A TÉ 2020, 60% DAS EMPRESAS VÃO PARAR... · 6 Q UEM DISSE QUE EXISTE INVESTIMENTO EM SEGURANÇA?...

19
4 ATÉ 2020, 60% DAS EMPRESAS VÃO PARAR E não sou eu quem está dizendo isso! É o Gartner, em recente pu- blicação do site B!T magazine (www.bitmag.com.br). Parece que finalmente as pessoas estão percebendo que não há como evitar eventos quando estes não podem ser previamente mapeados. Minha tese, como profissional de Contingência e Continuidade de Negócios, sempre foi de orientar meus clientes e alunos a focar suas estratégias nos possíveis impactos, ao invés de se preocuparem com os infinitos fatores de risco. A mitigação de infinitos riscos é economicamente restritiva, seja pelo atual cenário econômico, pela própria dimensão da organização ou pelo simples fato de que os eventos normalmente são causados pelo elevado apetite de risco da empresa que resolveu acreditar que “aquele” risco de baixa probabilidade não se concretizaria ou pelo risco que simplesmente não foi identificado. Ninguém tropeça em pedras de duas toneladas, mas normalmente as pequenas nos derrubam. A verdade é que, pela primeira vez em todos os meus anos como profissional da área, vejo uma entidade reconhecida como formadora de opinião tomar uma atitude que indica mudança nos paradigmas convencionais de que análises prévias de risco e vulnerabilidade seriam capazes de impedir eventos. Costumo dizer que os profissionais e gestores responsáveis pela Segurança e Continuidade de Negócios pensem no outro lado da questão: se nos preocupamos excessivamente com o universo de pos- sibilidades, os mecanismos de mitigação e monitoramento podem ser tão dispendiosos que a alta gestão simplesmente irá decidir “bancar”

Transcript of A TÉ 2020, 60% DAS EMPRESAS VÃO PARAR... · 6 Q UEM DISSE QUE EXISTE INVESTIMENTO EM SEGURANÇA?...

4

ATÉ 2020, 60% DAS EMPRESAS VÃO PARAR

E não sou eu quem está dizendo isso! É o Gartner, em recente pu-blicação do site B!T magazine ( www.bitmag.com.br ). Parece que fi nalmente as pessoas estão percebendo que não há como evitar eventos quando estes não podem ser previamente mapeados.

Minha tese, como profi ssional de Contingência e Continuidade de Negócios, sempre foi de orientar meus clientes e alunos a focar suas estratégias nos possíveis impactos, ao invés de se preocuparem com os infi nitos fatores de risco.

A mitigação de infi nitos riscos é economicamente restritiva, seja pelo atual cenário econômico, pela própria dimensão da organização ou pelo simples fato de que os eventos normalmente são causados pelo elevado apetite de risco da empresa que resolveu acreditar que “aquele” risco de baixa probabilidade não se concretizaria ou pelo risco que simplesmente não foi identifi cado.

Ninguém tropeça em pedras de duas toneladas, mas normalmente as pequenas nos derrubam.

A verdade é que, pela primeira vez em todos os meus anos como profi ssional da área, vejo uma entidade reconhecida como formadora de opinião tomar uma atitude que indica mudança nos paradigmas convencionais de que análises prévias de risco e vulnerabilidade seriam capazes de impedir eventos.

Costumo dizer que os profi ssionais e gestores responsáveis pela Segurança e Continuidade de Negócios pensem no outro lado da questão: se nos preocupamos excessivamente com o universo de pos-sibilidades, os mecanismos de mitigação e monitoramento podem ser tão dispendiosos que a alta gestão simplesmente irá decidir “bancar”

5

ANÁLISE DE IMPACTO NOS NEGÓCIOS PARA CRIANÇAS

O que você responderia, se um jovem de 15 anos lhe perguntasse: “O que signifi ca Análise de Impacto nos Negócios?” Como explicar as particularidades dessa ferramenta em uma linguagem que ele pudesse entender?

Muitas das empresas que me procuram perguntam sobre a execução do BIA (cujo termo foi recentemente “ofi cializado” pela ABNT, em detrimento da sigla traduzida AIN, como algumas pessoas preferem). Qual sua utilidade e seus benefícios? Tento explicar da melhor forma possível, como se estivesse conversando com meu fi lho.

