Glossário Internacional de Resiliência
Transcrição
Glossário Internacional de Resiliência
Glossário em Português Termos de Uso Este material é exclusivamente para fins informativos. O DRI International, seus administradores, diretores, funcionários, licenciados, afiliados e voluntários ("DRI Internacional") não o estão oferecendo como serviços ou aconselhamentos jurídicos profissionais ou outros. Embora todos os esforços tenham sido utilizados na preparação desse material, o DRI Internacional não faz nenhuma representação ou estabelece qualquer tipo de garantia, não assume responsabilidade de qualquer espécie com relação à exatidão ou à integridade dos conteúdos e, especificamente, se isenta de quaisquer garantias de comerciabilidade ou adequação de uso para um propósito particular. O DRI International não será responsabilizado ou responsável, por qualquer pessoa ou entidade, com respeito a qualquer perda ou danos acidentais ou indiretos causados, ou alegadamente causados, direta ou indiretamente, pelas informações aqui contidas. Cada organização é diferente e as definições contidas neste documento podem não ser adequadas para sua situação. Você deve procurar os serviços de um profissional competente antes de iniciar qualquer programa de melhoria. Committee Members Permanent Committee Members Chair: Bobby Williams, MBCP, Fidelity Coordinator: Chloe Demrovsky, CBCV, DRI International Al Berman, MBCP, DRI International Drew Buchanan, CBCP, Bowhead Systems Management, LLC John Franchy, CBCP, United States Department of Defense Dean Gallup, MBCP, Advantaged Solutions, Inc.. James Price, MBCP, 3J Contingency Planning Services Gary Villeneuve, MBCP, CBCLA, DRI International Mark Wilson, MBCP, CSC Brian Zawada, MBCP, Avalution Consulting Contributing Committee Members Carol Chia, ABCP, DRI Malaysia Rod Crowder, CBCP, DRI Australia Mohammed al Jenaibi, CBCP, Executive Council, United Arab Emirates Jason Low, SPRING Singapore Winston Poon, CBCP, CBCA, DRI Singapore Harley Lemons, MBCP, United States Department of Defense Kelley Okolita, MBCP, Regence Blue Cross Blue Shield Peter McEvoy, ABCP Jim Kinsman, MBCP, TD Ameritrade Assistant Coordinators Ingrid Covaci, New York University Scott Reutter, New York University Andrew Frame, New York University Acknowledgments Harvey Betan, CBCP, CBCLA, Risk Masters, Inc. Buffy Rojas, DRI International Melissa Smith, MBCP, C2 Consulting Candy Wehenkel, CBCP, Anderson Merchandisers Katherine Wilkins, New York University Russell Wooldridge, CBCV, DRI International Portuguese Language Committee Member Alexandre Guindani, CBCP, MBCI, GCNBrasil Acknowledgments Dayse Ribeiro Alves Pereira Roberto do Vale Barros Andrea Moreira Marum Jorge International Glossary for Resiliency Introduction Notes from the Coordinator: Clear communication is an essential part of what we do, yet we all have had experiences in which the same terms are used to describe different situations. For example, which term do you use to describe a fire? Is it an emergency, an incident, an event, a disaster, or all of the above? Sometimes the discrepancies are subtle, sometimes not. In everyday situations, ambiguity can be comical, confusing, or at worst, annoying. In a crisis situation, unclear definitions can be dangerous. As the oldest and largest organization of its kind, DRI International is an industry thought leader, and our certified professionals and the greater continuity community look to us for guidance. When we were asked to offer a DRI glossary, we took on the challenge. The first question we posed was quite simple: What can we create to best serve the industry? As a nonprofit organization, service is our mission. In answering that question, we soon realized that the industry already has many glossaries and terms. These various documents offer much insight and are already widely used in various parts of the world. Rather than add to the abundant number of existing glossaries, we felt that DRI should act as an arbiter of existing definitions. For this reason, the DRI glossary does not create new definitions. Instead, we selected and presented the best-in-class definitions already in use in the English language. The process had to be international, inclusive, and apolitical, so we established a volunteer committee of industry leaders to review and vote on the terms and definitions that would ultimately appear in this document. What you see here is the result of nearly two years of effort to build the beginnings of a standard set of terms. We expect that this will be a living document, subject to revisions and changes. We are eager for your input, as well as the participation of representatives from each of the source documents, as we work to achieve our goal of uniformity in the industry. I would like to thank everyone who contributed to this tremendous undertaking including the tireless committee members, reviewers, assistant coordinators, and DRI staff. Most of all, I cannot thank Bobby Williams enough for stepping forward when called upon during a meeting of DRI’s Professional Development Committee to offer his services as chairperson. I am honored to have worked on this project with such an incredible group of people, and I look forward to working with many more of you as the DRI Glossary evolves along with the industry it serves. Thanks, Chloe Demrovsky International Glossary for Resiliency Notes from the Chair: There are times in our lives when a simple question takes on a very complex life of its own. This document was such an undertaking for me. I was asked if I would lead a committee to develop a compilation of glossary terms for DRI International. I thought, “How hard could that be?” Harder than I thought, but also infinitely more rewarding. You are now reading the result of our undertaking. A document (not a monster!) that we created and are hopeful will have a life of its own for many years to come. The goal of our committee was to gather as many laws, standards, regulations, organizational best practice guides, and industry periodicals containing definitions relating to business continuity (BC), disaster recovery (DR), or risk management (RM). We took the terms contained in those documents and compiled a glossary of preferred definitions for use by our industry as a definitive source of terminology. The first task (gathering the resource documents) proved to be pretty straightforward. We compiled a total of 23 documents. These 23 documents contained 2189 unique terms and a total of 2730 terms. The multiple definitions of terms proved to be the real challenge of this project. The committee took several ballots to eliminate some terms that we felt really weren’t specific to BC, DR, or RM. This stage of the process netted 479 unique terms from a total of 876 occurrences in 22 reference documents. The next task was the most daunting: selecting the best definition across multiple resource documents. After many ballot iterations, negotiations, and gnashing of teeth, we feel that we have succeeded in compiling the most comprehensive glossary of BC, DR, and RM terms in our industry. But just like a continuity plan, the work is never really done. This document is only the beginning! The long range vision for the glossary is to continue to refine and enhance it. I want to thank the committee members for their efforts on this project. I would also like to thank Chloe Demrovsky, our DRI coordinator. It has been a privilege to be a part of this committee. Thanks, Bobby Williams DRI International Como utilizar este documento: Abaixo estão alguns pontos de atenção na utilização deste documento: • Nenhuma das definições deste documento são originais. As citações dos documentos de origem, escolhidos pela comissão, podem ser encontradas após cada definição entre parênteses. • Em alguns casos, as definições foram modificados para melhorar o entendimento, incluindo a remoção de exemplos ou referências internas. • Quando uma nota ou comentário do documento de origem for incluído, será precedido por "Nota do Editor (Nome da Fonte) ". Nossas próprias notas são precedidas por "Nota do Editor (DRI)". • Para algumas definições existem vários itens. Letras são utilizadas para listar os itens de uma única definição (ou seja, a., B., C.) • Se duas definições tiveram o número de votos próximo no processo de votação e foram consideradas substancialmente diferentes, ambas foram incluídas. Números são usados para listar as várias definições (isto é, 1., 2., 3.), e cada uma é seguida por sua fonte. • Nomes de organizações, associações e certificações não estão incluídos. • Todas as fontes estão incluídas na seção intitulada "Fontes", juntamente com uma descrição da organização ou documento. Sempre que possível, a descrição é obitida de documento ou do site da organização. Para mais informações sobre o processo ou se você tiver alguma dúvida, entre em contato com Chloe Demrovsky - [email protected]. Como este documento é mantido: Aqui estão alguns pontos sobre como é a manutenção deste documento: • Sugestões de melhoria SEMPRE serão aceitas. » O ponto de contato (POC) é Chloe Demrovsky - [email protected]. • Este documento é revisto trimestralmente pelo Comitê. » A revisão é baseada em: Comentários recebidos; Mudanças significativas em normas; Mudanças significativas em leis e regulamentações; Mudanças significativas no ambiente regulatório. • Uma sessão pública de revisão ocorrerá anualmente durante a conferência do DRI. • A revisão anual formal do documento será publicada no primeiro dia útil do segundo mês posterior à conferência do DRI. » A revisão anual manterá o nome do documento acrescido do número da revisão “Rev #”. • Revisões completas deste documento ocorrerão a cada 4(quatro) anos. » Esta versão será nomeada com o ano de lançamento e nenhum número de revisão. » Revisões completas podem incluir: Novos termos; Exclusão de termos. 1 Glossário em Português A Aceitação de Riscos (Risk Acceptance) Uma decisão da administração de não tomar ação alguma para mitigar o impacto de um risco particular. (BCI) Acordo de Ajuda Mútua (Mutual Aid Agreement) Acordo formalizado entre duas ou mais entidades para prestar assistência às partes do acordo. [ISO / PAS 22399 2007] (ASIS) Acordo de Basiléia Acordo das instituições financeiras internacionais sobre a avaliação (Basileia III) de risco financeiro e as relações entre o capital e o risco. (BCI) (Basel Accord (Basel III)) Acordo de Nível de Serviço (ANS) (Service Level Agreement (SLA)) Acordo formal entre um prestador de serviço (quer interno ou externo) e seu cliente (quer interno ou externo), que abrange a natureza, qualidade, disponibilidade, alcance e resposta do provedor de serviços. O ANS deve abranger as situações do dia a dia e as situações de desastre, visto que a necessidade do serviço pode variar em um desastre. (DRJ) Acordo Recíproco (Reciprocal Agreement) Acordo entre duas organizações (ou dois grupos empresariais internos) com equipamento/ambiente similar que permite a cada um recuperar-se na instalação do outro. (DRJ) Acreditação (Accreditation) Declaração formal de uma Entidade Acreditadora que um sistema de informação está aprovado para operar em um nível aceitável de risco, com base na aplicação de um conjunto de salvaguardas técnicas, gerenciais e operacionais. a.Privilégios de acesso concedido a um usuário, programa ou processo ou o ato de concessão desses privilégios. (CNSSI-4009) Ação Corretiva (Corrective Action) Ação para eliminar a causa de uma não conformidade e para prevenir sua recorrência. (ISO 22301) Administrador do Plano de Continuidade dos Negócios (Business Continuity Plan Administrator) Pessoa responsável pela documentação, manutenção e distribuição do plano. (DRJ) Ajuda Mútua (Mutual Aid) Acordos recíprocos formalizados e documentados entre duas ou mais organizações que prevejam assistência unilateral, bilateral ou multilateral, em circunstâncias determinadas. (Australia AS NZS DRI International 5050) Alerta (Alert) Notificação de que existe uma situação potencial de desastre/interrupção. Geralmente direciona para prontidão das equipes, no caso de uma possível ativação. (DRJ) Alta Disponibilidade (High Availability) Abordagem ou desenho que minimiza ou mascara os efeitos que uma falha em um item de serviço de TI causa aos usuários. Soluções de alta disponibilidade são projetadas para atingir um nível acordado de disponibilidade e faz uso de técnicas tais como tolerância a falhas, resiliência e recuperação rápida para reduzir o número e o impacto dos incidentes. (ITIL) Ameaça (Threat) Situação natural ou causada pelo homem que pode gerar interrupção das operações ou serviços de uma organização. (Singapore SS540) Ameaças Humanas (Human Threats) Possíveis interrupções nas operações resultantes de ações humanas identificadas durante a avaliação de risco (empregado descontente, terrorismo, chantagem, greves, disturbios sociais, etc.) (DRJ) Análise de Causa Raiz (Root Cause Analysis (RCA)) Atividade que identifica a causa raiz de um incidente ou problema. Normalmente concentra-se em falhas de infraestrutura de TI. (ITIL) Análise de CustoBenefício (Cost Benefit Analysis) Processo (após o BIA e avaliação de riscos) que identifica a melhor opção dentre diferentes estratégias de GCN, avaliando o custo financeiro de cada opção em comparação com o ganho percebido com a implementação desta opção. (DRJ) Análise de Impacto (Impact Analysis) Processo de análise de todas as funções operacionais e do efeito que uma interrupção operacional poderia ter sobre elas. Nota do editor (ASIS): Análise de impacto inclui a análise de impacto nos negócios - a identificação de ativos críticos de negócios, funções, processos e recursos, bem como uma avaliação do dano ou perda potencial que pode ser causada à organização resultante de uma interrupção (ou uma mudança no ambiente operacional ou de negócios). A análise de impacto identifica: a. como a perda ou dano se manifestará; b. como aumenta o nível de danos ou perdas; c. o tempo mínimo após um incidente, os serviços e recursos mínimos (humanos, físicos e financeiros) necessários para que os processos de negócio continuem a operar em um nível mínimo aceitável; e, d. o tempo e o nível em que atividades, funções e serviços da organização devem ser recuperados. (ASIS) 3 Glossário em Português Análise de Lacunas (Gap Analysis) Uma comparação que identifica a diferença entre os resultados verificados e os pretendidos. (FFIEC) Análise de Risco (Risk Analysis) Processo de quantificação das ameaças para uma organização e a probabilidade de que elas se materializem. (BCI) Apetite ao Risco (Risk Appetite) Nível de risco que uma organização está preparada para aceitar, tolerar ou estar exposta, em qualquer ponto no tempo. (BCI) Aplicativo (Application) Software que realiza uma função específica, a qual pode ser executada por usuário que não tenha privilégios administrativos. (CNSSI-4009) Arquitetura (Architecture) Estrutura de um sistema ou serviço de TI, incluindo as relações dos componentes uns com os outros e com o ambiente em que se encontram. Arquitetura também inclui as normas e diretrizes que orientam a concepção e a evolução do sistema. (ITIL) Área de Trabalho Alternativo (Alternate Work Area) Ataque Cibernético (Cyber Attack) Ambiente preparado para a recuperação, com toda a infraestrutura necessária (mesa, telefone, computador, softwares, comunicações, etc). (DRJ) Ativação (Activation) Implementação de procedimentos, atividades e planos de continuidade dos negócios em resposta a um incidente grave, emergência, evento ou crise. (BCI) Ativos (Asset) Qualquer coisa que tenha valor para a organização. Nota do editor BCI: Isto pode incluir ativos físicos, tais como: propriedades, instalações e equipamentos; bem como, recursos humanos, propriedade intelectual, imagem e reputação. (BCI) Auditoria (Audit) Exame sistemático para determinar se as atividades e os respectivos resultados estão em conformidade com as disposições previstas e se estas disposições são aplicadas eficazmente e são adequadas para alcançar objetivos e a política da organização. (BS25999-2) Auditoria Interna (Internal Audit) Auditoria realizada pela, ou em nome da própria organização, para a revisão da gestão e outros fins internos, e que pode formar a base para a autodeclaração de conformidade de uma organização. Nota do editor BS-25999-2: Em muitos casos, particularmente em organizações menores, a independência pode ser demonstrada pela isenção de responsabilidade pela atividade a ser auditada. Ataque a uma empresa, por meio do ciberespaço, com o propósito de prejudicar, desativar, destruir ou controlar maliciosamente um ambiente/infraestrutura de computação, destruir a integridade dos dados ou roubar informações. (CNSSI-4009) DRI International (BS-25999-2) Auditor (Auditor) Pessoa com competência para realizar uma auditoria. [ISO 9001 2000] (ASIS) Autenticação (Authentication) Processo de verificação da identidade ou de outros atributos requeridos ou assumidos por uma entidade (usuário, processo ou dispositivo), ou para verificar a origem e a integridade dos dados. NIST SP 800-53: A verificação da identidade de um usuário, processo ou dispositivo, normalmente é um pré-requisito para permitir o acesso aos recursos de um sistema de informação. (CNSSI-4009) Autoridades Competentes (Authority Having Jurisdiction (AHJ)) Organização, escritório ou indivíduo responsável por fazer cumprir os requisitos de um código ou norma, ou por aprovar equipamentos, materiais, instalações ou procedimentos. (NFPA 1600) Autorização (Authorization) Privilégios de acesso concedido a um usuário, programa ou processo, ou o ato de concessão desses privilégios. (CNSSI-4009) Avaliação (Assessment) Inspeção e análise para verificar se uma norma ou conjunto de orientações estão sendo seguidos, se seus registros estão exatos ou com que eficiência e eficácia as metas estão sendo alcançadas. (ITIL) Processo formal de avaliação do nível de exposição de um sistema de informação ou empresa a uma ameaça e a descrição da natureza desta ameaça. (CNSSI-4009) Avaliação de Ameaça (Threat Assessment) Avaliação de Impacto nos Negócios (Business Impact Analysis (BIA)) Método de identificar os efeitos de uma falha na execução de uma função ou requisito. (FCD-1) Avaliação de Danos (Damage Assessment) Avaliação ou determinação dos efeitos de um incidente sobre os seres humanos, o meio ambiente, as operações e ativos de uma organização. (NFPA 1600) Análise/Avaliação de Risco (Risk Assessment / Analysis) Processo que identifica os riscos de uma organização, avalia as funções críticas necessárias para que a organização mantenha suas operações de negócios, define os controles necessários para reduzir a exposição da organização e avalia o custo de implementação de tais controles. A análise de risco, muitas vezes envolve uma estimativa da probabilidade de ocorrência de um evento específico. (DRJ) 5 Glossário em Português Avaliação de Vulnerabilidade (Vulnerability Assessment) Análise sistemática de um sistema de informação ou produto para determinar a suficiência das medidas de segurança, identificar deficiências de segurança, fornecer dados para prever a eficácia das medidas de segurança propostas e confirmar a adequação de tais medidas após sua implementação. (CNSSI4009) B Benchm arking Comparação de uma marca de referência com uma linha base ou com as melhores práticas. O termo também significa criar uma série de pontos de referência ao longo do tempo e comparar os resultados para medir o progresso ou melhoria. (ITIL) C Cadeia de Suprimentos (Supply Chain) Processos relacionados que começam com a aquisição de matériasprimas e se estende até a entrega dos produtos ou serviços para o usuário final através dos meios de transporte. A cadeia de suprimentos pode incluir fornecedores, vendedores, instalações fabris, operadores logísticos, centros de distribuição interna, distribuidores, atacadistas e outras entidades que entregam ao usuário final. (BCI) Capacidade (Capacity) Combinação de todos os pontos fortes, atributos e recursos disponíveis em uma sociedade, associação ou organização, que podem ser utilizados para atingir as metas acordadas. Nota do editor UNDR: Capacidade pode incluir infraestrutura e meios físicos, instituições, habilidades de enfrentamento da sociedade, bem como conhecimento humano, experiências e atributos coletivos, tais como: relações sociais, liderança e gestão. Capacidade também pode ser descrita como competência. A avaliação da capacidade é uma expressão que se refere ao processo pelo qual a capacidade de um grupo é revista em relação às metas desejadas e as lacunas de capacidade são identificadas para ações futuras. Cartões de Bolso (Wallet Card) Cartões de informação portáteis que fornecem informações de comunicações de emergência para clientes e funcionários. (FFIEC) Categorias de Riscos semelhantes que são agrupados por tipo. Estas categorias DRI International Risco (Risk Categories) incluem reputação, estratégia, finanças, investimentos, infraestrutura operacional, negócio, conformidade regulamentar, terceirização, pessoas, tecnologia e conhecimento. (DRJ) Causa Raiz (Root Cause) A causa subjacente ou original de um incidente ou problema. (ITIL) Cenário (Scenario) Um conjunto predefinido de eventos e as condições que descrevem, para fins de planejamento, uma interrupção, disrupção ou perda relativas a algum(ns) aspecto(s) das operações de negócios de uma organização para apoiar a realização de um BIA, o desenvolvimento de uma estratégia de continuidade e o desenvolvimento de planos de continuidade e exercícios. Nota do editor (DRJ): Cenários não são predições nem previsões. (DRJ) Centro de Comando (Command Center) Local próximo ao evento, mas fora da área imediatamente afetada, onde as atividades de resposta, recuperação e restauração são gerenciadas. Podemos ter mais do que um centro de comando para cada evento, reportando a um único centro de operações de emergência. (DRJ) Centro de Operações de Emergência (Emergency Operations Center) O local físico e/ou virtual a partir do qual as decisões estratégicas são tomadas e todas as atividades de um evento/incidente/crise são direcionadas, coordenadas e monitoradas. Nota do editor (DRJ): COE é diferente de Centro de Comando. (DRJ) Ciclo de Vida da Gestão de Continuidade dos Negócio (Business Continuity Management Lifecycle) Uma série de atividades de continuidade dos negócios que cobrem coletivamente todos os aspectos e fases do programa de GCN. (BCI) Cisne Negro (Black Swan) Um termo popular na GCN, baseado em um livro de mesmo nome, em que o autor define um cisne negro como um evento que não poderia ser previsto por meio de métodos científicos ou de probabilidades normais. Profissionais de GCN precisam se preparar para eventos "cisne negro". (BCI) Chief Information Officer (Chief Information Officer (CIO)) Pessoa responsável por: a. Prestar aconselhamento e outro tipo de assistência para o presidente/chefe da organização e para outros membros da alta administração para garantir que os sistemas de informação sejam adquiridos e os recursos de informação sejam geridos de acordo com as leis, ordens executivas, 7 Glossário em Português diretrizes, políticas, regulamentos, e prioridades definidas pelo presidente/chefe da organização; b. Desenvolver, manter e facilitar a implementação de uma arquitetura de sistema de informação sólida e integrada para a organização; e c. Promover o efetivo e eficiente desenvolvimento e funcionamento dos principais processos de gestão dos recursos de informação da organização, incluindo melhorias nos processos de trabalho. (CNSSI-4009) Cold Site Uma instalação alternativa existente, com infraestrutura física necessária para recuperar funções empresariais críticas ou sistemas de informação, mas que não dispõe de nenhum equipamento de computação, telecomunicações, linhas de comunicação, etc. Estes equipamentos serão fornecidos no momento do desastre. (DRJ) Comitê Diretor de Continuidade dos Negócios (Business Continuity Steering Committee) Um grupo de gestão superior que dá direção, aconselhamento, orientação e aprovação financeira para os programas de GCN empreendidos pelo gerente de GCN e coordenadores de CN. (BCI) Comitê Gestor do Programa de Continuidade dos Negócios (Business Continuity Program Board) Ver “Comitê Diretor de Continuidade dos Negócios”. Confidencialidade (Confidentiality) Propriedade dos dados ou informações que não são disponibilizadas ou divulgadas a pessoas ou processos não autorizados. (HIPAA) Conscientização (Awareness) Criar a compreensão das questões básicas e das limitações da GCN. Isso permitirá as equipes reconhecer ameaças e reagir adequadamente. Exemplos da criação de tal consciência incluem a distribuição de cartazes e folhetos dirigidos a toda a empresa ou a realização de cursos específicos de continuidade dos negócios para a alta administração da organização. Ações de conscientização são menos formais do que um treinamento e geralmente direcionadas para todos os funcionários. (BCI) Conscientização Situacional (Situational Awareness) a. Processo