Política de continuidade

Objetivo

O objetivo dessa política é garantir a entrega ininterrupta dos serviços essenciais da organização, mesmo diante de interrupções ou desastres. Essa política visa proteger os interesses das partes interessadas, assegurando que os serviços sejam retomados o mais rápido possível e com o mínimo de impacto negativo.

Áreas e Processos críticos para a organização

Nesta seção definiremos quais são os processos considerados como críticos para organização bem como os papeis dos responsáveis pelo re-estabelecimento.

Definição das áreas e Processos críticos

Em consonância com o plano de continuidade, os processos críticos, definidos como aqueles cuja interrupção exige tratamento prioritário e cujo tempo de inatividade deve ser minimizado, foram cuidadosamente identificados.

Após análise minuciosa, os seguintes processos foram classificados como críticos para a organização:

Recursos Humanos: Responsável pela gestão do capital humano, essencial para a manutenção das operações e para o cumprimento de obrigações legais e contratuais.
Comercial: Responsável pela geração de receita e manutenção do relacionamento com clientes, crucial para a sustentabilidade financeira da organização.
Infraestrutura: Responsável pela manutenção dos recursos físicos e lógicos, incluindo instalações, equipamentos e sistemas, indispensáveis para o funcionamento dos demais processos.

Em caso de interrupção, a ordem de prioridade para a retomada das atividades será a seguinte:

Tecnologia e infraestrutura: A restauração da infraestrutura é fundamental para possibilitar a retomada dos demais processos.
Recursos Humanos: A equipe de Recursos Humanos é essencial para garantir a gestão do pessoal e o apoio aos demais processos durante a recuperação.
Comercial: A retomada das atividades comerciais é crucial para não perder oportunidades, como por exemplo a participação de maneira satisfatória a um pregão, ou a renovação de um contrato.

A presente priorização visa assegurar a retomada célere dos serviços essenciais da organização, minimizando os impactos negativos de eventuais interrupções e garantindo a continuidade do negócio.

Papeis e recursos envolvidos

Papeis

Diretor de Tecnologia (Líder de Continuidade)

Tem por responsabilidade:

Garantir a continuidade da infraestrutura tecnológica e dos serviços essenciais para a organização. Realizar o Backup das informações críticas conforme a Estratégia de Backup.
Liderar e coordenar as ações de resposta e recuperação em caso de interrupções, mobilizando as equipes necessárias e acionando os planos de contingência.
Comunicar as interrupções de serviços aos stakeholders internos e externos, fornecendo informações claras e precisas sobre o impacto e o tempo estimado de recuperação.
Monitorar continuamente a situação e tomar decisões estratégicas para mitigar os impactos e acelerar a retomada das operações.

Gerente de Recursos Humanos

Tem por responsabilidade:

Comunicar aos stakeholders internos (funcionários, colaboradores, etc.) sobre problemas relacionados à ausência ou indisponibilidade de recursos humanos, como em casos de desastres naturais ou pandemias.
Acionar planos de contingência para garantir o bem-estar e a segurança dos funcionários, bem como a continuidade das atividades essenciais, como trabalho remoto ou alocação de equipes alternativas.
Coordenar a comunicação com os prepostos e gerentes de contratos.

Diretor Comercial

Tem por responsabilidade:

Comunicar aos clientes sobre problemas de infraestrutura ou de recursos humanos que possam afetar a continuidade dos contratos ou a prestação de serviços.
Negociar soluções alternativas com os clientes, como prazos de entrega estendidos ou serviços substitutos, buscando minimizar o impacto nos negócios e preservar o relacionamento.
Manter os clientes informados sobre o progresso da recuperação e as ações que estão sendo tomadas para restabelecer a normalidade.

Recursos

A infraestrutura de TI da organização foi projetada com redundância e resiliência para garantir a continuidade dos serviços em caso de interrupções. Os seguintes recursos estão disponíveis para o plano de continuidade:

Infraestrutura

Servidores: Todos os servidores são equipados com fontes de energia redundantes para evitar interrupções em caso de falha de energia. Os discos rígidos estão configurados em RAID 5 para proteger os dados contra falhas de disco. Todos os servidores são gerenciáveis de maneira centralizada por um cliente Web, facilitando o monitoramento e a gestão remota.
Backup: Conforme a Estratégia de Backup, todos os dados dos sistemas críticos são incluídos no ciclo diário de backup. Os principais arquivos são armazenados em uma nuvem externa para garantir a segurança dos dados em caso de destruição das máquinas onde o backup é efetuado.
Internet: O acesso à Internet é fornecido por dois links de provedores distintos, garantindo a disponibilidade da conexão em caso de falha de um dos provedores. Todos os acessos, entradas e saídas são monitorados e filtrados por um firewall para proteger a rede contra ameaças externas.
Energia: Todos os equipamentos, servidores, pontos de acesso sem fio, switches e dispositivos de acesso à Internet e VPN estão conectados a um sistema de alimentação ininterrupta (no-break). Esse sistema de alimentação está ligado a um ponto de entrada de eletricidade separado do resto dos pontos, garantindo o fornecimento de energia mesmo em caso de falha na rede elétrica principal.

Equipe

Uma equipe dedicada é responsável pelas manutenções, pelo monitoramento e pela validação dos ambientes. Essa equipe está disponível para responder a incidentes e garantir a continuidade dos serviços.

