Glossário Internacional de Resiliência

Transcrição

Glossário em Português
Termos de Uso
Este material é exclusivamente para fins informativos. O DRI International, seus administradores,
diretores, funcionários, licenciados, afiliados e voluntários ("DRI Internacional") não o estão
oferecendo como serviços ou aconselhamentos jurídicos profissionais ou outros. Embora todos os
esforços tenham sido utilizados na preparação desse material, o DRI Internacional não faz
nenhuma representação ou estabelece qualquer tipo de garantia, não assume responsabilidade de
qualquer espécie com relação à exatidão ou à integridade dos conteúdos e, especificamente, se
isenta de quaisquer garantias de comerciabilidade ou adequação de uso para um propósito
particular. O DRI International não será responsabilizado ou responsável, por qualquer pessoa ou
entidade, com respeito a qualquer perda ou danos acidentais ou indiretos causados, ou
alegadamente causados, direta ou indiretamente, pelas informações aqui contidas. Cada
organização é diferente e as definições contidas neste documento podem não ser adequadas para
sua situação. Você deve procurar os serviços de um profissional competente antes de iniciar
qualquer programa de melhoria.
Committee Members
Permanent Committee Members
Chair: Bobby Williams, MBCP, Fidelity
Coordinator: Chloe Demrovsky, CBCV, DRI International
Al Berman, MBCP, DRI International
Drew Buchanan, CBCP, Bowhead Systems Management, LLC
John Franchy, CBCP, United States Department of Defense
Dean Gallup, MBCP, Advantaged Solutions, Inc..
James Price, MBCP, 3J Contingency Planning Services
Gary Villeneuve, MBCP, CBCLA, DRI International
Mark Wilson, MBCP, CSC
Brian Zawada, MBCP, Avalution Consulting
Contributing Committee Members
Carol Chia, ABCP, DRI Malaysia
Rod Crowder, CBCP, DRI Australia
Mohammed al Jenaibi, CBCP, Executive Council, United Arab Emirates
Jason Low, SPRING Singapore
Winston Poon, CBCP, CBCA, DRI Singapore
Harley Lemons, MBCP, United States Department of Defense
Kelley Okolita, MBCP, Regence Blue Cross Blue Shield
Peter McEvoy, ABCP
Jim Kinsman, MBCP, TD Ameritrade
Assistant Coordinators
Ingrid Covaci, New York University
Scott Reutter, New York University
Andrew Frame, New York University
Acknowledgments
Harvey Betan, CBCP, CBCLA, Risk Masters, Inc.
Buffy Rojas, DRI International
Melissa Smith, MBCP, C2 Consulting
Candy Wehenkel, CBCP, Anderson Merchandisers
Katherine Wilkins, New York University
Russell Wooldridge, CBCV, DRI International
Portuguese Language Committee Member
Alexandre Guindani, CBCP, MBCI, GCNBrasil
Acknowledgments
Dayse Ribeiro Alves Pereira
Roberto do Vale Barros
Andrea Moreira Marum Jorge
International Glossary for Resiliency
Introduction
Notes from the Coordinator:
Clear communication is an essential part of what we do, yet we all have had
experiences in which the same terms are used to describe different situations. For
example, which term do you use to describe a fire? Is it an emergency, an incident,
an event, a disaster, or all of the above? Sometimes the discrepancies are subtle,
sometimes not. In everyday situations, ambiguity can be comical, confusing, or at
worst, annoying. In a crisis situation, unclear definitions can be dangerous.
As the oldest and largest organization of its kind, DRI International is an industry
thought leader, and our certified professionals and the greater continuity community
look to us for guidance. When we were asked to offer a DRI glossary, we took on the
challenge. The first question we posed was quite simple: What can we create to best
serve the industry? As a nonprofit organization, service is our mission. In answering
that question, we soon realized that the industry already has many glossaries and
terms. These various documents offer much insight and are already widely used in
various parts of the world. Rather than add to the abundant number of existing
glossaries, we felt that DRI should act as an arbiter of existing definitions. For this
reason, the DRI glossary does not create new definitions. Instead, we selected and
presented the best-in-class definitions already in use in the English language.
The process had to be international, inclusive, and apolitical, so we established a
volunteer committee of industry leaders to review and vote on the terms and
definitions that would ultimately appear in this document. What you see here is the
result of nearly two years of effort to build the beginnings of a standard set of terms.
We expect that this will be a living document, subject to revisions and changes. We
are eager for your input, as well as the participation of representatives from each of
the source documents, as we work to achieve our goal of uniformity in the industry.
I would like to thank everyone who contributed to this tremendous undertaking
including the tireless committee members, reviewers, assistant coordinators, and DRI
staff. Most of all, I cannot thank Bobby Williams enough for stepping forward when
called upon during a meeting of DRI’s Professional Development Committee to offer
his services as chairperson. I am honored to have worked on this project with such
an incredible group of people, and I look forward to working with many more of you
as the DRI Glossary evolves along with the industry it serves.
Thanks,
Chloe Demrovsky
International Glossary for Resiliency
Notes from the Chair:
There are times in our lives when a simple question takes on a very complex life of its
own. This document was such an undertaking for me. I was asked if I would lead a
committee to develop a compilation of glossary terms for DRI International. I thought,
“How hard could that be?” Harder than I thought, but also infinitely more rewarding.
You are now reading the result of our undertaking. A document (not a monster!) that
we created and are hopeful will have a life of its own for many years to come.
The goal of our committee was to gather as many laws, standards, regulations,
organizational best practice guides, and industry periodicals containing definitions
relating to business continuity (BC), disaster recovery (DR), or risk management
(RM). We took the terms contained in those documents and compiled a glossary of
preferred definitions for use by our industry as a definitive source of terminology.
The first task (gathering the resource documents) proved to be pretty straightforward.
We compiled a total of 23 documents. These 23 documents contained 2189 unique
terms and a total of 2730 terms. The multiple definitions of terms proved to be the
real challenge of this project. The committee took several ballots to eliminate some
terms that we felt really weren’t specific to BC, DR, or RM. This stage of the process
netted 479 unique terms from a total of 876 occurrences in 22 reference documents.
The next task was the most daunting: selecting the best definition across multiple
resource documents. After many ballot iterations, negotiations, and gnashing of
teeth, we feel that we have succeeded in compiling the most comprehensive glossary
of BC, DR, and RM terms in our industry.
But just like a continuity plan, the work is never really done. This document is only
the beginning! The long range vision for the glossary is to continue to refine and
enhance it. I want to thank the committee members for their efforts on this project. I
would also like to thank Chloe Demrovsky, our DRI coordinator. It has been a
privilege to be a part of this committee.
Thanks,
Bobby Williams
DRI International
Como utilizar este documento:
Abaixo estão alguns pontos de atenção na utilização deste documento:
• Nenhuma das definições deste documento são originais. As citações dos documentos de
origem, escolhidos pela comissão, podem ser encontradas após cada definição entre
parênteses.
• Em alguns casos, as definições foram modificados para melhorar o entendimento, incluindo a
remoção de exemplos ou referências internas.
• Quando uma nota ou comentário do documento de origem for incluído, será precedido por
"Nota do Editor (Nome da Fonte) ". Nossas próprias notas são precedidas por "Nota do Editor
(DRI)".
• Para algumas definições existem vários itens. Letras são utilizadas para listar os itens de uma
única definição (ou seja, a., B., C.)
• Se duas definições tiveram o número de votos próximo no processo de votação e foram
consideradas substancialmente diferentes, ambas foram incluídas. Números são usados para
listar as várias definições (isto é, 1., 2., 3.), e cada uma é seguida por sua fonte.
• Nomes de organizações, associações e certificações não estão incluídos.
• Todas as fontes estão incluídas na seção intitulada "Fontes", juntamente com uma descrição
da organização ou documento. Sempre que possível, a descrição é obitida de documento ou
do site da organização.
Para mais informações sobre o processo ou se você tiver alguma dúvida, entre em contato com
Chloe Demrovsky - [email protected].
Como este documento é mantido:
Aqui estão alguns pontos sobre como é a manutenção deste documento:
• Sugestões de melhoria SEMPRE serão aceitas.
» O ponto de contato (POC) é Chloe Demrovsky - [email protected].
• Este documento é revisto trimestralmente pelo Comitê.
» A revisão é baseada em:
 Comentários recebidos;
 Mudanças significativas em normas;
 Mudanças significativas em leis e regulamentações;
 Mudanças significativas no ambiente regulatório.
• Uma sessão pública de revisão ocorrerá anualmente durante a conferência do DRI.
• A revisão anual formal do documento será publicada no primeiro dia útil do segundo mês
posterior à conferência do DRI.
» A revisão anual manterá o nome do documento acrescido do número da revisão “Rev #”.
• Revisões completas deste documento ocorrerão a cada 4(quatro) anos.
» Esta versão será nomeada com o ano de lançamento e nenhum número de revisão.
» Revisões completas podem incluir:
 Novos termos;
 Exclusão de termos.
1
A
Aceitação de Riscos
(Risk Acceptance)
Uma decisão da administração de não tomar ação alguma para
mitigar o impacto de um risco particular. (BCI)
Acordo de Ajuda
Mútua
(Mutual Aid
Agreement)
Acordo formalizado entre duas ou mais entidades para prestar
assistência às partes do acordo. [ISO / PAS 22399 2007] (ASIS)
Acordo de Basiléia
Acordo das instituições financeiras internacionais sobre a avaliação
(Basileia III)
de risco financeiro e as relações entre o capital e o risco. (BCI)
(Basel Accord (Basel
III))
Acordo de Nível de
Serviço (ANS)
(Service Level
Agreement (SLA))
Acordo formal entre um prestador de serviço (quer interno ou
externo) e seu cliente (quer interno ou externo), que abrange a
natureza, qualidade, disponibilidade, alcance e resposta do
provedor de serviços. O ANS deve abranger as situações do dia a
dia e as situações de desastre, visto que a necessidade do serviço
pode variar em um desastre. (DRJ)
Acordo Recíproco
(Reciprocal
Agreement)
Acordo entre duas organizações (ou dois grupos empresariais
internos) com equipamento/ambiente similar que permite a cada
um recuperar-se na instalação do outro. (DRJ)
Acreditação
(Accreditation)
Declaração formal de uma Entidade Acreditadora que um sistema
de informação está aprovado para operar em um nível aceitável de
risco, com base na aplicação de um conjunto de salvaguardas
técnicas, gerenciais e operacionais.
a.Privilégios de acesso concedido a um usuário, programa ou
processo ou o ato de concessão desses privilégios. (CNSSI-4009)
Ação Corretiva
(Corrective Action)
Ação para eliminar a causa de uma não conformidade e para
prevenir sua recorrência. (ISO 22301)
Administrador do
Plano de
Continuidade dos
Negócios
(Business
Continuity Plan
Administrator)
Pessoa responsável pela documentação, manutenção e distribuição
do plano. (DRJ)
Ajuda Mútua
(Mutual Aid)
Acordos recíprocos formalizados e documentados entre duas ou
mais organizações que prevejam assistência unilateral, bilateral ou
multilateral, em circunstâncias determinadas. (Australia AS NZS
DRI International
5050)
Alerta
(Alert)
Notificação de que existe uma situação potencial de
desastre/interrupção. Geralmente direciona para prontidão das
equipes, no caso de uma possível ativação. (DRJ)
Alta Disponibilidade
(High Availability)
Abordagem ou desenho que minimiza ou mascara os efeitos que
uma falha em um item de serviço de TI causa aos usuários.
Soluções de alta disponibilidade são projetadas para atingir um
nível acordado de disponibilidade e faz uso de técnicas tais como
tolerância a falhas, resiliência e recuperação rápida para reduzir o
número e o impacto dos incidentes. (ITIL)
Ameaça
(Threat)
Situação natural ou causada pelo homem que pode gerar
