Cinco passos para elaborar Plano de Contingencia!
Sempre que acontece um desastre de grandes proporções ou uma situação específica que atinge um grande número de usuários e empresas que nunca pensaram seriamente em contingência, o assunto da existência de plano para essas situações vêm à tona com mais intensidade.Como desastre de grandes proporções tivemos a queda da aeronave AirBus da AirFrance que fazia o Vôo 477, Rio de janeiro/Paris, que caiu no Oceano Atlântico matando todas as 228 pessoas que estavam á bordo. Como situação que afeta um grupo de usuários e empresas, temos a repetição da pane de telefones e de serviços de Internet da Telefônica em São Paulo.Evidentemente este assunto de desastres e contingências deveria ser parte normal de uma gestão de riscos continua que toda organização independente do seu porte deveria ter. Mas, normalmente precisamos ser lembrados por situações desagradáveis para pensarmos na nossa organização ou mesmo no nosso trabalho individual.Queremos nos concentrar no que sua empresa deve desenvolver para minimizar os efeitos de uma situação de contingência que afete a mesma.Seguem algumas orientações práticas.1. Todas as empresas podem ter planos de continuidade de negócioIndependente do porte e tipo de negócio, todas as organizações possuem capacidade e recursos para terem planos de continuidade do seu negócio. Evidentemente o plano de uma grande empresa vai diferenciar do plano de uma pequena empresa na questão de complexidade e tamanho. Afirmo categoricamente: quem não tem procedimentos de continuidade, não tem porque não quer ou porque não está devidamente lembrado/conscientizado. Por exemplo: você como pessoa física, tem feito cópias de segurança dos seus arquivos pessoais?2. Etapas de um plano de continuidade2.1 ? Análise de risco do ambiente consideradoDeve-se fazer uma análise de risco para se saber a situação atual dos recursos de informação em relação às situações de contingência. Além do que, quando fazemos uma análise de risco encontramos situações fáceis de serem resolvidas e que melhoram significativamente o nível de certeza de uma continuidade. Exemplo: a organização faz cópias de segurança mas guarda no mesmo ambiente dos computadores. Solução rápida: guardar em outro local.2.2 ? Escopo e CenárioUm plano de continuidade deve ter seu escopo e cenário definidos. Claro que queremos que a empresa tenha um plano que considere todos os recursos e todas as situações. Porém, para chegarmos neste nível é necessário cumprir muitas etapas. Sendo assim defina claramente o escopo (recursos que serão considerados) e cenário (situação em que a contingência vai acontecer).2.3 ? Análise de Impacto no NegócioA solução do plano deve ser uma conseqüência da necessidade de negócio. O que acontece muito nas organizações é que a área de tecnologia define um plano e implanta. Acredito que a área de tecnologia da informação tenha um bom entendimento das necessidades de negócio, mas com certeza não é ela quem mais entende do negócio e suas responsabilidades legais, contratuais e de imagem com os clientes.Esta etapa tem por finalidade identificar a necessidade de tempo para a recuperação dos recursos de informação. A partir deste tempo de recuperação é que será pensado na solução mais adequada que atenda esta necessidade de negócio.As áreas de negócio para estimarem o tempo que exigem para a recuperação devem considerar os impactos: financeiro, de imagem, legal e operacional.Os recursos de informação são: ambiente de tecnologia, pessoas, documentação e qualquer outro elemento que armazene, processe ou transmita informação.2.4 ? Seleção de estratégiaConhecendo-se a necessidade de tempo de recuperação dos recursos de informação devemos identificar nesta fase quais são as estratégias possíveis que poderão atender aos requisitos de negócio explicitados na fase anterior.Tendo selecionado algumas estratégias possíveis, devemos escolher qual a mais adequada para a organização, considerando: custo, autonomia, exigências da própria organização, questões legais e outros aspectos que são relevantes para a organização. Esta etapa identifica a solução que melhor atende a organização.2.5 ? Desenvolvimento do planoNesta etapa o manual do plano de continuidade será escrito, contendo as funções, os grupos de trabalho, as responsabilidades, a seqüência de ações a serem executadas quando de uma contingência. Em resumo: explicita o que cada pessoa na organização deve fazer quando de uma situação de contingência.2.6 ? Testes e Manutenção do PlanoDevemos definir como acontecerão os testes e como eles serão planejados. Testar é uma atividade muito séria e precisa ter o conhecimento e a aprovação da direção da organização. O teste precisa ser acompanhado, registrado e avaliado. Um bom teste não é aquele em que tudo acontece de forma correta e sem erros. Um bom teste é aquele que possibilita que o teste seguinte seja melhor: mais eficaz e mais eficiente.Em relação à manutenção do plano é necessário especificar como ela será feita, quem é o responsável pelo processo de manutenção e como será registrada cada alteração realizada.3. PatrocínioUm plano de continuidade de negócio somente será efetivo e atingirá seus objetivos se for patrocinado pela direção da organização. Mesmo que haja uma legislação exigindo para a organização um plano para situações de contingência, o que deve primeiramente motivar a existência desse plano é a decisão da diretoria executiva (representando os interesses dos acionistas) em proteger o negócio mesmo que uma situação de desastre aconteça.4. O custo será possível para a organizaçãoNão existe plano barato e plano caro. Existe plano adequado à organização. Se o assunto for tratado profissionalmente, de forma estruturada e continuamente ao longo do tempo, o custo será possível para a organização.5. Execução de forma profissionalAlgumas organizações vão poder desenvolver e implantar um plano de continuidade com seus próprios profissionais. Se esses profissionais tiverem o treinamento e experiência adequados, a organização alcançará sucesso. Outras organizações precisarão contar com consultores. Independente da situação da sua organização, trate este assunto de maneira profissional. Lembro uma dificuldade quando for desenvolver a solução internamente: a tendência das áreas de negócio a não atenderem adequadamente os profissionais internos quando do levantamento das suas necessidades na Etapa de Análise de Impacto no Negócio. Se isso acontecer na sua organização não se assuste, É uma tendência em todas as organizações. Por isso, a participação de profissionais externos na construção do plano e no acompanhamento futuro dos testes é uma boa opção pois agrega ao plano mais independência na sua construção e na sua manutenção de efetividade (eficiência e eficácia).ConclusãoNão espere que mais desastres aconteçam para que sua organização trate com seriedade este assunto. Nem você na sua vida pessoal. Eu mesmo tive que contratar uma opção de comunicação via modem 3G como opção para a banda larga da companhia telefônica. Se não fosse assim, não conseguiria mandar este artigo. Mas verdade seja dita, muitas vezes a comunicação 3G não funcionou e a ligação banda larga da companhia telefônica funcionou de forma excelente. Esta deve ser a nossa vida pessoal ou da organização em que trabalhamos: o que fazemos com as situações e ameaças que nos cercam? Trate o assunto contingência de forma profissional!Edison Fontes, CISM, CISA.Consultor, Professor e Autor de Livros de Segurança da Informação.Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.[email protected]Ética: um princípio sem fim!