de perceber, compreender, interpretar e avaliar o que está acontecendo em uma crise, combinado com a capacidade de identificar cenários futuros previsíveis. (BCI) b. Postura de segurança da empresa em relação a seu ambiente de DRI International ameaças; projeção de seu status em um futuro próximo. (CNSSI4009) Continuidade (Continuity) Capacidade estratégica e tática de uma organização, pré-aprovada pela administração, para planejar e responder às condições, situações e eventos, a fim dar continuidade às operações em um nível aceitável predefinido. Nota do Editor ASIS: Continuidade, como usado nesta Norma, é o termo mais genérico para a continuidade operacional e dos negócios que visa garantir a capacidade da organização de continuar a funcionar fora das condições normais de operação. Aplica-se não só para as empresas privadas, mas também às organizações de todas as naturezas, como as governamentais, não governamentais e de interesse público. (ASIS) Continuidade de Governo (Continuity of Government (COG)) Esforço coordenado dentro de cada ramo do governo (por exemplo, o Poder Executivo), para garantir que suas funções essenciais continuem a ser realizadas durante uma catastrófe. (FCD-1) Continuidade dos Negócios (Business Continuity) Um processo evolutivo para garantir que as medidas necessárias sejam tomadas para identificar o impacto das perdas potenciais e manter estratégias de recuperação viáveis, planos de recuperação e continuidade dos serviços. (NFPA 1600) Controle (Control) Meio de gerenciar os riscos, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de carácter administrativo, técnico, de gestão ou de natureza legal. (ISACA) Controles de Segurança (Security Controls) Procedimentos de gestão, técnicos e operacionais (ie, (FIPS 199) salvaguardas ou contramedidas) recomendados para um sistema de informação, para proteger a confidencialidade, integridade e disponibilidade do sistema e de suas informações. (NIST SP 800-34) Coordenador de Continuidade dos negócios (Business Continuity Coordinator) Uma função, dentro do programa de GCN, que coordena o planejamento e a implementação da recuperação de uma organização ou de uma unidade. (DRJ) Coordenador de Um indivíduo ou grupo nomeado para coordenar ou controlar Recuperação dos processos ou testes designados. (DRJ) Negócio (Business Recovery Coordinator) 9 Glossário em Português Coordenador de Unidade de Negócios (Business Unit Coordinator) Computação em Nuvem (Cloud Computing) Um membro da equipe designado por uma unidade de negócios para servir como a pessoa responsável pela condução das atividades de GCN. (BCI) Modelo que permite o acesso “on-demand” (disponível para atender demanda do cliente) a um conjunto compartilhado de funções/recursos configuráveis de TI (por exemplo, redes, servidores, armazenamento, aplicações e serviços), que podem ser rapidamente provisionados e liberados com um esforço mínimo de gerenciamento ou interação com o provedor de serviços. Este modelo permite aos usuários acessar serviços tecnológicos a partir de uma nuvem, sem o conhecimento, especialização ou controle sobre a infraestrutura tecnológica que os suporta. Este modelo é composto de cinco características essenciais (autoserviço sob demanda, acesso à rede de qualquer local e a qualquer momento, localização compartilhada de recursos independentes, adaptabilidade rápida e serviço mensurado); três modelos de prestação de serviços (Software como Serviço (SaaS), Plataforma como Serviço (PaaS), e Infraestrutura como Serviço (IaaS)); e quatro modelos para o acesso das empresas (nuvem privada, nuvem comunitária, nuvem pública e nuvem híbrida). Nota do editor CNSSI: Ambos os dados, do usuário e dos serviços essenciais de segurança, podem residir e ser gerenciados dentro da nuvem. (CNSSI-4009) Controle de Operações Contínuas (Continuous Operations Control) a. Capacidade de uma organização para executar seus processos, sem interrupção. (DRJ) b. Forma de gerir o risco, garantindo que um objetivo de negócio seja alcançado, ou garantindo que um processo seja seguido. Exemplo de controles incluem: políticas, procedimentos, papéis, RAID, fechaduras de portas, etc. Um controle às vezes é chamado de contramedida ou de salvaguarda. Controlar também significa gerenciar a utilização ou comportamento de um item de configuração, sistema ou serviço de TI. (ITIL) Crise (Crisis) a. Um evento crítico que, se não for tratado de forma adequada, pode afetar drasticamente a rentabilidade, a reputação ou a capacidade de operar de uma organização. b. Uma ocorrência e/ou percepção que ameaça as operações, o pessoal, o valor para os acionistas, as partes interessadas, a marca, a reputação, a confiança e/ou os objetivos estratégicos de negócios de uma organização. (DRJ) DRI International Critérios de Risco (Risk Criteria) Termos de referência diante dos quais o significado de um risco é avaliado. (ISO 31000) Custos de Interrupção dos Negócios (Business Interruption Costs) O impacto para o negócio causado por diferentes tipos de falhas, normalmente medido por receitas perdidas. (DRJ) D Declaração (Declaration) Anúncio formal realizado por pessoal previamente autorizado de que se prevê ou de que ocorreu um desastre ou falha grave, com consequente execução de ações de mitigação predeterminadas (por exemplo, a mudança para um local alternativo). (DRJ) Declaração da Política de Continuidade dos Negócios (Business Continuity Policy Statement) A política de CN estabelece objetivos, princípios e a abordagem de uma organização para GCN, o que e como ela será entregue, papéis e responsabilidades, e como a GCN será gerida e reportada. (BCI) Delegação de Autoridade (Delegation of Authority) Cessão de autoridade a pessoas de nível hierárquico inferior. Geralmente, as delegações predeterminadas de autoridade têm efeito quando fluxo normal de gestão é interrompido; e são extintas, quando este fluxo é restabelecido. (FCD-1) Declaração de Missão (Mission Statement) Descrição curta, mas completa, do objetivo e intenções globais da organização. Ela afirma o que deve ser alcançado, mas não como isso deve ser feito. (ITIL) Dependência (Dependency) Dependência ou interação de uma atividade ou processo em relação a outro. (DRJ) Desastre (Disaster) Evento catastrófico repentino (previsto ou imprevisto) que cause dano ou perda inaceitável. a. Evento que compromete a capacidade da organização para prover funções, processos ou serviços críticos, por um período de tempo inaceitável. b. Evento em que a gestão de uma organização invoca/ativa os seus planos de recuperação. Descentralização (Devolution) Capacidade de transferir a autoridade legal e a responsabilidade por funções essenciais da equipe da unidade operacional principal 11 Glossário em Português para equipes de outra localidade, mantendo a capacidade operacional por um período prolongado. (FCD-1) Dever de Cuidar (Duty of Care) Requisito de governança corporativa relacionado com o cuidado com os ativos da organização; um dever dos administradores de uma empresa. (BCI) Distribuição Automática de Chamadas (DAC) (Automatic Call Distribution (ACD)) Uso de tecnologia da informação para direcionar uma chamada telefônica para a pessoa mais adequada no menor tempo possível. DAC as vezes é chamada de Distribuição de Chamadas Automatizada. (ITIL) Disponibilidade (Availability) Propriedade de dado ou informação que é acessível e utilizável em consequência de demanda por uma pessoa autorizada. (HIPAA) Disponibilidade Contínua (Continuous Availability) Abordagem ou desenho para atingir 100% de disponibilidade. Serviço contínuo de TI sem interrupções planejadas ou não planejadas. (ITIL) Documento (Document) Informação e os seus respectivos meios de suporte tais como: papel, magnético, eletrônico ou disco ótico de computador ou imagem. (BCI) E Emergência (Emergency) a. Uma situação inesperada ou iminente que pode causar ferimentos, mortes, destruição de propriedade, ou causar a interferência, perda ou interrupção das operações de negócios de uma organização, de tamanha extensão que represente uma ameaça. (DRJ) b. Ocorrência ou evento repentino, urgente, geralmente inesperado, exigindo medidas imediatas. [ISO / PAS 22399 2007]. Nota do editor (ASIS): Uma emergência é geralmente um evento perturbador ou condição que muitas vezes pode ser antecipada, mas raramente prevista com exatidão. (ASIS) Emergência Civil (Civil Emergency) Evento ou situação que ameaça causar grave dano ao bem-estar humano em um local, um ambiente ou região, ou à segurança desse local. (BCI) Empresa Organização com uma missão/objetivo e um escopo definido, que DRI International (Enterprise) utiliza sistemas de informação para executar essa missão, tendo a responsabilidade de gerenciar seus próprios riscos e seu desempenho. Uma empresa pode consistir em todos ou alguns dos seguintes aspectos do negócio: compras, gestão financeira (por exemplo, orçamentos), recursos humanos, segurança e sistemas de informação e gestão da informação. (CNSSI-4009) Equipe de Continuidade dos Negócios (Business Continuity Team) As equipes estratégicas, táticas e operacionais que devem responder a um incidente e que devem contribuir de forma significativa no desenvolvimento e teste dos planos de Continuidade dos Negócios. (BCI) Equipe de Gestão de Crise (Crisis Management Team (CMT)) Grupo responsável por desenvolver e implementar um plano de resposta abrangente a um incidente significativo. A equipe é formada por empregados com poder de decisão, preparados para responder a qualquer situação e com formação em gestão de crises/incidentes. Nota do Editor BCI: Na maioria dos países, os termos "crise" e "incidente" tem significados semelhantes, mas no Reino Unido o termo "crise" tem sido tradicionalmente usado para incidentes de grande abrangência e que envolvem serviços de emergência. No entanto, o documento recente PAS200, patrocinado pelo Governo do Reino Unido, procura estender o uso deste termo para além do setor público.(BCI) Equipe de Gestão de Incidentes (Incident Management Team (IMT)) Grupo responsável por desenvolver e implementar um plano de resposta abrangente a um incidente significativo. A equipe é formada por empregados com poder de decisão, preparados para responder a qualquer situação e com formação em gestão de incidentes.(BCI) Equipe de Recuperação dos Negócios (Business Recovery Team ) Grupo responsável pela realocação e recuperação das operações de uma unidade de negócios, em um ambiente alternativo após uma interrupção dos negócios e sua subsequente restauração e retomada dessas operações em local apropriado. (DRJ) Equipe de Resposta a Emergência (Emergency Response Team (ERT)) Pessoal qualificado e autorizado e que foi treinado para fornecer assistência imediata. (DRJ) Escalada (Escalation) Processo ascendente pelo qual a informação relacionada ao evento é comunicada através da cadeia de comando estabelecida de uma organização. (DRJ) Escopo O limite ou extensão ao qual um processo, procedimento, 13 Glossário em Português (Scope) certificação, contrato, etc. aplica-se. (ITIL) Estimativa de Risco (Risk Evaluation) Processo que compara os resultados da análise de risco com critérios de risco para determinar se o risco e/ou a sua magnitude é aceitável ou tolerável. (Austrália AS NZS 5050) Abordagem estratégica de uma organização para assegurar a sua recuperação e continuidade em face de um desastre ou outro incidente de maior importância ou interrupções nos negócios. (BCI) Estratégia de Continuidade dos Negócios (Business Continuity Strategy) Estratégias de Recuperação (Recovery Strategies) Ações de resposta a interrupções operacionais, definidas, aprovadas pela alta administração e testadas. (Singapore MAS) Estrutura de Resposta Nacional (ERN) (National Response Framework (NRF)) Guia para a condução e gerenciamento de incidentes no ambito nacional, abrangente e que aborde todos os tipos de ameaças. Esta estrutura prevê a participação do setor público e privado em todos os níveis, de agências federais até as comunidades e também enfatiza a importância da preparação dos indivíduos e de suas famílias. (FCD-1) Evacuação (Evacuation) Dispersão de pessoas, organizada, periódica e supervisionada de áreas perigosas ou potencialmente perigosas. [ASIS Norma International de Continuidade dos Negócios: 2005]. (ASIS) Evento (Event) Ocorrência ou mudança em um conjunto específico de circunstâncias. (ISO 31000) Exercício (Exercise) Atividade na qual os planos da entidade são ensaiados, em parte ou em sua totalidade, para assegurar que contenham as informações adequadas e