Não é só de técnicas que o mundo de TI vive, devemos nos cercar de diversas maturidade, ja pensou como deixar a sua empresa funcionando depois de um incidente grave? Recapitulando segurança se refere a um estado ou condição , caracterizado pela proteção contra eventos que possam causar danos aos ativos de um organização ou provocar uma mudança no curso previamente planejado. O objetivo é trazer os riscos de ambas as situações para dentro dos patamares aceitáveis, através de uma série de iniciativas.

Vários incidentes exigem tratamento diferenciado por meio de ações e medidas específicas, que visem aos objetivos de proteção.
Essa categoria inclui aquilo que costumamos chamar de desastres, eventos de grande magnitude em termos de prejuízo, porém, com probabilidade muito baixa de ocorrência. As características desse tipo de evento nos levam à necessidade de implantar planos de abrangentes, que visem à preservação da integridade física dos colaboradores da organização, bem como proteções adequadas que garantam o funcionamento dos processos críticos que, caso sejam seriamente afetados, possam comprometer a própria existência da organização.

1-1 – Definição de PCN/BCP

O PCN ou BCP (Plano de Continuidade de Negócios ou Bussiness Contituity Plan ) é constituído de uma série de procedimento e medidas que terão por objetivo a minimizar as perdas decorrentes de um desastres , ou seja, de um evento de grandes proporções em termo de impacto.
Esses procedimentos e medidas têm como principal objetivo a preservação da integridade física dos colaboradores, a redução dos prejuízos causados por desastres e a continuidade operacional dos processos da organização que foram identificados como críticos . Essa continuidade operacional se dá por meio da implementação de uma série de estratégias e ferramentas realizadas de acordo com as prioridades identificadas durante a elaboração do plano. Dentro dos planos temos:

* Procedimento de resposta de emergência
* Procedimento de reparação dos ativos e instalações afetadas pelo desastre
* Procedimentos de gestão de crise
* Procedimentos para comunicação com entidades externas, como a polícia e a mídia,
* Detalhamento dos fornecedores que serão parceiros nos processo, entre outras coisas.

O uso desses planos evoluiu um outro tipo, conhecido como PRD ou DRP (Plano de Recuperação de Desastres ou Disaster Recovery ). O PRD é um plano focado na recuperação de ativos de Tecnologia da Informação (TI) danificados por uma catástrofe ou por uma falha de sistema. Esse é apenas um dos aspectos cobertos no PCN. É importante ressaltar que a recuperação dos equipamentos do TI envolve a reparação dos ativos danificados para que os mesmo possam voltar à operação. Podemos ressaltar o processo de aquisição/locação de aparelhos substituídos, procedimentos de instalação/configuração de softwares e procedimentos de restauro de backups. Porém, não é coberta pelo PRD a maneira como os processos críticos estarão operando nesse meio tempo, tarefa que a fica a cargo do PCN.

1-2 – Definição de Desastre

È a ocorrência de um evento súbito, de grande magnitude, que possa causar grandes prejuízos aos ativos e processos Ex: incêndios, grandes manifestações públicas ou catástrofes de ordem meteorológica como sendo os desastres mais comuns enfrentados por organização em geral.
O fator chave que vai definir se um evento é um desastre ou não, para o âmbito de um PCN, é tempo de parada que o evento causará nos processos críticos da organização.Uma falha grave de sistema , que tire o mesmo do ar por um período de 48 horas, pode ser considerada um desastre, pois foi previamente definido que a organização n/ao poderia ficar sem aquele sistema opor mais de quatro horas.
Esse tempo máximo tolerável é identificado e estabelecido durante a elaboração do plano pelo uso de metodologias que veremos na fase de desenvolvimento.

1-3 – Objetivos

Existe uma série de objetivos a serem endereçados pelo PCN, mas todos dependem da definição do que é um desastre para a organização. Essa definição dá através da identificação dos processos críticos e do tempo máximo que a organização pode ficar sem o mesmo. Dessa forma, qualquer evento que comprometa esse tempo será considerado em desastre.
Um vez ocorrido um evento, antes mesmo de podermos identificá-los como desastre ou não, deveremos ter procedimentos claros de emergência, que definirão do que forma respondemos a eventos em geral com o propósito inicial de garantir a integridade física dos colaboradores e minimizar as perdas causadas. A própria definição de tais procedimentos tem também o propósito de minimizar a confusão que se instala nos momentos de crise. Essa confusão não só atrapalha a tentativa de minimizar os impactos causados pelos problemas como também é crucial para garantir a segurança dos colaboradores.
Uma vez feita a resposta de emergência, o passo seguinte é analisar a situação, usando o critério de desastre pré-definido, para avaliar a necessidade de se acionar os procedimentos de continuidade dos processos críticos, sendo este o principal objetivo do PCN. Além da continuidade, temos também como objetivo a recuperação dos recursos que foram danificados.

Já verificamos que o PCN é o plano que nos permitirá, em última instância, atingir os objetivos de continuidade em caso de desastres. O plano é feita a partir de um momento especifico. Hoje as organizações vem sempre passam por mudanças constantes , um plano feito para um determinado momento não tem como endereçar a médio e logo prazos.

O PCN passa a se tornar um organismo vivo , demandado de atualizações a todo momento de forma a se adequar em novas mudanças que apropria organização sofre . isso é feito por meio de uma implementação de um processo de gestão, que tem o objetivo a manutenção permanente do plano, a incorporação da cultura de continuidade a própria organização e a auditoria recorrente, garantindo que essas medidas estão realmente sendo seguidas.

