Professional Documents
Culture Documents
Importância Da Continuidade Dos Negócios
Importância Da Continuidade Dos Negócios
1. INTRODUÇÃO
investidos com objetivo de garantir a segurança dos dados armazenados, porém um dos
pontos de sensibilidade que mais chamam a atenção dos gestores de T.I é: como garantir a
integridade e continuidade dos processos corporativos em caso de crises? E apesar de toda a
evolução da tecnologia da informação, quais são as dificuldades que os Chief Technolgy
Officer - CTOs (diretores de tecnologia) enfrentam ao realizar a adequação das corporações
dentro de um plano de continuidade de negócios?
Durante o decorrer desse trabalho não serão abordados apenas os cases onde a
implementação do projeto teve sua gestão orientada pelas normas publicadas nas convenções
das boas práticas, respeitando o direito da individualidade das corporações na construção e
planejamento dos projetos de arquitetura de backup em nuvem que serão abordados para
finalidades acadêmicas.
2. FUNDAMENTAÇÃO TEÓRICA
É um consenso entre os especialistas da área que grande parte dos incidentes que
comprometem a segurança da corporação intervém de falhas humanas. Segundo o relatório
realizado pela Karspersky, ações não intencionais ou erros de funcionários foram
responsáveis por 33% dos incidentes que afetaram as redes de tecnologia operacional e
sistemas de controle industrial em 2019. Embora sejam altos os investimentos realizados em
capacitação de funcionários, o erro humano ainda é um dos principais responsáveis pelos
incidentes que afetam as redes de tecnologia da informação (SECURITYREPORT, 2019).
Diante da realidade atual, as corporações buscam por meios de diversos processos garantir
que a continuidade dos negócios seja reestabelecida dentro do menor tempo possível por
dentro de um plano de continuidade de negócios (PCN) bem estruturado. Segundo Facioli
(2016, p.17), o plano de continuidade de negócios tem por objetivo garantir o funcionamento
de uma organização a níveis aceitáveis em caso de indisponibilidade dos recursos de
informação.
Após serem identificados os processos que são considerados críticos, Sêmola (2003)
considera que o próximo passo a ser realizado na elaboração de um plano de continuidade de
negócios é a análise e classificação dos impactos (BIA - Business Impact Analysis), “seu
objetivo é levantar o grau de relevância entre os processos ou atividades que fazem parte do
escopo da contingência em função da continuidade do negócio.” (Gross, Christian Meinecke,
2013, p. 117). Ainda segundo Sêmola (2003, pag. 100) Com o levantamento das informações
obtidas através da análise e classificação dos impactos (BIA), torna-se mais claro definir quais
os processos ou atividades dentro da individualidade de cada corporação são os mais críticos
de acordo com seu nível de tolerância a indisponibilidade, restando apenas ser realizado o
mapeamento das possíveis ameaças que cada processo ou atividade está exposta de acordo
com o grau de probabilidade e seu o nível de severidade.
MATRIZ DE RISCO
Probabilidade de
impacto/risco Crítica Alta Moderada Baixa Nula Legenda Pontuação
Crítico 8 7 6 5 4 Crítico 4
Alto 7 6 5 4 3 Alto 3
Moderado 6 5 4 3 2 Moderado 2
Baixo 5 4 3 2 1 Baixo 1
Nulo 4 3 2 1 0 Nulo 0
Fonte: Autor
Gráfico 1: Quais dos seguintes incidentes de segurança são maiores, menores ou inexistentes para o seu sistema de controle
"tradução nossa"
De acordo com o gráfico apresentado acima, vemos que hoje uma das preocupações
hoje das corporações, representando um maior grau de criticidade está relacionada a ataques
cibernéticos; como infecção por malwares e ataques ransomware, representando um grau de
preocupação muito maior do que as tradicionais preocupações com danos físicos causados por
ação externa comumente apresentada nas literaturas como a de Sêmola (2003). O relatório do
estudo realizado pela Karspersky se mostra embasado na realidade quando realizado uma
comparação de um segundo relatório realizado pela Fortinet indicando que apenas no
primeiro semestre de 2021, houve crescimento de mais de cento e cinquenta por cento nas
tentativas de ataques em comparação durante todo o período de 2020 (BRANCO, 2021).
