Planeamento da Contingência e Recuperação em Sistemas de Informação

Planeamento da Contingência e Recuperação em Sistemas de Informação

Luís A. M. Amaral• M. Leonilde R. Faria••

Resumo

A generalidade das organizações apresentam, actualmente, um elevado grau de dependência dos seus Sistemas de Informação, sem que, na generalidade, exista a consciência plena da dimensão dessa dependência.

Esta dependência pode transformar-se numa vulnerabilidade para as organizações, se esta não possuir a noção nem do real valor da informação que manipula, nem da sua criticidade para o negócio, podendo ficar exposta a riscos mal dimensionados.

A globalização das economias e, consequentemente, a abertura em termos tecnológicos dos seus Sistemas de Informação, permite competências para a organização em que as Tecnologias de Informação são factor crítico de sucesso nos intercâmbios de informação. Nesta óptica de globalização dos Sistemas de Informação há que ter a preocupação de os tornar operacionalmente ininterruptos, pois uma quebra dos mesmos pode ter consequências drásticas para o negócio. Advoga-se, assim, o Planeamento da Contingência e Recuperação como forma de preservar a continuidade do negócio.

Assim, a organização deverá gerir a sua dependência face aos Sistemas de Informação e às Tecnologias de Informação por forma a que os mesmos sejam um factor de competitividade.

Neste sentido, temos o negócio suportado pelas Tecnologias de Informação, em que as mutações tecnológicas se verificam a um ritmo acelerado, pelo que o Planeamento de Sistemas de Informação possibilita uma base mais sólida de

• _{Universidade do Minho}

Escola de Engenharia - Campus de Azurém – 4800 Guimarães Telef. (253) 510257 – Fax (253) 510250 – E-mail:amaral@ci.uminho.pt

•• _{Instituto Politécnico de Setúbal}

Escola Superior de Ciências Empresariais – Campus do IPS – Estefaniha - 2910 Setúbal Telef. (265) 709 427 – Fax (265) 709 301 – E-mail:lfaria@esce.ips.pt

projecção do Sistemas de Informação ao longo do tempo, podendo assim crescer de forma planeada, controlada e integrada e respondendo às reais necessidades do negócio.

Aquando da interrupção do SI não só estão em causa a paragem do processamento de dados mas também a imagem da organização, o cumprimento de contratos, as questões legais, a perda de oportunidades, enfim, a continuidade do próprio negócio. O Planeamento da Contingência e Recuperação tem, não só por objectivo a ininterrupção da operacionalidade dos Sistemas de Informação, como também a manutenção da continuidade do negócio. O desenvolvimento do Planeamento da Contingência e Recuperação possibilita que a dependência da organização dos seus Sistemas de Informação com vista à sustentabilidade e desenvolvimento do negócio, se transforme numa vantagem competitiva.

Actualmente, as organizações efectuam o Planeamento de Sistemas de Informação e posteriormente o PCR. Ao efectuar as actividades de planeamento desta forma desagregada a organização está sujeita a uma redundância de custos, que se traduzem na necessidade de um maior número de recursos humanos e materiais, bem como na necessidade de um período de tempo mais prolongado. De referir que estes custos tendem a ser superiores nas situações em que os desenvolvimentos do Planeamento de Sistemas de Informação e do Planeamento da Contingência e Recuperação estão temporalmente mais desfasados.

Planear os Sistemas de Informação será então pensar no binómio das actividades de Planeamento da Contingência e Recuperação e do Planeamento de Sistemas de Informação.

Abstract

The generality of the organisations suggest a high level of dependence from their Information Systems, without the existence of a full knowledge about the dimension of that dependence.

This dependence may be transformed into a vulnerability to the organisation if they don’t have the perception nor of the real value of the information, nor if it’s critical to the business, and could be exposed to risks that are not well evaluated.

The globalisation of the economies and consequently the open, in technological terms, of their Information Systems, allow competencies for the organisation where the Information Technologies are a critical factor to the success of the information interchange. From this perspective of the Information Systems globalisation we must be preoccupied with their uninterrupted operation, since a failure could have drastic consequences to the business. In these terms, we advocate the Recovery and Contingency Planning as the way to preserve the business continuity.

So the organisation should manage its dependence from the Information Systems and the Information Technologies, as a way to turn them into a competitive factor.

In this sense, we have the business supported by the Information Technologies, where the technological mutations are finding out in an accelerated rhythm, and the Information Systems Planning enables a solid base for the projection of the Information Systems during the time of this operation. Consequently they can grow in a planned, controlled and integrated way, giving an answer to the real business needs.

