PORTARIA 004/2024
De 31 de janeiro de 2024
Institui o Plano De Continuidade Dos Serviços De Tecnologia Da Informação - PCTI no âmbito da Prefeitura Municipal de Iacanga.
Eli Doniseti Cardoso, Prefeito do Município de Iacanga, Comarca de Iacanga, Estado de São Paulo, no uso de suas atribuições legais, e:
Considerando que falhas nos serviços de TIC impactam diretamente a continuidade da prestação dos serviços de Tecnologia da Informação e Comunicações (TIC) no âmbito da Prefeitura do Município;
Considerando que se almeja com este plano prover medidas de proteção rápidas e eficazes para os processos críticos de TI relacionados aos sistemas essenciais em casos de incidentes graves ou desastres a partir da especificação das ameaças e riscos identificáveis na organização e análise de seus impactos, caso essas ameaças se concretizem;
Considerando que o Plano De Continuidade dos Serviços de TIC deve viabilizar as definições dos Planos Estratégicos objetivando direcionar as iniciativas de Tecnologia da Informação e Comunicação para melhor contribuir no atingimento das metas estabelecidas;
Resolve:
Art. 1º - Instituir o Plano De Continuidade Dos Serviços De Tecnologia Da Informação – PCTI, conforme disposto no
Anexo I que acompanha esta Portaria.
Art. 2º – O Plano De Continuidade Dos Serviços De Tecnologia Da Informação - PCTI, constante no Anexo I, estará integralmente disponível para acesso e consulta no site
www.iacanga.sp.gov.br .
Art. 3º - Esta Portaria entrará em vigor na data de sua publicação, revogadas as disposições em contrário
Iacanga, 31 de janeiro de 2024.
Publicada de acordo com a Lei vigente.
Eli Doniseti Cardoso Décio Spera Junior
Prefeito Secretaria de Administração
ANEXO I
PREFEITURA DO MUNICÍPIO DE IACANGA
CENTRAL DE PROCESSAMENTO DE DADOS
PLANO DE CONTINUIDADE DOS SERVIÇOS DE TECNOLOGIA DA INFORMAÇÃO
Sumário
1. Introdução....................................................................................................................................................... 2
2. Objetivo........................................................................................................................................................... 2
3. Serviços Essenciais....................................................................................................................................... 2
4. Principais Ameaças....................................................................................................................................... 3
5. Invocação do Plano........................................................................................................................................ 4
6. Macroprocessos............................................................................................................................................. 4
7. Ferramentas de Continuidade...................................................................................................................... 6
7.1 Backup..................................................................................................................................................... 6
7.2 Snapshot.................................................................................................................................................. 6
7.3 RAID........................................................................................................................................................ 6
7.4 Link Redundante..................................................................................................................................... 6
7.5 Contratos de Disponibilidade.................................................................................................................. 6
8. Estratégias de Continuidade......................................................................................................................... 7
8.1 Plano de Continuidade Operacional (PCO)............................................................................................ 7
8.2 Plano de Administração de Desastre (PAD)........................................................................................... 8
8.3 Plano de Recuperação de Desastre (PRD)............................................................................................ 8
1. Introdução
Como um setor de um órgão público, a Central de Processamento de Dados é responsável pelas mais diversas atribuições, visando sobretudo permitir e auxiliar a prestação de serviços dos demais funcionários da Prefeitura e dependências.
Tendo isso em vista, faz-se necessário a tomada de medidas que permitam, além de mitigar falhas e evitar imprevistos relativos aos serviços de TI, também agir em resposta a esses imprevistos uma vez ocorridos. O presente Plano de Continuidade servirá para mapear os principais riscos aos serviços de TI, seus impactos, e definirá um plano de ação a ser tomado para retomar o estado do respectivo serviço ao seu pleno funcionamento.
2. Objetivo
Definir as estratégias necessárias para garantir a continuidade dos serviços relativos a Tecnologia da Informação competentes à Central de Processamento de Dados da Prefeitura Municipal de Iacanga, abrangendo sua contingência e recuperação de perdas ocasionadas por falhas humanas, mecânicas, eletrônicas ou naturais, e permitindo que as atividades dos demais setores da Prefeitura possam ser realizadas normalmente.
3. Serviços Essenciais
São considerados serviços de TI essenciais todos aqueles que são necessários para que a administração pública municipal exerça suas atribuições para atender as demandas dos munícipes, e cuja indisponibilidade implica em impactos de ordem financeira, legal, operacional ou na imagem pública da Prefeitura.
