1. Âmbito e Objetivos
1.1 Âmbito de Aplicação
Esta Política de Continuidade de Negócio (BCP) aplica-se a [NOME DA ORGANIZAÇÃO], abrangendo todas as operações críticas, sistemas de informação, processos de negócio e infraestruturas essenciais localizadas em [LOCALIZAÇÕES].
A política cobre os seguintes domínios operacionais:
- Sistemas de TI e infraestrutura tecnológica crítica
- Processos de negócio essenciais identificados na Business Impact Analysis (BIA)
- Instalações físicas e locais de trabalho alternativos
- Recursos humanos e equipas críticas
- Fornecedores e parceiros de cadeia de abastecimento críticos
- Dados e informações sensíveis ou regulamentadas
1.2 Objetivos Estratégicos
Os objetivos fundamentais desta política incluem:
- Resiliência Operacional: Garantir a continuidade de operações críticas durante e após incidentes disruptivos
- Proteção de Ativos: Salvaguardar pessoas, dados, sistemas e reputação organizacional
- Recuperação Rápida: Estabelecer objetivos de RTO (Recovery Time Objective) e RPO (Recovery Point Objective) para sistemas críticos
- Conformidade Regulamentar: Cumprir requisitos NIS2 Article 21(2)(f), ISO 22301, e orientações ENISA 2024/2025
- Gestão de Crise: Implementar estruturas de governança e comunicação eficazes durante crises
Conformidade NIS2 Article 21(2)(f)
Business continuity, backup management and disaster recovery, and crisis management
Testing and drills to verify effectiveness of continuity measures
Use of cryptography and encryption where appropriate
2. Definições e Terminologia
| Termo |
Definição |
| RTO (Recovery Time Objective) |
Tempo máximo aceitável de indisponibilidade de um sistema ou processo antes de causar impacto inaceitável ao negócio |
| RPO (Recovery Point Objective) |
Quantidade máxima aceitável de perda de dados medida em tempo (ex: perder no máximo 1 hora de transações) |
| BIA (Business Impact Analysis) |
Análise sistemática para identificar processos críticos e quantificar impactos de interrupções |
| MTD (Maximum Tolerable Downtime) |
Período máximo que um processo pode estar inativo antes de causar danos irreversíveis ao negócio |
| MTPD (Maximum Tolerable Period of Disruption) |
Tempo após o qual a viabilidade da organização seria irrevogavelmente ameaçada |
| Failover |
Processo automático ou manual de transferência de operações para sistemas de backup |
| Failback |
Retorno de operações do sistema de backup para o sistema primário após recuperação |
| Hot Site |
Local de recuperação alternativo totalmente equipado e operacional em standby permanente |
| Cold Site |
Instalação básica com infraestrutura mínima que requer configuração significativa antes de uso |
| Warm Site |
Solução intermediária com equipamento parcialmente configurado, requer algumas horas para ativação completa |
3. Governança e Estrutura de Gestão
3.1 Crisis Management Team (CMT)
A equipa de gestão de crise é responsável pela coordenação estratégica durante incidentes disruptivos. Composição:
- Crisis Manager: [NOME] - Autoridade máxima de decisão durante crise
- Technical Recovery Lead: [NOME] - Coordena recuperação de sistemas TI
- Business Continuity Coordinator: [NOME] - Gere processos de negócio alternativos
- Communications Officer: [NOME] - Gere comunicação interna e externa
- Legal/Compliance Advisor: [NOME] - Assegura conformidade regulamentar (NIS2, GDPR)
3.2 RACI Matrix - Responsabilidades
| Atividade |
Crisis Manager |
Tech Lead |
BC Coordinator |
Comms Officer |
Legal Advisor |
| Ativação do BCP |
A |
C |
R |
I |
C |
| Recuperação Sistemas TI |
A |
R |
C |
I |
I |
| Notificação CSIRT/CNCS |