When an Information Systems interruption occurs, it not only causes the halt of data processing, but also provokes damages in the image of the organisation, restrict the fulfilment of the contracts, origins legal questions, causes the lose of opportunities, and, finally, it can jeopardise the business continuity. The Recovery and Contingency Planning has not only the objective of the Information Systems operational uninterrupted, but also the business continuity maintenance. The Recovery and Contingency Planning development enables the organisation dependence from their Information Systems, necessary for sustaining and developing their business, turning into competitive advantage.

Actually the organisations develop their Information Systems Planning first and then their Recovery and Contingency Planning. Preparing these planning activities in a disaggregated manner, the organisation may be subject to costs redundancy, namely those concerning human resources, material resources and time. This costs tend to be higher as the development of Information Systems Planning and of Recovery and Contingency Planning are timely more separated.

Than, planning the Information Systems will be thinking in the binomial of the activities of Information Systems Planning and Recovery and Contingency

Planning as a away to answer timely to the threats that may jeopardise the business continuity.

1. Introdução

A natureza contingencial do Planeamento de Sistemas de Informação(PSI) depende das circunstâncias em que é desenvolvido, caracterizando-se pela diferenciação segundo diversos factores: motivações, objectivos, métodos, capacidades dos colaboradores envolvidos e influências externas.

O Planeamento da Contingência e Recuperação(PCR) deverá ser equacionado por forma a que o acidente se torne num não acontecimento, tal como aconteceu com o ano 2000 em resultado do planeamento prévio e das medidas correctivas tomadas. Os sistemas embebidos constituíram a área em que residiu uma maior preocupação nesta mudança de século, na medida em que os domínios estão dependentes, em maior ou menor grau, das Tecnologias de Informação(TI). Do mesmo modo, assistimos ao aumento do grau de dependência das organizações em relação aos Sistemas de Informação(SI).

Para a generalidade das organizações o PCR é fundamental em função do grau de dependência relativamente aos SI, pelo que a tendência que se tem verificado no final da década de noventa de as organizações aumentarem o seu esforço de investimento nesta área, seja uma medida de gestão de elevada coerência.

Os decisores têm vindo a demonstrar a sua preocupação e a definirem como fundamental para a organização que a valorização da fiabilidade dos SI e das TI, uma vez que os mesmos estão presentes em toda a cadeia de valor das organizações, sendo mesmo um factor de sucesso e de competitividade das organizações.

É, no entanto, crucial definir estratégias adequadas que permitam explorar constantemente as vantagens competitivas das TI, como forma de aumentar a competitividade das organizações. O PCR desempenha um papel importante no âmbito da competitividade, pois a sua implementação tem por objectivo a manutenção da qualidade dos serviços prestados e da segurança dos SI cruciais para o negócio.

É importante que o incremento da utilização das transações electrónicas seja acompanhado da percepção da segurança das mesmas por forma a que os respectivos

utilizadores, se possam sentir confiantes e, assim, poderem vir a beneficiar dos consequentes ganhos de gestão.

A existência de um PCR vai contribuir de forma visível para o cumprimento dos objectivos da generalidade das organizações que se traduzem na melhoria dos níveis de qualidade dos serviços prestados e, obviamente, no aumento dos lucros inerentes à sua actividade a partir da racionalização dos custos suportados.

A complexidade e potencialidades das TI têm vindo a aumentar de forma quase exponencial, sendo cada vez mais vulgarizadas as aplicações das TI aos processos de fabrico e de distribuição, tornando-se estes cada vez mais sofisticados. As TI têm vindo a assumir uma importância estratégica cada vez maior, em função da constatação pelas organizações da importância dos SI para a competitividade e adequação da estrutura organizacional.

Remenyi argumenta [Remenyi 1993] que em alguns casos as organizações falharam na percepção dos benefícios estratégicos dos SI e das TI, porque, erradamente, os consideraram meramente como modos de automatizar os procedimentos administrativos e manuais, em vez de serem considerados como um recurso estratégico.

O PCR surge como uma componente indispensável das organizações, para a manutenção dos seus sistemas em “permanente” funcionamento. Sendo um SI um sistema integrado que envolve as funções de processamento e partilha da informação, deve ser visionado como um agregado de subsistemas da organização, pelo que a sua definição deve respeitar a partilha de informação pela globalidade da organização em consonância com os seus objectivos estratégicos, não devendo descurar as especificidades próprias do negócio.

As TI deverão, contribuir assim, para criar barreiras à entrada de novos produtos concorrentes, potenciando ao máximo o uso das tecnologias emergentes. A generalidade das organizações utilizam as TI para transformar o marketing, a produção [Applegate at el. 1996], e o desenho organizacional, incorporando novos processos de gestão requeridos pela adopção de novas tecnologias. Sob a orientação de uma liderança forte, aquelas organizações desenvolveram um posicionamento relativo no mercado tal que lhes permite limitar a entrada de concorrentes. Nestas organizações, os decisores de topo assumem a responsabilidade de planeamento e de execução da estratégia das TI da organização, constituindo um desafio para estas organizações manter as suas vantagens competitivas.

