PLANO DE CONTINUIDADE DE NEGÓCIOS
CAPÍTULO 13 PLANO DE CONTINGÊNCIA
Autor: Rejane Bezerra Leandro Mota Tiago Mesquita Carvalho dos Reis
Conceitos de Contingência e Plano de Contingência
Na gestão de segurança da informação um aspecto de grande importância que deve ser abordado é a contingência, ou melhor, o Plano de Contingência. Cada organização deve incluir em seu planejamento um Plano de Contingência com o objetivo de garantir a disponibilidade de seus serviços, informações e processos de negócio. Dessa forma a organização terá capacidade de restabelecer suas funções críticas.
De acordo com o porte da organização o Plano de Contingência é apenas uma pequena parcela do Plano de Continuidade de Negócios definido pelo departamento de Governança Corporativa da empresa.
Inicialmente vejamos alguns conceitos de contingência. Para PINHEIRO (2004) contingência é a possibilidade de um fato acontecer ou não. É uma situação de risco existente, mas que envolve um grau de incerteza quanto à sua efetiva ocorrência.
Para LAUREANO (2005) o Plano de Contingência é um plano para a resposta de emergência, operações backup, e recuperação após um desastre em um sistema como a parte de um programa da segurança para assegurar a disponibilidade de recursos de sistema críticos e para facilitar a continuidade das operações durante uma crise.
Para MARINHO (2014) Plano de Contingência é a definição de processos alternativos para atuação da empresa durante um evento que afete as atividades normais, necessários para funcionamento da organização.
136
De posse dos conceitos pode-se observar a importância que o Plano de Contingência tem para cada organização. Este plano deve fazer parte da estratégia da gestão de segurança das organizações para garantir sua sobrevivência caso aconteçam eventos inesperados.
Como exemplo podemos citar as instituições financeiras, a cada ano no período do acordo coletivo da categoria existe a grande possibilidade de suas atividades serem interrompidas devido à mobilização dos funcionários em participar da greve para reivindicar seus direitos. Nesta situação caso as instituições financeiras não possuam um plano de contingência bem estruturado, seus serviços seriam interrompidos causando prejuízos para as instituições e para seus clientes. Esse tipo de risco afeta diretamente a sobrevivência das instituições.
Diante desses aspectos podemos nos perguntar: Como as organizações devem se preparar para a contingência? A realização de um planejamento estruturado da gestão da segurança da informação, incluindo a existência de um Plano de Contingência, prepara as organizações para eventos inesperados. Para DIAS (2000) antes da realização do planejamento de contingência, deve ser definidos aspectos administrativos e operacionais, como objetivos, orçamento, prazos, recursos humanos a serem utilizados na contingência, tratando o Plano de Contingência como um projeto da organização. Dessa forma o planejamento para construção de um Plano de Contingência segue as seguintes fases:
Figura 4 – Etapas do planejamento do Plano de Contingência
137
Atividades preliminares: conscientização da alta gerência,
identificação dos recursos críticos, análise de custos, definição de prazos e aprovação do projeto inicial;
Análise de impacto: identifica impactos sobre a organização
da interrupção de cada sistema e sua real importância para continuidade das atividades da organização;
Análise das alternativas de recuperação: estudo detalhado
das alternativas de recuperação dos serviços balanceando custos e benefícios, apresentando um relatório com o resultado da análise e recomendações.
Desenvolvimento do plano de contingências: definição em
detalhes do plano e os recursos necessários para sua execução;
Treinamento: garantir que todos os funcionários da
organização estejam conscientizados e conheçam os riscos envolvidos, a política corporativa, o próprio plano de contingência e seus papeis e responsabilidades;
Teste do plano de contingências: provar sua exequibilidade.
Após realização dos testes pode-se avaliar se o plano é adequado ou se necessita de adaptações ou correções;
Avaliação dos resultados e atualização do plano: realização
de uma avaliação dos resultados dos testes e implementação das mudanças necessárias.
Classificação dos Planos de Contingencia
Para GALVES10 um Plano de Contingência de TI deve está baseado em
três vértices:
10 GALVES, J. W. Gava. Planos de Contingência de TI. Disponível em: http://www.techoje.com.br/site/techoje/categoria/detalhe_artigo/219. Acessado em 02/10/2015.
