Planejamento e gestão de projetos: Importância da continuidade

da T.I em um plano de continuidade de negócios

Jenner Vinícius Fernandes de Oliveira Filho¹

Rosymeire Oliveira²

1. INTRODUÇÃO

Desde os primeiros anos em que houve a implementação da tecnologia da informação

na sociedade, um dos pontos de grande atenção, foram os processos de recuperações de
desastres, que tem como objetivo o perfeito funcionamento dos computadores durante os
períodos de crises que são causados em geral por incidentes externos como falhas humanas e
desastres naturais. Devido a necessidade de manter o perfeito funcionamento dentro do menor
tempo possível, foi-se introduzido o conceito de recuperação de desastre dentro da T.I, onde
por meio de backups e cópias de segurança, é possível realizar a recuperação do ambiente de
produção gerando menor tempo de inatividade e menor impacto nas operações empresariais.

Embora a ideia de um plano de continuidades de negócios (PCN) seja considerado um

tema extremamente ampla, envolvendo processos em todas as cadeias de produção podendo
se estender até mesmo a processos de empresas terceiras, o conteúdo deste trabalho foi
direcionado, porém não limitado a continuidade dos serviços da tecnologia da informação e
sobre como as grandes, pequenas e médias corporações realizam a implementação dos
processos que garantem a continuidade dos sistemas de informação em momentos de crise, e
sobre como a falta desses processos podem gerar impactos muitas vezes irreversíveis,
causando grande prejuízo aos lucros e a imagem dos empresa perante a sociedade. Ao
decorrer do trabalho serão também apresentados cases vivenciados por profissionais da área
que irão auxiliar o entendimento sobre como o conteúdo apresentado nesse trabalho é
aplicado em sua forma prática.

Um dos grandes problemas que as corporações enfrentam em relação maturidade das

organizações em relação a prevenção a desastres que será abordado no decorrer desse artigo
acadêmico, é o custo que é empreendido na manutenção dos processos implementados no
projeto de um plano de continuidade de negócios bem estruturado. Durante os últimos anos as
organizações de todo o mundo, desenvolveram processos e bilhões de dólares foram

1 Jenner Vinícius Fernandes de Oliveira Filho

2 Rosymeire Oliveira
Centro Universitário Leonardo da Vinci – UNIASSELVI – Gestão da Tecnolgia da Informação (1320GTI / 4) –
Prática do Módulo I - 30/10/2020
 2

investidos com objetivo de garantir a segurança dos dados armazenados, porém um dos
pontos de sensibilidade que mais chamam a atenção dos gestores de T.I é: como garantir a
integridade e continuidade dos processos corporativos em caso de crises? E apesar de toda a
evolução da tecnologia da informação, quais são as dificuldades que os Chief Technolgy
Officer - CTOs (diretores de tecnologia) enfrentam ao realizar a adequação das corporações
dentro de um plano de continuidade de negócios?

Ainda neste trabalho, será abordado a importância da aplicação dos processos de

melhores práticas definidas nas convenções do guia Project Management Body of Knowledge
- PMBOK durante o planejamento e gestão dos projetos de T.I, minimizando as falhas durante
o processo da implementação das soluções tecnológicas através de um planejamento e uma
gestão eficiente dos recursos disponibilizados.

Durante o decorrer desse trabalho não serão abordados apenas os cases onde a
implementação do projeto teve sua gestão orientada pelas normas publicadas nas convenções
das boas práticas, respeitando o direito da individualidade das corporações na construção e
planejamento dos projetos de arquitetura de backup em nuvem que serão abordados para
finalidades acadêmicas.

2. FUNDAMENTAÇÃO TEÓRICA

Com o amadurecimento da tecnologia da informação dentro das corporações, um dos

principais pontos de preocupação dos Chief Technology Officer – CTO (diretor de
tecnologia), é contínua operação dos negócios e dos processos envolvendo todo os sistemas
envoltos a tecnologia da informação. “As organizações dependem da fidedignidade da
informação fornecida pelos seus sistemas baseados em T.I, e se a confiança nesses dados for
destruída, o impacto pode ser considerado como a própria destruição desses sistemas.” (Gross,
Christian Meinecke, 2013, p. 29). Segundo Sêmola (2003, p.99) o DRI – Disaster Recovery
Institute, aponta que a cada cinco empresas que apresentam interrupções em suas operações,
duas delas tendem a encerrar suas atividades em até três anos. Com base na preocupação em
garantir a continuidade das operações, as corporações passaram a adotar processos de
recuperação de desastres dentro do plano de continuidade de negócios que são os responsáveis
pela condução do negócio durante uma crise que podem ser causados por eventos adversos.
Ainda segundo Sêmola.
 3

Garantir a continuidade de processos e informações vitais à sobrevivência da

empresa, no menor espaço de tempo possível, com o objetivo de minimizar os
impactos do desastre. Com este propósito e formado pelas etapas de análise de
impacto no negócio, estratégias de contingência e três planos de contingência
propriamente ditos, o Plano de Continuidade de Negócios deve ser elaborado com o
claro objetivo de contingenciar situações e incidentes de segurança que não puderem
ser evitados. (SÊMOLA, 2003, p. 98)

É um consenso entre os especialistas da área que grande parte dos incidentes que
comprometem a segurança da corporação intervém de falhas humanas. Segundo o relatório
realizado pela Karspersky, ações não intencionais ou erros de funcionários foram
responsáveis por 33% dos incidentes que afetaram as redes de tecnologia operacional e
sistemas de controle industrial em 2019. Embora sejam altos os investimentos realizados em
capacitação de funcionários, o erro humano ainda é um dos principais responsáveis pelos
incidentes que afetam as redes de tecnologia da informação (SECURITYREPORT, 2019).
Diante da realidade atual, as corporações buscam por meios de diversos processos garantir
que a continuidade dos negócios seja reestabelecida dentro do menor tempo possível por
dentro de um plano de continuidade de negócios (PCN) bem estruturado. Segundo Facioli
(2016, p.17), o plano de continuidade de negócios tem por objetivo garantir o funcionamento
de uma organização a níveis aceitáveis em caso de indisponibilidade dos recursos de
informação.

