Unidade 4 BIA e PCN

Prévia do material em texto

UNIDADE IV - CONCEITOS SOBRE REALIZAÇÃO DE ANÁLISE DE IMPACTO AO NEGÓCIO (BIA) E PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN) (EM ANDAMENTO)
Introdução ao Tema
Como Realizar uma Análise de Impacto ao Negócio (BIA)
O processo de BIA é realizado por meio de entrevistas. Significa que o responsável pelo processo de continuidade de negócio deverá entrevistar os líderes de cada área da organização.
É necessária total transparência do processo e de seu objetivo. Assim, é fundamental explicar o propósito da análise para cada líder, evitando um levantamento que traga informações tendenciosas e/ou pouco fidedignas.
Deve-se organizar treinamentos pontuais ou workshops com as pessoas diretamente envolvidas para explicar a todos os líderes das áreas de negócio o propósito da BIA – tudo isso para conseguir melhores resultados nas entrevistas.
- Pontos relevantes para o sucesso na BIA:
1º Não se deve executar o processo da BIA sem ter maturidade para conceber o processo em si, ou mesmo sem a empresa ter maturidade para tal. Ainda que existam templates de questionários disponíveis na internet, a BIA deve ser personalizado para a organização em questão;
2º Considerar que o foco da BIA corresponde aos processos do negócio e como os riscos podem impactá-los;
3º Envolver a alta direção na BIA, pois sem a participação dessa, não há sentido na elaboração desse processo;
4º Definir um escopo bem objetivo, que seja realmente relevante ao negócio – escopos vagos ou diferentes do princípio da objetividade serão inúteis;
5º Existe a necessidade da composição de um comitê executivo – alta administração – para apoiar, aprovar e garantir a validade e importância da BIA;
6º Qualificar o que é alto, médio e baixo para impactos financeiros é uma métrica importante, desde que também seja importante do ponto de vista do negócio;
7º Qualificar o que é mais relevante para a organização – são as perdas financeiras? Sociais? Legais? Ambientais? De reputação? A qualificação disso é importante, pois essa qualificação pode mudar de acordo com a ótica do negócio, de modo que pode ser mais sensível a um tipo de impacto que a outros;
8º Elaborar uma entrevista-padrão que servirá para avaliar todos os processos do negócio. A entrevista deverá ser realizada com todos os gestores e grupos de processos;
9º As informações apuradas deverão ser bem validadas – avaliar RTO, RPO e MTPD de cada processo é necessário e importante;
10ºIdentificar quais serviços são usados em cada processo, destacando os que dependem de tecnologia – como também identificar cada possível impacto e utilizar a metodologia correta para valorar cada um.
O maior objetivo do planejamento de contingência é a continuidade dos negócios da organização, portanto, a definição de processo crítico é ligada ao aspecto de atuação direta – captação, prestação de serviços, orientação etc., ao cliente –, ou indireta – aquela que, no mínimo, dá suporte a quem atua diretamente – nos negócios e que, portanto, devem ser os processos a serem privilegiados em caso de necessidade de recuperação em contingência.
A característica fundamental de um processo crítico de negócios normalmente está associada à capacidade de geração de recursos financeiros para a organização através dos negócios que esta proporciona, portanto, sua interrupção significa, na maioria das vezes, cessação da "entrada de recursos".
Diante disso, o processo de BIA é importante e deve ser executado com pleno apoio da direção da empresa e em sinergia com todos os líderes de negócios.
Conceitos Sobre Plano de Continuidade de Negócios
A natureza da segurança da informação é garantir a continuidade dos negócios da organização e minimizar danos por meio da prevenção e redução dos impactos causados por incidentes de segurança. Porém, e se essa “prevenção” falhar? O que fazer? Como fazer?!
Deve-se ter o foco na manutenção das funções críticas do negócio – foco em processos de negócio tais como:
• Questões relacionadas aos ativos de Tecnologia da Informação (TI), as quais somente abordadas no que se relacionam à sua importância para os processos críticos de negócio;
• Geralmente contêm plano de recuperação de desastres e de contingência de TI;
• Fornecem procedimentos detalhados para a recuperação – exemplo: sites alternativos em caso de desastre;
• Foco em ativos de TI e sinistros com efeitos de longo prazo;
• Foco nos processos-fim da organização. A necessidade de um processo-meio com suporte ou de gestão se dá em função da demanda de um processo-fim que deve complementar a análise de risco – trata-se de uma solução para determinados riscos;
• Um Plano de Continuidade de Negócios (PCN) responde a um desastre pré-definido e não tem capacidade de responder o todo e qualquer desastre – recomenda-se que seja considerado o conceito de “pior cenário possível”.
Deve-se ter devidamente mapeado quais são os sistemas críticos que garantem a continuidade do negócio da empresa – quais recursos de hardware, software e infraestrutura tais sistemas dependem?
Deve-se ainda desenvolver planos de contingência para casos de falhas de segurança, desastres, perdas de serviço etc. Tais planos devem ser documentados e o pessoal envolvido, treinado.
Os planos de contingência devem ser testados regularmente, pois quando concebidos teoricamente, apenas, podem apresentar falhas devido a pressupostos incorretos, omissões, mudanças de equipamento e/ou pessoal.
Há ainda que se desenvolver o PCN para mitigar o impacto de riscos previamente mapeados na análise de risco e devidamente avaliados no processo de BIA. As ações para a concepção de um PCN devem estar devidamente fundamentadas em um amplo mapeamento dos riscos e impactos.
Mesmo o melhor PCN deve ser reavaliado e sempre testado, considerando o pior cenário. Deve também capacitar a empresa a continuar a operar mesmo que o pior risco mapeado venha ocorrer.
Importância do PCN
Como dito, PCN é o Plano de Continuidade de Negócios e é composto por um conjunto de procedimentos e planos que se montam com antecedência no sentido de:
• Minimizar impactos de incidentes;
• Garantir a manutenção de processos vitais;
• Manter a empresa funcionando, ainda que precariamente, em caso de problemas.
Contingência é a alternativa para a “continuidade operacional dos negócios” no caso de problemas ou incidentes que possam comprometer o CID das informações, recursos e/ou ambientes de negócios, ou ainda de suporte aos negócios.
Riscos Versus Impactos
Deve-se considerar:
• Baixo risco com baixo impacto – solução, helpdesk;
• Baixo risco com baixo impacto – solução, SLA;
• Alto risco com baixo impacto – solução, SLA;
• Alto risco com alto impacto – solução, PCN.
A informação é o principal bem que uma empresa possui. Assim, o desafio essencial do PCN é mitigar a “indisponibilidade de acesso” às informações, aos ambientes, aos recursos.
A maioria dos riscos relativos à “indisponibilidade” é de natureza humana, por falhas/erros operacionais e/ou nas aplicações. Ciente disso, deve-se dispor de todas as metodologias necessárias para elencar cada risco e seus impactos, possibilitando, assim, construir um PCN que seja realmente efetivo.