Plano de Continuidade de Negócio – Responsabilidade do CEO!
A continuidade e sustentabilidade de uma organização é de responsabilidade do CEO, executivo de maior poder hierárquico
Edison Fontes, CISM, CISA, CRISC, Ms. – Cybersecurity Evangelist NTT DATA
A continuidade e sustentabilidade de uma organização é de responsabilidade do CEO, executivo de maior poder hierárquico. Imagine o Conselho de Administração convocando o CEO para explicar o porquê do grande prejuízo financeiro e de reputação, considerando que o ambiente de tecnologia ficou indisponível? “Ninguém pensou em uma alternativa? Seria a pergunta básica dos Conselheiros.
O Plano de Continuidade de Negócio (PCN) tem por objetivo garantir o funcionamento da organização, em um patamar de performance previamente estabelecido, quando de uma situação de indisponibilidade de recursos de informação. Recurso de Informação é qualquer elemento que trate informação. Tratar informação é armazenar, transmitir, alterar, disponibilizar e similar (Definição da Lei Geral de Proteção de Dados Pessoais). Então recurso de informação pode ser: pessoas, equipamentos, ambiente físico, ambiente de tecnologia na nuvem, Metaverso e similar.
Vale a pena registrar que a maior responsabilidade pela empresa ter ou não ter um PCN é do CEO, porém o Gestor de Segurança da Informação é quem tem que considerar no seu plano de ação, este PCN e solicitar ao CEO os recursos necessários para o seu desenvolvimento e implementação.
Quando de um Projeto de desenvolvimento, implementação e implantação de um Plano de Continuidade de Negócio, devemos considerar, antes do início do Projeto, obrigatoriamente as seguintes Premissas:
1. Apoio do Corpo Diretivo
É fundamental que a alta direção da organização apoie este projeto de maneira prática, explicitando que o PCN é um Controle Organizacional de Governança Corporativa pois considera a sustentabilidade da organização.
2. Dedicação de tempo de profissionais das áreas de negócio e de apoio
A equipe técnica que conduz o Projeto PCN irá interagir com as Áreas de Negócios e com as Áreas de Apoio da organização. Os requisitos de tempo máximo de indisponibilidade, impactos financeiros e de reputação serão definidos pelos profissionais destas áreas. Sendo assim é necessário que seja reservado um tempo destes profissionais para o projeto.
3. Existência de Documentação de Estrutura Organizacional, Responsabilidades e Relacionamento com Clientes e Terceiros
A Organização deve ter uma documentação básica, macro da sua estrutura e funcionamento. Parece incrível, mas acreditem, existe empresas ou áreas de empresas que não conseguem informar como é a sua organização.
4. Identificação doa Ambientes de Informação
– Normalmente as organizações possuem vários ambientes de informação. Exemplo: Ambiente de Tecnologia Centralizado Local, Ambiente de Tecnologia em Nuvem, Ambiente de Escritório, Ambiente Pessoas, Call Centers e similar.
– Estes ambientes precisam estar identificados, pois serão considerados ou não, no Cenário do PCN
Uma outra questão fundamental, obrigatória e fator crítico de sucesso é ter bem definida uma metodologia para a execução do projeto. Evidentemente existem variações e adaptações, mas a construção de um PCN deve seguir rigorosamente as seguintes etapas, sob pena de fracasso na execução do projeto:
1.Escopo e Cenário
– Escopo: definir a abrangência dos Ambientes e Recursos de Informação que serão Considerados.
– Cenário: definir as condições (internas e externas) que será considerado para a ocorrência da situação de indisponibilidade.
2. Avaliação de Ameaças
– Identificar, avaliar e recomendar contramedidas. (Controles preventivos).
– Definir o que o PCN considera de ameaça para uma situação de indisponibilidade da informação.
3. Análise de Impacto para o Negócio
– Identificar e avaliar os impactos financeiros, operacionais, legais e de reputação.
– Definir o Tempo Máximo de Indisponibilidade dos recursos de informação, que a organização suporta sem entrar em uma situação sem controle.
4. Seleção de Estratégia
– Identificar alternativas adequadas para a recuperação.
– Avaliar e escolher a alternativa mais adequada, considerando custo, benefício e a conclusão da Análise de Impacto no Negócio.
5. Elaboração do Plano de Continuidade
– Estruturar e elaborar o Plano Ação Recuperação do Ambiente de Informação.
– Documentar procedimentos de recuperação. Gerar primeira versão do plano.
6. Elaborar e realizar testes e definir a manutenção do plano
– Elaborar Plano de Teste.
– Realizar e avaliar testes.
– Planejar Plano de Testes
– Processo de manutenção e atualização do plano.
Estruturar, desenhar, desenvolver, implementar, testar e gerar evidências para o PCN, é uma tarefa complexa, trabalhosa e exige experiência da Equipe Condutora do Projeto, bem como a participação de boa fé dos demais profissionais da organização. Recomendo que sejam desenvolvidos vários Planos de Continuidade de Negócio, cada um com duração de construção tipo seis meses. Depois vamos juntando os diversos plenos e aumentando o grau de dificuldade de cada um.
A não existência de um Plano de Continuidade de Negócio é uma Negligência Organizacional, e a sua não existência pode gerar situações de grandes e talvez irrecuperáveis prejuízos para a organização.
CEO: sua empresa tem Plano de Continuidade de Negócio?
Grande abraço.
Edison Fontes, CISM, CISA, CRISC, Ms.
CyberSecurity Evangelist – NTT DATA Europe & LATAM