Explorando ainda a ideia de avaliar os possíveis riscos que podem ocasionar os incidentes
podemos afirmar que não se deve limitar a avaliação a conceitos pré definidos, podemos
afirmar que:
“Uma vez que as empresas tenham garantido que seus processos essenciais podem
funcionar normalmente, é importante pensar acima da curva. Identifique o nível
mínimo viável de serviços e garanta que um backup esteja disponível para manter
estas operações críticas funcionando em meio a qualquer turbulência adicional.”
(Gerlis, 2020).
Outro ponto de atenção que se deve ser atentado a respeito do plano de continuidade
de negócios que corrobora com a afirmação de Gerlis, foi apresentado por Batista em
entrevista concedida ao aluno. “O PCN é um “ser vivo”, que precisa ser trabalhado/revisado o
6
tempo todo com o objetivo de refletir as mudanças nas empresas”. (BATISTA, 2021,
APÊNDICE B) O plano de continuidade de negócio necessita de constante mudanças,
chegando a ser comparado a um ser vivo e precisa sofrer constantes atualizações para que sua
integralidade seja preservada, e uma vez que as empresas tenham garantido que os processos
críticos possam atender os requisitos mínimos para o seu funcionamento, é necessário pensar
fora da caixa e identificar possíveis pontos cegos que podem gerar impactos no ambiente de
produção (GERLIS, 2020).
Embora faça parte do senso comum dentro das grandes e médias empresas a
importância de possuir um plano de continuidade de negócios (PCN) para eventuais crises,
observa-se que grande parte das empresas encontram dificuldades para se adequarem dentro
de um plano de continuidade de negócios (PCN). Fernando Mastesco, diretor técnico do
instituto das cidades inteligentes afirma que “A maioria das empresas não possui um
planejamento de estratégias e ações definidas para garantir que seus serviços essenciais sejam
mantidos em uma crise.” (MATESCO, 2020). Seguindo a mesma linha de raciocínio para
Fabrício Rabelo afirma, “é muito difícil as empresas conseguirem pensar em termos de
processos alternativos em caso de uma crise, quais são os mecanismos que nós vamos usar
para recuperação dos sistemas, das informações, como que nós vamos restaurar”. (RABELO,
2021, APÊNDICE A). Com base nas afirmações coletadas, podemos afirmar que hoje há uma
grande dificuldade dentro das corporações em definir quais serão os processos que serão
mapeados.
Para Lauro Batista atualmente diretor de tecnologia (Chief Technology Officer - CTO)
da Portnet Tecnologia o problema se encontra na cultura das esferas superior dentro das
corporações, como um plano de continuidade de negócios (PCN) possui um caráter
preventivo, há uma grande dificuldade de se angariar investimentos.: “[…] Infelizmente na
cultura brasileira pouco valor é percebido quando se tentar tomar ações de caráter preventivo”
(BATISTA, 2021, APÊNDICE B). A afirmação de Batista indica que hoje há uma grande
dificuldade em realizar investimentos em projetos de continuidade de negócios, pois há uma
grande falta de maturidade das corporações em compreender a extensão de uma crise e os
impactos que elas podem causar no âmbito financeiro. Uma das coisas mais comuns que pode
ser presenciado na iminência de um desastre, é o altíssimo gasto que é empreendido na
tentativa de resolver as consequências de um desastre que poderiam ter sido evitados com
plano de continuidade de negócios bem trabalhos. (BATISTA. 2021, APÊNDICE B).
principais área de negócios como call center, TI e atendimento ao cliente. Devido ao fato de a
sede ser localizada aos arredores do estádio do mineirão que seriam um dos palcos da copa de
2014, durante os atos de protestos os entornos foram afetados com diversos atos de
vandalismos, e sempre que esses episódios ocorriam, todo o campus era fechado pelas forças
armadas onde ninguém era possibilitado de entrar ou sair, impedindo a empresa de operar.
