDORES

A criação de uma solicitação de propostas ou RFPs – Request for Propose*, onde a empresa solicita propostas técnicas e comerciais para diversos fornecedores é um importante processo na escolha da melhor estratégia de recuperação. O primeiro passo é estabelecer os critérios de escolha para os diferentes fornecedores de soluções para recuperação de desastres.

Neste quesito, independente da empresa vir a selecionar a melhor solução de custo-benefício para proteção de seus dados e informações, se a solução será interna, externa ou englobará as duas alternativas, uma pequena e efetiva seleção do perfil e dos requisitos mínimos para fornececimento de serviços é fundamental. De nada adianta um excelente produto de recuperação com um suporte técnico precário da empresa que o forneceu.

DEFININDO O ESCOPO E A ABRANGÊNCIA DA SOLUÇÃO

O primeiro passo, antes de uma decisão final sobre a melhor estratégia de recuperação, é definir de forma objetiva quais são os principais processos de negócios da empresa, baseado nos resultados gerados pela análise de riscos, e entender os seguintes pontos de controle sobre os ativos que o suportam e necessitam de proteção:

Qual o tempo de autonomia dos processos de negócios classificados em imperativos e críticos na análise de riscos corporativa?
Quais os ativos que suportam a operação destes processos de negócios?
Qual o tempo de recuperação atual destes ativos, em caso de falhas ou interrupções causadas por ameaças físicas, tecnológicas, humanas ou naturais?
Quais os processos de negócios que apresentam disfunções, baseadas na análise da disponibilidade de ativos?
Qual a meta de recuperação ou de disponibilidade para aquele conjunto de ativos que não suportam adequadamente as necessidades de autonomia de contingência dos processos de negócios?

Na medida em que conseguimos responder as questões práticas acima, obtemos um importante reconhecimento que irá nortear a futura escolha, dentre as estratégias que serão ofertadas pelos diversos fornecedores de solução do mercado. Uma vez estabelecido qual o conjunto de ativos que precisa ser protegido, e suas metas de disponibilidade definidas, baseadas nos requisitos das operações que formam o negócio da empresa, podemos iniciar a construção de um modelo de solicitação de propostas.

SISTEMAS DE ALTA DISPONIBILIDADE
O primeiro teste significativo de soluções de espelhamento e de alta disponibilidade foi a recuperação do desastre de 11 de Setembro. Estas soluções passaram no teste com cores vibrantes. Companhias que requerem acesso contínuo a informações de missão-crítica precisam considerar soluções de alta-disponibilidade, incluindo espelhamento de dados, sombreamento, e armazenamento eletrônico, assim como rede dedicada e soluções alternativas para acesso a Internet, co-location, hospedagem e serviços gerenciados.

De fato, deixando de lado a agressividade do ataque de 11 de Setembro, ele foi virtualmente transparente para clientes de companhias que tinham planejado e testado soluções de continuidade de negócios de alta-disponibilidade.

As empresas devem buscar:

• Recuperação assegurada e rápida dos ativos críticos de TI que suportam os precessos de negócios, com um custo em linha com os riscos
• Atender os níveis de disponibilidade requeridos pelos gestores de processos de negócios
• Cobertura para uma vasta variedade de plataformas de múltiplos fornecedores
• Desenho, implementação e gerenciamento eficiente, com solução de back-up automatizada
• “Vault” seguro offsite, em algum centro de recuperação
• Eficiente, backup seguro usando recursos de eliminação de arquivos, compressão e encriptação
• Capacidade de restauração confiável através de múltiplos níveis de restauração
• Recuperação de ambiente de TI de larga escala com alta proteção de dados
• Encontrar as necessidade de replicação de dados entre todos os sites para ambiente de armazenamento multi-terabyte
• Concectividade de usuário final para suas aplicações de negócios tipicamente restaurada dentro de 1 a 8 horas
• Construir, manter e crescer o ambiente que consistentemente entrega um nível de performance elevado
• Encontrar ou exceder os requerimentos de performance definidos por negócios
• Gerenciar tarefas de melhorias de performance
• Responder os desafios de negócios não somente com aprimoramento da infra-estrutura, mas também com staff bem treinado

Business As Usual: Como construir, manter e monitorar um plano de continuidade de negócios

noreply@blogger.com (Paulo Ricardo T. Beck) — Tue, 07 Sep 2010 15:37:00 +0000

Este documento tem a proposta de prover uma abordagem detalhada para construir, manter e monitorar um plano de continuidade de negócios. Baseado na metodologia XCORP iMethod™, todas as etapas aqui sugeridas estão alinhadas com os objetivos de controle de mecanismos e normas internacionais como DRI - Disaster Recovery Institute, BCI - Business Continuity Institute, BSI - British Standard Institute, British Standard e ISO.

O documento ajuda quem está planejando a construção de um Plano de Continuidade de Negócios - PCN, ou até mesmo aqueles que já tem um plano em andamento. A metodologia XCORP iMethod™ detalha o modelo denominado Octágono - referência aos 8 passos pré-definidos para a construção de um PCN, em conformidade com padrões internacionais.

Abordagem de Continuidade de Negócios

As ocorrências de eventos naturais, físicos, tecnológicos e humanos são a cada dia que passa uma constante, e as empresas têm dificuldade de prever e se preparar para estes acontecimentos. Greves, vandalismo, bloqueio de estradas, enchentes e inundações, indisponibilidade de fornecedores vitais, black-out de energia e muitos outros eventos reduzem as atividades a ponto de colapso, com graves prejuízos financeiros e operacionais.

