______________________
1 Artigo apresentado como Trabalho de Conclusão do Curso de Especialização em Gestão de Segurança da
Informação, da Universidade do Sul de Santa Catarina, como requisito parcial para a obtenção do título de Especialista em Gestão de Segurança da Informação.
A IMPORTÂNCIA DA GESTÃO DE CONTINUIDADE DE NEGÓCIOS
PARA PEQUENAS E MÉDIAS EMPRESAS AFIM DE GARANTIR
SEUS SERVIÇOS SEMPRE DISPONÍVEIS BASEADO EM UMA
EMPRESA SEM PLANO DE CONTINUIDADE DO NEGÓCIO
Guilherme Pacheco Alano
Resumo: Com a crescente onda ciberataques e ataques em diversos segmentos, um dos maiores eventos, mais importante e marcante se tratando dessa particularidade que seria o ataque as torres gêmeas ocorrido em 11 de setembro de 2001. Com isso muitas empresas foram a falecia ou até mesmo sumiram do mapa, em minutos, por não ter um plano de contingência ou então um plano de continuidade de negócio. Com base nesse exemplo, e o avanço e dependência da tecnologia, é possível ver a real importância nesta área e vem ganhando destaque e mudando o conceito na forma de comercializar ou manter um serviço ou organização. Esta pesquisa terá como base o estudo para que seja analisado um plano de continuidade de negócio (PCN) bem como a sua gestão, para que seja mantida da melhor forma e acessível a pequenas e médias empresas.
Palavras-chave: Ciberataques. Contingência. Plano de continuidade de negócios.
1 INTRODUÇÃO
Com o avanço da tecnologia pode-se notar que os riscos e as ameaças também aumentam assim como diversos fatores que podem derrubar serviços ou deixando-os inoperante, sistemas e até empresas. Colocando em risco organizações de todos os portes, porém torna-se dificultoso a implementação, em pequenas e médias empresas (PME) devido ao alto custo e visão estratégica.
Conforme Lento (2014, p. 13), o universo de continuidade de negócio, pode ser considerado hoje, talvez o mais importante segmento da gestão da segurança da
informação. Essa valorização veio em função principalmente após o evento de 11 de setembro de 2001, que levou dezenas de empresas a falência.
Diante do fato, dezenas de empresa fecharam e que após isso causou uma mudança drástica no segmento de S.I (segurança da informação), pois tudo gira em volta da tecnologia e internet, e com isso é essencial para empresas de diversos segmentos a continuidade do seu negócio, muitas das vezes se tornando um item obrigatório em contratos ou como diferencial no momento de uma negociação.
Ainda segundo Lento (2014, p. 14), a globalização tornou os mercados mundiais cada vez mais dinâmicos e competitivos. O risco do negócio está mais claro e evidente para uma organização, e a necessidade de cumprir prazos e entregar produtos com qualidade é uma realidade nesse novo mundo.
Com base nesse exemplo, e o avanço e dependência da tecnologia, é possível verificar a real importância nesta área e na qual vem conquistando gestores e diretores e mudando o conceito na forma de comercializar ou manter um serviço ou organização.
Esta pesquisa usou como base o estudo para que seja analisado a importância de um plano de continuidade de negócios bem como a sua gestão, para que seja implantada da melhor forma para pequenas e médias empresas.
2 GESTÃO DE CONTINUIDADE DOS NEGÓCIOS
Se tratando de gestão de continuidade dos negócios, é necessário primeiramente entender a importância da continuidade do negócio, com isso será demostrado.
2.1 CONTINUIDADE DO NEGÓCIO
Ao dar início a este artigo e realizando uma análise, o que faríamos ou então o quanto teríamos de prejuízo ou perda caso a empresa em que trabalhássemos ou administrássemos ficassem com os seus serviços de T.I indisponíveis sendo de forma total ou parcial?
Após essa reflexão, e com o desenvolvimento avançado e alta utilização da tecnologia, empresas que dependem desse fator, estão cada vez mais sofrendo ataques, roubos e outros incidentes no cenário digital e tecnológico.