Um dos primeiros passos na elaboração de um plano de continuidade de negócios é a

identificação dos processos que são considerados críticos para a operação da organização.
Deve se evitar a perca de informações que possa ocorrer com o resultado de desastres.
(Hintzgergen; Smulders; Baars, 2015). Embora o conceito de desastre ser amplamente
disseminado no conceito da sociedade como algo catastrófico como inundações e ataques
terroristas, uma simples falha em sistema crítico também é considerado um desastre.
(Hintzgergen; Smulders; Baars, 2015, cap. 17). Lauro Batista (2021, APÊNDICE B)
atualmente diretor de tecnologia (Chief Technology Officer - CTO) classificou os pontos a
identificação dos processos da seguinte forma como sendo indispensáveis para a continuidade
mínima dos negócios:

• Funções de negócio: Funções que provêm produtos ou serviços.

• Funções críticas de suporte: Funções das quais sem elas as “funções de
negócios” não conseguem funcionar. (ex.: TIC, serviços gerais e etc.)
 4

• Funções de suporte ao nível corporativo: Funções necessárias para a efetiva

operação das “funções de negócios”. (ex.: Recursos humanos, finanças e etc.)

Após serem identificados os processos que são considerados críticos, Sêmola (2003)
considera que o próximo passo a ser realizado na elaboração de um plano de continuidade de
negócios é a análise e classificação dos impactos (BIA - Business Impact Analysis), “seu
objetivo é levantar o grau de relevância entre os processos ou atividades que fazem parte do
escopo da contingência em função da continuidade do negócio.” (Gross, Christian Meinecke,
2013, p. 117). Ainda segundo Sêmola (2003, pag. 100) Com o levantamento das informações
obtidas através da análise e classificação dos impactos (BIA), torna-se mais claro definir quais
os processos ou atividades dentro da individualidade de cada corporação são os mais críticos
de acordo com seu nível de tolerância a indisponibilidade, restando apenas ser realizado o
mapeamento das possíveis ameaças que cada processo ou atividade está exposta de acordo
com o grau de probabilidade e seu o nível de severidade.

MATRIZ DE RISCO
Probabilidade de
impacto/risco Crítica Alta Moderada Baixa Nula Legenda Pontuação
Crítico 8 7 6 5 4 Crítico 4
Alto 7 6 5 4 3 Alto 3
Moderado 6 5 4 3 2 Moderado 2
Baixo 5 4 3 2 1 Baixo 1
Nulo 4 3 2 1 0 Nulo 0
Fonte: Autor

A imagem acima apresenta um exemplo de matriz de risco, onde é definido através de

pontuações a probabilidade e o impacto que a crise pode atingir. Seguindo a a coluna vertical
temos a probabilidade de risco que defini qual a probabilidade daquela crise específica ocorrer
em paralelo a coluna horizontal que mapeia o nível de impacto que aquela crise pode gerar
dentro da organização.

Embora Sêmola (2003) descreva subjetivamente como sendo individuais os riscos de

cada corporação, Menze (2019, p.14) em parceria com a Karspersky produziu um relatório de
uma pesquisa sobre o desenvolvimento futuro em relação à cyberseguyrança em que 282
corporações de todo o mundo e onde 20 representantes da indústria foram entrevistados
pessoalmente. Divulgado em seu próprio site, este relatório expõe hoje quais sãos os riscos do
menor ao maior grau de preocupação para as grandes corporações hoje para os seus negócios:
 5

Fonte 1: The State of Industrial Cybersecurity 2019

Gráfico 1: Quais dos seguintes incidentes de segurança são maiores, menores ou inexistentes para o seu sistema de controle
"tradução nossa"

De acordo com o gráfico apresentado acima, vemos que hoje uma das preocupações
hoje das corporações, representando um maior grau de criticidade está relacionada a ataques
cibernéticos; como infecção por malwares e ataques ransomware, representando um grau de
preocupação muito maior do que as tradicionais preocupações com danos físicos causados por
ação externa comumente apresentada nas literaturas como a de Sêmola (2003). O relatório do
estudo realizado pela Karspersky se mostra embasado na realidade quando realizado uma
comparação de um segundo relatório realizado pela Fortinet indicando que apenas no
primeiro semestre de 2021, houve crescimento de mais de cento e cinquenta por cento nas
tentativas de ataques em comparação durante todo o período de 2020 (BRANCO, 2021).
Explorando ainda a ideia de avaliar os possíveis riscos que podem ocasionar os incidentes
podemos afirmar que não se deve limitar a avaliação a conceitos pré definidos, podemos
afirmar que:

“Uma vez que as empresas tenham garantido que seus processos essenciais podem
funcionar normalmente, é importante pensar acima da curva. Identifique o nível
mínimo viável de serviços e garanta que um backup esteja disponível para manter
estas operações críticas funcionando em meio a qualquer turbulência adicional.”
(Gerlis, 2020).