| Serviço |
Criticidade |
RPO |
RTO |
Impacto |
| Financeiro |
Legal |
Imagem |
Operacional |
| Links de Internet |
Alta |
3h |
4h |
Alto |
Alto |
Médio |
Alto |
| Sistemas de Arrecadação de Impostos |
Alta |
24h |
6h |
Alto |
Alto |
Médio |
Alto |
| Nota Fiscal Eletrônica |
Alta |
24h |
6h |
Alto |
Alto |
Médio |
Baixo |
| Transparência |
Média |
24h |
6h |
Baixo |
Alto |
Baixo |
Baixo |
| Serviços de Telefone |
Alta |
24h |
12h |
Médio |
Médio |
Médio |
Alto |
| Servidor de Arquivos |
Alta |
1h |
24h |
Alto |
Alto |
Baixo |
Médio |
| Sistemas de Monitoramento |
Baixa |
7 dias |
2 dias |
Baixo |
Médio |
Baixo |
Baixo |
| Holerite Online |
Média |
24h |
6h |
Alto |
Alto |
Médio |
Baixo |
| Serviços de Email |
Alta |
4h |
6h |
Alto |
Alto |
Médio |
Alto |
| Sistemas de Saúde |
Alta |
4h |
6h |
Médio |
Alto |
Alto |
Médio |
| Sistemas de Backup |
Baixa |
6h |
24h |
Baixo |
Baixo |
Baixo |
Baixo |
| Sistemas de Compras e Contabilidade |
Alta |
24h |
6h |
Alto |
Alto |
Baixo |
Alto |
| Sistema de Controle de Imóveis |
Baixa |
24h |
24h |
Médio |
Médio |
Médio |
Médio |
| Sistema de Controle de Jazigos |
Baixa |
24h |
24h |
Médio |
Médio |
Baixo |
Médio |
| VPNs |
Média |
24h |
6h |
Baixo |
Baixo |
Baixo |
Médio |
| Site Oficial |
Alta |
24h |
6h |
Médio |
Médio |
Alto |
Baixo |
| Diário Oficial |
Alta |
12h |
6h |
Alto |
Alto |
Médio |
Médio |
Criticidade: Importância que o serviço esteja em pleno funcionamento a todo momento.
RPO: Ponto máximo em uma linha de tempo anterior à falha em que os dados devem ser recuperados.
RTO: Tempo máximo que o serviço deve ter o seu funcionamento retornado aos padrões mínimos operacionais após a falha.
Impacto: O quanto a interrupção do serviço pode afetar negativamente em cada aspecto caso não seja retomado a tempo.
4. Principais Ameaças
Mapeamento das ameaças mais prováveis que podem afetar a continuidade dos serviços essenciais de TI, e que justificariam o acionamento do presente plano, além de suas mais prováveis causas.
| Desastre |
Possíveis Causas |
| Queda de energia elétrica |
- Interrupção no fornecimento de energia
- Queda no disjuntor ocasionada por fatores internos |
| Queda de internet / intranet |
- Interrupção no fornecimento de internet
- Problemas nos equipamentos internos de distribuição de internet |
| Indisponibilidade dos servidores locais |
- Mau funcionamento do hardware dos servidores
- Desconfiguração do software crítico dos servidores |
| Ataques internos |
- Ataques aos equipamentos e softwares ocasionados por funcionários |
| Ataques externos |
- Ataques aos equipamentos e softwares ocasionados por invasões externas ou vírus |
| Desastres naturais |
- Tempestades, ventanias, furacões, incêndios, terremotos |
| Falha humana |
- Manuseamento incorreto de equipamentos críticos
- Configuração incorreta de softwares |
5. Invocação do Plano
Justificará o acionamento do presente plano a ocorrência de quaisquer cenários de desastres descritos ou não, aparecimento de riscos desconhecidos, detecção de vulnerabilidade crítica a ser explorada ou para fins de testes dos mesmos
6. Macroprocessos
O plano possui macroprocessos definidos da seguinte maneira, sendo subdivididos em planos específicos para cada área de atuação na ocorrência de um desastre.
O Plano de Continuidade será dividido em:
- Plano de Continuidade Operacional (PCO)
Responsável por garantir a continuidade dos serviços essenciais após a ocorrência do desastre enquanto recupera-se o ambiente principal.
- Plano de Administração de Crise (PAC)
Responsável por realizar ações de contingência e comunicação durante a ocorrência do desastre e logo após sua recuperação, objetivando a minimização de impactos até a superação da crise.
- Plano de Recuperação de Desastre (PRD)
Responsável por retomar o ambiente principal ao seu estado anterior à ocorrência, uma vez controlada.
7. Ferramentas de Continuidade
Conforme descritas as possibilidades dos serviços de TI essenciais serem impactados por ameaças internas e externas, dispomos atualmente dos seguintes recursos para auxiliar na recuperação de desastres:
7.1 Backup
Todos os serviços que são hospedados localmente possuem uma ou mais rotinas de backup implementadas de forma local e em nuvem.
7.2 Snapshot
Os serviços locais também possuem um snapshot de seu estado ótimo guardado em mais de um local físico, permitindo sua recuperação rápida em caso de perda.
7.3 RAID
Por fim, os serviços locais estão sendo executados em ambientes com RAID configurado em 2 ou mais discos rígidos, permitindo evitar a interrupção dos mesmos em caso de falha única de disco.