Com isso uma das missões de um gestor da área de tecnologia da informação que vem se tornando cada dia mais importante, é em como manter o negócio sempre disponível e o mais íntegro possível. Pois uma empresa com seus sistemas ou serviços indisponíveis, podem enfrentar um grande impacto financeiro e operacional ou então ocasionando até a sua inexistência no mercado.
Considerando segundo Ribeiro (2014, p.3) desde os anos 1990, com a popularização da internet e a aceleração da globalização, principalmente, o mundo passa por novas situações de riscos e crises, sejam elas advindas do meio ambiental (tais como a maior ocorrência de desastres naturais, por conta do aumento do aquecimento global) ou de esfera tecnológica (indivíduos especializados em boicotar ou destruir sites com vírus cada vez mais potentes e inovadores, por exemplo).
Vale ressaltar que um desastre ou crise dentro do ambiente de T.I, seria um evento qualquer que tem por objetivo interromper serviços de T.I, caso ocorra de forma generalizada, o ideal é que se tenha alguns serviços essenciais operando até que seja recuperado o ambiente por completo ou com outros serviços. (Gaspar, Gomez, Miranda,2013).
Segundo Coelho, Araújo e Bezerra (2014, p.151) as organizações são dependentes da tecnologia e dos sistemas computacionais. Assim, perdas de equipamentos e informações podem impactar o negócio da organização, causando perdas financeiras, de mercado e, até mesmo, dependendo da gravidade das ameaças, provocando sua dissolução. Após alguns ocorridos, como por exemplo o ataque as torres gêmeas que ocorreu em 11 de setembro de 2001, muitas empresas e microempresas deixaram de existir, bem como pessoas consideradas de muita importância e também um outro exemplo como o incêndio do INSS em Brasília em 27 de dezembro de 2005, onde muitas pessoas e empresas foram afetadas, após um período e outros fatos deu-se então a elaboração da NBR:15999-1:2007 e NBR:15999-2:2008 posteriormente substituídas pela ISO: 22301:2012 e ISSO: 22313:2012 ambos com o intuito de orientar e recomendar as melhores práticas e requisitos para a criação de um PCN (plano de continuidade de negócio) e a GCN (gestão da continuidade de negócio).
Este projeto foi baseado na NBR: 15999-1, que após se ter criado e definido uma PCN, será necessário estar sempre analisando e auditando o plano de continuidade de negócio para garantir que o mesmo esteja sempre atualizado e seguro.
Segundo a NBR: 15999-1 que diz, “o plano de continuidade de negócio (PCN), trata-se da documentação de procedimentos e informações desenvolvida, consolidada e mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável previamente definido.” (ASSOCIACAO BRASILEIRA DE NORMAS TECNICAS,2007, p. 4)
2.2 Gestão de continuidade do negócio
Após entender como funciona o conceito da continuidade do negócio e iniciá-la, precisamos partir para gestão de continuidade do negócio, com o plano de continuidade dos negócios definido, cabe aos gestores e alta direção manter e analisar periodicamente o mesmo, para que se mantenha o ambiente sempre atualizado e auditado, e até mesmo com simulações de testes para garantir que tudo ocorra conforme planejado.
Segundo Coelho, Araújo e Bezerra (2014, p.152) a gestão de continuidade de negócios combina medidas de prevenção e recuperação, com o objetivo de impedir a indisponibilidade de serviços e atividades do negócio, protegendo, assim, os processos críticos contra impactos causados por falhas ou desastres, no caso de perdas, prover a recuperação dos ativos envolvidos e restabelecer o funcionamento normal da organização em um intervalo de tempo aceitável.
Conforme NBR1599-1:2007 (2007, p.3) onde cita como uma visão geral que, a gestão de continuidade do negócio é um processo da organização que estabelece uma estrutura estratégica e operacional adequada.
