Sua TI está preparada para continuar as operações do negócio em caso de desastre ou interrupções?

Os temas da onda são: cloud computing, redes sociais, mobilidade e big data, porém tem um assunto que me preocupa e desperta para discussão. Quando cito isso é porque já andei sondando os comportamentos e preocupações dos executivos de TI sobre o assunto.


Falo de PCN (Plano de Continuidade de Negócios), incluindo o DRP (Disaster Recovery Plan). O PCN, quando aplicado de forma correta, vai – e deve ir – além da TI, uma vez que outros ativos e processos não suportados por TI podem igualmente paralisar operações. Eu particularmente vou ficar somente no PCN com as operações de TI para este Post.


Também sei que muitas operações, por força de exigências de regulamentações como a Lei Sarbanes-Oxley, Bacen 3380, ISO 27000 possuem seus planos devidamente implementados e testados, ou alguns casos devido à exigências de acionistas. Porém, me surpreende ainda o grande número de organizações com faturamentos expressivos, que não possuem seus Planos devidamente implementados e testados regularmente.


Eu vivi uma fase onde, a cada auditoria, era uma correria danada para apresentar o PCN aos auditores. Era sempre uma tentativa de passar limpo pela auditoria, como costumávamos dizer, às vezes aceito pelos auditores e outras não, e quando não aceito o ponto de auditoria ficava lá no relatório final.


Pode-se até escrever com “certa categoria” um bom Plano de Continuidade de Negócios, porém, se não existirem as tais evidências de testes reais com as paradas dos sistemas críticos envolvidos e sequências por sistemas alternativos, é uma mentira, um plano incompleto!


Neste ponto eu pergunto: Você gestor de TI tem um Plano de Continuidade de Negócios devidamente elaborado? Revisado pelo menos uma vez ao ano? Testado com a parada total dos sistemas que suportam os processos críticos de negócio pelo menos duas vezes ao ano e por algumas horas? Sendo que as operações críticas nos testes não sofrem impactos de continuidade operacional e são operadas pelos próprios usuários sem auxílio da TI? E a sua organização não sofre prejuízos financeiros ou de imagem nestes testes?


Entende-se por processo crítico de negócio, todo processo (manual ou automatizado) que, se não executado resulte em:


- Significante perda de ativos ou receitas financeiras;

- Impossibilidade de atender às solicitações dos clientes;

- Impossibilidade de fabricação de produtos;

- Impossibilidade de proteger os interesses dos acionistas.


Se dos questionamentos acima, alguma parte foi respondida de forma negativa, me desculpe, você não tem um Plano de Continuidade de Negócios 100% confiável. Então é hora de pensar ou repensar o assunto.


Sei também que PCN não dá muita visibilidade dentro da organização e, invariavelmente, tem investimento difícil de ser justificado. Faço analogia com Seguro, onde se paga para esperar o pior e só neste caso pode ser usado. Efetivamente não dá para fazer festa com isso nem soltar rojões. Porém, não pode de forma alguma ser relegado, não existir. Os prejuízos serão enormes se catástrofes ou acidentes acontecerem. Pense que, ao contrário do dito popular, um raio pode sim cair duas vezes no mesmo lugar.


É preciso fazer a Análise de Risco e mensurar seus impactos de forma clara e objetiva, só assim um PCN vai ter sucesso e será aceito e aprovado pelo Board da organização. Um executivo do alto escalão tem arrepio quando o negócio que ele dirige tem riscos que não são adequadamente tratados. Isso realmente lhe tira o sono.


Análise de Risco (Risk Analysis)

O trabalho inicia-se então pela Análise de Riscos, indicando as vulnerabilidades encontradas. Exemplos a seguir:


Conceito: Análise física de riscos é o estudo do ambiente que relaciona ativos de uma empresa aos riscos que poderiam causar impacto em tais ativos. Para proteger os ativos contra os riscos, são implementados controles. Uma ameaça pode comprometer um ativo, se não existirem controles ou se estes não funcionarem de maneira eficaz. Isto é chamado de vulnerabilidade, e a ameaça impactando o ativo é um evento.


A etapa da Análise de Riscos tem como principal objetivo a proteção dos processos críticos de negócio e salvaguarda dos ativos da companhia, um elemento importante na prevenção de desastres, incluindo também a identificação de controles e práticas operacionais que venham a minimizar o risco potencial de desastres.


Os objetivos principais desta fase são:


- Detectar os riscos/vulnerabilidades existentes nas instalações;

- Identificação das ameaças e as medidas de redução de riscos existentes;

- Qualificação dos riscos encontrados.


Análise de Impacto

A partir da conclusão da Análise de Risco, inicia-se a elaboração da Análise de Impacto, onde serão calculados os prejuízos decorrentes caso um acidente venha a acontecer. Para isso é preciso estipular um cenário fictício de desastre com o propósito de sensibilizar o entrevistado no levantamento das informações. Exemplo a seguir:


Cenário Hipotético: tempo de paralização total da TI 15 dias corridos necessários para a reconstrução daquilo que foi destruído.