Outro ponto de atenção que se deve ser atentado a respeito do plano de continuidade
de negócios que corrobora com a afirmação de Gerlis, foi apresentado por Batista em
entrevista concedida ao aluno. “O PCN é um “ser vivo”, que precisa ser trabalhado/revisado o
 6

tempo todo com o objetivo de refletir as mudanças nas empresas”. (BATISTA, 2021,
APÊNDICE B) O plano de continuidade de negócio necessita de constante mudanças,
chegando a ser comparado a um ser vivo e precisa sofrer constantes atualizações para que sua
integralidade seja preservada, e uma vez que as empresas tenham garantido que os processos
críticos possam atender os requisitos mínimos para o seu funcionamento, é necessário pensar
fora da caixa e identificar possíveis pontos cegos que podem gerar impactos no ambiente de
produção (GERLIS, 2020).

Seguindo a processo de desenvolvimento de plano de continuidade de negócios

(PCN), após ser realizado o levantamento das possíveis ameaças e seu grau de severidade, os
próximos passos descritos por Gross, Christian Meinecke (2013) é a elaboração da
documentação do plano. Segundo Imoniana (2011, p. 193-194) uma documentação bem
elaborada de um plano de continuidade de negócios (PCN) deve conter uma série de itens:

• Plano de Reinicialização de Negócios (Business Resumption Planning - BRP): este

item faz referência a um conjunto de processos e procedimentos que direcionam sobre
como a organização deverá direcionar seus esforços para que as áreas mais críticas da
operação continuem suas operações continuem operando em conformidade com os
níveis esperados.
• Gestão de Crises (Crisis Management - CM): Nomeação de uma coordenação global
que busca identificar e dar uma resposta hábil a crise que foi apresentada. Este item
tem por objetivo minimizar os danos que a corporação pode vir a sofrer.
• Plano de recuperação de Tecnologia e Sistemas de Informação (IT Disaster
Recovery - DR): Item de foco deste trabalho, caracteriza-se pelos processos
estruturados que visam manter e restaurar as operações dos sistemas de informação
que possuem níveis críticos a operação minimizando a perca de informações e os
impactos na produtividade.
• Teste de Emergência e de Recuperação (Emergency Preparedness - EP): item
caracterizado pelos testes periódicos e pela manutenção dos planos de recuperação que
é realizado através da simulação das possíveis eventuais crises, afim de identificar
possíveis falhas no processo.
 7

Embora faça parte do senso comum dentro das grandes e médias empresas a
importância de possuir um plano de continuidade de negócios (PCN) para eventuais crises,
observa-se que grande parte das empresas encontram dificuldades para se adequarem dentro
de um plano de continuidade de negócios (PCN). Fernando Mastesco, diretor técnico do
instituto das cidades inteligentes afirma que “A maioria das empresas não possui um
planejamento de estratégias e ações definidas para garantir que seus serviços essenciais sejam
mantidos em uma crise.” (MATESCO, 2020). Seguindo a mesma linha de raciocínio para
Fabrício Rabelo afirma, “é muito difícil as empresas conseguirem pensar em termos de
processos alternativos em caso de uma crise, quais são os mecanismos que nós vamos usar
para recuperação dos sistemas, das informações, como que nós vamos restaurar”. (RABELO,
2021, APÊNDICE A). Com base nas afirmações coletadas, podemos afirmar que hoje há uma
grande dificuldade dentro das corporações em definir quais serão os processos que serão
mapeados.

Para Lauro Batista atualmente diretor de tecnologia (Chief Technology Officer - CTO)
da Portnet Tecnologia o problema se encontra na cultura das esferas superior dentro das
corporações, como um plano de continuidade de negócios (PCN) possui um caráter
preventivo, há uma grande dificuldade de se angariar investimentos.: “[…] Infelizmente na
cultura brasileira pouco valor é percebido quando se tentar tomar ações de caráter preventivo”
(BATISTA, 2021, APÊNDICE B). A afirmação de Batista indica que hoje há uma grande
dificuldade em realizar investimentos em projetos de continuidade de negócios, pois há uma
grande falta de maturidade das corporações em compreender a extensão de uma crise e os
impactos que elas podem causar no âmbito financeiro. Uma das coisas mais comuns que pode
ser presenciado na iminência de um desastre, é o altíssimo gasto que é empreendido na
tentativa de resolver as consequências de um desastre que poderiam ter sido evitados com
plano de continuidade de negócios bem trabalhos. (BATISTA. 2021, APÊNDICE B).