Considerando Lento, Luz (2014, p.27) que citam, o processo de gestão de continuidade do negócio envolve a gestão da recuperação e/ou continuidade das atividades do negócio quando ocorre um evento que por ventura afeta essas atividades.
E segundo Gaspar, Gomez, Miranda (2013, p.193) para fazer tal gerenciamento, é necessário realizar uma análise de risco (risk analysis) em que são levantadas as ameaças (threats) e as vulnerabilidades (vulnerability) do negócio e da
T.I. Em seguida, faz-se um plano de mitigação que objetiva reduzir a possibilidade de um risco se tornar um problema de fato.
Considerando os itens citados de acordo com o projeto proposto, demonstrando a importância da GCN para pequenas e médias empresas que após criá-la e defini-la precisaremos manter e consequentemente analisa-la. Com isso é recomendável levar em consideração o ciclo de vida da gestão de continuidade do negócio, que se for realizado e aplicado as 6 (seis) etapas não ocorrerá problema com desuso ou com a extinção da GCN na organização.
Figura 1 - Ciclo de vida da gestão da continuidade de negócios. (fonte: NBR-15999-1:2007, p.8)
Baseando nesses fatores, e por exemplo a NBR:1599-1:2007 (2007, p.6) que informa, a GCN é um elemento importante da boa gestão de negócios, fornecimento de serviços e prudência empresarial.
Coelho, Araújo e Bezerra (2014, p.151) citam que, diante esses fatos, devemos levar em consideração que a gestão de continuidade de negócios precisa ser implementada o quanto antes, para manter a saúde de uma empresa ou organização.
Com base no que foi descrito, deve-se levar em consideração a ISO:22301:2013 que aborda todas as etapas para a gestão de continuidade do negócio e com seu reconhecimento mundial bem como a NBR:15999-1:2007 conhecida a nível nacional, e levando em considerações esses itens, realizou-se uma pesquisa informando a importância da GCN (gestão da continuidade do negócio).
Conforme consta na ISO-22301:2013, que adota o modelo PDCA (plan-do-check-act) para planejar, estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar continuamente a eficácia do SGCN (sistema de gestão de continuidade de negócios) de uma organização e que podemos visualizar na imagem detalhes deste modelo citado.
Figura 2 - Modelo PDCA aplicado aos processos do SGCN. (fonte: Módulo)
Baseando-se na imagem, seguimos com a descrição de cada etapa do modelo citado, onde é possível compreender de forma simples e breve em como
estabelecer, implementar, monitorar, analisar, manter e aplicando melhorias continuas.
Tabela 1 - Explicação do modelo PDCA (fonte: ISO:22301:2013, p.3) Plan
(Estabelecer)
Estabelecer uma política de
continuidade de negócios, objetivos, metas, controles, processos e
procedimentos pertinentes para a melhoria da continuidade de
negócios de forma a ter resultados alinhados com os objetivos e políticas gerais d a organização.
Do
(Implementar e operar)
Implementar e operar a política de continuidade de negócios, controles, processos e procedimentos.
Check
(Monitorar e analisar criticamente)
Monitorar e analisar criticamente o desempenho em relação aos objetivos e política de continuidade de negócios, reportar os resultados para a direção para análise crítica, e definir e autorizar ações de melhorias e correções.
Act
(Manter e melhorar)
Manter e melhorar o SGCN tomando ações corretivas e preventivas, baseadas nos resultados da análise crítica pela Direção e reavaliando o escopo do SGCN e as políticas e objetivos de continuidade de negócios.
Como as áreas de abrangência do tema continuidade de negócio é muito amplo e envolve vários fatores e consequentemente diversos setores, foi demonstrado de forma geral para que um gestor consiga implantar e manter a GCN em sua organização. Na figura 3 podemos visualizar suas áreas de abrangência que a GCN
pode alcançar, sendo considerado cada empresa com sua necessidade não sendo obrigatório todas essas áreas para a implementação da continuidade do negócio.
