No presente trabalho foram estudadas as melhores práticas para a gestão da continuidade de negócios e da gestão de riscos no que se refere à Tecnologia da Informação. As normas ISO IEC 27002 e 27005 abordam respectivamente a gestão da continuidade de
negócios e a gestão de riscos de forma a fornecer as práticas certificadas de mercado no que se refere à segurança da informação. A norma internacional BS 25999 fornece um guia de melhores praticas no que se trata em continuidade de negócios. O ITIL e o COBIT trazem as melhores práticas na gestão da tecnologia da informação, tratando todo e qualquer ativo de TI como um serviço.
A continuidade de negócios é tratada de forma semelhante nas normas, no ITIL e no Cobit. Cada uma das bibliografias possuem sua maneira própria de tratar a continuidade de negócios, porém todas elas trabalham com o mesmo conceito.
A ISO IEC 27002 tem um foco na continuidade de negócios como um todo, unindo conceitos de disponibilidade e de contingência a fim de entender a continuidade. Por ser uma norma de segurança da informação, esta compreende muito dos conceitos de segurança citados nas normas ISO 27000 e tem como base a gestão de riscos abordada na norma ISO IEC 27005. Por ser uma norma técnica, seus conceitos são muito amplos e buscam o desenvolvimento de um processo de continuidade na organização, tendo este processo elaborado, a norma oferece as melhores técnicas para manter este ambiente em funcionamento adequado. A ISO IEC 27002 não define um nível de serviço como o ITIL e o Cobit, porém todas as etapas da continuidade de serviços se baseiam em um conceito de tempo aceitável para a recuperação de desastres conforme a criticidade do ativo avaliado. A ISO IEC 27002 não define um processo de continuidade, mas sim, um conjunto de práticas a serem consideradas na criação de um plano de continuidade. Esta norma tem como base a ISO IEC 27005, gestão de riscos.
A ISO IEC 27005, referente à gestão de riscos, define um processo para a gestão dos riscos em um ambiente organizacional, baseado nas práticas de segurança da informação. Por ser uma norma técnica específica, é a melhor fonte para se basear o processo de gestão de riscos. A ISO IEC 27005 define um processo contínuo e cíclico para identificar, analisar e tratar os riscos de uma forma detalhista.
A BS25999 trata a continuidade de negócios como um processo de gestão com um ciclo de vida bem definido e contínuo. Sua principal diferença é o reconhecimento mundial do seu guia de melhores práticas, contemplado em sua primeira parte, BS 25999-1, e a certificação em continuidade de negócios baseada em sua segunda parte, BS 25999-2. A BS 25999 é bastante ampla e não se foca apenas nos processos de TI, podendo ser aplicada em outras áreas da organização. O ciclo do processo propõe o entendimento dos processos da organização, onde é realizada a análise de riscos e impactos de negócio, como o base para suas atividades e seus planos, sendo depois dividido em estratégia, operacionalização e testes,
sendo envolvido por um processo de disseminação da cultura de continuidade de negócios na organização.
Tanto o Cobit quanto o ITIL trabalham com base em serviços de TI, cada serviço possui um SLA, acordo de nível de serviço, que irá definir os controles a serem implementados. O foco de ambos é o serviço de TI propriamente dito, que são todos os processos, sistemas, infraestrutura e ferramentas fornecidas pela TI para operacionalizar os objetivos de negócio.
O Cobit possui um conjunto de práticas baseado em objetivos e medições de TI, processo e das atividades, sendo que um acaba direcionando o outro. O Cobit avalia o ambiente de TI com base em um modelo de maturidade para cada um dos processos de seus quatro domínios. Os processos do Cobit detalham bastante o que executar e como medir seus resultados. A continuidade de negócios no Cobit é tratada na entrega e suporte do serviço, que são os processos que devem ser realizados para assegurar o funcionamento da organização e sua recuperação em caso de falhas. As práticas de continuidade segundo o Cobit englobam toda a área de TI e se baseia nas práticas de gestão de TI com conceito de apoio ao negócio, tratando conceito como a gestão de segurança da informação, a gestão de riscos como base para a criação de um plano de continuidade, e o gerenciamento do desempenho como base para a disponibilidade. O Cobit usa as normas ISO IEC 27002, ISO IEC 27005 e a BS 25999- 1 como referencia bibliográfica para a sua elaboração.
O ITIL, em sua versão mais recente, utiliza o conceito de ciclo de vida do serviço, sendo todo o seu processo de continuidade baseado nos SLAs definidos. O ITIL foca nos serviços diários realizados para garantir o funcionamento da infraestrutura e sistemas de TI, englobando a gestão da continuidade em seu livro do desenho do serviço. Diferente do Cobit, o ITIL detalha bastante os processos e foca em como executar. O desenho do serviço descreve os objetivos e planos e cria um desenho do serviço detalhando seus processos. O ITIL trata a continuidade de negócios principalmente como uma operação de recuperação de desastres, tendo um processo separado para tratar da disponibilidade dos serviços.
