Plano de Gerenciamento de Incidentes (PGI): Conceitos e Conteúdos

O Plano de Gerenciamento de Incidentes (PGI) é um plano de ação desenvolvido, definido e documentado, para ser utilizado quando ocorrer um incidente, tem como objetivo restaurar a operação normal do serviço o mais rápido possível e garantir, desta forma, os melhores níveis de qualidade e disponibilidade de um serviço/atividade.

Visa o restabelecimento da operação do serviço da forma mais veloz possível, de modo a minimizar os prejuízos e a assegurar o melhor nível de disponibilidade do serviço possível.

Publicado: 05/10/2018  Por: José Sérgio Marcondes

O que é Plano de Gerenciamento de Incidentes?

Plano de Gerenciamento de Incidentes é o processo responsável por gerenciar o ciclo de vida de todos os incidentes, e garantir que a operação normal de um serviço seja restaurada tão rapidamente quando possível e que o impacto no negócio seja minimizado.

O Gerenciamento de Incidentes têm por objetivo restaurar a operação normal do serviço o mais rápido possível e garantir, desta forma, os melhores níveis de qualidade e disponibilidade do serviço.

Incidente é qualquer evento que não faça parte da operação padrão de um serviço/atividade e que cause ou possa causar uma interrupção ou redução, não planejada, da qualidade do serviço/atividade.

O Plano de Gerenciamento de Incidentes tem como foco o restabelecimento do serviço/atividade o mais rápido possível, minimizando impactos na operação do negócio dentro dos níveis de serviços estabelecidos. Ele é parte integrante do processo de Gestão de Continuidade de Negócios.

Gestão da Continuidade de Negócios (GCN) é o processo de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos, caso estas ameaças se concretizem, e desenvolve medidas (planos de ações) capazes de responder efetivamente e salvaguardar os interesses das partes interessadas e da organização.

Nesse sentido, o Plano de Gerenciamento de Incidentes  é um dos planos de ações do processo de Gestão da Continuidade de Negócios.

Princípios do Plano de Gerenciamento de Incidentes

Convém que o Plano de gerenciamento de incidentes:

a) seja flexível, viável e relevante;

b) seja de fácil leitura e compreensão;

c) forneça a base para se administrar todos os possíveis problemas, incluindo aqueles com partes interessadas e externos, que podem ser enfrentados pela organização durante um incidente;

d) tenha o apoio da alta direção, incluindo um patrocinador no nível de diretoria, quando for aplicável; e que

e) seja suportado por um orçamento apropriado para seu desenvolvimento, manutenção e treinamento dos envolvidos.

Conteúdo do Plano de Gerenciamento de Incidentes

Convém que todos os planos, sejam eles de gerenciamento de incidentes, continuidade de negócios ou recuperação de desastres, sejam concisos e acessíveis àqueles que possuam responsabilidades definidas nesses planos.

Uma organização pequena pode ter um único plano que tenha como abrangência todos os requisitos do negócio e que cubra todas as suas operações da organização.

Uma organização muito grande pode ter vários planos, com cada um especificando em detalhes a recuperação de uma parte específica de seu negócio; instalações específicas; ou um cenário específico.

1- Objetivo e escopo

O objetivo e o escopo de cada plano específico devem ser definidos, acordados com a alta direção e entendidos pelas pessoas que irão realizar o plano.

Qualquer relação do Plano de Gerenciamento de Incidentes com outros planos ou documentos pertinentes que existam na organização devem ser  claramente especificada e o método de obtenção desses documentos seja descrito.

Cada plano de gerenciamento de incidentes deve definir objetivos que priorizem:

a) atividades críticas que necessitem de recuperação;
b) escala de tempo em que esta recuperação deve ocorrer;
c) níveis de recuperação necessários para cada atividade crítica; e
d) situação em que cada plano pode ser utilizado.

2 – Papéis e responsabilidades

Os papéis e responsabilidades das pessoas e equipes envolvidas no plano, durante e após um incidente, devem ser claramente documentados.