interrupção das operações ou serviços de uma organização.
(Singapore SS540)
Ameaças Humanas
(Human Threats)
Possíveis interrupções nas operações resultantes de ações
humanas identificadas durante a avaliação de risco (empregado
descontente, terrorismo, chantagem, greves, disturbios sociais,
etc.) (DRJ)
Análise de Causa
Raiz
(Root Cause
Analysis (RCA))
Atividade que identifica a causa raiz de um incidente ou problema.
Normalmente concentra-se em falhas de infraestrutura de TI.
(ITIL)
Análise de CustoBenefício
(Cost Benefit
Analysis)
Processo (após o BIA e avaliação de riscos) que identifica a melhor
opção dentre diferentes estratégias de GCN, avaliando o custo
financeiro de cada opção em comparação com o ganho percebido
com a implementação desta opção. (DRJ)
Análise de Impacto
(Impact Analysis)
Processo de análise de todas as funções operacionais e do efeito
que uma interrupção operacional poderia ter sobre elas. Nota do
editor (ASIS): Análise de impacto inclui a análise de impacto nos
negócios - a identificação de ativos críticos de negócios, funções,
processos e recursos, bem como uma avaliação do dano ou perda
potencial que pode ser causada à organização resultante de uma
interrupção (ou uma mudança no ambiente operacional ou de
negócios). A análise de impacto identifica:
a. como a perda ou dano se manifestará;
b. como aumenta o nível de danos ou perdas;
c. o tempo mínimo após um incidente, os serviços e recursos
mínimos (humanos, físicos e financeiros) necessários para que os
processos de negócio continuem a operar em um nível mínimo
aceitável; e,
d. o tempo e o nível em que atividades, funções e serviços da
organização devem ser recuperados. (ASIS)
3
Análise de Lacunas
(Gap Analysis)
Uma comparação que identifica a diferença entre os resultados
verificados e os pretendidos. (FFIEC)
Análise de Risco
(Risk Analysis)
Processo de quantificação das ameaças para uma organização e a
probabilidade de que elas se materializem. (BCI)
Apetite ao Risco
(Risk Appetite)
Nível de risco que uma organização está preparada para aceitar,
tolerar ou estar exposta, em qualquer ponto no tempo. (BCI)
Aplicativo
(Application)
Software que realiza uma função específica, a qual pode ser
executada por usuário que não tenha privilégios administrativos.
(CNSSI-4009)
Arquitetura
(Architecture)
Estrutura de um sistema ou serviço de TI, incluindo as relações dos
componentes uns com os outros e com o ambiente em que se
encontram. Arquitetura também inclui as normas e diretrizes que
orientam a concepção e a evolução do sistema. (ITIL)
Área de Trabalho
Alternativo
(Alternate Work
Area)
Ataque Cibernético
(Cyber Attack)
Ambiente preparado para a recuperação, com toda a infraestrutura
necessária (mesa, telefone, computador, softwares, comunicações,
etc). (DRJ)
Ativação
(Activation)
Implementação de procedimentos, atividades e planos de
continuidade dos negócios em resposta a um incidente grave,
emergência, evento ou crise. (BCI)
Ativos
(Asset)
Qualquer coisa que tenha valor para a organização.
Nota do editor BCI: Isto pode incluir ativos físicos, tais como:
propriedades, instalações e equipamentos; bem como, recursos
humanos, propriedade intelectual, imagem e reputação. (BCI)
Auditoria
(Audit)
Exame sistemático para determinar se as atividades e os
respectivos resultados estão em conformidade com as disposições
previstas e se estas disposições são aplicadas eficazmente e são
adequadas para alcançar objetivos e a política da organização. (BS25999-2)
Auditoria Interna
(Internal Audit)
Auditoria realizada pela, ou em nome da própria organização, para
a revisão da gestão e outros fins internos, e que pode formar a
base para a autodeclaração de conformidade de uma organização.
Nota do editor BS-25999-2: Em muitos casos, particularmente em
organizações menores, a independência pode ser demonstrada
pela isenção de responsabilidade pela atividade a ser auditada.
Ataque a uma empresa, por meio do ciberespaço, com o propósito
de prejudicar, desativar, destruir ou controlar maliciosamente um
ambiente/infraestrutura de computação, destruir a integridade dos
dados ou roubar informações. (CNSSI-4009)
DRI International
(BS-25999-2)
Auditor
(Auditor)
Pessoa com competência para realizar uma auditoria. [ISO 9001
2000] (ASIS)
Autenticação
(Authentication)
Processo de verificação da identidade ou de outros atributos
requeridos ou assumidos por uma entidade (usuário, processo ou
dispositivo), ou para verificar a origem e a integridade dos dados.
NIST SP 800-53: A verificação da identidade de um usuário,
processo ou dispositivo, normalmente é um pré-requisito para
permitir o acesso aos recursos de um sistema de informação.
(CNSSI-4009)
Autoridades
Competentes
(Authority Having
Jurisdiction (AHJ))
Organização, escritório ou indivíduo responsável por fazer cumprir
os requisitos de um código ou norma, ou por aprovar
equipamentos, materiais, instalações ou procedimentos. (NFPA
1600)
Autorização
(Authorization)
Privilégios de acesso concedido a um usuário, programa ou
processo, ou o ato de concessão desses privilégios. (CNSSI-4009)
Avaliação
(Assessment)
Inspeção e análise para verificar se uma norma ou conjunto de
orientações estão sendo seguidos, se seus registros estão exatos
ou com que eficiência e eficácia as metas estão sendo alcançadas.
(ITIL)
Processo formal de avaliação do nível de exposição de um sistema
de informação ou empresa a uma ameaça e a descrição da
natureza desta ameaça. (CNSSI-4009)
Avaliação de
Ameaça
(Threat
Assessment)
Avaliação de
Impacto nos
Negócios
(Business Impact
Analysis (BIA))
Método de identificar os efeitos de uma falha na execução de uma
função ou requisito. (FCD-1)
Avaliação de Danos
(Damage
Assessment)
Avaliação ou determinação dos efeitos de um incidente sobre os
seres humanos, o meio ambiente, as operações e ativos de uma
organização. (NFPA 1600)
Análise/Avaliação
de Risco
(Risk Assessment /
Analysis)
Processo que identifica os riscos de uma organização, avalia as
funções críticas necessárias para que a organização mantenha suas
operações de negócios, define os controles necessários para
reduzir a exposição da organização e avalia o custo de
implementação de tais controles. A análise de risco, muitas vezes
envolve uma estimativa da probabilidade de ocorrência de um
evento específico. (DRJ)
5
Avaliação de
Vulnerabilidade
(Vulnerability
Assessment)
Análise sistemática de um sistema de informação ou produto para
determinar a suficiência das medidas de segurança, identificar
deficiências de segurança, fornecer dados para prever a eficácia
das medidas de segurança propostas e confirmar a adequação de
tais medidas após sua implementação. (CNSSI4009)
B
Benchm arking
Comparação de uma marca de referência com uma linha base
ou com as melhores práticas. O termo também significa criar
uma série de pontos de referência ao longo do tempo e
comparar os resultados para medir o progresso ou melhoria.
(ITIL)
C
Cadeia de
Suprimentos
(Supply Chain)
Processos relacionados que começam com a aquisição de matériasprimas e se estende até a entrega dos produtos ou serviços para o
usuário final através dos meios de transporte. A cadeia de
suprimentos pode incluir fornecedores, vendedores, instalações
fabris, operadores logísticos, centros de distribuição interna,
distribuidores, atacadistas e outras entidades que entregam ao
usuário final. (BCI)
Capacidade
(Capacity)
Combinação de todos os pontos fortes, atributos e recursos
disponíveis em uma sociedade, associação ou organização, que
podem ser utilizados para atingir as metas acordadas.
Nota do editor UNDR: Capacidade pode incluir infraestrutura e
meios físicos, instituições, habilidades de enfrentamento da
sociedade, bem como conhecimento humano, experiências e
atributos coletivos, tais como: relações sociais, liderança e gestão.
Capacidade também pode ser descrita como competência. A
avaliação da capacidade é uma expressão que se refere ao processo
pelo qual a capacidade de um grupo é revista em relação às metas
desejadas e as lacunas de capacidade são identificadas para ações
futuras.
Cartões de Bolso
(Wallet Card)
Cartões de informação portáteis que fornecem informações de
comunicações de emergência para clientes e funcionários. (FFIEC)
Categorias de
Riscos semelhantes que são agrupados por tipo. Estas categorias
DRI International
Risco
(Risk Categories)
incluem reputação, estratégia, finanças, investimentos,
infraestrutura operacional, negócio, conformidade regulamentar,
terceirização, pessoas, tecnologia e conhecimento. (DRJ)
Causa Raiz
(Root Cause)
A causa subjacente ou original de um incidente ou problema. (ITIL)
Cenário
(Scenario)
Um conjunto predefinido de eventos e as condições que descrevem,
para fins de planejamento, uma interrupção, disrupção ou perda
relativas a algum(ns) aspecto(s) das operações de negócios de uma
organização para apoiar a realização de um BIA, o desenvolvimento
de uma estratégia de continuidade e o desenvolvimento de planos
de continuidade e exercícios. Nota do editor (DRJ): Cenários não são
predições nem previsões. (DRJ)
Centro de
Comando
(Command Center)
Local próximo ao evento, mas fora da área imediatamente afetada,
onde as atividades de resposta, recuperação e restauração são
gerenciadas. Podemos ter mais do que um centro de comando para
cada evento, reportando a um único centro de operações de
emergência. (DRJ)
Centro de
Operações de
Emergência
(Emergency
Operations Center)
O local físico e/ou virtual a partir do qual as decisões estratégicas
são tomadas e todas as atividades de um evento/incidente/crise são
direcionadas, coordenadas e monitoradas. Nota do editor (DRJ):
COE é diferente de Centro de Comando. (DRJ)
Ciclo de Vida da
Gestão de
Continuidade dos
Negócio
(Business
Continuity
Management
Lifecycle)
Uma série de atividades de continuidade dos negócios que cobrem
coletivamente todos os aspectos e fases do programa de GCN. (BCI)
Cisne Negro
(Black Swan)
Um termo popular na GCN, baseado em um livro de mesmo nome,
em que o autor define um cisne negro como um evento que não
poderia ser previsto por meio de métodos científicos ou de
probabilidades normais. Profissionais de GCN precisam se preparar
para eventos "cisne negro". (BCI)
Chief Information
Officer
(Chief Information
Officer (CIO))
Pessoa responsável por:
a. Prestar aconselhamento e outro tipo de assistência para o
presidente/chefe da organização e para outros membros da
alta administração para garantir que os sistemas de
informação sejam adquiridos e os recursos de informação
sejam geridos de acordo com as leis, ordens executivas,
7
diretrizes, políticas, regulamentos, e prioridades definidas
pelo presidente/chefe da organização;
b. Desenvolver, manter e facilitar a implementação de uma
arquitetura de sistema de informação sólida e integrada para
a organização; e
c. Promover o efetivo e eficiente desenvolvimento e
funcionamento dos principais processos de gestão dos
recursos de informação da organização, incluindo melhorias
nos processos de trabalho. (CNSSI-4009)
Cold Site
Uma instalação alternativa existente, com infraestrutura física
necessária para recuperar funções empresariais críticas ou sistemas
de informação, mas que não dispõe de nenhum equipamento de
computação, telecomunicações, linhas de comunicação, etc. Estes
equipamentos serão fornecidos no momento do desastre. (DRJ)
Comitê Diretor de
Continuidade dos
Negócios
(Business
Continuity Steering
Committee)
Um grupo de gestão superior que dá direção, aconselhamento,
orientação e aprovação financeira para os programas de GCN
empreendidos pelo gerente de GCN e coordenadores de CN. (BCI)
Comitê Gestor do
Programa de
Continuidade dos
Negócios
(Business
Continuity
Program Board)
Ver “Comitê Diretor de Continuidade dos Negócios”.
Confidencialidade
(Confidentiality)
Propriedade dos dados ou informações que não são disponibilizadas
ou divulgadas a pessoas ou processos não autorizados. (HIPAA)
Conscientização
(Awareness)
Criar a compreensão das questões básicas e das limitações da GCN.
Isso permitirá as equipes reconhecer ameaças e reagir
adequadamente. Exemplos da criação de tal consciência incluem a
distribuição de cartazes e folhetos dirigidos a toda a empresa ou a
realização de cursos específicos de continuidade dos negócios para a
alta administração da organização. Ações de conscientização são
menos formais do que um treinamento e geralmente direcionadas
para todos os funcionários. (BCI)
Conscientização
Situacional
(Situational
Awareness)
a. Processo de perceber, compreender, interpretar e avaliar o que
está acontecendo em uma crise, combinado com a capacidade de