A seguir, será apresentado um caso casos que evidenciaram a importância de um plano

de continuidade de negócios para as empresas. O caso foi apresentado pelo Lauro Batista
(2021, APÊNDICE B) durante a entrevista concedia a Universidade Uniasselvi. Durante as
manifestações de 2014 que ocorreram em forma de protestos à copa do mundo que iria ser
sediada no Brasil, uma empresa de plano de saúdes que possuía sua matriz dentro do campus
de uma universidade federal de Belo Horizonte, teve suas atividades impactadas nas suas
 8

principais área de negócios como call center, TI e atendimento ao cliente. Devido ao fato de a
sede ser localizada aos arredores do estádio do mineirão que seriam um dos palcos da copa de
2014, durante os atos de protestos os entornos foram afetados com diversos atos de
vandalismos, e sempre que esses episódios ocorriam, todo o campus era fechado pelas forças
armadas onde ninguém era possibilitado de entrar ou sair, impedindo a empresa de operar.
Após esses episódios, foram desenvolvidas um conjunto de ações para mitigar os impactos
nas operações críticas de atendimentos onde foram identificados novos riscos que a localidade
oferecia como alagamentos do campus que poderiam ser ocasionados devido à proximidade
da lagoa da Pampulha e a proximidade com o aeroporto da Pampulha.

Outro caso foi apresentado por Fabrício Rabelo (2021, APÊNDICE A) em entrevista
concedida a Universidade Uniasselvi. Uma empresa também sitiada em Belo Horizonte onde
teve seu nome ocultado durante a entrevista, foi impactada uma vez que o prédio onde a
empresa atuava foi interditado pela defesa civil do estado, impossibilitando a entrada e saída
das pessoas, e impossibilitando a remoção dos ativos da empresa, como servidores e estações
de trabalho, impossibilitando totalmente a continuidade dos negócios da empresa, porém
devido a empresa já ter um PCN bem estruturado, onde já se haviam sido mapeados todos os
riscos, principais fornecedores, junto com um plano de ação bem documentado, rapidamente a
empresa pode dar continuidade ao negócios que foram paralisados devido a uma crise
adversa.

Evidenciado a importância de um plano de continuidade (PCN), é necessário comentar

também brevemente a respeito da importância das boas práticas durante o processo de
arquitetura e implementação do projeto. Como todo projeto, a estruturação de um plano de
continuidade de negócios possui suas boas práticas que são muito bem documentadas no guia
PMBOK (Project Management Body). “O Guia PMBOK é uma publicação do PMI que traz
um conjunto de conhecimentos e boas práticas reconhecidas em gerenciamento de projetos.
Também fornece um vocabulário comum para se discutir, escrever e aplicar o gerenciamento
de projetos”. (MORAIS, 2012. p. 3). Morais (2012. p.4) O PMBOK propões que os projetos
sejam segmentados em grupos de processos bem definidos e que todas as atividades
executadas sigam um fluxo muito bem documentado.
 9

3. METODOLOGIA

Para se obter os resultados e respostas acerca da problematização apresentada neste

trabalho, foi realizada uma pesquisa exploratória, utilizando Gross, Christian Meinecke e
outros autores de renome com objetivo de traçar um consenso entre as ideias dos autores com
as apresentadas neste trabalho de forma coesa. Embora sempre importante salientar que as
ideias dos autores tendem a continuar sendo desenvolvidas conforme durante o processo de
leitura das obras.

Por se tratar de um tema amplamente disseminado no mundo corporativo, uma das

metodologias também realizada no decorrer deste trabalho, foi a pesquisa de campo, em um
processo de entrevistas realizadas a gestores de T.I, responsáveis pela manutenção e
atualização dos processos de continuidade dos negócios. Os critérios utilizados na seleção dos
candidatos a serem entrevistados, foram definidos através de pré-requisitos que deveriam ser
atendidos com a finalidade de que houvesse relevância em todo o conteúdo que fosse
levantado através das entrevistas. Os critérios que foram definidos através de um tempo
mínimo de experiência em exercício das atividades de pelo menos dez anos, possuir ensino
superior concluído dentro das áreas da tecnologia em se abrange o conteúdo deste trabalho e
ter experiência como palestrante em eventos de tecnologia. Os entrevistados foram
questionados a respeito dos seguintes assuntos: qual a importância de um plano de
continuidade de negócios (PCN) para as empresas nos dias de hoje? Durante a elaboração de
um plano de continuidade de negócios quais são os pontos de maior atenção que são
apresentados no decorrer do projeto? Qual o maior obstáculo que as corporações enfrentam
hoje ao se adequarem dentro de plano de continuidade de negócios (PCN)? Durante sua
experiência professional, há algum case em que possa citar, onde um plano de continuidade
de negócios foi fundamental em um momento de crise? Durante sua experiência profissional,
há alguma case onde a falta de um plano de continuidade de negócios gerou um grande
impacto para a empresa? A transcrição complete das entrevistas realizadas junto aos
candidatos encontra-se no final deste trabalho.

O objetivo da escolha das duas metodologias apresentadas acima foi com intuito de
criar um comparativo entre a literatura disseminada dentro do campus universitários e os
processos hoje adotados na prática dentro das grandes corporações, e durante todo o discorrer
do trabalho, foi possibilitado a liberdade de se mover por diversos caminhos do conhecimento
 10

analítico muitas vezes com processos colocados em prática refutando a literatura com análises
de mercado e dos processos que se mostram viáveis ou não.

Para apresentação dos resultados, foi utilizado a forma quantitativa para a elaboração
da síntese deste trabalho através das percepções subjetivas que foram agregadas ao longo das
pesquisas realizadas a respeito do tema.

