Requisitos para Planos de Contingência
Quando uma organização precisar desenvolver um plano de contingencia precisa atentar para algumas características desse tipo de projeto. Já ouvi muitas afirmações tipo: ?Edison, a empresa precisa fazer um plano de contingencia. Quanto custa? Ah! É para ontem!?
Sinceramente? Declino este tipo de projeto. A organização que quer algo para ontem, sofre de um problema crônico: não sabe planejar. E isto não é um problema de segurança. É um problema de gestão organizacional.
Mas, aquela organização que realmente, profissionalmente deseja construir, implantar e manter um processo que busque garantir a continuidade das operações do negócio mesmo em situações de contingência, precisa considerar:
a) O que realmente a organização precisa?
Já participei de muitas reuniões onde a organização não sabia exatamente o que precisa. Este fato não é problema. O problema é a organização não reconhecer que ainda não tem bem definido o que precisa e ter a humildade de buscar a resposta. Às vezes a organização tem esta humildade, mas o profissional que está à frente do projeto, não!
b) Precisa mesmo fazer o BIA (Business Impact Analysis)?
O objetivo principal do BIA é identificar quel o tempo maximo de indisponibilidade de recursos que a organização suporta ou precisa suportar. Algumas vezes a organização precisa cumprir reuqisitos legais ou contratuais onde este tempo é especificado. Se existe este tempo, talvez não seja necessário fazer o BIA. Verifique o seu caso.
c) A estratégia para TI já está definida?
Nos recentes anos, tornou-se mais fácil a implantação de boas soluções técnicas para situações de contingencia. Conheço uma organização de médio porte em que a direção já definiu que todos os equipamentos estruturais de TI são comprados em duplicidade para que possa existir uma solução alternativa de rápida resposta. Neste caso a estratégia já foi definida. Aparentemente a organização precisa definir e documentar o plano de ações para a situação de contingencia.
d) Qual o cenario considerado?
Na inocência empresarial, muitas organizações desejam ter um plano para todas as situações e para toda a organização. Isto, deve ser uma meta. Convém que a organização, principalmente aquela que não possui nenhum plano de continuidade de negócio, comece pelo começo e pelas situações mais comuns.
e) Plano de Contingência, DRP ou Plano de Continuidade de Negócio?
Já faz algum tempo que fujo desses rótulos e chavões. Toda ação de segurança da informação deve ser feita para o negócio. A segurança da informação não existe por si só. Ela existe para possibilitar o negócio da organização. Desta maneir, entendo que todo plano realizado será para a continuidade do negócio. Por limitação, poderá contemplar apenas os recursos de tecnologia da informação. Defina claramente o escopo que será considerado e pode chamar de Plano de Continuidade de Do Negócio.
Mais um lembrete: este processo começa e não tem fim. A cada revisão ele deve ser melhorado e deve ter sua complexidade aumentada.
Edison Fontes, CISM, CISA
Núcleo Consultoria em Segurança
[email protected]