Por Mário Sérgio Ribeiro (*)

Ano após ano a Tecnologia da Informação e Comunicação, alguns chamam de TIC outros apenas TI, ganha importância no ambiente corporativo. Podemos até dizer, que uma grande parcela dos negócios hoje tem uma dependência total da TIC. Com a missão de ser a custodiante da informação nas empresas e não a sua proprietária, e entre “tantas lutas” que seus gestores são obrigados a travar, uma das que tiram o sono é um dos seus pilares: manter a Disponibilidade da Informação, manter os negócios operando e se viável, sem qualquer paralisação. É possível? E quando não o for, qual o custo disso?

 Pesquisas recentes mostram que grandes corporações tentam operar com um número mágico de 99,9999% de disponibilidade dos serviços de TI ao longo dos 365 dias do ano. Veja, eu estou falando de grandes corporações que têm um orçamento para a área colossal, alguns deles girando entre 5% -15% da receita bruta da empresa.

 Fazendo a conta para 100%, ainda restam 0,0001% de chance de ocorrer uma indisponibilidade, uma paralisação dos serviços de TI; rápido, em minutos temos: 365 dias x 24 horas x 60 minutos = 525.600 minutos em um ano de 365 dias. Então acompanhe: 0,0001% equivalem há aproximadamente 52 minutos e meio. É pouco? Parece que sim. Mas veja, isso pode acontecer em uma única vez e em um dia crítico para os negócios da empresa (terrível hipótese) ou pode ocorrer diversas vezes, em pequenas doses homeopáticas ao longo do ano e em dias pouco crítico (melhor hipótese). Em uma boa parcela, ainda bem, ocorre à segunda hipótese: pequenas indisponibilidades ao longo do ano.

 Mas no mundo dos mortais, que é o da grande maioria das empresas, a história é outra. Existe um conjunto de itens que se somam e que aumentam os problemas: falta dinheiro, falta entendimento dos riscos de TI pelos “homens da caneta”, falta o gestor de TI saber mostrar esses riscos, falta governança e gestão da TI e por aí vai…Mas como começar a melhorar essa situação?

 Para responder a essa questão vamos apenas nos ater ao pilar da Disponibilidade da Informação, esquecendo-se da Confidencialidade, Integridade e outros atributos importantes da ciência da informação, onde a TIC é sua custodiante. Então vejamos a seguir.

 Entendo a Indisponibilidade nos Processos de Negócios

A TIC existe porque existe o negócio, e consequentemente, os processos e atividades que tocam o negócio. Dessa forma, a TIC precisa saber com detalhes o que uma indisponibilidade sua (seus ativos computacionais) pode afetar a operação dos processos de negócios; de forma simples, qual seria o impacto financeiro e o impacto na imagem e reputação da empresa se cada um dos processos de negócios sofresse uma paralisação por conta da TIC? O nome disso: BIA (business impact analysis) ou em tradução literal, Análise de Impacto do Negócio.

 Já sei, você deve estar pensando que já ouviu falar em BIA, mas foi para fazer um Plano de Continuidade de Negócios, um Plano de Recuperação de Desastre de TI ou outro nome semelhante. Você está certo! Usamos o BIA para um PCN/PRDTI, mas não devia ser assim. O BIA deve ser usado pela TIC para pensar em suas estratégias de recuperação de ativos computacionais para eventos de baixa, média, alta interrupção e não somente para permanente interrupção (evento de desastre). Isso é feito? Na quase totalidade das empresas NÃO! Por quê?

 Difícil explicar o porquê. Falta de conhecimento sobre os benefícios do método? Falta de mão de obra para aplicar o BIA? Falta de dinheiro? O fato é que os benefícios de uma Análise de Impacto do Negócio com um foco voltado para a TIC é enorme. Entre tantos, os investimentos que a TIC deve fazer em estratégias de recuperação para qualquer evento, estará amplamente apoiada e justificada pelas áreas de negócio, que são as responsáveis por diversas informações coletadas durante o BIA. E mais, com o apoio do BIA, a escolha das estratégias de recuperação para quaisquer tipos de eventos quanto ao seu período de indisponibilidade tem sua lógica e implantação determinada em função do negócio e não da TIC.