Figura 3 - Áreas de abrangência da GCN. (fonte: QSP)
Com base no estudo foi realizado uma entrevista com uma empresa onde foram coletados os dados no próximo tópico.
3 ANALISANDO O PLANO DE CONTINUIDADE DO NEGÓCIO (PCN) EM UMA EMPRESA
3.1 Cenário atual
A empresa analisada visando a aplicação deste trabalho, onde se realizou a entrevista com o responsável pelo setor de tecnologia da informação realizada no dia 23/03/2018 as 18 horas na sede da empresa Y foi conversado com o Fulano A, sobre
a gestão de continuidade do negócio da empresa onde o mesmo trabalha e no qual ocupa o cargo de Gestor de T.I.
A empresa atualmente não possui um plano de continuidade de negócio, possui algum plano de ação em caso de falha da parte tecnológica, mas que não chegaria à 50 % do seu cenário e sim a apenas em alguns serviços.
Como trata-se de uma empresa de médio porte, alguns clientes já estão solicitando e exigindo informações sobre continuidade de negócio bem como SLA e outros itens de responsabilidade do contratado para casos de falhas ou desastres que poderiam comprometer sua imagem ou produção e que tais práticas são abordadas com ITIL, COBIT e outros frameworks.
A empresa convidada, na qual foi realizado o questionário, possui interesse na elaboração do PCN, pois o principal fator que impede é o investimento financeiro.
A empresa, que possui um quadro de funcionários com aproximadamente 400 (quatrocentos) funcionários. O entrevistado informa que a empresa vem investindo em tecnologia e evoluiu bastante nos últimos anos, porém como a parte de datacenter em sua maior parte seriam produtos importados, o custo de projetos acaba elevando bastante fugindo do orçamento anual da empresa e também um fator que vem dificultado bastante, seria a crise e recessão que o país vem transitando.
3.1.1 Parque tecnológico
Foram coletadas algumas informações quanto ao cenário tecnológico da empresa, onde até o momento da entrevista a mesma possui links de internet redundantes e de operadoras distintas e por entradas/acessos diferentes, possui também servidores com fontes redundantes, com isso nobreaks contando com um equipamento de backup e realizando balanceamento de carga. Possui um NFG (next generation firewall) que trabalha em alta disponibilidade (HA:High-Availability), possui ferramenta proprietária para backups para banco de dados e maquinas virtuais (virtual machine) em um equipamento para a gravação do backup em fitas LTO (Linear Tap-Open), possui 90 % do seu ambiente virtualizado e com recursos que reduzem a janela de downtime devido aos adicionais da ferramenta em casos de pane elétrica
ou de servidores (hardware), é realizado uma política para a rotina de backup onde é retirado uma cópia dos backups e deixado em ambiente seguro e distante da empresa. No item referente ao parque de operação/produção, a empresa possui dois imóveis na matriz, sendo separados e também algumas filiais a nível nacional. Porém seu datacenter se encontra na matriz.
A partir dos dados coletados foram aplicados os questionamentos.
Considerando uma paralisação ou um cenário de desastre, quais ações tomar para que a empresa consiga continuar operando:
1 – Onde reunir ou recolocar os colaboradores?
R: A empresa possui filiais, porém sem preparação estrutural para realocação desses colaboradores afetados.
2 – O que deve ser recuperado e em quanto tempo?
R: Deve ser recuperado sistema ERP, sistema judicial e CRM principal, para todos os sistemas estipulam um máximo de 24 horas.
3 – Quais funções críticas do negócio que em caso de falhas poderiam agredir a imagem da empresa e resultado?
R: Se o setor jurídico ficar indisponível e dependendo do tempo da indisponibilidade, isso representa uma falha gravíssima podendo afetar seu resultado e dependendo até sua imagem.
4 – Quais ações tomar para a recuperação?
R: Em primeiro ato, para a parte de T.I seria utilizar servidores de contingência e com serviços críticos estipulado pela alta direção e em casos extremos subir serviços em cloud, porém sem nada homologado.