 3 – Ativação dos plano

A condição e método pelo qual o plano de gerenciamento de incidentes é colocado em prática deve ser claramente documentado.

O processo de ativação do plano deve permitir que os planos ou partes pertinentes sejam executados no menor tempo possível após uma interrupção das atividades.

A organização deve estabelecer e documentar claramente os procedimentos e conjunto de critérios sobre os quais os envolvidos possam colocar em prática os planos e em quais circunstâncias.

O processo de ativação do plano poderá necessitar de mobilização imediata de recursos organizacionais, onde convém que o plano inclua descrição clara e precisa de:

a) como mobilizar as equipes;
b) pontos de encontro imediatos; e
c) pontos de encontros subsequentes e detalhes de locais de encontro alternativos (em organizações maiores, esses locais podem ser conhecidos como centros de gerenciamento de incidentes ou de comando).

4 – Responsável pelo Plano e sua Manutenção

A organização deve nomear um responsável pelo plano e estabelecer procedimentos para análise crítica, correção e atualização do plano em intervalos regulares.

Deve ser empregado um sistema de controle de versões do plano, e todas as modificações devem ser formalmente notificadas a todos os interessados e um registro formal de distribuição do plano deve ser mantido e atualizado.

5 – Contatos

O plano deve conter os meios e formas de contato de todas as principais partes interessadas.

 6 – Lista de tarefas e ações

O plano deve inclui em seu conteúdo listas de tarefas e de ações, de forma a administrar as conseqüências imediatas de uma interrupção de atividades.

Princípios das listas de ações:

Convém que essas tarefas:

a) garantam que a segurança das pessoas está em primeiro lugar;

b) tenham como base o resultado da análise de impacto nos negócios  (BIA – Business Impact Analysis) da organização;

c) sejam estruturadas de forma que seja possível a execução das opções estratégicas e táticas escolhidas pela organização; e

d) ajudem a prevenir maiores perdas ou indisponibilidade de atividades críticas e dos recursos que as suportam.

7 – Contatos de emergência

Convém que uma descrição de como e em que circunstâncias a organização se comunicará com sua equipe, seus familiares, amigos e contatos de emergência seja incluída.

Em alguns casos, pode ser apropriado incluir detalhes em um documento separado.

Convém que contatos de familiares e de emergência para todos os empregados estejam atualizados e prontos para uso.

8 – Atividades das pessoas

O Plano de Gerenciamento de Incidentes deve satisfazer os interesses daqueles cujo bem-estar possa ser colocado em risco como resultado de um incidente, levando em conta as considerações socioculturais pertinentes.

O Plano de Gerenciamento de Incidentes deve identificar as pessoas que vão definir a responsabilidade por problemas de bem-estar após um incidente, incluindo:

a) a evacuação do local (incluindo abrigos no local);

b) a mobilização de equipes de segurança, primeiros-socorros ou assistência à evacuação;

c) a localização e prestação de contas daqueles que estavam no local ou na vizinhança;

d) a manutenção das comunicações com empregados e clientes, bem como relatórios de segurança.

Convém que a organização coloque em ação equipes que possuam os níveis de autoridade apropriados para estabelecer contato com os serviços de emergência, quando for apropriado.

Convém que a organização possua um meio de fornecer serviços de forma a aconselhar e confortar aqueles afetados pelo incidente.

9 – Comunicação à mídia

Convém que a estratégia de comunicação da organização com a mídia seja documentada no Plano de Gerenciamento de Incidentes, incluindo:

a) a estratégia de comunicação de incidentes;

b) a interface com a mídia escolhida pela organização;

c) um guia ou modelo para a criação de uma minuta de declaração a ser fornecida à mídia na primeira oportunidade viável após o incidente;

d) uma quantidade apropriada de porta-vozes competentes que sejam nomeados e autorizados a liberar as informações autorizadas para a mídia;

e) a definição, quando for viável, de um local apropriado para realizar o contato com a mídia ou com grupos de pessoas interessadas.