identificar cenários futuros previsíveis. (BCI)
b. Postura de segurança da empresa em relação a seu ambiente de
DRI International
ameaças; projeção de seu status em um futuro próximo. (CNSSI4009)
Continuidade
(Continuity)
Capacidade estratégica e tática de uma organização, pré-aprovada
pela administração, para planejar e responder às condições,
situações e eventos, a fim dar continuidade às operações em um
nível aceitável predefinido.
Nota do Editor ASIS: Continuidade, como usado nesta Norma, é o
termo mais genérico para a continuidade operacional e dos negócios
que visa garantir a capacidade da organização de continuar a
funcionar fora das condições normais de operação. Aplica-se não só
para as empresas privadas, mas também às organizações de todas
as naturezas, como as governamentais, não governamentais e de
interesse público. (ASIS)
Continuidade de
Governo
(Continuity of
Government
(COG))
Esforço coordenado dentro de cada ramo do governo (por exemplo,
o Poder Executivo), para garantir que suas funções essenciais
continuem a ser realizadas durante uma catastrófe. (FCD-1)
Continuidade dos
Negócios
(Business
Continuity)
Um processo evolutivo para garantir que as medidas necessárias
sejam tomadas para identificar o impacto das perdas potenciais e
manter estratégias de recuperação viáveis, planos de recuperação e
continuidade dos serviços. (NFPA 1600)
Controle
(Control)
Meio de gerenciar os riscos, incluindo políticas, procedimentos,
diretrizes, práticas ou estruturas organizacionais, que podem ser de
carácter administrativo, técnico, de gestão ou de natureza legal.
(ISACA)
Controles de
Segurança
(Security Controls)
Procedimentos de gestão, técnicos e operacionais (ie, (FIPS 199)
salvaguardas ou contramedidas) recomendados para um sistema de
informação, para proteger a confidencialidade, integridade e
disponibilidade do sistema e de suas informações. (NIST SP 800-34)
Coordenador de
Continuidade dos
negócios
(Business
Continuity
Coordinator)
Uma função, dentro do programa de GCN, que coordena o
planejamento e a implementação da recuperação de uma
organização ou de uma unidade. (DRJ)
Coordenador de
Um indivíduo ou grupo nomeado para coordenar ou controlar
Recuperação dos
processos ou testes designados. (DRJ)
Negócio
(Business Recovery
Coordinator)
9
Coordenador de
Unidade de
Negócios
(Business Unit
Coordinator)
Computação em
Nuvem
(Cloud Computing)
Um membro da equipe designado por uma unidade de negócios
para servir como a pessoa responsável pela condução das atividades
de GCN. (BCI)
Modelo que permite o acesso “on-demand” (disponível para atender
demanda do cliente) a um conjunto compartilhado de
funções/recursos configuráveis de TI (por exemplo, redes,
servidores, armazenamento, aplicações e serviços), que podem ser
rapidamente provisionados e liberados com um esforço mínimo de
gerenciamento ou interação com o provedor de serviços.
Este modelo permite aos usuários acessar serviços tecnológicos a
partir de uma nuvem, sem o conhecimento, especialização ou
controle sobre a infraestrutura tecnológica que os suporta.
Este modelo é composto de cinco características essenciais (autoserviço sob demanda, acesso à rede de qualquer local e a qualquer
momento, localização compartilhada de recursos independentes,
adaptabilidade rápida e serviço mensurado); três modelos de
prestação de serviços (Software como Serviço (SaaS), Plataforma
como Serviço (PaaS), e Infraestrutura como Serviço (IaaS)); e
quatro modelos para o acesso das empresas (nuvem privada,
nuvem comunitária, nuvem pública e nuvem híbrida).
Nota do editor CNSSI: Ambos os dados, do usuário e dos serviços
essenciais de segurança, podem residir e ser gerenciados dentro da
nuvem. (CNSSI-4009)
Controle de
Operações
Contínuas
(Continuous
Operations
Control)
a. Capacidade de uma organização para executar seus processos,
sem interrupção. (DRJ)
b. Forma de gerir o risco, garantindo que um objetivo de negócio
seja alcançado, ou garantindo que um processo seja seguido.
Exemplo de controles incluem: políticas, procedimentos, papéis,
RAID, fechaduras de portas, etc. Um controle às vezes é
chamado de contramedida ou de salvaguarda. Controlar também
significa gerenciar a utilização ou comportamento de um item de
configuração, sistema ou serviço de TI. (ITIL)
Crise
(Crisis)
a. Um evento crítico que, se não for tratado de forma adequada,
pode afetar drasticamente a rentabilidade, a reputação ou a
capacidade de operar de uma organização.
b. Uma ocorrência e/ou percepção que ameaça as operações, o
pessoal, o valor para os acionistas, as partes interessadas, a
marca, a reputação, a confiança e/ou os objetivos estratégicos
de negócios de uma organização. (DRJ)
DRI International
Critérios de Risco
(Risk Criteria)
Termos de referência diante dos quais o significado de um risco é
avaliado. (ISO 31000)
Custos de
Interrupção dos
Negócios
(Business
Interruption Costs)
O impacto para o negócio causado por diferentes tipos de falhas,
normalmente medido por receitas perdidas. (DRJ)
D
Declaração
(Declaration)
Anúncio formal realizado por pessoal previamente autorizado de
que se prevê ou de que ocorreu um desastre ou falha grave, com
consequente execução de ações de mitigação predeterminadas
(por exemplo, a mudança para um local alternativo). (DRJ)
Declaração da
Política de
Continuidade dos
Negócios
(Business Continuity
Policy Statement)
A política de CN estabelece objetivos, princípios e a abordagem
de uma organização para GCN, o que e como ela será entregue,
papéis e responsabilidades, e como a GCN será gerida e
reportada. (BCI)
Delegação de
Autoridade
(Delegation of
Authority)
Cessão de autoridade a pessoas de nível hierárquico inferior.
Geralmente, as delegações predeterminadas de autoridade têm
efeito quando fluxo normal de gestão é interrompido; e são
extintas, quando este fluxo é restabelecido. (FCD-1)
Declaração de Missão
(Mission Statement)
Descrição curta, mas completa, do objetivo e intenções globais da
organização. Ela afirma o que deve ser alcançado, mas não como
isso deve ser feito. (ITIL)
Dependência
(Dependency)
Dependência ou interação de uma atividade ou processo em
relação a outro. (DRJ)
Desastre
(Disaster)
Evento catastrófico repentino (previsto ou imprevisto) que cause
dano ou perda inaceitável.
a. Evento que compromete a capacidade da organização para
prover funções, processos ou serviços críticos, por um período de
tempo inaceitável.
b. Evento em que a gestão de uma organização invoca/ativa os
seus planos de recuperação.
Descentralização
(Devolution)
Capacidade de transferir a autoridade legal e a responsabilidade
por funções essenciais da equipe da unidade operacional principal
11
para equipes de outra localidade, mantendo a capacidade
operacional por um período prolongado. (FCD-1)
Dever de Cuidar
(Duty of Care)
Requisito de governança corporativa relacionado com o cuidado
com os ativos da organização; um dever dos administradores de
uma empresa. (BCI)
Distribuição
Automática de
Chamadas (DAC)
(Automatic Call
Distribution (ACD))
Uso de tecnologia da informação para direcionar uma chamada
telefônica para a pessoa mais adequada no menor tempo
possível. DAC as vezes é chamada de Distribuição de Chamadas
Automatizada. (ITIL)
Disponibilidade
(Availability)
Propriedade de dado ou informação que é acessível e utilizável
em consequência de demanda por uma pessoa autorizada.
(HIPAA)
Disponibilidade
Contínua
(Continuous
Availability)
Abordagem ou desenho para atingir 100% de disponibilidade.
Serviço contínuo de TI sem interrupções planejadas ou não
planejadas. (ITIL)
Documento
(Document)
Informação e os seus respectivos meios de suporte tais como:
papel, magnético, eletrônico ou disco ótico de computador ou
imagem. (BCI)
E
Emergência
(Emergency)
a. Uma situação inesperada ou iminente que pode causar
ferimentos, mortes, destruição de propriedade, ou causar a
interferência, perda ou interrupção das operações de negócios
de uma organização, de tamanha extensão que represente
uma ameaça. (DRJ)
b. Ocorrência ou evento repentino, urgente, geralmente
inesperado, exigindo medidas imediatas. [ISO / PAS 22399
2007]. Nota do editor (ASIS): Uma emergência é geralmente
um evento perturbador ou condição que muitas vezes pode
ser antecipada, mas raramente prevista com exatidão. (ASIS)
Emergência Civil
(Civil Emergency)
Evento ou situação que ameaça causar grave dano ao bem-estar
humano em um local, um ambiente ou região, ou à segurança
desse local. (BCI)
Empresa
Organização com uma missão/objetivo e um escopo definido, que
DRI International
(Enterprise)
utiliza sistemas de informação para executar essa missão, tendo a
responsabilidade de gerenciar seus próprios riscos e seu
desempenho. Uma empresa pode consistir em todos ou alguns
dos seguintes aspectos do negócio: compras, gestão financeira
(por exemplo, orçamentos), recursos humanos, segurança e
sistemas de informação e gestão da informação. (CNSSI-4009)
Equipe de
Continuidade dos
Negócios
Team)
As equipes estratégicas, táticas e operacionais que devem
responder a um incidente e que devem contribuir de forma
significativa no desenvolvimento e teste dos planos de
Continuidade dos Negócios. (BCI)
Equipe de Gestão de
Crise
(Crisis Management
Team (CMT))
Grupo responsável por desenvolver e implementar um plano de
resposta abrangente a um incidente significativo. A equipe é
formada por empregados com poder de decisão, preparados para
responder a qualquer situação e com formação em gestão de
crises/incidentes. Nota do Editor BCI: Na maioria dos países, os
termos "crise" e "incidente" tem significados semelhantes, mas no
Reino Unido o termo "crise" tem sido tradicionalmente usado para
incidentes de grande abrangência e que envolvem serviços de
emergência. No entanto, o documento recente PAS200,
patrocinado pelo Governo do Reino Unido, procura estender o uso
deste termo para além do setor público.(BCI)
Equipe de Gestão de
Incidentes
(Incident
Management Team
(IMT))
Grupo responsável por desenvolver e implementar um plano de
resposta abrangente a um incidente significativo. A equipe é
formada por empregados com poder de decisão, preparados para
responder a qualquer situação e com formação em gestão de
incidentes.(BCI)
Equipe de
Recuperação dos
Negócios
(Business Recovery
Team )
Grupo responsável pela realocação e recuperação das operações
de uma unidade de negócios, em um ambiente alternativo após
uma interrupção dos negócios e sua subsequente restauração e
retomada dessas operações em local apropriado. (DRJ)
Equipe de Resposta a
Emergência
(Emergency
Response Team
(ERT))
Pessoal qualificado e autorizado e que foi treinado para fornecer
assistência imediata. (DRJ)
Escalada
(Escalation)
Processo ascendente pelo qual a informação relacionada ao
evento é comunicada através da cadeia de comando estabelecida
de uma organização. (DRJ)
Escopo
O limite ou extensão ao qual um processo, procedimento,
13
(Scope)
certificação, contrato, etc. aplica-se. (ITIL)
Estimativa de Risco
(Risk Evaluation)
Processo que compara os resultados da análise de risco com
critérios de risco para determinar se o risco e/ou a sua magnitude
é aceitável ou tolerável. (Austrália AS NZS 5050)
Abordagem estratégica de uma organização para assegurar a sua
recuperação e continuidade em face de um desastre ou outro
incidente de maior importância ou interrupções nos negócios.
(BCI)
Estratégia de
Continuidade dos
Negócios
Strategy)
Estratégias de
Recuperação
(Recovery
Strategies)
Ações de resposta a interrupções operacionais, definidas,
aprovadas pela alta administração e testadas. (Singapore MAS)
Estrutura de
Resposta Nacional
(ERN)
(National Response
Framework (NRF))
Guia para a condução e gerenciamento de incidentes no ambito
nacional, abrangente e que aborde todos os tipos de ameaças.
Esta estrutura prevê a participação do setor público e privado em
todos os níveis, de agências federais até as comunidades e
também enfatiza a importância da preparação dos indivíduos e de
suas famílias. (FCD-1)
Evacuação
(Evacuation)
Dispersão de pessoas, organizada, periódica e supervisionada de
áreas perigosas ou potencialmente perigosas. [ASIS Norma
International de Continuidade dos Negócios: 2005]. (ASIS)
Evento
(Event)
Ocorrência ou mudança em um conjunto específico de
circunstâncias. (ISO 31000)
Exercício
(Exercise)
Atividade na qual os planos da entidade são ensaiados, em parte
ou em sua totalidade, para assegurar que contenham as
informações adequadas e produzam o resultado desejado,
quando de seu acionamento. (NFPA 1600)
Exercício de
Recuperação de
Desastres
(Disaster Recovery
Exercise)
