A norma ABNT NBR 15999-1:2007 que trata da Gestão de Continuidade de Negócio (GCN), foi lançada no Brasil em outubro de 2007 e teve uma versão corrigida em fevereiro de 2008, trata-se, portanto de uma norma nova onde o mercado está travando os primeiros contatos com o documento e toda uma comunidade envolvida, incluindo auditores, gestores de negócio e de TI, executivos e outros vem conhecendo e se adaptando a norma no sentido de fazer o melhor uso em suas organizações. A norma tem como base as experiências acadêmicas, técnicas de especialistas de GCN e de boas práticas de mercado de GCN e tem como principal propósito servir como ponto de referência para as situações e necessidades de Continuidade de Negócio.
De uma forma sumarizada a norma NBR 15999 recomenda que as corporações tratem o tema GCN dentro dos seguintes elementos:
Entendendo a organização...
...através da identificação e entendimento dos requisitos da organização quanto a obrigações e deveres legais, da identificação dos processos, atividades, ativos e recursos utilizados na operação da empresa e da identificação e avaliação das ameaças que possam interromper os produtos e serviços fundamentais para a saúde operacional e financeira da organização.
Nesse primeiro elemento observamos que as empresas, em sua maior parte, no Brasil não tem a prática da execução da Avaliação de Risco e uma minoria executa de forma regular, quando executa, a Análise de Impactos no Negócio, ou seja, toda parte de identificação, preparação e entendimento dos requisitos de negócio quanto à recuperação e continuidade fica prejudicada comprometendo em muito a correta alocação de recursos para a GCN e a eficácia do processo como um todo.
Determinando a estratégia de continuidade de negócio
Após o entendimento da organização, a empresa estará, ao menos teoricamente, em condições de efetuar o desenvolvimento e escolhas de estratégias de continuidade apropriadas aos objetivos de negócio. A norma sugere que as organizações abordem aspectos levando em conta o período máximo de interrupção tolerável, os impactos de não se fazer nada e o desenvolvimento de estratégias que tenha como escopo as pessoas, instalações, tecnologia, informação, suprimentos e outras partes de interesse.
Encontramos nesse elemento grandes lacunas senão vejamos:
Em boa parte das organizações as pessoas e conseqüentemente seu conhecimento e habilidades não são levados em conta o que contribui para o insucesso das recuperações. Já no item instalações verificamos que muitas empresas, incluindo grandes corporações, não possuem Backup Site ou as instalações alternativas, reservadas para fins de desastres ou inoperâncias, são inadequadas e com recursos aquém dos necessários. Em tecnologia e Informação temos grandes problemas: Descobrir o RPO – Recovery Point Objective dos aplicativos, estabelecer o sincronismo dos dados quando da recuperação, garantindo a confidencialidade, integridade, disponibilidade e atualização dos mesmos e também possuir recursos adequados no site alternativo. A falha no item suprimentos reside no fato que as empresas não ter identificado, a priori, os suprimentos fundamentais que suportam as suas atividades críticas. Outro ponto que merece crítica é a não consideração nas estratégias de continuidade sobre as relações com fornecedores, parceiros e outras partes interessadas.
Desenvolvendo e implementando uma resposta de GCN
Esse elemento de GCN é relacionado ao desenvolvimento e implementação de planos apropriados de forma a garantir a continuidade das atividades críticas.
Encontramos aqui alguns pontos não aderentes à norma, começando pela inexistência em boa parte das organizações do componente resposta a incidentes normalmente chamado de gerenciamento de incidentes ou gerenciamento de crise componente esse que permite que os incidentes sejam controlados e a operação normal seja retomada rapidamente. Em relação aos planos necessários a GCN (Plano de Gerenciamento de Incidentes, Planos de Continuidade de Negócio, Plano de Recuperação de Desastres), a grande constatação é quanto a baixa qualidade e atualização dos mesmos, o que acaba comprometendo as recuperação e a credibilidade de todo o processo de GCN.
Testando, mantendo e analisando criticamente os preparativos de GCN
Esse elemento completa o ciclo de vida de GCN que busca garantir que os processos de GCN estão validados, são efetivos e estão prontos para serem utilizados com sucesso.
Mas no dia-a-dia das empresas encontramos uma situação pouco alentadora uma vez que inexistem programas de testes, os testes quando são executados não são confiáveis uma vez que em muitas vezes quem valida o teste é a própria área que o executa e não o usuário do processo ou sistema. Outro problema verifica-se na freqüência da execução dos testes onde é comum existir um largo espaço de tempo entre a execução de um teste e o próximo.
Um outro aspecto importante é a não realização da Análise Crítica da capacidade de GCN da organização onde se pode verificar se as estratégias são válidas e presentes, se os planos são efetivos, se os programas de testes são válidos e foram executados, o nível de preparação das pessoas e o processo de controle das alterações.
A norma é finalizada com um capítulo sobre a inclusão da GCN na cultura da organização, também nesse ponto encontramos desvios nas práticas do mercado sendo muito comum à existência de problemas de estrutura organizacional, papéis e responsabilidades, e principalmente de conscientização e treinamento.
A norma é um guia que contém muitas recomendações e sua estrutura pode ser aplicada a empresas de diferentes segmentos e portes sendo de grande utilidade principalmente para organizações sem nenhuma cultura em continuidade de negócios. Até o mercado brasileiro ficar maduro na Gestão da Continuidade de negócio ainda demorará um bom tempo. |
Cabeamento Estruturado
Voltar