Plano de Continuidade de Negócios Lavoro Asset - Jan 2018 · 5 MUITO BAIXA 5 IRRELEVANTE (ATÉ R$ 50 MIL) Ativo Avaliação das Vulnerabilidades Plano de Ação Risco Residual

Lavoro Asset – Consolidado de Políticas e Controles Internos & Código de Ética – Jun/2016 Tel.: 21-3501 0051 e-mail: [email protected]

Plano de Continuidade de Negócios

Lavoro Asset


SUMÁRIO

1. INTRODUÇÃO ............................................................................................................................................ 3

2. OBJETIVO ................................................................................................................................................... 3

3. ABRANGÊNCIA .......................................................................................................................................... 4

4. ESCOPO E PREMISSAS OPERACIONAIS ......................................................................................... 4

5. PROCESSOS DE NEGÓCIOS E ÁREAS EXISTÊNTES .................................................................. 6

6. CENÁRIOS DE CONTINGÊNCIA E CONTINUIDADE .................................................................... 6

7. ANÁLISE DE CRITICIDADE ................................................................................................................ 12

8. ANÁLISE DE IMPACTO PARA OS NEGÓCIOS (AIN) .................................................................. 12

9. PLANEJAMENTO DA CONTINUIDADE ............................................................................................. 13

10. RESPONSABILIDADES ............................................................................................................................. 15

10.1 DA DIRETORIA RISCO .......................................................................................................................... 15

10.2 DA EQUIPE DE CONTINUIDADE ........................................................................................................ 15

11. CONSIDERAÇÕES FINAIS ...................................................................................................................... 16


CONTROLE DE VERSÕES

Data Evento Modificações Autor

Ago/2013 Criação - Andrea

Jul/2014 Alteração Substituição de Múltipla por LAVORO Victor

Mai/2016 Atualização André

Jan/2018 Atualização Roberta

1. INTRODUÇÃO

O presente Plano de Continuidade de Negócios (“PCN”) define estratégias e procedimentos

a serem observados na eventualidade de incidentes ou situações de emergência que

envolvam a Lavoro Asset Management e/ou seus funcionários, de forma direta ou indireta.

2. OBJETIVO

O PCN tem como objetivo preparar as áreas de negócio para prever recursos alternativos

e traçar estratégias de continuidade para impedir que ocorrências inesperadas

interrompam os processos críticos da empresa. Além disso, o plano é responsável por

assegurar aos clientes e parceiros comerciais que os recursos utilizados e os

compromissos assumidos entre as partes estão em segurança em uma empresa que

possui estratégias de continuidade definidas e, portanto, os objetivos deste plano são:

• Definir os principais riscos que a empresa está sujeita devido à utilização dos recursos

em seus processos de negócios;

• A definição da equipe para atuação em situações de contingência e adoção dos planos

de ação de continuidade. Essa equipe e seus membros receberão atribuições exclusivas

que deverão ser treinadas e seguidas para que o plano obtenha a eficiência esperada

durante uma situação de incidente ou desastre;

• A pré-definição dos recursos disponíveis para atuação em situações de emergência, tais

como: instalações, recursos alternativos de telefonia, comunicação de dados, eletricidade

e outros serviços utilizados pelas áreas de negócio para prestação de serviços;

• Servir como um guia de orientação para a empresa na ocorrência de eventos,

incidentes ou desastres que afetem os recursos críticos aos processos de negócio. Essas


orientações têm como objetivo facilitar as decisões previamente validadas e testadas em

um cenário de incertezas.

3. ABRANGÊNCIA

Este plano contempla as estruturas, as responsabilidades e as ações necessárias, críticas

e relevantes para a continuidade dos serviços, recursos e processos que são

desenvolvidos ou estão localizados nas instalações da empresa, considerando a

indisponibilidade total ou parcial das instalações.