Em alguns casos, pode ser apropriado:

⎯ fornecer detalhes de suporte em um documento separado;

⎯ estabelecer um número apropriado de pessoas competentes e treinadas para responder a ligações telefônicas da imprensa.

⎯ preparar material sobre a organização e suas operações (convém que esse material seja pré-aprovado para divulgação);

⎯ garantir que toda a informação à mídia esteja disponível sem uma demora indevida.

10 –  Gestão de partes interessadas

Convém que um processo de identificação e priorização da comunicação com as principais partes interessadas seja incluído.

Pode ser necessário desenvolver um plano de gestão das partes interessadas de forma a estabelecer critérios e alocar uma pessoa para cada parte interessada ou grupo de partes interessadas.

11 – Localização para o gerenciamento de incidentes -“Centro de Comando”

Convém que a organização defina previamente um local, sala ou espaço resistente a partir do qual um incidente será gerenciado.

Uma vez estabelecido, convém que esse local seja o foco da resposta da organização. Convém que um ponto de encontro alternativo em um local diferente também seja estabelecido, caso não seja possível obter acesso ao local primário.

Convém que cada local tenha acesso aos recursos apropriados, por meio do qual a equipe de incidentes possa iniciar as atividades de gerenciamento de incidentes sem atrasos.

Convém que o local escolhido seja apropriado e inclua:

a) meios primários e secundários eficientes de comunicação;

b) facilidades para acessar e compartilhar informações, incluindo monitoramento de notícias na mídia.

Uma localização para o gerenciamento de incidentes é um ponto focal conhecido, a partir do qual um incidente pode ser gerenciado.

Esse local pode ser tão simples quanto um quarto de hotel ou a casa de um membro da equipe.

Também pode ser complexo como um “centro de comando” dedicado, com PC, videoconferência e vários telefones.

Inicialmente, pode ser necessário fazer uma reunião virtual, via telefone, teleconferência ou videoconferência, de forma que as principais decisões possam ser prontamente tomadas.

 12 – Anexos

O Plano de Gerenciamento de Incidentes deve incluir informações de contato e mobilização de todas as agências, organizações e recursos pertinentes que possam ser necessários para o suporte das estratégias de resposta da organização.

O Plano de Gerenciamento de Incidentes deve incluir registros ou formulários para armazenar informações vitais sobre o incidente, como histórico do incidente, detalhes de fatalidades, decisões tomadas, recursos gastos,  avaliações de danos, comunicações realizadas e todas as outras informações que sejam consideradas essenciais à organização para dar suporte à análise crítica pós-incidente.

O Plano de Gerenciamento de Incidentes também pode incluir ou referenciar:

a) mapas, tabelas, plantas, fotografias e qualquer outra informação que possa ser relevante em caso de incidente;

b) estratégias de resposta documentadas, acordadas com terceiros, conforme apropriado (parceiros de negócios,v prestadores de serviços, fornecedores etc.);

c) detalhes de armazenamento de equipamentos e áreas de instalação;

d) planos de acesso ao local; e

e) um procedimento de gerenciamento de solicitações que garanta que todas as requisições legais ou de seguro,

a favor ou contra a organização, atendam às regulamentações e aos requisitos contratuais.

---

➡  Deixe seu comentário logo abaixo, de sua opinião e contribua com o artigo.

➡  Se gostou, curta e compartilhe as publicações com seus colegas pelas redes sociais.

As atitudes acima (comentar, curtir e compartilhar) nos ajudam a manter o Blog e a continuar as publicações de artigos de forma gratuita para todos.

Forte abraço e sucesso na sua vida e carreira profissional!

José Sérgio Marcondes – Autor Artigo

---

Referencias Bibliográficas

ARBELÀEZ, César A. Duque. “Gerência de Crises e Planos de Emergência”. Seminário Internacional realizado no Bureau Internacional de Negócios. São Paulo: abril de 2006.

ROPPER, Carl A. Risk Management for security professionals. Boston: Butteworth, 1999.

ABNT NBR 15999-1 Gestão de Continuidade de Negócios