Teste do Plano de Recuperação de Desastres ou do Plano de
Continuidade dos Negócios de uma instituição. (FFIEC)
Exercício em Grande
Escala
(Full-Scale Exercise)
Exercício funcional multidisciplinar envolvendo várias unidades de
de uma organização, de diferentes localidades e com apoio dos
órgãos de segurança pública. (por exemplo, deslocamento da
equipe de continuidade para local alternativo, a fim de realizar
processos essenciais em cenário definido). (FCD-1)
Exercício Funcional
O exercício funcional examina e/ou valida a coordenação,
DRI International
(Functional Exercise)
comando e controle entre vários centros de coordenação de
emergência. O exercício funcional não envolve socorristas e
bombeiros. (FCD-1)
F
Falha
(Failure)
Perda da capacidade de operar como especificado ou de fornecer
o resultado esperado. O termo "falha" pode ser usado quando se
referir a serviços de TI, processos, atividades, itens de
configuração, etc. Uma falha muitas vezes provoca um incidente.
(ITIL)
Fornecedor
(Supplier)
Um terceiro responsável pelo fornecimento de bens ou serviços.
(ITIL)
Função
(Function)
Equipe ou grupo de pessoas e as ferramentas que eles utilizam
para executar um ou mais processos ou atividades. O termo
"função" também tem outros dois significados:
a. objetivo pretendido de um item de configuração, pessoa,
equipe, processo ou serviço de TI. Por exemplo, uma função
do serviço de e-mail pode ser a de armazenar e transmitir
mensagens, uma função de um processo de negócio pode ser
o despacho de mercadorias aos clientes;
b. objetivo pretendido é realizado corretamente (por exemplo, o
computador está em "funcionamento". (ITIL)
Funções Essenciais
(Essential Functions)
Atividades críticas realizadas pela organização, especialmente
depois de uma interrupção das atividades normais. (FCD-1)
Funções de Negócio
(Business Function)
Descrição da atividade que é realizada para cumprir os requisitos
específicos da organização. Exemplos de funções de negócios
incluem: fornecimento de matérias-primas, pagamento de contas
e controle de estoque. (BCI)
G
Gatilho
(Trigger)
Um acontecimento que faz com que o sistema inicie uma
resposta. (BCI)
Gerenciamento de
Aplicativos
(Application
Management)
Função responsável pela gestão de aplicações em todo o seu ciclo
de vida. (ITIL)
15
Gerenciamento de
Crise
(Crisis Management)
Coordenação geral de uma organização para resposta a uma
crise, de forma eficaz, oportuna, com o objetivo de evitar ou
minimizar os prejuízos financeiros, à reputação e a operação da
organização. (DRJ)
Gerenciamento de
Incidentes
(Incident
Management)
O processo pelo qual uma organização responde a um incidente e
o controla usando procedimentos ou planos de resposta a
emergências. (DRJ)
Gerenciamento de
Riscos
(Risk Management)
Desenvolvimento estruturado e aplicação da cultura de gestão,
políticas, procedimentos e práticas para as atividades de
identificação, análise, avaliação, controle e resposta aos riscos.
(UAE Standard)
Gerente de Contas
(Account Manager)
Função muito semelhante ao do gerente de relacionamento de
negócio, mas que inclui aspectos comerciais. Comumente
utilizada quando se lida com clientes externos. (ITIL)
Gerente de
Incidentes (Incident
Manager)
Comanda o Centro de Operações de Emergência local (COE)
reportando-se à alta administração sobre o progresso da
recuperação. Tem a autoridade para ativar o plano de
recuperação. (DRJ)
Gestão de Ativos
(Asset Management)
Processo responsável por rastrear e informar o valor e a
propriedade de ativos financeiros em todo o seu ciclo de vida. É
parte dos ativos de serviço e do processo de gestão de
configuração. (ITIL)
Gestão de
Continuidade dos
Negócios (GCN)
Management (BCM))
Processo abrangente de gestão que identifica ameaças potenciais
para uma organização e os possíveis impactos nas operações de
negócios caso estas ameaças se concretizem. Este processo
fornece uma estrutura para que se desenvolva uma resiliência
organizacional que seja capaz de resposnder eficazmente e
salvaguardar os interesses das partes interessadas, a reputação e
a marca da organização e suas atividades de valor agregado.
(ISO 22301)
Gestão de Desastre/
Emergência
(Disaster /
Emergency
Management)
a. Um processo contínuo para prevenir, mitigar, preparar e
responder.
b. Manter a continuidade durante uma emergência e recuperarse de um incidente que ameaça a vida, a propriedade, as
operações ou o meio ambiente. (NFPA 1600)
c. Um programa que implementa a missão, a visão, as metas
estratégicas, os objetivos e as estruturas de gestão do
programa e da organização. (BCI)
Gestão de
Responsabilidade dos governos e autoridades públicas, em
DRI International
Emergência
(Emergency
Management)
Gestão de Mudança
(Change
Management)
conformidade com regulamentações e leis apropriadas
relacionadas com a resposta a emergência. Nota do Editor (BCI):
Um Plano de Gestão de Emergência (PGE) geralmente é gerido
por uma ou mais Equipes de Gerenciamento de Emergência
(EGE). Existem diferentes estruturas em diferentes países. (BCI)
Processo que gerencia as mudanças organizacionais. Gestão de
mudança engloba planejamento, supervisão ou governança,
gerenciamento de projetos, teste e implementação. (FFIEC)
Gestão de Recursos
(Resource
Management)
Processo que identifica os recursos disponíveis para permitir o
acesso oportuno ao que for necessário para prevenir, mitigar,
preparar, responder, manter a continuidade durante um incidente
ou no processo de recuperação. (NFPA 1600)
Gestão de Risco
Empresarial
(Enterprise Risk
Management (ERM))
Métodos e processos utilizados pelas organizações para gerenciar
os riscos e aproveitar as oportunidades relacionadas a realização
dos seus objetivos. Fornece uma estrutura para o gerenciamento
de risco que normalmente envolve a identificação de
determinados eventos ou circunstâncias relevantes para os
objetivos da organização (riscos e oportunidades), avaliando-os
em termos de probabilidade e impacto e determinando uma
estratégia de resposta e monitorar seu progresso. Ao identificar e
abordar proativamente os riscos e oportunidades, as empresas
protegem e criam valor para as partes interessadas, incluindo
proprietários, funcionários, clientes, reguladores e sociedade em
geral. (BCI)
Governança
(Governance)
Função por meio da qual é assegurado que as políticas e
estratégias sejam realmente implementadas e que os processos
necessários sejam seguidos corretamente. Inclui definir papéis e
responsabilidades, medir e relatar, e tomar as ações para resolver
quaisquer problemas identificados. (ITIL)
Governança
Corporativa
(Corporate
Governance)
Sistema/processo pelo qual os administradores e diretores são
chamados a executar e a cumprir as suas responsabilidades e
obrigações legais, morais e regulamentares. (DRJ)
Governança, Riscos e
Conformidade (GRC)
(Governance, Risk
and Compliance
(GRC))
Termo genérico que abrange o enfoque de uma organização
sobre o risco e estas três áreas. Governança, risco e
conformidade são atividades cujos interesses estão estreitamente
relacionados; em certa medida, são cada vez mais integrados e
alinhados, a fim de evitar conflitos, sobreposições e lacunas que
causem desperdício. Embora interpretado de forma diferente em
várias organizações, GRC tipicamente engloba atividades como
governança corporativa, gestão de risco empresarial (ERM) e
conformidade corporativa com as leis e regulamentos aplicáveis.
(BCI)
17
H
Hot Site
Uma instalação alternativa que já tem computadores e
infraestrutura física e de telecomunicações necessárias para
recuperar funções empresariais críticas ou sistemas de
informação. (DRJ)
I
Impacto
(Impact)
O efeito, aceitável ou inaceitável, de um evento em uma
organização. Os tipos de impacto sobre as empresas são
geralmente descritos como financeiros e não financeiros e, além
disso, são divididos em tipos específicos. (DRJ)
Incidente
(Incident)
Um evento que tem o potencial de causar a interrupção, ruptura,
perda, emergência, crise, desastre ou catástrofe. (NFPA 1600)
Infraestrutura Crítica
(Critical
Infrastructure)
Bens físicos cuja incapacidade ou destruição teriam um impacto
significativo sobre a economia/finanças ou segurança física de
uma organização, comunidade, nação, etc. (DRJ)
Instalação
(Facility)
Planta, maquinário, equipamento, propriedade, edifícios, veículos,
sistemas de informação, serviços de transporte e outros itens de
infraestrutura ou planta e sistemas relacionados que têm uma
função ou serviço distinto e quantificável. (BCI)
Instalações
Alternativas
(Alternate Facilities)
Instalações, com exceção da instalação principal, utilizadas para
executar as funções essenciais, particularmente em um evento
que afeta a continuidade. "Instalações alternativas" referem-se
não apenas a outros locais, mas também a opções não
tradicionais, tais como: teletrabalho e conceitos de escritório
móvel. (FCD-1)
Instalações /
Recursos
(Facilities)
Locais onde a administração e os funcionários de uma
organização executam suas atividades. A administração e as
equipes podem estar localizadas em uma mesma instalação ou
dispersas em vários locais, conectados por sistemas de
comunicação. As instalações devem ser capazes de fornecer ao
pessoal proteção adequada e permitir operações contínuas e
suportáveis. (FCD-1)
Integridade do Dados
Propriedade que garante que os dados não foram alterados,
DRI International
(Data Integrity)
destruídos ou perdidos, de forma não autorizada ou acidental.
(CNSSI-4009)
Interdependências
(Interdependencies)
Quando dois ou mais departamentos, processos, funções e/ou
terceiros apoiam um ao outro de alguma forma. (FFIEC)
Interrupção
(Outage)
Período de tempo após um evento ou incidente, no qual esperase que um serviço, sistema, processo ou função de negócio
estejam inutilizáveis ou inacessíveis. (BCE)
Interrupção dos
Negócios
(Business
Interruption)
Qualquer evento, seja previsto (por exemplo, greve de serviço
público) ou imprevisto (por exemplo, falta de energia), que
interrompe o curso normal das operações de negócios de uma
organização. (DRJ)
J
Just-in-Tim e (JIT)
Sistema que permite obter os recursos dos quais dependem
os processos críticos de negócios exatamente quando
necessário, sem a necessidade de inventário intermediário.
(BCI)
L
Linha do Tempo de
Recuperação
(Recovery Timeline)
Sequência de atividades de recuperação, ou caminho crítico, que
deve ser seguido para retomar um nível aceitável de operação
após uma interrupção dos negócios. A linha do tempo pode variar
de minutos a semanas, dependendo dos requisitos e metodologia
de recuperação. (DRJ)
Linha do Tempo de
Recuperação dos
Negócios
(Business Recovery
Timeline)
Sequência de atividades necessárias para retomar as operações
após uma interrupção dos negócios. Esta linha do tempo pode
variar de minutos a semanas, dependendo dos requisitos de
recuperação e metodologia. (DRJ)
Lista de Acionamento
(Call Tree)
Documento que relaciona as responsabilidades e a ordem de
chamada de profissionais. É utilizado para contatar os
administradores, empregados, clientes, fornecedores e outros
contatos-chave, no caso de uma emergência, desastre ou
19
situação de interrupção grave. (DRJ)
Lista de Verificação
(Check-list)
a. Ferramenta utilizada para lembrar e/ou validar as tarefas que
foram concluídas e os recursos que estão disponíveis, para
informar sobre as condições de recuperação.
b. Uma lista de itens (nomes ou tarefas etc.) a serem verificados
ou consultados. (DRJ)
Local Alternativo
(Alternate Site)
Localização operacional alternativa para ser usada por funções de
negócio, quando as instalações primárias estão inacessíveis.
a. Outro local, centro de informática ou área de trabalho,
designado para a recuperação.
b. Localização, exceto a instalação principal, que pode ser usada
para realizar funções de negócio.
c. Localização, com excepção da instalação normal, usada para
processar dados e/ou realizar funções críticas de negócio em
caso de um desastre. (DRJ)
Local Secundário
(Secondary Site)
a. Um local diferente do local primário que pode ser usado para
a retomada das operações de negócios e outras funções, no
caso de um desastre, de mal funcionamento do sistema
principal ou da infraestrutura, ou de incapacidade de acessar
o local primário. Um local secundário pode ser usado:
i. no sentido mais restrito, para a replicação
de programas e dados, a fim de
salvaguardar a sua integridade, com os
dados replicados sendo armazenados
externamente, para garantir a retomada
das operações de negócios após a
destruição ou perda destes dados; ou,
ii. no sentido mais amplo, para a manutenção
de um sistema alternativo abrangente (ou