2. Problemática do PSI e do PCR de forma desagregada

Numa tentativa de sistematizar as razões pelas quais as organizações realizam o PSI, foram identificadas três classes de motivações: as de natureza conceptual, as de ordem prática e as de ordem estratégica.

As motivações de natureza conceptual decorrem da necessidade inerente à actividade de gestão da organização.

As motivações de natureza prática decorrem do reconhecimento pela organização dos problemas inerentes aos seus SI, como, por exemplo, o crescimento quase exponencial das TI no seio da organização e o aumento da consciencialização dos riscos a que actualmente a generalidade das organizações está exposta, dadas as suas políticas de segurança e contingência.

As motivações de natureza estratégica decorrem da necessidade do aumento de competitividade das organizações, recorrendo ao uso de TI para obter ganhos de produtividade, pelo que desta forma implícita, surge a “obrigatoriedade” da existência de um PCR como forma de preservar o negócio.

Para o PSI é crucial pensar que o PCR vai constituir a resolução de problemas inerentes aos SI, preservando a organização sob o ponto de vista legal ao implementar medidas de segurança de protecção da informação, contribuindo assim para a continuidade do negócio.

O PSI deverá ser capitalizado como uma oportunidade da organização aumentar a sua eficácia e eficiência. Daí que deva estabelecer prioridades de execução, nunca sendo de descurar o comprometimento dos decisores num projecto desta natureza, dado que só com esta relação de cumplicidade para com o projecto em causa é que estarão criadas as condições de base para o seu sucesso.

Aquando do PSI e do PCR as mudanças devem ser geridas cuidadosamente, uma vez que nestes domínios a motivação e empenho dos recursos humanos são importantes para a adopção de novas metodologias de trabalho. Pretende-se assim uma mudança intencional, deliberada, pensada e capaz de responder às resistências à mudança, sendo a gestão da mudança um importante factor de sucesso. A mudança é uma das características das organizações de hoje, daí a importância da sua gestão, como forma de permitir atingir os respectivos objectivos.

As actividades de PSI e de PCR têm como objectivo criar a visão global dos SI da organização bem como a sua ininterrupção. Este planeamento tem que estar

alinhado com a organização no que respeita ao seu funcionamento e usar as TI como vantagem competitiva.

O PSI e o PCR são processos contínuos de validação e de envolvimento dos diferentes sectores da organização na definição dos parâmetros orientadores da gestão. Devem estar fortemente inter-relacionados com o planeamento da organização, pelo potencial do mútuo condicionamento e pelo uso dos SI como instrumento de estruturação estratégica, táctica ou operacional.

3. Pontos de intercepção das actividades

As opções em TI devem responder às necessidades dos SI da organização e não condicionarem o seu desenvolvimento gerando informação à posteriori.

Os investimentos em TI devem obedecer a parâmetros de rendibilidade ou ganho de posicionamento de forma similar a outros tipos de investimento, devendo ser avaliado, sempre que possível, o impacto real desse investimento na organização e no nível de prossecução dos objectivos.

O PSI e o PCR têm inerentes às suas actividades um conjunto de decisões que influenciam o seu desenvolvimento, pelo que a determinação dos pontos de intercepção é tarefa árdua, dada a natureza da temática. No entanto, é-se da opinião de que as actividade de PSI e de PCR estão associadas a um conjunto de decisões que condicionam o seu desenvolvimento, identificando-se como principais preocupações comuns as actividades:

• A análise do grau de dependência dos SI, em que são analisadas as dependências do negócio face aos SI;

• Análise de risco. Ao efectuar uma análise deste tipo, está-se a caracterizar em termos de montantes económicos o valor da informação para o negócio;

• Definição de processos críticos. Será crucial ao negócio ter a percepção de quais são os processos críticos para a continuidade ininterrupta do negócio;

• Análise tecnológica, vai permitir conhecer e projectar no futuro as TI de suporte ao negócio em função das vantagens competitivas que possam ser geradas; • Impacto no negócio. Determinar qual o impacto no negócio da paragem dos SI e

• Planeamento. Efectuar o planeamento das actividades de PSI e de PCR atendendo à missão da organização, aos seus objectivos e à criticidade do negócio face aos SI.

Uma estratégia poderá ser considerada adequada quando garante o atingir de objectivos realistas com níveis de riscos aceitáveis. Para atingir os seus objectivos, as organizações tendem a concorrer entre si ao nível da fiabilidade, preço, imagem, fidelização de clientes, etc. Os SI/TI deverão suportar a estratégia podendo mesmo ser considerados como um recurso estratégico de diferenciação da organização. O PCR deverá contribuir para que a inoperacionalidade do negócio seja uma realidade.