Obs.: Todo detalhamento da reconstrução deve ser tratada no DRP (Disaster Recovery Plan).Um desastre teria ocorrido com as instalações da Organização por longo período de tempo, causando as seguintes consequências:


- Ocorreu um acidente que tornou a TI totalmente indisponível por pelo menos 15 dias;

- Toda documentação e equipamentos localizados em nas áreas fora da TI continuam disponíveis, porém, sem nenhum acesso aos aplicativos e sistemas corporativos da Organização;

- O fornecimento de serviços públicos (água, luz, telefone, etc.) encontra-se disponível;

- Nem todas as instalações se encontram indisponíveis – somente a área de TI;

- Serviços vitais providos por outras áreas igualmente estão disponíveis e operacionais;

- Todas as informações fornecidas pelos entrevistados (os entrevistados serão os “donos dos processos”) devem ser assumidas como corretas, já que eles são profundos conhecedores dos processos críticos, ou seja, se o entrevistado assumir que existe qualquer contingência para sequência de suas atividades sem prejuízos ao negócio durante a ausência dos sistemas principais, esta informação será validada para efeito da análise;


A análise deve ser feita com base nos dados provenientes das várias áreas e/ou processos de negócio, dependendo de como a empresa é organizada (se por hierarquia, se por processo, se por modelo celular, etc) com o objetivo de determinar:


- A Perda financeira causada pela indisponibilidade da Tecnologia da Informação por processo de negócio;

- Requerimentos de recuperação por processos de negócios (retrabalho, contratações adicionais, etc.);

- Processos críticos de negócio por prioridade de recuperação;

- Sistemas aplicativos críticos por prioridade de recuperação.


A partir da fase anterior, e com base nas entrevistas com os “Donos” dos processos, determina-se a criticidade da continuidade do negócio, e é possível elaborar uma análise “quase” precisa de perdas e impactos financeiros e, ainda, estimar a perda intangível envolvida pela ausência de TI de acordo com o cenário usado. Exemplo abaixo:

O impacto financeiro global é a consolidação das perdas financeiras que a Organização sofreria em caso de uma indisponibilidade total do suporte da TI.


- Perda Financeira: é mensurada de imediato, exemplo: deixou de vender, deixou de produzir;

- Impacto Financeiro: existe a possibilidade de perder dinheiro, exemplo: pode não receber uma duplicata e, consequentemente, não pagar um fornecedor, não aplicar o valor, e assim por diante;

- Perda Intangível: problema com a imagem, com a comunidade, perda de clientes etc;


A partir da conscientização e da visualização clara e objetiva de que um PCN deve ser implementado, duas importantes fases ainda existirão pela frente na vida do executivo de TI:


A Estratégia de Solução

A estratégia de solução, resumidamente, deve contemplar os processos críticos que serão cobertos de forma eficiente e sem ajuda de profissionais de TI pelo período necessário à reconstrução daquilo que foi destruído. Existe um projeto especifico para esta fase, onde o investimento e custos operacionais necessários serão minuciosamente detalhados.

Fases Principais:


- Análise dos requisitos e alternativas possíveis

- Definição do Site Alternativo e equipamentos de contingência (próprios ou de terceiros)

- Se próprios, as aquisições dos Equipamentos de Contingência

- Detalhamento das informações operacionais envolvidas (quem faz, como faz, onde faz etc.)


O Teste para validar o que foi implementado

Esta fase é um grande e importante desafio, é onde o aprendizado sobre o que não foi pensado acontece. O teste deve acontecer em um dia qualquer não conhecido da comunidade usuária dos sistemas, preferencialmente nem mesmo os profissionais de TI devem saber, somente o Gerente do PCN é quem saberá.


As fases de um Teste de PCN:


- Anúncio à empresa em geral

- A parada total dos sistemas críticos ou não (lembrando que o objetivo é testar aquilo que é crítico e causa impacto e ou prejuízos à organização). Neste sentido não dá para segregar, funcionar alguma coisa e não funcionar outra, eu sou partidário da parada total.

- A operação por contingência sem auxílio da TIA volta dos sistemas

- A Emissão do relatório do teste para efeito de auditoria e possíveis correções


Eu aconselho a aproveitar a parada total e distribuir os profissionais de TI nos processos não críticos, aqueles que desde o início não estão contemplados pelo PCN. Tem como objetivo coletar importantes informações de como os donos dos processos de comportaram sem os sistemas corporativos. Neste tipo de atividade, acabamos descobrindo que processos que julgavam possível a continuidade sem prejuízos estavam errados, pois negócios foram perdidos pela ausência de um simples cadastro de contatos. Isto leva à evolução do PCN.


*Artigo de José Padilha para o portal CRN Brasil.

*Crédito da imagem: Wix.


#armazenamento #backup #contingência #continuidadedenegócios #custos #estratégias #gestão #governança #infraestrutura #metodologias #proteger #riscos #rpo #rto #segurançadainformação

Posts em destaque
Posts recentes
Pesquisa por tags
Nenhum tag.
Compartilhe
  • Facebook Classic
  • Twitter Classic
  • LinkedIn App Icon

+ 55 41 3512-5825

  • c-facebook
  • c-twitter
  • c-linkedin