Estão contempladas nesse plano as ações necessárias para que a empresa possa

recuperar seus serviços, de forma total ou parcial, em outras instalações e possa,

também:

• Responder prontamente às demandas de decisões e ações causadas por uma situação

de emergência;

• Restabelecer os sistemas mínimos necessários de comunicação e troca de informações,

tais como telefonia, troca de dados, internet e e-mail;

• Identificar e definir as atividades prioritárias a serem recuperadas dentro de cada

intervalo de tempo;

• Estabelecer as condições e recursos mínimos necessários para recuperação e

continuidade;

• Estabelecer um ponto central (local e equipe) para comando das operações durante a

situação de desastre ou incidente;

• Detalhar os itens e condições das instalações e dos recursos que deverão permanecer

em “stand by” para serem utilizados nos casos de indisponibilidades ou desastres;

4. ESCOPO E PREMISSAS OPERACIONAIS

A estratégia de continuidade prevista neste documento leva em consideração algumas

premissas, a fim de limitar a abrangência do plano e racionalizar os investimentos e

esforços de continuidade sobre as ameaças e impactos de maior probabilidade e

significância para a empresa.

O plano considera que:

a. Todas as indisponibilidades e desastres que afetarem os processos de negócio de

forma significativa serão tratados segundo as definições e estratégias definidas no plano;


b. As instalações, softwares, sistemas e equipamentos substitutos estarão disponíveis

e acessíveis para serem utilizados como sites de continuidade dos principais processos de

negócio da empresa e poderão permanecer disponíveis enquanto durar a situação de

emergência;

c. O Data Center possuirá todos os equipamentos de redundância e contingência

necessários e suficientes para assumir e executar os sistemas de informação principais;

d. As informações fornecidas sobre o inventário atual das instalações e demais ativos

estão atualizadas;

e. As informações obtidas sobre a quantidade e o funcionamento dos processos de

negócio de cada área, bem como a criticidade apontada pelos gestores, estão atualizadas;

f. A tabela de alternância de pessoal (anexa) é factível e verdadeira, ou seja, no caso

da ausência de uma determinada pessoa a alternância será capaz de executar as

atividades críticas necessárias;

g. Semestralmente seja realizada cotação de no mínimo três locais a serem utilizados

para continuidade de modo que os mesmos possuam estrutura adequada e disponibilidade

por tempo indeterminado;

h. Os prazos de contratação de serviços, compra e entrega dos equipamentos de

tecnologia e demais bens a serem adquiridos quando da ocorrência de uma

indisponibilidade total definitiva serão definidos em conformidade com as necessidades e

metodologias especificados neste plano;

i. As cópias dos dados, principais softwares, sistemas operacionais, aplicativos,

utilitários e equipamentos de tecnologia serão disponibilizados em tempo hábil para

instalação e em plenas condições de utilização;

j. A quantidade de mobília, cadeiras, mesas, armários, aparelhos telefônicos, fax,

impressoras e estações de trabalho serão suficientes para os grupos que serão

recuperados nas instalações de continuidade;

k. Todas as estratégias e definições deste plano foram lidas, entendidas e aceitas

pelos membros da equipe do plano e pela Diretoria da empresa;

As categorias de recursos compreendem:

a. Instalações

Todos os ambientes utilizados pelas áreas de negócio onde se encontram os recursos

críticos, incluindo os sistemas de infra-estrutura.

b. Funções e pessoas


Todo o pessoal atuante nas áreas de negócio consideradas críticas, os respectivos

conhecimentos específicos e as funções correspondentes.

c. Serviços

Todos os serviços contratados e/ou gerenciados e que viabilizam os processos e recursos

críticos das áreas de negócio.

d. Softwares e Sistemas

Todos os softwares utilizados pelos equipamentos de tecnologia da informação,

comercializados na forma de licença de uso, assim como também são considerados todos

os sistemas desenvolvidos ou customizados pertencentes à empresa ou fornecidos a ela.

e. Equipamentos

Todos os equipamentos de uso corporativo ou específico utilizados nas dependências da

empresa para realização dos processos de negócios.

5. PROCESSOS DE NEGÓCIOS E ÁREAS EXISTÊNTES

Todo o planejamento de continuidade foi desenvolvido com base na criticidade dos

processos de negócios. São apresentadas na tabela a seguir as áreas de negócio

consideradas mais críticas ao funcionamento das atividades e principais processos.

