Indisponibilidade: a ameaça de parar o negócio!

Toda organização, independente do seu porte e tipo de negócio, sofre várias ameaças. Porém a indisponibilidade dos recursos de informação é uma ameaça que tem o potencial de causar um grande impacto no negócio (financeiro ou de imagem) e também de comprometer a continuidade da organização no mercado onde atua. Informação é um bem necessário para a realização do negócio. Recursos de informação são elementos que armazenam, processam e transmitem a informação.  Eles podem ser equipamentos de tecnologia, a mente das pessoas ou os elementos convencionais como papel e similar. Cuidar da continuidade do negócio ao longo do tempo exige garantir a disponibilidade da informação para a realização desse negócio e é uma responsabilidade da direção executiva. Negligência é uma atitude inaceitável do ponto de vista profissional e jurídico. Sendo assim, a organização precisa estar preparada para enfrentar situações não previstas que atingem seus recursos de informação. Mas o que deve ser feito para que se tenha a proteção adequada da informação e garanta a continuidade do negócio mesmo em situações de contingência e desastre? Sugerimos algumas ações: a) Entenda a responsabilidade pela continuidade do negócio. Inicialmente é necessário entender que essa é uma questão de negócio e por isso a maioria dos executivos e gerentes serão envolvidos para a definição da estratégia a ser adotada. Apesar do ambiente de tecnologia ser um elemento importante e armazenar/processar grande parte das informações, o que se quer é a continuidade do negócio, que exige muito mais do que os computadores. b) Implemente medidas preventivas.                                                  Tenha sempre em mente que a implementação de medidas preventivas evitam (ou minimizam) situações de indisponibilidade e são de menor custo. Identifique, desenvolva e implemente medidas de prevenção contra desastres e situações de indisponibilidade dos recursos de informação. c) Analise o impacto no negócio quando de uma situação de contingência.                                                                                         A organização precisa saber quanto tempo suporta sem puder utilizar os recursos de informação para realizar o seu negócio, antes que o impacto financeiro ou de imagem levem a mesma para uma situação de caos que pode chegar à falência ou a perdas irrecuperáveis que vão deixá-la de fora do mercado. Identificar esse impacto exige um levantamento junto a cada área de negócio, pois essas áreas são as responsáveis e conhecem as necessidades e os possíveis impactos financeiros/imagem. Muitas vezes esse levantamento precisa ser feito por consultores externos, pois o levantamento interno possui limitações. d) Desenvolva um plano de continuidade de negócio.                     Após a identificação do tempo máximo de indisponibilidade é necessário o desenvolvimento do plano de continuidade de negócio. Ele vai possibilitar que quando de situações de contingência que causem indisponibilidade de recursos de informação, já existam definidas opções de processamento e funcionamento alternativo para esses recursos. Isso significa equipamentos de tecnologia, espaço para as pessoas trabalharem, recursos convencionais, meios de comunicação com os clientes, comunicação com público em geral, interação com os órgãos reguladores, comunicação com a sede da companhia no exterior (quando aplicável) e o relacionamento com todos os funcionários. e) Teste e mantenha o plano atualizado.                                           Papel aceita qualquer procedimento. É necessário que o plano seja testado periodicamente e as correções/adaptações necessárias sejam feitas. Também é necessário um plano de manutenção, caso contrário a organização terá um belo manual, mas que não será efetivo nas situações de indisponibilidade. f) Conscientize e treine as pessoas.                                                   Quando da elaboração da estratégia do plano, normalmente as gerencias e diretorias executivas são envolvidas. Mas, para o funcionamento do plano todos os funcionários e prestadores de serviço precisam tomar conhecimento do mesmo e precisam ser treinados nas atividades que cada um vai executar. Mesmo que a tarefa seja não fazer nada e ficar em casa. Mas, cada pessoa precisa saber o que vai fazer. A conscientização e o treinamento valem para todos inclusive o presidente e demais executivos. Ninguém pode ser excluído. Evidentemente deve ser considerado o papel que cada pessoa desempenha na operacionalização do plano. Quando falamos de desastres ou de situações de exceção muitas vezes nos vêm a pergunta ?Mas, qual a probabilidade disso acontecer conosco? Essa organização funciona há muitos anos e nunca aconteceu situação desse tipo!? Entendo essa observação, mas a pergunta correta a ser feita é: ? E se isso acontecer?? Se a informação ficar indisponível como a organização executará o seu negócio? Alguns segmentos como as instituições financeiras possuem órgãos reguladores que exigem planos de continuidade. Mas, independente das exigências legais o executivo e a direção da organização devem estar cientes que situações de contingência que gerem indisponibilidade de recursos de informação acarretam impactos financeiros e de imagem que podem comprometer a continuidade da organização. Além do que, caso não exista um plano de continuidade, os gestores podem ser acusados de negligentes conforme exige o artigo 1011 do Código Civil que indica que ?o administrador deverá ter, no exercício de suas funções, o cuidado e a diligencia que todo homem ativo e probo costuma empregar na administração de seus próprios negócios.? Já existe a norma brasileira (NBR ISO/IEC 27002:2005), alinhada com normas internacionais, que define os requisitos básicos que uma organização deve ter para proteger de maneira adequada a informação necessária para o seu negócio. Um  dos seus capítulos trata da disponibilidade dos recursos de informação. Não precisamos ficar neuróticos pensando que todos os desastres vão acontecer na empresa que trabalhamos. Mas, precisamos tratar esse assunto de maneira profissional. A propósito, o que acontecerá na sua organização se acontecer uma situação de desastre? É melhor pensar antes e se preparar, do que pensar depois que o negócio parar! Edison Fontes, CISM, CISA.                                                                Gerente Sênior CPM Braxis, Participa ABSEG, ISACA e InfoSecCouncil. [email protected]