A |
C |
I |
R |
C |
| Comunicação a Stakeholders |
A |
I |
C |
R |
C |
| Validação Conformidade |
I |
C |
C |
I |
R |
| Revisão Pós-Incidente |
A |
R |
R |
C |
C |
R = Responsible (Executa), A = Accountable (Aprova), C = Consulted (Consultado), I = Informed (Informado)
3.3 Autoridade e Escalamento
Níveis de autoridade durante crise:
- Nível 1 (Minor): Technical Recovery Lead pode ativar procedimentos técnicos sem aprovação executiva
- Nível 2 (Major): BC Coordinator ativa BCP completo após consulta com Crisis Manager
- Nível 3 (Critical): Crisis Manager assume controlo total, Board of Directors informado imediatamente
4. Business Impact Analysis (BIA)
4.1 Metodologia de Avaliação
A criticidade de processos e sistemas é avaliada com base em:
- Impacto Financeiro: Perda de receita, multas, custos de recuperação
- Impacto Reputacional: Danos à marca, confiança de clientes
- Impacto Regulamentar: Violações NIS2, GDPR, sanções
- Impacto Operacional: Incapacidade de entregar serviços essenciais
- Dependências: Sistemas interdependentes, fornecedores críticos
4.2 Classificação de Criticidade
| Tier |
Criticidade |
Características |
Exemplos |
| Tier 1 |
CRÍTICO |
Impacto catastrófico se indisponível >4h. Essencial para sobrevivência organizacional |
Sistemas de pagamento, transações financeiras, serviços de emergência |
| Tier 2 |
IMPORTANTE |
Impacto significativo se indisponível >24h. Afeta operações principais |
CRM, email corporativo, gestão de inventário |
| Tier 3 |
STANDARD |
Impacto moderado se indisponível >72h. Funções de suporte |
Relatórios analíticos, sistemas de arquivo, intranet |
4.3 Dependências Críticas
Mapeamento de dependências entre processos e sistemas:
- Infraestrutura TI: [Servidores, redes, datacenters]
- Aplicações: [ERP, CRM, sistemas de produção]
- Fornecedores Críticos: [Cloud providers, ISPs, fornecedores de energia]
- Recursos Humanos: [Especialistas técnicos, equipas operacionais]
- Instalações Físicas: [Escritórios, datacenters, armazéns]
5. RTO/RPO por Sistema Crítico
5.1 Tabela RTO/RPO de Sistemas Existentes
| Sistema/Processo |
Criticidade |
RTO |
RPO |
Estratégia de Backup |
| Sistema de Pagamentos Online |
Tier 1 |
< 2 horas |
< 15 minutos |
Replicação síncrona + Hot Site |
| Base de Dados de Clientes (CRM) |
Tier 1 |
< 4 horas |
< 30 minutos |
Backup incremental horário + Warm Site |
| Email Corporativo |
Tier 2 |
< 12 horas |
< 1 hora |
Cloud redundancy (Microsoft 365) |
| Sistema ERP |
Tier 1 |
< 8 horas |
< 1 hora |
Backup diferencial diário + Snapshots |
| Gestão de Inventário |
Tier 2 |
< 24 horas |
< 4 horas |
Backup completo noturno |
| Intranet/Portal Colaborativo |
Tier 3 |
< 48 horas |
< 24 horas |
Backup semanal completo |
| Sistemas de Relatórios Analíticos |
Tier 3 |
< 72 horas |
< 48 horas |
Backup mensal + Archive |
| [ADICIONAR SISTEMA] |
[TIER] |
[RTO] |
[RPO] |
[ESTRATÉGIA] |
6. Procedimentos de Disaster Recovery
6.1 Playbook: Falha Crítica de Datacenter
Cenário: Indisponibilidade total do datacenter primário (falha de energia, incêndio, desastre natural)
Fase 1: Deteção e Ativação (0-30 minutos)
- Sistema de monitorização 24/7 deteta falha e alerta equipa de plantão
- [NOME] (Technical Recovery Lead) valida severidade do incidente
- Se RTO de sistemas Tier 1 em risco, ativa protocolo de failover imediato
- Notifica Crisis Manager e BC Coordinator via [CANAL DE EMERGÊNCIA]
- Ativa War Room virtual em [PLATAFORMA]
Fase 2: Failover para Site Secundário (30 min - 2 horas)
- Executa script de failover automatizado para sistemas Tier 1:
- Redireciona DNS para datacenter secundário em [LOCALIZAÇÃO]
