Plano de Contingências

Boas Práticas em Segurança da Informação - Resumo do Manual do TCU (2003)


Neste Capítulo será apresentada a importância de definição de estratégias que permitam que uma instituição retorne à sua normalidade, em caso de acontecimento de situações inesperadas.

3.1. O que é Plano de Contingências?
Plano de Contingências consiste num conjunto de estratégias e procedimentos que devem ser adotados quando a instituição ou uma área depara-se com problemas que comprometem o andamento normal dos processos e a conseqüente prestação dos serviços. Essas estratégias e procedimentos deverão minimizar o impacto sofrido diante do acontecimento de situações inesperadas, desastres, falhas de segurança, entre outras, até que se retorne à normalidade. O Plano de Contingências é um conjunto de medidas que combinam ações preventivas e de recuperação. Obviamente, os tipos de riscos a que estão sujeitas as organizações variam no tempo e no espaço. Porém, pode-se citar como exemplos de riscos mais comuns a ocorrência de desastres naturais (enchentes, terremotos, furacões), incêndios, desabamentos, falhas de equipamentos, acidentes, greves, terrorismo, sabotagem, ações intencionais. O Plano de Contingências pode ser desenvolvido por organizações que contenham ou não sistemas computadorizados. Porém, para efeito desta cartilha, o Plano se aplica às organizações que, em menor ou maior grau, dependem da tecnologia da informação, pois faz-se referência aos riscos a que
essa área está sujeita, bem como aos aspectos relevantes para superar problemas decorrentes.

3.2. Qual é a importância do Plano de Contingências?
Atualmente, é inquestionável a dependência das organizações aos computadores, sejam eles de pequeno, médio ou grande porte. Essa característica quase generalizada, por si só, já é capaz de explicar a importância do Plano de Contingências, pois se para fins de manutenção de seus serviços, as organizações dependem de computadores e de informações armazenadas em meio eletrônico, o que fazer na ocorrência de situações inesperadas que comprometam o processamento ou disponibilidade desses computadores ou informações? Ao contrário do que ocorria antigamente, os funcionários não mais detêm o conhecimento integral, assim como a habilidade para consecução dos processos
organizacionais, pois eles são, muitas vezes, executados de forma transparente. Além disso, as informações não mais se restringem ao papel, ao contrário, elas estão estrategicamente organizadas em arquivos magnéticos. Por conseguinte, pode-se considerar o Plano de Contingências quesito essencial para as organizações preocupadas com a segurança de suas informações.

3.3. Qual é o objetivo do Plano de Contingências?
O objetivo do Plano de Contingências é manter a integridade e a disponibilidade dos dados da organização, bem como a disponibilidade dos seus serviços quando da ocorrência de situações fortuitas que comprometam o bom andamento dos negócios. Possui como objetivo, ainda, garantir que o funcionamento dos sistemas informatizados seja restabelecido no menor tempo possível a fim de reduzir os impactos causados
por fatos imprevistos. É normal que, em determinadas situações de anormalidade, o Plano preveja a possibilidade de fornecimento de serviços temporários ou com restrições, que, pelo menos, supram as necessidades imediatas e mais críticas.
Cabe destacar que o Plano é um entre vários requisitos de segurança necessários para que os aspectos de integridade e disponibilidade sejam preservados durante todo o tempo.

3.4. Como iniciar a elaboração do Plano de Contingências?
Antes da elaboração do Plano de Contingências propriamente dito, é importante analisar alguns aspectos:
· riscos a que está exposta a organização, probabilidade de ocorrência e os impactos decorrentes (tanto aqueles relativos à escala do dano como ao tempo de recuperação);
· conseqüências que poderão advir da interrupção de cada sistema computacional;
· identificação e priorização de recursos, sistemas, processos críticos;
· tempo limite para recuperação dos recursos, sistemas, processos;
· alternativas para recuperação dos recursos, sistemas, processos, mensurando os custos e benefícios de cada alternativa.

3.5. Que assuntos devem ser abordados no Plano de Contingências?
De maneira geral, o Plano de Contingências contém informações sobre:
· condições e procedimentos para ativação do Plano (como se avaliar a situação provocada por um incidente);
· procedimentos a serem seguidos imediatamente após a ocorrência de um desastre (como, por exemplo, contato eficaz com as autoridades públicas apropriadas:
polícia, bombeiro, governo local);
· a instalação reserva, com especificação dos bens de informática nela disponíveis, como hardware, software e equipamentos de telecomunicações;
· a escala de prioridade dos aplicativos, de acordo com seu grau de interferência nos resultados operacionais e financeiros da organização. Quanto mais o aplicativo influenciar na capacidade de funcionamento da organização, na sua situação
econômica e na sua imagem, mais crítico ele será;
· arquivos, programas, procedimentos necessários para que os aplicativos críticos entrem em operação no menor tempo possível, mesmo que parcialmente;
· sistema operacional, utilitários e recursos de telecomunicações necessários para assegurar o processamento dos aplicativos críticos, em grau préestabelecido;
· documentação dos aplicativos críticos, sistema operacional e utilitários, bem como suprimentos de informática, ambos disponíveis na instalação reserva e capazes de garantir a boa execução dos processos definidos;
· dependência de recursos e serviços externos ao negócio;
· procedimentos necessários para restaurar os serviços computacionais na instalação reserva;
· pessoas responsáveis por executar e comandar cada uma das atividades previstas no Plano (é interessante definir suplentes, quando se julgar necessário);
· referências para contato dos responsáveis, sejam eles funcionários ou terceiros;
· organizações responsáveis por oferecer serviços, equipamentos, suprimentos ou quaisquer outros bens necessários para a restauração;
· contratos e acordos que façam parte do plano para recuperação dos serviços, como aqueles efetuados com outros centros de processamento de dados.

