PCN – Plano de Continuidade de Negócio – Etapa Zero: Propósito, Escopo e Cenário. Evitando erros de projeto!
100% dos projetos que fracassam, tem sérios problemas ou não atingem o objetivo, tem como causa raiz a má definição do Escopo e Cenário
Edison Fontes, CISM, CISA, CRISC, Ms. 2022
Plano de Continuidade de Negócio é o conjunto de atividades estruturadas, organizadas, interrelacionadas e testadas que tem como objetivo garantir a capacidade da organização em continuar a entrega de produtos ou serviços em um nível aceitável com capacidade predefinida durante uma disrupção de um ou mais recursos de informação. (ABNT NBR ISO 22301:2020 – Segurança e resiliência — Sistema de gestão de continuidade de negócios — Requisitos).
Planejar, desenvolver e implementar um Plano de Continuidade de Negócio não é uma tarefa simples e fácil. Exige conhecimento do assunto, inteligência para adaptar os padrões existentes à realidade da organização ou parte da organização e acima de tudo entender que experiencia neste tema permite, entender que cada plano é único e reconhecer que a experiencia possibilita uma implementação mais efetiva, utilizando menos recursos e menos tempo.
Entendo que praticamente 100% dos projetos que fracassam, tem sérios problemas ou não atingem o objetivo, tem como causa raiz a má definição ou não definição do Escopo e Cenário para este plano. Estes dois elementos, juntos com o Propósito devem ser definidos e obrigatoriamente devem ser validados pela área que está contratando o plano: Cliente Interno ou Cliente Externo.
Só devemos dar andamento ao projeto com a definição e aceitação formal do Objetivo, Escopo e Cenário do PCN. Na realidade, somente com estes três controles é possível estabelecer o tempo e custo do plano.
Sendo assim, defino estes três elementos que fazem parte da Etapa Zero de um PCN – Plano de Continuidade de Negócio, seja para um Cliente Interno ou para um Cliente Externo.
- PROPÓSITO
Define o que se quer fazer, qual o estágio organizacional que se quer chegar, qual o objetivo organizacional que se quer atender.
Exemplos:
a. Garantir que a comunicação utilizando recursos de tecnologia entre os colaboradores das unidades da organização estejam conectadas 24 horas por dia, 07 dias por semana.
b. Atender Ponto de Auditoria Externa enviada para o Conselho de Administração que exigiu uma primeira versão do plano no período de 90 dias a partir do recebimento do Relatório de Auditoria.
- ESCOPO
Define a abrangência dos Ambientes e Recursos de Informação que serão considerados no plano.
Exemplo, continuando:
a. Colaboradores: apenas os funcionários CLT. (trabalho remoto ou no escritório).
b. Unidades da organização: unidades do Brasil, Mexico, Portugal.
c. Áreas de Negócio: financeira, fiscal, contabilidade, comunicação corporativa e diretorias.
d. Estão fora do escopo:
d.1. Os equipamentos de uso pessoal tipo notebooks e celulares, de propriedade da organização ou de propriedade do funcionário (modalidade BYOD).
d.2. Os funcionários que foram cedidos em alocação de mão de obra para serviços em Clientes Externos.
d.3. Serviço de Call Center prestado por terceiros (parceiros).
- CENÁRIO
Define as condições (internas e externas) que serão consideradas para a ocorrência da situação de indisponibilidade.
Exemplo, continuando:
a. Indisponibilidade total do recurso de informação.
b. 24 horas em qualquer dia, incluindo feriados e similar.
c. Não será considerado duas ocorrências de situação de indisponibilidade de recurso de uso corporativo ao mesmo tempo.
d. As pessoas (colaboradores) estarão disponíveis. Não será considerada a situação de indisponibilidade do profissional. Esta situação será considerada no próximo Plano de Continuidade de Negócio (Onda 2).
e. Não será considerada a Ameaça de guerra que afete o Escopo considerado.
CONCLUSÃO
Somente após a validação pelo Cliente Interno ou Cliente Externo do Objetivo, Escopo e Cenário, podemos definir o “tamanho” e o esforço (horas) para a realização do plano. Estes três controles são como a preparação do machado para o corte da árvore.
Grande abraço.
Edison Fontes, CISM, CISA, CRISC, Ms.
CyberSecurity Evangelist – NTT DATA Europe & LATAM