- Ativa instâncias standby na cloud ([AWS/Azure/GCP])
- Valida integridade de backups mais recentes (RPO check)
- Inicia recuperação manual de sistemas Tier 2 a partir de backups
- Testa conectividade e funcionalidade de sistemas críticos no site secundário
- Valida que perda de dados está dentro dos limites de RPO estabelecidos
Fase 3: Comunicação e Estabilização (2-4 horas)
- Communications Officer notifica stakeholders internos e externos:
- Colaboradores via [EMAIL/SMS/TEAMS]
- Clientes afetados via [STATUS PAGE/EMAIL]
- CSIRT/CNCS se aplicável (NIS2 notificação 24h/72h)
- Monitoriza performance de sistemas recuperados
- Documenta timeline, ações tomadas, sistemas afetados
- Crisis Manager atualiza Board of Directors
Fase 4: Operação em Modo Contingência (4 horas - semanas)
- Mantém operações em datacenter secundário até primário restaurado
- Escala sistemas conforme necessário para manter SLAs
- Reuniões diárias de status da CMT
- Planeia e executa failback quando primário estiver operacional
6.2 Playbook: Ataque Ransomware
Cenário: Deteção de ransomware a encriptar ficheiros críticos
- Contenção Imediata (0-15 min):
- Isola segmentos de rede afetados (VLAN quarantine)
- Desliga sistemas infetados para prevenir propagação
- Preserva evidências forenses (logs, memory dumps)
- Avaliação (15-60 min):
- Identifica variante de ransomware e IoCs (Indicators of Compromise)
- Determina extensão da infeção (sistemas, dados afetados)
- Verifica integridade de backups offline (tape, air-gapped)
- Recuperação (1-48 horas):
- Reconstrói sistemas a partir de imagens limpas
- Restaura dados de backups verificados como não comprometidos
- Implementa patches e hardening adicional
- Aplica regras de firewall/IDS para bloquear C2 servers
- Notificação Regulamentar:
- NIS2: Early warning a CSIRT/CNCS dentro de 24h se critérios preenchidos
- Incident notification completa dentro de 72h
- GDPR: Notificação a CNPD dentro de 72h se violação de dados pessoais
6.3 Playbook: Falha de Fornecedor Crítico
Cenário: Cloud provider ou ISP principal indisponível
- Ativa fornecedor secundário conforme acordos pré-estabelecidos
- Redireciona tráfego via BGP anycast ou DNS failover
- Contacta Account Manager do fornecedor primário para ETA de recuperação
- Se indisponibilidade > [X horas], invoca SLA penalties e considera mudança permanente
7. Operações Alternativas e Workarounds
7.1 Instalações de Recuperação
Hot Site (Tier 1 Systems)
- Localização: [ENDEREÇO DATACENTER SECUNDÁRIO]
- Capacidade: 100% dos sistemas críticos Tier 1 em standby ativo
- Tempo de Ativação: < 2 horas (maioritariamente automático)
- Custo Mensal: [€ VALOR]
- Contrato: [FORNECEDOR] - renovação anual
Warm Site (Tier 2 Systems)
- Localização: Cloud híbrido ([AWS/Azure region])
- Capacidade: Infraestrutura pré-configurada, dados replicados diariamente
- Tempo de Ativação: 4-12 horas (requer configuração manual)
- Custo Mensal: [€ VALOR] standby + pay-as-you-go quando ativo
Cold Site (Tier 3 Systems)
- Localização: [ESCRITÓRIO REGIONAL]
- Capacidade: Espaço físico, energia, conectividade básica
- Tempo de Ativação: 48-72 horas (requer instalação completa)
- Custo: Incluído em contrato de arrendamento do escritório
7.2 Trabalho Remoto em Massa
Cenário: Escritório principal inacessível (pandemia, desastre natural, falha de infraestrutura)
- VPN Capacity Scaling: Expandir de [X] para [Y] ligações simultâneas via [SOLUÇÃO VPN]
- Laptops de Emergência: Pool de [N] laptops pré-configurados em [LOCALIZAÇÃO]
- Cloud Desktops: Ativar VDI (Virtual Desktop Infrastructure) em [Azure Virtual Desktop/AWS WorkSpaces]