produzam o resultado desejado, quando de seu acionamento. (NFPA 1600) Exercício de Recuperação de Desastres (Disaster Recovery Exercise) Teste do Plano de Recuperação de Desastres ou do Plano de Continuidade dos Negócios de uma instituição. (FFIEC) Exercício em Grande Escala (Full-Scale Exercise) Exercício funcional multidisciplinar envolvendo várias unidades de de uma organização, de diferentes localidades e com apoio dos órgãos de segurança pública. (por exemplo, deslocamento da equipe de continuidade para local alternativo, a fim de realizar processos essenciais em cenário definido). (FCD-1) Exercício Funcional O exercício funcional examina e/ou valida a coordenação, DRI International (Functional Exercise) comando e controle entre vários centros de coordenação de emergência. O exercício funcional não envolve socorristas e bombeiros. (FCD-1) F Falha (Failure) Perda da capacidade de operar como especificado ou de fornecer o resultado esperado. O termo "falha" pode ser usado quando se referir a serviços de TI, processos, atividades, itens de configuração, etc. Uma falha muitas vezes provoca um incidente. (ITIL) Fornecedor (Supplier) Um terceiro responsável pelo fornecimento de bens ou serviços. (ITIL) Função (Function) Equipe ou grupo de pessoas e as ferramentas que eles utilizam para executar um ou mais processos ou atividades. O termo "função" também tem outros dois significados: a. objetivo pretendido de um item de configuração, pessoa, equipe, processo ou serviço de TI. Por exemplo, uma função do serviço de e-mail pode ser a de armazenar e transmitir mensagens, uma função de um processo de negócio pode ser o despacho de mercadorias aos clientes; b. objetivo pretendido é realizado corretamente (por exemplo, o computador está em "funcionamento". (ITIL) Funções Essenciais (Essential Functions) Atividades críticas realizadas pela organização, especialmente depois de uma interrupção das atividades normais. (FCD-1) Funções de Negócio (Business Function) Descrição da atividade que é realizada para cumprir os requisitos específicos da organização. Exemplos de funções de negócios incluem: fornecimento de matérias-primas, pagamento de contas e controle de estoque. (BCI) G Gatilho (Trigger) Um acontecimento que faz com que o sistema inicie uma resposta. (BCI) Gerenciamento de Aplicativos (Application Management) Função responsável pela gestão de aplicações em todo o seu ciclo de vida. (ITIL) 15 Glossário em Português Gerenciamento de Crise (Crisis Management) Coordenação geral de uma organização para resposta a uma crise, de forma eficaz, oportuna, com o objetivo de evitar ou minimizar os prejuízos financeiros, à reputação e a operação da organização. (DRJ) Gerenciamento de Incidentes (Incident Management) O processo pelo qual uma organização responde a um incidente e o controla usando procedimentos ou planos de resposta a emergências. (DRJ) Gerenciamento de Riscos (Risk Management) Desenvolvimento estruturado e aplicação da cultura de gestão, políticas, procedimentos e práticas para as atividades de identificação, análise, avaliação, controle e resposta aos riscos. (UAE Standard) Gerente de Contas (Account Manager) Função muito semelhante ao do gerente de relacionamento de negócio, mas que inclui aspectos comerciais. Comumente utilizada quando se lida com clientes externos. (ITIL) Gerente de Incidentes (Incident Manager) Comanda o Centro de Operações de Emergência local (COE) reportando-se à alta administração sobre o progresso da recuperação. Tem a autoridade para ativar o plano de recuperação. (DRJ) Gestão de Ativos (Asset Management) Processo responsável por rastrear e informar o valor e a propriedade de ativos financeiros em todo o seu ciclo de vida. É parte dos ativos de serviço e do processo de gestão de configuração. (ITIL) Gestão de Continuidade dos Negócios (GCN) (Business Continuity Management (BCM)) Processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócios caso estas ameaças se concretizem. Este processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de resposnder eficazmente e salvaguardar os interesses das partes interessadas, a reputação e a marca da organização e suas atividades de valor agregado. (ISO 22301) Gestão de Desastre/ Emergência (Disaster / Emergency Management) a. Um processo contínuo para prevenir, mitigar, preparar e responder. b. Manter a continuidade durante uma emergência e recuperarse de um incidente que ameaça a vida, a propriedade, as operações ou o meio ambiente. (NFPA 1600) c. Um programa que implementa a missão, a visão, as metas estratégicas, os objetivos e as estruturas de gestão do programa e da organização. (BCI) Gestão de Responsabilidade dos governos e autoridades públicas, em DRI International Emergência (Emergency Management) Gestão de Mudança (Change Management) conformidade com regulamentações e leis apropriadas relacionadas com a resposta a emergência. Nota do Editor (BCI): Um Plano de Gestão de Emergência (PGE) geralmente é gerido por uma ou mais Equipes de Gerenciamento de Emergência (EGE). Existem diferentes estruturas em diferentes países. (BCI) Processo que gerencia as mudanças organizacionais. Gestão de mudança engloba planejamento, supervisão ou governança, gerenciamento de projetos, teste e implementação. (FFIEC) Gestão de Recursos (Resource Management) Processo que identifica os recursos disponíveis para permitir o acesso oportuno ao que for necessário para prevenir, mitigar, preparar, responder, manter a continuidade durante um incidente ou no processo de recuperação. (NFPA 1600) Gestão de Risco Empresarial (Enterprise Risk Management (ERM)) Métodos e processos utilizados pelas organizações para gerenciar os riscos e aproveitar as oportunidades relacionadas a realização dos seus objetivos. Fornece uma estrutura para o gerenciamento de risco que normalmente envolve a identificação de determinados eventos ou circunstâncias relevantes para os objetivos da organização (riscos e oportunidades), avaliando-os em termos de probabilidade e impacto e determinando uma estratégia de resposta e monitorar seu progresso. Ao identificar e abordar proativamente os riscos e oportunidades, as empresas protegem e criam valor para as partes interessadas, incluindo proprietários, funcionários, clientes, reguladores e sociedade em geral. (BCI) Governança (Governance) Função por meio da qual é assegurado que as políticas e estratégias sejam realmente implementadas e que os processos necessários sejam seguidos corretamente. Inclui definir papéis e responsabilidades, medir e relatar, e tomar as ações para resolver quaisquer problemas identificados. (ITIL) Governança Corporativa (Corporate Governance) Sistema/processo pelo qual os administradores e diretores são chamados a executar e a cumprir as suas responsabilidades e obrigações legais, morais e regulamentares. (DRJ) Governança, Riscos e Conformidade (GRC) (Governance, Risk and Compliance (GRC)) Termo genérico que abrange o enfoque de uma organização sobre o risco e estas três áreas. Governança, risco e conformidade são atividades cujos interesses estão estreitamente relacionados; em certa medida, são cada vez mais integrados e alinhados, a fim de evitar conflitos, sobreposições e lacunas que causem desperdício. Embora interpretado de forma diferente em várias organizações, GRC tipicamente engloba atividades como governança corporativa, gestão de risco empresarial (ERM) e conformidade corporativa com as leis e regulamentos aplicáveis. (BCI) 17 Glossário em Português H Hot Site Uma instalação alternativa que já tem computadores e infraestrutura física e de telecomunicações necessárias para recuperar funções empresariais críticas ou sistemas de informação. (DRJ) I Impacto (Impact) O efeito, aceitável ou inaceitável, de um evento em uma organização. Os tipos de impacto sobre as empresas são geralmente descritos como financeiros e não financeiros e, além disso, são divididos em tipos específicos. (DRJ) Incidente (Incident) Um evento que tem o potencial de causar a interrupção, ruptura, perda, emergência, crise, desastre ou catástrofe. (NFPA 1600) Infraestrutura Crítica (Critical Infrastructure) Bens físicos cuja incapacidade ou destruição teriam um impacto significativo sobre a economia/finanças ou segurança física de uma organização, comunidade, nação, etc. (DRJ) Instalação (Facility) Planta, maquinário, equipamento, propriedade, edifícios, veículos, sistemas de informação, serviços de transporte e outros itens de infraestrutura ou planta e sistemas relacionados que têm uma função ou serviço distinto e quantificável. (BCI) Instalações Alternativas (Alternate Facilities) Instalações, com exceção da instalação principal, utilizadas para executar as funções essenciais, particularmente em um evento que afeta a continuidade. "Instalações alternativas" referem-se não apenas a outros locais, mas também a opções não tradicionais, tais como: teletrabalho e conceitos de escritório móvel. (FCD-1) Instalações / Recursos (Facilities) Locais onde a administração e os funcionários de uma organização executam suas atividades. A administração e as equipes podem estar localizadas em uma mesma instalação ou dispersas em vários locais, conectados por sistemas de comunicação. As instalações devem ser capazes de fornecer ao pessoal proteção adequada e permitir operações contínuas e suportáveis. (FCD-1) Integridade do Dados Propriedade que garante que os dados não foram alterados, DRI International (Data Integrity) destruídos ou perdidos, de forma não autorizada ou acidental. (CNSSI-4009) Interdependências (Interdependencies) Quando dois ou mais departamentos, processos, funções e/ou terceiros apoiam um ao outro de alguma forma. (FFIEC) Interrupção (Outage) Período de tempo após um evento ou incidente, no qual esperase que um serviço, sistema, processo ou função de negócio estejam inutilizáveis ou inacessíveis. (BCE) Interrupção dos Negócios (Business Interruption) Qualquer evento, seja previsto (por exemplo, greve de serviço público) ou imprevisto (por exemplo, falta de energia), que interrompe o curso normal das operações de negócios de uma organização. (DRJ) J Just-in-Tim e (JIT) Sistema que permite obter os recursos dos quais dependem os processos críticos de negócios exatamente quando necessário, sem a necessidade de inventário intermediário. (BCI) L Linha do Tempo de Recuperação (Recovery Timeline) Sequência de atividades de recuperação, ou caminho crítico, que deve ser seguido para retomar um nível aceitável de operação após uma interrupção dos negócios. A linha do tempo pode variar de minutos a semanas, dependendo dos requisitos e metodologia de recuperação. (DRJ) Linha do Tempo de Recuperação dos Negócios (Business Recovery Timeline) Sequência de atividades necessárias para retomar as operações após uma interrupção dos negócios. Esta linha do tempo pode variar de minutos a semanas, dependendo dos requisitos de recuperação e metodologia. (DRJ) Lista de Acionamento (Call Tree) Documento que relaciona as responsabilidades e a ordem de chamada de profissionais. É utilizado para contatar os administradores, empregados, clientes, fornecedores e outros contatos-chave, no caso de uma emergência, desastre ou 19 Glossário em Português situação de interrupção grave. (DRJ) Lista de Verificação (Check-list) a. Ferramenta utilizada para lembrar e/ou validar as tarefas que foram concluídas e os recursos que estão disponíveis, para informar sobre as condições de recuperação. b. Uma lista de itens (nomes ou tarefas etc.) a serem verificados ou consultados. (DRJ) Local Alternativo (Alternate Site) Localização operacional alternativa para ser usada por funções de negócio, quando as instalações primárias estão inacessíveis. a. Outro local, centro de informática ou área de trabalho, designado para a recuperação. b. Localização, exceto a instalação principal, que pode ser usada para realizar funções de negócio. c. Localização, com excepção da instalação normal, usada para processar dados e/ou realizar funções críticas de negócio em caso de um desastre. (DRJ) Local Secundário (Secondary Site) a. Um local diferente do local primário que pode ser usado para a retomada das operações de negócios e outras funções, no caso de um desastre, de mal funcionamento do sistema principal ou da infraestrutura, ou de incapacidade de acessar o local primário. Um local secundário pode ser usado: i. no sentido mais restrito, para a replicação de programas e dados, a fim de salvaguardar a sua integridade, com os dados replicados sendo armazenados externamente, para garantir a retomada das operações de negócios