 Outro argumento interessante para o uso do BIA. O conhecido RTO (recovery time objective) que o pessoal da TIC conhece como o tempo testado que se consegue recuperar recursos e serviços de TI pós uma paralisação, ganha um aliado na busca para diminuir seu número: o MTD, ou o período máximo tolerado pelo processo de negócio para que não haja perda. Por exemplo, se eu tenho um RTO acordado com o negócio de uma hora para um cenário que envolva a paralisação de um dado serviço de um sistema, o MTD coletado pode apontar que esse número é alto demais, em face das perdas que o processo sofrerá. Nesse ponto deve haver uma discussão entre as áreas sobre risco a se assumir ou risco a ser mitigado. Ao final da discussão pode se chegar à conclusão de que o investimento a ser feito na TIC para igualar o RTO ao MTD vale e muito a pena! Quem possibilitou se chegar até aqui? A Análise de Impacto do Negócio. É simples!

 A Análise de Risco da TIC é algo periódico

Se a quantidade de ativos computacionais de uma TIC de uma média empresa pode ser muito grande, imagine a possibilidade de eventos esperados e inesperados que podem ocorrer e daí, quebrar o importante pilar da TIC que é a Disponibilidade da Informação. Garanto a você pela peculiaridade desses ativos tecnológicos que as chances são muitas. O caminho?

 O gestor de TIC que não gosta de ter surpresa e de ter que viver com um “extintor de incêndio” debaixo do braço, tem como seu aliado a periódica análise do risco de seus ativos computacionais mais críticos. Riscos analisados, medidos e tratados, esse prudente gestor monitora diariamente seu sistema de controles para avaliar sua eficácia e com isso, colocar sua cabeça no travesseiro e dormir no final da jornada. Quantos fazem isso? Poucos, muito poucos. Não existe cultura. Não existe uma disciplina na grande maioria dos currículos de graduação que trate de riscos de TIC. Só quando o cara coloca o pé em algum curso de pós ele verá alguma coisa, mas mesmo assim, com pouquíssima carga horária. Ou aprendeu pela dor, ou porque ouviu falar, ou por qualquer outro motivo. Mas uma coisa é certa: a prudência aqui é periodicamente fazer a análise do risco e cotidianamente avaliar o seu sistema de controles. Ajuda e muito a empresa e o coração de nosso gestor de TIC. É fato!

 Os Planos para serem usados quando de uma Indisponibilidade

A TIC é conhecida, principalmente por auditores, por sua incapacidade em não documentar quase nada, para não dizer nada. Documentação de sistema, dos processos, de testes …enfim, é uma questão por demais conhecida. São raros os bons exemplos. E no caso de Planos para cenários de indisponibilidade, acontece o mesmo problema? Na grande maioria das empresas a resposta é SIM, não temos documento. Qual é a sugestão?

 

A TIC criar pelo menos dois documentos a partir da elaboração do BIA e Análise de Risco. São eles: um Plano de Contingência, para indisponibilidades de baixa e média intensidade e, um Plano de Recuperação de Desastre, para indisponibilidades permanentes no site atingido.

 Entre tantos benefícios desses documentos é a possibilidade de, que por meio de uma metodologia estruturada, ter um documento formal chamado de Plano, que pode ser usado sem improvisações, que é periodicamente testado para avaliar seus pontos fracos e continuamente melhorado. Bingo! E mais, o teste periódico, e a consequente melhoria de versão para versão, serve para treinar a equipe, deixar ela mais madura, com mais “musculatura”, mais confiante.

 Um fator chave de sucesso para ter documentos de qualidade, como os mencionados, é sem dúvida a escolha da metodologia. Deve ser simples, sem devaneios, mas que preencha todas as necessidades que o tema sugere. Além disso, o método escolhido para elaborar os Planos deve trazer como resultado documentos limpos, claros, e de rápido e fácil entendimento. O que deve se pensar é que em uma crise a ansiedade cresce, o pensamento pode ficar perturbado e ter documentos de difícil leitura e compreensão, só piora a situação.

 Como conclusão fica aqui um alerta. O mundo ideal é que a TIC esteja em qualquer situação com um RTO de zero ou próximo disso. Sabemos que isso não existe, então é necessário que as áreas de negócio e a área de TIC estejam devidamente alinhadas sobre impactos de indisponibilidade da TIC (financeiro e de imagem e reputação). Que os investimentos que forem feitos na TIC por conta de recuperar pequenas/médias indisponibilidades ou mesmo um desastre, foram os de melhor custo-benefício que a empresa encontrou. Para isso é importante que haja comunicação entre as áreas e documentos formais devidamente assinados.

  

Até a próxima!

______________________________________________________________________________

(*) 54 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br