Estratégia de Continuidade de Negócio Introdução Este plano de contingência tem o objetivo de descrever as medidas a serem tomadas pelo XPTO para fazer com que seus processos vitais suportados pelos serviços de TI voltem a funcionar plenamente, ou em um estado minimamente aceitável, o mais rápido possível, na ocorrência de incidentes.
Justificativa O cenário competitivo e dinâmico como o mercado se comporta no país permite concluir que há uma necessidade de esforço intersetorial e interinstitucional para evitar perdas à organização em sua área de atuação na ocorrência de paradas de serviços ocasionadas por incidentes. Dessa forma, o plano de contingência foi elaborado com a finalidade de estabelecer ações e medidas a serem tomadas em caso de contingências de TI.
Uso e manutenção do plano de contingência Para o uso deste documento o mesmo deverá ser aprovado pela direção e amplamente distribuído aos colaboradores da TI que deverão conhecer os riscos, responsáveis e resolução das situações e pressupostos. As tabelas ou anexos funcionais poderão ser destacados e utilizados na estratégia de divulgação das informações e consulta rápida, assim como para simulações de contingência. Qualquer dúvida referente a este documento, o líder do plano de contingência e/ou o Facilitador do plano poderão ser contatados. O plano de contingência deve ser visto como um documento dinâmico. Portanto devido às mudanças e necessidade de identificação de novos riscos, situações, operações etc, serão realizadas alterações com o objetivo de agregar maior conhecimento e otimização ao plano.
Área de aplicação A Tecnologia da Informação é uma grande força em áreas como finanças, transportes, design, produção de bens, assim como no rádio, televisão e área jurídica. Seu desenvolvimento facilitou e intensificou a comunicação pessoal e institucional e reduziu custos nas instituições públicas ou particulares na execução de seus processos. Está área é um recurso valioso que provoca repercussões em todos os níveis da estrutura organizacional: 1.
Perm Permit itee a ofer oferta ta de de prod produt utos os mais mais baix baixos os que que,, aliad aliados os a um bom bom ser servi viço ço e à boa boa relaç relação ão com com os clientes, resultam numa vantagem competitiva adicional, através de elementos de valor acrescentado cujo efeito será a finalidade dos clientes;
2.
Perm Permit itee també também, m, alte alteraç raçõe õess nas con condi diçõ ções es comp compet etiti itiva vass de dete determi rmina nado do merc mercad ado, o, em term termos os de alteração do equilíbrio dentro do setor de atividade, dissuasão e criação de barreiras à entrada de novos concorrentes;
3.
E aind ainda, a, desenv desenvolv olvee novo novoss prod produto utos/s s/serv erviço içoss aos aos clientes clientes ou difere diferencia ncia os já existe existente ntess dos dos da concorrência e que atraem o cliente de forma preferencial em relação à concorrência.
Porém, repercutir em todos os níveis da estrutura organizacional apresenta riscos que por sua vez devem ser gerenciados. Ter reconhecidamente impactos positivos no nível interno e externo das organizações, gera a obrigatoriedade de se estabelecer medidas contingencias em caso de incidentes ou falhas. Nesses casos, a parada dos serviços de tecnologia que apoiam os negócios da organização pode gerar prejuízos.
Responsabilidades Fica estabelecido neste documento, os agentes responsáveis pela manutenção, divulgação, coordenação, e suporte ao plano de contingencia na XPTO.
Colaboradores e Áreas Agente Função Contato Lilian Blank Analista de Sistemas XXXX XXXX Responsabilidades Liderar a prática do plano de contingência; Elaborar e efetuar a manutenção do plano de contingência e procedimentos funcionais analisando a viabilidade técnica de aplicação e coordenação; Testar a eficácia do plano por de simulação e execução; Prestar informações necessárias a divulgação do plano de contingência; Ativar e coordenar o plano de contingência na ocorrência de incidentes.
Responsabilidades Atuar como Facilitador e elaborador a estratégia de divulgação e divulgar o plano e seus anexos funcionais (se houverem). Nome Função Telefone Responsabilidades Avaliar e apoiar ações de coordenação na ocorrência de incidentes. Nome Função Telefone Responsabilidades Prestar o apoio, conhecer e respeitar os procedimentos funcionais do plano de contingência Tabela 1. PC. Responsáveis – Colaboradores e Áreas.
Agências Na ocorrência de incidentes, cujo tratamento não pode ser aplicado pela equipe de TI, poderão ser acionados os seguintes agentes:
Incêndios e Catástrofes Órgão Corpo de bombeiros
Responsabilidade Apagar ou minimizar incêndios; Resgatar pessoas em situação de perigo; Fornecer assistência nos desastres naturais e causados pelo
Contato 193
homem; Fornecer laudo técnico de inspeção de segurança e analise de incidente. Defesa civil
Evitar ou minimizar desastres; Preservar a moral da população; Restabelecer a normalidade social. Policia Civil/Militar Preservação da ordem; Oferecer segurança publica; Efetuar o policiamento ostensivo; Investigar crimes e fraudes. Tabela 2. PC. Responsáveis – Agencias Publicas
199
190
Suporte Especializado Serviços Rede Elétrica Pública
Responsável Celesc
Rede Elétrica Privada
CMJ Instalações Elétricas Ltda.