5 – O tempo tolerável para a recuperação? R: Baixa: até 2 horas,
Média: até 6 horas, Alta: Até 24 horas.
6 – As pessoas envolvidas para a recuperação? R: Gerencia de T.I e alta direção.
3.2 Modelo proposto
Após questionário aplicado e informações coletadas, verificasse que a empresa possui grandes riscos e vulnerabilidades que poderiam comprometer sua produção e operação e a continuidade do seu negócio. Baseando-se neste projeto de pesquisa, bem como a alta dependência tecnológica e importância da informação, é fundamental e extremamente importante que empresas que não poderiam ficar sem seus serviços operando, tais como por exemplo, instituições bancárias, bolsa de valores, hospitais, mercados e entre outros, mediante a essas interrupções devido a catástrofes naturais, invasões, ataques, vírus/malwares que vem crescendo sem controle, com isso essas empresas e organizações passaram a levar como item necessário um plano de continuidade do negócio, para que consigam sobreviver no mercado atual e garantir seu desempenho e sucesso.
Com isso, o ambiente será mais seguro e com um risco menor de indisponibilidade e consequentemente mantendo um nível de serviço satisfatório, podendo ser um diferencial no mercado.
Conforme entrevista, deve-se considerar que a empresa possui alto risco podendo ficar horas ou dias sem seus serviços operando em caso de falhas ou desastres, pois não possui um plano de continuidade do negócio e em caso de paralisação, pode haver uma certa demora ou até na não resolução do incidente relacionado a recuperação de serviços devido a não ter um plano estabelecido e definido.
Com base no estudo realizado, foi proposto os itens para que se dê início a GNC.
1) Mapeamento dos processos ou então os mais críticos; 2) Verificar política da segurança da informação;
3) Aplicação do BIA (análise de impacto ao negócio); 4) Elaboração do PCN (plano de continuidade do negócio); 5) Gestão da continuidade dos negócios.
3.2.1 Mapeamento de processos
Tendo em vista o assunto abordado no trabalho de pesquisa, um dos itens mais importantes para as empresas é em ter seus processos mapeados e definidos no qual chamamos de BPM (business process management), para que não tenha risco de realizar tarefa ou rotina de forma errada. Esta etapa é tão importante quanto a revisão e auditoria, para que se tenha o cenário mais estável e atualizado possível, gerando confiança tanto para quem é responsável por executar a tarefa quanto para a qual mantém. Pois um processo realizado de forma errada, pode prejudicar a empresa ou dependendo pode até comprometer o funcionamento do mesmo.
3.2.2 Política da segurança da informação
Etapa correspondente quanto a criação e definição de uma política de segurança da informação. E uma das etapas será a que envolve a mitigação de riscos e vulnerabilidades da empresa e organização, e com isso elaborado a PSI (política da segurança da informação). Como no projeto a empresa já possui uma política definida, vale lembrar de sempre estar revisando e auditando a mesma, para que fique sempre atualizada.
3.2.3 BIA (análise de impacto ao negócio)
Após os processos mapeados e a política da segurança da informação desenvolvida, é necessário aplicar o BIA para medir os impactos qualitativos e quantitativos que envolvem os principais processos do negócio em caso de paralização ou falha. Este processo é de suma importância para a manutenção da gestão da continuidade do negócio.
3.2.4 Plano de continuidade de negócio
Com os itens anteriores definidos, entramos na PCN, definindo um plano de continuidade de negócio acerca das informações levantadas. Esta etapa é importante, que será realizado e definido um conjunto de estratégias e planos de ação para que possa ter os serviços essenciais sempre disponíveis garantido assim o menor tempo possível de indisponibilidade ou paralização dos serviços ou rotinas.
3.2.5 Gestão da continuidade de negócio
Com a PCN definida, pode-se dar atenção à GCN, que é o tema principal e abordado neste trabalho de pesquisa.