As empresas mais do que nunca precisam garantir a continuidade de seus negócios independente do tipo de evento que possa paralisar suas operações. A maior dúvida é de como gerenciar e gerir os procedimentos de Gestão da Crise, antecipando todos os tipos de ameaças que a empresa possa ter e se preparar para as mesmas. A impossibilidade de parada nos negócios gera uma grande expectativa para os executivos.

Ainda que estas interrupções possam ser de curta duração, seus efeitos são extremamente danosos e quase sempre irreversíveis. Dados fornecidos pelo Disaster Recovery Institute (DRI) demonstram que de cada cinco empresas que sofrem interrupção por uma semana, duas fecham as portas em menos de três anos. A utilização de metodologia associada à Gestão de Qualidade Assegurada, com a utilização de Métricas de Controle, permite o gerenciamento eficaz do gerenciamento de Projetos e de Serviços.

Eventuais coberturas securitárias apenas cobrem prejuízos patrimoniais ou lucros cessantes, mas não garantem a sobrevivência e continuidade dos negócios. Esta continuidade só é garantida e conquistada através de planejamento, implementada por especialistas em Continuidade de Negócios, que disponibilizam conhecimento, experiência, ferramentas e metodologia específica.

BUSINESS AS USUAL: Seus negócios funcionando como sempre

O Plano de Continuidade de Negócios é um documento que tem a finalidade de minimizar e administrar o impacto de eventuais crises ou desastres, que venham causar a falha ou interrupção do ambiente operacional ou de negócios da Empresa.
Após uma compreensiva análise do ambiente corporativo e de suas unidades de negócios, realizado através de entrevistas com os gestores dos principais processos da Empresa, os dados devem ser tabulados numa ferramenta de análise de impacto, para se chegar a uma classificação final de importância, criticidade e vulnerabilidade.

O documento final tem por objetivo garantir a continuidade operacional dos processos de negócios críticos e imperativos da Empresa e a alta disponibilidade dos ativos que os suportam, levando-se em conta 04 objetivos principais:

I. Contingência: Detalhar os procedimentos de contingência dos processos de negócios, visando uma continuidade operacional em situações críticas;
II. Recuperação: Documentar os procedimentos operacionais de recuperação de ativos, garantindo a sua disponibilidade no tempo e nas condições exigidas pelos processos de negócios;
III. Gestão de Crises: Organizar os procedimentos, processos e recursos necessários para a administração e o gerenciamento de eventuais crises que possam afetar a infra-estrutura e os negócios da empresa.
IV. Ações Emergenciais: Desenvolver os procedimentos, processos e recursos necessários para ações e resposta às emergências utilizadas pelo colaboradores da empresa, em situações de crises e desastres.

O entendimento do funcionamento do manual e sua estratégia de divulgação são as principais preocupações da diretoria executiva, que se sucede pela implementação das medidas preventivas sugeridas e do treinamento dos gerentes de cada uma das áreas da empresa.

Com uma rápida e precisa coleta de informações de gestores, processos de negócios e tecnologia, através de rotinas e templates pré-definidos, é possível desenvolver um Plano de Continuidade de Negócios de forma simplificada, assegurando a qualidade e a usabilidade dos procedimentos, em situações de panes, falhas, crises ou desastres.

Introdução ao Projeto

As interrupções nos negócios, curtas ou prolongadas, afetam diretamente seus resultados, com reflexos no market-share, na credibilidade e no seu maior patrimônio: o relacionamento com os clientes. Entre as grandes missões dos executivos do novo milênio está a de garantir a continuidade das atividades das empresas, sempre em sintonia com as necessidades emergentes dos mercados.

Existem vários tipos de ameaças para as quais, geralmente, as empresas não se preparam. Uma catástrofe pode ser causada por eventos graves como incêndios, enchentes, roubos, vandalismo, sabotagens, hackers, ou até mesmo fruto de um pequeno incidente, como acessos indevidos.

O Plano de Continuidade de Negócios - PCN é uma das soluções primordiais para as empresas permanecerem competitivas no mercado. Através do PCN, a empresa garante o funcionamento de seus processos, independente das falhas de infra-estrutura que possam ocorrer no ambiente de negócios. Negócios rodando como sempre, para sempre… Isto é “business as usual”.

Resumo das Atividades do projeto

Baseado na experiência de projetos extensivos de análises de riscos e continuidade de negócios, você poderá seguir as etapas descritas abaixo:

1. Kick-Off do Projeto: Neste momento deve ser realizado um workshop, direcionado para os gestores de área de negócios e de TI, onde são apresentados (a) a visão geral do projeto, ( b) o detalhamento das atividades, (c) a metodologia empregada e (d) o formato de coleta de dados. A idéia é apresentar os principais controles que devem ser implementados visando o atendimentos a normas internacionais de gestão de riscos e continuidade de negócios.

2. Diagnóstico: O objetivo desta etapa é o entendimento e mapeamento de todos os ativos de hardware e software da empresa, e sua relação com os processos de negócios. O resultado do trabalho visa identificar todas as unidades e processos de negócios e os equipamentos da atual estrutura que o suportam, possibilitando fornecer informações importantes aos gestores e ao projeto de continuidade de negócios.

3. Análise de Gaps: Em cada unidade pode ser realizada a análise de GAP, onde é comparada a situação atual (x) com a situação desejada (y), de acordo com a normas internacionais de continuidade de negócios e/ou segurança da informação. No final os Gaps podem ser visualizados através de gráficos MS-Excell do tipo radar, demonstrando-se a efetividade, urgência e riscos de controles não implantados. Para cada Gap avaliado é desenvolvido o respectivo embasamento técnico e apontadas as devidas correções necessárias no ambiente.

