Os presentes já estamos Já estamos com 120 pessoas 120 pessoas aqui na Live eh Espero que esteja tudo bem com vocês aqui em São Paulo não está chovendo está bastante sol e gostaria de saber aqui rapidamente se tem eh algum participante que nunca esteve presente em alguma Live aqui da tean ou comigo especificamente tem alguém aí Que que nunca participou de alguma Live Nossa bem-vinda Renata muito bom muito bom alísio Aluísio Régis é participante de carteirinha Olha que tem gente de Angola the milk tudo bem the milk fiquei muitos anos em Angola fiz muitos projetos
em Angola Então vamos lá beleza muito bom Fechado muito bom pessoal é bom ouvir ouvir que todos estão bem agora eu queria saber o seguinte quem que está aqui no grupo nesse exato momento né quem é eh profissional de atuação do jurídico não é ti é mais jurídico ou governança ou grc tem gente que tá falando que participa comigo desde da Santa Ceia né Faz parte ah bastante gente de JC muito Bom tá grc com foco EMS Ok bom então vamos lá pessoal sem sem muita delongas aqui vamos fazer uma abordagem bom Por que que
nós estamos aqui né Nós estamos aqui para fazer uma abordagem especificamente de análise de impacto do negócio e essa análise de impacto do negócio Todos sabem que faz parte de um cenário corporativo de gestão de continuidade de Negócio Então nós pegamos e pensamos aqui uma parte específicas por quê Porque no dia a dia de interatividade aí da ter exames com a gente com os demais eh professores né com toda a rede de relacionamento sempre surge uma uma perguntinha né sobre análise de impacto Nossa eu gostaria de um template gostaria de um relatório um modelo então
sempre nós estamos nos deparando com esse tipo de solicitação e dentro da nossa formação Né que nós temos um curso específico de de implementação da ISO 22 300 um que fala em gestão de continuidade de negócio inclusive fazendo aqui né uma um marketing eh tem uma turma que que se inicia agora no final do mês acho que é dia dia 25 de Março começa quarta turma já que nós temos de gestão de continuidade e negócio pessoal se inscrevam aí que vai ser interessante bom para quem não me conhece meu nome é wellon Antônio Mônaco atuo
aí que nem já Brincaram comigo aqui no grupo né Eh atuo eh em governança corporativa em governança de TI eh gerenciamento de infraestrutura de tecnologia e tudo mais já faz muito tempo né então vamos pular essa parte e e nesses últimos aí 7 anos é 7 anos nós estamos em 2024 não mais nos últimos 8 anos nós temos nos deparado muito com eh eh o cenário de segurança da informação trazido pelos pelo pela obrigatoriedade pela obrigatoriedade de De privacidade né a com lgpd e tudo mais então hoje nós vamos falar num foco num foco eh
específico de avaliação de aliás análise de impacto tá primeiro quando a gente fala análise de impacto vem sempre a sigla na nossa cabeça é o tal do Bia né Bia não é Beatriz né bia é o business Impact analises mas o Bia ele é simplesmente um relatório ou ele é um processo poderia me responder aqui no chat quem acha que É que é um processo e quem acha que é mais voltado a um relatório poderia me me ajudar aí pessoal não tem certo ou errado tá fiquem à vontade sem sem nenhuma gestão de valor aí
processo processo muito bom muito bom muito bom muito bom deixa eu só acertar aqui o meu o meu ponteiro é um processo eh é é um processo porque na realidade Quem gera Quem gera o relatório quem atualiza e quem mantém atualizado o relatório é o processo é é O processo de gestão de análise de impacto que tá dentro de um contexto corporativo de gestão de continuidade de negócio Então olha só o relatório ele é uma visão estática instantânea ele é usado para comunicação e conscientização e muitas vezes na grande maioria é um um um e
somente um dos Artefatos de auditoria e compli só que este relatório ele é vivo porque não adianta Você fazer uma análise de impacto hoje guardar na gaveta e você esquecer que a empresa é viva a empresa ela tá se atualizando 24 horas por dia e 7 dias por semana a as atividades corporativas se alteram os ativos se alteram os fornecedores eh venem contrato os fornecedores são substituídos Então isso é conteúdo direto do relatório de análise de impacto então para mantê-lo atualizado este artefato chamado relatório de Impacto né dos negócios avaliação de impacto dos negócios você
precisa ter uma integração organizacional neste foco de avaliação de impacto assim como você precisa identificar gaps que sempre surgirão pontos de melhoria e a necessidade viceral não é optativo a necessidade viceral de Total integração com Gestão de Risco porque é através da continuidade de negócio que você atualiza você mantém a visão corporativa Do quê de continuidade de aumento contínuo da resiliência da empresa mais uma pergunta aí pros participantes que já chegamos em 207 participantes vamos lá por por não não vamos falar em como por que a gestão de continuidade ela é um artefato importante para
aumentar a resiliência corporativa por qu Alguém sabe alguém alguém conseguiria aí rapidamente externar Por que a gestão de continuidade de negócio que é um processo ele é o grande ou um dos grandes eh artefatos corporativos para aumentar continuamente a resiliência da empresa Então vamos lá ão colocando aqui identificação de processos críticos identificação de processos vitais o mapeamento processos n Demonstra o risco e a segurança boa Rochelle mostra os riscos a identificação dos riscos Identificando os riscos relados a a atividades críticas e o cenário de artefatos de segurança controles de segurança que você implementa para dar
sustentação minimiza os impactos dos processos de negócio Fantástico Então vamos lá ó essa abordagem integrada quando a gente fala em avaliação de impacto ela deve né sempre está embasada num compromisso de Equilíbrio financeiro né de entendimento de Investimentos porque eh você não vai conseguir mitigar todos os riscos nem sempre você vai conseguir tratar todos os riscos nem sempre você vai conseguir no teu plano de continuidade e negócio englobar todos os processos por isso que a gente começa e vai aumentando gradativamente perió icamente a abrangência da minha continuidade de negócio é um processo é uma participação
multidepartamental continuidade de negócio é Multifacetas eh depende do jurídico depende do marketing depende do RH Depende de tecnologia Depende de segurança da informação depende da auditoria Depende de Gestão de Risco Tá total ente integrado dentro do quê da arquitetura corporativa dentro da cadeia corporativa nunca se esquecendo dos fornecedores nunca se esquecendo dos ativos porque através desse cenário usando ferramentas e tecnologi sempre Que você vai atingir uma evolução contínua de atendimento às estratégias aumentando a resiliência no atingimento dos resultados do negócio esse é o foco da continuidade de negócio aumentar continuamente a resiliência da minha estrutura
organizacional para que eu consiga atingir os resultados previstos no meu planejamento estratégico Esse é o foco Esse é o foco continuando na abordagem integrada nós temos aqui três coisas e aí eu vou Começar a trazer pílulas para dentro como a artefatos como sempre eu digo né quem já tá acostumado comigo eu gosto de montar um lego então eu trago para vocês uma visão de componentes pra gente colocar o LEGO Pra gente montar o LEGO e cada um utiliza-se da visão de montagem como quiser inclusive se no Lego de cada empresa não fazer parte algum artefato
aqui proposto tudo bem É é opção entendeu E não tem certo e não tem Errado o fato de não adotar algum dos artefatos que simplesmente a gente abordou não quer dizer que tá certo ou errado não quer dizer que vai aumentar o risco diminuir o risco não aqui são só artefatos tá então Ó nós temos a ISO 31.000 que trata a Gestão de Risco e nós temos a ISO 22300 22.300 onde você tem o vocabulário de continuidade de negócio e a 22301 que é o sistema de gestão de continuidade de negócio aliás né dando Mais
um spoiler aqui é foco do nosso curso que nós vamos começar uma turma agora dia 25/03 Então olha só quando você direciona a implementação do quê de um relatório de avaliação de impacto você precisa se preocupar da Integração com a Gestão de Risco tem que se preocupar por quê Porque eu preciso integrar a Gestão de Risco com a avaliação contínua do meu relatório porque riscos estão sendo Identificados na empresa 24 horas por dia e 7 dias por semana se eu identificar o risco risco relacionado a uma atividade que é crítica eu tenho que acionar o
conteúdo do que tá no meu Bia via acionando o meu plano de continuidade de negócio para eu avaliar se eu entrei numa situação de crise ou não então as coisas estão amarradas então gestão de de de risco me aponta a identificação de riscos Lógico É uma das fases né aliás nós temos também um curso na exames específicos das 31.000 Terminamos uma turma na terça-feira passada aliás quem tá participando aqui gratidão pela participação da última turma né acho que é quarta ou quinta turma já aí nós temos Gestão de Risco Obrigado Milena ó aí ó Milena
aí nós temos a gestão de continuidade de negócio ó o Zé Vitor tem aqui os os participantes de carteirinha né Aí tem aqui a gestão de continuidade De negócio então a Bia o Bia ele é entrada e saída ó ó Guarda bem tá nós estamos falando num processo inteado ou melhor nós estamos falando na característica de integrabilidade do relatório de impacto dos negócios esse relatório de impacto dos negócios ele é um time stamp ele é uma figura que tem que est atualizada 24 horas por dia 7 dias por semana então ele é entrada e é
saída PR Gestão de Risco ele é entrada e saída Para continuidade de negócio por quê Porque ele é um artefato a ser tratado e quando a gente nós tratamos a implementação de um sistema de um sistema de gestão de continuidade de negócio que é o que a gente vai apresenta aqui o Bia tá estampado nele ele tá caracterizado dentro desse processo vamos ver onde vamos lá então olha só nós temos primeiro contexto Vamos partir para uma visão bem Bem rápida aqui da implementação de um sistema de gestão de continuidade de negócio tá primeira coisa que
