Daryus
Por Jeferson D'Addario
Um dos pontos principais de um bom Plano de Continuidade de Negócios é um resultado de testes dos planos consistente e favorável.
Sempre que iniciamos um PCN temos a convicção de que precisamos testá-lo, porém, muitas empresas não testam adequadamente seus planos. Um teste de plano começa no momento do desenvolvimento do plano. Uma boa estrutura de entrevista na construção ajuda em muito os testes.
Quando reunimos profissionais e equipes para a construção de um Plano, por exemplo de TIC - Tecnologia da Informação e Comunicação, precisamos estar atentos a diversos pontos e como será a situação de simulação e testes posteriormente. "O ótimo é inimigo do bom.", como diria um grande amigo meu. Planos muito detalhados são verdadeiras armadilhas para o sucesso de um teste. Anote os objetivos mais comuns de um teste:
1o. Identificar falhas e erros nos planos;
2o. Fornecer uma lista de verificação do que não pode ser esquecido;
3o. Fornecer uma lista de pontos ao longo do tempo (milestones) que precisa-se informar, notificar e fornecer feedback para outras equipes e liderança;
4o. Fornecer uma visão completa sobre a familiarização das equipes na utilização dos planos;
5o. Identificar a necessidade de recursos externos de parceiros e provedores que não foram contemplados;
6o. Identificar cenários faltantes para aquele ativo;
Tomando por base estes objetivos, então temos que buscar respondê-los ao longo da construção dos planos. Um plano é composto por vários cenários, e estes contém ações estruturadas para Emergência, Contingência e Recuperação de Operação, que são as 3 grandes fases depois do acionamento.
Dentro destas fases, então recomenda-se que sejam incluídas as ações de forma cronológica seqüencial, ou seja, Ação 1, Ação 2..., Para cada Ação recomenda-se que seja identificado o 5W2H: O que fazer? Quem faz? Quando faz? Como faz? Pontos críticos? Tempo da Ação?
Desta forma temos 3 momentos distintos e suas Ações em uma ordem que poderá ser medida no momento dos testes e acompanhada com um cronômetro.
Outro ponto é a familiaridade que os envolvidos tem com o Plano em si. Ou seja, não adianta escrever uma tese de doutorado e esperar que as pessoas leiam isto em momentos de crise, torna-se um fator de risco a mais. Portanto, a simplicidade, clareza e facilidade ao acionar e ler o que se está dizendo no plano é primordial. Seja simples, claro e objetivo!
Outro ponto é como os gerentes e lideres da crise lidam com a utilização do material e como tomam suas decisões baseados neste e nas comunicações feitas pelas equipes que estão executando os planos. Quando mais fácil e simples forem as Ações e as tomadas de decisão melhor.
Desta forma, podemos criar uma matriz de avaliação dos testes classificando de 0 a 10 a atuação dos envolvidos, sugerindo o seguinte exemplo:
| Equipe de Gerenciamento de Crises (Crisis Management Team) | ||
| Pontuação | Descrição | Plano de Ação |
| 0-3 | Atuação fraca ou insatisfatória sem familiaridade com o Plano e da sua utilização, conduzindo a erros e equívocos e o não cumprimento dos tempos de RTO. | Requer mais treinamentos ou troca dos membros da equipe. |
| 4-7 | Atuação regular ou boa, mas, pode melhorar. Tem conhecimento e sabe utilizar o plano mesmo com alguns equívocos ou erros durante a utilização o que influenciou a tomada de decisões equivocadas durante os testes. Teve foco nos RTO's, mas, não conseguiu cumpri-los totalmente. | Requer mais treinamento sobre pontos ou cenários específicos e reuniões periódicas mais próximas, semestrais, para manter a equipe condicionada. |
| 8-10 | Atuação regular ou boa, mas, pode melhorar. Tem conhecimento e sabe utilizar o plano mesmo com alguns equívocos ou erros durante a utilização o que influenciou a tomada de decisões equivocadas durante os testes. Teve foco nos RTO's, mas, não conseguiu cumpri-los totalmente. | Requer mais treinamento sobre pontos ou cenários específicos e reuniões periódicas mais próximas, semestrais, para manter a equipe condicionada. |
Sobre o Autor
Consultor Sênior em Gestão de Riscos e Continuidade de Negócios. Certificado como CBCP - Certified Business Continuity Professional pelo DRII - Disaster Recovery Institute international - USA, como ISO 27001 lead Auditor pelo BSI - British Standard institute - UK, CobiT Foundation pelo ISACA-USA. É Sócio diretor da DARYUS Consultoria e Treinamento Brasil. Experiência de mais de 10 anos em TI e Gestão de Riscos com projetos realizados para grandes empresas como Vale do Rio Doce, EDELCA Venezuela, MBR, Natura, Bovespa, Grupo Ultra, Visanet, GVT entre outras empresas líderes no mercado nacional. Formação em Economia e TI. Recebeu o prêmio SECMASTER 2006 na categoria Melhor Contribuição para o Desenvolvimento de Mercado, concedido pela ISSA - Information Security and Systems Association - USA.É Coordenador e professor do curso de Pós-Graduação em Gestão e Tecnologia em Segurança da Informação pela FIT - Faculdade Impacta de Tecnologia em São Paulo - SP.
Cadastre-se para receber nossos informativos.