ÁREA DE NEGOCIO RELAÇÃO DOS PRINCIPAIS PROCESSOS OPERACIONAIS

01 Diretoria

Compliance

Validação dos novos cadastros

02 Diretoria Risco Acompanhamento da qualidade dos Ativos que compõem a

carteira dos Fundos sob gestão

03 Gestão Aprovação na alocação de ativos, conforme previsão dos

Regulamentos dos Fundos

6. CENÁRIOS DE CONTINGÊNCIA E CONTINUIDADE

O modelo para análise de riscos considera o valor atribuído a cada ativo e estima o risco

potencial com base na análise de vulnerabilidades, ameaças e ponderação sobre o

histórico de ocorrência, conforme o modelo proposto pelo COBIT para análise de riscos:


ESTRUTURA DE ANÁLISE DE RISCO

Para este plano, as ameaças de maior relevância são aquelas que oferecem riscos de

continuidade aos processos de negócio considerados críticos à empresa.

O risco de um processo é avaliado de acordo com a probabilidade de falha e o impacto

proporcionado através da indisponibilidade (parcial ou total) do mesmo. A probabilidade

de falha é definida pelo número de vulnerabilidades exploradas pelas ameaças ao qual o

processo está submetido. As medidas de controle agem sempre minimizando o número de

vulnerabilidades e nunca as ameaças.

Foi considerada a seguinte grade de classificação para estimar a probabilidade e o risco

potencial:

CLASSIFICAÇÃO DAS

PROBABILIDADES

CLASSIFICAÇÀO DOS RISCOS POTENCIAIS

PONTUAÇÃO NÍVEL PONTUAÇÃO NIVEL

1 MUITO ALTA

(DE 81 A 100 %)

1 FALÊNCIA (PREJUÍZOS

IRRECUPERÁVEIS)

2 ALTA

(DE 51 A 80 %)

2 CRÍTICO (ACIMA DE R$ 500 MIL)

3 MÉDIA

(DE 36 A 50 %)

3 RELEVANTE (ENTRE R$ 100 MIL E R$

499 MIL)

4 BAIXA

(DE 11 A 35 %)

4 CONTROLÁVEL (ENTRE R$ 50 MIL E

R$ 100 MIL)

5 MUITO BAIXA 5 IRRELEVANTE (ATÉ R$ 50 MIL)

Ativo

Avaliação das Vulnerabilidades

Plano de Ação

Risco Residual

Contra Medidas

Análise de Riscos

Avaliação das Ameaças

Avaliação de Controles


(DE 0,01 A 10%)

Ocorrendo eventual falha, a equipe de continuidade deverá decidir sobre os níveis de

ativação do plano, alocando e utilizando os recursos que julgarem necessários para se

recuperar de cada uma das ameaças previstas e com impacto estimado.

A seguir uma tabela apresenta as principais ameaças analisadas e os recursos que podem

sofrer impactos (parcial ou total) das mesmas. Para facilitar a análise dessas ameaças

potenciais houve a classificação em diferentes categorias (naturais, ações deliberadas e

de negócios).

Tipos

de

ameaça

AMEAÇAS

RECURSOS IMPACTADOS

Instalações Softwares Pessoas Sistemas Serviços Equip.

Natu

rais

Alagamento e/ou inundação sim Não sim Não sim sim

Racionamento de água não Não sim não sim não

Vendavais / Tempestades sim Não sim não sim sim

Incêndios sim Sim sim Sim sim sim

Açõ

es D

elib

era

das

“Apagão elétrico” sim Sim não sim sim sim

Epidemias não Não sim não sim não

Sabotagem sim Sim sim sim sim sim

Ameaça de Bomba sim Sim sim Sim sim sim

Explosões sim Sim sim não sim sim

Sequestro de Executivos não Não sim não Sim não

Substituição de Executivos não Não sim não Sim não

Greves/ Protestos/ Manifestações não Não sim não sim não

Acidente aéreo Sim Sim sim Sim Sim Sim

Furto/ Roubo sim Sim sim não sim sim

Pane telefonia não Sim Não sim sim não

Espionagem não Sim sim sim sim não

Fraudes não Sim sim sim sim não

Vazamentos/ Perda de Informações não Não sim não sim não

Vírus de Computador não Sim não sim sim sim

Neg

ócio

s

Quebra de equipamento não Sim não sim sim sim

Falhas de Hardware - TI -

Componentes não Sim não sim sim sim

Falhas de Software - Sistema Operac.