seja, um sistema de recuperação que
compreende hardware, software e dados)
que sirva como alternativa aos sistema de
produção no caso de sua indisponibilidade.
No caso em que o sistema de recuperação
esteja localizado na proximidade do sistema
de produção e um terceiro sistema em
outro local esteja reservado para
emergências e desastres.
b. Um site secundário poderá ser "cold" ou "hot":
i. Cold Site: Uma instalação alternativa que
tem a infraestrutura básica necessária para
recuperar funções empresariais críticas ou
sistemas de informação, mas não tem
DRI International
nenhum computadores(hardware),
equipamentos de telecomunicações, linhas
de comunicação, etc, pré-instalados. Estes
devem, portanto, ser instalados no
momento do desastre.
ii. Hot Site: Uma instalação alternativa que
está equipada com computadores,
infraestrutura lógica, elétrica e de
telecomunicações necessárias para permitir
que as funções críticas de negócio
continuem, com o mínimo de atraso, no
caso de um desastre. Também é referido
como um "local alternativo", um "site
backup" ou um "centro de dados de
compartilhamento de carga".
M
Medidas Preventivas
(Preventative
Measures)
Controles destinados a evitar ou reduzir a probabilidade de
ocorrência de eventos indesejáveis. (DRJ)
Melhoria Contínua
(Continual
Improvement)
Processo recorrente de revisão de um programa de gestão, a fim
de atingir melhorias em seu desempenho global, alinhado com a
política, metas e objetivos da entidade. (NFPA 1600)
Melhor prática
(Best Practice)
Atividades ou processos que são utilizados com sucesso por várias
organizações. (ITIL)
Métrica
(Metric)
Algo que é medido e reportado para ajudar a gerenciar um
processo, serviço de TI ou atividade. (ITIL)
Mitigação
(Mitigation)
Ações tomadas para reduzir os impactos dos riscos. (NFPA 1600)
Mitigação de Risco
(Risk Mitigation)
Priorização, avaliação e implementação dos controles/
contramedidas adequadas para a redução de riscos
recomendadas no processo de gestão de riscos. (CNSSI-4009)
Mobilização
(Mobilization)
A ativação da organização de recuperação em resposta a uma
declaração de desastre. (DRJ)
Modelo de
Maturidade de
Continuidade dos
Metodologia que permite avaliar o nível de preparação de uma
organização em função de seu programa de continuidade dos
negócios.
21
Negócios (MMCN)
Maturity Model
(BCMM))
Monitoramento Ativo
(Active Monitoring)
Monitoramento de um item de configuração ou um serviço de TI
com verificações periódicas automáticas para descobrir o status
atual. (ITIL)
Monitoramento de
Ameaça
(Threat Monitoring)
Análise, avaliação e revisão das trilhas de auditoria e outras
informações recolhidas com a finalidade de localizar eventos do
sistema que podem constituir violações da segurança. (CNSSI4009)
N
Negação de Serviço
(Denial of Service)
(DoS)
Impedimento de acesso autorizado a recursos ou a demora no
tempo de resposta das transações. (Tempo de resposta pode ser
medido em milissegundos ou em horas, dependendo do serviço
prestado.) (CNSSI-4009)
Norma
(Standard)
a. O texto principal de um documento que contém apenas
disposições obrigatórias usando a palavra "deve" para indicar
os requisitos e que de forma geral é apropriado como
referência obrigatória para outro padrão ou código ou para
adoção numa lei. Disposições não obrigatórias devem estar
localizadas em um apêndice ou anexo, nota de rodapé ou
nota impressa em letras pequenas e não devem ser
consideradas como parte dos requisitos da norma. (NFPA
1600)
b. Uma exigência obrigatória. Exemplos incluem: ISO/IEC 20000
(norma internacional), um padrão interno de segurança para
configuração Unix ou uma norma governamental sobre como
os registros financeiros devem ser mantidos. O termo "norma"
também é usado para se referir a um código de práticas ou
especificação publicado por uma organização de padrões, tal
como: ISO ou BSI. (ITIL).
O
Objetivo de Negócio
(Business Objective)
Objetivo de um processo de negócio ou do negócio como um
todo. (ITIL)
DRI International
Off-site Location
Ambiente a uma distância segura do site principal, onde os dados
críticos (em papel ou computadorizados) e/ou equipamentos são
armazenados, a partir de onde podem ser recuperados e
utilizados no momento de um incidente significativo, caso os
dados originais, materiais ou equipamentos forem perdidos ou
não estiverem disponíveis. (BCI)
Off-Site Storage
Ambiente fisicamente localizado a uma distância adequada do
local primário, onde os registros vitais e duplicados (impressos ou
eletrônicos e/ou equipamentos) podem ser armazenados para uso
durante a recuperação. (DRJ)
Operações de
Negócios
(Business
Operations)
O dia a dia de execução, monitoramento e gerenciamento de
processos de negócios. (ITIL)
Ordens de Sucessão
(Orders of
Succession)
Provimento para a assunção de funções seniores da organização
durante uma emergência, no caso de qualquer dos empregados
ocupantes destas funções não estar disponível para executar seus
deveres legais. (FCD-1)
P
Pandemia
(Pandemic)
Epidemia ou doença infecciosa que pode ter um impacto em todo
o mundo. (FFIEC)
Partes Interessadas
(Stakeholder)
Um indivíduo ou grupo que tenha interesse no desempenho ou
sucesso de uma organização, por exemplo, clientes, parceiros,
colaboradores, acionistas, proprietários, a comunidade local,
primeiros socorros, governo e órgãos reguladores. (BCI)
Passo-a-Passo
(Walk-Through)
Exercício onde se procura descobrir o provável resultado(s) de um
evento, com base nas condições de partida, condições do
ambiente e nos efeitos de decisões. No contexto da continuidade
do negócio, um passo a passo procura:
a. Garantir que os planos de continuidade de negócio estejam
adequados à finalidade;
b. Avaliar a troca de informações e tomada de decisão das
equipes; e,
c. Identificar eventuais lacunas/deficiências. (BCE)
Perda
(Loss)
Recursos irrecuperáveis devido a um evento que afete a
continuidade dos negócios. Essas perdas podem ser: perda de
23
Perigo (Risco)
(Hazard)
vidas, receita financeira, participação no mercado, imagem,
instalações ou capacidade operacional. (DRJ)
Fenômenos, substâncias, atividades humanas ou condições
perigosas que podem causar:
- morte, ferimentos ou outros impactos na saúde;
- danos a propriedade;
- perda de meios de subsistência e cessação de serviços
essenciais;
- ruptura social e econômica, ou;
- danos ambientais.
Nota do editor da UNDR: Os perigos com os quais a redução de
risco de desastres deve se preocupar, como indicado na nota de
rodapé 3 do Framework de Hyogo, são "... os riscos de origem
natural e relacionados a perigos e riscos ambientais e
tecnológicos." Tais perigos surgem a partir de uma variedade de
características geológicas, meteorológicas, hidrológicas,
oceânicas, biológicas, bem como de fontes tecnológicas. Às vezes
todas essas características podem agir/ocorrer de forma
combinada/simultânea. Em configurações/cenários técnicos, os
riscos são descritos quantitativamente pela probabilidade de
ocorrência em relação a intensidade/impacto para diferentes
áreas, podendo ser determinado a partir de dados históricos ou
de análise científica. (UNDR)
Planejamento da
Contingência
(Contingency
Planning)
Processo de desenvolvimento de mecanismos e procedimentos
avançados que permitem a uma organização dar resposta para
um evento indesejado que afete negativamente a organização.
(DRJ)
Planejamento de
Continuidade dos
Negócios
Planning)
O processo de desenvolvimento de planos e procedimentos
prioritários que permita uma organização responder a um evento,
de tal maneira que as funções de negócio críticas possam
continuar dentro de níveis previamente definidos. O resultado
final do processo de planejamento é o Plano de Continuidade dos
Negócios (PCN). (BCI)
Planejamento de
Recuperação de
Desastre
(Disaster Recovery
Planning)
As atividades associadas com a disponibilidade contínua e o
planejamento da recuperação da infraestrutura de TI. (BCI)
Plano de
Contingência
(Contingency Plan)
Plano usado por uma organização ou unidade de negócio para
responder a uma falha específica de sistemas ou interrupção das
operações. (DRJ)
Plano de
Conjunto predeterminado de instruções ou procedimentos que
DRI International
Continuidade de
Operações
(Continuity of
Operations Plan
(COOP))
descreve como as funções essenciais à missão de uma
organização serão sustentadas dentro de 12 horas e por até 30
dias, como resultado de um desastre, antes de retornar às
operações normais. (NIST SP 800-34)
Plano de
Continuidade dos
Negócios (PCN)
Plan (BCP))
Um conjunto documentado de procedimentos e informações
desenvolvidas, consolidadas e mantidas prontas para uso em um
incidente, permitindo que a organização continue a entregar seus
produtos e serviços críticos em um nível previamente definido.
(BCI)
Plano de Ocupação
de Emergência (POE)
(Occupant
Emergency Plan
(OEP))
Programa de resposta a emergência de curto prazo que
estabelece procedimentos para salvaguardar vidas e bens. (FCD1)
Plano de Exercício
(Exercise Plan)
Plano concebido para avaliar periodicamente tarefas, equipes e
procedimentos que estão documentados nos planos de
continuidade dos negócios, para assegurar a sua viabilidade. Isto
pode incluir a totalidade ou parte do plano de CN, mas deve
incluir componentes críticos da missão. (DRJ)
Plano de ação claramente definido e documentado para uso no
momento de um incidente, normalmente cobrindo as pessoaschave, recursos, serviços e as ações necessárias para
implementar o processo de gerenciamento de incidentes. (BCI)
Plano de
Gerenciamento de
Incidentes (IMP)
(Incident
Management Plan
(IMP))
Plano de Manutenção
(Plan Maintenance)
Processo de gestão para manter a competência de GCN da
organização, sua capacidade de atualização, ajuste à finalidade e
eficácia. (BCI)
Plano de
Recuperação de
Desastre
(Disaster Recovery
Plan)
Plano desenvolvido para a recuperação de um ou mais sistemas
de informação, por meio de uma instalação alternativa, em
resposta a uma grande falha de hardware ou software e/ou
destruição das instalações. (NIST SP 800-34)
Plano de Resposta
(Response Plan)
Coleção documentada de procedimentos e informações que são
desenvolvidos, compilados e mantidos à disposição para o uso em
um incidente. (ASIS)
Plano de Resposta a
Emergência
(Emergency
Response Plan)
Plano documentado geralmente abordando a reação imediata e a
resposta a situações de emergência. (DRJ)
25
Plano de Resposta a
Incidentes
(Incident Response
Plan)
Documentação de um conjunto predeterminado de instruções ou
procedimentos para detectar, responder e limitar as
consequências de um incidente que afete os sistemas de TI de
uma organização. (CNSSI-4009)
Plano de Sucessão de
Executivos/Gestores
(Executive/Managem
ent Succession Plan)
Plano predeterminado para assegurar a continuidade da
autoridade, tomada de decisão e comunicação, no caso em que
os principais membros da administração executiva,
inesperadamente, se tornem incapacitados. (DRJ)
Plano de Teste
(Test Plan)
Documento que é baseado no escopo e nos objetivos dos testes
da instituição e inclui vários métodos de teste. (FFIEC)
Ponto Objetivado de
Recuperação (POR)
(Recovery Point
Objective (RPO))
Ponto em que a informação usada por uma atividade deve ser
restaurada para permitir a operação da atividade na retomada.
Nota do Editor (ISO): Também pode ser referido como "perda
máxima de dados". (ISO 22301)
Ponto Único de Falha
(POUF)
(Single Point of
Failure (SPOF))
Situação em que um serviço, atividade ou processo é fornecido
por uma única fonte, cuja falha poderia levar à falha total de uma
função crítica. (BCE)
Portfólio de
Aplicativos
(Application
Portfolio)
Banco de dados ou documento estruturado usado para gerenciar
aplicativos em todo o seu ciclo de vida. O portfólio de aplicativos
contém atributos-chave de todas as aplicações. O portfólio de
aplicativos às vezes é implementado como parte do portfólio de
serviços ou como parte do sistema de gerenciamento de
configuração. (ITIL)
Preparação
(Preparedness)
Atividades implantadas antes de um incidente que podem ser
utilizadas para apoiar e melhorar a mitigação de, responder a e
recuperar de interrupções. (BCI)
Preparação para
Emergências
(Emergency
Preparedness)
Recurso que permite que uma organização ou comunidade
responda a uma emergência de forma coordenada, oportuna e
eficaz, para evitar a perda de vidas e minimizar danos materiais e
físicos. (DRJ)
Prevenção
(Prevention)
Medidas que permitem a uma organização evitar, impedir ou
limitar o impacto de uma interrupção. [ISO / PAS 22399 2007]
(ASIS)
Decisão comunicada a fim de não se envolver em ou retirar-se de
