No meu
último post sobre BCP, algumas considerações apareceram, a primeira delas do meu amigo Paulo Teixeira, tratava da necessidade de se manter planos atualizados e disponíveis. Vou falar um pouco sobre minha experiência em controle e distribuição de planos. O comentário do colega Fabio Urias será respondido em outro post sobre conscientização e treinamento.
A primeira coisa que devemos deixar bem claro quando falamos de controle e distribuição dos planos é a diferença entre documentação física e digital. Vamos começar tratando as características comuns sobre os dois tipos.
OrganizaçãoOs planos devem estar disponíveis/acomodados de maneira organizada e com índices/ferramentas que facilitem a pesquisa e consulta.
Controle de Versão e AlteraçãoA base para um controle eficaz de toda documentação é o controle das alterações e versões de cada documento. É necessário documentar todas as alterações realizadas em cada documento e saber exatamente quais são as versões atuais e que estão em uso no plano.
Granularização dos PlanosPara se obter o sucesso na Resposta a Incidentes é necessário que o Plano de Continuidade de Negócios da organização esteja dividido em vários Planos/Procedimentos que será distribuído a cada responsável. Na minha opinião uma falha grave é distribuir um book (um amontoado de papel descrevendo tudo que está definido como procedimentos de resposta). Cada indivíduo responsável por alguma atividade de resposta deve possuir apenas sua parte do plano e ser gerenciado por um coordenador de posse de um plano macro que irá definir quando cada atividade será executada.
Distribuição ControladaComo é necessário distribuir vários documentos a indivíduos distintos da organização deve ser implementado um processo onde as alterações dos planos devem ser analisadas, visando a distribuição ou não de novas versões. Estes planos devem estar classificados de acordo com a política de classificação da empresa e sempre que for identificado a necessidade de uma nova versão um procedimento deve ser executado para distribuir estes documentos.
Cópias AlternativasCópias alternativas dos planos devem ser mantidas off-site (site ou local alternativo) e um procedimento para facilitar o acesso deve ser de conhecimento de todos.
Testes dos PlanosComo uma alteração no Plano de Continuidade de Negócios da Organização pode ser demandada por qualquer área/indivíduo é necessário criar gatilhos para identificar a necessidade de testes dos planos. Estes testes são atipicos, portanto são planos extras, além dos testes programados no programa de testes.
Após a definição clara de um processo de Controle e Distribuição de Planos que leve em considerações as características comentadas, devemos ficar atento a características de cada tipo de documento.
Documento DigitalOs documentos digitais (word/excel/pdf/*) são a base para a disponibilização dos documentos físicos. Além de estar atualizados, escritos de forma clara e concisa é necessário que ele esteja disponível e acessível por todos os envolvidos na resposta a incidentes. É imprescindivel que estes documentos possuam um controle de acesso e backups eficazes. Ferramentas de Gestão de Continuidade podem ajudar a organização dos planos digitalmente.
Documento FísicoApesar de muitos acharem que tudo se resume ao mundo digital e tecnologia, os planos distribuídos no bom e velho papel cumprem papel importante em muitas situações. Não são poucas as situações onde não vamos dispor de recursos tecnológicos para acessar aquela ferramenta que gastamos uma fortuna ou aquele documento digital disponível em um repositório na rede da organização. Para distribuição destes planos é necessário estabelecer procedimentos formais suportados por formulários específicos para documentar cada ação.
Estes formulários alem de servir como evidência para auditoria tem papel fundamental na troca de versões. O formulário irá documentar a troca e formalizar a destruição física (fragmentação de papel) do documento antigo. Isso irá garantir que apenas versões atuais e funcionais vão estar disponíveis.
Estas são características essenciais para que uma organização possa usar seu Plano de Continuidade de Negócios e consiga responder de forma adequada a incidentes que possam interromper as suas atividades.