138
Figura 5 - Vértices do Plano de Contingência
Fonte: Elaborada pelo autor
• Vértice PESSOAS - que trata dos recursos humanos envolvidos nas
atividades em Contingência;
• Vértice ORGANIZAÇÃO - que trata especificamente sobre a disponibilidade
e segurança de recursos estruturais e organizacionais para suportar as atividades necessárias em Contingência.
• Vértice TECNOLOGIA - que contempla os recursos de hardware, software e
ambientais apoiados em tecnologias de TI e complementares para atender em contingência.
Plano de Gerenciamento da Crise (PGC)
Esse é um dos planos que servem de base para o PCN (Plano de Continuidade do Negócio) e que, conforme definido por Veras (2013):
“Tem o propósito de definir as responsabilidades de cada membro das equipes envolvidas com o acionamento da contingência antes, durante e depois da ocorrência do incidente. Além disso, tem que definir os procedimentos a serem executados pela mesma equipe no período de retorno à normalidade. O comportamento da empresa na comunicação do fato à imprensa é um exemplo típico de tratamento dado pelo plano.”
A crise deve ser gerenciada, de forma que a organização se antecipe e consiga tomar as melhores decisões, inclusive quanto à forma de comunicação
139
externa. Prever consequências e antecipar possíveis medidas pode mitigar um impacto à imagem organizacional ou até mesmo neutralizar.
Plano de Continuidade Operacional
Os danos diretos e indiretos causados por um período de indisponibilidade de um serviço podem manchar a imagem de uma empresa por bastante tempo. O PCO então tem a missão de reduzir o período de indisponibilidade e conforme definido por Veras (2013):
Tem o propósito de definir os procedimentos para
contingenciamento dos ativos que suportam cada processo de negócio, objetivando reduzir o tempo de indisponibilidade e, consequentemente, os impactos potenciais ao negócio. Orientar as ações diante da queda de uma conexão à internet exemplifica os desafios organizados pelo plano.
Manter a continuidade da operação não é barato e envolve uma série de variáveis. No entanto, uma economia nesse sentido pode custar muito caro no futuro.
Conforme citado por Guindani (2008)
Os executivos tendem a encarar o PCN como despesa. Esse é um problema para a realização do projeto e cabe aos responsáveis por seu desenvolvimento modificar tal percepção.
Plano de Recuperação de Desastre (PRD)
O PRD tem como propósito, conforme definido por Veras(2013):
Definir um plano de recuperação e restauração das
funcionalidades dos ativos afetados que suportam os processos de negócio, a fim de restabelecer o ambiente e as condições originais de operação, no menor tempo possível.
Segundo Guindani (2008)
É conveniente desenvolver e implementar os procedimentos de resposta a situações de desastre, incluído a criação e a especificação de normas para o gerenciamento de um centro operacional de emergência (COE), utilizando como central de comando durante uma crise.
140
Em relação a estratégia que a organização vai definir para o Plano de Contingência, deve-se levar em consideração criticidade do negócio, apetite ao risco da organização e prioridades definidas em seu Plano de Continuidade dos Negócios.
Quanto ao nível de criticidade do negócio classificamos as estratégias de contingência como: Hot-site, Warm-site e Cold-site. Para SEMOLA (2003) estão definidas conforme abaixo:
Hot-site: estratégia “quente” ou pronta para entrar em operação
assim que uma situação de risco ocorrer. O tempo de operacionalização desta estratégia está diretamente ligado ao tempo de tolerância a falhas do objeto.
Warm-site: estratégia aplicada a objetos com maior tolerância à
paralisação, podendo se sujeitar à indisponibilidade por mais tempo, até o retorno operacional da atividade.
Cold-site: esta estratégia propõe uma alternativa de contingência
a partir de um ambiente com os recursos mínimos de infraestrutura e telecomunicações, desprovido de recursos de processamento de dados. Portanto, aplicável à situação com tolerância de indisponibilidade ainda maior. (SEMOLA 2003)
Quanto à modalidade escolhida da estratégia de contingência classificamos como: Realocação de Operação, Bureau de Serviços, Acordo de Reciprocidade e Autossuficiência, conforme definidas por SEMOLA (2003):
Realocação de Operação: esta estratégia objetiva desviar a
atividade atingida pelo evento que provocou a quebra de segurança, para outro ambiente físico, equipamento ou link, pertencentes à mesma empresa. Esta estratégia só é possível com a existência de “folgas” de recursos que podem ser alocados em situações de crise.