(Bugs) não Sim não sim sim sim

Falhas de Sistema - Aplicação (Erros) não Sim não sim sim sim

Invasão (Hakers/Crakers) não Sim não sim sim sim

Obsolescência de Equipamentos e não Sim não sim sim sim


Tipos

de

ameaça

AMEAÇAS

RECURSOS IMPACTADOS

Instalações Softwares Pessoas Sistemas Serviços Equip.

Softwares de TI

Perda/ Falência de fornecedores sim Sim não sim sim sim

Mudanças na Legislação não Sim não sim sim não

Cada ameaça será examinada pela equipe de continuidade e estimada com relação à

probabilidade de ocorrência e impacto causado pela mesma.

As ameaças e riscos decorrentes devem ser avaliadas como a seguir:

TIPOS DE

AMEAÇAS

PROBABILIDADE

DE OCORRÊNCIA

IMPACTO TIPOS DE IMPACTOS

Alagamento e/ou

inundação

5 4 Afetará a locomoção das pessoas do staff, gerencial

e contratados. Atrasos e impossibilidade de acesso

ou transporte. Afetará o edifício, salas, rede

elétrica, telefonia, cabeamento de

rede/comunicação, ar condicionado, servidores,

desktops, conectividades, impressoras, periféricos

(áudio/vídeo).

Racionamento de

água

5 4 Afetará a rotina das pessoas. Pode afetar o sistema

de ar condicionado central.

Vendavais /

Tempestades

5 4 Afetará as antenas de comunicação, cabos e outros

dispositivos externos de comunicação.

Incêndios 5 1 Mobiliário, edifício, salas, rede elétrica, material de

escritório, iluminação, telefonia, antenas de

comunicação, cabeamento de rede/comunicação, ar

condicionado, pessoas terceirizados, servidores,

desktops, notebooks, impressoras, periféricos

(áudio/vídeo). Pode ser gerado por curto circuito

nos cabos do CPD, super aquecimento dos

computadores, descuido ou mesmo por acidente

com material inflamável.

“Apagão elétrico” 5 3 Afetará a rede elétrica em geral.

Epidemias 5 4 Afetará pessoas e terceirizados.


TIPOS DE

AMEAÇAS

PROBABILIDADE

DE OCORRÊNCIA


Sabotagem 5 3 Afetará a rede elétrica, iluminação, telefonia,

pessoas antenas de comunicação, cabeamento de

rede/comunicação, ar condicionado, sistema

operacional, suporte/manutenção, cabeamento e

comunicação.

Ameaça de Bomba 5 3 Afetarão o edifício e salas, pessoas, terceirizados,

desenvolvimento, suporte/manutenção,

cabeamento, comunicação, servidores, desktops,

conectividades, notebooks, impressoras, periféricos

(áudio/vídeo).

Explosões 5 3 Mobiliário, edifício, salas, rede elétrica, material de

escritório, iluminação, telefonia, antenas de

comunicação, cabeamento de rede/comunicação, ar

condicionado, pessoas, terceirizados, servidores,

desktops, conectividades, notebooks, impressoras,

periféricos (áudio/vídeo).

Sequestro de

Executivos

5 2 Atinge o nível gerencial.

Substituição de

Executivos

5 4 Atinge os níveis staff, gerencial, terceirizados.

Greves/ Protestos/

Manifestações

5 5 Atinge pessoas, terceirizados, suporte/manutenção,

cabeamento e comunicação.

Acidente aéreo 5 3 Afetará o mobiliário, edifício, salas, material de

escritório, telefonia, pessoas, terceirizados,

servidores, desktops, notebooks, impressoras,


Furto/ Roubo 5 4 Afetará os servidores, desktops, notebooks,

impressoras, periféricos (áudio/vídeo).

Pane telefonia 4 4 Afetará a telefonia e a central de atendimento.

Espionagem 5 4 Afetará a rede de computadores, sistema

operacional, aplicativos, comunicação, servidores.

Fraudes 5 3 Afetará os serviços de telefonia, antenas de

comunicação, rede de computadores, sistema

operacional, aplicativos, utilitários, pacotes,

pessoas, terceirizados, suporte/manutenção,

cabeamento, comunicação.