após a destruição ou perda destes dados; ou, ii. no sentido mais amplo, para a manutenção de um sistema alternativo abrangente (ou seja, um sistema de recuperação que compreende hardware, software e dados) que sirva como alternativa aos sistema de produção no caso de sua indisponibilidade. No caso em que o sistema de recuperação esteja localizado na proximidade do sistema de produção e um terceiro sistema em outro local esteja reservado para emergências e desastres. b. Um site secundário poderá ser "cold" ou "hot": i. Cold Site: Uma instalação alternativa que tem a infraestrutura básica necessária para recuperar funções empresariais críticas ou sistemas de informação, mas não tem DRI International nenhum computadores(hardware), equipamentos de telecomunicações, linhas de comunicação, etc, pré-instalados. Estes devem, portanto, ser instalados no momento do desastre. ii. Hot Site: Uma instalação alternativa que está equipada com computadores, infraestrutura lógica, elétrica e de telecomunicações necessárias para permitir que as funções críticas de negócio continuem, com o mínimo de atraso, no caso de um desastre. Também é referido como um "local alternativo", um "site backup" ou um "centro de dados de compartilhamento de carga". M Medidas Preventivas (Preventative Measures) Controles destinados a evitar ou reduzir a probabilidade de ocorrência de eventos indesejáveis. (DRJ) Melhoria Contínua (Continual Improvement) Processo recorrente de revisão de um programa de gestão, a fim de atingir melhorias em seu desempenho global, alinhado com a política, metas e objetivos da entidade. (NFPA 1600) Melhor prática (Best Practice) Atividades ou processos que são utilizados com sucesso por várias organizações. (ITIL) Métrica (Metric) Algo que é medido e reportado para ajudar a gerenciar um processo, serviço de TI ou atividade. (ITIL) Mitigação (Mitigation) Ações tomadas para reduzir os impactos dos riscos. (NFPA 1600) Mitigação de Risco (Risk Mitigation) Priorização, avaliação e implementação dos controles/ contramedidas adequadas para a redução de riscos recomendadas no processo de gestão de riscos. (CNSSI-4009) Mobilização (Mobilization) A ativação da organização de recuperação em resposta a uma declaração de desastre. (DRJ) Modelo de Maturidade de Continuidade dos Metodologia que permite avaliar o nível de preparação de uma organização em função de seu programa de continuidade dos negócios. 21 Glossário em Português Negócios (MMCN) (Business Continuity Maturity Model (BCMM)) Monitoramento Ativo (Active Monitoring) Monitoramento de um item de configuração ou um serviço de TI com verificações periódicas automáticas para descobrir o status atual. (ITIL) Monitoramento de Ameaça (Threat Monitoring) Análise, avaliação e revisão das trilhas de auditoria e outras informações recolhidas com a finalidade de localizar eventos do sistema que podem constituir violações da segurança. (CNSSI4009) N Negação de Serviço (Denial of Service) (DoS) Impedimento de acesso autorizado a recursos ou a demora no tempo de resposta das transações. (Tempo de resposta pode ser medido em milissegundos ou em horas, dependendo do serviço prestado.) (CNSSI-4009) Norma (Standard) a. O texto principal de um documento que contém apenas disposições obrigatórias usando a palavra "deve" para indicar os requisitos e que de forma geral é apropriado como referência obrigatória para outro padrão ou código ou para adoção numa lei. Disposições não obrigatórias devem estar localizadas em um apêndice ou anexo, nota de rodapé ou nota impressa em letras pequenas e não devem ser consideradas como parte dos requisitos da norma. (NFPA 1600) b. Uma exigência obrigatória. Exemplos incluem: ISO/IEC 20000 (norma internacional), um padrão interno de segurança para configuração Unix ou uma norma governamental sobre como os registros financeiros devem ser mantidos. O termo "norma" também é usado para se referir a um código de práticas ou especificação publicado por uma organização de padrões, tal como: ISO ou BSI. (ITIL). O Objetivo de Negócio (Business Objective) Objetivo de um processo de negócio ou do negócio como um todo. (ITIL) DRI International Off-site Location Ambiente a uma distância segura do site principal, onde os dados críticos (em papel ou computadorizados) e/ou equipamentos são armazenados, a partir de onde podem ser recuperados e utilizados no momento de um incidente significativo, caso os dados originais, materiais ou equipamentos forem perdidos ou não estiverem disponíveis. (BCI) Off-Site Storage Ambiente fisicamente localizado a uma distância adequada do local primário, onde os registros vitais e duplicados (impressos ou eletrônicos e/ou equipamentos) podem ser armazenados para uso durante a recuperação. (DRJ) Operações de Negócios (Business Operations) O dia a dia de execução, monitoramento e gerenciamento de processos de negócios. (ITIL) Ordens de Sucessão (Orders of Succession) Provimento para a assunção de funções seniores da organização durante uma emergência, no caso de qualquer dos empregados ocupantes destas funções não estar disponível para executar seus deveres legais. (FCD-1) P Pandemia (Pandemic) Epidemia ou doença infecciosa que pode ter um impacto em todo o mundo. (FFIEC) Partes Interessadas (Stakeholder) Um indivíduo ou grupo que tenha interesse no desempenho ou sucesso de uma organização, por exemplo, clientes, parceiros, colaboradores, acionistas, proprietários, a comunidade local, primeiros socorros, governo e órgãos reguladores. (BCI) Passo-a-Passo (Walk-Through) Exercício onde se procura descobrir o provável resultado(s) de um evento, com base nas condições de partida, condições do ambiente e nos efeitos de decisões. No contexto da continuidade do negócio, um passo a passo procura: a. Garantir que os planos de continuidade de negócio estejam adequados à finalidade; b. Avaliar a troca de informações e tomada de decisão das equipes; e, c. Identificar eventuais lacunas/deficiências. (BCE) Perda (Loss) Recursos irrecuperáveis devido a um evento que afete a continuidade dos negócios. Essas perdas podem ser: perda de 23 Glossário em Português Perigo (Risco) (Hazard) vidas, receita financeira, participação no mercado, imagem, instalações ou capacidade operacional. (DRJ) Fenômenos, substâncias, atividades humanas ou condições perigosas que podem causar: - morte, ferimentos ou outros impactos na saúde; - danos a propriedade; - perda de meios de subsistência e cessação de serviços essenciais; - ruptura social e econômica, ou; - danos ambientais. Nota do editor da UNDR: Os perigos com os quais a redução de risco de desastres deve se preocupar, como indicado na nota de rodapé 3 do Framework de Hyogo, são "... os riscos de origem natural e relacionados a perigos e riscos ambientais e tecnológicos." Tais perigos surgem a partir de uma variedade de características geológicas, meteorológicas, hidrológicas, oceânicas, biológicas, bem como de fontes tecnológicas. Às vezes todas essas características podem agir/ocorrer de forma combinada/simultânea. Em configurações/cenários técnicos, os riscos são descritos quantitativamente pela probabilidade de ocorrência em relação a intensidade/impacto para diferentes áreas, podendo ser determinado a partir de dados históricos ou de análise científica. (UNDR) Planejamento da Contingência (Contingency Planning) Processo de desenvolvimento de mecanismos e procedimentos avançados que permitem a uma organização dar resposta para um evento indesejado que afete negativamente a organização. (DRJ) Planejamento de Continuidade dos Negócios (Business Continuity Planning) O processo de desenvolvimento de planos e procedimentos prioritários que permita uma organização responder a um evento, de tal maneira que as funções de negócio críticas possam continuar dentro de níveis previamente definidos. O resultado final do processo de planejamento é o Plano de Continuidade dos Negócios (PCN). (BCI) Planejamento de Recuperação de Desastre (Disaster Recovery Planning) As atividades associadas com a disponibilidade contínua e o planejamento da recuperação da infraestrutura de TI. (BCI) Plano de Contingência (Contingency Plan) Plano usado por uma organização ou unidade de negócio para responder a uma falha específica de sistemas ou interrupção das operações. (DRJ) Plano de Conjunto predeterminado de instruções ou procedimentos que DRI International Continuidade de Operações (Continuity of Operations Plan (COOP)) descreve como as funções essenciais à missão de uma organização serão sustentadas dentro de 12 horas e por até 30 dias, como resultado de um desastre, antes de retornar às operações normais. (NIST SP 800-34) Plano de Continuidade dos Negócios (PCN) (Business Continuity Plan (BCP)) Um conjunto documentado de procedimentos e informações desenvolvidas, consolidadas e mantidas prontas para uso em um incidente, permitindo que a organização continue a entregar seus produtos e serviços críticos em um nível previamente definido. (BCI) Plano de Ocupação de Emergência (POE) (Occupant Emergency Plan (OEP)) Programa de resposta a emergência de curto prazo que estabelece procedimentos para salvaguardar vidas e bens. (FCD1) Plano de Exercício (Exercise Plan) Plano concebido para avaliar periodicamente tarefas, equipes e procedimentos que estão documentados nos planos de continuidade dos negócios, para assegurar a sua viabilidade. Isto pode incluir a totalidade ou parte do plano de CN, mas deve incluir componentes críticos da missão. (DRJ) Plano de ação claramente definido e documentado para uso no momento de um incidente, normalmente cobrindo as pessoaschave, recursos, serviços e as ações necessárias para implementar o processo de gerenciamento de incidentes. (BCI) Plano de Gerenciamento de Incidentes (IMP) (Incident Management Plan (IMP)) Plano de Manutenção (Plan Maintenance) Processo de gestão para manter a competência de GCN da organização, sua capacidade de atualização, ajuste à finalidade e eficácia. (BCI) Plano de Recuperação de Desastre (Disaster Recovery Plan) Plano desenvolvido para a recuperação de um ou mais sistemas de informação, por meio de uma instalação alternativa, em resposta a uma grande falha de hardware ou software e/ou destruição das instalações. (NIST SP 800-34) Plano de Resposta (Response Plan) Coleção documentada de procedimentos e informações que são desenvolvidos, compilados e mantidos à disposição para o uso em um incidente. (ASIS) Plano de Resposta a Emergência (Emergency Response Plan) Plano documentado geralmente abordando a reação imediata e a resposta a situações de emergência. (DRJ) 25 Glossário em Português Plano de Resposta a Incidentes (Incident Response Plan) Documentação de um conjunto predeterminado de instruções ou procedimentos para detectar, responder e limitar as consequências de um incidente que afete os sistemas de TI de uma organização. (CNSSI-4009) Plano de Sucessão de Executivos/Gestores (Executive/Managem ent Succession Plan) Plano predeterminado para assegurar a continuidade da autoridade, tomada de decisão e comunicação, no caso em que os principais membros da administração executiva, inesperadamente, se tornem incapacitados. (DRJ) Plano de Teste (Test Plan) Documento que é baseado no escopo e nos objetivos dos testes da instituição e inclui vários métodos de teste. (FFIEC) Ponto Objetivado de Recuperação (POR) (Recovery Point Objective (RPO)) Ponto em que a informação usada por uma atividade deve ser restaurada para permitir a operação da atividade na retomada. Nota do Editor (ISO): Também pode ser referido como "perda máxima de dados". (ISO 22301) Ponto Único de Falha (POUF) (Single Point of Failure (SPOF)) Situação em que um serviço, atividade ou processo é fornecido por uma única fonte, cuja falha poderia levar à falha total de uma função crítica. (BCE) Portfólio de Aplicativos (Application Portfolio) Banco de dados ou documento estruturado usado para gerenciar aplicativos em todo o seu ciclo de vida. O portfólio de aplicativos contém atributos-chave de todas as aplicações. O portfólio de aplicativos às vezes é implementado como parte do portfólio de serviços ou como parte do sistema de gerenciamento de configuração. (ITIL) Preparação (Preparedness) Atividades implantadas antes de um incidente que podem ser utilizadas para apoiar e melhorar a mitigação de, responder a e recuperar de interrupções. (BCI) Preparação para Emergências (Emergency Preparedness) Recurso que permite que uma organização ou comunidade responda a uma emergência de forma coordenada, oportuna e eficaz, para evitar a perda de vidas e minimizar danos