Riscos identificados e Plano de contingência

Riscos potenciais

Os riscos organizacionais identificados e as medidas para tentar prevení-los são, por área:

Tecnologia e infraestrutura

Tabela 1. Riscos de tecnologia e infraestrutura
Id	Risco	Processos impactados	Medidas de prevenção
T1	Ataques externos como _DOS_^[1] e _Ransomware_^[2]	RH - Recrutamento e seleção Comercial (Prospecção e Renovação de contratos) Gestão de contratos	Monitoramento da rede e Backup
T2	Perda ou corrupção de dados		Backups
T3	Queda de Eletricidade		Sistema de alimentação ininterrupta (no-break)
T4	GMail		E-mail alternativo auto-hospedado (Mailcow)
T5	Interrupção do SGO	RH - Recrutamento e seleção	Monitoramento do SGO e serviços relacionados
T6	Interrupção do ECM (Alfresco)	Comercial, sem possibilidade de mandar documentação para assinatura e renovação de contratos	Monitoramento do ECM e serviços relacionados

RH: .Riscos de RH

Id	Risco	Processos impactados	Medidas de prevenção
RH1	Ausência por conta de catástrofe natural, epidemia (falta em massa)	RH - Recrutamento e seleção Gestão de contratos Comercial (Renovação de contratos) Gestão de Configuração e Infraestrutura	N/A
RH2	Ausência de pessoal qualificado para recrutamento.	cGestão de contratos	Banco de currículos no SGO

Risco

Processos impactados

Medidas de prevenção

RH1

Ausência por conta de catástrofe natural, epidemia (falta em massa)

RH - Recrutamento e seleção
Gestão de contratos
Comercial (Renovação de contratos)
Gestão de Configuração e Infraestrutura

N/A

RH2

Ausência de pessoal qualificado para recrutamento.

cGestão de contratos

Banco de currículos no SGO

Planos de Contingência

Recuperação de dados: Em caso da ocorrência dos seguintes riscos: T1, T2 (ver Riscos de tecnologia e infraestrutura) será efetuada a restauração de backups conforme a Estratégia de Backup.
Uso de alternativas: Em caso de ocorrência dos riscos T3, T4, T5, T6 podem ser utilizadas ferramentas nos computadores locais ou em serviços em nuvem, por exemplo Word, Excel ou Google Docs, Google Sheets.Após o reestabelecimento a equipe encarregada dos sistemas apoiará na inserção nos serviços dos dados registrados fora deles.

Alguns documentos de uso comum como registros da empresa, diretores e sócios podem ser armazenadas em um serviço externo como o Google Drive.

Plano de comunicação

Neste plano, definiremos as diretrizes e os procedimentos para a comunicação durante a ativação do plano de continuidade, garantindo que todas as partes interessadas sejam informadas sobre a situação, as ações tomadas e o progresso da recuperação.

Os canais de comunicação utilizados serão os definidos no item Regras de Comunicação do processo Orientação das Equipes de Trabalho.

Imediatamente após a interrupção dos serviços os responsáveis citados no item Papeis devem ser informados das possíveis causas e as ações iniciais que serão tomadas.

Após a identificação da causa, ou depois de uma hora após o ocorrido (o que acontecer primeiro) os Stakeholders internos devem ser atualizados sobre o progresso da recuperação e o tempo estimado de retorno à normalidade se a causa foi encontrada.Neste momento os Stakeholders podem ser comunicados do acontecimento.Se depois de uma hora a causa não foi encontrada, esse processo será repetido até encontrar ela, os Stakeholders internos receberão notícias de hora em hora.

É desaconselhado entrar diretamente em contato com o Líder de Continuidade para saber do progresso para não atrasar a recuperação.

Após a restauração dos sistemas os Stakeholders internos devem ser avisados, os mesmos após validar que os serviços voltaram ao normal devem notificar os Stakeholders externos.

Todas as comunicações visando a informar os Stakeholders internos terão por origem o Líder de Continuidade.

Treinamento e Conscientização

Durante os treinamentos organizacionais previstos no Plano tático do Plano estratégico e tático de treinamento o plano de continuidade é explicado a todos os participantes, para todos saberem quais responsabilidades eles têm, por exemplo sobre o uso do e-mail de contrato no GMail para os prepostos e gerentes de contratos.

De tempo em tempo, conforme definido no Estratégia de Backup Testes de backups no plano de backup[] o procedimento de restauração dos backups deve ser testado.

Monitoramento e Melhoria Contínua

Depois de cada incidente uma ocorrência de análise post-mortem é registrada no SGO explicando a causa do problema e o que foi feito para encontrar ela e restaurar o serviço.

Usamos ferramentas de monitoramento de redes e servidores com alertas para tentar detectar os problemas antes que eles acontecem. Essas ferramentas são usadas também para verificar o comportamento de um servidor ou da rede antes do problema acontecer para poder criar novas regras e evitar que o mesmo incidente aconteça de novo. As ferramentas de monitoramento enviam as alertas em tempo real na ferramenta de comunicação interna.

Diariamente o SGO cria uma tarefa para o núcleo de Configuração e Infraestrutura para validar no início do dia que os sistemas críticos e os de monitoramento estão rodando corretamente.

Histórico de Revisão

Tabela 2. Histórico de Revisões
Data	Versão	Autor	Revisor	Observação
14/02/2025	1.0	Cédric Lamalle	Leonardo Lopes	Versão inicial

1. Denial of Service Um ataque de Negação de Serviço é um ataque cibernético que visa tornar um serviço ou recurso indisponível para seus usuários legítimos sobrecarregando o serviço alvo com um grande volume de tráfego ou solicitações

2. Ataque que consiste em criptografar os dados em um servidor e solicitar um valor de resgate para recuperar os dados originais