Seu plano de continuidade operacional é pra valer?

O desenvolvimento de ações para garantir a continuidade operacional considerando situações de desastre e contingência tem crescido nestes últimos anos em nosso país. Mas, sem tomar uma posição de pessimismo, julgo que ainda é pouco, considerando a quantidade de organizações que fazem o Brasil funcionar. Mesmo assim, muitas daquelas que desenvolvem planos, processos e procedimentos para situações de indisponibilidade dos recursos de informação falham em relação a alguns aspectos ou abordagens para a solução efetiva do problema. Podemos destacar alguns desses aspectos: 1) Somente por causa da legislaçãoO desenvolvimento de planos de continuidade começou a existir mais fortemente a partir de exigência da legislação nacional ou internacional (para aquelas organizações que possuem ações em Bolsas no exterior). Este fato não é mal, porém é necessário avaliar friamente, de preferência por profissional independente se o que está sendo implementado é um plano efetivo para continuidade operacional ou é apenas um documento para ser verificado em auditorias ou situação similar. O patrocinador desse plano dentro da organização já indica o nível de seriedade com que se deseja implementar a solução. Quanto maior o poder hierárquico desse patrocinador, maior será a concretização efetiva do plano de continuidade operacional.2) Muita economia financeiraEconomia de recursos financeiros é sempre válida, porém não se pode buscar apenas o menor preço em um elemento da solução quando todo o restante da solução tem um padrão de excelência. Faz-se uma instalação elétrica de referência internacional e no final coloca-se tomadas de terceira categoria. Pode ser que na sua organização não aconteça isto, mas acredite que isto acontece em muitas organizações. Planos de continuidade não podem falhar por causa de uma economia do departamento de compras que estava olhando apenas a árvore e não contemplava toda a floresta.3) Escopo da soluçãoNa maioria das vezes o executivo não conhece o escopo dos riscos que a solução desenvolvida para situações de contingência abrange. Neste caso o executivo está consciente da necessidade de planos para situações de indisponibilidade, aprovou o orçamento apresentado e… pensa que a sua organização está protegida para todas as situações. Na realidade a organização está protegida para um conjunto de ameaças. É de responsabilidade do profissional de segurança esclarecer formalmente que cenários e que situações são cobertos na solução implementada. Por exemplo, a organização tem dois locais distintos e distantes de processamento de informações. Esse patamar de proteção contempla a maioria de situações de desastre ou contingência, porém, não será suficiente para uma situação de sabotagem, onde os malfeitores sabem da existência dos dois locais e executarão a sabotagem nos dois locais. A questão a ser decidida é: a ameaça sabotagem deve ser considerada nesta versão do plano?4) Confiança no parceiroEvidentemente ter parceiro de renome e reconhecidamente de confiança pelo mercado é um fator que minimiza riscos. Porém, profissionalmente não podemos apenas acreditar que o parceiro tem uma solução para situações de indisponibilidade dos seus recursos. Recursos esses que afetam diretamente o funcionamento da nossa organização. Devemos verificar se possível, através de uma auditoria independente por empresa ou profissional especializado. Essa avaliação deve chegar até o ponto de fazermos testes e simulações em conjunto. Parceria exige confiança dentro de um profissionalismo saudável.5) Planos de continuidade não são caros ou baratos.Planos de continuidade não são caros ou baratos. Eles devem ser adequados ao porte e tipo de negócio da organização. Evidentemente se uma organização de grande porte, de atuação nacional com um alto nível de exigência para recuperação desenvolver e implementar um plano cujo custo é de milhares de dólares, algo está errado. Este é um plano para milhões de dólares. Mas isto não quer dizer que pequenas empresas ou mesmo nós como pessoa física não podemos ter o nosso plano para enfrentar situações de contingência. Tenho absoluta convicção de que todas as organizações e todas as pessoas que possuem computadores têm recursos para implementar um plano de continuidade operacional adequado às suas necessidades. 6) Plano para situações de contingência faz parte do processo de segurança da informação.Não se deve deixar de considerar que o plano para situações de contingência é um aspecto do processo de segurança. Sendo assim existem outros elementos do processo de segurança da informação que são tão importantes quanto o plano para continuidade operacional. Esses elementos são elos que constroem a corrente da segurança. Se um elo falhar, a corrente rompe e compromete toda a proteção da informação. Controle de acesso à informação e conscientização dos usuários são dois exemplos de elementos críticos para a proteção da informação.7) Devemos buscar o erro zero.Exagero? Não! Podemos nos espelhar em um exemplo de segurança física, citado no excelente livro Black Box de Gianfranco Beting, lançado neste mês de março em São Paulo, a quem tive o prazer de conhecer: ?A Air BP, uma empresa que distribui e comercializa combustível e lubrificante para o setor aeronáutico tem um único compromisso: nenhum acidente, nenhum dano às pessoas, nenhum dano ao meio ambiente.? O enfoque do livro é para a aviação, mas o aprendizado é para todas as áreas. A dependência que as organizações possuem dos recursos de informação já exigem programas sem erros e processos para garantir a continuidade operacional da organização quando de situações de contingência.8) O teste é para todosÉ fundamental a participação da área executiva nas atividades de teste para que todas as pessoas da organização entendam que as regras e os procedimentos foram criados para todos os usuários dos sistemas de informação. A quantidade de testes e a documentação do teste permitindo que o próximo teste seja melhor do que o atual é uma boa dica de que a organização busca a continuidade operacional quando da ocorrência de situação de contingência ou desastre.Não devemos ficar neuróticos e amedrontados pelas situações de contingência que podem acontecer, porém, profissionalmente devemos analisar todas as ameaças, desenvolver ações que minimizem o risco dessas ameaças e explicitar para o executivo qual o escopo e cenário de contingência para os quais a organização está preparada. Não é uma tarefa fácil além de ser um longo caminho a percorrer. Mas, como em situações desse tipo o mais importante é começar, progredir sempre e ter a visão holística da prática da segurança da informação.