2.1 – Entendendo o Negócio

Essa a primeira fase que é o entendimento dos negócios. Esse entendimento dever ser feito através da ótica da continuidade, demandando que algumas questões especificas sejam respondidas, as respostas dessas perguntas servirá de base na definição da estratégia de continuidade a ser adotada pela organização e serão também o fator-chave que garantirá um aliamento entre os objetivos da organização e a capacidade que a GCN terá de suportar e colocar com esses objetivos
Identificado quais são seus objetivos e aspectos críticos a serem preservados, o passo seguinte é a execução da AIN ou BIA (Analise de Impacto nos Negócios ou Business Impact Analysis) que é uma analise empírica cujo propósito é avaliar quais são os processos mais críticos de uma organização e seu tempo máximo de tolerância sem eles.

2.2 – Estratégias de continuidade do negócio

Essa fase lida com a definição de estratégias que garantem a disponibilidade de recursos, metodologias e processos que asseguram a continuidade dos processos críticos em casos de desastres. A definição das estratégias depende do entendimento do negócio da organização, feito na fase anterior. É através dessas informações levantadas que teremos subsídio para entender quais os objetivos a serem atingidos em termos de continuidade, fator fundamental para a correta escolha da estratégia
Existe três modelos de estratégia serem adotadas :

* Ativo / Backup – Esses recursos devem cobrir todos os aspectos da organização e envolvem a realocação da força de trabalho dos sistemas e dos dados para uma outra localidade

* Ativo / Ativo – O uso de duas ou mais localidades operacionais geograficamente separadas. O objetivo é que as operações estejam divididas em localidades distintas e que elas possam servir como contingência entre si

* Localidade Alternativa – Esse é um modelo intermediário entre os dois modelos apresentados. Consiste no uso de uma localidade sobressalente que receba parte das operações de forma periódica com o propósito de testar e homologar o seu funcionamento.

A definição dessas estratégia por sua vez, que independente do modelo utilizado, ocorre em três níveis

* Organizacional – Garante que os objetivos da GCN estão alianhados com os objetivos da organização
* De processos – As atividades mais críticas de uma organização normalmente ocorrem de forma repetitiva , caracterizando seus processos internos. A execução das atividades críticas, dessa forma, reside basicamente na execução de determinados processos que devem ser analisados de forma a adotarmos estratégia de continuidade adequada
* De recursos – Neste nível trabalharemos os mecanismos que garantirão a disponibilidade dos recursos necessários à execução dois processos de continuidade

2.3 – Desenvolver e Implementar um plano de resposta

Essa fase desenvolver e implementa a resposta aos desastres através do uso dos planos. Já definimos o PCN e o PRD, Faltando a definição do Programa de Administração de Crises (PAC)
O PAC é o documento que define onde e como serão tomadas as ações que permitirão à organização estabelecer um centro de gestão de crises e gerenciar a partir de lá todas as tarefas associadas à coordenação da organização durante a ocorrência de um desastre
É a partir deste centro todas as decisões são tomadas que as equipe são coordenadas e o contato com agentes externos, como políticas, defesa cível ou imprensa , é feito

2.4 – Construir e Incorporar a cultura de GCN

A Incorporação dos valores é um dos principais objetivos do GCN por diversas razões. Umas delas esta relacionada ao uso corretos dos recursos de uma organização. Quando desenvolvemos um PCN, estamos desenvolvendo um plano que se aplica a um determinado momento e a uma determinada realidade dentro da organização. Em poucas semanas é possível que uma grande quantidade de mudanças ocorra, quantidade essa suficiente para tornar o plano inútil ou comprometer seriamente a sua eficiência
Uma forma de se evitar esse problema seria implementar processos que garantam a atualização do plano toda vez que uma mudança na organização venha a afetá-lo.O problema deste tipo de abordagem é que o seu uso isolado não traz resultados satisfatórios, porque muitas z]vezes é impossível prever todas as situações que podem ocasionar este tipo de mudança, e, mesmo que isso fosse possível, os recursos que a empresa teria para avaliar se os processos estão realmente sendo seguidos são limitados
Dessa forma, é imprescindível que uma cultura relacionada aos aspectos de continuidade seja desenvolvida e que os seus valores e paradigmas sejam incorporados ao dia-a-dia da organização. Essa incorporação é um processo lento que deve, porém, ser conduzido de forma contínua e ininterrupta.

2.5 – Exercícios, Manutenção e Auditoria

Nenhum, plano pode ser considerado maduro sem ter sido simulado e exercitado algumas vezes. As situações de crises são responsáveis de alterar o aspecto emocional das pessoas, dificultando o seu raciocínio e principalmente para ler um procedimento e executá-los , com o exercício melhoramos os aspectos emocional em uma situação real de crise, por que elas aumenta a confiança que eles tem em si mesmo e na sua capacidade de executar aqueles procedimentos.
O processo de manutenção , por sua vez, grante que o plano está constantemente sendo revisado e adequado à realidade da organização. . Aqui endereçamos os aspectos mais burocráticos, em especial a Gerencia de mudanças dos procedimentos.
Por fim, temos o processo de auditoria, que tem como propósito oferecer uma avaliação independente de tudo que foi feito. Essa avaliação pode ser produtiva em diversos aspectos, Do ponto de vista da qualidade dos planos e processos, eles só têm a ganhar com uma avaliação independente

2.4 – Gerenciamentos do programa

O ultimo nível de maturidade que podemos alcançar com o GCN é a garantia de que o mesmo está realmente incorporado ao framework de gestão da organização e que a sua importância está devidamente reconhecida. Para que isso ocorra, alguns aspectos deve ser observados. Um deles é garantir que a organização possua executivos de alto escalão comprometidos com GCN. Além disso, os processos de planos de continuidade consomem recursos que muitas vezes são difíceis de serem obtidos por conta da ausência de benefícios diretos e imediatos.

continua ...