BIA é uma ferramenta ou atividade cujo objetivo é avaliar as con-sequências negativas (impactos) acarretadas em uma organização, em seus processos ou suas atividades de negócios, por um evento. Essa avaliação utiliza métricas previamente defi nidas (pode variar entre áreas da mesma organização), para medir perdas que incluem fi nanças, clientes, normas e/ou regulatório, reputação e outros, dependendo do Mercado e segmento de atuação.

Obviamente a segunda pergunta que ele me faz é: “Mas por que eu preciso disto?” ou ainda “Como isso poderá me ajudar quando acontecer um problema?” Por que não podemos simplesmente decidir por essa criticidade? A resposta é simples: porque conceitos baseados em opiniões não são evidências de auditoria, sendo passíveis de críticas e/ou contestações (especialmente se algo for deixado de lado).

Um BIA mostra quanto vão custar os impactos por conta de um evento, indicando perdas que você poderá decidir minimizar, de acordo com o total e o tempo para se concretizarem. Note que não pretende-mos abordar a redução dos riscos, que são considerados como certos.

6

QUEM DISSE QUE EXISTE

INVESTIMENTO EM SEGURANÇA?

Dia 20 de janeiro é feriado no Rio de Janeiro: dia de São Sebastião, padroeiro da cidade. No fi m da tarde resolvi pesquisar os termos “in-vestimento” e “segurança” no Google.

Engraçado, mas a maioria dos textos que aparecem tenta convencer que gastar em segurança é investimento. Ou seja: se você gasta em segurança, seu negócio vai crescer. Ou, pelo menos, não vai terminar no primeiro ataque ou vírus que invadir sua rede.

A questão é: qual o tamanho da sua empresa, para justifi car essa preocupação e investimento?

Pessoalmente eu acredito que os gastos em segurança, direcionados a resultados, tornam-se investimentos. Vejamos dois exemplos distintos:

1. Uma empresa resolve comprar um gerador, porque a empresa onde os diretores trabalhavam fazia dessa forma para evitar uma parada na falta de energia. Simples assim: compra-se um ativo de R$100.000,00 para evitar uma interrupção que custa R$...? (A empresa até hoje não avaliou quanto custa uma parada, sim-plesmente porque era assim que faziam.)

2. Diante do aumento da temperatura, da ameaça de racionamento de água e da crescente demanda por energia elétrica, algumas empresas estão planejando a mudança de seus escritórios para prédios mais baixos, com grandes reservatórios de água, em bairros de acesso mais fácil do que o atual.

Creio que a diferença entre gasto e investimento fi ca clara nesses exemplos. Ambos são situações reais, onde dois gestores abordaram

7

NO BRASIL, O PIOR SÓ OCORRE AO LADO!

Nós, brasileiros, crescemos com a impressão de sermos invulneráveis e eternos. Talvez, como resultado de uma dieta rica em desenhos anima-dos e histórias em quadrinhos na infância, crescemos com a impressão de que não adoecemos ou que o ladrão nunca vai descobrir o defeito na nossa fechadura (só não deixamos de contratar o seguro do carro!).

O povo brasileiro, em sua maioria, só se preocupa com o futuro quando tem algo a perder. Se ele percebe uma grave ameaça a algo (ou alguém) que preza, ele se mobiliza na proteção. Por isso, a maioria absoluta dos homens só contrata seguro de vida depois do seu primeiro fi lho (a maioria, nem quando casa faz isso!).

Recentemente, uma falha elétrica interrompeu as atividades de um grande datacenter de São Paulo, apesar de possuir dois geradores e ser considerado um dos mais modernos do país. Ele havia se precavido quanto à interrupção de energia pela concessionária, mas não previu uma falha interna…

Na cabeça da maioria das pessoas, possuir um “dispositivo” (qual-quer) tranquiliza mais do que a capacitação dos recursos envolvidos para atendimento a essa situação. É mais ou menos como achar que uma arma é mais efi caz contra assaltos, do que escolher melhor o roteiro no trânsito ou onde caminhar à noite.