Após esses episódios, foram desenvolvidas um conjunto de ações para mitigar os impactos
nas operações críticas de atendimentos onde foram identificados novos riscos que a localidade
oferecia como alagamentos do campus que poderiam ser ocasionados devido à proximidade
da lagoa da Pampulha e a proximidade com o aeroporto da Pampulha.
Outro caso foi apresentado por Fabrício Rabelo (2021, APÊNDICE A) em entrevista
concedida a Universidade Uniasselvi. Uma empresa também sitiada em Belo Horizonte onde
teve seu nome ocultado durante a entrevista, foi impactada uma vez que o prédio onde a
empresa atuava foi interditado pela defesa civil do estado, impossibilitando a entrada e saída
das pessoas, e impossibilitando a remoção dos ativos da empresa, como servidores e estações
de trabalho, impossibilitando totalmente a continuidade dos negócios da empresa, porém
devido a empresa já ter um PCN bem estruturado, onde já se haviam sido mapeados todos os
riscos, principais fornecedores, junto com um plano de ação bem documentado, rapidamente a
empresa pode dar continuidade ao negócios que foram paralisados devido a uma crise
adversa.
3. METODOLOGIA
O objetivo da escolha das duas metodologias apresentadas acima foi com intuito de
criar um comparativo entre a literatura disseminada dentro do campus universitários e os
processos hoje adotados na prática dentro das grandes corporações, e durante todo o discorrer
do trabalho, foi possibilitado a liberdade de se mover por diversos caminhos do conhecimento
10
analítico muitas vezes com processos colocados em prática refutando a literatura com análises
de mercado e dos processos que se mostram viáveis ou não.
Para apresentação dos resultados, foi utilizado a forma quantitativa para a elaboração
da síntese deste trabalho através das percepções subjetivas que foram agregadas ao longo das
pesquisas realizadas a respeito do tema.
3. RESULTADOS E DISCUSSÕES
Durante a elaboração deste trabalho, devido até mesmo os métodos de pesquisa que
foram escolhidos para realizar a coleta dos dados, por diversas vezes foram encontrados
pontos de discussão a respeito de diversos temas que foram abordados, querendo inclusive
ressaltar a riqueza e profundidade que se obteve durante o processo de entrevistas com
especialistas da área em que se agregou muito no desenvolvimento deste trabalho,
possibilitando não só o acesso a literatura, mas como o tema é desempenhado na prática de
mercado. E um dos pontos que mais chamaram a atenção é o paralelo que muitas vezes é
criado justamente com o que é descrito muitas vezes na literatura com o que é comumente
aplicado no mercado. Com o avanço diário da tecnologia, novos riscos são mapeados
diariamente e muitas vezes o que um dia se tratava de uma preocupação crítica dar-se espaço
para novas preocupações, pois um dia onde a preocupação maior estava na infraestrutura
física de T.I gradativamente foi migrando para preocupações tecnológicas como ataques
cibernéticos e vazamento de informações e há uma clara dificuldade de a literatura
acompanhar tamanha transformação que ocorre em um curto espaço de tempo.
Embora haja bastante ideias na solução deste problema, não há uma solução simples,
pois, o problema enfrenta uma questão cultural nas camadas superiores das corporações que
infelizmente não tratam os riscos apresentados aos negócios com a sua devida importância.
Porém sempre a possibilidade de estar conscientizando e apresentando através de palestras,
reuniões os inúmeros riscos em que as empresas estão expostas em não se estar com um plano
de continuidade adequado em seus negócios, através dos dados e cases que vão se apresentado
ao longo dos anos que justamente nos servem de lição durante o processo de gerenciamento
de um plano de continuidade de negócios. Embora seja uma solução simples, tem mostrado
resultados promissores ao observar que muitos dos gestores, após fatores diversos, passam a
se comportar de maneira diferente e ao se tornarem defensores da adoção de um plano de
continuidade perante aqueles que desacreditam em sua importância e eficácia.