uma situação de risco. (BCI)
Nota do tradutor: Também é utilizado o termo “evitar o risco”.
Categoria usada para identificar a importância relativa de um
incidente, problema ou mudança. A prioridade é baseada em
Prevenção de Risco
(Risk Avoidance)
Prioridade
(Priority)
DRI International
impacto e urgência e é usada para identificar os tempos
necessários para que as ações sejam tomadas. Por exemplo, o
ANS afirma que incidentes prioritários devem ser resolvidos no
prazo de 12 horas. (ITIL)
Probabilidade
(Likelihood)
Possibilidade de algo acontecer, se definido, medido ou estimado
objetiva ou subjetivamente. Pode usar descritores gerais (tais
como raro, improvável, provável, quase certo), frequências ou
probabilidades matemáticas. Pode ser expresso quantitativamente
ou qualitativamente. Nota do Editor (BCI): A imprecisão dos
termos torna o seu uso em GCN de valor muito limitado. (BCI)
Procedimentos de
Recuperação
(Recovery
Procedures)
Ações necessárias para restaurar os arquivos de dados de um
sistema de informação e a capacidade computacional, depois de
uma falha do sistema. (CNSSI-4009)
Processo de Negócio
(Business Process)
Processo que pertence e é executado pelo negócio. Um processo
de negócio contribui para a entrega de um produto ou serviço aos
clientes de negócio. (ITIL)
Procedimentos
Manuais
(Manual Procedures)
Método alternativo de trabalho utilizado após uma interrupção
dos sistemas de TI. Como as práticas de trabalho dependem mais
e mais de sistemas de TI, a capacidade de uma organização de
retomar seus processos de negócio utilizando procedimentos
manuais é pequena. No entanto, medidas e métodos de trabalhos
temporários podem ajudar a reduzir o impacto do evento por um
curto período. (BCI)
Programa
(Program)
Grupo de iniciativas relacionadas, geridas de forma coordenada,
de modo a obter um nível de controle e benefícios que não
seriam possíveis a partir da gestão individual destas iniciativas. Os
programas podem incluir elementos de trabalho distintos,
relacionados fora do âmbito das iniciativas do programa. (FCD-1).
Programa de
Continuidade dos
Negócios
Program)
Processo contínuo de gestão e governança suportado pela Alta
Direção que recebe apropriadamente os recursos para
implementar e manter a gestão de continuidade dos negócios.
(ISO 22301)
Programa de Gestão
de Continuidade dos
Negócios
Management
Program)
Processo de gerenciamento contínuo e de governança suportado
pela Alta Direção e dotado de recursos para assegurar que as
medidas necessárias sejam tomadas para identificar o impacto
das perdas potenciais, manter estratégias e planos de
recuperação viáveis e assegurar a continuidade de produtos e
serviços por meio de treinamento, prática, manutenção e revisão.
(BCI)
27
Prontidão
(Readiness)
Ver “preparação”.
Provedor de Serviço
(Service Provider)
Uma organização que fornece serviços a um ou mais clientes
internos ou externos. (ITIL)
R
Reinício dos Negócios Condição de uma função, após sua recuperação, quando está
(Business
pronta para assumir tarefas e atividades, a fim de receber novas
Resumption)
demandas de negócio. (Singapore MAS)
Recomeço
(Resumption)
Processo de planejamento e/ou implementação do reinício de
funções e operações de negócios definidas, após um desastre.
(Banco Central Europeu)
Reconstituição
(Reconstitution)
Processo pelo qual os sobreviventes e/ou os substitutos retomam
as operações normais, a partir das instalações normais ou de
instalações de operação alternativas. (FCD-1)
Recuperação
(Recovery)
Atividades e programas destinados ao retorno das condições para
um nível aceitável pela organização. (NFPA 1600)
Recuperação de
Aplicações
(Application
Recovery)
Componente da recuperação de desastres que visa
especificamente a restauração dos sistemas de informação e
dados do negócio, após o processamento ter sido restaurado ou
substituído. (DRJ)
Recuperação de Área
de Trabalho
(Work Area
Recovery)
Componente da recuperação e continuidade que visa
especificamente realocar uma função-chave ou departamento, no
caso de um desastre, incluindo pessoal, registros essenciais,
fornecimento de equipamentos, local de trabalho, meios de
comunicação, computadores, fax, copiadoras , serviços de
correio, etc. Ambiente de recuperação completo, com a
infraestrutura necessária(mesa, telefone, estação de trabalho,
hardware, comunicações). (DRJ)
Recuperação de
Dados
(Data Recovery)
Restauração de arquivos de computador a partir de mídias de
backup a fim de recuperar os sistemas e dados de produção para
o estado em que se encontravam no momento do último backup.
(DRJ)
Recuperação de
Desastres
Aspecto técnico da continuidade dos negócios. Conjunto de
recursos e atividades para restabelecer os serviços de tecnologia
DRI International
(Disaster Recovery
(DR))
da informação (incluindo componentes tais como: infraestrutura,
telecomunicações, sistemas, aplicações e dados) em um local
alternativo, após uma interrupção dos serviços de TI. A
recuperação de desastres inclui retomada e restauração
subsequente dessas operações em um local permanente. (DRJ)
Recuperação do
Negócio
(Business Recovery)
Redução de Risco
(Risk Reduction)
Medidas tomadas para retomar o negócio dentro de um prazo
aceitável após uma interrupção. (BCI)
Redução do Risco de
Desastre
(Disaster Risk
Reduction)
Redução da probabilidade de ocorrência de desastres por meio de
esforços sistemáticos para analisar e gerir os fatores causais de
catástrofes, incluindo a redução da exposição à ameaças, redução
das vulnerabilidades de pessoas e localidades, gestão adequada
da terra e do meio ambiente, e a melhoria da preparação para
eventos adversos.(UNISDR)
Redundância
(Redundancy)
a. Em recursos humanos, o termo "redundância" pode significar a
provisão de suplentes de empregados-chave ou membros da
equipe de gestão de crise/GCN. (BCI)
b. Duplicação de recursos tecnológicos, físicos ou humanos
quando o recurso original é único e essencial.
Registro eletrônico ou impresso que é essencial para preservar,
continuar ou reconstruir as operações e proteger os direitos da
organização, bem como seus funcionários, clientes e partes
interessadas. (Singapore SS540)
Registro Vital
(Vital Records)
Aplicação seletiva de técnicas adequadas e princípios de gestão
para reduzir a probabilidade de uma ocorrência ou o seu impacto,
ou ambos. (BCI)
Remediação
(Remediation)
O ato de mitigar uma vulnerabilidade ou uma ameaça. (CNSSI4009)
Replicação
(Failover)
Capacidade de comutar automaticamente (normalmente sem
intervenção humana ou aviso) para um sistema de informação
redundante ou de espera, após a falha ou finalização anormal do
sistema anteriormente ativo. (CNSSI4009)
Reserva
(Fallback)
Uma instalação de reserva é outro site/edifício que pode ser
usado quando o site/edifício original está inutilizado ou não
disponível. (BCI)
Resiliência
(Resilience)
Capacidade de adaptação de uma organização em um ambiente
complexo e em mudança.
Nota do Editor (ASIS):
a. Resiliência é a capacidade de um organismo resistir
quando afetado por um acontecimento ou a capacidade
de retornar para um nível aceitável de desempenho num
29
período de tempo aceitável, após ser afetado por um
evento.
b. Resiliência é a capacidade de um sistema para manter as
suas funções e estrutura em face da mudança interna e
externa, e para degradar-se normalmente quando
necessário. (ASIS)
Resposta
(Response)
a. Atividades imediatas e contínuas, tarefas, programas e
sistemas para gerenciar os efeitos de um incidente que ameaça a
vida, a propriedade, as operações ou o meio ambiente. (NFPA
1600)
b. Prestação de serviços de emergência e assistência pública
durante ou imediatamente após um desastre, a fim de salvar
vidas, reduzir os impactos na saúde, garantir segurança pública e
atender às necessidades básicas de subsistência das pessoas
afetadas.
Nota do editor (UNDR): Resposta a desastres é
predominantemente centrada nas necessidades imediatas e de
curto prazo. A divisão entre esta fase de resposta e a fase de
recuperação posterior não é clara. Algumas ações de resposta,
tais como a oferta de alojamento temporário e abastecimento de
água podem estender-se para a fase de recuperação. (UNDR)
Resposta a Incidente
(Incident Response)
Resposta de uma organização a um desastre ou outro evento
importante que pode afetá-la significativamente, as pessoas ou
sua capacidade de operação normal. A resposta a incidentes pode
incluir o abandono de uma instalação, a ativação de um plano de
recuperação de desastres, a realização de uma avaliação dos
danos, bem como quaisquer outras medidas necessárias para
levar uma organização a uma condição mais estável. (DRJ)
Resposta a
Emergência
(Emergency
Response)
Reação imediata e resposta a uma situação de emergência com
foco em garantir a proteção da vida e a redução da gravidade do
incidente. (DRJ)
Restauração
(Restoration)
Processo de planejamento e/ou implementação de procedimentos
para a reparação de hardware, a realocação do site principal e de
seu conteúdo e o retorno as operações normais no local
operacional permanente. (DRJ)
Retorno sobre o
Investimento (ROI)
(Return on
Investment (ROI))
Medida do benefício esperado de um investimento. No sentido
mais simples, é o lucro líquido de um investimento dividido pelo
valor líquido dos ativos investidos. (ITIL)
Risco
(Risk)
Evento possível que possa causar perdas ou danos, ou afetar a
capacidade para atingir os objetivos. Um risco é calculado pela
DRI International
probabilidade de uma ameaça ocorrer, pela vulnerabilidade do
ativo a essa ameaça e pelo impacto gerado caso ela tivesse
ocorrido. (ITIL)
Risco aceitável
(Acceptable Risk)
Nível de perdas potenciais que uma sociedade ou comunidade
considera aceitável, dadas as condições sociais, econômicas,
políticas, culturais, técnicas e ambientais existentes.
Nota do editor UNISDR: Em termos de engenharia, risco aceitável
é também utilizado para avaliar e definir as medidas estruturais e
não-estruturais que são necessárias, a fim de reduzir possíveis
danos a pessoas, bens, serviços e sistemas, para um nível
tolerável escolhido, de acordo com códigos ou "práticas aceitas",
que são baseados em probabilidades conhecidas e outros fatores.
(UNISDR)
Risco Biológico
(Biological Hazard)
Processo ou fenômeno de origem orgânica ou transmitida por
vetores biológicos, incluindo a exposição a microrganismos
patogênicos, toxinas e substâncias bioativas que podem causar
morte, ferimentos, doenças ou outros impactos à saúde, danos
materiais, perda de meios de subsistência e serviços,
perturbações sociais e econômicas ou danos ambientais. Nota do
editor UNDR: Exemplos de riscos biológicos incluem surtos de
doenças epidêmicas, contágio por planta ou animal, pragas de
insetos ou outros animais e infestações.
(UNDR)
Risco de Desastre
(Disaster Risk)
Perdas potenciais de vidas, impactos à saúde, perda de meios de
subsistência e/ou de bens e serviços, que poderiam ocorrer em
uma comunidade ou uma sociedade durante algum período de
tempo futuro devido a um desastre. (UNISDR)
Risco do Negócio
(Business Risk)
Exposição a fatores internos e externos, tais como: a
incapacidade de fornecer um serviço ou produto ou uma queda
na demanda por produtos ou serviços da organização, onde
resulte em uma perda inesperada. (BCI)
Risco Natural
(Natural Hazard)
Processo natural ou fenômeno que pode causar perda de vida,
ferimentos ou outros impactos à saúde, danos materiais, perda de
meios de subsistência e serviços, ruptura social e econômica ou
danos ambientais.
Nota do editor (UNDR): O termo é usado para descrever os
eventos de perigo real, bem como as condições que podem dar
origem a eventos futuros. Eventos de perigo natural podem ser
caracterizados pela sua magnitude ou intensidade, a velocidade
de início, duração e área de extensão. Por exemplo, os
terremotos têm curta duração e geralmente afetam uma região
relativamente pequena, enquanto as secas são lentas para se
desenvolver e muitas vezes afetam grandes regiões. Em alguns
31
casos, os riscos podem ser combinados, como na enchente
causada por um furacão ou tsunami que é resultado de um
tremor de terra. (UNDR)
Risco Operacional
(Operational Risk)
Risco de perda resultante de procedimentos e controles
inadequados ou deficientes. Isto inclui eventos de perda
relacionados à tecnologia e infraestrutura, falhas, interrupção dos
negócios, problemas relativos ao pessoal, e eventos externos, tais
como mudanças regulatórias. (DRJ)
Risco Residual
(Residual Risk)
Nível de risco remanescente depois de implementadas todas as
ações, com custo e benefício adequados, para a redução do