3. RESULTADOS E DISCUSSÕES

Durante a elaboração deste trabalho, devido até mesmo os métodos de pesquisa que
foram escolhidos para realizar a coleta dos dados, por diversas vezes foram encontrados
pontos de discussão a respeito de diversos temas que foram abordados, querendo inclusive
ressaltar a riqueza e profundidade que se obteve durante o processo de entrevistas com
especialistas da área em que se agregou muito no desenvolvimento deste trabalho,
possibilitando não só o acesso a literatura, mas como o tema é desempenhado na prática de
mercado. E um dos pontos que mais chamaram a atenção é o paralelo que muitas vezes é
criado justamente com o que é descrito muitas vezes na literatura com o que é comumente
aplicado no mercado. Com o avanço diário da tecnologia, novos riscos são mapeados
diariamente e muitas vezes o que um dia se tratava de uma preocupação crítica dar-se espaço
para novas preocupações, pois um dia onde a preocupação maior estava na infraestrutura
física de T.I gradativamente foi migrando para preocupações tecnológicas como ataques
cibernéticos e vazamento de informações e há uma clara dificuldade de a literatura
acompanhar tamanha transformação que ocorre em um curto espaço de tempo.

Outro ponto que chamou a atenção durante a elaboração é a dificuldade que os

gestores encontram para aprovar investimentos de caráter preventivo dentro das corporações,
justamente pela falta de maturidade que as camadas superiores apresentam quando o assunto é
continuidade de negócios. Infelizmente o que foi nos apresentado é mesmo com a
apresentação dos alarmantes números que evidenciam o real risco que as empresas correm de
ter o seu negócio paralisado, a grande maioria das empresas acabam realizando os
investimentos com caráter reativo, ou seja somente depois que o problema ocorre, tendo assim
um grande prejuízo tanto na parte financeira quanto em outros setores econômicos, sendo essa
até o momento uma das maiores dificuldade que os gestores tem enfrentado na
 11

implementação de um plano de continuidade de negócios, resposta a problematização

realizada no início deste trabalho.

Embora haja bastante ideias na solução deste problema, não há uma solução simples,
pois, o problema enfrenta uma questão cultural nas camadas superiores das corporações que
infelizmente não tratam os riscos apresentados aos negócios com a sua devida importância.
Porém sempre a possibilidade de estar conscientizando e apresentando através de palestras,
reuniões os inúmeros riscos em que as empresas estão expostas em não se estar com um plano
de continuidade adequado em seus negócios, através dos dados e cases que vão se apresentado
ao longo dos anos que justamente nos servem de lição durante o processo de gerenciamento
de um plano de continuidade de negócios. Embora seja uma solução simples, tem mostrado
resultados promissores ao observar que muitos dos gestores, após fatores diversos, passam a
se comportar de maneira diferente e ao se tornarem defensores da adoção de um plano de
continuidade perante aqueles que desacreditam em sua importância e eficácia.

REFERÊNCIAS

BAARS, Hans; HINTZBERGEN, Kees; HINTZBERGEN, Jule; SMULDERS, André.

Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002
“tradução Brasport Livros e Multimídia Ltda.”. 3 edição. SBNigri Artes e Textos Ltda. 2010,
2015.

BATISTA, Lauro. Plano de continuidade de negócios.[Entrevista concedida à] Jenner Filho.

Universidade Uniasselvi. Transcrição completa da entrevista: Apêndice B. Belo Horizonte
2021.

BRANCO, Dácio; Brasil registra 16,2 bilhões de tentativas de ciberataques no 1º

semestre. Disponível em: https://canaltech.com.br/seguranca/brasil-registra-numeros-
preocupantes-de-ciberataques-no-1o-semestre-195726/. Acesso em 25 nov. 2021.

MORAIS, Emerson. Guia PMBOK para gerenciamento de projetos. VIII congresso

nacional de excelência em gestão. Junho de 2012.

FACIOLI, Alcindo. Plano de continuidade de negócios aplicado à empresas de

pequeno porte. / Alcindo Facioli. – Americana: 2016.
 12

GERLIS, Jason. O que fazer quando o plano de continuidade de negócios falha.

Disponível em: https://cio.com.br/gestao/o-que-fazer-quando-plano-contingencia-falha/.
Acesso em: 31 out. 2021.

GROSS, Christian Meinecke. Segurança em tecnologia da informação / Christian Meinecke

Gross; Jan Charles Gross. Indaial : Uniasselvi, 2013

IMONIANA, Joshua Onome. Auditoria de sistemas de informação. 2. ed. São Paulo: Atlas,
2011.

MASTESCO, Fernando. Planos de continuidade de negócios e a falta que eles fazem na

crise. Disponível em: https://www.campograndenews.com.br/artigos/planos-de-continuidade-
de-negocios-e-a-falta-que-eles-fazem-na-crise/. Acesso em: 03 nov. 2021.

MENZE, Thomas. O estado da cybersegurança industrial “tradução nossa”. Disponível

em: https://ics.kaspersky.com/media/2019_Kaspersky_ARC_ICS_report.pdf. [S.I] [2019].
Acesso em: 30 out. 2021.

RABELO, Fabrício. Plano de continuidade de negócios.[Entrevista concedida à] Jenner

Filho. Universidade Uniasselvi. Transcrição completa da entrevista: Apêndice A. Belo
Horizonte 2021.

SECURITYREPORT. Falha humana é responsável por 33% dos incidentes de

cibersegurança na indústria. [S.I] [2019]. Disponível em:
https://www.securityreport.com.br/overview/mesmo-com-toda-a-automacao-o-fator-humano-
ainda-pode-colocar-os-processos-industriais-em-risco-acoes-nao-intencionais-ou-erros-de-
funcionarios-foram-responsaveis-por-33-dos-incidentes-que-afetaram-a/#.YX7pP2DMLIW/.
Acesso em: 30 de out. 20021.

SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. Rio de

Janeiro: Elsevier, 2003
 13

APÊNDICE A – Transcrição da entrevista nº 1

Entrevistado(a): Fabrício Rabelo

Data: 19/11
Local: Belo Horizonte
Formato: Audioconferência

Jenner: Entrevista de número um para o trabalho de conclusão de curso de gestão da

tecnologia de informação pela universdade Uniasselvi. Meu nome é Jenner Vinícius,
matrícula 2662446. Fabrício gostaria de falar um pouco de você?
Fabrício: Bom dia, meu nome é Fabrício, trabalho como gerênte de serviços na Portnet
Tecnologia, atuo no mercado de Tecnologia aproximadamente a vinte anos, tenho 10 anos de
experiência com BI (Bussiness Inteligence), quantro anos [de experiência] na parte de
planejamento…planejamento estratégico empresarial e empreendedor durante alguns anos
também na área de Tecnologia, especificamente com telecom, depois eu virei um gestor de
Tecnologia levando para as empresas as melhores práticas em Tecnologia da informação,
quatro anos de experiência como gestor da Tecnologia da informação, trazendo as melhores
práticas para essas empresas.
Jenner: Okay, muito obrigado. Fabrício você autoriza a gravação dessa entrevista e que seu
conteúdo seja utilizado para fins acadêmicos assim como sua publicação e divulgação?
Fabrício: Autorizo.
Jenner: Fabrício, hoje pensando em toda a sua carreira, em tudo que você já viu hoje, eu te
pergunto, qual a importância de um plano de continuidade de negócios para as empresas nos
dias de hoje?
Fabrício: Veja bem, a proposta de um plano de continuidade de negócios, é minimizer o
impacto causado por uma crise, ou seja se nós vamos falar de minimizar esse impacto, ele
fundamental para que a empresa tenha continuidade caso aconteça algum problema que pare
as atividades. Temos ai vários exemplos nos dias de hoje com relação a criptografia de dados
e que as empresas encontram-se despreparadas para poder lidar com esse tipo de situação,
então ele é fundamental para essa manutenção dos negócios da empresa.
Jenner: Humhum, entendi. E… durante a elaboração de um plano de continuidade de
negócio, quais são os pontos de maior atenção que são apresentados no decorrer do projeto?
Fabrício: Bem, é... a gente pode praticamente nos é... nos apegar em qautro pontos, a gente
pode ter... a gente tem quatro pontos aí que são extremamente importantes e que normalmente
não são levados em consideração na hora de fazer [o projeto], que são os procedimentos
operacionais, como que você vai trabalhar caso venha ter uma crise, qual vai ser o seu foco,
 14

qual vão ser as ações que você vai tomar, é muito difícil as empresas conseguirem pensar
nessas... em termos de processos alternativos em caso de uma crise, quais são os mecanismos
que nós vamos usar para recuperação dos sistemas, das informações, como que nós vamos
restaurar o ambiente tecnológico da empresa, para poder... para ele voltar a funcionar, quais
vão ser os papéis e as responsabilidades das pessoas que vão estar atuando durante essa crise,
não só de quem vai atuar para resolver a crise, mas de quem vai dar continuidade no negócio,
como que vai funcionar, quais são os papéis dessas pessoas, é muito difícil definir isso e
principalmente definir baseado no cargo e não na pessoa em si, esse plano ele tem que ser sem
nome... sem CPF, é um plano para a empresa e não um plano para uma pessoa. E um ponto
que é fundamental que é a identificação de fornecedores e clientes críticos, porque é utópico
achar que a empresa vai conseguir por exemplo, funcionar fazendo o atendimento de todos os
clientes...de todos e... estar fazer fazendo a aquisição com todos os fornecedores da mesma
forma que ela fazia antes, então ela vai precisar do que? de definer em que que ela vai atuar
durante aquele período de crise, óbvio que considerando que o perído de crise, vai ser um
período pequeno...dois, três, quatro dias no máximo, que ela vai conseguir atuar para aqueles
clientes e fornecedores críticos que vão dar continuidade ao negócio pós crise.
Jenner: Urrum, bacana. Acho que ficou bem explicadinho. Okay... e na sua opnião Fabrício,
qual o maior obstáculo que as corporações enfretam hoje ao tentarem se adequar dentro de um
plano de continuidade de negócios?
Fabrício: Bom… como eu falei na pergunta anterior, a primeira coisa que eu vejo é aonde se
comprometer, o que é que você não vai fazer durante esse período de crise. Você saber que
você não vai fazer tudo… que não vai conseguir fazer tudo… saber o que você vai deixar de
fazer, quais vão ser as atividades que não vão ser executadas, esse é o primeiro ponto que é
um obstáculo, porquê a tendência das empresas é quererem voltar cem por cento, e não fazer
nenhuma… e não comprometer em nada o atendimento, o serviço, o fornecimento de
produtos e isso é utópico né. Am… o foco também somente na Tecnologia da informação,
isso também é um outro problema que tem muito grande na hora de fazer um plano de
continuidade [de negócios] que a empresa não entende normalmente um plano de
continuidade como sendo algo corporativo, algo da companhia como um todo e sim um
pedacinho lá da área de T.I que tem que resolver, a T.I tem que resolver isso e não... não é
assim, muitas vezes vai envolver um... um... um site né, um local alternativo para a empresa
funcionar durante o período [de crise], muitas vezes vai envolver Tecnologia também mas
uma troca de um fornecedor de logística, uma troca de um fornecedor de telefonia, então esse
 15