E é nessa ideia que reside o perigo: o conceito de “gestão de riscos” nos engana, pois é impossível gerenciar todos os riscos possíveis. “Prote-ção infi nita signifi ca custos infi nitos” e nenhuma empresa paga por isso. O que podemos fazer é gerir as vulnerabilidades, pelo seu mapeamento (ou seja, identifi cação) e mitigação (ou seja, tratamento), para que o risco fi que sobre controle (acompanhado). Mas não termina nunca.

8

CONFORMIDADE É O MESMO QUE SEGURANÇA?

Muitas vezes, empresas que me procuram desejam implementar pa-drões de segurança (ISO, Itil, CobIT e, algumas vezes, padrões in-ternos) como se fossem sufi cientes para garantir que tudo funcione como planejado.

Em algumas situações, como as que são normatizadas (Bacen, SU-SEP e outras), é exigido que o ambiente corporativo ofereça requisitos de segurança e continuidade de negócios, sem que haja especifi cação desse padrão. Ou seja: cada um escolhe a melhor solução, de acordo com suas necessidades ou disponibilidades.

Em outras, o recurso responsável recebe um “pacote” criado e de-fi nido para uma realidade diferente da brasileira, tendo de ajeitar e ajustar o que é exigido, para o que existe.

Mais de uma vez, recebi ligações de amigos perguntando como fazer acontecer, já que os requisitos de negócios não consideravam as difi culdades de infraestrutura e tecnologia que normalmente en-frentamos aqui no Brasil.

Por outro lado, a seleção de alternativas, capazes de atender os requisitos de elevada disponibilidade cobrados pela realidade nor-te-americana, possui um custo alto no Brasil, em relação a outras soluções capazes de garantir um ambiente de segurança confortável, sem “estourar” o orçamento da área responsável.

Nos Estados Unidos, links de Internet de altíssima velocidade (300 Gb), hoje, são oferecidos a clientes domésticos, enquanto aqui ainda custam uma fortuna. Isso sem falar nos próprios equipamentos (servidores e equipamentos de storage), que custam uma fração do que é praticado no Brasil.

9

CONTINUIDADE DE NEGÓCIOS

COMO DIFERENCIAL COMPETITIVO

E DE QUALIDADE

Recentemente, troquei ideias com algumas pessoas, que não per-ceberam, de imediato, como um PCN (Plano de Continuidade de Negócios) tem afinidade com Programas de Melhoria Contínua, agregando diferencial e valor ao negócio.

Um PCN tem por objetivo manter uma atividade ou um sistema corporativo em funcionamento, reduzindo perdas e prejuízos acarretados durante sua indisponibilidade. Em outras palavras: ao invés de você ligar para um SAC e ouvir a desculpa de que a funcionária não pode lhe atender porque está sem sistema, ela vai lhe dizer que devido ao problema ela fará registro manual do chamado e que isso poderá demorar um pouco mais.

O cliente é atendido, apesar da degradação do processo. Na prática, devemos perceber que um PCN permite o planejamento

prévio de ações, caso um evento se concretize, impedindo a empresa de atuar durante algum tempo. Em uma situação de contingência, um evento (normalmente de natureza temporária, como uma falta de energia) se concretiza, interrompendo as atividades da organiza-ção. Agora vamos contabilizar: custos fi xos + custos variáveis + custo oportunidade + multas e/ou juros por falta de atendimento. Quanto perdemos a cada interrupção?

Em uma empresa de cartões de crédito, o tempo de indisponibilidade médio é de seis segundos (o tempo que você tenta pagar uma despesa com um cartão e a funcionária da loja diz que não está funcionando e lhe pergunta se tem outro). Ou seja, uma empresa de cartão de crédito perde uma venda, caso sua rede fi que seis segundos indisponível.

10

CONTROLE O RESULTADO, ANTES QUE O RESULTADO CONTROLE

VOCÊ

“Controle o resultado” é a expressão que resume, de maneira simples e objetiva, todo o meu trabalho. Ouvi pela primeira vez no fi lme Never Back Down (publicado no Brasil com o título Quebrando Regras ), tive a felicidade de reler no material preparado pela Witt Associates em 2012, distribuído no evento bienal “Rio Óleo & Gás” daquele ano, no Rio de Janeiro.