a gente tem aqui primeira coisa que a gente tem nós temos o quê o planejamento e controle operacional Para quê Para entender o contexto da empresa e direcionar a implementação do plano de continuidade logo de cara a gente já tem que se utilizar do artefato para definir para definir eh esse cenário de análise de impacto do Negócio Então olha só primeiro ponto segundo ponto definir em função do Bia que tem a relação o Bia tem a relação de todos os processos por favor o Bia tem a relação de todos os processos e tem uma Coluninha
uma identificação que aborda se aquele processo é crítico ou não pro negócio se aquele processo que é crítico pro negócio se faz parte do plano de continuidade do Negócio ou não o Bia não pode ter só as a relação de atividades críticas pessoal não faz sentido isso porque o Bia ele é uma relação de atividades onde você identifica o nível da criticidade da informação relacionada aos processos você vai identificar o nível da da integridade não da eh criticidade de cada processo um processo que não é crítico hoje em função de uma gud ele passa a
ser crítico o mês que vem se ele Não tivesse sido identificado no Bia o Bia é um catlogo o Bia é um catálogo de processosde tem algumas informaões delas é quais são os processos críticos dos processos críticos quais fazem parte do meu plano de continuidade negócio e qual ainda não faz parte eu tenho que ter esse esse mapa Esse dicionário entendeu para que você movimente continuamente Olha só onde tá o cenário do quê da integrabilidade tá Aí e a gente vai falar porque a partir do momento que você tá identificando muito risco risco risco risco
no teu processo de Gestão de Risco D um um contexto que não é crítico pro negócio ele passa a ser crítico em função da vulnerabilidade do dia a dia da empresa por isso que toda a gestão de risco tá integrada visceralmente com uma gestão de continuidade de negócio utilizando-se um dos artefatos chamado Bia tem que tá integrado senão não faz Sentido toda identificação de risco no teu processo de risco você tem que na fonte do Bia para dizer se aquele processo no Bia Ele está ele está sendo identificado como crítico ou não Então olha aqui
ó então nós eh definimos né todo o foco da empresa no controle de continuidade de negócio no caso é planejamento do controle operacional aí nós desenvolvemos uma análise de impacto definimos as estratégias para conduzir a continuidade Do negócio em função das dos processos críticos identificados no Bia implementamos planos e procedimentos de continuidade negócio e programa de exercício no periódico né No mínimo uma vez por ano por favor né de continuidade de negócio para saber se tudo isso está funcionando de novo né Quem se interessar por continuidade de negócio nós temos um um curso aí que
se inicia agora no final do mês então vamos lá e aí você tem um processo dentro de Continuidade de negócio que é o quê que é a avaliação contínua então a avaliação contínua serve para medir isso aí tem uma pergunta então então esta relação dos processos não só os críticos é tão Vivo e dinâmico quanto o próprio Bia é isso aí Lucas é isso aí é isso aí todo processo na empresa é Vivo as regras de negócio são vivas o marketing tá atuando e o comercial tá atuando na empresa para entender o que que a
concorrência tá Fazendo em determinado momento um processo que é secundário um processo de apoio ele vai explodir ele pode explodir virar um processo crítico só que ele já está identificado dentro do Bia ele já tem um dono ele já tem todos os ativos que ele usa ele já tem todos os fornecedores então facilita a nossa vida entenderam Então isso é o ponto principal tudo bem ulices tudo bem Lucas fez sentido para vocês então vamos lá aí nós temos aqui análise de impacto que Nós vamos nós estamos nos utilizando hoje né com essa Norma aqui que
é uma norma técnica 22317 né que ela sugere diretrizes técnicas por isso que que TS tá diretrizes técnicas para se implementar este processo corporativo aí nós temos uma outra norma técnica n uma abordagem técnica mais técnica a a respeito de técnicas para se analisar os impactos nos negócios e avaliação de risco especificamente de tecnologia Informação e comunicação É lógico quando você vai tratar insegurança você vai beber na onem da 27.5 agora como Muita muitos dos participantes aqui já falou né já falou mapeamento de processo não tem como a gente fugir do mapa de valor do
Porter né Não sei se todo mundo Já identificou aliás esse material vai ser disponibilizado para vocês tá tem exames vai liberar esse material para vocês é Só solicitar que será disponibilizado e quem quiser também pessoal entra em contato comigo no Linkedin né quem quem tem quem não tem eu vou repassar aqui de novo meus contatos e por favor né fazendo no merch aqui assine meu canal do YouTube para me ajudar a dar essa atração aí grande Nesse contexto todo de governança né e segurança da informação Claro Então vamos lá integrando o mapa de valor do
Porter é onde você identifica todos os essos e qualifica ou Quais são os processos críticos e não críticos você faz uma análise de interdependência entre eles você faz uma aplicabilidade de todos os requisitos os ativos os fornecedores envolvidos sempre o mapa de valor do Porter É voltado para cliente valor para o cliente e sempre voltado a uma otimização de recursos e estratégia de recuperação Então pessoal Isso foi o que eu abordei há pouco então você tem esse mapa aqui de apoio estruturado ou não existe de alguma Forma na empresa né a gravação também Ô Sheila
será disponibilizado por um tempo mas eu vou subir também a gravação no meu canal do YouTube A de eterno vai ficar disponível lá para sempre tá Então vamos lá eh esse esse mapa do Porter mesmo que você não tenha uma o processo estruturado mas você precisa se utilizar do Bia para identificar Quais são os processos de apoio e quais são os processos críticos que foi Identificado né então Eh eu vou eu já eu vou passar de novo aqui Eduardo minha todas as minhas redes aqui ó o Instagram é palestrante Mônaco tá @ palestrante Mónaco no
canal do YouTube tá então vamos lá então Olha só esse mapa aqui de valor do Porter ele está não pode não estar estruturado desta forma bonitinha desenho um documento Formalizado mas no Bia você tem a relação eh aí você tem aqui o Sidney perguntando Wellington Esse sistema é de fato um sistema utilizado para abarcar todos os artefatos a Bia ou pode ser documentos que sistema Sid eu não entendi do qual sistema você tá falando se é o sistema de continuidade de negócio é um sistema quando a gente fala em sistema não é só aplicação um
aplicativo tá não é isso quando a gente fala em sistema é uma Abordagem sistêmica horizontal envolvendo todos os departamentos todos os níveis corporativos envolvendo Sim várias ferramentas envolvendo conscientização envolvendo treinamento isso é um sistema corporativo Tá bom agora este mapa de valor que a gente tá mostrando é só uma um dos artefatos que geralmente as se utilizam para identificar Quais são os processos de apoio e os processos críticos de negócio tá tudo bem podem Ser ferramentas ou documentos cdne é podem ser ferramentas e documentos mas prioritariamente são processos pessoal prioritariamente são processos são processos então
Ó você identifica os processos você identifica os procedimentos relacionados a execução desses processos que são um conjunto de atividades e em cada atividade em cada conjunto de atividades processos você Tem muitas ferramentas que você se utiliza inclusive planilha Excel Inclusive e-mail inclusive o nosso WhatsApp né terror de todas as empresas então você pode ser totos né ou Proteus pode ser Sênior pode ser tudo quanto é naap pode ser qualquer ambiente corporativo de tecnologia Então você tem sempre o sistema sistema é corporativo que que é o sistema corporativo é um conjunto de conjunto de Processos um
conjunto de pessoas pessoas pessoas capacitadas pessoas treinadas pessoas comprometidas com resultado e fornecedores é claro né instituições do governo é claro né algumas autarquias né agências de controle que sustentam e nos cobram no nosso negócio pega uma parte considerável do resultado do nosso negócio e temos todas as ferramentas de tecnologia disponíveis tudo bem até aqui então vamos lá então essa é a abordagem que eu Disse sistema né Ah sim para você para você fazer aí tem a pergunta aqui para você fazer o levantamento de processos e de atividades na empresa tem várias alternativas tá tem
entrevistas tem você já tem um questionário para fazer um levantamento das atividades quem quiser pessoal fique à vontade entrar aí comigo em contato no meu WhatsApp tá que a gente pode conversar a respeito eu eu ajudo no que for necessário aí tá legal poem ficar à Vontade tá bom entra em contato a gente vai conversando no Linkedin WhatsApp que a gente vai trocando informações Tá bom então vamos lá eh porque Ô Rocher isso isso não é só uma abordagem sua não tá tem tem muita dificuldade ainda no mercado apesar de todo o esforço realizado dentro
da do chamado adequação lgpd muitas empresas ainda estão com essa dificuldade desse identificação né identificação das atividades de tratamento de dados pessoais porque Identificar é diferente de mapear né por hora que você identifica atividade você identifica os ativos você identifica Onde tá o dado pessoal e você identifica Onde estão os fornecedores As instituições municipais estaduais e federais e todos os demais órgãos né como sindicatos E aí vai agora quando você fala em mapear mapear já é entender mesmo no nível mais detalhado Aí você usa até bpns e tudo mais então essa abordagem Então para você
fazer um Bia para você identificar as atividades de tratamento de dados você precisa identificar você não precisa mapear não precisa desenhar nada não precisa fazer o mapa detalhado o desenho do processo não não não não é entrevista questionários Brainstorm e consolido Bia tá aqui e uma coisa importante pessoal a Responsabilidade de se manter um bi atualizado dos processos de todos os processos não são só escritos de todos os processos das áreas são os donos das áreas não é o gestor o DPO não é o grc não é nada quem é É o dono de cada