- Colaboração: Microsoft Teams/Zoom escalado para [X] utilizadores
- Suporte 24/7: Helpdesk externo via [FORNECEDOR]
7.3 Processos Manuais Temporários
Para sistemas Tier 2/3 com RTO > 24h, procedimentos manuais aprovados:
| Sistema Indisponível |
Workaround Manual |
Duração Máxima |
Responsável |
| Sistema de Faturação |
Excel + Email manual a clientes |
72 horas |
[EQUIPA FINANCEIRA] |
| CRM |
Google Sheets partilhada + docs impressos |
48 horas |
[EQUIPA VENDAS] |
| Sistema de Ticketing |
Email direto + lista Excel de tracking |
24 horas |
[SUPORTE TI] |
| [SISTEMA] |
[PROCEDIMENTO] |
[TEMPO] |
[RESPONSÁVEL] |
8. Testes, Simulações e Exercícios
8.1 Programa Anual de Testes BCP
Em conformidade com NIS2 Article 21(2)(f) e ENISA 2024/2025 guidance, a organização executa o seguinte programa de testes:
8.2 Critérios de Sucesso para Testes
- Tabletop Exercises: 100% da CMT participa, decisões documentadas, timeline respeitada
- DR Site Tests: RTO atingido, RPO validado, zero perda de dados críticos
- Backup Restores: Dados restaurados com integridade verificada, dentro do RPO
- Communication Tests: Todos stakeholders contactados dentro de [X minutos]
8.3 Documentação de Testes
Cada teste deve gerar:
- Data e hora de execução
- Participantes e observadores
- Cenário testado e objetivos
- Resultados (sucesso/falha de cada objetivo)
- Gaps identificados e ações corretivas
- Timeline de execução vs. RTO/RPO targets
- Lições aprendidas
9. Manutenção e Atualizações
9.1 Ciclo de Revisão
Este documento e os planos associados são revistos nas seguintes frequências:
| Componente |
Frequência |
Responsável |
Aprovador |
| Política BCP (este documento) |
Anual |
[BC Coordinator] |
[Crisis Manager] |
| Business Impact Analysis (BIA) |
Anual ou após mudanças significativas |
[BC Coordinator] |
[CFO/COO] |
| RTO/RPO Targets |
Semestral |
[Technical Lead] |
[CIO] |
| DR Playbooks |
Trimestral |
[Technical Lead] |
[BC Coordinator] |
| Contact Directory (CMT) |
Mensal |
[HR/Admin] |
[BC Coordinator] |
| Vendor Contracts Review |
Anual (3 meses antes renovação) |
[Procurement] |
[CFO] |
9.2 Triggers para Atualização Ad-Hoc
Revisão extraordinária obrigatória quando ocorrer:
- Mudança significativa na infraestrutura TI (migração cloud, novo datacenter)
- Aquisição/fusão ou venda de unidades de negócio
- Lançamento de novos produtos/serviços críticos
- Incidente real que ativou o BCP (post-incident review)
- Mudanças regulamentares (ex: atualizações NIS2, novas ENISA guidelines)
- Falha em testes BCP que revele gaps críticos
- Mudança de fornecedor crítico (ISP, cloud provider)
9.3 Controlo de Versões
Histórico de versões deste documento:
| Versão |
Data |
Autor |
Alterações Principais |
| 1.0 |
[DATA] |
[NOME] |
Versão inicial |
| 1.1 |
[DATA] |
[NOME] |
Atualização RTO/RPO após BIA 2025 |
| [VERSÃO] |
[DATA] |
[AUTOR] |
[ALTERAÇÕES] |
9.4 Distribuição e Acesso
Este documento é classificado como CONFIDENCIAL - INTERNAL USE ONLY
- Acesso Completo: Crisis Management Team, Board of Directors, Auditoria Interna
- Acesso Parcial (secções relevantes): Equipas técnicas, gestores departamentais
- Repositório: [SharePoint/Confluence/Sistema de Gestão Documental]
- Backup Offline: Cópias impressas em [LOCALIZAÇÃO SEGURA] (acessível mesmo com sistemas offline)
10. Diretório de Contactos de Emergência
10.1 Entidades Externas Críticas
| Entidade |
Tipo |
Contacto 24/7 |
Email |
| CNCS (Centro Nacional de Cibersegurança) |
Autoridade NIS2 |
+351 XXX XXX XXX |
cert@cncs.gov.pt |
| CNPD (Comissão Nacional de Proteção de Dados) |
Autoridade GDPR |
+351 XXX XXX XXX |