REFERÊNCIAS
IMONIANA, Joshua Onome. Auditoria de sistemas de informação. 2. ed. São Paulo: Atlas,
2011.
qual vão ser as ações que você vai tomar, é muito difícil as empresas conseguirem pensar
nessas... em termos de processos alternativos em caso de uma crise, quais são os mecanismos
que nós vamos usar para recuperação dos sistemas, das informações, como que nós vamos
restaurar o ambiente tecnológico da empresa, para poder... para ele voltar a funcionar, quais
vão ser os papéis e as responsabilidades das pessoas que vão estar atuando durante essa crise,
não só de quem vai atuar para resolver a crise, mas de quem vai dar continuidade no negócio,
como que vai funcionar, quais são os papéis dessas pessoas, é muito difícil definir isso e
principalmente definir baseado no cargo e não na pessoa em si, esse plano ele tem que ser sem
nome... sem CPF, é um plano para a empresa e não um plano para uma pessoa. E um ponto
que é fundamental que é a identificação de fornecedores e clientes críticos, porque é utópico
achar que a empresa vai conseguir por exemplo, funcionar fazendo o atendimento de todos os
clientes...de todos e... estar fazer fazendo a aquisição com todos os fornecedores da mesma
forma que ela fazia antes, então ela vai precisar do que? de definer em que que ela vai atuar
durante aquele período de crise, óbvio que considerando que o perído de crise, vai ser um
período pequeno...dois, três, quatro dias no máximo, que ela vai conseguir atuar para aqueles
clientes e fornecedores críticos que vão dar continuidade ao negócio pós crise.
Jenner: Urrum, bacana. Acho que ficou bem explicadinho. Okay... e na sua opnião Fabrício,
qual o maior obstáculo que as corporações enfretam hoje ao tentarem se adequar dentro de um
plano de continuidade de negócios?
Fabrício: Bom… como eu falei na pergunta anterior, a primeira coisa que eu vejo é aonde se
comprometer, o que é que você não vai fazer durante esse período de crise. Você saber que
você não vai fazer tudo… que não vai conseguir fazer tudo… saber o que você vai deixar de
fazer, quais vão ser as atividades que não vão ser executadas, esse é o primeiro ponto que é
um obstáculo, porquê a tendência das empresas é quererem voltar cem por cento, e não fazer
nenhuma… e não comprometer em nada o atendimento, o serviço, o fornecimento de
produtos e isso é utópico né. Am… o foco também somente na Tecnologia da informação,
isso também é um outro problema que tem muito grande na hora de fazer um plano de
continuidade [de negócios] que a empresa não entende normalmente um plano de
continuidade como sendo algo corporativo, algo da companhia como um todo e sim um
pedacinho lá da área de T.I que tem que resolver, a T.I tem que resolver isso e não... não é
assim, muitas vezes vai envolver um... um... um site né, um local alternativo para a empresa
funcionar durante o período [de crise], muitas vezes vai envolver Tecnologia também mas
uma troca de um fornecedor de logística, uma troca de um fornecedor de telefonia, então esse
15
tipo de ação tem de estar mapeado e normalmente as empresas elas tem resistência ao fazer
um plano de ação levando isso em consideração.
Jenner: Urrum, entendi. Então, só fugindo um pouco aqui do roteiro da entrevista Fabrício,
então no caso um dos maiores desafios seria então o não entendimento das corporações... a
falta de maturidade... entender que dentro de uma plano de continuidade de negócios, você
não está... você não está pensando só na parte de T.I, mas também de todo... todo o processo
corporativo como um todo.
Fabrício: Exatamente, a dificuldade maior é desligar a caixinha da T.I e ver a empresa como
um todo nesse processo em um plano de continuidade. [entrevistador concordando ao fundo]
É muito fácil né... é muito comum digamos assim, não é fácil é muito comum as empresas
investirem na continuidade da parte tecnológica e esquecerem [entrevistador concordando ao
fundo] do resto e não estarem preparadas para lidar com a crise quando vem o problema. Faz
o investimento em T.I, tem lá assim, olha meu ambiente está voltando... beleza, mas... e o
resto? Como você vai fazer? Como você vai atender? Como você vai tratar estes clientes?
