Avaliando o nível de proteção para desastres

Inicialmente devemos definir o escopo a ser considerado. Sempre que tratamos o assunto de continuidade de negócio com enfoque no planejamento para situações de desastre devemos definir o que estará sendo considerado, isto é, qual é o escopo. Caso não definamos isso corremos o risco de nunca concluir essa avaliação. Mesmo em um ambiente pequeno, é muito grande a quantidade e variedade de possíveis ocorrências de desastre.

Para o escopo, devemos definir os cenários e os recursos a serem considerados. Como cenário podemos considerar pelo menos duas situações: desastre parcial e desastre total. Definimos desastre parcial quando a solução acontece sem necessidade de ativar um ambiente alternativo/backup. Por exemplo, a existência de dois servidores no mesmo ambiente físico. Havendo uma situação de pane em um deles, o outro assume a processamento. Desastre Total é o caso de uma destruição de todo o ambiente primário, havendo necessidade de se utilizar recursos em um outro local (ambiente alternativo/backup). Normalmente o risco de um desastre total é menor do que um desastre parcial.

Em relação aos recursos precisamos especificar os ambientes computacionais, serviços ou elementos específicos de tecnologia (exemplo: canal de satélite).

Após a explicitação do escopo devemos definir a abordagem que vamos utilizar para realizar a avaliação. Eficácia (a solução responde adequadamente uma situação de desastre) e eficiência ( a solução considera as melhores práticas em proteção da informação que possibilita a sua confiabilidade ao longo do tempo) são bons aspectos a serem considerados. Tanto para a eficácia como para a eficiência devemos identificar quais os itens de avaliação. Esses itens podem variar dependendo da situação da organização, porém sugerimos:

a) Eficácia da solução* Nível: indica o grau de atendimento de recuperação após o desastre.* Funcionamento anterior: indica se a solução já funcionou adequadamente.* Tempo definido para a recuperação: indica o tempo que a organização determinou para que o recurso/serviço seja recuperado.* Tempo possível: indica o tempo real que a solução consegue alcançar. Esse tempo se baseia em testes realizados ou em ocorrências reais.

b) Eficiência* Teste periódico: existência de cronograma formal para a realização de testes e a qualidade de cada teste. Esse último significa que cada teste é planejado (objetivo, escopo, tempo esperado), registrado (ocorrências durante o teste) e melhorado (o teste seguinte é sempre melhor que o teste anterior)* Plano documentado: manual contendo o plano de ação e responsabilidades das pessoas envolvidas; conhecimento do plano por todos na organização (não quer dizer que todos vão saber tudo); e atualização periódica do plano.

Para os itens que necessitam de uma graduação, podemos utilizar a faixa de valores de 1 (pior) a 10 (melhor). Evidentemente que é uma avaliação subjetiva e pode gerar opiniões divergentes. Para minimizar esse fato devemos identificar o que significa cada nível de 1 a 10 e validar a avaliação com pessoas que conheçam os serviços e ambientes. Devemos ter em mente que em uma avaliação estruturada, mais importante do que uma nota exata, é a possibilidade de priorizar as ações de melhorias da proteção para enfrentar situações de desastre.

Por fim, trabalho duro e profissionalismo. Sem esquecer é claro de pedir ao Todo Poderoso que nos poupe, principalmente de um desastre total. Amém!