O ITIL não tem um processo próprio para a gestão de risco porém é incorporado no gerenciamento financeiro dos serviços de TI, no gerenciamento de incidentes e problemas, no gerenciamento de mudanças e no gerenciamento da continuidade de serviço. Uma característica que identifica o ITIL é a definição de um papel de gerencia em cada processo, sendo este gerente o responsável pelos seus processos e sua integração com os objetivos de negócio. O ITIL também utiliza as normas ISO IEC 27002 e 27005 e a BS 25999-1 como referencia bibliográfica.
A tabela 2 apresenta algumas características essenciais de um plano de continuidade de negócios conforme sua presença nas referencias bibliográficas adotadas.
Tabela 2: Comparação entre as referencias bibliográficas
Características 27002 ISO 27005 ISO 25999 BS Cobit ITIL
Gestão de Continuidade de Negócios X X X X
Gestão de Riscos X X X
Define um processo e o trata como um ciclo X X X
Definem claramente os responsáveis por gerenciar os
processos e atividades X
Classifica o processo de continuidade em níveis de
maturidade X
Detalha métricas de avaliação X X
Baseia-se nos acordos de nível de serviço, SLAs X X
Priorização de atividades baseada na relação de
custo, probabilidade e impacto X X X
Trata continuidade, contingência e resposta a
incidentes separadamente X X
Abrange a etapa de mapeamento organizacional X X X
Abrange a etapa de elaboração de catálogos de
serviços X X
Abrange uma fase de testes e simulações X X X X
Planeja a manutenção e melhoria contínua X X X X X
Abrange processos de recuperação de desastres X X X X
Abrange a gestão da mudança X X X X X
Sugere uma estrutura de plano de continuidade X
Abrange processos de cópias de segurança X X X
Abrange planos de comunicação e disseminação de
cultura na organização X X
Identificam ativos organizacionais e suas relações
com os processos de negócio X X
Abrange diferentes conceitos de tratamento de risco /
desastre X X X X X
Abrange atividades operacionais da gestão de TI X
As quatro referências bibliográficas têm seu estilo de lidar com a continuidade de negócios, porém todas elas seguem o mesmo conceito. Não se pode definir qual delas é a mais adequada, esta decisão dependerá da situação da organização e qual o seu objetivo ao implantar um plano de continuidade de negócios. No modelo sugerido neste trabalho estarão sendo adotados conceitos encontrados nas quatro referencias a fim de desenvolver um processo que possa adequar-se à realidade mais comum da indústria de pequeno e médio porte.
3 MODELO PARA ELABORAÇÃO DE UM PLANO DE CONTINUIDADE DE NEGÓCIOS
A partir das normas e bibliotecas estudadas no capítulo 2 é proposto um modelo para a elaboração de um plano de continuidade de negócios apropriado para empresas de pequeno a médio porte. A grande maioria das empresas de médio porte não possui cultura de continuidade de negócios (CONVERGÊNCIA DIGITAL, 2011).
O modelo em questão visa atingir organizações de pequeno ou médio porte que normalmente se encontram nos níveis “inexiste” ou “inicial” em relação aos seguintes processos do Cobit (Cobit, 2007):
a) Planejamento estratégico da TI: O guia se aplica a organizações que não possuem um planejamento estratégico de TI formalizado, mas entendem que a TI é importante para o seu negócio.
b) Diretrizes da tecnologia e infraestrutura: A organização não possui um planejamento de infraestrutura tecnológica para atender requisitos de sistemas. A necessidade do uso da tecnologia é existente porem é emergente, o uso é isolado e geralmente mal planejado. O direcionamento da tecnologia geralmente é ditado por planos de evolução de fornecedores de software e hardware.
c) Processos e organização da TI: A organização da TI não é relacionada aos objetivos de negócio, as áreas de TI e suas ações geralmente são reativas e implementadas de maneira inconsistente. A TI é considerada como uma área de apoio e geralmente é envolvida nos estágios finais de projetos ou novas implementações.
d) Gerenciamento dos investimentos de TI: A organização não possui um planejamento dos investimentos a serem realizados em TI. Os investimentos são geralmente reativos ou para demandas isoladas. A necessidade de investimento é conhecida porém não é formalizada.
e) Recursos humanos de TI: As equipes de TI são pequenas ou inexistentes, a organização enxerga a TI como fornecedora de suporte reativo e não busca a capacitação de seus profissionais e seu alinhamento com o processo de negócio. f) Gerenciamento de riscos: A organização não enxerga vantagem em um processo
de gerenciamento de riscos porém compreende que os riscos mais críticos devem ser tratados. A relação custo e probabilidade é levada em consideração porém é preferível arriscar a realizar um investimento alto.
