Você saber o que é PCN ? Não ? Então seu ambiente não é seguro !

A recente BS 7799 e a brasileira ISO 17799 consideram dez ítens para definir um ambiente seguro. Um deste ítens é a existência de um PCN. Quando se fala em segurança, a maioria das pessoa imediatamente pensa em firewalls, proxys, anti-vírus, senhas, política de segurança…Mas uma mesma quantidade de pessoas deixa de lado as questões referentes aos PROCESSOS que dependem de TI e da velocidade de substituição de um hardware danificado.

Eu costumo dizer que o brasileiro é um povo acomodado e pouco dedicado à prevenção (nossa crise energética que o diga !), geralmente só trocando a fechadura defeituosa de casa depois que um ladrão a descobre. O conceito de segurança deveria se encarado como algo em constante mudança, ao invés de uma situação estática, alcançada com a aplicação de uma “receita de bolo”.

Dentre estas mudanças, existem duas frentes de atuação: o atendimento às especificações padronizadas de segurança exigidas pelo ambiente corporativo convencional e a preocupação com as medidas de resposta, em situações de crise e de eventos, quando o ambiente corporativo sofre inúmeras ameaças de impacto.

Na verdade, as atividades de PCN no Brasil atualmente estão basicamente restritas a dois tipos de empresas: àquelas cujos seus principais processos de negócios possuem uma enorme dependência de TI e àquelas cujas matrizes situam-se no exterior, onde a cultura voltada para o PCN é mais desenvolvida. Entretanto, o que o empresariado brasileiro ainda não percebeu é o enorme potencial de economia que se oculta por trás da metodologia utilizada no desenvolvimento de um PCN.

Desde a etapa de BIA (Business Impact Analysis), onde os processos de negócios da empresa são ordenados em função do seu custo de parada, até a etapa de Análise de Criticidade, onde os mesmos são avaliados de acordo com os impactos que a empresa venha a sofrer com a sua interrupção, as informações apresentadas agregam importantes indicadores para os executivos e responsáveis pela condução da empresa. Por analogia, o melhor disto tudo é que a empresa reduz a sua possibilidade de sofrer com os possíveis eventos passíveis de ocorrer, independentemente das medidas de proteção adotadas.

Basicamente, um PCN é um conjunto de três outros planos: o Plano de Gerenciamento de Crises (PGC), o Plano de Contingência (PCO) e o Plano de Recuperação de Desastres (PRD).Cada um destes planos é focado em uma determinada variável de risco, numa situação de ameaça ao negócio da empresa (ou ambiente): O PGC, nas atividades que envolvem as respostas aos eventos; O PCO, voltado para as atividades que garantam a realização dos processos e o PRD, voltado para a substituição ou reposição de componentes que venham a ser danificados.

Utilizando-se o PCN, garantimos a redução dos possíveis impactos, minimizando-os a níveis toleráveis para a empresa ou para o ambiente que nos interessa proteger. Nos próximos artigos, vamos detalhar cada uma das atividades inerentes ao desenvolvimento de um PCN e enriquecer a teoria com alguns exemplos práticos.