Gestão de continuidade de negócios

Conteúdo

SUMÁRIO

  1. Responda
  2. A Gestão de Continuidade de Negócios no TCU - GCN
  3. A GCN no TCU
  4. Como funciona?
  5. Ações preparatórias e rotineiras
  6. Benefícios da GCN

RESPONDA

  • Por quanto tempo o TCU poderia sobreviver sem as suas instalações, pessoas e sistemas?
  • Quais são as ações a serem tomadas para manter o TCU funcionando na ocorrência de um desastre?
  • Quanto representa o impacto de uma semana de interrupção para o TCU?
  • Quais são as atividades que o TCU deverá retomar em primeiro lugar se houver um desastre?

A GESTÃO DE CONTINUIDADE DE NEGÓCIOS - GCN

A Gestão de Continuidade de Negócios - GCN, conforme definido pela ABNT, é um processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio caso estas ameaças se concretizem. Este processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder eficazmente e salvaguardar os interesses das partes interessadas, a reputação e a marca da organização e suas atividades de valor agregado.

o TCU, a gestão de continuidade de negócios é um processo permanente destinado a prepara-lo a resistir aos efeitos de emergências ou interrupções e minimizar os danos operacionais, legais, financeiros e à imagem da instituição.

As emergências e interrupções podem ser as mais variadas, mas inevitavelmente resultarão em três cenários: indisponibilidade de acesso físico ao local de trabalho (ex.: incêndio, desabamento), indisponibilidade de pessoas-chave (ex.: afastamento em massa), e indisponibilidade de TI (ex.: queda do link, dano ao datacenter).

Embora o impacto de uma emergência não possa ser previsto, o planejamento das atividades a serem realizadas em tais circunstâncias pode mitigar os danos ao cumprimento da missão institucional.O principal produto da Gestão de Continuidade de Negócios é o Plano de Continuidade de Negócios - PCN, documento que serve de guia para a execução das atividades críticas na ocorrência das emergências e interrupções.

gcn.png

A GCN NO TCU

A Resolução-TCU 261/2014, que dispõe sobre a Política de Segurança Institucional (PSI/TCU) e o Sistema de Gestão de Segurança Institucional do Tribunal de Contas da União (SGSI/TCU), afirma que a continuidade dos negócios é dimensão que integra a segurança institucional.

A segurança institucional abrange aspectos humanos, físicos e tecnológicos da organização e possui como dimensões:

I - segurança física e patrimonial;

II - segurança da informação;

III - continuidade de negócios;

IV - segurança do trabalho; e

V - gestão de riscos à segurança institucional.

A segurança institucional constitui direito e responsabilidade de todos que tenham acesso ao Tribunal ou às informações por ele produzidas ou custodiadas e é exercida para preservação da incolumidade física das pessoas, dos processos de negócio organizacionais e dos ativos do TCU.

A Gestão de Continuidade de Negócios (GCN) harmoniza-se com os processos do Sistema de Gestão de Segurança da Informação do TCU (SGSI/TCU) e tem por objetivo, em relação à segurança da informação, a garantia de níveis adequados de disponibilidade, integridade, confidencialidade e autenticidade das informações essenciais ao funcionamento dos processos críticos de negócio.

Cabe à Seplan coordenar, orientar e acompanhar a implementação da Política Corporativa de Continuidade de Negócios, bem como assegurar, no seu âmbito de atuação, apoio especializado aos órgãos colegiados e às unidades da Secretaria do Tribunal.

Desta forma, a continuidade de negócios é direito e responsabilidade de todos, cabendo à Seplan coordenar, orientar e acompanhar sua implementação.

COMO FUNCIONA?

A Gestão de Continuidade de Negócios prepara os passos a serem tomados após uma emergência ou interrupção para a retomada das atividades críticas e posterior retorno à normalidade.

Para conseguir atingir tal objetivo é necessário: conhecer a unidade, definir estratégias, elaborar e implementar um ou mais planos e testá-los. Esse é um processo cíclico, está em constante ajuste e melhoramento.

gcn2.png

CONHECIMENTO DA UNIDADE

Nessa fase, denominada de Análise de Impacto nos Negócios (Business Impact Analysis – BIA), a equipe da Seplan responsável por coordenar, orientar e acompanhar a implementação da Política Corporativa de Continuidade de Negócios se desloca à unidade com o objetivo de conhece-la e identificar:

  1. suas atividades críticas;
  2. o tempo máximo que tais atividades podem ficar paradas sem que acarretem um dano insuportável ao Tribunal;
  3. os danos decorrentes da paralização;
  4. a identificação das pessoas responsáveis pelas atividades críticas, bem como as capacitadas a realizá-las;
  5. os sistemas utilizados na execução das atividades críticas;
  6. os dados vitais requeridos nas atividades críticas, bem como informações de cópia de segurança;
  7. os recursos mínimos necessários à execução das atividades críticas;
  8. os riscos de acontecer um cenário de indisponibilidade de acesso físico, de indisponibilidade de TI e de indisponibilidade de pessoas;
  9. possíveis locais alternativos de trabalho.