g) Gerenciamento de Níveis de Serviço – SLA: A organização não reconhece a necessidade da definição de níveis de serviço, conhece os serviços que utiliza porem estes são realizados conforme a capacidade ou urgência momentânea. h) Gerenciamento de desempenho da Infraestrutura: A organização não compreende
que os processos de negócio dependem do desempenho da sua estrutura de TI. Os usuários possuem reclamações devido à limitação da estrutura, porém sua melhoria ocorre através de necessidade de contorno ou em situações de desastre. i) Continuidade de Negócios: A organização tem noção dos riscos mas não
compreende o seu impacto no processo de negócio, possui alguns controles para evitar a perda mas não pode garantir a sua eficiência. As respostas para situações de desastre são reativas.
j) Segurança da informação: A segurança da informação não é um conceito compreendido por todos na organização porém sua necessidade é conhecida. Há poucos controles de segurança da informação mas não há uma política formalizada.
O modelo de plano de continuidade possui quatro fases, a definição do escopo, a análise de riscos, o plano de continuidade e a execução e monitoramento da continuidade. A fase de elaboração do escopo é formada pelas etapas de definição do escopo da organização, definição do escopo da continuidade, elaboração do sumário executivo e mapeamento do processo.
A Fase de análise de risco é composta pelo mapeamento do processo de negócios, pela identificação dos ativos, suas ameaças, vulnerabilidades e consequências, pela identificação da probabilidade dos riscos, pela avaliação do risco e por sua revisão. Esta fase direciona as ações da fase subsequente.
A terceira fase compreende as etapas para a definição do SLA, a elaboração das ações de tratamento do risco, a aceitação do tratamento do risco, a definição das cópias de segurança, a elaboração do plano de resposta a incidentes, a implementação e documentação dos OLAs, a elaboração do plano de recuperação de desastres, a revisão e aprovação do plano de continuidade de negócios e a sua distribuição e armazenamento.
A quarta e última fase é um conjunto de etapas para realizar os registros de execução e medir o desempenho, composta pelo registro de ocorrências, elaboração e registro dos planos de teste, elaboração e registro dos planos de revisão e manutenção e pela medição através dos indicadores de desempenho. As fases foram definidas a partir do estudo das referências bibliográficas e das necessidades das organizações de pequeno e médio porte. A figura 6 representa o processo proposto para a elaboração dos planos de continuidade.
O modelo é composto por três partes:
a) Guia de elaboração: a primeira parte do modelo compreende um guia contendo uma lista de atividades necessárias para a elaboração do plano. A elaboração do plano de continuidade deve seguir os passos descritos no guia de elaboração. É composto por diversas atividades sequenciais que seguidas irão dar condições de se criar um plano de continuidade de negócios, porém em algumas situações deve-se retornar a atividades anteriores para revisão o complemento. O guia proposto possui quatro colunas de informação, a primeira e a segunda coluna representam a fase e a etapa do modelo respectivamente, a terceira coluna se subdivide em outras quatro que apresentam os responsáveis pela realização das atividades, onde GC é o gestor da continuidade, P é o patrocinador, GP é o gestor de processo, UC é o usuário chave e TI é a equipe de TI, e a quarta coluna apresenta as atividades a serem executadas. O cabeçalho do guia está representado na figura 7. O guia está presente no anexo A, Guia para elaboração de um plano de continuidade de negócios.
Figura 7: Guia para a elaboração de um plano de continuidade de negócios
b) Conjunto de Artefatos: O guia, ao ser executado, apresenta um conjunto de artefatos onde são registradas todas as definições e atividades realizadas na elaboração do plano de continuidade. São dezesseis documentos que amparam a elaboração do plano de continuidade de negócios. Os artefatos combinados representam o plano de continuidade de negócio formalizado. O conjunto de artefatos está presente no anexo B, Artefatos do plano de continuidade de negócios.
c) Informações complementares: conjunto de informações que auxiliam nas definições e registros das atividades do guia tratando-se de gestão de riscos, estes são frequentemente acionados durante a execução do guia proposto (NBR ISO IEC 27005: 2008). O conjunto de informações complementares está presente no Anexo C, Informações complementares.
As atividades propostas pelo guia estão atribuídas a responsáveis por sua execução. Segundo o Cobit, utiliza-se uma matriz denominada RACI, Responsible, Accountable, Consulted, and Informed, que indica os responsáveis(R), quem deve prestar contas e realizar atividades (A), quem deve ser consultado (C) e quem deve ser informado (I) (Cobit, 2007).