1. Home >
  2. Colunas >

Que tal (re)começar evitando o fim?

Author Photo
9:51 am - 14 de agosto de 2013

Inicio de ano, novos planos, novas metas e novos projetos. Em segurança da informação, que tal (re)começar pelo Plano de Continuidade de Negócio? Porque uma indisponibilidade da informação pode levar o negócio ao fim!

Sim, a sua organização pode sofrer um impacto financeiro, de mercado, de credibilidade ou de imagem em função de uma indisponibilidade da informação. Sem informação sua organização fica parada! Isto é certo! Se este impacto vai tirar sua organização do mercado, se vai causar um prejuízo tão grande que não terá condições de se recuperar, vai depender do tipo de negócio e do porte do grupo que esta organização pertence. 

Organizações que dependem do mercado e que precisam a cada dia ?matar um leão? para se manter sustentável têm mais claro esta necessidade da informação e de um Plano de Continuidade. Organizações que possuem um mercado fechado (tipo uma empresa governamental que faz um serviço único) ficam mais reticente. Por exemplo, se você vai tirar o passaporte e o sistema da Polícia Federal fica inoperante, você vai ter que aguardar, reagendar ou similar. Não existe um concorrente. Porém, internamente ao Governo, um fato deste tipo pode exigir que cabeças rolem ladeira abaixo. As empresas de saúde estão abolindo o papel. Imaginem um sistema de saúde parado!

Mas, independente do tipo de organização todas precisam ter seu Plano de Continuidade, com ênfase à disponibilidade da informação.

Para ter um bom Plano de Continuidade de Negócio, com ênfase na disponibilidade da informação, alguns cuidados devem ser tomados na execução das etapas de um projeto deste tipo.

1. Entender o que é um Plano de Continuidade

=> Todos na organização devem saber o que é um Plano de Continuidade de Negócio. Se a primeira etapa vai contemplar o escopo da disponibilidade da informação, não quer dizer que somente o pessoal de informática vai ser envolvido. A Área de Informática deverá operacionalizar o que a Organização necessita.

2. O que a Organização necessita?

=> Para responder esta pergunta é necessário identificar qual o tempo máximo de indisponibilidade que a Organização pode suportar. Na minha experiência como Consultor e como Security Officer, esta resposta pode vir de três maneiras:

a) Pelos gestores das áreas de negócio, com a realização da Analise de Impacto no Negócio. (BIA-Business Impact Analysis). O sucesso deste processo de análise é quais serão os gestores que deverão responder a este questionário. Existem escolas que defendem a realização de um BIA por processo da organização. Outra escola, que eu defendo e coloquei na prática, é um BIA por cada área ou sub área da organização. Acredito que vinte BIAs para uma Organização será um bom número.

b) Por uma obrigação legal ou contratual.

=> Se a organização tem por contrato ou por lei, de disponibilizar a informação (serviço) em um tempo curo e rigoroso, esqueça o BIA. Não é necessário fazer. Considerando que as organizações não estão com recursos sobrando, realmente não é necessário fazer o BIA.

c) Por uma determinação do acionista.

=> Se o dono da organização quer que a recuperação aconteça em um determinado espaço curo de tempo, e esse quere dele é uma ordem, não é necessário fazer o BIA.

Precisamos apenas responder qual o tempo de indisponibilidade que a organização suporta.

3. Verificar as opções possíveis

=> Sabendo o que a organização precisa de disponibilidade da informação, podemos partir para analisar as opções possíveis e viáveis para a organização. Somente sabendo o tempo máximo de indisponibilidade que a organização suporta é que podemos analisar as opções de solução.

4. O Plano precisa ser documentado

=> Depois de decidida a solução, devemos escrever o plano. O documento do plano. Cada pessoa precisa saber o que deverá fazer caso aconteça uma indisponibilidade dos recursos de informação. Mesmo que seja ?não fazer nada e ir para casa esperar ser contatado.? O documento do plano deve descrever as atividades que serão executadas e as suas prioridades.

5. O Plano precisa ser testado

=> Um Plano de Continuidade somente ganhará o sopro da vida se for testado. Este teste precisa ser documentado e registrado, permitindo que testes seguintes possam ser melhores. É importante em um teste a presença de um profissional que vai atuar como observador e vai, baseado nos documentos produzidos pelo teste, emitir um parecer sobre o teste, indicando como o teste aconteceu, o que funcionou bem, o que falhou  e o que deve ser trabalhado para evitar que problemas semelhantes se repitam em novos testes.

6. O Plano precisa ser mantido

=> O sopro da vida no teste somente continuará se o Plano de Continuidade for mantido atualizado. Esta manutenção dará a sustentabilidade do Plano de Continuidade.

7. O Plano é da Organização

=> Todos precisam entender que o Plano de Continuidade é da Organização. Não se faz um plano para a Área de TI, para a Auditoria ou para qualquer área ou pessoa. Se faz um Plano de Continuidade porque a Organização deseja continuar operando e para tal precisa da informação. Isto é Governança!

O Plano de Continuidade da Informação de uma Organização deve existir enquanto a organização existe. Ele pode (e deve) começar com um escopo limitado, mas a cada seis meses deve ter seu escopo e cenário aumentados e mais complexos. Desta maneira o executivo principal estará tratando profissionalmente a continuidade da organização.

Que este novo ano seja um (re)começo do Plano de Continuidade da sua Organização.

Edison Fontes, CISM, CISA, CRISC, MSc

Núcleo Consultoria em Segurança

[email protected]

Notícias relacionadas

Negócios
Gao Kexin é novo CEO da Huawei Brasil
Notícias
Phi-3 Mini: Microsoft introduz o menor modelo de IA até o momento
Notícias
Falta uma semana para o IT Forum Trancoso 2024
Notícias
Blanca Treviño, CEO da Softtek: “O Brasil foi como um mestrado para mim”
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.