4. Extensiva Análise dos principais Riscos: Para cada unidade deve ser realizada (a) a análise de impacto nos negócios, no caso de uma indisponibilidade ou interrupção na infra-estrutura, e (b) a análise de vulnerabilidade de ativos. Como resultado teremos os processos de negócios classificados em Imperativos, Críticos, Essenciais e Periféricos, e os ativos classificados em ordem de vulnerabilidade. Para cada Risco avaliado deve ser desenvolvido o respectivo Plano de Tratamento.

5. Descrição dos Procedimentos: Nesta etapa é onde são desenvolvidos e documentados os procedimentos de (a) Contingência, para processos imperativos e críticos; (b) Recuperação de Desastres para os ativos considerados críticos pela análise de riscos; (c) Gestão de Crises, para as principais ameaças; e (d) Ações Emergenciais, para as principais emergências. Para cada Grupo de Ativos, Processos de Negócios, Ameaças e Emergências devem ser considerados cenários de crises e para cada cenário descritas as ações e procedimentos operacionais, no conceito da ISO e da técnica 5W2H (o que, quem, quando, como e pontos críticos).

6. Programa de Gestão de Crises: Após a descrição dos procedimentos operacionais, um extensivo programa para gerenciar todas as crises com probabilidade de ocorrência no ambiente corporativo deve ser detalhado e descrito. Papéis e responsabilidades devem ser definidos para todos os envolvidos nos grupos de apoio, como comitê de gestão de crises, equipe de gestão de incidentes, board de diretores, stakeholders, etc. Um centro de gestão de crises deve ser planejado, para notificar, monitorar e suportar as operações dos diversos grupos em situações de emergências, crises e desastres.

7. Manutenção da Continuidade de Negócios: A equipe de continuidade de negócios deve programar testes e simulações dos procedimentos de contingência desenvolvidos para os ativos e processos críticos. Regras e controles para atualizações dos procedimentos devem ser rigorosamente planejados para todos os níveis da organização.

8. Programa de Treinamento e Divulgação: Um programa completo de treinamento deve ser construído e orquestrado para os diversos grupos que terão acesso aos procedimentos de contingência (key-users, usuários e administradores). Uma campanha de conscientização é recomendada para disseminar conhecimento e cultura da continuidade de negócios.
Como parte final dos trabalhos, a fase de quality assurance deve garantir e assegurar a qualidade de todos os entregáveis do projeto.

Ao final do projeto a empresa terá uma visão geral dos principais Riscos, um detalhado Plano de Tratamento dos Riscos, visando ações para remediá-los, transferi-los ou aceita-los, e em conformidade (compliance) com as principais regulamentações.

* Todo o material e relatórios gerados podem e devem servir de evidências para auditorias como Sarbanes-Oxley, BACEN 3380, ISO27000 e SAS70.

PCI-DSS: Entenda como funciona a norma de segurança para transações eletrônicas

noreply@blogger.com (Paulo Ricardo T. Beck) — Wed, 05 May 2010 21:11:00 +0000

Nos últimos 10 anos, houve uma explosão de negócios via Internet - e-commerces - na mesma proporção que aumentou o uso de cartões de crédito para compras em estabelecimentos comerciais e, é claro, sites de internet.

Apesar de todos os esforços das empresas de proteger as informações de clientes, fraudes eletrônicas e roubos de informações têm aumentado drasticamente. Em 2006, mais de US$ 4 milhões foram gastos em operações fraudulentas nos Estados Unidos, de acordo com o U.S Department of Justice.

Os governos estudam formas de criar leis para combater esse tipo de crime, enquanto os bancos e as operadoras de cartão de crédito tomaram suas próprias iniciativas para criar normas para garantir boas práticas no uso, manuseio e armazenagem de dados de cartão de crédito: Payment Card Industry (PCI) - Data Security standard (DSS).

Fraudes de Cartão de Crédito

Fraudes eletrônicas ou fraudes de cartão de crédito são aquelas em que os dados do cartão de crédito (número, validade e código de segurança) são roubados e usados indevidamente para a realização de compras em estabelecimentos. Os estabelecimentos entregam o produto comprado e esperam receber, em alguns dias, o crédito referente àquela venda.

Ao receber a fatura do cartão de crédito, os clientes (portadores de cartão de crédito) identificam despesas que não foram feitas por eles e solicitam à administradora o cancelamento das mesmas. A administradora, por sua vez, estorna a compra do estabelecimento, que não recebe o dinheiro e já entregou o produto. O estabelecimento acaba assumindo o prejuízo da fraude.

O que é PCI-DSS?

Em setembro de 2006, algumas bandeiras de cartão de crédito, entre elas Visa, Mastercard e American Express, criaram um conselho designado a criar e recomendar as melhores práticas de segurança de dados, a serem seguidas pelos estabelecimentos comerciais que aceitam cartões de crédito como forma de pagamento, para proteger a privacidade dos consumidores portadores de cartão de crédito. Esse conselho é chamado PCI Council (www.pcisecuritystandards.org).

O PCI-DSS contempla 12 requerimentos básicos que têm o objetivo de:

Manter a rede de dados segura;
Proteger as informações de portadores de cartão de crédito;
Manter um programa de Gerenciamento de vulnerabilidades;
Implementar um forte controle de acessos;
Manter uma política de segurança de informações.

Não estar em conformidade com a PCI-DSS pode incorrer em multas e até em descredenciamento dos estabelecimentos comerciais em aceitar cartões de crédito.