geral@cnpd.pt |
| [Cloud Provider - AWS] |
Fornecedor Crítico |
+1-XXX-XXX-XXXX |
aws-support@amazon.com |
| [ISP Principal] |
Fornecedor Crítico |
+351 XXX XXX XXX |
noc@isp.pt |
| [Consultoria de Cibersegurança] |
Resposta a Incidentes |
+351 XXX XXX XXX |
ir@consultoria.pt |
| [ENTIDADE] |
[TIPO] |
[TELEFONE] |
[EMAIL] |
11. Gestão de Dependências de Fornecedores
11.1 Fornecedores Críticos Identificados
Fornecedores cuja indisponibilidade impacta diretamente RTO/RPO de sistemas Tier 1/2:
| Fornecedor |
Serviço Crítico |
SLA Contratual |
Plano de Contingência |
Fornecedor Alternativo |
| AWS / Azure / GCP |
Cloud Infrastructure Hosting |
99.99% uptime |
Multi-region deployment |
Hybrid cloud (on-prem failback) |
| [ISP Principal] |
Conectividade Internet |
99.9% uptime |
ISP secundário (BGP anycast) |
[ISP Alternativo] |
| Microsoft 365 |
Email, Colaboração |
99.9% uptime |
Email relay local temporário |
Google Workspace (standby) |
| [Payment Gateway Provider] |
Processamento Pagamentos |
99.95% uptime |
Gateway secundário pré-integrado |
[Gateway Alternativo] |
| [FORNECEDOR] |
[SERVIÇO] |
[SLA] |
[CONTINGÊNCIA] |
[ALTERNATIVO] |
11.2 Cláusulas Contratuais BCP
Todos contratos com fornecedores críticos devem incluir:
- SLA Penalities: Créditos/compensação por violação de uptime garantido
- RTO Commitment: Tempo máximo de restauro de serviço em caso de falha
- Disaster Recovery: Fornecedor deve ter seu próprio BCP auditado
- Notificação: Alerta imediato (< 15 min) em caso de incidente que afete serviço
- Data Portability: Garantia de extração de dados em formatos standard se mudar de fornecedor
- Audit Rights: Direito de auditar medidas de BC/DR do fornecedor anualmente
11.3 Revisão Anual de Fornecedores
Avaliação anual de performance BCP de fornecedores críticos:
- Análise de histórico de indisponibilidade (vs. SLA)
- Validação de que fornecedor mantém certificação ISO 22301 ou equivalente
- Teste de failover para fornecedor alternativo (pelo menos uma vez por ano)
- Revisão de contact points 24/7 e procedimentos de escalamento
- Verificação de cláusulas de saída (exit clauses) e prazos de migração
12. Aprovação e Conformidade
12.1 Aprovações
| Função |
Nome |
Assinatura |
Data |
| Autor/Business Continuity Coordinator |
[NOME] |
[ASSINATURA DIGITAL] |
[DATA] |
| Crisis Manager |
[NOME] |
[ASSINATURA DIGITAL] |
[DATA] |
| Chief Information Officer (CIO) |
[NOME] |
[ASSINATURA DIGITAL] |
[DATA] |
| Chief Executive Officer (CEO) |
[NOME] |
[ASSINATURA DIGITAL] |
[DATA] |
12.2 Conformidade Regulamentar
NIS2 Directive (EU) 2022/2555 - Article 21(2)(f)
Policies on business continuity, backup management and disaster recovery - COMPLIANT
Crisis management procedures including communication plans - COMPLIANT
Testing and drills to verify effectiveness - COMPLIANT (20 testes anuais programados)
ISO 22301:2019 - Business Continuity Management Systems
Context of organization and interested parties - Secção 1
Leadership and commitment - Secção 3 (Governança)
Business impact analysis and risk assessment - Secção 4 (BIA)
Business continuity strategies - Secções 5-7 (RTO/RPO, DR, Alternative Ops)
Exercising and testing - Secção 8 (Testing Program)
Monitoring and continual improvement - Secção 9 (Maintenance)
ENISA 2024/2025 Guidelines
Minimum annual testing requirements (tabletop + full-scale DR) - COMPLIANT
Supply chain risk management for critical vendors - Secção 11
Encryption and data protection in backup systems - Referenciado em playbooks
12.3 Próxima Revisão Agendada
Data: [DATA PRÓXIMA REVISÃO - 12 meses]
Responsável: [Business Continuity Coordinator]