Após esses itens realizados, cabe a parte de manutenção e análise da GCN (gestão de continuidade do negócio), deve-se ser periodicamente realizado treinamentos com pessoas chaves, bem como a revisão e atualização do PCN (plano de continuidade do negócio) onde todas essas etapas se encaixam no PDCA (plan-do-check-act) pois o ambiente tecnológico e operacional frequentemente pode sofrer mudanças e adaptações e não pode-se esquecer da parte de auditoria e testes do ambiente para que não ocorra desuso ou imprevistos.
Como as empresas dependem de tecnologias, para evitar-se o investimento inicial, pode-se iniciar-se a continuidade do negócio até para que se comprove através mapeamento da cadeia de valores e o BIA o quanto é importante investir na continuidade do negócio e os benefícios que serão alcançados em conjunto.
4 CONCLUSÕES
Podemos concluir, que a continuidade do negócio é um assunto de muita importância para a sobrevivência e crescimento de empresas e organizações. Com o avanço tecnológico e bem como do mundo digital, empresas estão ficando cada dia mais dependentes de tecnologias e com isso cabe ao setor de T.I ou o gestor fazer com que a empresa compre a ideia e implante a gestão de continuidade do negócio. Pois a tecnologia pode ser utilizada como recursos que podem agregar muito valor a empresa, mas se não projetado e elaborado de forma correta, pode causar muitos prejuízos e também falhas e desastres que não fossem vinculados a T.I.
Além da continuidade do negócio, deve-se atentar-se a outros itens que facilitam e contribuem para a melhor gestão e desempenho da área de T.I na organização, tais como catalogo de serviços, gestão de riscos entre outros que são abordados em frameworks como ITIL e COBIT.
Como base nesses fatores, e seguindo o conteúdo abordado na qual empresas de pequeno e médio porte, poderiam ficar menos preocupados com a sua continuidade e disponibilidade e focar seus esforços e equipes de T.I para demandas que ajudariam a empresa a crescer e alcançar seus objetivos, deixando a visão da T.I que apaga incêndio e passando a ser uma T.I bimodal.
REFERÊNCIAS
LENTO, Luiz; LUZ, Théo. Gestão da continuidade do negócio: Livro Digital: Unisul Virtual, 2014.
GASPAR, Marcelo; GOMEZ, Thierry; MIRANDA, Zailton. T.I. mudar e inovar: Resolvendo conflitos com ITIL V3 – aplicado a um estudo de caso. 2. Ed. Distrito Federal: SENAC, 2013.
COELHO, Flavia; ARAÚJO, Luiz; BEZERRA, Edson. Gestão da segurança da informação: NBR 27001 e NBR 27002. 2014. Disponível em: <https://www.portalgsti.com.br/2012/11/ebook-gratuito-gestao-da-seguranca-da-informacao.html>. Acesso em: 10 nov. 2017.
RIBEIRO, Miguel Ângelo. Gestão da continuidade dos negócios: Acerca de Riscos
e crises. 2014. Disponível em:
<http://www.inovarse.org/sites/default/files/T14_0212_11.pdf>. Acesso em: 10 nov. 2017.
Infonet. Incêndio destrói parte do prédio do INSS em Brasília. 2005. Disponível em: <http://www.infonet.com.br/noticias/cidade//ler.asp?id=42746>. Acesso em: 12 fev. 2018.
Portal Terra. 2001: Atentado terrorista às Torres Gêmeas nos EUA. 2016. Disponível em: <https://www.terra.com.br/noticias/2001-atentado-terrorista-as-torres-gemeas-nos-eua,fa5e1fa5b277ca7daffcfa96a416dfd7mcpjwpn3.html>. Acesso em: 12 fev. 2018.
Módulo. Gestão de Continuidade de Negócios. 2016. Disponível em: <http://www.modulo.com.br/gestao-de-continuidade-de-negocios>. Acesso em: 13 maio 2018.
QSP. Gestão de crises: A ameaça dos grandes riscos. Disponível em: <https://www.qsp.org.br/biblioteca/ameacas.shtml>. Acesso em: 12 fev. 2018.