O fundador da TAM, comandante Rolim, dizia que uma das ca-racterísticas de empresas prósperas é a segurança. Isso, porque um dos primeiros itens que são reduzidos durante uma crise, são justamente os investimentos nessa área. “Empresas de sucesso são mais seguras”, ele dizia.

Por outro lado, sabemos do perfi l acomodado da cultura brasileira, no qual “o pior só acontece no vizinho”, “só troca a fechadura depois que o ladrão entra” e “só se agasalha depois que fi ca doente”.

Tudo verdade, por mais incrível que possa parecer. Acho que só encontrei proatividade em segurança nas empresas que trabalham com radioatividade. Uma vez ouvi uma palestra de um profi ssional da área, que comentou que o ciclo de manutenção na usina nuclear era tão curto, que não havia tempo para geração de histórico de falhas.

Obviamente, porque se houver uma falha, provavelmente será a última!

Entretanto, existem momentos em que os paradigmas são levados ao seu limite e normalmente se rompem. Desde 2011 tenho feito apre-sentações e participado de eventos, comentando sobre a fragilidade

11

SEGURO CORPORATIVO E PLANO

DE CONTINUIDADE DE NEGÓCIOS

O seguro pode ser uma excelente opção para redução de prejuízos, em organizações de todos os tamanhos. Na verdade, quanto maior o risco de perda, maior será o interesse na contratação de um seguro capaz de minimizar prejuízos, por ocasião de um evento ou sinistro. Afi nal de contas, se o evento é certo, por que facilitar?

Evento é uma situação que pode afetar a organização. Sinistro é o impacto negativo acarretado.

Dependendo da natureza do seu negócio, a falta de energia ou mesmo de água poderá acarretar diferentes impactos, cujos prejuízos podem se associar ou multiplicar. Por exemplo: recentemente foi noticiado que um salão de beleza em São Paulo, situado em um grande shopping, parou por causa de falta de água. O total do prejuízo, em termos de serviços, totalizou 30 mil reais (no dia) de acordo com a proprietária. Mas as perdas decorrentes de clientes que procuraram e foram bem atendidas pela concorrência é incalculável.

O mesmo se aplica a uma clínica, uma oficina ou uma grande indústria.

A ameaça de falta de energia e de água afeta tanto empresas, quanto pessoas. Entretanto, pela própria natureza das organizações, indepen-dentemente do segmento ou setor, deixar de atender um cliente que encontra uma porta fechada pode signifi car a perda de um cliente ou do próprio negócio.

Por outro lado, quando ocorre um sinistro, pouco pode ser feito, além de tentarmos recolher o que sobrou e tentarmos começar novamente.

12

FALTA DE ÁGUA E ENERGIA:

CONTINGÊNCIAS ANUNCIADAS

Desde 2010 tenho acompanhado com bastante atenção ao cenário climático e energético que se instalou no país, especialmente em São Paulo, notadamente em relação às ações de preparo que estão sendo executadas pelo governo e pelas empresas em geral.

São Paulo, hoje, atravessa uma temporada caótica, misturando o esvaziamento de represas ao mesmo tempo que chuvas torrenciais acompanhadas de fortes ventos derrubam árvores, rompendo fi os da rede elétrica e de telefonia e inundando bairros, sem repor a norma-lidade do nível de água nos reservatórios, necessário para tranquilizar autoridades e empresas.

Com a ameaça cada vez maior de caos, impressão agravada pelo recente “apagão” que afetou mais de 1 milhão de imóveis na grande capital no início de 2015, as empresas só agora começam a se preocu-par com a possibilidade de interrupções.

Há um tempo, li em um grupo de discussão que determinada empresa concluiu que a melhor solução seria a abertura de poços artesianos. Entretanto, aparentemente a solução não seria viável no local onde a empresa é situada. Ou seja: “amarrem o guizo no pescoço do gato”.

As pessoas se dispõem a discutir soluções baseadas no bom senso, sem o apoio de uma metodologia ou experiência dedicada ao assunto, levados pela urgência da situação. Pior: acham que por se tratar de algo “passageiro”, não precisam dedicar muito tempo ou recursos.