processo isso precisa ter uma matriz de responsabilidade distribuída Tá então vamos lá esse material vai ser disponibilizado Rodrigo tá então vamos lá Né o Bia o relatório é um processo agora nós vamos começar a colocar aqui e definir um escopo de áreas para fazer o barar né thgo rondas Fantástico a sua pergunta plano de continuidade de negócio que se utiliza de um um dos artefatos é Bia você não precisa fazer da empresa toda você não precisa fazer na empresa toda você pode definir Áreas Áreas e nessas áreas que são no por exemplo ó a versão
do nosso plano de continuidade de negócio eu vou melhorar tá a versão do nosso sistema de gestão de continuidade de negócio que é muito mais do que um plano de continuidade plano de continuidade operacional plano de gestão de crise é todo um cenário que a gente gente aborda no curso da 22301 você Define um escopo um escopo e o board tá sabendo do escopo por isso que o Bia que não é a Beatriz o Bia ele é maravilhoso por quê Porque você identificou todas as áreas você identificou todos os processos das áreas e você identificou
o que é crítico E não crítico no hup inicial Tá bom aí você definiu isso aqui você vai para uma mesa de negociação com uma diretoria com os donos da empresa e fala assim olha pessoal eu identifiquei esses processos críticos porque quem define a criticidade é um Board não é uma pessoa só não é eu acho que o minha emissão de boleto é crítica eu acho que pagamento de fornecedora é crítica não não é assim você tem que colocar numa mesa de negociação com os investidores com a autogestão para aí sim definir-se definir-se o que
é crítico ou não então aí ela que você coloca na mesa esta visão essa identificação você fala ou diretoria tá aqui ó a diretoria vai te falar hum não tenho Dinheiro não temos dinheiro para implementar a continuidade de negócio de todos esses processos críticos que foi identificado ótimo mas gente mas já está identificado e olha a importância de amarrar com Gestão de Risco está identificado aí tem uma Coluninha lá que você vai colocar assim ó implementações 2024 coloca um xizinho aqueles processos que foram Críticos relacionados às áreas aqueles serão implementados em 2024 e em 2025
ficou o restante risco assumido pela empresa risco assumido pela empresa o fato de ela não tratar continuidade de negócio daqueles processos identificados Pode ser que você não vai tratar por falta de orçamento de recursos nesse ano trata o ano que vem mas está identificado e toda Vez que abrir um um for identificado um novo risco bebe na fonte e na fonte tá terá escrito Olha esse risco que você identificou tá relacionado ao Bia e no Bia tá dizendo que vai ser implementado uma continuidade de negócio esse ano ótimo é assim tá bom agora uma Uma
das uma das abordagens aqui o que que é é montar essa visão com vocês desse ciclo para desenvolver o Bia né Vamos Lá primeira parte pera aí primeira parte precisa eu eu estou e identificando para cada parte deste desenho que é da ISO tá não é nosso é da ISO da ISO que a gente tá tratando aqui eh eu tô colocando o nome da sessão tá vendo aqui ó sessão qu da ISO tá bom só para deixar claro para vocês quem comprar e investir na ISO tá lá identificado o que a gente tá falando então
ó primeira parte você tem que Consolidar o contexto escopo papéis responsabilidades e comprometimento da autogestão segundo passo você vai planejar o Bia terceiro passo você vai acordar a abordagem para os processos que você formalizou no Bia quarto terceiro quarto passo que que você vai fazer determinar produtos e serviços prioritários com a alta gestão quem define a prioridade é a al gestão não é o gerente de área a gente Tá se deparando no mercado muito com isso o gerente de área que pode não ter a visão do todo ele não pode definir prioridade quem vai definir
prioridade é o um board um comitê que vai ser negociado esse contexto para todo mundo tá sabendo outra fase determinar as atividades prioritárias por quê Porque eu identifiquei os meus produtos e serviços que eu vendo e são prioritárias pro meu contexto financeiro e manutenção Do meu Market share aí desses produtos e serviços eu identifiquei as atividades que sustentam esses produtos e de todas as atividades que eu que eu eh sustento este produto estes serviços que eu vendo eu vou identificar o que é crítico E não crítico e para cada atividade crítica e não crítica eu
vou identificar o quê os recursos e a correlação e além dos recursos eu vou identificar os terceiros além dos terceiros eu vou identificar os ativos todo tipo de ativo nós vamos nós Vamos aqui abordando e vamos explicando tá uma fase sete analisar e consolidar os resultados do Bia fase oito obter aprovação da aut gestão pelos resultados consolidados no Bia e aí você vai implementar uma avaliação contínua do Bia por favor pessoal totalmente integrado com Gestão de Risco totalmente integrado com gestão de incidente falá de novo totalmente integrado a gestão de incidentes de ti Totalmente integrado
a gestão de incidentes de segurança da informação totalmente integrado a reclamações do cliente tá tudo aqui então aqui você tem um caminho a ser seguido vamos pegar parte a parte desse pessoal usem e abusem desse material tá quem puder compra a norma que eu acho que vale a pena porque lá tem um contexto bastante interessante para ser utilizado Então vamos lá primeira coisa né Pré-requisitos primeira coa contexto você precisa detalhar você precisa detalhar ó o ambiente operacional da empresa precisa entender o organo né da organização e precisa entender Quais são os interesses Opa desculpa os
interesses internos e externos sobre os objetivos os objetivos da continuidade de negócio você precisa precisa entender isso tá não adianta você querer fugir desse cenário porque não adianta você Precisa consolidar os objetivos da unidade de negócio esse escopo que você vai trazer para dentro da implementação da continuidade de negócio se utilizando do Bia ele é uma negociação com a média alta gerência não é uma decisão departamental E é claro que para isso você precisa definir a matriz de responsabilidade dos de cada departamento do dono do processo da diretoria entendeu a responsabilidade Quem que vai ser
o líder ou dono deste processo quem vai ser o dono do processo de do Bia da avaliação de impacto Quem que é o dono da avaliação de impacto tem que ter alguém e aí você precisa atribuir responsabilidades a cada sei lá gerente a cada coordenadora a cada e identificar quem é a pessoa que é dona do processo de manter o b atualizado precisa ter alguém tá bom quem é dono de um processo Não nunca pode ser um Departamento dono de qualquer coisa dono de ativo dono de processo é um cargo gerente do RH gerente do
marketing gerente da infraestrutura de TI tem que ser isso por isso Taí tem que adotar a matriz Race exatamente precisa montar uma matriz race para o direcionamento do avaliação de impacto dentro do contexto do da continuidade de negócio Exatamente isso e olha com esses pré-requisitos que você Começa a escrever a complementar um Bia tudo isso aqui ó contexto e escopo a matriz rass você vai identificar e formalizar um compromisso da alta gerência um compromisso de todos os coordenadores um compromisso de todos os eh gerentes de todos os níveis hierar você vai pegar um comprometimento com
relação entendeu então isso é importante então esta parte de como escrever o Bia tem este primeiro cenário a primeira parte a primeira composição desse Artefato é você documentar o escopo matriz Race e pegar o aceite formal da autta gestão primeiro ponto depois a gente vai partir aqui para o quê planejar o Bia que que é planejar o Bia é você definir os objetivos do Bia para aquele momento o Bia é Vivo o relatório em si é Vivo o processo é Vivo Então você precisa documentar o quê esta responsabilidade estes objetivos identificando todos os processos Identificando
quem vai quem vai participar contigo de toda a continuidade de negócio dentro do cenário de manter atualizado o Bia tem de ser identificado as pessoas e de novo não é o Wellington não é o Ronaldo não é a Cristina não é o Vanilson Não não é um cargo gerente tal gerente tal coordenador diretor senão não adianta aí você vai desenvolver a metodologia Olha só mesmo que Hoje na nossa empresa seja considerado o Bia só um relatório só um relatório que seja precisa de uma metodologia de atualizar esse relatório Como que você vai fazer como você
vai fazer pelo que a gente falou aqui Quais são as fontes que eu posso demandar ou eu posso usar dentro da minha empresa para atualizar o Bia pode me responder aqui no chat Quais são As possíveis Fontes dentro do meu dia a dia da empresa que eu posso me utilizar para atualizar o meu relatório do Bia quais seriam política tudo bem política de plano de continuidade acess m o que que é acesso mente dos riscos auditoria boa ó o t aí boa T kpi kpi do quê David k kpi é frio tá kpi é Frio
você pode colocar esses kpi sim dentro do da de cada atividade você pode colocar pode definir o rto o rpo sim com Cap de segurança documentação já existente boa agora começou a melhorar hein número de incidentes eu tô integrando com gestão de incidente não é nmer é gestão de incidente gestão de mudança gestão de serviços essas coisas primeiro ter gestão sem abertura de chamado não serve para Nada para nada gestão sem abertura de chamado não serve para nada para nada nada você ter monitoração um monte de lindo você ter o enterprise Manager cheio de dashboard
bonito sem abrir chamado joga no lixo não serve para nada você não tem evidência você não tem rastreabilidade você não sabe quem tá atuando que e como boa Fernanda inventário de ativos Fantástico Gestores dos processos tudo bem Edson os gestores dos processos que tem informação eles têm obrigatoriedade de atualizar o Bia todo o conhecimento das áreas devem estar formalizado no Bia não tem outro lugar então eles são responsáveis Se tiver faltando alguma informação no Bia assim como po faltar informação no na identificação dos processos de tratamento de dados pessoais é o Problema da áre Então