materiais e físicos. (DRJ) Prevenção (Prevention) Medidas que permitem a uma organização evitar, impedir ou limitar o impacto de uma interrupção. [ISO / PAS 22399 2007] (ASIS) Decisão comunicada a fim de não se envolver em ou retirar-se de uma situação de risco. (BCI) Nota do tradutor: Também é utilizado o termo “evitar o risco”. Categoria usada para identificar a importância relativa de um incidente, problema ou mudança. A prioridade é baseada em Prevenção de Risco (Risk Avoidance) Prioridade (Priority) DRI International impacto e urgência e é usada para identificar os tempos necessários para que as ações sejam tomadas. Por exemplo, o ANS afirma que incidentes prioritários devem ser resolvidos no prazo de 12 horas. (ITIL) Probabilidade (Likelihood) Possibilidade de algo acontecer, se definido, medido ou estimado objetiva ou subjetivamente. Pode usar descritores gerais (tais como raro, improvável, provável, quase certo), frequências ou probabilidades matemáticas. Pode ser expresso quantitativamente ou qualitativamente. Nota do Editor (BCI): A imprecisão dos termos torna o seu uso em GCN de valor muito limitado. (BCI) Procedimentos de Recuperação (Recovery Procedures) Ações necessárias para restaurar os arquivos de dados de um sistema de informação e a capacidade computacional, depois de uma falha do sistema. (CNSSI-4009) Processo de Negócio (Business Process) Processo que pertence e é executado pelo negócio. Um processo de negócio contribui para a entrega de um produto ou serviço aos clientes de negócio. (ITIL) Procedimentos Manuais (Manual Procedures) Método alternativo de trabalho utilizado após uma interrupção dos sistemas de TI. Como as práticas de trabalho dependem mais e mais de sistemas de TI, a capacidade de uma organização de retomar seus processos de negócio utilizando procedimentos manuais é pequena. No entanto, medidas e métodos de trabalhos temporários podem ajudar a reduzir o impacto do evento por um curto período. (BCI) Programa (Program) Grupo de iniciativas relacionadas, geridas de forma coordenada, de modo a obter um nível de controle e benefícios que não seriam possíveis a partir da gestão individual destas iniciativas. Os programas podem incluir elementos de trabalho distintos, relacionados fora do âmbito das iniciativas do programa. (FCD-1). Programa de Continuidade dos Negócios (Business Continuity Program) Processo contínuo de gestão e governança suportado pela Alta Direção que recebe apropriadamente os recursos para implementar e manter a gestão de continuidade dos negócios. (ISO 22301) Programa de Gestão de Continuidade dos Negócios (Business Continuity Management Program) Processo de gerenciamento contínuo e de governança suportado pela Alta Direção e dotado de recursos para assegurar que as medidas necessárias sejam tomadas para identificar o impacto das perdas potenciais, manter estratégias e planos de recuperação viáveis e assegurar a continuidade de produtos e serviços por meio de treinamento, prática, manutenção e revisão. (BCI) 27 Glossário em Português Prontidão (Readiness) Ver “preparação”. Provedor de Serviço (Service Provider) Uma organização que fornece serviços a um ou mais clientes internos ou externos. (ITIL) R Reinício dos Negócios Condição de uma função, após sua recuperação, quando está (Business pronta para assumir tarefas e atividades, a fim de receber novas Resumption) demandas de negócio. (Singapore MAS) Recomeço (Resumption) Processo de planejamento e/ou implementação do reinício de funções e operações de negócios definidas, após um desastre. (Banco Central Europeu) Reconstituição (Reconstitution) Processo pelo qual os sobreviventes e/ou os substitutos retomam as operações normais, a partir das instalações normais ou de instalações de operação alternativas. (FCD-1) Recuperação (Recovery) Atividades e programas destinados ao retorno das condições para um nível aceitável pela organização. (NFPA 1600) Recuperação de Aplicações (Application Recovery) Componente da recuperação de desastres que visa especificamente a restauração dos sistemas de informação e dados do negócio, após o processamento ter sido restaurado ou substituído. (DRJ) Recuperação de Área de Trabalho (Work Area Recovery) Componente da recuperação e continuidade que visa especificamente realocar uma função-chave ou departamento, no caso de um desastre, incluindo pessoal, registros essenciais, fornecimento de equipamentos, local de trabalho, meios de comunicação, computadores, fax, copiadoras , serviços de correio, etc. Ambiente de recuperação completo, com a infraestrutura necessária(mesa, telefone, estação de trabalho, hardware, comunicações). (DRJ) Recuperação de Dados (Data Recovery) Restauração de arquivos de computador a partir de mídias de backup a fim de recuperar os sistemas e dados de produção para o estado em que se encontravam no momento do último backup. (DRJ) Recuperação de Desastres Aspecto técnico da continuidade dos negócios. Conjunto de recursos e atividades para restabelecer os serviços de tecnologia DRI International (Disaster Recovery (DR)) da informação (incluindo componentes tais como: infraestrutura, telecomunicações, sistemas, aplicações e dados) em um local alternativo, após uma interrupção dos serviços de TI. A recuperação de desastres inclui retomada e restauração subsequente dessas operações em um local permanente. (DRJ) Recuperação do Negócio (Business Recovery) Redução de Risco (Risk Reduction) Medidas tomadas para retomar o negócio dentro de um prazo aceitável após uma interrupção. (BCI) Redução do Risco de Desastre (Disaster Risk Reduction) Redução da probabilidade de ocorrência de desastres por meio de esforços sistemáticos para analisar e gerir os fatores causais de catástrofes, incluindo a redução da exposição à ameaças, redução das vulnerabilidades de pessoas e localidades, gestão adequada da terra e do meio ambiente, e a melhoria da preparação para eventos adversos.(UNISDR) Redundância (Redundancy) a. Em recursos humanos, o termo "redundância" pode significar a provisão de suplentes de empregados-chave ou membros da equipe de gestão de crise/GCN. (BCI) b. Duplicação de recursos tecnológicos, físicos ou humanos quando o recurso original é único e essencial. Registro eletrônico ou impresso que é essencial para preservar, continuar ou reconstruir as operações e proteger os direitos da organização, bem como seus funcionários, clientes e partes interessadas. (Singapore SS540) Registro Vital (Vital Records) Aplicação seletiva de técnicas adequadas e princípios de gestão para reduzir a probabilidade de uma ocorrência ou o seu impacto, ou ambos. (BCI) Remediação (Remediation) O ato de mitigar uma vulnerabilidade ou uma ameaça. (CNSSI4009) Replicação (Failover) Capacidade de comutar automaticamente (normalmente sem intervenção humana ou aviso) para um sistema de informação redundante ou de espera, após a falha ou finalização anormal do sistema anteriormente ativo. (CNSSI4009) Reserva (Fallback) Uma instalação de reserva é outro site/edifício que pode ser usado quando o site/edifício original está inutilizado ou não disponível. (BCI) Resiliência (Resilience) Capacidade de adaptação de uma organização em um ambiente complexo e em mudança. Nota do Editor (ASIS): a. Resiliência é a capacidade de um organismo resistir quando afetado por um acontecimento ou a capacidade de retornar para um nível aceitável de desempenho num 29 Glossário em Português período de tempo aceitável, após ser afetado por um evento. b. Resiliência é a capacidade de um sistema para manter as suas funções e estrutura em face da mudança interna e externa, e para degradar-se normalmente quando necessário. (ASIS) Resposta (Response) a. Atividades imediatas e contínuas, tarefas, programas e sistemas para gerenciar os efeitos de um incidente que ameaça a vida, a propriedade, as operações ou o meio ambiente. (NFPA 1600) b. Prestação de serviços de emergência e assistência pública durante ou imediatamente após um desastre, a fim de salvar vidas, reduzir os impactos na saúde, garantir segurança pública e atender às necessidades básicas de subsistência das pessoas afetadas. Nota do editor (UNDR): Resposta a desastres é predominantemente centrada nas necessidades imediatas e de curto prazo. A divisão entre esta fase de resposta e a fase de recuperação posterior não é clara. Algumas ações de resposta, tais como a oferta de alojamento temporário e abastecimento de água podem estender-se para a fase de recuperação. (UNDR) Resposta a Incidente (Incident Response) Resposta de uma organização a um desastre ou outro evento importante que pode afetá-la significativamente, as pessoas ou sua capacidade de operação normal. A resposta a incidentes pode incluir o abandono de uma instalação, a ativação de um plano de recuperação de desastres, a realização de uma avaliação dos danos, bem como quaisquer outras medidas necessárias para levar uma organização a uma condição mais estável. (DRJ) Resposta a Emergência (Emergency Response) Reação imediata e resposta a uma situação de emergência com foco em garantir a proteção da vida e a redução da gravidade do incidente. (DRJ) Restauração (Restoration) Processo de planejamento e/ou implementação de procedimentos para a reparação de hardware, a realocação do site principal e de seu conteúdo e o retorno as operações normais no local operacional permanente. (DRJ) Retorno sobre o Investimento (ROI) (Return on Investment (ROI)) Medida do benefício esperado de um investimento. No sentido mais simples, é o lucro líquido de um investimento dividido pelo valor líquido dos ativos investidos. (ITIL) Risco (Risk) Evento possível que possa causar perdas ou danos, ou afetar a capacidade para atingir os objetivos. Um risco é calculado pela DRI International probabilidade de uma ameaça ocorrer, pela vulnerabilidade do ativo a essa ameaça e pelo impacto gerado caso ela tivesse ocorrido. (ITIL) Risco aceitável (Acceptable Risk) Nível de perdas potenciais que uma sociedade ou comunidade considera aceitável, dadas as condições sociais, econômicas, políticas, culturais, técnicas e ambientais existentes. Nota do editor UNISDR: Em termos de engenharia, risco aceitável é também utilizado para avaliar e definir as medidas estruturais e não-estruturais que são necessárias, a fim de reduzir possíveis danos a pessoas, bens, serviços e sistemas, para um nível tolerável escolhido, de acordo com códigos ou "práticas aceitas", que são baseados em probabilidades conhecidas e outros fatores. (UNISDR) Risco Biológico (Biological Hazard) Processo ou fenômeno de origem orgânica ou transmitida por vetores biológicos, incluindo a exposição a microrganismos patogênicos, toxinas e substâncias bioativas que podem causar morte, ferimentos, doenças ou outros impactos à saúde, danos materiais, perda de meios de subsistência e serviços, perturbações sociais e econômicas ou danos ambientais. Nota do editor UNDR: Exemplos de riscos biológicos incluem surtos de doenças epidêmicas, contágio por planta ou animal, pragas de insetos ou outros animais e infestações. (UNDR) Risco de Desastre (Disaster Risk) Perdas potenciais de vidas, impactos à saúde, perda de meios de subsistência e/ou de bens e serviços, que poderiam ocorrer em uma comunidade ou uma sociedade durante algum período de tempo futuro devido a um desastre. (UNISDR) Risco do Negócio (Business Risk) Exposição a fatores internos e externos, tais como: a incapacidade de fornecer um serviço ou produto ou uma queda na demanda por produtos ou serviços da organização, onde resulte em uma perda inesperada. (BCI) Risco Natural (Natural Hazard) Processo natural ou fenômeno que pode causar perda de vida, ferimentos ou outros impactos à saúde, danos materiais, perda de meios de subsistência e serviços, ruptura social e econômica ou danos ambientais. Nota do editor (UNDR): O termo é usado para descrever os eventos de perigo real, bem como as condições que podem dar origem a eventos futuros. Eventos de perigo natural podem ser caracterizados pela sua magnitude ou intensidade, a velocidade de início, duração e área de extensão. Por exemplo, os terremotos têm curta duração e geralmente afetam uma região relativamente pequena, enquanto as secas são lentas para se desenvolver e muitas vezes afetam grandes regiões. Em alguns 31 Glossário em Português casos, os riscos podem ser combinados, como na enchente causada por um furacão ou tsunami que é resultado de um tremor de terra. (UNDR) Risco Operacional (Operational Risk) Risco de perda resultante de procedimentos e controles inadequados ou deficientes. Isto inclui eventos de perda