12 Requerimentos da PCI-DSS

Instalar e manter um firewall para proteger dados de cartão de crédito.
Não utilizar senhas padrão ou outras configurações de segurança dos softwares utilizados.
Proteger dados de cartões de crédito armazenados.
Utilizar criptografia na transmissão de dados de cartões de crédito, manter um programa de Gerenciamento de Vulnerabilidades.
Utilizar regularmente programas anti-vírus.
Desenvolver e manter sistemas e aplicações seguras, implementar um forte controle de acesso.
Restringir acesso a dados de cartões de crédito por negócio e por pessoas que realmente precisam acessá-los.
Designar um único ID para cada usuário da rede e sistemas.
Restringir acesso físico aos dados de cartão de crédito, testar e monitorar a rede regularmente.
Rastrear e monitorar todos os acessos à rede e dados de cartões de crédito.
Testar a segurança de sistemas e processos regularmente, manter um programa de Gerenciamento de Vulnerabilidades.
Manter uma política que enderece informações de segurança.

Quem precisa estar em conformidade?

O PCI DSS se aplica a toda e qualquer empresa que coleta, processa, armazena ou transmite informação de cartão de crédito, estando, portanto, obrigada a se adaptar ao padrão. Em linhas gerais, esta adaptação inclui comerciantes, intermediários que processam dados de cartão de crédito e estão ligados à rede da associação de cartões, assim como provedores de serviço que hospedam sites, processam transações em ATM ou coletam e processam dados de cartão de crédito em nome de membros das redes Visa e Mastercard - gateways de pagamento.

A exceção fica com empresas que apenas emitem cartões de crédito e autorizam transações, como bancos e grandes varejistas, deixando de ser obrigados a demonstrar conformidade com o PCI DSS.

Qual o prazo e o nível de aderência atual?

O cronograma de conformidade varia de acordo com o continente e o mercado. No Brasil, as empresas físicas e virtuais que estão dentro do escopo do PCI terão até este ano (2009) para se adequarem. Entretanto, o resultado de uma pesquisa feita em 2006 no mercado norte-americano revelou que menos de 20% de todos os grandes varejistas e provedores de serviço atingiram a conformidade plena com o PCI DSS. Já em 2007, a mesma pesquisa chegou ao índice de 35% de conformidade.

Considerando a heterogeneidade dos ambientes operacionais e dos modelos de negócio das empresas envolvidas no compliance, podem surgir dificuldades em implementar alguns dos requerimentos. Nesses casos, será preciso definir e implementar controles compensatórios de forma a alcançar o nível de risco residual adequado.

Sabemos que para as empresas se adequarem às normas do PCI-DSS envolve muitos custos, portanto procure uma consultoria ou uma empresa séria para indicação de equipamentos que serão utilizados como Firewall, IPS/IDS, Anti-vírus e outros equipamentos e softwares para adequação desta norma.

Planos de Contingência e Recuperação - BCP/DRP

noreply@blogger.com (Paulo Ricardo T. Beck) — Tue, 13 Oct 2009 00:32:00 +0000

Documentando Procedimentos Operacionais de Contingência
Nesta etapa do projeto serão realizadas diversas atividades voltadas para o planejamento e documentação dos procedimentos de contingência que serão utilizados pela empresa numa situação de crise ou de um desastre. Através de entrevistas com os principais gestores, serão identificados os responsáveis pela ativação e operação dos procedimentos, e detalhadas a seqüência de ações que serão realizadas pelos gestores.
ENTREVISTAS COM GESTORES DE PROCESSOS DE NEGÓCIOS E ATIVOS
A análise de risco desenvolvida pela empresa tende a nortear a seleção da melhor estratégia de contingência ou recuperação que será tomada para proteger o ambiente de negócios, formado por processos e infra-estrutura. Independente desta escolha, são os gestores que colocarão em prática a operação de contingência previamente selecionada. No decorrer de todo o projeto de continuidade de negócios, podemos definir o relacionamento com estes gestores um dos maiores desafios do projeto.
Normalmente a inspeção física realizada para mapear processos de negócios, ativos e vulnerabilidades é uma importante forma de se obter informações sobre a situação física e estrutural do ambiente que suporta a operação da empresa, porém são através das entrevistas com gestores que se obtém a maior parte dos dados que serão utilizados durante uma crise.
As entrevistas são realizadas desde o início para coletar dados, entender escopo e abrangência do projeto e, principalmente, descrever os diversos procedimentos que serão utilizados numa situação de contingência. Tendo em vista que serão descritos os diversos procedimentos visando a continuidade dos processos de negócios e a recuperação de desastres de ativos, dentro da melhor estratégia de recuperação optada, as entrevistas são realizadas em três níveis básicos:

Nível 1: UN1 Entrevista de identificação de Unidades de Negócios
Nível 2: PN1 Entrevista inicial de Processos de Negócios
AT1 Entrevista inicial de Ativos
Nível 3: PN2 Entrevista final de Processos de Negócios
AT2 Entrevista final de Ativos.