essas informações devem Obrigatoriamente estarem registradas documentadas para que no processo do Bia de atualização do Bia você beba na fonte A fonte está permanentemente disponível Então olha aqui ó dentro de planejar o Bia né Ó você define os objetivos você identifica Quem são né os os stakeholders quer dizer quem são as pessoas que são afetadas direto Indiretamente que direcionam os processos dentro da empresa junto aos acionistas junto a diretoria e também junto a tudo quanto é fornecedor relacionamento com órgãos municipais estaduais e federais você desenvolve aqui uma metodologia como você vai executar Matriz de responsabilidade
e ferramenta que você está usando tá E vão fazer um planejamento de recursos de recursos e cronograma tá vocês podem fazer o Planejamento vocês devem fazer esse planejamento então Olha só tudo isso te dá um nor para você planejar o teu processo planejar a atualização contínua do seu relatório de avaliação de impacto do negócio aí nós vamos para outra fase nós vamos para uma fase aqui que é chamado de acordar corporativamente a Abordagem a responsabilidade de manter o atualizado tá aqui ó Então essa metodologia Quais as ferramentas Quais as rotinas diárias semanais mensais quinzenais que
você vai eh implementar Quais são os relatórios tudo isso quais são as reuniões para consolidação do que tá certo e errado como você vai identificar os gaps Como que você vai integrar com Gestão de Risco como você vai integrar com gestão de incidente como você vai integrar com Gestão de segurança como você vai integrar com sistemas de com a parte de gestão de mudança de processo gestão de mudança de fornecedor você tem que desenhar isso você tem que desenhar isso tá bom E aí e desenhar pessoal não é comprar ferramenta tá não é comprar ferramenta
não adianta nada nós comprarmos ferramentas sem ter o processo minimamente estruturado porque você vai passar a executar um conjunto de coisas De acordo que a ferramenta funciona tem que ser o contrário tem que ser o contrário você defini o que você quer para fazer avaliação de impacto para montar qual é o conteúdo do teu Bia você precisa definir antes de comprar ferramenta senão não adianta senão você não vai atingir o objetivo da sua empresa e cada empresa é uma empresa não adianta querer fugir desse cenário aí ó você definiu a abordagem do Bia continuando aqui
na abordagem do Bia né Você vai agora tratar um cenário de começar a entender os impactos agora você vai começar a entender os impactos os impactos do quê os impactos das dos das partes interessadas quais são as dores das partes interessadas internas ou externas entenderam isso é bat papo isso é entrevista isso é questionário para você tratar o que que tá pegando Quais São as principais dores no tratamento de clientes Quais são as principais dores no tratamento da comunidade onde o centro de distribuição tá implementado onde as fábricas Estão implementadas onde eu estou com o
meu administrativo não é isso O que o Como que o marketing tá tratando essa perda de clientes como que tá sendo tratado as reclamações no Reclame Aqui Quais são as organizações parceiras que que os Acionistas hoje TM de visão de necessidade de risco do negócio os funcionários então você precisa identificar de todas as partes interessadas Quais são as atuais dores que eles têm Dores está relacionado às coisas não funcionarem adequadamente coisas não funcionarem adequadamente É porque tem um risco tem um desconhecimento pro processo não tá ok Você tem variáveis você tem Fontes Pelas quais justificam
o processo tá quebrado então aqui você precisa identificar Quais são os interesses dessas pessoas chaves dentro e fora da empresa para você definir uma linha de avaliação de impacto ah Wellington eu não tenho acesso a essas pessoas eu vou fazer da minha cabeça você vai dar um tiro na cabeça você vai apresentar um contexto que a empresa não vai te ouvir não vai te ouvir vir e não te dará Orçamento para você tocar o projeto não vai porque não tá coerente Você não sabe o que o marketing precisa você não Levantou que o acionista quer
você não sabe o que diretor de logística tá esperando você não sabe quais são as dores do pessoal de venda você não sabe quais são as dores do pessoal do pid você não sabe quais são as dores da Controladoria E você vai fazer o Bia como se você não sabe o que que esses caras estão Passando serve para nada entendeu então é por aí que você precisa pegar o engajamento através de uma sequência de coisas que a gente tá propondo de acordo com a ISO Claro cada um tem a sua metodologia né então a gente
tá nessa sequência aqui nesse caminho Então olha só depois Ó depois de você depois de você eh ó a fase anterior entender as partes Interessadas e entender na visão de cada parte interessada quais são os impactos que eles identificam hoje tá bom olha aqui ó perda de potenciais oportunidades de negócio efeito negativo no nome da empresa com Reclame Aqui no Facebook no Instagram ó efeito negativo nos pagamentos de dívidas e requisitos financeiros futuros isso quem vai te dar são as áreas de negócio não tem outra saída aí depois de você entender isso você vai partir
pro Critério e critério quas áreas de negócio pessoal não é ti esquece não tem nada a ver com ti isso aqui não tem nada a ver com segurança da informação isso aqui isso aqui tem que a ver com o ocor do negócio é Business dinheiro planejamento estratégico entenderam Então olha só não é um foco exclusivo jurídico também que é o que a gente se depara muito no mercado é uma abordagem Multidisciplinar Então olha só nós não falamos ó que tinha o impacto financeiro que a gente pegou o stakeholder lá do financeiro aí ele fala ó
perdas financeiras devido às multas Tá bom eu tenho que Definir meu mtpd Nossa que sigla que é essa então vamos lá mtpd é o Maximum tolerable period of disruption é o período máximo de tempo Consecutivo que eu posso ficar com uma atividade parada Qual o tempo que eu posso ficar consecutivo que eu posso ficar sem emitir uma nota fiscal Qual o tempo que eu posso tolerar para atraso de entrega quantos cancelamentos de compra eu posso tolerar quantas devoluções de produto e tipo do produto eu vou aceitar tudo isso são níveis kpis que Sejam relacionados a
limites de tempo máximo de interrupção entenderam então você precisa ter esses indicadores e de novo quem define isso quem define isso não é segurança da informação quem define isso não é a área de processos quem define isso não é o jurídico quem define isso é a área dona do negócio e tem tem que pegar o aceite da diretoria do board depois de estabelecer esse contexto você vem e Monta critérios de avaliação de risco entenderam Então você começa a identificar os impactos Olha só financeiro participação no mercado Market share tratamento de consumidor suscetibilidade parte ambulatória Então
você começa a identificar esses indicadores de tolerância dentro do nível zero e aqui é um exemplo até o nível C Então você tem aqui seis níveis de de tolerância do nível zero até o nível 5 isso varia de negócio a Negócio e isso Tá Amarrado a cada process Esso crítico de negócio é lógico que você não vai tratar esse nível de impacto para todas as todos os processos críticos e não críticos que estão no Bia entendam o que eu disse hein no Bia eu tenho de consolidar sempre todos os processos todos para eu estar o
Bia integrado a Incidente a mudança tá integrado no meu ambiente de gestão por quê Porque se eu começar a identificar excesso de reclamações excesso de incidentes relacionados a um processo que não é crítico eu tenho que levantar a bandeira amarela e a gestão de risco tem que atuar Tem que acionar Quem é responsável para tratar o assunto mesmo que aquele risco seja baixo a repetitividade contínua é crítico tá bom é crítico por isso que o Bia tem que ter a relação de todos os processos tem que ter a identificação do que é crítico e tem
que ter a identificação dos críticos quais fazem parte da atual versão do meu sistema de continuidade de negócio tá bom E aí para cada processo crítico eu identifico esse cenário de o quê de limites de tolerância para perdas limite de tolerância de perdas para eu identificar o quê o nível de impacto o nível de impacto é zero nível de impacto É um nível de impacto dois nível de impacto 3 4 e 5 nesse exemplo da ISO Por que pergunta por que que eu preciso identificar o meu nível de impacto para quê Por que que eu
preciso identificar o nível de impacto dentro da gestão aqui de risco dentro do Bia dentro da gestão de continuidade boa Marcelo exatamente isso priorizar Priorizar priorizar priorizar tá bom para tomar priorização tomar as medidas necessárias Então vamos lá estabelecer períodos o que que é importante em estabelecer períodos dentro do que que você tá propondo para a gestão tua de atualização do Bia estabelecer períodos o que que é determinar períodos críticos a após a interrupção durante os quais os Impactos seriam mais severos ou não então Ó para você recuperar o ambiente Você pode demorar dias você
pode demorar semanas você pode demorar meses Então você precisa definir esses dentro do teu plano de continuidade de negócio ó e quando acontecer um contexto dentro dos processos críticos que eu defini o rto e o rpo eu tenho a necessidade de ter uma visão assim ó Quais são as ações emergenciais nas primeiras 12 horas nas primeiras 24 horas no primeiros dois Dias no no C dias então você vai definindo esses períodos porque você não pode você tem um período máximo de tempo que você colocou no teu Bia que a atividade pode ficar inoperante totalmente parcialmente
