Eu posso e qualquer um pode, afirmar que não é possível prever todos tipos de cenários. Por mais que uma das principais características de um plano eficaz seja a implementação de um ciclo PDCA (Plan, Do, Check, Act), que irá realizar análises de riscos continuas e que poderão identificar e prospectar novos cenários, não é possível identificar todas as possibilidades.
Análise de Riscos que, em BCP (Business Continuity Plan) tem como principal objetivo identificar quais as principais ameaças e sua probabalidade de ocorrência. Com base nestas informações e nos impactos que serão identificados na BIA (Business Impact Analysis) eu preciso tomar a seguinte decisão:
1 - Quais riscos podem ser tratados? Se for identificado que os custos e possibilidades para tratamento são viáveis eu trato o risco;
2 - Todos os riscos que eu não consigo tratar, desenvolvo plano de respostas.
Portanto, planos de respostas devem auxiliar a organização a responder a todas as ameaças que não foram tratadas ou identificadas.
Esta introdução é para questionar Uma técnica bastante utilizada, a definição de cenários para elaboração de planos de respostas. Técnica que geralmente começa com um cenário absurdo (geralmente chamado de pior cenário) que é muito pouco provável de acontecer. Mesmo sendo cauteloso, tentando prever um cenário que seja factível, ainda assim não conseguiremos mensurar todos os cenários que possam impactar os negócios. Os cenários podem ser usados para coletar informações e realizar testes para validação dos planos de respostas, mas nunca deve ser o principal balizador para um Plano de Continuidade de Negócios.
Como podemos tratar esta característica?
A solução é trabalhar para responder a qualquer incidente.
Como podemos responder a qualquer incidentes?
- Tenha uma matriz de níveis de crise bem elaborada e alinhada com as necessidades da organização;
- Tenha um plano de gerenciamento de crises e comunicação claro e de entendimento de toda organização;
- Conheça e mantenha uma documentação clara de toda sua arquitetura e principais características do ambiente;
- Planeje, teste, ajuste com frequências seus planos de respostas a incidentes;
- Faça um trabalho de lições aprendidas após cada incidente.
Recomendo a leitura dos documentos do Governo Americano (National Response Framework)
4 comentários:
[...] Para se manter por dentro do assunto, e começar a tirar suas próprias conclusões sobre o que fazer, o blog “Segurança na Microsoft” e “Spread Open Document” têm mantido atualizações constantes sobre o assunto. Lembre-se que no Brasil temos a Nota Fiscal Eletrônica sendo difundida em vários setores, a ICP-Brasil e várias outras iniciativas que estão mudando a forma como a infra-estrutura de TI deve se manter, e como os planos de contingência relacionados devem ser gerenciados. [...]
Wagner, outra aspecto importante à meu ver é ter certeza absoluta que existam apenas as cópias atuais dos planos disponíveis. Já ouvi casos em que o plano de respostas falhou pq a cópia que estava disponível estava desatualizada.
Abs
Wagner,gostaria de deixar a minha participação lembrando que ,o sucesso de um Plano de continuidade de negócios está nas pessoas que o matêm respirando,pois,o que vemos hoje,é um investimento e um trabalho gerado e esquecido em cima de um armário!!!!
Sem esta consciência real nunca teremos um resultado esperado mediante ao inesperado.
Abs.
Paulo,
você tem toda razão. Eu vou escrever um post somente sobre distribuição e controle de planos.
Obrigado pelo comentário!
Postar um comentário