Resulta desse processo o Relatório da Análise de Impacto nos Negócios, documento que servirá de base para as próximas etapas.

DEFINIÇÃO DE ESTRATÉGIAS

Nessa fase são utilizadas informações colhidas durante o conhecimento da unidade para identificar e escolher opções de estratégias de continuidade.

A estratégia de continuidade habilita a unidade a continuar suas atividades críticas dentro do período máximo em que ela pode ser interrompida, antes que danos insuportáveis advindos da interrupção ocorram.

São definidas estratégias para:

  1. Local de trabalho: definição de local alternativo no caso de indisponibilidade de acesso, bem como procedimentos a serem adotados;
  2. Pessoas: disseminação de conhecimentos, mapeamento de processos, alocação de trabalhos na indisponibilidade de pessoas;
  3. Tecnologia da Informação: procedimentos a serem realizados no caso de indisponibilidade dos recursos de TI e métodos de mitigá-la.

A definição das estratégias deve levar em conta o apetite a risco da organização e o custo/benefício de cada opção.

ELABORAÇÃO E IMPLEMENTAÇÃO DE PLANOS

Após a seleção dos processos críticos e a definição das estratégias, são elaborados um ou mais planos que possibilitem a implementação dessas estratégias.

O plano, denominado Plano de Continuidade dos Negócios – PCN, detalha os responsáveis por ele, determina como ativá-lo, lista as atividades críticas definidas e define as ações a serem tomadas na sua ativação.

Também faz parte do plano a Lista de Contatos para a Continuidade dos Negócios, já que no PCN somente são referenciados os cargos, e não os ocupantes.

É de extrema importância manter a lista de contatos devidamente atualizada!

TESTES

A GCN e seus planos somente podem ser considerados confiáveis caso tenham sido testados, auditados e mantidos por meio de revisões e atualizações periódicas e constantes.                                                    

Salienta-se também que um plano de continuidade precisa estar alinhado com objetivos e adequado à realidade da unidade.

No início do ciclo de vida da GCN, os planos de continuidade, assim como os testes iniciais, costumam ser pouco complexos. A complexidade aumenta ao longo do tempo, na medida em que a instituição adquire maior maturidade no processo.

O desenvolvimento das capacidades e competências, no que tange à GCN, é adquirido por meio de programas de exercícios estruturados que, progressiva e gradualmente, devem ampliar sua complexidade e abrangência, para atender às necessidades da unidade.

AÇÕES PREPARATÓRIAS E ROTINEIRAS

Para que, no momento de uma emergência, o Plano dê certo, é necessário realizar ações preparatórias e rotineiras.

Ações preparatórias são realizadas apenas uma vez, e servem para preparar o terreno para uma eventual utilização do Plano. São exemplos: preparar um ambiente de trabalho alternativo por meio de acordo de cooperação, elaborar manuais de sistemas, mapear processos de trabalho etc.

Ações rotineiras são aquelas que devem ser realizadas com periodicidade determinada, servindo para manter atualizado o Plano, bem como informações vitais a ele. São exemplos: Manter cópia atualizada dos documentos de GCN em local  de fácil acesso, atualizar a lista de contatos etc.

BENEFÍCIOS DA GCN

  • identifica os impactos e as consequências de uma interrupção antes da sua ocorrência;

  • planeja e provê respostas efetivas diante da interrupção dos processos de negócio, o que minimiza os danos à entidade;

  • melhora a capacidade de administrar riscos;

  • mantém a prestação continuada de serviços ao cidadão, no caso de uma emergência;

  • reduz os custos de se operar durante e após a interrupção das atividades;

  • gerencia os riscos residuais e a conformidade com as políticas de segurança;

  • aumenta a reputação da organização, demonstrando a credibilidade de sua resposta diante de crises;

  • melhora a eficiência e a efetividade dos processos de trabalho;

  • transforma eventos negativos em oportunidades para melhorar os processos de trabalho;

  • identifica interdependências que não são aparentes;

  • constrói resiliência, o que facilita a gestão e a recuperação após uma interrupção dos processos de negócio.