e operante 100% Isso você precisa monitorar esses períodos Então tudo isso relacionado a cada atividade que tá identificada você precisa definir uma metodologia metodologia aqui é uma sequência de Atividades como a matriz de responsabilidade e um conjunto de ferramentas e técnicas para você se utilizar disso então Ó essas diretrizes ajudam o quê a garantir que o teu tua avaliação de impacto do negócio seja conduzida de forma contínua e operacional contendo um conjunto de informações críticas pro negócio tomar decisão o Bia pessoal é é uma bússola o Bia é a tua bússola tá bom a gestão
de incidente é o Teu navegador a gestão de risco é o seu navegador que vai estar toda hora buscando informações no Bia para saber o que fazer como fazer e tudo mais tudo começa identificando se aquele incidente se aquele risco ificado faz parte de um processo crítico ou não que o único lugar que existe isso na empresa no Bia bom lá no Bia tem todas as características de recuperação lá no Bia tem a relação de todos os ativos lá no Bia tem a relação de todos os fornecedores lá no Bia tem a pessoa que é
dona do processo e precisa ser envolvida em uma situação de risco não tem jeito então Ó nós definimos o escopo envolvemos o board aí nós definimos uma metodologia que nós vamos fazer em função do que foi definido nesse cenário e agora hora que nós consolidamos tudo isso Ó vou voltar aqui um pouquinho tá vou voltar voltar voltar aqui ó nós passamos pela Definição dos Pré-requisitos aí nós planejamos o Bia aí nós definimos toda a abordagem né dinheiro para mostrar pro bo que a gente precis estrutur esse é o escopo e agora nós vamos começar atir
o BO quais são os produtos e servos que a alta direção quer que faça parte do Bia não é você que vai determinar não é o chefe de departamento que vai determinar É a gestão Então você coletou um monte de informações você foi montando um monte de informações aqui muita empresa chama isso até de manual corporativo ou Business Case né Aí você pega esse cenário aqui e olha o pessoal tá perguntando aqui da da gravação at exames Vai disponibilizar gravação para vocês durante um período de tempo e depois desse período de tempo eu levanto no
meu canal do YouTube fica lá a de eterno tá bom fiquem à vontade Tá Então vamos lá ah e aproveitando aqui né Fazer o aqui eu sempre me disponibilizo para fazer apresentações palestras gratuitas nas empresas desde que e é requisito fundamental que quem faça abertura da Live ou da palestra até mesmo local seja um diretor Esse é o único requisito que eu tenho tá bom fica aberto aí então Ó nós vamos entrar agora aqui ó em determinar produtos e serviços prioritários para alta direção vamos lá Vamos avançar aqui o que que é isso né O
que que é isso eu levantei até agora todos os dados operacionais das áreas que eu conversei eu identifiquei conversando com as áreas O que é crítico ou não eu defini umas estratégias uma visão de metodologia estratégia inicial em função de todas as entrevistas consolidação que eu fiz com todas as partes interessadas de todas as áreas relação com os principais fornecedores Eu identifiquei tudo isso agora eu preciso pegar toda a informação que eu coletei como uma versão zero a gente chama isso de caso de negócio coloco na mesa e vou apresentar para diretoria então ó determinar
os produtos e serviços prioritários eu falei num foco de execução de processos de atividade com as áreas a minha negociação com a diretoria com a alta direção será no foco deles com relação a produtos serviços que mantém o salário de todo o Mundo que mantém a empresa Viva quem vai definir a lista de processos que estão amarrados a Quais produtos e serviços é alta direção então aí você matou o contexto então ó determinar os produtos e serviços prioritários é um passo fundamental no Bia por quê Porque aonde você vai identificar o foco corporativo estratégico para
você fazer o drill Down e identificar Quais são as atividades que sustentam os produtos é claro que dificilmente você vai ter Aquela visão de tudo é prioritário não não se todos os produtos todos os serviços forem prioritários aí haja dinheiro para implementar você nunca vai ter a diretoria por algum por alguma metodologia algum ponto de referência ela vai definir o que precisa ou não ser considerado crítico em 2024 pronto e aí se eu identifiquei os produtos e serviços que são críticos eu tenho que fazer o drill Down e Identificar o quê as atividades prioritárias e
aí nas atividades prioritárias aí sim eu vou definir o rto que é o tempo de recuperação por quê Porque eu defini o que é crítico pro negócio eu já tenho uma versão zero do Bia porque eu fiz um levantamento Inicial Agora você tem um caso de negócio porque a alta direção falou olha para 2024 nós vamos tratar somente o produto um e dois acabou do produto um e dois você vai identificar Quais são as atividades diretamente relacionas à atividade 1 e 2 é claro que teremos várias atividades de apoio gestão de RH é apoio tá
em tudo quanto é processo gestão de contas a pagar e receber tá em apoio tá em todos os processos críticos ou não críticos emissão de nota fiscal em todos os produtos e serviços que eu vendo todos os produtos e serviços que eu vendo porque você depende dessas áreas a área de vendas tá envolvido em Todos os produtos serviços independentemente de ter sido identificado como uma direção que ele vai ser o cara para ser implementado agora ou não então ó aí depois olha só primeira coisa você mapeou um contexto conversou com as áreas pegou a visão
de cada área fez uma lista um Bia versão zero primeira coisa consolidou com com critérios e de todas as áreas de cada Área você identificou a visão deles Aí você pega tudo isso e apresenta pro board pro comitê não sei como é a tua empresa aí o board vai falar Opa ótimo trabalho mas a gente não vai tratar tudo isso aqui não ah não o Wellington sempre acha que isso é crítico não é o João sempre acha que isso é crítico não é isso é o que acontece na nessa negociação aí eles vão falar quais
são os produtos e serviços críticos que você já de certa forma tem Na versão zero do teu Bia que você apresentou Aí sim desta dessa identificação você vai correlacionar esses produtos e serviços com as atividades que você Já identificou E aí você sai qu com uma lista de processos de atividades prioritárias e você sai com os prazos de recuperação nobia e toda a documentação de justificativa para esses investimentos porque você vai pegar todas essas informações dará pra equipe De continuidade de negócio definir como ela vai recuperar dentro da aquele rto dentro do rpo que foi
definido quem vai estruturar não é o Bia quem vai estruturar isso é o processo de continuidade de negócio dentro do plano de continuidade de negócio dentro do plano de gestão de crise dentro do plano de recuperação isso é continuidade de negócio não é o Bia mas o Bia ele é o coração que pulsa se o cor Parar de bater ou coração falhar tudo desmorona o Bia é o é o cara que pulsa por quê Porque o Bia está sendo atualizado está sendo atualizado por gestão de risco tá sendo atualizado por gestão de incidente gestão de
incidente de segurança avaliação de vulnerabilidade que a gente faz tá sendo atualizado por tudo isso Tá bom vamos agora identificar né recursos e suas Interdependências pessoal se eu identifiquei o que vai ser priorizado se eu identifiquei através do direcionamento da diretoria quais são os produtos e serviços e identifiquei as atividades dentro dos processos críticos eu preciso saber em cada processo em cada contexto eu preciso identificar o quê a relação identificar o cenário específico do Bia relatando quais são os recursos porque o Bia no Bia eu vou Mostrar aqui uma visão uma planilha bem genérica que
é você tem o departamento responsável o processo Você tem o nome da atividade se é crítico ou não né E aí você tem quais são os ativos daquele processo envolvido Quais são os fornecedores envolvidos Qual o rto e o rpo isso a gente vai tratar então Ó você identifica todos os recursos e a independência entre eles pessoal aqui é bem né Nós estamos falando um overview bem genérico que não dá tempo né de de 1 Hora e meia 2 horas a gente detalhar tudo tá mas aqui tem um bom roadmap para vocês se se utilizarem
a hora que quiser tá bom então que mais que nós temos aqui vamos lá aí você vai analisar e atualizar todo o seu Bia de tudo que você consolidou de todos os O que é crítico ou não enquanto enquanto produto e serviço que você vende você consolidou e você vai relacionar no teu Bia todos esses dados Agora Olha só pessoal essa consolidação ela é viva não por favor eu ouço no mercado assim ó eu vou rever o meu Bia de seis em seis meses você tá com um problema enorme você tá com um problema enorme
se você não tiver o Bia integrado e você avaliar de seis em 6 meses você pode abraçar um problemaço se você tiver uma crise F que em se meses a empresa muda da água pro Vinho fornecedores são trocados aplicações são alteradas é exatamente isso môa deve ser mantido a cada mudança crítica Obrigado É ISO mesmo deve ser alterado a partir da gestão de incidente Dev alter e revisto atir da gestão de incidente de segur da informção alterado ou revisto toda vez que eu fao Test e toda vez que eu fao anlise de vulnerabilidade wellon Mas
você falou Que não depende de ti eu disse que o Bia não é desenvolvido pela ti somente a ti faz parte da equipe que monta o Bia inclusive paraas atividades delas e o que é mais engraçado barra preocupante que a gente identifica 99% dos Bias que nós somos chamados para reavaliar não tem nenhuma atividade de ti não tem nenhuma atividade de segurança da Informação não tem nenhuma atividade de Gestão de Risco não tem nenhuma atividade de gestão de incidente não tem nenhuma de gestão de incidente de segurança da informação pera aí então como que você
tá atualizando o Bia explica para mim explica porque eu não tô entendendo se o Bia não tem as atividades que são críticas na Identificação do quão desatualizado está seu Bia ou não desculpa você não tem Bia você aliás não tem nem continuidade de negócio não tá integrado quer dizer que você está me dizendo que você vai pegar o Bia de seis em se meses e conversar com todo mundo de novo é isso não faz sentido gente não faz sentido você tem que pegar o Bia por exemplo né e é só um exemplo se se meses
