Missão crítica: um bom plano para prevenir incidentes começa pelas perguntas certas
Um incidente crítico pode assumir muitas formas: um incêndio ou inundação, um terremoto ou outro desastre natural, até mesmo erro humano ou ataques maliciosos ao ambiente digital.
Antes de estruturar qualquer Plano de Continuidade de Negócios, a alta direção de uma empresa deve estar envolvida nesta jornada e ter clareza sobre questões-chave para enfrentar, com prontidão e eficiência, eventos sensíveis que podem afetar os negócios e as pessoas. Conheça-as:
O que acontece quando o seu negócio é confrontado com um incidente crítico? Por mais que haja empresas que ainda não tenham se deparado com tal desafio, a grande verdade é que toda organização pode ser atingida por uma crise a qualquer momento e enfrentar consequências imprevisíveis. Se isso nunca aconteceu, este também é um grande motivo para se apostar na prevenção e em como lidar com problemas complexos.
Independentemente das causas, porém, um incidente crítico significa que sua infraestrutura e seus sistemas foram comprometidos de alguma maneira, o que pode levar a sérios problemas no caminho.
Ebook completo sobre "Como fazer um Assessment de ativos de TI". Baixe aqui gratuitamente!
A importância de ter um Plano de Continuidade de Negócios (PCN) e de recuperação é, muitas vezes, negligenciada. Porém, quando se trata de administrar um negócio, é fundamental ter uma estratégia que ajude a empresa a sobreviver a qualquer tipo de desastre. Afinal, como seria o impacto ao seu negócio se a internet não funcionar por cinco dias? Ou se houver a necessidade de uma mudança às pressas devido a um incêndio ou inundação?
Para elaborar um PCN, a alta diretoria deve estar envolvida e, especialmente, fazer as perguntas certas (veja a seguir) para encontrar as respostas que podem salvar a empresa de uma crise repentina.
“Isso é importante porque, por meio das respostas, a alta direção começa a tomar consciência da gravidade de não ter um plano concreto e eficiente para sobreviver e salvar o negócio”, conta Ivan Paiva, Gerente de Segurança da Informação e Continuidade da Flowti.
PCN é um tema de governança corporativa. Mas, por quê?
O Plano de Continuidade de Negócios, segundo Ivan Paiva, deve partir, inicialmente, da alta direção, não da TI ou do Jurídico, ainda que estas sejam áreas que conheçam bem as consequências dos incidentes críticos e que devem estar envolvidas em qualquer tipo de plano. É crucial que os tomadores de decisão entendam a gravidade e as consequências de uma crise, independentemente de sua natureza, e que ela afeta os negócios e também as pessoas.
“Por exemplo, se sua empresa perder dados dos seus clientes, que podem ser pessoas físicas ou clientes corporativos, as sanções que você vai sofrer são grandes e os clientes ficarão expostos. Reparar uma imagem danificada é um processo muito difícil e caro”, explica Ivan.
Quando se trata de áreas essenciais, como a Saúde, por exemplo, a vida de muitas pessoas pode ficar em risco, com perdas de informações importantes e, até mesmo, com falhas em equipamentos vitais, que podem ser atingidos por algum incidente crítico.
“Tem um hospital, aqui no Brasil, em que o hacker entrou pelo aparelho de tomografia, que tinha uma vulnerabilidade de segurança conhecida. O diretor da TI sabia que era um aparelho vulnerável, mas não fez nada a respeito. Então, o criminoso atacou o backup, que estava na mesma rede, e eles perderam tudo, tiveram de começar do zero”, conta Ivan. E o especialista completa:
“Se o primeiro e simples passo for dado, que é fazer as 13 perguntas essenciais em uma reunião de governança da alta direção, e se as respostas forem identificadas, considero que essa é a base para se construir um plano de prevenção contra incidentes críticos. Porque o plano é um papel. Você contrata uma consultoria que vai fazer este papel. Mas, entre você ter um papel e isso corresponder à verdade na sua organização há uma distância muito grande. Por isso é tão importante começar essa jornada tendo clareza a respeito destas perguntas-chave”, conclui Ivan.
As perguntas que salvam vidas e negócios
Conheça as 13 principais questões a serem respondidas para a elaboração de um Plano de Continuidade de Negócios recomendadas pela Flowti.
- 1. Os riscos e seus impactos são conhecidos pela direção?
- 2. Em quantas horas retornamos à operação?
- 3. Quando conseguirmos voltar, quanto perdemos de dados?
- 4. Em que ponto no tempo voltaremos os dados?
- 5. Existe um Plano que mantenha as funções críticas da operação?
- 6. Os envolvidos nas estratégias sabem tratar os riscos?
- 7. Quem confirmou as estratégias?
- 8. Os recursos são suficientes para as ações?
- 9. Os parceiros foram envolvidos e são capazes?
- 10. As estratégias são claras, factíveis e comunicadas a quem deve ser?
- 11. Já testamos essas estratégias e nos certificamos de que todos saibam como utilizá-las da melhor maneira?
- 12. Existe um Comitê de Continuidade e Recuperação?
- 13. Estamos certos da capacidade de recuperação?