UN1 - ENTREVISTA DE IDENTIFICAÇÃO DE UNIDADES DE NEGÓCIOS
As entrevistas UN1 devem ser realizadas com os principais gestores de unidades de negócios ou departamentos da empresa e seu objetivo principal é identificar os principais processos de negócios da empresa e sua localização dentro do organograma corporativo ou cadeia de valores da empresa.
PN1 - ENTREVISTA INICIAL DE PROCESSOS DE NEGÓCIOS
As entrevistas PN1 são realizadas para cada um dos processos de negócios listados e obtidos através das informações coletadas nas entrevistas UN1. As entrevistas PN1 devem ser realizadas com os principais gestores de processos de negócios da empresa e seu objetivo principal é o de identificar informações relativas a funcionalidade, limites de autonomia, relacionamento com ativos, vulnerabilidades frente a eventos danosos e impactos em caso de parada operacional.
Os dados levantados com a entrevista PN1 serão utilizados para (a) realização da Análise de Impacto de Negócios (BIA – Business Impact Analysis), onde os processos de negócios serão classificados em nível de importância e vulnerabilidade, e/ou (b) para entender o funcionamento primário do processos de negócios; (b) seus tempos de autonomia; e (c) conhecer os ativos que o suportam. Com base nestas informações a Análise de Riscos classifica os processos em imperativo, crítico, essencial ou periférico.
PN2 - ENTREVISTA FINAL DE PROCESSOS DE NEGÓCIOS FINAL
As entrevistas PN2 são realizadas somente para aqueles processos de negócios identificados como imperativo ou crítico, pela análise de impacto nos negócios. Este procedimento visa focar os esforços para o que realmente é crítico para empresa, na visão da continuidade dos negócios. Da mesma forma que as entrevistas PN1, a PN2 deve ser realizada com os mesmos gestores de processos de negócios da empresa e seu objetivo principal é o de identificar informações relativas aos tempos de ativação da contingência, listas de contatos, recursos utilizados e, principalmente, aos procedimentos que serão realizados em situações de crises e desastres.
Os dados levantados com a entrevista PN2 serão utilizados para a realização dos procedimentos de contingência, onde serão descritas as ações a serem tomadas, seus responsáveis, tempos e formas de execução.
AT1 - ENTREVISTA DE ATIVOS
As entrevistas EAT1 são realizadas para cada um dos ativos listados e obtidos através das informações coletadas nas entrevistas PN1. As entrevistas AT1 devem ser realizadas com os principais gestores de ativos da empresa e seu objetivo principal é o de identificar (a) informações relativas a funcionalidade; (b) tempos estimado de recuperação; e (c) vulnerabilidades e grau de exposição de ativos frente a diversas ameaças.
AT2 - ENTREVISTA DE ATIVOS FINAL
As entrevistas AT2 são realizadas somente para aqueles ativos considerados críticos, ou pela análise vulnerabilidade ou por suportarem processos de negócios críticos. Este procedimento visa focar os esforços para o que realmente é crítico para empresa, na visão da recuperação de desastres. Da mesma forma que as entrevistas AT1, a AT2 deve ser realizada com os mesmos gestores de ativos e seu objetivo principal é o de identificar informações relativas aos tempos de recuperação, disponibilidade de ativos secundários, listas de contatos, recursos utilizados e, principalmente, aos procedimentos que serão realizados em situações de falhas e interrupções nos ativos.
Os dados levantados com a entrevista AT2 serão utilizados para a realização dos procedimentos de recuperação de desastres, onde serão descritas as ações a serem tomadas, seus responsáveis, tempos e formas de execução.
ESCREVENDO OS PROCEDIMENTOS BASEADO NA ISO
A descrição dos procedimentos tem seu início com a descrição das tarefas a serem realizadas numa situação de crise. Estas tarefas serão executadas por diferentes colaboradores e eventualmente serão executadas por provedores e parceiros, tendo inclusive a necessidade de controlar tempo, aguardar instrução ou até mesmo delegar atividades e adquirir recursos e serviços de terceiros.
Depois de definido os diferentes locais e cenários de uma crise, e iniciando a descrição dos procedimentos, sejam eles de recuperação, contingência ou gestão de crises, entender as fases de cada procedimento e a diferença entre um procedimento emergencial e um procedimento de retorno é imprescindível.
As Fases do Procedimento
De acordo com as entrevistas e as coletas de dados realizadas, são descritos os procedimentos operacionais que serão utilizados pelos gestores em caso de crises e desastres. As diversas atividades de cada procedimento do fluxo da ISO podem ser divididas em:
• Emergencial: Onde são descritos todos os procedimentos iniciais e emergenciais, geralmente necessários para ativar pessoas, recursos ou até mesmo ativar local externo, sem que signifique que as ações a serem tomadas sejam de recuperação;
• Operacional: É o corpo principal do procedimento operacional, geralmente executado após o procedimento emergencial, e que define todas as fases da recuperação do componente ou da função de negócio;
• De retorno: É o procedimento de fechamento do ciclo, quando já foram realizados os procedimentos emergenciais e operacionais. Nesta fase são descritos os procedimentos de finalização da crise, de divulgação da situação de controle e de retorno ao ambiente primário.
O padrão ISO
Todas as ações são descritas em um template padrão que segue as melhores práticas da segurança, baseado em disciplinas do DRI, ITIL, COBIT, BS7799, NBR ISO17799 e ISO9000. Cada procedimento é orientado por localização e cenário de ocorrência, e as ações detalhadas pelo PDCA – Plan, Do, Check and Act, da ISO 9000. Serão estabelecidos os pontos de controle e de auditoria e as bases com os quesitos necessários à sua execução, no conceito da ISO, onde será empregada a técnica conhecida por 5W2H (o que, quem, como, quando e pontos críticos).
O módulo integrado de contingência (OPCIONAL) denominado XCORP iContingency™, permite a construção de procedimentos operacionais de contingência para toda empresa, sendo estabelecidos os pontos de controle e auditoria com os quesitos necessários à sua execução, no conceito da ISO (o que deve ser feito, quem executa, como, quando e pontos críticos). Através de uma interface amigável, gestores de processos de negócios e de ativos podem facilmente construir, atualizar, simular, monitorar e enviar os diversos procedimentos operacionais.
Os procedimentos operacionais são divididos em:
• Procedimentos Operacionais de Contingência: São procedimentos realizados por gestores de processos de negócios visando a continuidade operacional de seus processos, no caso de falhas ou interrupções nos ativos que o suportam;
• Procedimentos Operacionais de Recuperação: São procedimentos realizados por gestores de ativos visando a recuperação de desastres, no caso de falhas ou interrupções causados por eventos danosos;
• Procedimentos Operacionais de Gestão de Crises: São procedimentos realizados pelo Grupo de Gestão de Crises visando o gerenciamento da crise e o monitoramento dos diversos procedimentos executados por gestores de processos e de ativos.
• Procedimentos Operacionais de Ação Emergencial: São procedimentos realizados pelos colaboradores visando o acionamento de determinadas ações de emergência, no caso de uma crise ou declaração de emergência.