impacto, da probabilidade e das consequências de um risco
específico ou grupo de riscos, sujeito ao apetite a risco da
organização. (BCI)
Risco Tecnológico
(Technological
Hazard)
Perigo proveniente de condições tecnológicas ou industriais,
incluindo acidentes, procedimentos perigosos, falhas de
infraestrutura ou atividades humanas específicas, que podem
causar a perda da vida, lesão, doença ou outros impactos à
saúde, danos materiais, perda de meios de subsistência e
serviços, perturbações sociais e econômicas ou danos ambientais.
Nota do editor UNDR: Exemplos de riscos tecnológicos incluem: a
poluição industrial, a radiação nuclear, resíduos tóxicos, falhas em
barragens, acidentes com transportes, explosões em fábricas,
incêndios e vazamentos químicos. Riscos tecnológicos também
podem surgir como resultado direto dos impactos de um evento
natural perigoso. (UNDR)
Roteamento
Alternativo
(Alternate Routing)
Encaminhamento de informações através de um cabo alternativo
ou outro meio (ou seja, usando uma rede diferente quando a
rede principal estiver indisponível). Um site mantido em prontidão
para uso durante a ativiação da continuidade dos negócio para
manter em funcionamento os processos urgentes e importantes
de uma organização. O termo se aplica igualmente aos requisitos
de escritório ou de tecnologia.
Nota do editor BCI: locais alternativos podem ser conhecidos
como "cold", "warm" ou "hot". Eles também podem ser chamados
simplesmente de sites de recuperação ou de backup. No Reino
Unido, o termo mais tradicional é "local alternativo". (BCI)
Ruptura
(Disruption)
Evento que interrompe negócios regulares, funções, operações ou
processos, quer sejam previstos (por exemplo, furacão, agitação
política) ou imprevistos (por exemplo, um apagão, ataque
terrorista, falha de tecnologia, ou terremoto). Nota do editor
(ASIS): A ruptura pode ser causada por fatores positivos ou
negativos que afetam as funções normais, operações ou
processos. (ASIS)
DRI International
S
Salvamento
(Salvage)
Recuperação de objetos de uso pessoal, documentação,
escritórios e equipamentos de informática. (BCI)
Segurança
(Security)
Condição que resulta da criação e manutenção de medidas de
proteção que permitem a uma empresa realizar sua missão e
suas funções críticas, apesar dos riscos apresentados por
ameaças à utilização de sistemas de informação. Medidas de
proteção podem envolver uma combinação de dissuasão,
anulação, prevenção, detecção, recuperação e correção que
devem fazer parte da abordagem de gestão de risco da empresa.
(CNSSI-4009)
Seguro
(Insurance)
Contrato para financiar o custo do risco. No caso de um evento
de risco (prejuízo) determinado ocorrer, o contrato de seguro vai
pagar ao segurado o valor contrado. (BCI)
Seguro de
Interrupção de
Negócio
(Business
Interruption
Insurance)
Gerenciamento de
Continuidade de
Serviço de TI (GCSTI)
(IT Service
Continuity
Management
(ITSCM))
Termo amplamente usado na indústria de seguros, relativo à
exigência de cálculo do seguro adequado para cobrir a perda
financeira decorrente da interrupção temporária dos negócios.
(BCI)
Processo responsável pelo gerenciamento de riscos que podem
afetar significativamente os serviços de TI. O GCSTI garante que
o provedor de serviço de TI pode sempre fornecer os níveis
mínimos de serviço acordado, reduzindo o risco para um nível
aceitável e planejando a recuperação dos serviços de TI. O GCSTI
suporta a gestão de continuidade dos negócios. (ITIL)
Serviços Essenciais
(Essential Services)
Serviços de infraestrutura sem os quais um edifício ou local
seriam considerados deficientes e incapazes de prover condições
normais de funcionamento. Normalmente, incluem serviços
públicos (água, gás, eletricidade, telecomunicações) e, também,
podem incluir sistemas de reserva de energia ou de sistemas de
controle ambiental. (BCI)
Serviços Gerenciados
(Managed Services)
Perspectiva sobre serviços de TI que enfatiza o fato de que eles
são gerenciados. A expressão “serviços gerenciados” também é
usado como sinônimo de serviços terceirizados de TI. (ITIL)
33
Sistema de Comando
de Incidentes (SCI)
(Incident Command
System (ICS))
Combinação de instalações, equipamentos, pessoal,
procedimentos e comunicações que operam dentro de uma
estrutura organizacional comum com atribuição de
responsabilidade para o comando, controle e coordenação dos
recursos, a fim de efetivamente direcionar e controlar a resposta
e a recuperação de um incidente. O design flexível do SCI permite
que sua amplitude de controle possa se expandir ou contrair,
conforme o escopo da situação sofre mudanças. (DRJ)
Sistema de Gestão
(Management
System)
Conjunto de elementos inter-relacionados ou interativos de uma
organização para estabelecer políticas e objetivos, bem como
processos para atingir esses objetivos. Nota do Editor da ISO: 1)
Um sistema de gestão pode abordar uma única disciplina ou
várias disciplinas. 2) Os elementos do sistema incluem a estrutura
da organização, papéis e responsabilidades, planejamento,
operação, etc. 3) O escopo de um sistema de gestão pode incluir
a totalidade da organização, funções específicas e identificadas da
organização, seções específicas e identificadas da organização, ou
uma ou mais funções através de um grupo de organizações. (ISO
22301)
Sistema de Gestão de
Continuidade dos
Negócios (SGCN)
Management System
(BCMS))
Parte do sistema global de gestão que estabelece, implementa,
opera, monitora, analisa criticamente, mantém e melhora a
continuidade dos negócios. Nota do Editor ISO: O sistema de
gestão inclui estruturas organizacionais, políticas, atividades de
planejamento, responsabilidades, procedimentos, processos e
recursos. (ISO 22301)
Socorrista
(First Responder)
Membro de um serviço de emergência que é o primeiro na cena
de um incidente. Normalmente são políciais, bombeiros ou
paramédicos. (BCI)
Solução de Contorno
Manual
(Manual
Workaround)
Solução de contorno que requer intervenção manual. A solução
de contorno manual também é usada como uma opção de
recuperação indicada quando o processo de negócio opera sem o
uso de serviços de TI. Esta é uma medida temporária e é
geralmente combinada com outra opção de recuperação. (ITIL)
T
Tático
(Tactical)
Nível intermediário dos três níveis de planejamento e execução
(estratégico, tático, operacional). Atividades táticas incluem os
planos de médio prazo necessários para alcançar objetivos
específicos, geralmente por um período de semanas até meses.
DRI International
(ITIL)
Tecnologia da
Informação (TI)
(Information
Technology (IT))
Uso da tecnologia para o armazenamento, comunicação ou
processamento de informações. A tecnologia inclui tipicamente
computadores, telecomunicações, aplicativos e outros softwares.
As informações podem incluir dados de negócios, voz, imagens,
vídeo, etc. A tecnologia da informação é frequentemente utilizada
para apoiar os processos de negócio através de serviços de TI.
(ITIL)
Tempo Estimado de
Recuperação
(Recovery Time
Estimate (RTE))
Tempo de
Inatividade
(Downtime)
Período estimado de tempo necessário para restaurar um
determinado nível de funcionalidade levando-se em conta
quaisquer incertezas. (Austrália AS NZS 5050)
Tempo de
Inatividade Aceitável
(Acceptable
Downtime)
Tempo máximo decorrido entre a interrupção e o
restabelecimento da capacidade operacional ou habilidade
necessária. (ASIS)
Tempo de
Inatividade Máximo
Aceitável (TMA)
(Maximum Tolerable
Downtime (MTD))
Quantidade de tempo que uma função/processo de negócio pode
ser interrompida(o) sem causar danos significativos para a missão
da organização. (NIST SP 800-34)
Tempo de Resposta
(Response Time)
Medida do tempo necessário para completar uma operação ou
transação. (ITIL)
Tempo Objetivo de
Recuperação (TOR)
(Recovery Time
Objective (RTO))
Meta de tempo para a restauração e recuperação de funções ou
recursos, com base no tempo de inatividade aceitável e nível
aceitável de desempenho, em caso de interrupção das operações.
(ASIS)
Terceirização
(Outsourcing)
Transferência de funções de negócios para um fornecedor
terceirizado independente (interno e/ou externo). (BCI)
Teste
(Test)
Período de tempo em que algo não está em operação. Nota do
Editor (BCI): Isso é muitas vezes chamado de falha quando se
refere a serviços e sistemas de TI. (BCI)
a. Avaliação que aprova ou reprova a infraestrutura de TI (por
exemplo - computadores, cabeamento, dispositivos,
hardware) e\ou infraestrutura física (por exemplo, sistemas
prediais, geradores, ambientes), para demonstrar
antecipadamente o funcionamento dos componentes e dos
sistemas. Os testes são muitas vezes realizados como parte
de operações e manutenções normais. Os testes são
frequentemente incluídos dentro dos exercícios. (DRJ)
35
Teste da Lista de
Acionamento
(Call Tree Test)
b. A realização de uma ou mais partes de um plano de
continuidade dos negócios, a fim de garantir que o plano
contenha a informação adequada e produza o resultado
desejado. Um teste difere de um exercício; um teste ocorre
num local real, enquanto que um exercício é geralmente uma
simulação. (BCE)
c. Atividades realizadas para avaliar a eficácia ou a qualidade
de um plano em relação a seus objetivos específicos ou
critérios de medição. Testes geralmente envolvem exercícios
destinados a manter a eficiencia das equipes e dos
funcionários em suas funções e para revelar deficiências na
preparação e resposta/continuidade/planos de recuperação.
[ASIS Internacional Guia de Continuidade de Negócios 2005]
(ASIS)
Teste concebido para validar as informações das listas de contato
e seu processo de manutenção. (BCI)
Teste de Mesa
(Desk Top Exercise)
Técnica para treinar as equipes de emergência em que os
participantes analisam e discutem as ações que tomariam, de
acordo com seus planos, mas não realizam qualquer uma dessas
ações; pode ser realizado com uma equipe única, ou várias
equipes, normalmente, sob a orientação de facilitadores. (BCI)
Teste de Mesa
(Table Top Exercise)
Método de exercitar os planos em que os participantes analisam e
discutem as ações que tomariam, sem realmente executar tais
ações. Representantes de uma única equipe, ou de várias
equipes, podem participar do exercício, normalmente, sob a
orientação de facilitadores. (DRJ)
Todos os Riscos
(All-Hazards)
Abordagem de prevenção, mitigação, preparação, resposta,
continuidade e recuperação, que trata uma ampla gama de
ameaças e riscos, incluindo causas naturais, humanas e de
origens tecnológicas. (NFPA 1600)
Preparação da organização para suportar o risco após o
tratamentos de risco, a fim de atingir os seus objectivos. [ISO/IEC
Guia 73] Nota do Editor (ASIS): A tolerância ao risco pode ser
limitada por requisitos legais ou regulamentares. (ASIS)
Tolerância ao Risco
(Risk Tolerance)
Transferência de
Risco
(Risk Transfer)
Técnica comum usada por gestores de risco para fazer frente ou
mitigar potenciais exposições da organização. Uma série de
técnicas que descrevem os vários meios de endereçar o risco por
meio de seguros e produtos similares. (DRJ)
Treinamento
(Training)
Treinamento é mais formal do que a sensibilização. Ele tem como
objetivo construir conhecimentos e habilidades para melhorar a
competência no desempenho do trabalho. Considerando que a
sensibilização é geralmente orientada para todos os funcionários,
DRI International
o treinamento é direcionado aos funcionários com funções e
responsabilidades específicas. Por exemplo, o pessoal envolvido
na recuperação deve ser equipado e adequadamente preparado
com o conhecimento e as habilidades necessárias para realizar
atividades de recuperação. Treinamento faz parte do conjunto de
sensibilização, formação, aprendizagem e educação. (Singapore
SS540 / BCI)
Trilha de Auditoria
(Audit Trail)
Registro cronológico que reconstrói e analisa a seqüência de
atividades que envolvem ou que conduzem uma operação,
procedimento ou evento específico, numa transação relevante,
desde o início até resultado final. (CNSSI4009)
U
Unidade de Negócio
(Business Unit)
Divisão, unidade ou departamento de uma organização. Exemplos
de unidades de negócios incluem lojas de varejo e o
departamento de recursos humanos. A unidade de negócios pode
executar uma série de funções de negócios. (Singapore SS540)
V
Vulnerabilidade
(Vulnerability)
Nível de exposição de uma pessoa, ativo, processo,
informação, infraestrutura ou outros recursos às ações ou
efeitos de um risco, evento ou outra ocorrência. (BCI)
W
W arm Site
Site alternativo de processamento que está equipado com
alguns hardwares e interfaces de comunicação,
condicionamento elétrico e ambiental, que só terá capacidade