4. Vantagens de uma abordagem integradora das actividades

Para uma dada organização, uma metodologia é a adequada se existirem os recursos (técnicos) para a sua aplicação. Uma metodologia não deve ser de aplicação exageradamente cara (pelos recursos utilizados), sendo inútil uma metodologia exotérica ou de difícil aplicação. Salienta-se, no entanto, a pertinência de metodologias que possuam forte ligação com os objectivos que orientam a organização.

No que respeita às metodologias de planeamento, não faz certamente sentido a implementação de um SI sem ser previamente estudado e planeado. A selecção e utilização de uma metodologia depende de muitos factores, dependendo a sua selecção do tipo de organização em particular.

Porém, a facilidade de utilização, o rigor dos modelos de especificação utilizados, a sua interligação com os objectivos estratégicos da organização e com as fases posteriores do projecto de implementação do SI e, ainda, a possibilidade de facilmente manter o plano realizado, devem ser atributos da metodologia utilizada para o PSI e para o PCR da organização.

O desenvolvimento integrado das duas actividades vai permitir uma maior articulação e, até mesmo, uma maior coerência do sistema final. Uma das principais repercussões consiste em efectuar o PCR ab initio o que implica um maior esforço na fase de PSI, uma vez que é necessário ter uma visão de implementação das possíveis soluções de recuperação.

É-se da opinião de que será necessário uma equipa de maior dimensão na medida em que se deverão delinear sectores em função do volume de áreas que irão ser trabalhadas. Portanto, defende-se a existência de uma equipa pluridisciplinar que permita englobar as áreas envolvidas num projecto desta natureza. A maior dimensão da equipa de trabalho não deverá ser encarada como característica negativa desta nova abordagem, uma vez que, em consequência, os tempos de execução serão reduzidos nas fases posteriores.

Os SI permitem alterar a forma como as organizações são geridas, uma vez que sendo o seu planeamento alinhando com os objectivos do negócio e incorporando as futuras mutações da organização, nomeadamente como resposta às oportunidades e/ou ameaças da envolvente, será reflectida no PSI a forma de gerir essas mudanças no tempo.

As TI representam uma componente fundamental do PSI. O ritmo a que se processa a mudança ao nível das tecnologias e a sua complexidade constituem um desafio significativo para o PSI.

Organização

As organizações necessitam de analisar a sua envolvente e recorrer às TI como forma de potenciar a sua eficácia e aumentar a sua eficiência, dando assim maior valor acrescentado aos seus clientes do que à concorrência.

Desta forma, ao efectuar o PCR em simultâneo com o PSI, deverá ser prestada especial atenção aquando da análise dos objectivos do negócio, na medida em que será nesta fase que se perspectiva a possibilidade de optimização das TI da organização tendo em conta quer as TI existentes no mercado, quer a concorrência.

O sucesso na gestão dos SI/TI depende directamente da conjugação dos seguintes factores: maximização para a organização do retorno do investimento efectuado e da capacidade de utilização estratégica da informação, quer para a obtenção de vantagens competitivas, quer na atenuação ou até na eliminação das ameaças.

Uma vez reconhecida esta situação, é vital que os decisores de topo sejam envolvidos no processo de PSI, para que o processo seja claramente entendido, devendo ser utilizadas ferramentas/metodologias de fácil compreensão.

Análise estratégica

A organizações ambicionam obter o máximo sucesso nas suas actividades. Nesse sentido procuram adoptar estratégias que em função do seu negócio lhes pareçam as mais pertinentes e as mais adequadas para levar a cabo a missão da organização.

A análise estratégica vai permitir a análise da organização, em que é crucial a sua capacidade de interacção com o meio envolvente, permitindo o acompanhamento da evolução dos mercados e das TI por forma a beneficiar das oportunidades surgidas e a poder resolver atempadamente as múltiplas ameaças.

Neste sentido, ao efectuar o PSI e o PCR em simultâneo, dever-se-á analisar quais as oportunidades para a organização no que respeita às TI e serviços de recuperação e estar atentos ao comportamento da concorrência neste domínio. A não existência de um planeamento desta natureza pode ser uma desvantagem concorrencial.

A definição da importância estratégica dos SI/TI, permite efectuar uma análise de risco adequada, a fim de canalizar o esforço de investimento em contingência e recuperação para os SI de maior importância estratégica, que consequentemente, permitirão um retorno mais rápido desse investimento. Tal análise permite a devida ponderação do investimento que de modo algum deverá ser evitado a fim de se garantir a continuidade do negócio, mas cujo montante não se deverá transformar num encargo financeiro tal que comprometa o próprio negócio.