relacionados à tecnologia e infraestrutura, falhas, interrupção dos negócios, problemas relativos ao pessoal, e eventos externos, tais como mudanças regulatórias. (DRJ) Risco Residual (Residual Risk) Nível de risco remanescente depois de implementadas todas as ações, com custo e benefício adequados, para a redução do impacto, da probabilidade e das consequências de um risco específico ou grupo de riscos, sujeito ao apetite a risco da organização. (BCI) Risco Tecnológico (Technological Hazard) Perigo proveniente de condições tecnológicas ou industriais, incluindo acidentes, procedimentos perigosos, falhas de infraestrutura ou atividades humanas específicas, que podem causar a perda da vida, lesão, doença ou outros impactos à saúde, danos materiais, perda de meios de subsistência e serviços, perturbações sociais e econômicas ou danos ambientais. Nota do editor UNDR: Exemplos de riscos tecnológicos incluem: a poluição industrial, a radiação nuclear, resíduos tóxicos, falhas em barragens, acidentes com transportes, explosões em fábricas, incêndios e vazamentos químicos. Riscos tecnológicos também podem surgir como resultado direto dos impactos de um evento natural perigoso. (UNDR) Roteamento Alternativo (Alternate Routing) Encaminhamento de informações através de um cabo alternativo ou outro meio (ou seja, usando uma rede diferente quando a rede principal estiver indisponível). Um site mantido em prontidão para uso durante a ativiação da continuidade dos negócio para manter em funcionamento os processos urgentes e importantes de uma organização. O termo se aplica igualmente aos requisitos de escritório ou de tecnologia. Nota do editor BCI: locais alternativos podem ser conhecidos como "cold", "warm" ou "hot". Eles também podem ser chamados simplesmente de sites de recuperação ou de backup. No Reino Unido, o termo mais tradicional é "local alternativo". (BCI) Ruptura (Disruption) Evento que interrompe negócios regulares, funções, operações ou processos, quer sejam previstos (por exemplo, furacão, agitação política) ou imprevistos (por exemplo, um apagão, ataque terrorista, falha de tecnologia, ou terremoto). Nota do editor (ASIS): A ruptura pode ser causada por fatores positivos ou negativos que afetam as funções normais, operações ou processos. (ASIS) DRI International S Salvamento (Salvage) Recuperação de objetos de uso pessoal, documentação, escritórios e equipamentos de informática. (BCI) Segurança (Security) Condição que resulta da criação e manutenção de medidas de proteção que permitem a uma empresa realizar sua missão e suas funções críticas, apesar dos riscos apresentados por ameaças à utilização de sistemas de informação. Medidas de proteção podem envolver uma combinação de dissuasão, anulação, prevenção, detecção, recuperação e correção que devem fazer parte da abordagem de gestão de risco da empresa. (CNSSI-4009) Seguro (Insurance) Contrato para financiar o custo do risco. No caso de um evento de risco (prejuízo) determinado ocorrer, o contrato de seguro vai pagar ao segurado o valor contrado. (BCI) Seguro de Interrupção de Negócio (Business Interruption Insurance) Gerenciamento de Continuidade de Serviço de TI (GCSTI) (IT Service Continuity Management (ITSCM)) Termo amplamente usado na indústria de seguros, relativo à exigência de cálculo do seguro adequado para cobrir a perda financeira decorrente da interrupção temporária dos negócios. (BCI) Processo responsável pelo gerenciamento de riscos que podem afetar significativamente os serviços de TI. O GCSTI garante que o provedor de serviço de TI pode sempre fornecer os níveis mínimos de serviço acordado, reduzindo o risco para um nível aceitável e planejando a recuperação dos serviços de TI. O GCSTI suporta a gestão de continuidade dos negócios. (ITIL) Serviços Essenciais (Essential Services) Serviços de infraestrutura sem os quais um edifício ou local seriam considerados deficientes e incapazes de prover condições normais de funcionamento. Normalmente, incluem serviços públicos (água, gás, eletricidade, telecomunicações) e, também, podem incluir sistemas de reserva de energia ou de sistemas de controle ambiental. (BCI) Serviços Gerenciados (Managed Services) Perspectiva sobre serviços de TI que enfatiza o fato de que eles são gerenciados. A expressão “serviços gerenciados” também é usado como sinônimo de serviços terceirizados de TI. (ITIL) 33 Glossário em Português Sistema de Comando de Incidentes (SCI) (Incident Command System (ICS)) Combinação de instalações, equipamentos, pessoal, procedimentos e comunicações que operam dentro de uma estrutura organizacional comum com atribuição de responsabilidade para o comando, controle e coordenação dos recursos, a fim de efetivamente direcionar e controlar a resposta e a recuperação de um incidente. O design flexível do SCI permite que sua amplitude de controle possa se expandir ou contrair, conforme o escopo da situação sofre mudanças. (DRJ) Sistema de Gestão (Management System) Conjunto de elementos inter-relacionados ou interativos de uma organização para estabelecer políticas e objetivos, bem como processos para atingir esses objetivos. Nota do Editor da ISO: 1) Um sistema de gestão pode abordar uma única disciplina ou várias disciplinas. 2) Os elementos do sistema incluem a estrutura da organização, papéis e responsabilidades, planejamento, operação, etc. 3) O escopo de um sistema de gestão pode incluir a totalidade da organização, funções específicas e identificadas da organização, seções específicas e identificadas da organização, ou uma ou mais funções através de um grupo de organizações. (ISO 22301) Sistema de Gestão de Continuidade dos Negócios (SGCN) (Business Continuity Management System (BCMS)) Parte do sistema global de gestão que estabelece, implementa, opera, monitora, analisa criticamente, mantém e melhora a continuidade dos negócios. Nota do Editor ISO: O sistema de gestão inclui estruturas organizacionais, políticas, atividades de planejamento, responsabilidades, procedimentos, processos e recursos. (ISO 22301) Socorrista (First Responder) Membro de um serviço de emergência que é o primeiro na cena de um incidente. Normalmente são políciais, bombeiros ou paramédicos. (BCI) Solução de Contorno Manual (Manual Workaround) Solução de contorno que requer intervenção manual. A solução de contorno manual também é usada como uma opção de recuperação indicada quando o processo de negócio opera sem o uso de serviços de TI. Esta é uma medida temporária e é geralmente combinada com outra opção de recuperação. (ITIL) T Tático (Tactical) Nível intermediário dos três níveis de planejamento e execução (estratégico, tático, operacional). Atividades táticas incluem os planos de médio prazo necessários para alcançar objetivos específicos, geralmente por um período de semanas até meses. DRI International (ITIL) Tecnologia da Informação (TI) (Information Technology (IT)) Uso da tecnologia para o armazenamento, comunicação ou processamento de informações. A tecnologia inclui tipicamente computadores, telecomunicações, aplicativos e outros softwares. As informações podem incluir dados de negócios, voz, imagens, vídeo, etc. A tecnologia da informação é frequentemente utilizada para apoiar os processos de negócio através de serviços de TI. (ITIL) Tempo Estimado de Recuperação (Recovery Time Estimate (RTE)) Tempo de Inatividade (Downtime) Período estimado de tempo necessário para restaurar um determinado nível de funcionalidade levando-se em conta quaisquer incertezas. (Austrália AS NZS 5050) Tempo de Inatividade Aceitável (Acceptable Downtime) Tempo máximo decorrido entre a interrupção e o restabelecimento da capacidade operacional ou habilidade necessária. (ASIS) Tempo de Inatividade Máximo Aceitável (TMA) (Maximum Tolerable Downtime (MTD)) Quantidade de tempo que uma função/processo de negócio pode ser interrompida(o) sem causar danos significativos para a missão da organização. (NIST SP 800-34) Tempo de Resposta (Response Time) Medida do tempo necessário para completar uma operação ou transação. (ITIL) Tempo Objetivo de Recuperação (TOR) (Recovery Time Objective (RTO)) Meta de tempo para a restauração e recuperação de funções ou recursos, com base no tempo de inatividade aceitável e nível aceitável de desempenho, em caso de interrupção das operações. (ASIS) Terceirização (Outsourcing) Transferência de funções de negócios para um fornecedor terceirizado independente (interno e/ou externo). (BCI) Teste (Test) Período de tempo em que algo não está em operação. Nota do Editor (BCI): Isso é muitas vezes chamado de falha quando se refere a serviços e sistemas de TI. (BCI) a. Avaliação que aprova ou reprova a infraestrutura de TI (por exemplo - computadores, cabeamento, dispositivos, hardware) e\ou infraestrutura física (por exemplo, sistemas prediais, geradores, ambientes), para demonstrar antecipadamente o funcionamento dos componentes e dos sistemas. Os testes são muitas vezes realizados como parte de operações e manutenções normais. Os testes são frequentemente incluídos dentro dos exercícios. (DRJ) 35 Glossário em Português Teste da Lista de Acionamento (Call Tree Test) b. A realização de uma ou mais partes de um plano de continuidade dos negócios, a fim de garantir que o plano contenha a informação adequada e produza o resultado desejado. Um teste difere de um exercício; um teste ocorre num local real, enquanto que um exercício é geralmente uma simulação. (BCE) c. Atividades realizadas para avaliar a eficácia ou a qualidade de um plano em relação a seus objetivos específicos ou critérios de medição. Testes geralmente envolvem exercícios destinados a manter a eficiencia das equipes e dos funcionários em suas funções e para revelar deficiências na preparação e resposta/continuidade/planos de recuperação. [ASIS Internacional Guia de Continuidade de Negócios 2005] (ASIS) Teste concebido para validar as informações das listas de contato e seu processo de manutenção. (BCI) Teste de Mesa (Desk Top Exercise) Técnica para treinar as equipes de emergência em que os participantes analisam e discutem as ações que tomariam, de acordo com seus planos, mas não realizam qualquer uma dessas ações; pode ser realizado com uma equipe única, ou várias equipes, normalmente, sob a orientação de facilitadores. (BCI) Teste de Mesa (Table Top Exercise) Método de exercitar os planos em que os participantes analisam e discutem as ações que tomariam, sem realmente executar tais ações. Representantes de uma única equipe, ou de várias equipes, podem participar do exercício, normalmente, sob a orientação de facilitadores. (DRJ) Todos os Riscos (All-Hazards) Abordagem de prevenção, mitigação, preparação, resposta, continuidade e recuperação, que trata uma ampla gama de ameaças e riscos, incluindo causas naturais, humanas e de origens tecnológicas. (NFPA 1600) Preparação da organização para suportar o risco após o tratamentos de risco, a fim de atingir os seus objectivos. [ISO/IEC Guia 73] Nota do Editor (ASIS): A tolerância ao risco pode ser limitada por requisitos legais ou regulamentares. (ASIS) Tolerância ao Risco (Risk Tolerance) Transferência de Risco (Risk Transfer) Técnica comum usada por gestores de risco para fazer frente ou mitigar potenciais exposições da organização. Uma série de técnicas que descrevem os vários meios de endereçar o risco por meio de seguros e produtos similares. (DRJ) Treinamento (Training) Treinamento é mais formal do que a sensibilização. Ele tem como objetivo construir conhecimentos e habilidades para melhorar a competência no desempenho do trabalho. Considerando que a sensibilização é geralmente orientada para todos os funcionários, DRI International o treinamento é direcionado aos funcionários com funções e responsabilidades específicas. Por exemplo, o pessoal envolvido na recuperação deve ser equipado e adequadamente preparado com o conhecimento e as habilidades necessárias para realizar atividades de recuperação. Treinamento faz parte do conjunto de sensibilização, formação, aprendizagem e educação. (Singapore SS540 / BCI) Trilha de Auditoria (Audit Trail) Registro cronológico que reconstrói e analisa a seqüência de atividades que envolvem ou que conduzem uma operação, procedimento ou evento específico, numa transação relevante, desde o início até resultado final. (CNSSI4009) U Unidade de Negócio (Business Unit) Divisão, unidade ou departamento de uma organização. Exemplos de unidades de negócios incluem lojas de varejo e o departamento de recursos humanos. A unidade de negócios pode executar uma série de funções de negócios. (Singapore