pega o Bia pego o relatório de incidente Dos últimos 6 meses eu pego o relatório de incidente segurança da informação nos últimos 6 meses eu pego o relatório de todos os riscos identificados analisados avaliados e tratados nos últimos se meses eu pego o relatório de gestão de ativos dos últimos se meses coloco tudo isso na mesa e analiso antes de falar com qualquer área senão não faz sentido gente o processo é integrado não tem como você fugir então Olha só esse cenário aqui ó Onde você vai analisar nessa atividade aqui né que a ISO tá
propondo analisar e consolidar os resultados do Bia é isso Você está coletando informação de todos esses essas Fontes que eu comentei para você continuamente tá avaliando se o Bia continua up ou Down você não precisa esperar 6 meses para saber se o Bia está ok faz sentido Não faz sentido e não pode ser assim porque se acontecer alguma situação de crise você terá um Bia Desatualizado que você não vai conseguir dar vazão e subir as atividades que são críticas que não é o Bia que diz diz isso né quem diz isso É o teu plano
de recuperação a desastres que vai beber na fonte do Bia é claro ó obter aprovação da alta gestão do relatório do Bia esse Bia tem que ter a digital da alta gestão tem que tá sabendo tem que ter o relatório de análise crítica que a gente fala na ISO 31000 na 31.000 tem lá quem participou Do curso né pessoal monitoração e análise crítica monitoração e análise crítica eu abro eu abro chamado de de riscos identificados e a fase do Risco se o risco está em análise em avaliação em tratamento ou já foi dado devido a
tratamento tá aqui embaixo relatado assim como eu tenho a monitoração de gestão gestão nesse sentido então aqui ó você tem a aprovação da aut gerência J gestão E você tem a discussão e a Revisão desse material relacionado aqui à aprovação deste Bia junto com a alta gestão essas revis precisam ser realizadas com a alta gestão essas revisões semanais ou anuais sim precisa ser revista na alta gestão mas mas no dia a dia precisa identificar através de riscos através de incidentes através de mudanças através de todo o aparato corporativo se tem algum contexto desatualizado no Bia
tá bom Isso isso é importante colocar porque senão esse compromisso da alta direção vai se perder tá bom fala pininga tudo bem meu amigo pininga vai contribuir aí tudo bom pininga alô Ah tá então beleza então vamos lá tá mudo o micro dele vamos continuar por aqui então na análise crítica aqui analisar criticamente o Bia tá então vamos lá quando você implementa você já Definiu a rotina de reavaliação do Bia você precisa ter rotinas internas da equipe de gestão de continuidade de negócio isso a gente coloca no teu plano de continuidade operacional a gente chama
de plano de continuidade operacional onde você tem atividades sei lá semanais mensais para você revisar alguns pontos críticos então Essas atividades Opa desculpa Essas atividades aqui é que você vai garantir na tua metodologia do Bia se ele tá Desatualizado ou não buscando nessas Fontes Tá ok Esse é o foco principal Então esse processo de revisão do não é processo de revisão do relatório não é isso aqui nesse item 6.1 nós estamos falando no processo de revisão da gestão do Bia das atividades do Bia você precisa identificar se Essas atividades estão sendo executadas corretamente ou não
principalmente na integração com risco na integração com incidente na Integração com gestão de ativos na eh gestão de mudanças né Isso sim e aí é lógico né com esses planos de ação você precisa avaliar no dia a dia né identificar pontos de correção e pontos de melhoria não somente durante a revisão que tá prevista Não façam isso que vocês vão ter vão assumir riscos desnecessários tá bom E aí ó Então esse mapa aqui é o principal mapa que eu acho que que tem esse com esse contexto aqui desse cenário o Bia o Bia Te dá
informações para continuidade de negócio e te D informação para recuperação sim o Bia é a fonte de informação para plano de continuidade operacional plano de continuidade do negócio plano de gestão de crise tudo quem dá a fonte é o Bia se o Bia tiver atualizado todos esses planos inclusive de vai est furado por que que eu estou Dizendo isso porque lá no Bia não tá apontando um fornecedor que faz parte de um processo crítico e é justamente esse processo crítico que tá fora do ar então não tem sentido isso então o Bia ele é input
e output para plano de continuidade de negócio plano de recuperação plano de gestão de crise plano do que mais pode podemos plano de comunicação porque o plano de de plano de continuidade operacional é no plano De continuidade operacional que a gente escreve todas essas rotinas de integração do Bia com risco do Bia com incidente do Bia com incidente segurança da informação combia com a gestão de mudança é aqui que a gente integra tudo entenderam É aqui é a proposta desse tipo de atuação agora pegando o que tá na ISO Já são 11:30 quase vamos falar
de alguns exemplos Tudo bem então vamos lá ó pra gente abrir aqui dúvidas de vocês É claro ó Então vamos lá vamos pegar um Business Case aqui ó para estimar o mtpd que que é mtpd é o máximo de de período tolerável para que você fique funcionando parcialmente ou parado definitivamente é o período máximo tolerável de interrupção de algum processo de negócio Então como que você faz ó primeira coisa você tem que determinar esse esses limites esses limites É lógico que para Você determinar esses limites Você precisa conversar com as áreas mas você precisa colocar
na mesa esses limites porque quem vai definir definitivamente é o Bard o gerente do RH pode falar assim ah não sei o quê é quando eu tiver uma indisponibilidade para geração de informações em internas para eu atualizar o ASO por exemplo eu tenho eu posso me atrasar no máximo um dia dois dias tá bom a diretoria fala não nós Podemos atrasar até 10 e eu pago uma multa acabou quem vai direcionar esses períodos máximos são as áreas donas dos processos é assim mas quem dá a palavra final é a autogestão Então olha só olha só
Aí você tem o cenário aqui ó objetivo do negócio por exemplo falhas no alcance dos objetivos por exemplo do negócio quant de venda quantidade de venda do produto um então ó se a quantidade de venda do produto um for superior a 15% cara eu Não posso aceitar o máximo que eu aceito é até 15% daí daí não pode mais é negócio não é ti não H segurança da informação financeiro perdas financeiras devido a multas penalidades perda de lucro ou perda de participação no mercado superior a 1 milhão não posso aceitar entendeu vamos lá ligal ó
o jurídico aqui gente suscetibilidade a líos por perda de licença operacional Licença do quê Ah licença da Prefeitura tratamento de resíduos sólidos Eh aí tem um monte de coisa né de licença de funcionamento com alguns requisitos aí de segurança e saúde no trabalho e cada setor tem uma regulamentação tá vendo ó você não pode tratar qualquer tipo de de suspensão de licença operacional tá aqui então olha que interessante Olha o entendimento do negócio que nós temos que ter e na minha visão nós tivemos uma oportunidade magnífica com a tal de Mapeamento da lgpd eu não
entendi porque isso não foi feito aliás entendi sim é porque nada está integrado nas empresas nada tá integrado na empresa na grande maioria das empresas o fato dos processos das atividades de tratamento de dados estarem tratando dados pessoais confidenciais não mexeu em nada no Bia não alterou o Bia Isso é um absurdo Será que não entendeu a Coisa não alterou o Bia aquela atividade que é simplesmente de sustentação Não aumentou o risco dela não diminuiu o impacto dela pelo fato dela estar tratando dado pessoal sensível tem coisa errada por quê Porque não integrou a avaliação
no contexto do pia porque o Bia é um de pia ou não o Bia é um dipia desculpa o dipia é um Bia é um Bia focado no contexto de Identificação do quê dos impactos na privacidade de dados pessoais isso é é um um foco muito importante que também não tá entendido direito isso por isso que chama-se relatório de impacto proteção de dados e aqui é o relatório de impacto no negócio só que tratamento de dados pessoais impacta o negócio também então ó participação no mercado nós estamos aqui estimando o o tempo o o período
máximo o indicador Máximo que eu vou suportar enquanto negócio ó perda de clientes migrantes pro concorrente novos pedidos que caem em mais de 20% aqui desculpa mas eu não me lembro quem disse aqui é exatamente o foco do que foi abordado aqui né que é os são os kpis tudo isso aqui ó tudo isso aqui é kpi voltado a o quê ao mtpd então isso tem que estar documentado Olha o quanto o Bia contribui legal né o Bia não é só uma planilha o Bia é um documento tático e Estratégico é muito importante o Bia
não é a grande plan milhão Excel não é o Bia é um processo aí ó documentar os produtos e serviços que farão parte do quê de tratar as situações de continuidade de negócio e seus respectivos MPD tá aqui ó produto ou serviço atendimento a cliente atendimento a cliente tipo de impacto objetivo do negócio financeiro legal participação no mercado e Reputacional para os objetivos do negócio o tempo máximo que eu atuo que eu que eu posso segurar sem atender cliente são 48 Horas financeiro eu posso ficar sem receber dos meus clientes 5 dias lial não se
aplica participação no mercado não se aplica e reputacional o risco de reputação caso não consiga me relacionar com o cliente é 24 horas então Ó o máximo de tempo que Eu suporto tolerável a interrupção deste processo é o menor menor aqui é 24 horas é o menor entendeu isso é uma análise que tem que ser feito a processo a processo a partir da minha visão do produto ou serviço que eu presto vamos pegar outro número de apó de seguro uma uma corretora de seguros ou uma Seguradora por exemplo objetivos da organização não se aplica Quanto