operacional após o fornecimento de componentes , software
ou customização necessárias. (DRJ)
37
Fontes
ASIS
ASIS International é uma comunidade global de mais de
38.000 profissionais de segurança, cada um dos quais tem um
papel na proteção dos ativos - pessoas, bens e/ou
informações.
AS/NZ 5050
AS/NZS 5050 explica como aplicar a norma AS/NZS ISO 31000
para riscos relacionados a interrupção e inclui orientações
detalhadas das características desses riscos e a estrutura de
gestão de risco por meio da qual eles são gerenciados.
ASIS/BSI BCM.01- 2010
Norma que foi produzida por especialistas mundiais em gestão
de continuidade e planejamento de contingência, representa
um consenso de melhores práticas de gestão de continuidade
dos negócios. Ela é uma ferramenta útil para qualquer
tamanho ou tipo de organização que deseja melhorar sua
preparação, desempenho e competências. O padrão ASIS/BSI
de gerenciamento de continuidade dos negócios especifica os
requisitos para planejamento, elaboração, execução,
operação, monitoramento, revisão, exercício, manutenção e
melhoria de um Sistema de Gestão de Continuidade dos
negócios.
Business Continuity
Institute (BCI)
Instituto de profissionais gestores de continuidade dos
negócios. O BCI estabeleceu-se como uma organização líder
de adesão e certificadora de profissionais de todo o mundo em
Continuidade dos Negócios. Oferece uma ampla gama de
recursos para profissionais interessados em aumentar os
níveis de resiliência de sua organização ou que pensam em
dedicar-se a continuidade dos negócios.
British Standards
Institute (BSI)
O BSI ajuda as organizações de todo o mundo a fazer da
excelência um hábito. Por mais de um século, o BSI tem
desafiado a mediocridade e a complacência para ajudar a
incorporar a excelência na forma de trabalhar nas pessoas e
nos produtos. Isso significa que mostram às empresas como
melhorar o desempenho, reduzir os riscos e alcançar um
crescimento sustentável. É a Companhia de Padrões Nacionais
e a primeira Companhia de Normas do Reino Unido.
BS 25999
A norma britânica BS 25999 é o primeiro padrão mundial de
Gestão de Continuidade dos Negócios (GCN) desenvolvido
para minimizar os riscos de interrupções que afetam toda a
organização. A norma BS 25999 foi desenvolvida por um
grupo de especialistas, que representam setores da indústria e
do governo, para estabelecer o processo, os princípios e a
DRI International
terminologia da Gestão de Continuidade dos Negócios (GCN).
Committee on
National Security
Systems (CNSS)
O CNSS proporciona um fórum para a discussão de questões
políticas e é responsável pela definição das políticas, diretrizes,
instruções, procedimentos operacionais, orientações e
recomendações de segurança de informações para o Governo
dos EUA, departamentos e agências de segurança do Sistema
de Segurança Nacional (NSS), por meio do Sistema de
Emissão.
DRI International
DRI International, originalmente Instituto Internacional de
Recuperação de Desastres, fundado em 1988, é uma
organização sem fins lucrativos com a missão de tornar o
mundo preparado. Como um organismo global de educação e
certificação em continuidade dos negócios e planejamento de
recuperação de desastres, o DRI Internacional define o padrão
para profissionais. Depois de mais de 25 anos de serviço, o
DRI Internacional continua a ser o mais antigo, o maior e mais
amplo organismo de seu gênero.
DRJ
Disaster Recovery Journal oferece conhecimento profundo em
planejamento de continuidade dos negócios. É uma publicação
amplamente lida na indústria e oferece conferências que
tendem a ser os eventos com a maior participação da indústria
de continuidade dos negócios. DRJ tem uma infinidade de
recursos e materiais disponíveis para uso.
European Central Bank
(ECB)
O Banco Central Europeu e os bancos centrais nacionais
constituem, em conjunto, o Eurosystem, o sistema de bancos
centrais da zona do euro. Seu objetivo principal é manter a
estabilidade dos preços, salvagardando o valor do euro.
FCD 1
Um documento desenvolvido e promulgado pelo US
Department of Homeland Security (DHS), em coordenação
com o Continuity Advisory Group (CAG) e em consulta ao
Continuity Policy Coordination Committee (CPCC), que
direciona os departamentos executivos e as agências para a
elaboração dos requisitos de planejamento de continuidade e
critérios de avaliação identificados. A Federal Continuity
Directive -1 fornece orientação para o Poder Executivo
Federal, para o desenvolvimento de planos e programas de
continuidade.
Federal Final
Institutions
Examination Council
(FFIEC)
Responsável pelo desenvolvimento de sistemas de notificações
padrão para as instituições financeiras supervisionadas pelo
governo federal, as suas sociedades gestoras de participações
e as subsidiárias de instituições não financeiras dessas
instituições e das sociedades gestoras de participações. Gere
39
escolas para os empregados examinadores, por meio dos
representantes das cinco agências federais membros do
Conselho, e faz com que essas escolas estejam disponíveis
para os funcionários das agências estatais que supervisionam
as instituições financeiras.
HIPAA
HIPAA é a sigla da Lei de Responsabilidade e Portabilidade de
Seguro de Saúde (Health Insurance Portability and
Accountability Act), de 1996. O principal objetivo desta lei
federal dos EUA foi ajudar os segurados a manter sua
cobertura de seguro. Os regulamentos da HIPAA aplicam-se a:
Planos de Saúde, Centros de Cuidados de Saúde (Entidades
que facilitam as transações eletrônicas "traduzindo" dados,
entre planos de saúde e prestadores, quando eles utilizam
sistemas de informação não-compatíveis).
HITECH
A Health Information Technology for Economic and Clinical
Health (HITECH), promulgada como parte da Lei Americana
de Recuperação e Reinvestimento, de 2009, assinada em 17
de fevereiro de 2009 para promover a adoção e o uso
significativo da tecnologia de informação na área de saúde. A
seção D da HITECH aborda as preocupações com a segurança
e a privacidade associadas à transmissão eletrônica de
informação de saúde, em parte, por meio de várias
disposições que reforçam a execução civil e criminal das
regras do HIPAA.
International
Organization for
Standardization (ISO)
A ISO é a maior desenvolvedora mundial de normas
internacionais voluntárias. As normas internacionais
apresentam o “estado da arte” nas especificações para
produtos, serviços e boas práticas, ajudando a tornar a
indústria mais eficiente e eficaz. Desenvolvidas através de
consenso global, elas ajudam a quebrar as barreiras do
comércio internacional. ISO é uma rede de organismos
nacionais de normalização.
ISACA
Associação global, independente e sem fins lucrativos, a
ISACA está envolvida no desenvolvimento, adoção e uso do
conhecimento e das práticas mundialmente aceitas para
sistemas de informação. Anteriormente conhecida como
"Information Systems Audit and Control Association", a ISACA
hoje é conhecida apenas pelo seu acrônimo, o que reflete a
ampla gama de profissionais de governança em TI atendida
pela ISACA.
ISO 31000
A Norma Gestão de Riscos - Princípios e Diretrizes fornece
princípios, estrutura e um processo de gestão de riscos. Ela
pode ser usada por qualquer organização, independentemente
DRI International
do seu tamanho, atividade ou setor. Implementar a ISO 31000
aumenta a probabilidade das organizações de alcançar
objetivos, melhorar a identificação de oportunidades e
ameaças e, efetivamente, alocar e usar recursos para o
tratamento de riscos.
ITIL
Information Technology Infrastructure Library (ITIL) é uma
estrutura amplamente adotada para o gerenciamento de
serviços de TI. Ela fornece uma abordagem profissional e
prática para a identificação, planejamento, entrega e suporte
de serviços de TI nas empresas.
ITIL defende que os serviços de TI devem estar alinhados às
necessidades do negócio e apoiar os principais processos de
negócio. Ela fornece orientações para as organizações sobre
como usá-la como uma ferramenta para facilitar a mudança,
transformação e crescimento dos negócios.
Monetary Authority of
Singapore (MAS)
A Autoridade Monetária de Cingapura (MAS), Banco Central de
Cingapura, promove o crescimento econômico sustentável e
não inflacionista, por meio da formulação de política
monetária adequada e da vigilância das tendências
emergentes e potenciais vulnerabilidades macroecomonicas.
Ela gerencia a taxa de câmbio de Cingapura, as reservas
internacionais e a liquidez no setor bancário. Também é um
supervisor integrado que orienta todas as instituições
financeiras em Cingapura - bancos, seguradoras,
intermediários do mercado de capitais, consultores financeiros,
e a bolsa de valores.
National Fire
Protection
Association (NFPA)
A NFPA é uma organização internacional sem fins lucrativos
com a missão de reduzir a carga mundial de incêndios e
outros perigos sobre a qualidade de vida, fornecendo e
defendendo códigos e normas de consenso, investigação,
formação e educação. A NFPA é a principal defensora no
mundo da prevenção de incêndios e uma fonte autorizada em
matéria de segurança pública, sendo o principal recurso para
estudos, investigação e análise de dados sobre incêndios.
NFPA 1600
Norma amplamente utilizada por entidades públicas, sem fins
lucrativos, não-governamentais e privadas, de âmbito local,
regional, nacional, internacional e global. A NFPA 1600 foi
adotada pelo US Department of Homeland Security (DHS),
como uma norma de consenso sobre a preparação para
emergências.
National Institute of
Standards and
Technology (NIST)
O NIST é responsável pelo desenvolvimento de normas e
orientações, incluindo os requisitos mínimos, para prover
adequada segurança à informação de todas as operações de
41
uma organização e seus ativos. Estas normas não são
aplicáveis aos sistemas de segurança nacional. NIST é um dos
mais antigos laboratórios de ciências físicas dos Estados
Unidos da América. NIST é uma agência federal não
regulatória dentro do Departamento de Comércio dos EUA.
NIST SP 800-34
Guia de Planejamento de Contingência para Sistemas de
Informação Federal. Fornece instruções, recomendações e
considerações em relação ao planejamento de contingência de
sistemas de informações federais.
Esta publicação auxilia as organizações a compreender o
propósito, processo e formato do desenvolvimento e
planejamento da contingência dos sistemas de informação,
por meio de orientações práticas, baseadas em casos reais.
National Emergency
Crisis and Disaster
Management
Authority (NCEMA)
A NCEMA funciona sob a tutela e supervisão do Conselho
Superior de Segurança Nacional. É um importante organismo
de normalização dos Emirados Árabes Unidos, responsável por
regular e coordenar todos os esforços de emergência e gestão
de crises, bem como o desenvolvimento de um plano nacional
de resposta a emergências.
A missão da NCEMA é coordenar todos os esforços para salvar
vidas, preservar propriedades e ativos nacionais, impedindo o
efeito de emergências e crises, e coordenar os esforços de
recuperação.
Singapore SS-540
Norma de Cingapura que estabelece a estrutura para uma
organização analisar e implementar estratégias, processos e
procedimentos. A norma está centrada na resiliência e
proteção de ativos críticos (humanos, meio ambiente,
intangíveis e físicos) e na gestão de continuidade e
recuperação de funções críticas de negócio numa organização
de qualquer tamanho.
United Nations
International Strategy
for Disaster
Reduction (UNISDR)
UNISDR foi criada como parte da Secretaria das Nações
Unidas com o objetivo de assegurar a implementação da
Estratégia Internacional para a Redução de Desastres. O
objetivo da UNISDR é servir como o ponto focal do sistema
das Nações Unidas para a coordenação da redução de
desastres e assegurar sinergias entre as atividades de redução
de desastres. Redução do Risco de Desastres visa reduzir os
danos causados por desastres naturais, como terremotos,
inundações, secas e ciclones, através da prevenção. A
Estratégia Internacional para a Redução de Desastres reflete
uma mudança do enfoque tradicional da resposta a desastres
para a redução de desastres, o que busca promover a "cultura
de prevenção".

Glossário Internacional de Resiliência

Transcrição

Documentos relacionados

Comunicado

Comunicado

Cruzamento de artes

ordem de compra 359/2015

Virgílio Tamele e Selma Cândido expõem Arte Ikebana

Diploma em Business Administration

EURO-MEDITERRANEAN PARLIAMENTARY ASSEMBLY

Página 1 de 7 EXPOSIÇÃO DE PINTURA E IKEBANA “CAMINHOS

FINAL DA TEMPORADA DE ESPORTES RADICAIS

Espanha - Diretoria de Relações Internacionais e Interinstitucionais