Gerenciamento da Continuidade de Negócio e Plano de Recuperação de Desastres. E saiba melhor o lado das empresas!
O que você sabe sobre Gerenciamento da Continuidade de Negócio e Plano de Recuperação de Desastres. Bom, esse é o assunto muito pertinente, pois as empresas que sobrevivem depois disso, são aquelas que se preparam para tal.
Aliás, se um elo falhar, levará a problemas. Como por exemplo, a falta de uma pessoa; uma falha de link; a ausência de um fornecedor; uma estrutura física comprometida etc. Não só isso, mas também se a continuidade de um processo de negócio parar, fatalmente levará a perdas e danos irreparáveis.
O BCP (Business Continuity Plan) permite que a empresa não pare, já que o plano possibilitará a rápida recuperação após um incidente, dano ou desastre. Um BIA (Business Impact Analysis) é necessário para detectar quais são os processos mais críticos de uma organização. ]
O DRP (Disaster Recovery Plan) garante a recuperação da organização depois da paralisação. O gerenciamento da continuidade de negócio se deve a descrição no BS 25999. Ou seja, uma norma britânica feita de modo integral em toda a organização, diferente da ISO 27002, feita de modo apenas à TI.
1. Continuidade
Diz respeito à disponibilidade do sistema no momento que são requisitados. Como por exemplo, uma central telefônica que trabalha com 50 profissionais em 24 horas. Portanto, tem que ter requisitos diferentes de uma outra central, que trabalha apenas no horário comercial, com apenas 1 funcionário. Ou seja, os requisitos de disponibilidade podem diferir drasticamente.
2. O que são catástrofes?
Mesmo uma simples falha se torna uma catástrofe, não devendo ser necessariamente um ataque terrorista. Isso vai depender do processo de negócio e da sua importância.
3. Plano de Recuperação de Desastre – DRP (Disaster Recovery Plan)
Se você ainda não qual a diferença entre DRP e BCP, atenção! O DRP é responsável em minimizar as consequências e tomar as medidas para a volta da operação normal em um tempo aceitável. Ele visa a recuperação enquanto o desastre está em curso.
Já o BCP, visa um local alternativo, exige algo mais abrangente, tudo focado na continuidade, mesmo que parcialmente. O DRP é para voltar à produção. Isto é, se trata antes do desastre, como contingências e caminhos alternativos.
-
Alternativas de locais de trabalho
Avalie os custos em manter um espaço físico como contingência das operações do ramo principal, a fim de assegurar que as operações continuem após um desastre.
-
Site Redundante
Boa alternativa quando a empresa dispõem de diversas localizações, principalmente em se tratando do Data Center. Nessa sentido, a modalidade dos dados devem se replicar entre os sites.
-
Hot Site sobre demanda
Avalie a possibilidade de um caminhão que contenha os recursos necessários para o funcionamento de um CPD temporário. As possibilidades são limitadas? Sim! Mas é uma maneira de começar novamente a operação da maioria dos processos cruciais.
-
Testando o BCP
Um bom BCP/DRP não deve ir para a gaveta após a sua elaboração. Precisa existir um planejamento para testá-lo regularmente e, por consequência, alterá-lo, caso haja necessidade.
Assim sendo, mudanças ocorrem na empresa e devem refletir nos planos. Adicionalmente, considere os testes como uma boa ferramenta de conscientização dos colaboradores. Ás vezes, é melhor não contar com a existência de um plano, do que ter um plano totalmente desatualizado.
-
Medidas com o pessoal
Avalie também a rápida substituição de funcionários. Pois, caso haja um desastre, epidemia, greve ou algo que impossibilite a presença dos colaboradores na empresa, você não sofrerá tanto com os impactos.
Gerenciando Comunicação e Processos Operacionais
1. Procedimentos Operacionais e Responsabilidades
A fim de manter uma gestão eficaz da TI, é importante documentar os procedimentos, atribuindo as responsabilidades. Mas de que modo? Através de instruções de trabalho. Tais como: processos de manutenção de sistemas; forma de realização de backup, como ligar e desligar alguns equipamentos; etc. Alguns itens nestes procedimentos devem existir.
Como por exemplo, a forma como se lida com a informações, a lista de contatos após um incidente e o local onde são gerados os log de arquivos de auditoria, já que estes logs podem ser utilizados como uma forma de se descobrir algum erro no sistema após um problema ou interrupção.
2. Gestão de Mudanças
A Implementação de uma mudança pode levar a risco. E isso é muito sério. No entanto, você sabe de que forma? Veja, por exemplo: vamos imaginar que um sistema tem uma vulnerabilidade e precisa ser aplicado um patch, mas a atualização do sistema pode levar a indisponibilidade ou falhas maiores. Então, avalie bem a mudança.
Imagine também, a substituição da versão de um aplicativo, na qual a Central de Serviços precisa dar continuidade no suporte e consequentemente, aprender a suportar a nova versão. Ou seja, as consequências das mudanças devem ser conhecidas e preparadas com antecedência.
Avalie outro ponto, o desejo por uma definição dos papéis e responsabilidade em um processo de gestão de mudanças. Uma vez que, se a imaginem de cada pessoa pudesse executar livremente as mudanças, fatalmente haveria erros e paralisações.
Além disso, muito provavelmente, dificultaria a detecção da origem de um problema e do responsável pela falha.
3. Segregação de funções
Pode ser difícil para as pequenas empresas aplicar uma segregação de funções. Mas este princípio deve ser seguido na medida do possível e da sua praticidade.
A segregação ajuda a evitar o acesso não autorizado à documentações, dados ou informações, evitando assim, fraudes, desfalques, ações não legais que possam gerar prejuízos e danos à empresa.
4. Desenvolvimento, Teste, Homologação e Produção
A fim de assegurar que as mudanças não se tornem executadas de forma descontrolada, o ideal também se tata de aconselhar a criação de vários ambientes físicos, tais como:
- Desenvolvimento: requisitos de segurança aplicados;
- Teste: determina se o desenvolvimento cumpre com os requisitos;
- Homologação: cliente verifica se o produto satisfaz com as suas especificações;
- Produção: deve ter um plano de recuperação da ultima versão, caso haja uma falha.
5. Gestão de Serviço de Terceiros
Quando uma empresa decide terceirizar, parte ou totalmente, a sua TI, um bom contrato deve ser assinado com o terceiro que presta este serviço, incluindo aspectos de segurança e Acordos de Níveis de Serviços ou Service Level Agreement (SLA).
Dessa forma, garanta também que auditorias serão regularmente realizadas para verificar se estes acordos estão sendo respeitados.
Espero ter contribuído para deixar este assunto mais claro na sua mente tudo o que falei neste texto sobre “Gerenciamento da Continuidade de Negócio e Plano de Recuperação de Desastres”.
Então, fique sempre ligado e veja os nossos temas! E deixe aqui o seu ponto de vista sobre eles, pois eu quero saber o que você pensa.
Enfim, se acaso ficou alguma questão, não hesite e também deixe a sua opinião.
Que logo após, nós, da PMG Academy, vamos te responder o mais breve. Até mais!
Artigos Relacionados