Bureau de Serviços: considera a possibilidade de transferir a
operacionalização da atividade atingida para um ambiente terceirizado; portanto, fora dos domínios da empresa. Por sua própria natureza, em que requer um tempo de tolerância maior em função do tempo de reativação operacional da atividade, torna-se restrita a poucas situações.
Acordo de Reciprocidade: conveniente para atividades que
demandariam investimentos de contingência inviáveis ou incompatíveis com a importância da mesma, esta estratégia propõe a aproximação e um acordo formal com empresas que mantêm características físicas, tecnológicas ou humanas semelhantes a sua, e que estejam igualmente dispostas a possuir uma alternativa de continuidade operacional. Estabelecem em conjunto as situações de contingência e definem os procedimentos de compartilhamento de recursos para alocar a atividade atingida no ambiente da outra empresa. Desta forma, ambas obtêm redução significativa dos investimentos.
Omissão: Aparentemente uma estratégia impensada, a omissão
é, muitas vezes, a melhor ou única estratégia possível para determinada atividade. Isso ocorre quando nenhuma outra estratégia é aplicável, quando os impactos possíveis não são
141
significativos ou quando estas são inviáveis, seja financeiramente, tecnicamente ou estrategicamente. (SEMOLA 2003 - adaptado)
Abaixo, tabela com um exemplo de cenário com uma relação entre a criticidade e modalidade, sendo que cada uma das modalidades pode ter um nível de criticidade diferente para cada negócio:
Tabela 2 - Relação Modalidade x Criticidade
MODALIDADE CRITICIDADE
HOT-SITE WARM-SITE COLD-SITE Realocação de Operação X Bureau de Serviços X Acordo de Reciprocidade X
Omissão Não se encaixa nessa classificação
Fonte: Elaborada pelo autor
Nesse contexto da Segurança da Informação apresentamos os principais conceitos e boas práticas a serem seguidas na elaboração e condução de um Plano de Contingência. Verificamos que o Plano de Contingência orienta a organização para prevenção de incidentes bem como a recuperação em caso de desastres e em momentos de crise.
142
BIBLIOGRAFIA
SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Editora Campus Elsevier, 2003.
DIAS Cláudia. Segurança e Auditoria da Tecnologia da Informação. Editora Axcel Books, 2000.
PINHEIRO, J. Maurício Santos. Conceitos de Redundância e Contingência.
Disponível em:
http://www.projetoderedes.com.br/artigos/artigo_conceitos_de_redundancia.ph p. Acessado em 30/09/2015.
LAUREANO, M. A. Pchek. Gestão de Segurança da Informação. 2005. Disponível em:
http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf. Acessado em 01/10/2015.
MARINHO, Fernando. Riscos, Negócios e Tecnologia. 2014. Disponível em: https://www.linkedin.com/pulse/6-dicas-para-conquistar-investidores-uma-nova-empresa-leo-zysman
Contingência, Continuidade e Disponibilidade. Disponível em:
http://iso27000.com.br/index.php?option=com_content&view=article&id=55:cont contdisp&catid=34:seginfartgeral&Itemid=53. Acessado em 02/10/2015
GALVES, J. W. Gava. Planos de Contingência de TI. Disponível em: http://www.techoje.com.br/site/techoje/categoria/detalhe_artigo/219. Acessado em 02/10/2015.
VERAS, Manoel. Arquitetura Corporativa de nuvem: amazon web service (aws). Editora Brasport, 2013.
143 Sobre os autores
Rejane Bezerra Leandro Mota
Formada em Administração de Empresas pela UECE, pós-graduanda em Governança de TI pelo UniCEUB, certificada Cobit5, funcionária do Banco do Brasil S/A na Diretoria de Tecnologia.
Thiago Mesquita Carvalho dos Reis
Formado em Gestão em Tecnologia da Informação pela FACSENAC, pós-graduando em Governança de TI pela UNICEUB, certificado em COBIT FOUNDATION, ITIL FOUNDATION, Gerenciamento de serviços de TI baseado na ISO/IEC 20000 e Segurança da Informação Foundation baseado na ISO/IEC 27002, gerente de relacionamento na empresa Intersmart Comércio Importação Exportação de Equipamentos Eletrônicos, S.A.
145