TIPOS DE

AMEAÇAS

PROBABILIDADE

DE OCORRÊNCIA


Vazamentos/ Perda

de Informações

5 3 Atinge sistema operacional, pessoas, terceirizados,

suporte/manutenção, cabeamento, comunicação,

servidores, desktops, conectividades, notebooks,


Vírus de

Computador

4 4 Afetará o sistema operacional, servidores,


(áudio/vídeo).

Quebra de

equipamento

5 4 Afetará pessoas, terceirizados,

suporte/manutenção, servidores, desktops,

notebooks, impressoras, periféricos (áudio/vídeo).

Falhas de Hardware

- TI - Componentes

4 4 Afetarão os serviços de telefonia, antenas de


operacional, suporte/manutenção, cabeamento,

comunicação, servidores, desktops, notebooks,


Falhas de Software -

Sistema Operac.

(Bugs)

4 4 Afetará os serviços de telefonia, sistema

operacional, suporte/manutenção, servidores,


(áudio/vídeo).

Falhas de Sistema -

Aplicação (Erros)

4 4 Afetará sistema operacional, suporte/manutenção,

servidores, desktops, conectividades, notebooks,


Invasão

(Hakers/Crakers)

5 4 Afetará os serviços de telefonia, sistema

operacional, aplicativos, cabeamento, comunicação,

servidores, desktops, notebooks, impressoras,


Obsolescência de

Equipamentos e

Softwares de TI

4 5 Afetarão os serviços de telefonia, antenas de


operacional, comunicação, servidores, desktops,

notebooks, impressoras, periféricos (áudio/vídeo).

Perda/ Falência de

fornecedores

4 4 Atinge a energia elétrica, material de escritório,

serviço de telefonia, sistema operacional,

aplicativos, utilitários, pacotes, corporativos,

departamentais, locais, comunicação e servidores.

Mudanças na

Legislação

3 4 Afetará pessoas, terceirizados,

suporte/manutenção, cabeamento, comunicação,

servidores, desktops, notebooks, impressoras.


7. ANÁLISE DE CRITICIDADE

Objetivando delimitar o nível de dependência existente entre os processos de negócio e

levando em consideração a importância de cada área de negócio da empresa, bem como

os impactos que eventuais indisponibilidades possam causar à mesma, serão elaborados

gráficos e apresentadas as respectivas interpretações e conclusões.

A seguinte matriz será considerada como critério de criticidade para os recursos:

1 Irrelevante O menos importante, a área consegue trabalhar

bem sem o recurso;

2 Substituível A área consegue com facilidade contornar a

ausência do recurso com uma alternativa;

3 Importante A área precisa do recurso, trabalha com certa

dificuldade sem ele, e é difícil repor a altura;

4 Relevante A área consegue realizar algumas atividades,

poucas, por algum tempo, com bastante

dificuldade;

5 Indispensável Mais importante, indispensável, sem ele a área

não faz absolutamente nada.

8. ANÁLISE DE IMPACTO PARA OS NEGÓCIOS (AIN)

A análise de impacto para os negócios (AIN) tem por finalidade identificar os custos

relacionados às falhas, tais como reposição de um equipamento, horas extras pagas aos

funcionários, perda de lucros, multas etc.

As possibilidades de falhas são avaliadas de acordo com seus impactos e sempre que

possível este deverá ser expresso em valores financeiros para fins de comparação.


A AIN inclui eventos que possam afetar significativamente a imagem da empresa,

envolver questões legais ou de valor potencial superior a 10% do patrimônio sob gestão,

com destaque para:

• Identificação de impactos potenciais nos processos de negócios da empresa e clientes;

• Considerações gerais acerca de todas as áreas de negócio;

• Estimativa do tempo máximo de indisponibilidade (TMI) para os processos ou recursos

críticos da empresa, sem acarretar perdas financeiras ou de imagem inaceitáveis (tabela a

seguir).