7.4 Link Redundante
Ainda no quesito redundância, o prédio que hospeda os serviços locais da prefeitura possui link de internet redundante oferecido por uma empresa diferente da fornecedora principal.
7.5 Contratos de Disponibilidade
Para os serviços que não são hospedados e gerenciados pela Central de Processamento de Dados, mas sim contratados pela mesma, existem termos nos seus respectivos contratos que determinam a taxa de disponibilidade tolerável destes. Isso exime o CPD de tomar medidas para garantir a sua contingência, sendo apenas responsável por acionar os prestadores de serviços em casos de indisponibilidades.
8. Estratégias de Continuidade
Dados os Macroprocessos e as Ferramentas de Continuidade previamente estabelecidos, podemos definir as ações a serem tomadas na ocorrência dos cenários de invocação do presente PCTI.
8.1 Plano de Continuidade Operacional (PCO)
Ao iniciar o contingenciamento da ameaça, a primeira meta a se atingir é a retomada dos serviços indisponíveis a um estado operacional mínimo aceitável. Esse é precisamente o objetivo do PCO.
As etapas para a execução do mesmo são:
- Avaliação do impacto: Definir a dimensão do impacto negativo que a ocorrência gerou, o que ela afetou, e as consequências imediatas da mesma.
- Acionamento do plano: Informar todos os responsáveis do setor de informática e demais envolvidos sobre o impacto, além das ações a serem tomadas para retomar os serviços afetados por ordem de prioridade.
- Contingência de backup mais recente: Ao identificar a extensão dos serviços e dados que foram afetados negativamente pela falha, avaliar a necessidade da substituição do mesmo pelo seu snapshot estável mais recente, além de restaurar o backup dos dados perdidos.
- Atestar o retorno do funcionamento do serviço: Testar se a aplicação e os dados restaurados estão em pleno funcionamento e prontos para o estado operacional.
- Encerramento do PCO: Documentar as atividades realizadas e informar aos interessados o retorno dos serviços.
8.2 Plano de Administração de Desastre (PAD)
O PAD é responsável por minimizar o impacto negativo gerado pelos relacionamentos entre os agentes envolvidos no cenário de invocação até a superação da crise, evitando pânico, definindo uma conduta de comportamento, expondo as informações corretas relevantes sobre a gravidade da situação e expectativas para normalização da mesma.
Sua execução se dá do seguinte modo:
- Comunicação aos agentes: Entrar em contato com as pessoas afetadas diretamente para informar o efeito da ocorrência na continuidade dos serviços, bem como a estimativa de tempo para sua normalização. Dar prioridade ao contato de autoridades e líderes de equipe.
- Comunicação aos usuários externos: Quando aplicável, entrar em contato com o pessoal externo à prefeitura sobre o efeito da ocorrência.
- Comunicação de retorno: Quando as atividades forem retomadas aos padrões mínimos operacionais, informar a todos os citados anteriormente do mesmo.
- Encerramento do PAD: Utilizar os meios de comunicação cabíveis para tornar pública a informação de retorno das operações e encerrar chamados abertos.
8.3 Plano de Recuperação de Desastre (PRD)
O PRD define métodos para retomar todo o ambiente de inoperância ao estado ótimo anterior ao cenário de invocação dentro do prazo tolerável, desde os ativos físicos até as configurações do ambiente.
Seu acionamento se dá do seguinte modo:
- Identificar ativos comprometidos: Realizar a identificação e listagem de todos os ativos que sofreram algum tipo de avaria
- Identificar acessos comprometidos: Realizar a identificação e listagem de todas as conexões e acessos que sofreram alguma interrupção, além de classificar essas interrupções como problemas internos ou externos ao ambiente. Quando se tratar de softwares de terceiros, deve-se informar a respectiva equipe de suporte competente.
- Identificar serviços descontinuados: Mapear quais foram os serviços descontinuados, incluindo informações sobre as perdas relativas a todos os componentes e configurações necessárias para a plena operação dos mesmos.
- Estipular um cronograma de recuperação: Definir por ordem de prioridade e RTO um cronograma para a recuperação das aplicações descontinuadas.
- Substituição e reconfiguração de ativos: Informar ao setor de Compras a necessidade de aquisição de ativos que não puderam ser recuperados ou imediatamente substituídos. Levar em conta o quanto a demora na aquisição irá impactar no RTO de cada serviço, e realizar métodos alternativos para retomada dos mesmos durante o processo de aquisição. Avaliar a possibilidade de acionar garantias e contratos de manutenção quando aplicável. Reconfigurar todos os ativos uma vez reparados ou substituídos.
- Testes do ambiente: Realizar testes que garantam a capacidade e disponibilidade de funcionamento dos serviços essenciais aos mesmos níveis antes do cenário de invocação.
- Recuperação do Backup: Finalizadas todas as etapas anteriores, deve-se restaurar o último backup relevante sob posse da equipe de informática em cima do ambiente totalmente readequado.
- Encerramento do PRD: Realizar um parecer informando o horário de restabelecimento de cada serviço, equipamentos adquiridos e procedimentos realizados.