tipo de ação tem de estar mapeado e normalmente as empresas elas tem resistência ao fazer
um plano de ação levando isso em consideração.
Jenner: Urrum, entendi. Então, só fugindo um pouco aqui do roteiro da entrevista Fabrício,
então no caso um dos maiores desafios seria então o não entendimento das corporações... a
falta de maturidade... entender que dentro de uma plano de continuidade de negócios, você
não está... você não está pensando só na parte de T.I, mas também de todo... todo o processo
corporativo como um todo.
Fabrício: Exatamente, a dificuldade maior é desligar a caixinha da T.I e ver a empresa como
um todo nesse processo em um plano de continuidade. [entrevistador concordando ao fundo]
É muito fácil né... é muito comum digamos assim, não é fácil é muito comum as empresas
investirem na continuidade da parte tecnológica e esquecerem [entrevistador concordando ao
fundo] do resto e não estarem preparadas para lidar com a crise quando vem o problema. Faz
o investimento em T.I, tem lá assim, olha meu ambiente está voltando... beleza, mas... e o
resto? Como você vai fazer? Como você vai atender? Como você vai tratar estes clientes?
[entrevistado personifica cliente] A não eu vou tratar ... é ... o meu ambiente está no ar, mas
eu não tenho as pessoas para atender, porque as pessoas não consegue se conectar porque eu
esqueci dos processos, mas esse é um grande ponto que a gente deve sempre levar em
consideração, não é só T.I nesse caso.
Jenner: Urrum, entendi. Fabrício, durante a sua experiência profissional, há algum case que
você poderia citar onde um plano de continuidade de negócios foi fundamental em um
momento de crises?
Fabrício: Sim, eu não posso falar o nome do cliente, mas... em determinado momento esse
cliente teve o prédio né... o lugar onde ele estava alocado, esse prédio foi interditado pela
defesa civil e todos os equipamentos, todos os servidores, todas as estações de trabalho, foram
impedidas de serem removidas, porque o prédio foi interditado. E como ele tinha um plano de
continuidade, ele conseguiu rapidamente fazer a alocação dos equipamentos, isso já estava
mapeado, já tinha fornecedor mapeado e tudo mais... e fazer o ambiente de tecnologia dele
voltar ao ar porque ele tinha um disaster recovery já pronto para poder ser ligado em caso de
um destrastre. Então nesse caso só precisou atuar na parte tecnológica, mas rapidamente ele
voltou a atuar, algo em torno de um dia e meio, ele já estava no ar.
Jenner: Devido um evento adverso ele teve teve a impossibilidade de utilizar todas as todas
os estrutura dele de t.i. e devido a isso por ele já ter esse plano já desenvolvido ou ele
conseguiu rapidamente...[Fabrício interrompe e continua]
 16

Fabrício: Sim, ele já tinha um local alternativo já mapeado, já fizeram o aluguel dos
equipamentos, conseguimos colocar no ar na epoca o ambiente dele remote… temporário e
depois de mais ou menos um mês e meio, ele já estava cem por cento normal, mas foi um mês
e meio em estado de crise nesse ambiente.
Jenner: Urrum, entendi. Muito claro, muito bom o exemplo, e seguindo um pouquinho
mudando um pouquinho a pergunta Fabrício eu queria te perguntar se durante a sua
experiência profissional, algum case onde a falta de um plano de continuidade gerou um
grande impacto para empresa? Você teria também um case assim?
Fabrício: Sim, aí eu tenho vários [risos], que a gente vê quase todo dia, inclusive na mídia né,
empresas que foram criptografadas, empresas que tiveram problema, e ficaram dias né.. sem
poder faturar, sem ter os seus serviços no ar, sem conseguir fazer um atendimento efetivo aos
seus clientes. Recentemente nos tivemos ai um caso se não me engano, foi da Renner que foi
criptografada, saiu na mídia e tudo mais, e ela não tinha plano... não tinha como voltar,
ficaram alguns dias sem conseguir emitir nota, foi um caso feio. E eu vi isso também em
clientes nossos, onde a gente já tinha sugerido ao cliente, que a gente já tinha colocado que
era importante ele ter um disaster recovery, importante ter um plano de continuidade, mas o
cliente não enxergou isso como um valor na época e teve seu ambiente criptografado e em
alguns casos teve uns dois que tiveram problema com a máquina, com o servidor em si... e
não tinham como voltar com o ambiente, e teve um que chegou a ficar uma semana parado...
tomou multa de clientes que tinham contrato e quase fechou as portas por não ter um plano de
continuidade de negócios
Jenner: Entendi, no caso de criptografia recebi sequestro de dados né? que é quando o
computador é invadido e os dados eles são sequestrados.
Fabrício: Exatamente, é isso mesmo.
Jenner: Então o você que está reportando é um cliente onde ele teve seus dados sequestrados
por ele não ter um plano de quantidade acabou e recebendo multas e seus clients.
Fabrício: Exatamente, ele não tinha um plano de continuidade… ele tinha um backup, mas o
backup foi criptografado porque ele não estava dentro das melhores práticas
Jenner: Entendi, só para deixar claro… Esse cliente ele tinha um ambiente onde ele tinha um
fator jurídico ele tinha o fator jurídico eles vão para o que pesava contra uma possível parada,
e por ele desconsiderar que ele tinha esse fato jurídico no plano de continuidade de negócios,
e por não respeitar as boas práticas, e por ele não ter quando houve o momento de crise, ele
não só sofreu o impactor pela falta de produtividade, mas também impactos da parte legal
 17