TMI - Divisão de processos por área de negócio

ÁREA: NOME DA ÁREA

PROCESSO Imagem Financeiro Legal FINAL

(Média)

1o Compliance 6 dias 1 dias 7 dias 4,6 dias

2o Risco 6 dias 1 dias 7 dias 4,6 dias

3o Gestor 6 dias 1 dias 7 dias 4,6 dias

9. PLANEJAMENTO DA CONTINUIDADE

O planejamento da continuidade é baseado na estimativa do tempo máximo que cada

recurso poderá ficar indisponível, parcialmente ou totalmente, conforme a tabela do TMI,

sem causar prejuízos (financeiros, legais ou de imagem), sendo o tempo necessário para

ativar a contingência calculado a partir do momento de ativação do plano de continuidade.

Será adotado o menor TMI entre os identificados, no caso o Financeiro.


Δtc: Tempo necessário para ativar a contingência.

TMI: Tempo máximo que um processo/recurso pode ficar indisponível/inoperante sem

causar prejuízos significativos aos processos de negócio e à empresa.

PCN: Execução do Plano de Continuidade de Negócios.

No momento da ocorrência do problema ou indisponibilidade (D0) a equipe de

continuidade é colocada em alerta. Dependendo da gravidade do problema a ativação da

contingência poderá ser antecipada.

O planejamento de continuidade requer que as pessoas responsáveis pela tomada de

decisões na empresa tenham em mãos todos os dados sobre a ocorrência que

comprometeu os processos, a extensão dos impactos causados, a duração estimada do

evento considerando o pior caso possível e um parecer sobre a situação dos recursos

originais comprometidos.

Uma vez que os processos de inicialização da continuidade foram completados e os riscos

para os negócios estejam controlados e monitorados, é necessário começar as ações para

minimizar os efeitos da emergência e recomeçar os processos de negócio.

Esse planejamento estabelece as estratégias principais a serem adotadas para recuperar

totalmente ou parcialmente cada grupo de recursos da empresa. As premissas

estabelecidas no início desse plano são fatores fundamentais para que o mesmo seja

efetivo em uma situação de emergência.

Prejuízos Financeiros, Legais e de Imagem

PCN D0

Ativar Continuidade

Δtc

t

Problema ou Indisponibilidade

TMI


O foco do planejamento será sobre a recuperação das atividades e processos que são

chaves ou críticos para a continuidade dos negócios.

No caso de ausência temporária de um dos diretores das áreas de Risco, Compliance,

Gestão e Suitability/Distribuição, as atividades passarão à responsabilidade dos seus

colaboradores diretos, em linha vertical. No caso de ausência superior ao período de 1

mês, haverá substituição por outro diretor, desde que não haja conflito no acumulo de

funções e a devida certificação, ou pela contratação de profissional ou empresa no

mercado.

PROCESSO Equipe Continuidade Preparação Prévia

Compliance Diretor e Analista de Risco Rotina conhecida pela área de Risco

Risco Analista de Crédito, Analista de Risco e

Gestor

Trabalho em equipe, todos envolvidos

dominam a rotina.

Gestor Diretoria de Risco e Contratação de

Terceiros no caso de ausência prolongada

Diretoria de Risco acompanhamento a

rotina de gestão diariamente.

Indisponibilidade De

Ambiente

Uso de Servidor de Contingência com

acesso Home-Office e Escritório Virtual

Configuração de dispositivo de acesso VPN

nas máquinas pessoais.

10. RESPONSABILIDADES

10.1 DA DIRETORIA RISCO

A diretoria de riscos fica responsável por selecionar os membros da equipe de

continuidade.

10.2 DA EQUIPE DE CONTINUIDADE

• Analisar cada ameaça e estimar à probabilidade de ocorrência e impacto causado pela

mesma;


• Definir os níveis de ativação do plano, alocando e utilizando os recursos que julgarem

necessários para se recuperar de cada uma das ameaças previstas e com impacto

estimado;

11. CONSIDERAÇÕES FINAIS

Este plano será atualizado anualmente e, em seguida, deverá ser testado, corrigido e

divulgado antes de uma necessidade real de utilização, de modo que as pessoas estejam

familiarizadas com o formato, conceitos, padrões e estratégias de atuação.

Documents

Plano de Continuidade de Negócios Lavoro Asset - Jan 2018 · 5 MUITO BAIXA 5 IRRELEVANTE (ATÉ R$ 50 MIL) Ativo Avaliação das Vulnerabilidades Plano de Ação Risco Residual