3.6. Qual o papel da alta gerência na elaboração do Plano de Contingências?
É imprescindível o comprometimento da alta administração com o Plano de Contingências. Na verdade, este Plano é de responsabilidade direta da alta gerência, é um problema corporativo, pois trata-se de estabelecimento de procedimentos que
garantirão a sobrevivência da organização como um todo e não apenas da área de informática. Ainda, muitas das definições a serem especificadas são definições relativas ao negócio da organização e não à tecnologia da informação. A alta gerência deve designar uma equipe de segurança específica para elaboração, implementação, divulgação, treinamento, testes, manutenção e coordenação do Plano de Contingências.
Este deve possuir, ainda, um responsável específico que esteja a frente das demandas, negociações e tudo mais que se fizer necessário. Provavelmente, a alta gerência será demandada a firmar acordos de cooperação com outras organizações, assinar contratos orientados para a recuperação dos serviços, entre outros atos. Há que ser considerada, ainda, a questão dos custos. Faz parte das decisões da alta gerência o
orçamento a ser disponibilizado para garantir a exeqüibilidade do Plano de Contingências, ou seja, para possibilitar, além da sua implementação, sua
manutenção, treinamento e testes. Diante dos fatos anteriormente abordados, fica
evidente a necessidade precípua de envolvimento da alta gerência com todo processo que garantirá o sucesso de implantação do Plano de Contingências.

3.7. Como garantir que o Plano funcionará como esperado?
É possível citar três formas de garantir a eficácia do Plano de Contingências: treinamento e conscientização das pessoas envolvidas; testes periódicos do Plano, integrais e parciais; processo de manutenção contínua.

3.7.1. Como deve ser realizado o treinamento e a conscientização das pessoas?
É essencial o desenvolvimento de atividades educativas e de conscientização que visem ao perfeito entendimento do processo de continuidade de serviços e que garantam, por conseguinte, a efetividade do Plano de Contingências. Cada funcionário envolvido com o processo de continuidade de serviços, especialmente aqueles componentes de equipes com responsabilidades específicas em caso de contingências, deve ter em mente as
atividades que deve desempenhar em situações emergenciais. O treinamento deve ser teórico e prático, inclusive com simulações. Além do treinamento, a conscientização pode ser feita de outras formas, como distribuição de folhetos e promoção de palestras informativas e educativas sobre possíveis acidentes e respectivos planos de recuperação. Por fim, vale salientar que um programa de educação continuada que faça com que as pessoas envolvidas sintam-se como participantes ativos do programa de segurança é a melhor maneira de alcançar o sucesso esperado.

3.7.2. Por que o Plano de Contingências deve ser testado?
Os planos de continuidade do negócio podem apresentar falhas quando testados, geralmente devido a pressupostos incorretos, omissões ou mudanças de equipamentos, de pessoal, de prioridades. Por isto eles devem ser testados regularmente, de forma a garantir sua permanente atualização e efetividade. Tais testes também devem assegurar que todos os envolvidos na recuperação e os alocados em outras funções críticas
possuam conhecimento do Plano. Deve existir uma programação que especifique quando e como o Plano de Contingências deverá ser testado. Ele pode ser testado na sua totalidade, caracterizando uma situação bem próxima da realidade; pode ser testado parcialmente, quando restringem-se os testes a apenas um conjunto de procedimentos,
atividades ou aplicativos componentes do Plano; ou, ainda, pode ser testado por meio de simulações, quando ocorre representações de situação emergencial. A partir da avaliação dos resultados dos testes, é possível reavaliar o Plano, alterá-lo e adequá-lo, se for o caso.

3.7.3. Que fatos podem provocar a necessidade de atualização do Plano de Contingências?
Mudanças que tenham ocorrido e que não estejam contempladas no Plano de Contingências
devem gerar atualizações. Quando novos requisitos forem identificados, os procedimentos de emergência relacionados devem ser ajustados de forma apropriada. Diversas situações podem demandar atualizações no Plano, tais como as mudanças:
· no parque ou ambiente computacional (ex: aquisição de novo equipamento, atualização de sistemas operacionais, migração de sistemas de grande porte para ambiente cliente-servidor);
· administrativas, de pessoas envolvidas e responsabilidades;
· de endereços ou números telefônicos;
· de estratégia de negócio;
· na localização e instalações;
· na legislação;
· em prestadores de serviço, fornecedores e clientes-chave;
· de processos (inclusões e exclusões);
· no risco (operacional e financeiro).
Como demonstrado, as atualizações regulares do Plano de Contingências são de importância fundamental para alcançar a sua efetividade. Deve existir uma programação que especifique a forma de se proceder à manutenção do Plano. Procedimentos com essa finalidade podem ser incluídos no processo de gerência de mudanças a fim de que as questões relativas à continuidade de negócios sejam devidamente tratadas. O controle formal de mudanças permite assegurar que o processo de atualização esteja distribuído e garantido por revisões periódicas do Plano como um todo. A responsabilidade pelas
revisões e atualizações de cada parte do Plano deve ser definida e estabelecida.
Postar um comentário

Postagens mais visitadas deste blog

MANUAL DE REDAÇÃO DA PRESIDÊNCIA DA REPÚBLICA

Plural de substantivos compostos