quanto eu posso ficar sem receber não é isso a gente geralmente parcela o boleto seguro essas coisas eu posso ter um atraso de até 5 dias o ligam eu posso ter alguma ação que eu fui acionado pelos pela regulamentação de de seguros eu tenho que responder no máximo em até 48 Horas participação no mercado Market share eu aguento ficar quebrando a minha participação no mercado por 30 Dias consecutivos e reputacional uma semana se eu pegar esses tipos de impactos o menor deles é é 48 horas então esse é o tempo máximo que eu vou suportar
agora fiquem atentos que aqui o Bia ele está tratando tipo de impacto esse tipo de impacto é padronizado para todos os processos todos os produtos e todos os serviços por favor quando não se aplicar tá aqui ó não se aplica acabou porque se você Para cada processo para cada área de negócio definir um tipo de de requisito de impacto diferente você não vai fechar a conta você vai ficar louco tá bom Não Faz Sentido o processo vai tá quebrado aí ó para cada produto e serviço para cada produto e serviço todos a pergunta aqui do
Diogo vamos lá todos os processos das áreas de negócio devem ser rodados dentro de uma ferramenta de chamado Diogo olha eh O dever ou não dever e obrigação é é muito forte eu o ris mortal falar isso né mas eu vou falar o seguinte Olha é de bom grato e seria de su importância para mitigar os seus riscos de continuidade de negócio se você tiver uma central de serviços compartilhados onde você consiga tratar todos os processos corporativos da empresa sim sim Acho que vocês ouviram até uma Palestra que eu fiz sobre central de serviços compartilhados
acho que foi um mês passado que eu chamei meus amigos aí da quitor para apresentar sim seria interessante você ter uma uma ferramenta uma ferramenta que seja vai no mínimo uma PR elecção né sim a agora você já tem a ferramenta táo que é o Bia né o Bia tem a relação de todos os departamentos todos os processos de todas as áreas nessa nesse seu documento tem que estar todas as áreas sim sim Todas as áreas independentemente daquela área ter ou não ter uma um processo crítico acho que foi essa pergunta né de hug eu
entendi assim tá senão me corrige por favor e aí Olha só vem um cenário aqui ó de é mtpd tá vendo aqui a área atendimento a cliente onde a gente definiu o o mtpd as atividades dessa área E aí eu tenho aqui a minha a minha o meu período máximo tolerável mas eu trouxe uma outra um outro capi V falar assim ó uma outra Identificação que é chamado recovery objec o rto é o tempo máximo aceitável para que um processo um sistema uma função fique indisponível após uma interrupção quer dizer no máximo aquilo pode ficar
por fora uma hora no máximo pode ficar fora 5 dias 10 dias esse rto que é diferente do mtpd Ele tem ele traz ele tem a principal finalidade que todo mundo entenda do que está Falando e olha só o que que está indiretamente escrito aqui pessoal não sei se vocês perceberam mas as atividades se utilizam de ativos os ativos podem ou não estar relacionados a fornecedores Portanto o mesmo ativo o mesmo fornecedor estará envolvido em vários produtos e vários serviços entenderam Qual que é o grande Valor agregado do Bia tá aí então olha só eu
tenho o prazo máximo tolerável para uma interrupção e eu tenho o prazo máximo para eu recuperar Então eu tenho o prazo máximo de interrupção que são os prazos aí toleráveis e eu tenho o prazo máximo para recuperar aquela interrupção entenderam Então tudo isso está num lugarzinho Chamado Bia Olha a importância deste careta Olha a vulnerabilidade dessas informações estarem erradas então podemos ter 1 hora mais 4 horas de sala no mínimo pera aí podemos ter aqui uma mtbo é ô ô Leandro Poderíamos dizer isso Poderíamos dizer isso quer dizer aqui ó o máximo tolerável da interrupção
são 4 horas não não é isso Não você pode ficar com essa tarefa aqui ó essa atividade fora do ar no máximo 4 horas horas e para recuperar a partir da queda eu tenho uma hora essa 1 hora tá dentro das 4 essas Du horas aqui do rto tá dentro das 8 essas 8 horas está dentro das 24 o que eu tô dizendo aqui eu não o que eu tô dizendo aqui é que o tempo de recuperação ele tem de estar dentro do mtpd entendeu Esse é o tempo ó o tempo o Tempo de recuperação
que é o rto ele tem que ser adequado ao mtpd Então olha só se eu tenho o tempo do rto dentro do mtpd onde que é que eu tenho que atuar para eu cumprir essas regras Qual que é o meu ponto crítico aqui qual que é vocês Vocês entenderam o ponto crítico sim o funin é o rto o rto ele tem que ter agilidade mas o rto ele só existe a partir do momento Que ele o problema entenderam O rto ó o rto ele só começa a atuar ele começa a ser cronometrado a partir do
momento que eu identifiquei aquele problema aquela indisponibilidade Então pessoal não existe Bia sem de incidente desculpa não existe Bia sem gestão de incidente de segurança da informação não existe Bia sem eu Identificar risco se eu demorar muito tempo para identificar alguma coisa fora do ar eu já posso começar a ligar o cronômetro do rto com o tempo do mtpd já estourado aí não adianta nada não adianta nada entenderam Ficou claro então rto o rto é a soma do tempo de identif não o rto não é a soma do tempo de identificar o rto é o
tempo que ele que ele foi Avisado que tem alguma coisa fora do ar e ele começa a atuar Sabe aquela corrida de passagem de bastão o segundo cara ele só começa a correr hora que ele recebe o bastão do primeiro o rto ele é o segundo corredor na esteira da corrida onde o primeiro corredor é a gestão de incidente é a é a central de serviço se esses caras demorar vai explodir o mtpd sem o rto ter sido acionado sem a equipe de recuperação Começar a atuar então não adianta nada você tá dentro do CIC
sim Rafael sim ó que o Rafael falou o rto elee ser considerado em todo o ciclo de vida de gestão de incidente exatamente o rto tem outra pergunta aqui né o rto da atividade é de 1 hora o rto do sistema será quanto então aí que tá aí é que tá o rto da atividade é a recuperação Total tá tá bom é a recuperação Total quando você fala em rto é é colocar aquela atividade em funcionamento é levantar Sistema Ativar ativar servidor ativar link é acionar o plano de continuidade de negócio pode ser considerado um
sla frederi ó essa é outra pergunta interessante quando você está numa situação de crise Você joga o sla fora e você ativa um sla de crise tudo isso isso a gente aborda no nosso curso da 22301 o sla é sla da entrega de um produto então o teu sla tem que prever situações de crise Então as situações de crise quando entra você vai tratar o sla Para crise onde você tem um dos slas de crise o que que é é o mtpd e o rto tem entam melhorou frederique ajudou entenderam boa então V vão perguntando
a gente vai corrigindo que tiver errado aqui quando devo acionar o PC quando eu devo acionar o PCN é maravilhoso Ó você Tem que acionar o PCN quem aciona o PCN é dentro da gestão de incidente a gestão de incidente é que Deve acionar o PCN aqui nós vamos entrar no cenário de continuidade de negócio fora do Bia é assim ó hora que você tem uma situação alguém trata essa situação essa situação é um evento é um evento tem coisa fora tem coisa fora do quê do negócio e então o cara que tá tratando o
incidente na monitoração já tem uma correlação naquele incidente que aquele servidor aquele Link aquela impressora a emissão de nota fiscal alguém reclamou que tá fora porque alguém lá na centro de distribuição falou que tá com uma fila de 200 caminhões lá e tá tudo atrasado os camiões já estão ficando até na rodovia lá tá tudo parado o centro de distribuição beleza quer dizer o cronômetro só começa a atuar quando for acionado o pessoal for informado pelo pelo problema aí tem outra coisa né que Eu não concordo com isso se a minha monitoração não pegou que
não está emitindo nota fiscal aí nós estamos com um problemaço né né a monitoração deveria ter identificado que parou de emitir nota fiscal em um ponto Qualquer ou no CD todo pera aí é outra coisa então hora que você identifica a situação entra no processo de gestão de incidente ou de evento melhor o evento o evento dentro do workflow ele vai que é o checklist ele vai identificar que Aquilo é incidente aquele incidente é na impressora servidor no link fornecedor seja na máquina de produção xpto da fábrica ele vai abrir o chamado de incidente esse
incidente já deve estar relacionado aos processos críticos de negócio esse incidente este ativo ou conjunto de ativos Obrigatoriamente estão acionados aos processos da empresa identificando se tem processo crítico ou não de negócio Tem processo crítico que tá no Bia Beleza beleza eu pego esse processo crítico que tá no Bia dentro da minha gestão de incidente hein Olha só tem que ser rápido N1 e n2 tem que ser rápido e só vai ser rápido se tiver script escrito ou se tiver Bolt chat Bolt izando tudo isso que tá lotado disso no mercado você identificou que aquilo
é crítico Aquilo é crítico é aciona pessoal de continuidade de negócio aí aciona Beleza tem solução de contorno Tem se tem solução de contorno eu resolvo A solução do Contorno a situação volta ativar mas eu abro um risco o que não acontece em 90% das empresas hora que eu adoto uma solução de contorno eu tenho que abrir o risco eu tenho que abrir um risco novo para dentro do Risco tratar a situação e envolver quem é necessário eu não tenho situação de contorno eu não tenho como recuperar Aqui aí eu aciono o plano de continuidade
de negócio Portanto o plano de continuidade de negócio só é acionado quando eu não tenho situação solução de contorno e está impactando uma ou mais processos críticos fechou deu uma volta aqui hein Beleza melhorou pessoal melhorou boa aldana de Angola by Angola vamos lá aí você tem aqui ó dentro do contexto da atividade um formulário do Bia ó que lindo Ó você tem atividade o Processo você tem um rto Você tem o produto e serviço que ele afeta você tem a relação de interdependência E você tem todos os recursos relacionados recursos relacionados àquela atividade tudo
isso está no Bia pessoal tudo isso tá no Bia aí vamos gerar números vamos dentro do Bia a gente precisa dessas informaçõezinhas aqui ó por exemplo aqui tem o tal do Baú não é baú do cvo Santos não tá aqui o Bau isso Aqui tá na ISO tá é um Business as usual quer dizer quantos recursos normalmente eu tenho recurso humano quantos recursos normalmente eu tenho na execução dessas atividades tá legal então aqui a gente tem a a gente tem um cenário aqui ó para cada atividade recursos o perfil supervisor operador tá vendo ó para