A rápida mutabilidade da envolvente e a competitividade global a que estão sujeitas actualmente as organizações reflecte-se na evolução dos SI, podendo suceder que em resultado da evolução do negócio os SI de elevado potencial e operacionais possam passar a SI estratégicos, ou que SI considerados estratégicos num determinado momento venham a perder essa importância. Tal situação está normalmente associada a opções estratégicas da organização no que respeita à disponibilização de novos produtos/serviços ou à conquista de nichos de mercado até então inexplorados e que apresentam elevados índices de rentabilidade para a organização.

Modelo do negócio

O modelo do negócio não deverá ser descurado propondo-se que atendendo a que se está num contexto de integração das actividades de PSI e de PCR, se analisem

as actividades do negócio. Pelo facto de se estarem a planear as duas actividades em simultâneo, o output desta fase é crucial para permitir a alocação das aplicações requeridas, permitindo obter uma visão das actividades da organização e das aplicações que as suportam.

Avaliação do risco

Nesta fase identifica-se a informação necessária para suportar a actividade do negócio. Este processo inicia-se com o estudo dos riscos e ameaças ao negócio. A construção deste conjunto de informação, qualquer que seja o seu formato, fornece como output as principais preocupações a considerar em termos de ameaças e riscos para a organização.

Será fundamental, nesta fase, que se analisem as funções do negócio e seguidamente se lhe associem os SI que as suportam. A análise da infra-estrutura define o suporte tecnológico que sustenta o funcionamento do negócio.

Os riscos dos SI devem ser avaliados por forma a garantir o sucesso da mudança. Os decisores devem avaliar os riscos relativos ao SI por forma a poder definir prioridades, pelo que é importante avaliar os riscos de acordo com a importância estratégica dos SI.

Os sistemas estratégicos têm como principais benefícios a inovação e a obtenção de ganhos competitivos. Aqui o risco é elevado, uma vez que os ganhos competitivos aparecem ligados à mudança, à reestruturação de processos e à modificação das ligações com os parceiros de negócio, originando alguma incerteza no que respeita às reais implicações dos SI para o negócio.

A análise dos riscos do SI/TI da organização permite definir os SI/TI prioritários para a organização, por forma a que em situação de acidente se proceda à recuperação daqueles que permitem a continuidade do negócio. Através desta definição de prioridades é ainda possível desenvolver um orçamento do PCR e, deste modo, perceber qual a solução de recuperação necessária à continuidade do negócio da organização a um custo que não inviabilize em termos financeiros a sua natural progressão.

Esta fase conclui-se com a determinação das aplicações críticas para o negócio bem como com uma visão mais realista do seu suporte tecnológico.

Arquitectura

O conhecimento dos SI e respectivos suportes é crucial para possibilitar a determinação das metodologias mais adequadas à recuperação em caso de acidente.

O principal objectivo do planeamento das duas actividades em simultâneo é sem dúvida, a ininterrupção dos SI, pelo que a arquitectura de suporte ao negócio deverá ser cuidadosamente analisada.

Nesta fase é necessário proceder ao estudo da infra-estrutura tecnológica da organização bem como analisar as suas ligações ao exterior. Será então oportuno que se conheça os tipo de comunicações que sustentam a transmissão da informação, o suporte em termos de cablagem, os diagramas de rede, o modo como o SI é suportado pelo equipamento activo, as características desse tipo de equipamento e as características do equipamento existente na organização. Como output teremos então um conhecimento da infra-estrutura e do parque de hardware, o que possibilita uma reflexão acerca do actual estado da organização no domínio tecnológico.

Nesta fase analisam-se ainda as políticas de segurança implementadas na organização, abrangendo as áreas de segurança lógica e física.

Este output permite-nos identificar um conjunto de preocupações a serem cobertas pelo PCR e pelas estratégias de recuperação.

Contingência

Nesta fase, os decisores de topo da organização são sensibilizados para os riscos e ameaças a que a organização está exposta e, nesse sentido, define-se o âmbito do PCR.

Propõem-se as estratégias de recuperação que se consideraram mais pertinentes para a organização em causa. Nesta análise, ponderam-se as diferentes soluções do mercado, atendendo às capacidades da organização poder dar continuidade e ter capacidade financeira para as suportar.

As estratégias de recuperação propostas deverão assentar na análise sistémica das seguintes variáveis:

• Tempo. Permitir a recuperação dos SI/TI num espaço de tempo tal que não ponha em causa a continuidade do negócio. Nas organizações da chamada nova economia, cujos processos de negócio se desenvolvem na internet, a inoperacionalidade do respectivo site ou portal pode afastar os clientes para

organizações concorrentes. De referir que aqui a noção de tempo crítico traduz-se por minutos e não por horas ou dias;

• Qualidade. Uma vez concluída a recuperação do SI, este deve possibilitar um serviço e/ou produto com níveis de qualidade idênticos aos existentes antes do acidente que levou à sua interrupção;

• Custos. Os custos a suportar pelo PCR não poderão inviabilizar a continuidade do negócio da organização.