Carecem da percepção de que um ou dois dias de interrupção podem justifi car o mesmo valor ou até mais, em uma solução que possa reduzir suas perdas durante um evento desse tipo ou de consequências seme-

13

COMO AS CRISES PODEM FORTALECER SUA FUNÇÃO NA

ORGANIZAÇÃO?

É tradicional que o Brasil recomece a trabalhar logo após o Carnaval, quando a maioria dos gestores está retornando de férias. O verão de 50 °C (pelo menos no Rio de Janeiro) terminou e até o próprio Governo assume ter problemas na economia. Ou seja, agora temos de olhar para frente e pensar como vamos trabalhar em mais um novo ano que promete ser difícil. A primeira coisa que temos certeza é do tamanho da crise que se aproxima (ou está se instalando).

O ideograma em chinês para a palavra “crise” é o mesmo para “oportunidade”. A diferença é em qual delas você pretende investir .

Quem enxerga apenas a crise, se retrai e provavelmente não cres-ce. O profi ssional que consegue ver a oportunidade vai viver a crise de qualquer forma, mas a abordagem diferenciada lhe permite tirar algo mais da situação: Einstein dizia que se você repete a mesma ex-periência 100 vezes, sem alterar nenhum dos elementos envolvidos, não pode esperar resultados diferentes.

Então, para isso, normalmente existem três abordagens: a que evolui, a que revoluciona ou a que copia.

• A que evolui apresenta para a empresa o cenário de redução da capacidade de parada, menos recursos para recuperação durante um evento e uma abordagem proativa, planejando e elaborando atividades de resposta antes dos problemas.

• A que revoluciona também evolui, mas é dinâmica. Mantém-se atual, incluindo nas atividades de resposta as novas ameaças e os riscos percebidos. Não espera, fazendo acontecer.

14

O PCN NÃO É APENAS PARA TI: DEVEMOS CONSIDERAR AS

ATIVIDADES DA ORGANIZAÇÃO

Sempre que me procuram para pedir informações ou uma reunião sobre Plano de Continuidade de Negócios (PCN), minha primeira pergunta é: “para TI ou para o negócio?”. Dependendo da resposta, fi co sabendo se a pessoa sabe do que está falando ou apenas está levantando informações sobre uma solicitação recebida.

Sabemos que o Brasil é o país dos “quebra-galhos”: procrastina-se o que é possível, com a desculpa de que faltam recursos para realizar o necessário. Quantas vezes não nos deparamos com situações co-nhecidas e cuja solução foi adiada por paliativos, por não “ter condições de resolver” naquele momento?

O que a maioria das pessoas esquece (no Brasil, porque nos países onde a gestão é mais comprometida é diferente) é que um “paliativo” não é solução: troca-se o problema por outro. Adia-se a concretização de um impacto ou, na melhor das hipóteses, troca-se por outro de menor consequência, ao invés de eliminar ou mitigar a situação.

A preocupação com o planejamento e a preparação é caracterís-tica dos países mais desenvolvidos e normalmente relegada em países menos favorecidos. Costuma ser praticado em ambientes corporativos maduros ou suscetíveis às perdas signifi cativas em caso de interrupções. As únicas exceções ocorrem em situações onde órgãos reguladores ou normas técnicas exigem a implementação do PCN, como geralmente ocorre no mercado fi nanceiro.

Costumo dizer aos meus alunos (em geral, profi ssionais de TI, em média gestores na faixa dos 30 a 50 anos), que nossa cultura é voltada

15

O RÁPIDO IMPACTO DA FALHA

DE TI PARA NEGÓCIOS

Quando se tratam de respostas a incidentes, quanto mais rápido for a resposta, melhores serão as probabilidades de gerenciar o cenário de forma favorável. Apesar disso, uma recente pesquisa disponibilizada pela xMatters ( http://www.xmatters.com/ ) demonstra que uma má gestão de comunicação signi$ ca que, durante uma interrupção de TI (Tecnologia da Informação), encontrar a pessoa certa para investigar o problema pode demorar tanto tempo como resolvê-lo, ou talvez até mais.