O Fator Tempo na Escala de Problemas (RTO e RPO)

noreply@blogger.com (Paulo Ricardo T. Beck) — Mon, 07 Sep 2009 17:09:00 +0000

Em inúmeros casos de desastres ocorridos pelo mundo, o fator tempo foi muitas vezes crucial para o pronto retorno das operações. As escalas de tempo para definir o limite de autonomia de um processo de negócios em situação de contingências e o tempo máximo para ativá-la, o limite estimado de recuperação de ativos e o limite de disponibilidade dos ativos ou dos sites alternativos são altamente importantes nas tarefas de continuidade de negócios.

Eventuais disfunções causadas entre o tempo de autonomia de um processo de negócios e o tempo de recuperação de um ativo que o suporta, leva a empresa a uma decisão estratégica: assumir o impacto causado por um processo ficar mais tempo em contingência, calculando seus prejuízos operacionais, financeiros, institucionais ou estratégicos; ou investir em tecnologia para diminuir o tempo de recuperação de um ativo que falhou.

Na área de segurança muito fala-se na meta e no ponto de recuperação. A meta de recuperação, conhecida como RTO – Recovery Time Objective, é estabelecida pelo tempo necessário de autonomia requerido pelos processos de negócios para manter-se operacional sem causar impactos corporativos. Um processo que se propõe a permanecer operacional até 5 horas depois de uma crise, pode gerar aos ativos que o suportam uma expectativa de tempo de recuperação idêntica. Já o ponto de recuperação ou RPO – Recovery Point Objective, determina o ponto em que devemos iniciar o processo de disponibilidade do dado ou da informação, antes de uma crise, visando atingir a meta ou RTO pre-definido. Por exemplo, no caso acima poderiamos definir um RPO de 3 horas, onde estariamos replicando de forma síncrona alguns dados para atender a meta de RTO de 5 horas.

Uma vez que a análise de riscos determine uma não conformidade entre os tempos requeridos pelos processos de negócios e o tempo em que os ativos são recuperados depois de uma crise, precisamos revisar ou redesenhar a atual estratégia, criando uma nova estratégia de recuperação que atenda os objetivos de forma mais adequada e conforme.

Justificando o Plano de Continuidade de Negócios

noreply@blogger.com (Paulo Ricardo T. Beck) — Sun, 07 Sep 2008 17:07:00 +0000

Para muitas empresas pode ser caro desenvolver um Plano de Continuidade de Negócios. Além do plano, devem ser alocados recursos para contratação de pessoal qualificado, locais alternativos de processamento, equipamentos redundantes, e armazenamento externo de dados. Os planos são descritos para recuperar funções empresariais vitais e não somente para se utilizar um ambiente alternativo de processamento. Se o plano incluir alternativas e soluções mais modernas, como atualização eletrônica de dados, os custos podem subir muito.

Porém, para aqueles dirigentes que pensam que plano de continuidade de negócios é um desperdício de dinheiro, alguns incidentes claramente colocam fora de questão a dúvida em ter ou não ter um plano elaborado, desde o grande blecaute de Wall Street, em 1990, passando pela inundação de Chicago em 1992 e a de New Orleans em 2005, até o ataque terrorista ao WTC em 2001, os prejuízos ultrapassam a casa dos bilhões de dólares para governo e empresas privadas.

Na falha de Wall Street 28 firmas se mudaram para hotsites, na inundação de Chicago o número ainda era mais alto: 33 firmas, e na onda de ataques ao WTC e Pentágono 200 firmas declararam estado de alerta. A bolsa de valores de Chicago, uma das maiores trocas financeiras do mundo, fechou completamente no primeiro dia da inundação e afetou todos os mercados financeiros mundiais por causa do volume de negociações não claras. O fato mais importante para qualquer executivo se lembrar sobre o incidente de Nova Iorque e os desastres de Chicago é que o custo em dólares mais freqüentemente ouvido é “bilhão”. As vezes é impossível refinar estas estimativas porque corporações são relutantes em discutir e trazer à público suas perdas reais.

Como uma corporação determina o dinheiro e recursos para dedicar ao planejamento da continuidade de negócios? A resposta é a análise de impacto empresarial. Esta análise deve servir os seguintes propósitos:

1) Identificar os riscos potenciais,
2) Estimar os efeitos de um desastre na organização,
3) Determinar as exigências para uma estratégia de recuperação.

A análise de impacto deve quantificar os efeitos da probabilidade de ocorrência de um desastre. Regras e critérios com ênfase em estimativas de rendas perdidas e produtividade deixarão uma impressão mais duradoura na administração do que uma análise nebulosa e subjetiva. Em outras palavras, a administração se convence quando lhe é falado que um vendedor perdeu uma ordem de $100,000 porque ele não pode obter cotações de preços quando o computador central estava fora do ar.

Pressionadas por exigências legais ou do próprio negócio, companhias do mundo inteiro investem para continuar a funcionar em caso de desastres

noreply@blogger.com (Paulo Ricardo T. Beck) — Wed, 03 Oct 2007 17:55:00 +0000

Compliance e Controles Internos

noreply@blogger.com (Paulo Ricardo T. Beck) — Wed, 04 Jul 2007 18:08:00 +0000

Atendimento a normativas e regulamentações visam uma boa governança de TI. Sua empresa está preparada?