Cada organização deverá estar consciente de que não existem PSI nem PCR totalmente eficazes. No entanto, e em função dos riscos que a organização está disposta a suportar, será concerteza possível definir um PCR que assegure a continuidade do negócio, preservando-o, assim, de um número acentuado de ameaças.

5. Reflexo no PSI

O PSI em simultâneo com o PCR apresentam, assim, claras mais-valias, pois constata-se que os seus outputs vão ser implementados de forma mais directa, contribuindo assim para a diminuição de custos aquando do PCR.

Pode-se assim dizer que ao efectuar o PCR integrado com o PSI se reduz a duração destas actividades no conjunto, e se prepara a evolução e desenvolvimento da organização criando condições para uma maior capacidade de recuperação.

A perspectiva sistémica com que são abordadas as duas actividades de planeamento num contexto de mudança organizacional é um dos pressupostos, bem como a subordinação dos SI/TI às estratégicas do negócio.

Os decisores têm a percepção de que actualmente é necessário agir de forma proactiva, especialmente no que diz respeito a serem suportados por uma gestão da informação eficaz. Esta premissa induz só por si a necessidade de um planeamento agregado das actividades de PCR e de PSI como forma de assegurar a disponibilização ininterrupta dos SI de suporte à tomada de decisão.

O PSI deve assentar no planeamento da organização, pelo potencial de mútuo condicionamento e pelo uso do SI como instrumento de estruturação estratégica, táctica ou operacional.

O PSI deve ser apoiado por consultores externos ou internos, permitindo uma permanente reflexão por forma a que seja um processo de contínua procura de aumento do seu nível de performance. É crucial a adaptação permanente dos SI às constantes mudanças da envolvente e aos objectivos de gestão da organização.

O facto de cada organização ter o seu próprio modelo de gestão faz com que a implementação de uma abordagem de planeamento de PCR e de PSI deva conter a flexibilidade necessária para que cada organização consiga reflectir nele os seus aspectos específicos.

Planeamento

O PSI deve ser enquadrado num contexto estratégico devido ao longo período de investimento e ao reconhecimento da sinergia gerada pela relação entre as oportunidades proporcionadas pelos SI e o negócio.

Salienta-se a importância de uma estratégia global dos SI que reflicta as prioridades dos recursos e infra-estruturas, bem como as necessidades de informação de suporte ao negócio.

O planeamento estratégico dos SI deve ser enquadrado no planeamento estratégico da organização, sendo necessária uma perspectiva estratégica, dos recursos financeiros e humanos, e a avaliação da forma como os SI vão suportar o negócio ao longo do tempo.

O planeamento estratégico deverá ser visionário na medida em que é crucial que seja realista bem como realizável. Sendo da autoria dos decisores da organização é indispensável que reflicta o seu comprometimento.

Segundo [Ward e Griffiths 1996], os SI que partilham informação através das TI com clientes/consumidores e/ou fornecedores, alteram a natureza destas relações sendo um valor acrescentado para a organização;

Earl [Earl 1996] sugere que a forma obter benefícios estratégicos dos SI/TI consiste em repensar o negócio através da análise dos problemas do negócio e da mudança da envolvente, considerando as TI como um ingrediente da solução.

Os SI/TI devem ser considerados como uma das componentes do negócio – tal como o marketing, a produção ou o aprovisionamento -, devendo ser desenvolvidos de forma eficiente e efectiva com vista à sobrevivência do negócio. Podem também providenciar uma vantagem competitiva e estratégica para a organização se geridos

com astúcia. Tal implica uma aproximação ao desenvolvimento de estratégias para os SI/TI derivada e integrada com os restantes componentes da estratégia do negócio.

Do mesmo modo que em qualquer outra componente do negócio, a estratégia de SI/TI deve identificar, o impacto potencial para o negócio das TI, avaliando que informação e que sistemas são necessários para permitir atingir os resultados da estratégia e, posteriormente, determinar o modo como é possível implementar estes SI através das TI.

Ao efectuar-se este planeamento estratégico vai ser crucial analisar o negócio, avaliando os actuais SI/TI e identificando as oportunidades que permitam o aumento da sua eficiência.

Earl [Earl 1996] advoga que os decisores de topo necessitam assumir a responsabilidade de posicionarem os SI/TI como uma força motora no desenho dos planos de negócio. Tal implica que os decisores estejam documentados sobre as oportunidades e as ameaças competitivas próprias dos SI/TI e requer, ainda, uma função de gestão da informação claramente definida que reflicta a necessidade de passar do ênfase de uma gestão centrada nas TI para uma outra que integre os recursos de informação com os objectivos do negócio. Assim, pretende-se uma gestão com perspectiva multidisciplinar que combine a gestão da informação com o negócio por forma a anular o gap entre os SI/TI e os objectivos estratégicos de negócio da organização.