Telefonia
GVT
Responsabilidade Fornecer energia elétrica segura e estável à rede pública Prestar manutenção da rede elétrica da XPTO Fornecer serviço de telefonia
Contato 0800 48 0196
47 3465 2019 103 25
Tabela 3. PC. Responsáveis – Agencias Publicas
Serviços de TI Serviços Sistema ERP Suporte a estações
Responsável Responsabilidade Fácil Informática Prestar suporte ao ERP Dell Prestar suporte a instalação e funcionamento das estações de trabalho Suporte a servidores HP Prestar suporte a instalação e funcionamento dos servidores Suporte a roteadores Cisco Prestar suporte a instalação e funcionamento dos roteadores Tabela 4. PC. Responsáveis – Agencias de TI
Contato 47 3041 1929 0800 970 3384
0800 709 7751 0800 702 4726
Serviços gerais Serviços Seguro
Responsável Mapfre Seguros
Responsabilidade Contato Responsabilizar-se pelo risco de 0800 775 4545 furtos, roubos, catástofres e ressarcir o cliente dos prejuízos conforme contrato estabelecido Tabela 5. PC. Responsáveis – Agencias de Serviço em geral
Situações e Operações Está área do plano de contingencia tem o objetivo de apresentar os possíveis incidentes e as devidas operações para seu tratamento. Os incidentes foram destacados conforme registro de ocorrência da XPTO. A ativação do plano poderá ser efetuada pelo seu líder ou imediato responsável e supervisionada pela direção que poderá aprovar o apoio logístico e financeiro.
Catástrofes Ações que visam sanar o incidente e subsidiar o restabelecimento dos serviços de TI. 1.
Avaliar e ativar o plano de contingencia;
2.
Estabelecer o contato com corpo de bombeiros para eliminar ou minimizar um incidente e fornecer laudo técnico da ocorrência;
3.
Acionar o seguro;
4.
Restabelecer os serviços de TI em um estado minimamente aceitável de modo a suportar os processos e negocio da organização.
Gerais Falência de Empresa prestadora de Serviços 1.
Avaliar o incidente e informar a direção;
2.
Estabelecer o contato com o responsável legal e técnico da prestadora de serviço com o mandado de segurança objetivando cumprir as clausulas do contrato em caso de falência* e garantir a segurança das informações;
3.
Contratar ou alocar mão de obra qualificada para prestar suporte a tecnologia ou ao serviço requerido;
4.
Manter ou estabilizar a prestação do serviço de TI de forma a sustentar o negocio da organização * Os contratos de prestação de serviço da XPTO preveem que a falência da empresa prestadora de serviço, a mesma deverá entregar a tecnologia à contratante assim como a respectiva documentação e/ou dados da organização em posse da contratada sem ônus.
Roubo ou uso não autorizado de informação 1.
Avaliar o incidente e informar a direção sore roubo ou uso não autorizado da informação e os possiveis impactos à organização*;
2.
Avalia a exposição e segurança da informação e redefinir os meios de acesso a mesma ou suas caractersticas(se possivel);
3.
Monitorar novas ações de uso não autorizado ou tentativa roubo através dos recursos de rede e tecnologia;
4.
Reavaliar a politica de segurança de forma a concluir sobre falha ou agregação de item;
5.
suportar os serviços da organização adotando estratégias de segurança de modo a conter o risco inerente ao uso não autorizado da informação; * Somente a direção terá a autonomia de tomar medidas corretivas /ou administrativas quanto ao responsavel pelo roubo ou uso não autorizado de informação.
Desligamento ou demissão de colaboradores chave da TI Ações que visam preservar a segurança da informação e subsidiar a continuidade dos serviços prestados pela TI. 1.
Providencias a exclusão ou bloqueio dos acessos aos recursos de TI e informações da organização;
2.
Redefinir senhas padrão de gerenciamento e suporte;
3.
Mapear as atividades por prooridade e alocar recursos humanos capacitados para atendimento das mesmas;
4.
Contratar e treinar mão de obra para suprir a falta de um componente do grupo;
5.
Suportar os serviços da organização mantendo estáveis os serviços de TI;
Danos de hardware e software 1. Avaliar as causas do dano; 2. Armazenar na base de conhecimento o incidente; 3. Providenciar o ativo, equipamento ou software de modo a dar continuidade do atendimento dos serviços; 4. Na falta de backup para substituição, abrir ordem de compra, locação, concerto do equipamento ou aquisição de licença; 5. Executar a troca, manutenção ou reinstalação do ativo; 6. Se necessário realocar ativos ou recursos para atendimento de serviços;
Perda dos backups 1. Atualizar as fitas de backup com dados atualizados do ambiente de produção; 2. Avaliar as causas da perda e estudar soluções permanentes;
Intermitência na internet 1. Acionamento do SLA;
Queda de energia 1. Entrar em contato com a consecionaria de energia publica e informar a falta de energia e questionar o tempo de retorno da energia; 2. Manter os serviços de TI operando com o suporte do gerador de energia privado
Queda do serviço de telefonia 1. Entrar em contato com a concessionaria de telefonia; 2. Utilizar a internet como alternativa de comunicação;
Vírus de computador 1. Ativar o antivirus e monitorar açõesmaliciosas na rede; 2. Eliminar ameaças;