Plano de Resposta a Incidentes Críticos de Negócio entre IFs
Este guia tem como objetivo informar as diretrizes para garantir a tratativa de incidentes crítico de negócio1 envolvendo Instituições Financeiras, de forma rápida e eficaz, preservando a confidencialidade e a integridade das informações compartilhadas.
1Incidente crítico de negócio é uma grave ocorrência, envolvendo duas ou mais entidades (bilateral ou multilateral), que resulta em impactos significativos às Instituições Financeiras envolvidas.
Condutas, métodos e processo aplicados:
1 - Identificação do Incidente
Os critérios para acionamento de incidentes críticos relacionados ao negócio incluem conforme árvore de decisão de criticidade:
1.Perda financeira significativa
2.Interrupção na prestação de serviços
3.Impacto na reputação e na confiança do cliente
2 - Registro e Reporte do Incidente
Ao identificar um incidente crítico de negócio, a IF deverá registrar a ocorrência na ferramenta Service Desk e, em seguida, reportar o incidente à DTO por contato telefônico (Lista de Sobreaviso) e por e-mail tecnologia@openfinancebrasil.org.br, informando o número do incidente atribuído pela ferramenta. Esta ação preferencialmente deverá ocorrer nos primeiros minutos após a identificação do incidente.
3 - Análise e Comunicação
O responsável da DTO avaliará tecnicamente o incidente e decidirá por seguir a tratativa via estrutura de suporte DTO ou por mobilizar os líderes técnicos de acordo com a matriz de escalonamento das IFs para a abertura de uma Sala de Crise.
4 - Tratativa do Incidente Crítico
O responsável da DTO abrirá a sala de crise utilizando o canal privado da ferramenta Microsoft Teams para conduzir e comunicar-se entre os envolvidos. Ele manterá o engajamento dos participantes e acompanhará todos os passos até a resolução do incidente.
As medidas da sala de crise serão documentadas no Relatório da Sala de Crise, que será mantido na DTO para análise posterior e compartilhado às IFs envolvidas, caso solicitado.
5 - Conclusão
Após a conclusão do incidente crítico, o responsável da DTO desmobilizará a sala de crise, finalizará a documentação e realizará a análise da causa raiz e post-mortem para implementar medidas preventivas junto aos responsáveis.
Este é destinado a Instituições Financeiras, Grupos Técnicos (GTs) e Diretoria de Tecnologia e Operação (DTO).