[entrevistado personifica cliente] A não eu vou tratar ... é ... o meu ambiente está no ar, mas
eu não tenho as pessoas para atender, porque as pessoas não consegue se conectar porque eu
esqueci dos processos, mas esse é um grande ponto que a gente deve sempre levar em
consideração, não é só T.I nesse caso.
Jenner: Urrum, entendi. Fabrício, durante a sua experiência profissional, há algum case que
você poderia citar onde um plano de continuidade de negócios foi fundamental em um
momento de crises?
Fabrício: Sim, eu não posso falar o nome do cliente, mas... em determinado momento esse
cliente teve o prédio né... o lugar onde ele estava alocado, esse prédio foi interditado pela
defesa civil e todos os equipamentos, todos os servidores, todas as estações de trabalho, foram
impedidas de serem removidas, porque o prédio foi interditado. E como ele tinha um plano de
continuidade, ele conseguiu rapidamente fazer a alocação dos equipamentos, isso já estava
mapeado, já tinha fornecedor mapeado e tudo mais... e fazer o ambiente de tecnologia dele
voltar ao ar porque ele tinha um disaster recovery já pronto para poder ser ligado em caso de
um destrastre. Então nesse caso só precisou atuar na parte tecnológica, mas rapidamente ele
voltou a atuar, algo em torno de um dia e meio, ele já estava no ar.
Jenner: Devido um evento adverso ele teve teve a impossibilidade de utilizar todas as todas
os estrutura dele de t.i. e devido a isso por ele já ter esse plano já desenvolvido ou ele
conseguiu rapidamente...[Fabrício interrompe e continua]
16
Fabrício: Sim, ele já tinha um local alternativo já mapeado, já fizeram o aluguel dos
equipamentos, conseguimos colocar no ar na epoca o ambiente dele remote… temporário e
depois de mais ou menos um mês e meio, ele já estava cem por cento normal, mas foi um mês
e meio em estado de crise nesse ambiente.
Jenner: Urrum, entendi. Muito claro, muito bom o exemplo, e seguindo um pouquinho
mudando um pouquinho a pergunta Fabrício eu queria te perguntar se durante a sua
experiência profissional, algum case onde a falta de um plano de continuidade gerou um
grande impacto para empresa? Você teria também um case assim?
Fabrício: Sim, aí eu tenho vários [risos], que a gente vê quase todo dia, inclusive na mídia né,
empresas que foram criptografadas, empresas que tiveram problema, e ficaram dias né.. sem
poder faturar, sem ter os seus serviços no ar, sem conseguir fazer um atendimento efetivo aos
seus clientes. Recentemente nos tivemos ai um caso se não me engano, foi da Renner que foi
criptografada, saiu na mídia e tudo mais, e ela não tinha plano... não tinha como voltar,
ficaram alguns dias sem conseguir emitir nota, foi um caso feio. E eu vi isso também em
clientes nossos, onde a gente já tinha sugerido ao cliente, que a gente já tinha colocado que
era importante ele ter um disaster recovery, importante ter um plano de continuidade, mas o
cliente não enxergou isso como um valor na época e teve seu ambiente criptografado e em
alguns casos teve uns dois que tiveram problema com a máquina, com o servidor em si... e
não tinham como voltar com o ambiente, e teve um que chegou a ficar uma semana parado...
tomou multa de clientes que tinham contrato e quase fechou as portas por não ter um plano de
continuidade de negócios
Jenner: Entendi, no caso de criptografia recebi sequestro de dados né? que é quando o
computador é invadido e os dados eles são sequestrados.
Fabrício: Exatamente, é isso mesmo.
Jenner: Então o você que está reportando é um cliente onde ele teve seus dados sequestrados
por ele não ter um plano de quantidade acabou e recebendo multas e seus clients.