SS540) V Vulnerabilidade (Vulnerability) Nível de exposição de uma pessoa, ativo, processo, informação, infraestrutura ou outros recursos às ações ou efeitos de um risco, evento ou outra ocorrência. (BCI) W W arm Site Site alternativo de processamento que está equipado com alguns hardwares e interfaces de comunicação, condicionamento elétrico e ambiental, que só terá capacidade operacional após o fornecimento de componentes , software ou customização necessárias. (DRJ) 37 Glossário em Português Fontes ASIS ASIS International é uma comunidade global de mais de 38.000 profissionais de segurança, cada um dos quais tem um papel na proteção dos ativos - pessoas, bens e/ou informações. AS/NZ 5050 AS/NZS 5050 explica como aplicar a norma AS/NZS ISO 31000 para riscos relacionados a interrupção e inclui orientações detalhadas das características desses riscos e a estrutura de gestão de risco por meio da qual eles são gerenciados. ASIS/BSI BCM.01- 2010 Norma que foi produzida por especialistas mundiais em gestão de continuidade e planejamento de contingência, representa um consenso de melhores práticas de gestão de continuidade dos negócios. Ela é uma ferramenta útil para qualquer tamanho ou tipo de organização que deseja melhorar sua preparação, desempenho e competências. O padrão ASIS/BSI de gerenciamento de continuidade dos negócios especifica os requisitos para planejamento, elaboração, execução, operação, monitoramento, revisão, exercício, manutenção e melhoria de um Sistema de Gestão de Continuidade dos negócios. Business Continuity Institute (BCI) Instituto de profissionais gestores de continuidade dos negócios. O BCI estabeleceu-se como uma organização líder de adesão e certificadora de profissionais de todo o mundo em Continuidade dos Negócios. Oferece uma ampla gama de recursos para profissionais interessados em aumentar os níveis de resiliência de sua organização ou que pensam em dedicar-se a continuidade dos negócios. British Standards Institute (BSI) O BSI ajuda as organizações de todo o mundo a fazer da excelência um hábito. Por mais de um século, o BSI tem desafiado a mediocridade e a complacência para ajudar a incorporar a excelência na forma de trabalhar nas pessoas e nos produtos. Isso significa que mostram às empresas como melhorar o desempenho, reduzir os riscos e alcançar um crescimento sustentável. É a Companhia de Padrões Nacionais e a primeira Companhia de Normas do Reino Unido. BS 25999 A norma britânica BS 25999 é o primeiro padrão mundial de Gestão de Continuidade dos Negócios (GCN) desenvolvido para minimizar os riscos de interrupções que afetam toda a organização. A norma BS 25999 foi desenvolvida por um grupo de especialistas, que representam setores da indústria e do governo, para estabelecer o processo, os princípios e a DRI International terminologia da Gestão de Continuidade dos Negócios (GCN). Committee on National Security Systems (CNSS) O CNSS proporciona um fórum para a discussão de questões políticas e é responsável pela definição das políticas, diretrizes, instruções, procedimentos operacionais, orientações e recomendações de segurança de informações para o Governo dos EUA, departamentos e agências de segurança do Sistema de Segurança Nacional (NSS), por meio do Sistema de Emissão. DRI International DRI International, originalmente Instituto Internacional de Recuperação de Desastres, fundado em 1988, é uma organização sem fins lucrativos com a missão de tornar o mundo preparado. Como um organismo global de educação e certificação em continuidade dos negócios e planejamento de recuperação de desastres, o DRI Internacional define o padrão para profissionais. Depois de mais de 25 anos de serviço, o DRI Internacional continua a ser o mais antigo, o maior e mais amplo organismo de seu gênero. DRJ Disaster Recovery Journal oferece conhecimento profundo em planejamento de continuidade dos negócios. É uma publicação amplamente lida na indústria e oferece conferências que tendem a ser os eventos com a maior participação da indústria de continuidade dos negócios. DRJ tem uma infinidade de recursos e materiais disponíveis para uso. European Central Bank (ECB) O Banco Central Europeu e os bancos centrais nacionais constituem, em conjunto, o Eurosystem, o sistema de bancos centrais da zona do euro. Seu objetivo principal é manter a estabilidade dos preços, salvagardando o valor do euro. FCD 1 Um documento desenvolvido e promulgado pelo US Department of Homeland Security (DHS), em coordenação com o Continuity Advisory Group (CAG) e em consulta ao Continuity Policy Coordination Committee (CPCC), que direciona os departamentos executivos e as agências para a elaboração dos requisitos de planejamento de continuidade e critérios de avaliação identificados. A Federal Continuity Directive -1 fornece orientação para o Poder Executivo Federal, para o desenvolvimento de planos e programas de continuidade. Federal Final Institutions Examination Council (FFIEC) Responsável pelo desenvolvimento de sistemas de notificações padrão para as instituições financeiras supervisionadas pelo governo federal, as suas sociedades gestoras de participações e as subsidiárias de instituições não financeiras dessas instituições e das sociedades gestoras de participações. Gere 39 Glossário em Português escolas para os empregados examinadores, por meio dos representantes das cinco agências federais membros do Conselho, e faz com que essas escolas estejam disponíveis para os funcionários das agências estatais que supervisionam as instituições financeiras. HIPAA HIPAA é a sigla da Lei de Responsabilidade e Portabilidade de Seguro de Saúde (Health Insurance Portability and Accountability Act), de 1996. O principal objetivo desta lei federal dos EUA foi ajudar os segurados a manter sua cobertura de seguro. Os regulamentos da HIPAA aplicam-se a: Planos de Saúde, Centros de Cuidados de Saúde (Entidades que facilitam as transações eletrônicas "traduzindo" dados, entre planos de saúde e prestadores, quando eles utilizam sistemas de informação não-compatíveis). HITECH A Health Information Technology for Economic and Clinical Health (HITECH), promulgada como parte da Lei Americana de Recuperação e Reinvestimento, de 2009, assinada em 17 de fevereiro de 2009 para promover a adoção e o uso significativo da tecnologia de informação na área de saúde. A seção D da HITECH aborda as preocupações com a segurança e a privacidade associadas à transmissão eletrônica de informação de saúde, em parte, por meio de várias disposições que reforçam a execução civil e criminal das regras do HIPAA. International Organization for Standardization (ISO) A ISO é a maior desenvolvedora mundial de normas internacionais voluntárias. As normas internacionais apresentam o “estado da arte” nas especificações para produtos, serviços e boas práticas, ajudando a tornar a indústria mais eficiente e eficaz. Desenvolvidas através de consenso global, elas ajudam a quebrar as barreiras do comércio internacional. ISO é uma rede de organismos nacionais de normalização. ISACA Associação global, independente e sem fins lucrativos, a ISACA está envolvida no desenvolvimento, adoção e uso do conhecimento e das práticas mundialmente aceitas para sistemas de informação. Anteriormente conhecida como "Information Systems Audit and Control Association", a ISACA hoje é conhecida apenas pelo seu acrônimo, o que reflete a ampla gama de profissionais de governança em TI atendida pela ISACA. ISO 31000 A Norma Gestão de Riscos - Princípios e Diretrizes fornece princípios, estrutura e um processo de gestão de riscos. Ela pode ser usada por qualquer organização, independentemente DRI International do seu tamanho, atividade ou setor. Implementar a ISO 31000 aumenta a probabilidade das organizações de alcançar objetivos, melhorar a identificação de oportunidades e ameaças e, efetivamente, alocar e usar recursos para o tratamento de riscos. ITIL Information Technology Infrastructure Library (ITIL) é uma estrutura amplamente adotada para o gerenciamento de serviços de TI. Ela fornece uma abordagem profissional e prática para a identificação, planejamento, entrega e suporte de serviços de TI nas empresas. ITIL defende que os serviços de TI devem estar alinhados às necessidades do negócio e apoiar os principais processos de negócio. Ela fornece orientações para as organizações sobre como usá-la como uma ferramenta para facilitar a mudança, transformação e crescimento dos negócios. Monetary Authority of Singapore (MAS) A Autoridade Monetária de Cingapura (MAS), Banco Central de Cingapura, promove o crescimento econômico sustentável e não inflacionista, por meio da formulação de política monetária adequada e da vigilância das tendências emergentes e potenciais vulnerabilidades macroecomonicas. Ela gerencia a taxa de câmbio de Cingapura, as reservas internacionais e a liquidez no setor bancário. Também é um supervisor integrado que orienta todas as instituições financeiras em Cingapura - bancos, seguradoras, intermediários do mercado de capitais, consultores financeiros, e a bolsa de valores. National Fire Protection Association (NFPA) A NFPA é uma organização internacional sem fins lucrativos com a missão de reduzir a carga mundial de incêndios e outros perigos sobre a qualidade de vida, fornecendo e defendendo códigos e normas de consenso, investigação, formação e educação. A NFPA é a principal defensora no mundo da prevenção de incêndios e uma fonte autorizada em matéria de segurança pública, sendo o principal recurso para estudos, investigação e análise de dados sobre incêndios. NFPA 1600 Norma amplamente utilizada por entidades públicas, sem fins lucrativos, não-governamentais e privadas, de âmbito local, regional, nacional, internacional e global. A NFPA 1600 foi adotada pelo US Department of Homeland Security (DHS), como uma norma de consenso sobre a preparação para emergências. National Institute of Standards and Technology (NIST) O NIST é responsável pelo desenvolvimento de normas e orientações, incluindo os requisitos mínimos, para prover adequada segurança à informação de todas as operações de 41 Glossário em Português uma organização e seus ativos. Estas normas não são aplicáveis aos sistemas de segurança nacional. NIST é um dos mais antigos laboratórios de ciências físicas dos Estados Unidos da América. NIST é uma agência federal não regulatória dentro do Departamento de Comércio dos EUA. NIST SP 800-34 Guia de Planejamento de Contingência para Sistemas de Informação Federal. Fornece instruções, recomendações e considerações em relação ao planejamento de contingência de sistemas de informações federais. Esta publicação auxilia as organizações a compreender o propósito, processo e formato do desenvolvimento e planejamento da contingência dos sistemas de informação, por meio de orientações práticas, baseadas em casos reais. National Emergency Crisis and Disaster Management Authority (NCEMA) A NCEMA funciona sob a tutela e supervisão do Conselho Superior de Segurança Nacional. É um importante organismo de normalização dos Emirados Árabes Unidos, responsável por regular e coordenar todos os esforços de emergência e gestão de crises, bem como o desenvolvimento de um plano nacional de resposta a emergências. A missão da NCEMA é coordenar todos os esforços para salvar vidas, preservar propriedades e ativos nacionais, impedindo o efeito de emergências e crises, e coordenar os esforços de recuperação. Singapore SS-540 Norma de Cingapura que estabelece a estrutura para uma organização analisar e implementar estratégias, processos e procedimentos. A norma está centrada na resiliência e proteção de ativos críticos (humanos, meio ambiente, intangíveis e físicos) e na gestão de continuidade e recuperação de funções críticas de negócio numa organização de qualquer tamanho. United Nations International Strategy for Disaster Reduction (UNISDR) UNISDR foi criada como parte da Secretaria das Nações Unidas com o objetivo de assegurar a implementação da Estratégia Internacional para a Redução de Desastres. O objetivo da UNISDR é servir como o ponto focal do sistema das Nações Unidas para a coordenação da redução de desastres e assegurar sinergias entre as atividades de redução de desastres. Redução do Risco de Desastres visa reduzir os danos causados por desastres naturais, como terremotos, inundações, secas e ciclones, através da prevenção. A Estratégia Internacional para a Redução de Desastres reflete uma mudança do enfoque tradicional da resposta a desastres para a redução de desastres, o que busca promover a "cultura de prevenção".