A globalização da economia provoca mutações estratégicas constantes nas organizações. Estas mutações estratégicas implicam modificações e revisões do negócio, sugerindo por si só que o PSI deverá fazer parte do processo de revisão global do negócio. O PSI e o PCR serão então cruciais não só como um suporte sustentado do negócio, mas também como uma forma de alinhamento dos SI com os objectivos do negócio, providenciando a sua ininterrupção.

Metodologias

As metodologias de PSI permitem mudar a forma de gestão das organizações, provocando potenciais alterações nas metodologias de trabalho e nas capacidades técnicas, sendo crucial atender a estas potencialidades que deverão ser canalizadas para o suporte aos objectivos da organização, por forma a tornarem-se em vantagens competitivas para o negócio.

Actualmente a generalidade das organizações depende dos SI, podendo esta dependência significar vulnerabilidade, uma vez que a interrupção do processamento dos SI pode afectar a capacidade da organização orientar e gerir o seu negócio.

Está assim patente a necessidade de uma estratégia para os SI, uma vez que o planeamento estratégico dos SI poderá condicionar a generalidade da organização, tem repercussões no tempo e, consequentemente, pode conduzir a transformações significativas na organização. Dada a cada vez maior sensibilização para as inúmeras ameaças a que a organização está exposta, tem-se assistido ao aumento da actividade de PSI, o que por si só, traduz-se num aumento da eficiência dos SI.

O aumento da preocupação da ininterrupção dos SI, conduz à intensificação da utilização dos métodos de PSI e de PCR e a sua integração permite a obtenção de ganhos de produtividade e de eficiência, bem como uma maior eficácia aquando da recuperação.

6. Conclusão

Poder-se-á concluir que fica mais rico o PSI com a integração do PCR na medida em que aumenta quer o seu grau de abrangência quer o seu grau de eficiência.

Esta nova abordagem ao problema do planeamento das duas actividades permite uma visão global e total, sendo uma solução integrada que permite um elevado nível de integração e optimização.

Actualmente as organizações que estão a efectuar os PCR, estão a ter uma duplicidade de tarefas e encargos porque aquando do PSI, este não foi equacionado como um input para o PCR.

Em determinada época, aquela em que foram desenvolvidos os PSI de uma parte das organizações nacionais, e está-se a falar daqueles que tradicionalmente têm apresentado preocupações mais vincadas neste domínio - a banca, os seguros, etc. -, os PSI desenvolvidos não tiveram uma visão estratégica desta problemática, até porque as preocupações com PCR para as organizações portuguesas são relativamente recentes.

O grau de dependência dos SI a que actualmente as organizações estão sujeitas e o aproveitamento das novas TI como vantagem competitiva, implicam

necessariamente a mudança de mentalidade que tem vindo a ser gradual em função da consciencialização das ameaças para a continuidade do negócio das organizações.

O PSI é hoje uma actividade contingencial, complexa, com múltiplas finalidades e de natureza holística, não tendo sido observável uma evolução adequada, nos referenciais metodológicos utilizados no seu estudo e na sua realização.

O PCR é uma actividade ainda encarada como uma actividade de execução não prioritária, mas sim de prioridades temporárias em função das ameaças e riscos expectáveis, como se constatou recentemente com a problemática do ano 2000.

Em alguns casos, as organizações estão expostas a riscos mal dimensionados, dado que os respectivos decisores não conhecem o valor económico da informação crítica para o seu negócio.

Possuir então um PCR não se trata de se estar protegido na eventualidade de um acidente pontual, trata-se sim de ter previsto, desde a concepção do PSI, um conjunto de soluções de continuidade do negócio para que os pequenos grandes problemas para que possam ser tratados sem interromper o negócio.

Numa economia cada vez mais globalizada, a internet passou a ser a montra da organização e, muitas das vezes o primeiro nível de contacto com os clientes. Nestas condições em que o desenvolvimento de negócios pela internet não se circunscreve às fronteiras geográficas de um país a continuidade e desenvolvimento estão consideravelmente dependentes de um PCR que assegure a continuidade do negócio.

Torna-se então estrategicamente importante para a organização, que o desenvolvimento do PSI seja simultâneo e integrado com o PCR e em sintonia com os objectivos do negócio.

Bibliografia

Alter, S., Information Systems: A Management Perspective, Addison-Wesley, 1992. Amaral, L. A. M., PRAXIS Um Referencial para o Planeamento de Sistemas de

Informação, Tese de Doutoramento, Universidade do Minho, 1994

Amaral, L., “Metodologias de Planeamento de Sistemas de Informação”,

Informação & Informática, Revista das Tecnologias da Informação na Administração Pública, Junho, 4 (1989), 17-20.