Fabrício: Exatamente, ele não tinha um plano de continuidade… ele tinha um backup, mas o
backup foi criptografado porque ele não estava dentro das melhores práticas
Jenner: Entendi, só para deixar claro… Esse cliente ele tinha um ambiente onde ele tinha um
fator jurídico ele tinha o fator jurídico eles vão para o que pesava contra uma possível parada,
e por ele desconsiderar que ele tinha esse fato jurídico no plano de continuidade de negócios,
e por não respeitar as boas práticas, e por ele não ter quando houve o momento de crise, ele
não só sofreu o impactor pela falta de produtividade, mas também impactos da parte legal
17
justamente por não conseguir cumpri seus contratos dentro dos prazos estabelecidos. Seria
mais ou menos esse o cenário que se pintou nesse case?
Fabrício: Seria exatamente esse cenário.
Jenner: Tranquilo então. Fabrício, agradeço muito pelo seu tempo que você disponibilizou
aqui para gente e nos mais eu agradeço pela entrevista e pelo conhecimento compartilhado.
Fabrício: Okay, não por isso. Abraço para vocês.
Lauro: O PCN possui caráter preventivo; o foco é evitar ou mitigar o impacto de um risco.
Infelizmente na cultura brasileira pouco valor é percebido quando se tenta tomar ações de
caráter preventivo. Existe uma dificuldade enorme de apoio mesmo nas esferas superiores, e
dificuldade de investimento por parte dos gestores. O PCN é um “ser vivo”, que precisa ser
trabalhado/revisado o tempo todo com o objetivo de refletir as mudanças nas empresas. Em
muitos casos, o comum é presenciarmos na iminência de um desastre, dinheiro ilimitado para
resolver as consequências deste desastre, ou para se evitar novos desastres como aquele. Mas
lembrando que ele poderia ter sido evitado desde o início com um PCN bem trabalhado.
Jenner: Durante sua experiência profissional, há algum case em que possa citar, onde um
plano de continuidade de negócios foi fundamental em um momento de crise?
Lauro: Sim. Um cliente, construtora de grande porte aqui em Belo Horizonte, passou por
muitos meses de consultoria com foco na continuidade do negócio, pois em sua sede, áreas
chaves e também o datacenter eram situados fisicamente em um andar de subsolo, abaixo do
nível da rua. Em uma forte tempestade em BH, por poucos metros não viram seu prédio
passar por uma situação de alagamento. Neste momento ficou clara a necessidade do plano.
um mês após a conclusão dos trabalhos de consultoria de processos e também de uma pesada
transformação digital, fomos todos “bombardeados” com o lockdown devido ao Covid19, e
de imediato toda a empresa se viu apta e pronta para a operação distribuída. Nenhuma área de
negócio foi impactada, e a empresa operou normalmente durante toda esta fase.
Jenner: Durante sua experiência profissional, há algum case onde a falta de um plano de
continuidade de negócios gerou um grande impacto para a empresa?
Lauro: Sim, também tenho um bom caso. Neste cliente, plano de saúde que possui sua matriz
dentro do Campus de uma Universidade Federal, teve sua operação impactada nas suas
principais áreas de negócios como call center, TI, atendimento ao cliente durante as
manifestações ocorridas próximo ao período de Copa do Mundo. BH, como cidade sede com
o estádio Mineirão, bem ao lado do referido Campus, foi palco de diversos episódios de
vandalismo e manifestações. E todas as vezes que ocorriam nas redondezas do estádio, o
Campus era fechado pelas forças armadas e ninguém podia sair ou entrar, impossibilitando a
empresa de operar mesmo sem sofrer qualquer dano físico à sua estrutura. A partir destes
episódios, desenvolvemos em conjunto as ações para mitigar/minimizar impactos nas
operações críticas de atendimento, onde foram levantados novos riscos, como por exemplo,
alagamentos frequentes no Campus e também a proximidade com o Aeroporto da Pampulha.