Contingência, crise, desastre, emergência ou descontinuidade do negócio?

Para estruturar esse entendimento devemos considerar risco operacional como o conceito macro que engloba todo o assunto. Qualquer fato que impeça a organização de atingir seus objetivos (operacionais) é uma ameaça. O risco (operacional) é a possibilidade dessa ameaça se transformar em realidade. Como não temos todos os recursos do mundo, precisamos eleger que ameaças (normalmente de alto impacto) serão consideradas. Realizar essa escolha e manter esse estudo é fazer gestão de risco (operacional).

Considerando o tempo, temos dois momentos: antes e depois do evento da ameaça se transformar em realidade. Antes do evento, executamos ações preventivas que buscam minimizar os riscos através de monitoramento do ambiente. São ações que possibilitam a organização enfrentar determinadas situações sem que haja interrupção do negócio. Semelhante à planta do trigo que se dobra ao vento forte, aguenta a tempestade e não quebra seu caule, a organização se capacita a ter uma flexibilidade para situações adversas. Gestão de problemas, gestão de mudanças e gestão de recursos são exemplos práticos dessas ações. Investir em prevenção é a forma mais inteligente de se minimizar os riscos. Além do que, antes de uma ameaça se concretizar em realidade, são enviados avisos. O fato é que normalmente a organização não consegue entender esses avisos. Não é premonição: é tratar o assunto profissionalmente!

Após o evento enfrentamos uma crise. Desse momento em diante devemos gerenciar a crise. Após um tempo de inércia, precisamos executar o plano de crise que pode ser classificado como:

a) Plano de contingênciaÉ elaborado para situações em que existe perda de recursos, porém esses recursos podem ser recuperados de uma forma menos traumática para organização. Por exemplo, podemos ter dois servidores em uma mesma instalação que suportam um mesmo serviço. Se um desses servidores tiver algum problema, o outro assume a execução do serviço.

b) Plano para recuperação de desastreÉ elaborado para situações em que existe perda de recursos e a recuperação de cada recurso exige um esforço significativo. Por exemplo a destruição do local onde estão os servidores da organização, exigindo a utilização de um outro local.

c) Plano de emergênciaÉ elaborado para situações em que, normalmente, não existe perda de recurso. Existe sofrimento de recurso! Por exemplo, o recurso imagem da organização pode ser afetado por uma falha em um produto. Erro de software, comprimido de anticoncepcional que não fucniona, evenenamento de remédio, sequestro de um executivo ou boato sobre a situação da organização.

Evidentemente, essa classificação é conceitual. Um incêndio que detrua os recursos de tecnologia pode prejudicar a imagem da organização. O bom profissional de segurança da informação usará esses conceitos para facilitar o seu trabalho junto aos usuários e à organização.

Alguns lembretes são importantes para os envolvidos no assunto:* O momento de crise é para se reagir, não para planejar.* Comunicação não é o que se diz, mas o que se entende.* As equipes não precisam seguir o organograma hierárquico.* Somente as pessoas que podem resolver a crise devem ser envolvidas.* Todas as pessoas devem saber o que deverão fazer.* A imagem transmitida para os cliente, fornecedores e mercado é tão (ou mais) importante quanto as ações realizadas.* A organização não pode se eximir de culpa.* A verdade é fundamental, porém, pode-se gerenciar a sua revelação.

Tudo isso busca a continuidade do negócio da organização. A abrangência do plano depende da definição do cenário dos recursos, do escopo organizacional e das ameaças consideradas. Um dos erros mais comuns é tentarmos elaborar um plano que considere todas as situações. Comece pelas situações de maior risco e maior impacto. Elabore o plano, treine as pessoas e permita que a organização aprenda a gerenciar riscos, enfrentar crise e garantir a continuidade do negócio. As organizações que se preparam para crises se recuperam mais rápido do que aquelas sem nenhum preparo. Qual a opção da sua organização?