Amaral, L., “Planeamento de Sistemas de Informação em portugal”, Revista do 2º

Applegate, L. M., F. W. McFarlan e J. L. McKenney, Corporate Information

Systems Management: Text and Cases, 4th Ed., IRWIN, 1996.

Arnell, A., Handbook of Effective Disaster/Recovery Planning, McGraw-Hill, 1990.

Butler, J. G., Contingency Planning and Disaster Recovery: Protecting your

Organization's Resources, Computer Tecnology Research, 1997.

Carvalho, J. Á. e L. A. M. Amaral, “Matriz de Actividades: Um Enquadramento Conceptual para as Actividades de Planeamento e Desenvolvimento de Sistemas de Informação”, Revista da Associação Portuguesa de Sistemas de Informação, 1 (1993), 37-48.

Ciborra, C. e T. Jelassi, Strategic Informaction Systems – A European Prespective, Wiley Series in Information Systems, 1994.

Cook, M. AA. Building Enterprise Information Architectures Reengineering

Information Systems, Prentice-Hall, 1996.

Cortada, J. W., Capacity Planning, Cost Justification, Availability, and Energy

Management, Prentice-Hall, 1983.

CPR, Contingency Planning Strategies/90tm, The Research Source for

Developing a Disaster Recovery Plan, Contingency Planning Research, inc., 4th

Ed.,1992.

Earl, M. J., Management Strategies for Information Techonology, Prentice-Hall, Cambridge, 1989.

Earl, M. J., Information Management: The Organizational Dimension, Oxford, 1996. Faria, L. R., Planos de Contingência e Recuperação em caso de Desastre, Dissertação de Mestrado, Universidade Católica Portuguesa-Porto, 1994.

Faria, M. L. R. e L. A. M. Amaral, “Planeamento da Contingência e Recuperação”,

Revista da Associação Portuguesa de Sistemas de Informação, 8 (1998), 43-51.

Faria, M. L. R., “Qualidade e Planos de Contingência e Recuperação em caso de Desastre”, 2º Encontro Nacional para a Qualidade nas Tecnologias de Informação e

Comunicações QUATIC’95, 1995.

Faria, M. L. R., “Manual Electrónico de Apoio ao Desenvolvimento de Planos de Contingência e Recuperação em Sistemas de Informação para PME”, Projecto de

Investigação do Instituto Politécnico de Setúbal, 2000.

Galliers, R.D. (Ed.), Information Systems Research: Issues, methods and practical

Goldberg, S. H., S. C. Davis e A. M. Pegalis, Y2K Risk Management -

Contingency Planning, Business Continuity, and Avoiding Litigation, Wiley

Computer Publishing, 1999.

IIARF, Systems Auditability and Control - Contingency Planning, Module 10, Second Printing, December, 1991.

Inmon, W. H., J. A. Zachman e J. G. Geiger, Data Stores Data Warehousing and the

Zachman Framework Managing Enterprise Knowledge, McGraw-Hill, 1997.

Marcela, A. J., W. J. Sampias e J. K. Kincaid, Disaster Contingency Planning, Institute of Internal Auditor, 1993.

Moscove, S. A., M. G. Simhin a N. A. Bagranoff, Core Concepts of Accounting

Information Systems, John Wiley & Sons, 6th Ed., 1999.

Myers, K. N. Total Contingency Planning for Disasters: Managing Risk,

Minimizing Loss, Ensuring Business, Continuity, Jonh Wiley & Sons, 1993.

Niederman, F., J. C. Brancheau e J. C. Wetherbe, “Information Systems Management Issues for the 1990s”, MIS Quarterly, 15 4 (1991), 475-500.

QED, Disaster Recovery: Contingency Planning and Program Evaluation, The Chantico Tecnical Management Series, Technical Publishing Group, 1985.

Remenyi, D., Information Management case studies, Pitman, London, 1993. Rohde, R. e J. Haskett, “Disaster Recovery - Planning for Academic - Computing Centers”, Journal of the Association for Computing Machinery, 33, 6 (1990), 652-657.

Schaub, J. L. e K. D. Biery, The Ultimate Security Survey, Butterworth-Heinemann, 1994.

Schweitzer, J. A., Managing Information Security – Administrative, Electronic, and

Legal Measures to Protect Business Information, 2nd Ed., Butterworths, 1990.

Turban, McLean e Wetherbe, “Information Systems Planning” in Information

Tecnology for Management. Improving Quality and Produtivity, Wiley, 1996,

366-405.

Walsham, G., Interpreting Information Systems in Organizations, University of Cambridge, John Wiley Series in Information Systems, 1990.

Ward, B., Planning for Profit, in Lincoln. T. J. (Eds.), Managing Information

Systems for Profit, John Wiley & Sons, 1990.

Ward, J., e P. Griffiths, Strategic Planning for Information Systems, 2nd Ed., John Wiley & Sons, 1996.