Para impedir que as atividades de uma organização sejam interrompidas, ou ainda, assegurar que a retomada dessas atividades ocorra dentro de um tempo aceitável, é necessária a implementação de um plano de continuidade do negócio, que envolve tanto medidas de prevenção quanto de recuperação.

O plano de continuidade de negócios, ao garantir a proteção e continuidade de operações, funcionários, materiais, transporte e instalações, permite não apenas que as atividades não sejam interrompidas (ou retomadas em um curto espaço de tempo), como também garante a continuidade da própria organização, uma vez que o mercado, cada vez mais exigente, pode simplesmente não tolerar tais falhas. O sucesso de um plano de contingência dependerá do planejamento, do controle e da sua constante atualização.

AVALIAÇÃO DE AMEAÇAS E RISCOS

Queda de energia, indisponibilidade dos serviços de Internet ou telefonia, interrupção do abastecimento de água, falha ou roubo de equipamentos, perda de dados, incêndio ou desastres naturais, impossibilidade de determinados empregados realizarem seu trabalho etc. Tudo isso pode interferir no funcionamento normal da organização e o plano de continuidade precisa estar preparado para prever essas e outra situações.

Claro que nem todos os riscos podem ser eliminados, pois os recursos são limitados. Entretanto, os riscos podem ser minimizados. E para tal, deve-se  realizar um levantamento das ameaças de alto impacto.

Identificados os processos mais críticos, assim como os ativos envolvidos nesses processos, esses passam a ser priorizados pelo plano de continuidade do negócio. A proteção desses processos e ativos, seja contra falhas ou desastres significativos, deve ser realizada com soluções de melhor custo-benefício, isto é, rápidas, eficientes e de baixo custo.

Não se deve gastar demais em controles de prevenção com ameaças que possuem pequena probabilidade de se materializarem, ainda mais quando as informações ou serviços envolvidos não são tão relevantes. Pode-se, nesses casos, simplesmente assumir o risco ou analisar a contratação de um seguro.

PLANO DE CONTINGÊNCIA

Os processos e procedimentos operacionais que permitem, em caso de emergência, a continuidade das atividades de negócio da organização, devem estar descritos em um documento formal amplamente divulgado e periodicamente revisado, o plano de contingência.

Esse documento contém as condições de ativação do próprio plano, que precisa ter ao menos uma cópia impressa para o caso de indisponibilidade dos recursos de tecnologia da informação.

As responsabilidades individuais, as atividades de treinamento e conscientização, os testes, a manutenção do plano, os recursos críticos e os ativos envolvidos também devem estar devidamente documentados. E tudo isso precisa estar em conformidade com a política de segurança da informação.

A elaboração desse documento, que é específico de cada organização, deve levar em consideração os recursos financeiros, organizacionais, técnicos e ambientais da empresa.

Devido às limitações de cada organização, de início nem sempre é possível ter um plano completo. Nesse caso, pode-se começar com um número mais reduzido de cenários e ir aumentando a cada versão. Mas é fundamental que a alta direção e os acionistas conheçam a cobertura do plano, pois o sucesso do plano de continuidade depende do apoio e aprovação da direção.

SOLUÇÕES

Uma das ações mais comuns que envolvem um plano de contingência trata-se da utilização de equipamentos reservas para que se possa substituir de imediato os que apresentarem falhas.

Da mesma forma, recomenda-se possuir pelo menos dois tipos de comunicação, no caso de um deles ficar indisponível. E, seguindo essa linha de raciocínio, deve-se definir instalações temporárias no caso das instalações principais tornarem-se inutilizáveis.

Não importa se estamos falando de funcionários, materiais, informações ou  operações: deve-se sempre ter um recurso pronto para suprir a indisponibilidade de um outro, no mesmo local físico (contingência parcial) e em local físico remoto, mantendo os mesmos critérios de segurança.

RESPONSABILIDADES

A continuidade do negócio, por se tratar da sobrevivência da organização, é uma  responsabilidade de todos os setores da empresa e não somente do setor de tecnologia. Sem o envolvimento e comprometimento de toda a organização fica difícil prever muitas situações de risco que podem acarretar na paralisação dos negócios.

Por isso, o plano de continuidade deve claramente atribuir responsabilidades e papéis. E, geralmente, são os próprios gestores dos recursos de negócios ou processos os responsáveis pelos procedimentos de emergência e recuperação.

Cada funcionário deve estar consciente de como deve agir antes, durante e depois da ocorrência de um evento que ameace a continuidade do negócio. Para tanto, treinamentos periódicos devem ser realizados.

No caso da indisponibilidade de um serviço provido por terceiros, que é o que geralmente acontece com relação a meios de comunicação, abastecimento de água e energia elétrica, os procedimentos de recuperação devem ser acionados pela própria empresa contratada.

Deve haver ainda um gestor do próprio plano de continuidade que garanta que toda cópia do plano esteja sempre atualizada. E deve garantir também que pelo menos uma dessas cópias esteja protegida em um ambiente remoto.

Em caso de situações imprevistas, o plano precisa ser suficientemente flexível para dar poder de decisão à equipe.

TESTES E MANUTENÇÃO

Para verificação da eficiência e eficácia dos procedimentos descritos no plano de contingência, devem ser realizados testes, que fornecerão informações mais precisas sobre a abrangência do plano, o tempo de recuperação de serviços, consistência e adequação às necessidades organizacionais.

 Cada teste deve ser planejado e executado preferencialmente duas vezes ao ano. E seus registros devem ser guardados, para que, com base neles e na participação dos usuários, os testes possam ser melhorados no futuro.

Os testes, que podem ser realizados por uma consultoria contratada ou profissionais próprios, precisam estar sempre atualizados e devem simular diferentes cenários. Com base nos resultados, identifica-se a verdadeira capacidade da organização em enfrentar situações de contingência.

Quando não for possível fazer testes, deve-se ter um alto grau de certeza de que os procedimentos escolhidos funcionarão.

RECUPERAÇÃO

Em uma situação de desastre, nem sempre será possível a recuperação total do ambiente de negócio. Entretanto se, diante desse desastre, a organização continuar funcionando em um nível aceitável para a sua sobrevivência, teremos um indicativo do sucesso do plano de continuidade.

Quanto ao tempo de recuperação, é fato que os impactos financeiros e operacionais são absorvidos muito mais rapidamente em empresas que se preparam para a crise do que naquelas sem preparo algum. E o plano deve estabelecer prazos para que as medidas de recuperação entrem em vigor e a situação volte à normalidade.

Um outro impacto, às vezes mais importante ainda, é o da imagem da organização. Diante de um desastre, deve-se procurar preservar a imagem da marca e a confiança dos clientes. É imprescindível que a empresa, que não pode se eximir da culpa, possua um porta-voz capacitado para responder qualquer tipo de pergunta feita por acionistas, colaboradores ou imprensa, amenizando a situação.


MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012.