Gestão da Continuidade de Negócios - 2/3

Hoje será dado continuidade à sequência de posts sobre a GCN - serão apresentados os Testes do PCN, o Plano de Administração de Crise e o Plano de Contingência.

Os Testes do PCN

Nesta fase são validadas as hipóteses de soluções aos incidentes mapeados e tratados. Os testes podem ocorrer fora do período de trabalho (noturno ou durante o fim de semana) ou, dependendo da necessidade dentro de um horário crítico, mas controlado.

Para se testar um PCN é necessário:

• Realizar o anúncio à instituição (provável parada controlada nas operações)
• Realizar a simulação do incidente, causando/simulando a parada de ativos críticos
• Seguir os planos do PCN para recuperação das operações

Uma vez reativados os ativos críticos, deverá ser realizado um registro de todos os resultados obtidos – impacto na equipe, em recursos humanos, no negócio, em processos, em equipamentos ou softwares e os desvios ocorridos durante sua execução – com os testes para proceder uma evolução dos planos do PCN, quando/se necessário.

O Plano de Administração de Crises

Crise é o momento que ocorre um incidente que comprometa (deteriore/interrompa) a operação normal da instituição. Durante uma crise, o Comitê da GCN deverá analisar o problema/situação e decidir se irá ativar o processo de Contingência, realizando os devidos contatos com as áreas para que iniciem a execução de seus planos.

Este plano apoia a equipe de administração de crises da instituição em caso de incidente que acarrete uma crise, minimizando os riscos e a falta de controle sobre a mesma, neste momento crítico. Esta equipe que atuará sobre a crise (a mesma que definiu as políticas do PCN) deve comandar a execução do PCN e manter a alta direção alinhada com as ações tomadas e seus resultados.

O PAC deve conter, no mínimo, as seguintes informações:

• O objetivo do plano e as possíveis crises a serem tratadas
• Integrantes da equipe de administração de crise.
• As atividades para administração da crise, seus responsáveis e contatos.
• A sala de guerra (War Room) local e externa (em caso de incidente grave) para administração da crise.
• As diretrizes para realização de informes internos e externos

O Plano de Contingência

Contingência é o momento em que ocorre a mobilização de recursos para responder ao incidente e garantir a continuidade dos negócios críticos durante o incidente.

Aqui estarão contidas as ações e respostas viáveis a incidentes previamente identificados, analisados e geradas as possíveis soluções, objetivando estabilizar a operação.

O PC deve conter, no mínimo, as seguintes informações:

• O objetivo do plano e as ameaças que estão sendo tratadas
• Pessoas chaves (equipe de comando e equipe de execução), com níveis de autoridade e responsabilidades, meios de contato e a cadeia de escalonamento
• Processos de respostas emergenciais (checklist), como, evacuação do ambiente, desativação do ambiente, proteção dos dados
• Condições para ativação dos processos e suas respectivas ações (priorizadas, identificadas com seus responsáveis e os prazos de execução).
• A sala de guerra (War Room) local e externa (em caso de incidente grave) para o comando da operação.
• O catálogo de ativos críticos (hardware, software, dados e documentos)
• Processos de restauração de contingência, com o devido controle, comunicação, recuperação e restauração e, se necessitar, incluir a parte administrativa e logística da operação.
• Documentos de apoio, como a localização física dos ativos críticos de TI, a planta baixa do ambiente com suas instalações elétricas e hidráulicas, a localização de extintores (internos e externos), etc.

Para tornar as tomadas de decisões serão mais rápidas e assertivas, o catálogo de ativos deve ser identificado por níveis de importância ao negócio, como o exemplo baixo (criando tantos níveis quanto se acreditar necessário):

• Nível 1: Ativos de alta importância e alto impacto, que prejudicam muito ou interrompem o negócio.
• Nível 2: Ativos de média importância e médio impacto, que prejudicam o negócio.
• Nível 3: Ativos de baixa importância e baixo impacto, que prejudicam pouco ou nada ao negócio.

E, para cada ativo catalogado, faça a correlação com os processos de negócio que ele suporta, assim, com esta referência cruzada, ficará fácil identificar o impacto no negócio quando o ativo precisar ser movido ou tiver sido prejudicado/danificado.

Conforme a criticidade do incidente causador da interrupção das operações, o PCN pode ser executado total ou parcialmente, em acordo com suas definições, visando dar suporte às atividades críticas necessárias. O conteúdo e os planos componentes do PCN devem variar, em profundidade de detalhe, em escala/abrangência, em relação ao ambiente, à cultura organizacional e à complexidade da instituição. E, ainda, de acordo com o tamanho da instituição e/ou complexidade do negócio, o PCN pode necessitar de documentos separados para cada um de seu incidente crítico (PGI - Plano de Gerenciamento de Incidente) ou, simplesmente, ter todos os aspectos consolidados no PC.

O Plano de Gerenciamento de Incidente (PGI), quando elaborado, possuirá instruções detalhadas de ações a serem executadas em caso de ocorrência de determinado incidente - veja um exemplo de PGI no post final da sequência GCN.

O PCN deve ser testado com frequência, ter seus resultados avaliados e, em caso de necessidade, evoluído, mantendo-o, assim, adequado aos seus objetivos primários. Além disto, tanto as pessoas comprometidas com as ações de recuperação (principalmente), quanto as pessoas que estão envolvidas com a instituição, devem conhecer o PCN e serem capazes de executar as ações sob sua responsabilidade (nem que sejam apenas as ações “Manter a calma” e “Evacuar o ambiente”).

É muito importante que todo o planejamento do processo da Gestão da Continuidade de Negócio leve em consideração a Segurança da Informação, pois o ambiente de continuidade do negócio (muito provavelmente) será diferente do ambiente controlado normal de operação, aumentando potencialmente as ameaças e vulnerabilidades do negócio durante este período de transição. 

REFERÊNCIAS

Gestão da Continuidade de Negócios - 1/3

Até o próximo e último post da "trilogia" GCN com a compilação de alguns documentos de apoio para download.