cada atividade perfil inclusive se você tiver um terceiro tá aqui dentro também então aqui ó você trata a quantidade que Você Levantou com as áreas de recursos alocados para executar atividade e aí você coloca olha se você tiver em uma uma situação específica de crise para tratar Eu em uma hora eu tenho que ter no mínimo uma pessoa atuando cinco pessoas aqui zero aqui zero aqui zero de 2 horas no período curto de 1 hora eu tenho que ter isso de 2 horas eu tenho que ter essa quantidade de pessoas atuando 3 8 horas eu
tenho que ter essa pessoa por que tudo isso aqui que por Que que eu tenho que ter a visão de recursos alocados dentro de cada atividade crítica pessoal isso você só vai fazer na atividade crítica né não vai fazer em todo senão teu Bia vai virar uma linguiça de 700 páginas não não não não você só faz isso para atividade crítica Aí sim se a atividade básica atividade suporte virar atividade crítica algum dia aí você tem que fazer essas análises tá você tem que fazer essas análises tá legal então olha só 1 Hora 2 horas
8 horas uma semana um mês e tudo mais então esses números aqui é para você ir alocando pessoas ao longo do tempo mediante uma situação que você pode administrar de crise nessa atividade tudo isso está no mapeamento do seu Bia e aí né pessoal vou trazer um novo um novo contexto aqui que é o tal do rpo que que é rpo então nós falamos no mtpd nós falamos no rto e agora nós Vamos falar no rpo o rpo é a quantidade máxima de perda de dados perda de dinheiro perda de informação que você assume o
rpo ele é crítico no planejamento por exemplo de backup planejamento de restore Então olha só aqui o rpo é crítico em toda a atividade é o ponto no tempo no qual os dados precisam estar recuperados eu posso e vou retornando às informações os sistemas paulatinamente parte a parte na Recuperação na estão de crise o teu plano de recuperação de contingência você detalha ó eu vou subir o sistema ativa o banco de dados a suba o sistema B ativa o banco de você vai subindo paulatinamente e as atividades elas vão se atualizando tá então o rpo
é o prazo é o tempo é a qualificação de que você vai escrever lá na teu plano de Recuperação a ordem de recuperar as coisas para você definir o percentual total de dados que você voltou para identificar se você voltou todo o ambiente adequadamente ou não isso tá diretamente relacionado ao quê a frequência de backup exatamente ta ISS Então olha como as coisas estão integradas gente não tem como fugir então Ó que tabelinha bonitinha aqui ó que a ISO traz como exemplo tá vendo aqui ó formulário de registros de Chamados por exemplo uma aplicação né
Linha de Frente de atendimento segunda linha de frente o rto o rto ó o Que Vocês me perguntaram aqui ó da aplicação rpo da atividade e rpo da aplicação entendendo Então olha só a atividade depende de recursos depende dos ativos então em determinado momento a hora que você vai desenvolvendo o teu Bia você precisa ter uma Coluninha de Rto da atividade e rto para cada um dos ativos envolvidos entenderam foi até uma pergunta que foi feita eu deixei passar para agora mostrar então você precisa identificar a atividade da atividade você precisa saber quais são os
ativos e tipos de ativos que você vai tratar porque o porque o teu plano de recuperação e é um checklist gente é um checklist onde você vai vai pedir dinheiro acionar o site de Contingência acionar Uber acionar contratação de fornecedor Você tem uma lista de coisa para fazer tudo em cima de rto da atividade do do processo rto de recuperação de cada um dos ativos e rto de recuperação de tudo que tiver na mão do teu fornecedor entendeu então aí você tem esse cenário E aí para a gente já quase passando aqui pro final Ó
você tem a identificação dos fornecedores e os Recursos entendeu Então quer dizer você tem uma preocupação com relação aos ativos que sustentam as suas atividades com relação aos fornecedores envolvidos tá E aqui ó bem bem rapidinho né um layout aqui uma planilha um Bia né O que que tem que deveria ter sabe é é bem bem simples só para vocês terem uma ideia né ó a gente coloca aqui a unidade do negócio organograma funcional a gente coloca o nome do processo e geralmente a gente coloca aqui processo e atividades Eu gosto de quebrar em atividades
dentro de um processo aí eu coloco o responsável pela atividade e o processo coloca a descrição da atividade o processo aí eu coloco o rto e o rpo aí eu coloco todos os ativos envolvidos nesta atividade o processo todos os recursos internos que eu demando e tudo quanto é tipo de recurso e os fornecedores então hora que você mapeia isso aqui eu saio colocando aqui do lado um rto um rpo para cada ativo e um rpo Para cada recurso e fornecer então é mais ou menos isso que a gente faz agora pra gente fechar para
fechar e abrir para perguntas é o seguinte ó insistindo nisso aqui ó insistindo aqui ó tá insistindo aqui vamos lá você precisa ter uma abordagem integrada com gestão de mudança não tem saíd não tem saíd Senão você não vai ter nunca o bi atualizado e você terá o teu plano de continuidade de negócio Totalmente comprometido tá bom esquece você precisa ter uma relação viceral entre Bia e Gestão de Risco por quê Toda a gestão de mudança abre um chamado e você busca no Bia para ver o Bia atualizar ou não o Bia porque hha que
você atualiza o Bia você vai vai atualizar o plano de continuidade de negócio plano de recuperação plano de gestão de equipe plano de gestão de comunicação você vai atualizar tudo isso quando você tem a gestão de Incidentes você vai identificar os ativos e os incidentes e se os incidentes estão relacionados a uma atividade crítica ou processo crítico ou não então precisa ter outra coisa gestão de aqui de segurança da informação você precisa ter essa integração porque você vai identificar o quê você vai identificar todos osos riscos inerentes aos ativos envolvidos em segurança da informação e
aqui eu coloquei até um Apro aqui do soc Brasil pessoal que é uma iniciativa Nossa também Lucas Bert onde tem uma comunidade aberta gratuita para só tratar assuntos de segurança da informação quem quiser ó é uma associação de profissionais tá aí tá aí nós temos gestão de ativos você vai identificar os ativos e esses ativos você vai fazer a correlação dentro do Bia principalmente pelo fato de identificar de identificar Um cenário específico de ativo criticidade fornecedor e tudo mais e aí eu insisto muito nisso no mercado pessoal análise de vulnerabilidade hoje sendo tratado com apr
só técn não faz sentido isso toda anlise toda anlise de vulnerabilidade todo pesta tem que tá integrado com gão deis tem que tá integrado com gão de incidente tem que tá integrado com gão de seguranç da informação tem que tá integrado com gestão de mudança isso é Inerente é um processo corporativo e pra gente fechar aqui você não tem Bia você não tem continuidade de negócio você não tem incidente de seguran você não tem incidente você não tem Gestão de Risco você não tem gestão de continuidade negócio seman de dados vocês devem ter visto em
algumas publicações minhas na internet com vários fornecedores diferentes não existe não existe Dipia não existe Bia não existe relatório de risco que eu vou passar para npd se os meus dados não estiverem atualizados ponto então a governança de dados ela é primordial em tudo sem exceção Então você precisa identificar os dados que sustentam todo o Bia todo de pia toda a sustentação da continuidade de negócio Gestão de Risco você precisa ter uma avaliação de impacto sobre os dados Toda a gestão de continuidade de negócio ela está embasada em políticas e procedimentos que depende de dados
toda a continuidade de negócio tá embas emconformidade e regulamentação que depende de dados toda a governança de continuidade de negócio Depende de que os dados tem estejam resilientes estejam atualizados e sem dado atualizado e correto você não tem melhoria contínua você não tem a Identificação de treinamento e conscientização porque o teu cor está errado sem isso você não tem nada desculpa se você não tiver uma governança de dados aliás é outro curso que a gente já tá já deu duas turmas já tem governança de dados eh é fundamental para tudo então não adianta você seguir
aqui um approach Onde você quer tratar o cenário técnicamente falando se você não tiver a Identificação do seu petróleo corporativo né Eu não tô falando nem gasolina em álcool e muito menos em Fontes elétricas hoje com os carros elétricos eu tô falando que s a tua fonte de energia estiver eh errada você tá com problema aí o Diogo colocou aqui nossa o Batalhão para implementar tudo Ô Diogo é o seguinte ó tudo o que a gente está falando aqui encarem como um uma Jornada jornada Tá bom então a jornada corporativa ela demanda de um conjunto
de coisas que vão sendo executadas ao longo do processo entendeu Então esse é o cenário que cada um de vocês tem que definir a sua jornada corporativa ou sua jornada dos seus clientes o que a a gente aborda aqui é um conjunto de coisas a serem feitas mas alguns pontos muito específicos né que depende que nem o luí o luí Leitão colocou aí muito bem Que que não adianta gente se a autogestão não se comprometer esquece que nada vai andar nada vai andar agora a alta gestão também tem um um um comportamento né deu uma
gaguejada aqui um comportamento que dep depende muito das informações que a gente oferece então eu não consigo entender no mercado porque porque olha só eu não sei porque segurança da informação não dá nenhum dashboard nenhum relatório mensal para RH para Marketing para grc para análise de de privacidade eu não entendo precisa dar insumos prisa dar relatório mostrar o que eu tô fazendo se eu não mostro o que eu tô fazendo e o por eu tô fazendo e o valor agregado eu não consigo vender investimentos dentro e fora da empresa
