+A   -A

Início de ano, novos planos, novas metas e novos projetos. Em segurança da informação, que tal (re)começar pelo Plano de Continuidade de Negócio? Pois uma indisponibilidade da informação pode levar o negócio ao fim!

Sim, a sua organização pode sofrer um impacto financeiro, de mercado, de credibilidade ou de imagem em função de uma indisponibilidade da informação. Sem informação, sua organização fica parada. Isto é certo! Se esse impacto vai tirar sua organização do mercado, se vai causar um prejuízo tão grande que não terá condições de se recuperar, vai depender do tipo de negócio e do porte do grupo a que a organização pertence.

Organizações que dependem do mercado e que precisam a cada dia “matar um leão” para se manterem sustentáveis, têm mais clara essa necessidade da informação e de um Plano de Continuidade. Organizações que possuem um mercado fechado (como uma empresa governamental que faz um serviço único) ficam mais reticentes. Por exemplo, se você vai tirar o passaporte e o sistema da Polícia Federal fica inoperante, você vai ter de aguardar, reagendar ou algo similar. Não existe um concorrente. Porém, internamente ao governo, tal fato pode exigir que “cabeças rolem ladeira abaixo”. Outro caso são as empresas de saúde, que estão abolindo o papel. Imaginem um sistema de saúde parado!

Mas, independentemente do tipo de organização, todas precisam ter seu Plano de Continuidade, com ênfase na disponibilidade da informação.

Alguns cuidados são necessários na execução das etapas de um projeto deste tipo:
1. Entender o que é um Plano de Continuidade:
Numa organização, todos devem saber o que é um Plano de Continuidade de Negócio. Se a primeira etapa vai contemplar o escopo da disponibilidade da informação, não quer dizer que somente o pessoal de informática vai ser envolvido. A área de Informática, por sua vez, deverá operacionalizar o que a Organização necessita.

2. O que a Organização necessita?
Para responder a esta pergunta, é necessário identificar qual o tempo máximo de indisponibilidade que a Organização pode suportar. Na minha experiência como Consultor e como Security Officer, a resposta pode vir de três maneiras:
a) Pelos gestores das áreas de negócio, com a realização da Análise de Impacto no Negócio (BIA-Business Impact Analysis). O sucesso desse processo de análise dependerá de quem serão os gestores que deverão responder ao questionário. Existem escolas que defendem a realização de um BIA por processo da organização. Uma prática que eu defendo é um BIA por área ou subárea da organização. Acredito que vinte BIAs para uma Organização é um bom número.
b) Por uma obrigação legal ou contratual.
=> Se a organização tem que, por contrato ou por lei, disponibilizar a informação (serviço) em um tempo curto e rigoroso, esqueça o BIA. Não é necessário fazer. Considerando que as organizações não estão com recursos sobrando, realmente não é necessário fazê-lo.
c) Por uma determinação do acionista:
=> Se o dono da organização quer que a recuperação aconteça em um determinado e curto espaço de tempo, e esse querer é uma ordem, não é necessário fazer o BIA.
Precisamos apenas responder qual o tempo de indisponibilidade que a organização suporta.

3. Verificar as opções possíveis:
=> Sabendo o que a organização precisa de disponibilidade da informação, podemos partir para a análise das opções possíveis e viáveis para a mesma. Somente sabendo o tempo máximo de indisponibilidade que a organização suporta é que podemos analisar as opções de solução.

4. O Plano precisa ser documentado:
=> Depois de decidida a solução, o plano deve ser elaborado e documentado. Cada pessoa precisa saber o que deverá fazer caso aconteça uma indisponibilidade dos recursos de informação. Mesmo que seja “não fazer nada e ir para casa esperar ser contatado”. O documento do plano deve descrever as atividades que serão executadas e as suas prioridades.

5. O Plano precisa ser testado:
=> Um Plano de Continuidade somente ganhará o sopro da vida se for testado. Este teste precisa ser documentado e registrado, permitindo que testes seguintes possam ser melhores. Em um teste, é importante a presença de um profissional que, além de atuar como observador, baseado nos documentos produzidos pelo teste, emitirá um parecer sobre ele, indicando como o teste aconteceu, o que funcionou bem, o que falhou e o que deve ser trabalhado para evitar que problemas semelhantes se repitam em novos testes.

6. O Plano precisa ser mantido:
=> O sopro da vida no teste somente continuará se o Plano de Continuidade for mantido atualizado. Ou seja, essa manutenção sustentará o Plano de Continuidade.

7. O Plano é da Organização:
=> Todos precisam entender que o Plano de Continuidade é da Organização. Não se faz um plano para a área de TI, para a Auditoria ou para qualquer área ou pessoa. Um Plano de Continuidade é realizado porque a Organização deseja continuar operando e para tal precisa da informação. Isto é Governança!

O Plano de Continuidade da Informação de uma Organização deve existir enquanto a organização existe. Ele pode (e deve) começar com um escopo limitado, mas a cada seis meses deve ter escopo e cenário aumentados e mais complexos. Assim sendo, o executivo principal estará tratando profissionalmente a continuidade da organização.

Que este novo ano seja um (re)começo do Plano de Continuidade da sua Organização!

Edison Fontes. Professor de Segurança da Informação dos cursos de pós-graduação da FIAP e autor dos livros: Praticando a segurança da informação (Editora Brasport); Segurança da informação: o usuário faz a diferença! (Editora Saraiva); e Vivendo a Segurança da Informação (Editora Sicurezza). Atua na área de segurança da informação desde 1989.

Leia o blog do professor Edison Fontes na Information Week

Imprimir