COMPLIANCE E CONTROLES INTERNOS

Pressionadas por exigências legais ou do próprio negócio, companhias do mundo inteiro investem para continuar a funcionar em caso de desastre, acidentes, ataques e panes, estabelecendo níveis aceitáveis de interrupção. Depois dos escândalos em torno de algumas empresas americanas, quanto aos aspectos de ordem financeira, diversos organismos voltados a melhoria da governança entram em cena, e com eles a necessidade de implementação de controles efetivos voltados a segurança e a tecnologia da informação.

Os conceitos de Segurança e Continuidade de Negócios, como valor agregado ao mundo dos negócios, vem sendo recentemente popularizado por economistas, acionistas, investidores, consultores e executivos, depois de inúmeros incidentes ocorridos no mundo inteiro. Num mundo dinâmico, amplamente baseado em tecnologia e repleto de mudanças organizacionais, um pequeno incidente pode alterar a paisagem do mercado competitivo em que as empresas vivem. Pensando nisto, cada vez mais regulamentações e normativas vem sendo desenvolvidas e levadas ao mercado visando proteger o investimento de acionistas e assegurar a continuidade de negócios nas empresas.

Organizações internacionais como British Standard (BS7799), ISO (ISO17799 e ISO27000), ITIL (IT Infrastructure Library), e COBIT (Control Objectives for Related Information Technology), entre outras, há muito tempo vem motivando corporações a adequarem-se as normas e padrões de mercado, no que chamamos “Melhores Práticas” e “Governança Corporativa e de TI”, contemplando em suas seções as disciplinas de Segurança, Análise de Riscos e Continuidade de Negócios.

A prática de Análise de Riscos é bastante mencionada nas seções do Ato Sarbanes-Oxley.

Outro fator importante por trás do aumento dos investimentos em planos de continuidade de negócios no mundo é a exposição de um grande número de empresas a novos regulamentos e normas internacionais, como o Acordo Basiléia II e a lei norte-americana de responsabilidade corporativa Sarbanes-Oxley (SOX).

A entidade americana Securities and Exchange Comission – SEC, emitiu regulamentação relativa a prática de “Business Continuity and Contingency Planning”, para empresas que tenham ações na Bolsa de Valores de Nova Iorque (“NYSE” – New York Stock Exchange), exigindo que “os membros afiliados precisam desenvolver e manter um plano de continuidade de negócios escrito, com procedimentos a serem seguidos no caso de uma emergência ou significativa parada operacional. Os membros precisam disponibilizar os planos para aprovação da NYSE…”.

A prática de Análise de Riscos é bastante mencionada nas seções do Ato Sarbanes-Oxley, assinado pelo presidente dos EUA, George W. Bush, movida principalmente pelos prejuízos causados pelos casos Enron e Arthur Andersen. Basicamente o Ato obriga o atendimento imediato as exigências de Governança Corporativa, Compliance e Controles Internos, onde os executivos devem possuir “…bom entendimento dos principais riscos da organização e controle dos negócios”.

O Banco Central do Brasil recentemente emitiu a resolução 3380, determinando as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil a implementação de estrutura de gerenciamento do risco operacional.

Enquanto muitas entidades e agências nacionais reguladoras de mercado exigem das empresas prestadoras de serviços públicos a elaboração de Planos de Contingência ou de Continuidade de Negócios, governos de diversos países votam leis de responsabilidade corporativa, causando uma série de debates em torno da questão relacionada a responsabilidades dos dirigentes. Uma área que recebeu muita atenção foi a importância da due diligence na análise do crime de gestão temerária em que poderiam incorrer seus dirigentes por não realizar ou negligenciar atividades voltadas para a mitigação de incidentes. É mandatário que o negócio, sabendo que a potencialidade de uma situação de perigo exista, realize passos e atividades para retificar a situação ou mitigar suas conseqüências. Isto ocorre em casos onde normativas ou mandatos legislativos requerem o planejamento da recuperação de desastres e os testes destes planos (no setor financeiro, por exemplo). De fato, acionistas e consumidores podem ficar receosos se um evento venha causar impacto nos negócios ou interrupções na operação normal por algum período de tempo.

Se por um lado dirigentes e gestores de segurança estão cada vez mais preocupados com os acontecimentos do mundo inteiro, onde o atraso de alguns minutos na operação resulta em enormes perdas financeiras, por outro lado, para especialistas de segurança, estes eventos tem resultado em uma grande oportunidade. Esta relação simbiótica permite a crescente oferta e procura por ferramentas de gestão de incidentes e metodologias associadas à gestão do risco.

Um plano bem desenvolvido gera proteção contra uma variedade de ameaças, problemas, incidentes, crises e desastres, mesmo que ocorram em diferentes cenários. O controle dos incidentes, sua localização e o contínuo enfoque na disponibilidade de ativos garante a continuidade e a manutenção dos processos que geram negócios.

Atendendo a Resolução Bacen 3380 em 10 passos

noreply@blogger.com (Paulo Ricardo T. Beck) — Wed, 04 Jul 2007 17:43:00 +0000

A resolução 3.380 resolveu determinar às instituições financeiras autorizadas a funcionar pelo Banco Central do Brasil a implementação de estrutura de gerenciamento do risco operacional. Sua empresa está preparada?

Gerenciamento do Risco Operacional

Por exigência do Banco Central do Brasil, instituições financeiras e demais instituições com autorização de funcionamento deverão possuir até 31 de dezembro de 2007 uma efetiva implementação da estrutura de gerenciamento de risco operacional. Depois dos escândalos em torno de algumas empresas americanas, quanto aos aspectos de ordem financeira, diversos organismos voltados a melhoria da governança entram em cena, e com eles a necessidade de implementação de controles efetivos voltados a segurança, gestão de riscos e a tecnologia da informação.