justamente por não conseguir cumpri seus contratos dentro dos prazos estabelecidos. Seria
mais ou menos esse o cenário que se pintou nesse case?
Fabrício: Seria exatamente esse cenário.
Jenner: Tranquilo então. Fabrício, agradeço muito pelo seu tempo que você disponibilizou
aqui para gente e nos mais eu agradeço pela entrevista e pelo conhecimento compartilhado.
Fabrício: Okay, não por isso. Abraço para vocês.

APÊNDICE B – Transcrição da entrevista nº 2

Entrevistado(a): Lauro Batista

Data: 25/11
Local: Belo Horizonte
Formato: E-mail

Jenner: Qual a importância de um plano de continuidade de negócios (PCN) para as

empresas nos dias de hoje?
Lauro: Uma organização que falhe ao prover um nível de serviço mínimo aos seus clientes
após o advento de um desastre pode não ter um negócio para ser recuperado. O seu cliente
pode migrar para o concorrente, ou o seu negócio pode ver o crédito de investimento
desaparecer. Ou o seu Cliente pode na sua ausência reavaliar a real necessidade do consumo
do seu serviço ou produto e a considerar desnecessária.
Jenner: Durante a elaboração de um plano de continuidade de negócios quais são os pontos
de maior atenção que são apresentados no decorrer do projeto?
Lauro: Os pontos de maior atenção acabam caindo em “O que proteger”, quais pontos são
indispensáveis para a continuidade mínima do negócio.
• Funções de Negócio: Funções que provêm produtos ou serviços
• Funções Críticas de Suporte: Funções das quais sem elas as “Funções de Negócio” não
conseguem funcionar (ex.: TIC, Serviços Gerais, etc)
• Funções de Suporte ao Nível Corporativo: Funções necessárias para efetiva operação
das “Funções de Negócio” (Ex. RH, Finanças,etc)
Jenner: Qual o maior obstáculo que as corporações enfrentam hoje ao tentarem se adequarem
dentro de plano de continuidade de negócios (PCN)?
 18

Lauro: O PCN possui caráter preventivo; o foco é evitar ou mitigar o impacto de um risco.
Infelizmente na cultura brasileira pouco valor é percebido quando se tenta tomar ações de
caráter preventivo. Existe uma dificuldade enorme de apoio mesmo nas esferas superiores, e
dificuldade de investimento por parte dos gestores. O PCN é um “ser vivo”, que precisa ser
trabalhado/revisado o tempo todo com o objetivo de refletir as mudanças nas empresas. Em
muitos casos, o comum é presenciarmos na iminência de um desastre, dinheiro ilimitado para
resolver as consequências deste desastre, ou para se evitar novos desastres como aquele. Mas
lembrando que ele poderia ter sido evitado desde o início com um PCN bem trabalhado.
Jenner: Durante sua experiência profissional, há algum case em que possa citar, onde um
plano de continuidade de negócios foi fundamental em um momento de crise?
Lauro: Sim. Um cliente, construtora de grande porte aqui em Belo Horizonte, passou por
muitos meses de consultoria com foco na continuidade do negócio, pois em sua sede, áreas
chaves e também o datacenter eram situados fisicamente em um andar de subsolo, abaixo do
nível da rua. Em uma forte tempestade em BH, por poucos metros não viram seu prédio
passar por uma situação de alagamento. Neste momento ficou clara a necessidade do plano.
um mês após a conclusão dos trabalhos de consultoria de processos e também de uma pesada
transformação digital, fomos todos “bombardeados” com o lockdown devido ao Covid19, e
de imediato toda a empresa se viu apta e pronta para a operação distribuída. Nenhuma área de
negócio foi impactada, e a empresa operou normalmente durante toda esta fase.
Jenner: Durante sua experiência profissional, há algum case onde a falta de um plano de
continuidade de negócios gerou um grande impacto para a empresa?
Lauro: Sim, também tenho um bom caso. Neste cliente, plano de saúde que possui sua matriz
dentro do Campus de uma Universidade Federal, teve sua operação impactada nas suas
principais áreas de negócios como call center, TI, atendimento ao cliente durante as
manifestações ocorridas próximo ao período de Copa do Mundo. BH, como cidade sede com
o estádio Mineirão, bem ao lado do referido Campus, foi palco de diversos episódios de
vandalismo e manifestações. E todas as vezes que ocorriam nas redondezas do estádio, o
Campus era fechado pelas forças armadas e ninguém podia sair ou entrar, impossibilitando a
empresa de operar mesmo sem sofrer qualquer dano físico à sua estrutura. A partir destes
episódios, desenvolvemos em conjunto as ações para mitigar/minimizar impactos nas
operações críticas de atendimento, onde foram levantados novos riscos, como por exemplo,
alagamentos frequentes no Campus e também a proximidade com o Aeroporto da Pampulha.