Implementar processo de gestão de continuidade de negócio no âmbito do CJF visando minimizar danos e agilizar o restabelecimento da condição de normalidade em caso de ocorrência de eventos de grande impacto financeiro, operacional ou de reputação.

Dentre os objetivos estratégicos monitorados pelo Plano Estratégico do Conselho da Justiça Federal existe o intitulado Promover a melhoria da governança do CJF que busca aperfeiçoar o conjunto de mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a gestão, garantindo uma atuação organizacional eficiente e é medido pelo índice de governança institucional e de TIC do CJF. Dentre as perguntas do índice de governança há a que questiona se “a organização executa processo de gestão de continuidade do negócio” e ainda detalha: a) há política institucional de gestão de continuidade do negócio (PGCN) aprovada pela alta administração; b) o processo de gestão de continuidade do negócio está formalizado (a organização instituiu norma interna, guia ou instrumento similar com orientações quanto à execução do processo e definição de responsabilidades); c) há plano de continuidade do negócio (PCN) aprovado pela alta administração; d) as ações e os prazos definidos no PCN fundamentam-se em análises de impacto no negócio (Business Impact Analysis – BIA) realizadas sobre os processos organizacionais críticos; e) o PCN é testado e revisado periodicamente. Outra questão do questionário relacionada ao assunto é “a organização executa processo de gestão de continuidade de serviços de tecnologia da informação” e traz o seguinte detalhamento: a) a organização elabora um plano de continuidade de serviços de TI; b) as ações e os prazos definidos no plano de continuidade de serviços de TI fundamentam-se em análises de impacto no negócio realizadas sobre os processos organizacionais críticos; c) o plano de continuidade de serviços de TI é testado e revisado periodicamente; d) o processo de gestão de continuidade de serviços de TI integra o processo institucional de gestão de continuidade do negócio; e) o processo de gestão de continuidade de serviços de TI está formalizado (a organização instituiu norma interna, guia ou instrumento similar com orientações quanto à execução do processo e definição de responsabilidades); f) a organização avalia periodicamente o desempenho e a conformidade do processo de gestão de continuidade de serviços de TI e promove eventuais ajustes necessários. Tal necessidade também é regulamentada pela Norma Complementar nº 06/IN01/DSIC/GSIPR que estabelece diretrizes para Gestão de Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal, direta e indireta e, decorrente dela a Portaria CNJ 162/2021 regulamentou a necessidade de criar planos de gerenciamento de crise (PGC) para os seguintes cenários: 1. ficar caracterizado grave dano material ou de imagem; 2. restar evidente que as ações de resposta ao incidente cibernético provavelmente persistirão por longo período, podendo se estender por dias, semanas ou meses; 3. o incidente impactar a atividade finalística ou o serviço crítico mantido pela organização; ou 4. o incidente atrair grande atenção da mídia e da população em geral. Desta forma, considera-se premente a elaboração do Plano de Continuidade de Negócios (PCN) para o CJF de incidentes que causem interrupção, emergências ou crises resultem no mínimo de impacto financeiro, operacionais e de reputação para a instituição . Para isso serão construídos modelos para coordenar pessoas, desenvolver recursos e aperfeiçoar processos, visando minimizar danos e agilizar o restabelecimento da condição de normalidade.

Entende-se que o projeto tratará de implementar a metodologia para gestão de continuidade do negócio no CJF, com a entrega de 5 artefatos: Plano de Emergência (PE), Planos de Gestão de Crises (PGC) Planos de Continuidade Operacional (PCO), Planos de Recuperação de Desastres (PRD) e Planos de Comunicação (PCOM). Desta forma, o projeto terá as seguintes etapas: a. Elaboração de política de gestão de continuidade de negócio (PGCN): aprovada pela Alta Administração, contendo as diretrizes para manutenção dos processos de trabalho, as responsabilidades sobre a continuidade, prazo de revisão dos documentos e os impactos a serem medidos na análise de impacto de negócio. b. Consolidação dos Planos de emergência (PE): com foco na segurança patrimonial e das pessoas. c. Elaboração de Planos de Gestão de Crise (PCG), para os cenários identificados na Portaria CNJ 162/2021, quais sejam: ficar caracterizado grave dano material ou de imagem; restar evidente que as ações de resposta ao incidente cibernético provavelmente persistirão por longo período, podendo se estender por dias, semanas ou meses; o incidente impactar a atividade finalística ou o serviço crítico mantido pela organização; ou o incidente atrair grande atenção da mídia e da população em geral. Para cada PCG haverá um Plano de Comunicação (PCOM) vinculado. d. Elaboração de Planos de Recuperação de Desastres (PRD) e. Elaboração de Plano de Continuidade Operacional (PCO): baseado no relatório final do projeto “Definição de ocupações críticas na Justiça Federal” será elaborado para as atividades críticas relacionadas (processo sei 0003473-75.2021.9.8000). f. Elaboração de Plano de Continuidade de Negócio (PCN) para o processo contendo: Plano de Emergência (PE), Planos de gestão de crises (PGC), Planos de comunicação (PCOM), Planos de Recuperação de desastres (PRD).

Não está incluído no projeto a implementação dos controles definidos após elaboração do PCN. Outrossim, o insumo para elaboração do PCO é provido pela entrega do projeto Definição de ocupações críticas na Justiça Federal

Promover a melhoria da governança no CJF