Os conceitos de Segurança e Continuidade de Negócios, como valor agregado ao mundo dos negócios, vem sendo recentemente popularizado por economistas, acionistas, investidores, consultores e executivos, depois de inúmeros incidentes ocorridos no mundo inteiro. Num mundo dinâmico, amplamente baseado em tecnologia e repleto de mudanças organizacionais, um pequeno incidente pode alterar a paisagem do mercado competitivo em que as empresas vivem. Pensando nisto, cada vez mais regulamentações e normativas vem sendo desenvolvidas e levadas ao mercado visando proteger o investimento de acionistas, diminuir a exposição a principais riscos operacionais e assegurar a continuidade de negócios nas empresas.

Organizações internacionais como British Standard (BS7799), ISO (ISO17799 e ISO27000), ITIL (IT Infrastructure Library), e COBIT (Control Objectives for Related Information Technology), entre outras, há muito tempo vem motivando corporações a adequarem-se as normas e padrões de mercado, no que chamamos “Melhores Práticas” e “Governança Corporativa e de TI”, contemplando em suas seções as disciplinas de Segurança, Análise de Riscos e Continuidade de Negócios.

Outro fator importante por trás do aumento dos investimentos em planos de continuidade de negócios no mundo é a exposição de um grande número de empresas a novos regulamentações e normas internacionais, como o Acordo Basiléia II e a lei norte-americana de responsabilidade corporativa Sarbanes-Oxley (SOX).

A prática de Análise de Riscos é bastante mencionada nas seções do Ato Sarbanes-Oxley, assinado pelo presidente dos EUA, George W. Bush, movida principalmente pelos prejuízos causados pelos casos Enron e Arthur Andersen. Basicamente o Ato obriga o atendimento imediato as exigências de Governança Corporativa, Compliance e Controles Internos, onde os executivos devem possuir “…bom entendimento dos principais riscos da organização e controle dos negócios”.

Uma área que recebeu muita atenção foi a importância da due diligence na análise do crime de gestão temerária em que poderiam incorrer seus dirigentes por não realizar ou negligenciar atividades voltadas para a mitigação de incidentes. É imperativo que o negócio, sabendo que a potencialidade de uma situação de perigo exista, realize passos e atividades para retificar a situação ou mitigar suas conseqüências. Isto ocorre em casos onde normativas ou mandatos legislativos requerem a identificação dos riscos, planos de ação e planos de tratamento de riscos. De fato, acionistas e consumidores podem ficar receosos se um evento venha causar impacto nos negócios ou interrupções na operação normal por algum período de tempo.

Os principais pontos podem ser endereçados em 10 macro-atividades

Para atender a resolução 3.380 as instituições deverão executar uma série de atividades e coletar diversos dados relativos aos riscos operacionais. Estas informações precisarão ser suportadas por uma ferramenta de apoio para a identificação dos riscos, documentação de informações, armazenamento dos dados gerados, geração dos relatórios gerenciais e para o monitoramento dos controles.

Basicamente os principais pontos que devem ser endereçados compreendem as seguintes macro-atividades:
1. Estrutura de Gestão de Riscos
Esta atividade terá como objetivo planejar os processos e estrutura para que durante um prazo determinado estas ações disseminem este conhecimento em todos os profissionais envolvidos com a área de riscos.
2. Documentação e Armazenamento de Informações
Esta atividade terá como objetivo estruturar evidências automatizadas de eventuais riscos, perdas ou no-compliance.
3. Criação da Política de Gerenciamento do Risco
Esta atividade terá como objetivo disseminar o conhecimento e entendimento da importância da Gestão de Riscos na empresa.
4. Plano de Contingência e Estratégias de continuidade de negócios
Esta atividade terá como objetivo estruturar planos de contingência que garantam a continuidade dos negócios numa situação de indisponibilidade da infra-estrutura.
5. Programação e Execução de Testes iniciais
Esta atividade terá como objetivo estruturar programar testes e executa-los visando a melhoria nos procedimentos de continuidade de negócios.
6. Geração de Relatórios de Avaliação e Adequação
Esta atividade terá como objetivo estruturar evidências automatizadas de eventuais riscos, perdas ou no-compliance.
7. Treinamento/Workshop: Cultura de Gestão de Riscos
Esta atividade terá como objetivo treinar colaboradores no processo de gestão de riscos.
8. Criação do Plano de Treinamento
Esta atividade terá como objetivo planejar o treinamento contínuo dos colaboradores no processo de gestão de riscos.
9. Criação do Plano de Divulgação
Esta atividade terá como objetivo planejar a divulgação dos colaboradores no processo de gestão de riscos.
10. Procedimentos de Gestão e Acompanhamento
Esta atividade terá como objetivo planejar o processo de ongoing da gestão de riscos.

Ao final das atividades as instituições financeiras terão uma visão geral dos principais Gaps e dos principais Riscos, um detalhado Plano de Ação visando uma melhoria nos controles não-efetivos e não-conformes, um Plano de Tratamento dos riscos, visando ações para remedia-los, transferi-los ou aceita-los, compliance com os principais parágrafos da normativa 3.380 do BACEN e totalmente direcionada para implementação dos controles faltantes. É importante ressaltar que todo o material e relatórios gerados servirão de evidências para outras auditorias como Sarbanes-Oxley, ISO27000 e SAS70.

Se por um lado dirigentes e gestores de riscos estão cada vez mais preocupados com o atendimento às exigências do Banco Central do Brasil, algumas exigências finais, como a divulgação pública obrigatória do relatório final, fazendo constar a responsabilidade do conselho de administração (que muitas vezes pode ser feito através de jornal ou revista interna), podem se tornar em uma excelente oportunidade para divulgar o compromisso da instituição com a ética e valores de uma boa governança. Isto é muito bom para o Brasil.