Normamente, os pro$ ssionais de TI assumem uma estratégia es-pecí$ ca acerca de como vão responder a um problema técnico. São os diferentes “suportes de nível”. Ou seja: quando ocorre um problema qualquer, o usuário é orientado a procurar um “solucionador geral” ou “suporte de primeiro nível”. Trata-se de uma pessoa generalista, capaz de resolver a maioria dos problemas mapeados.

Se essa pessoa não consegue resolver o probema, é escalado outro recurso (suporte de segundo nível) mais especialista, orientado pelo diagnóstico do suporte de primeiro nível. E, por último, se nenhum destes consegue resolver o probema, mas identi$ ca a origem, aciona um suporte mais especializado (terceiro nível), habitualmente o recurso responsável pelo ativo de TI, seja um hardware ou software.

O relatório Business Impact of IT Incident Communications: A Global Survey of IT Professionals (disponível em http://info.xmatters.com/rs/alarmpoint/images/xMatters-2015-Survey-Report.pdf ) revela que 45% dos pro$ ssionais de TI informaram que suas áreas de negócios seriam afetadas por uma interrupção menor que 15 minutos e 17% responderam que os negócios seriam interrompidos no momento que a falha de TI surge. Por outro lado, 60% dos entrevistados informaram

16

O DILEMA ENTRE INVESTIR EM

EQUIPAMENTOS OU CONSULTORIA:

QUAL PRIORIZAR?

Recentemente encontrei uma empresa que está evoluindo no assunto de Continuidade de Negócios por questões de Governança Corpo-rativa e Diferencial Competitivo. Seu gestor entende que se tratando de uma empresa do segmento fi nanceiro, poderá interessar e captar mais clientes estrangeiros, estando com um Plano de Continuidade implementado.

O que achei interessante é que esse cliente possui um excelente grupo gerador, capaz de sustentar suas operações nos dois anda-res da empresa e cuja aquisição deve ter sido maior que o valor do investimento na consultoria desejada.

A empresa ainda não avaliou o seu custo de parada, tampouco possui histórico (tem menos de cinco anos de vida) que indicasse a necessidade de investir cerca de R$100 mil nesse equipamento.

Por que uma empresa decide imobilizar um enorme valor em um gerador, cuja utilização será tão esporádica quanto o acionamento de um PCN, se não há histórico de falta de energia no prédio, localizado em região privilegiada do Rio de Janeiro, recentemente reformado e modernizado?

Para responder isso, acabei lembrando da piada que diz a diferença entre hardware e software: um você chuta e outro você xinga, ou seja, o investimento foi feito em algo “concreto”. Um ativo sólido, real, de ferro, plástico e que fornece energia elétrica alternativa. Algo que se pode “chutar”.

17

RECUPERAÇÃO DE DADOS, APLICATIVOS OU NEGÓCIOS?

Sempre comento com colegas e clientes que é uma missão ingrata ter que oferecer PCN (Plano de Continuidade de Negócios), quando quem pergunta não possui consenso fi rmado sobre o que realmente é.

Muitas vezes, converso com pessoas que acham que PCN é uma atividade exclusiva da área de TI. Outras, falo com profi ssionais de TI que reclamam precisar do envolvimento da área de negócios, sem que se envolvam. E, por último (minoritariamente), de pessoas que realmente sabem que um PCN envolve TI e Negócios, sem fazer dis-tinção entre elas.

Por outro lado, quase sempre me perguntam por que a área de TI é envolvida em 90% dos projetos de PCN. A resposta é simples: é a única área que permeia todas as outras áreas, podendo se relacionar ao longo e por meio dos outros processos de negócios, se assim desejar.

Mas infelizmente encontramos a natureza humana atrapalhando os profi ssionais de “bom coração” (assim entendidos como aqueles que co-nhecem os conceitos, porém não conseguem aplicar na organização onde trabalham): seja por conta do medo que as pessoas têm de documentar suas atividades, achando que exibem suas falhas ou disponibilizam o conhecimento que garante sua contratação, ou por acharem que uma vez que tenham a informação na cabeça, não precisam documentar.

Inicialmente, precisamos defi nir do que precisamos realmente, para garantir que a nossa organização poderá continuar trabalhando: dados (ou seja, informações armazenadas previamente), aplicativos (os softwares que permitem atender ao negócio) ou o próprio negócio em si (tudo que seja necessário para a empresa poder trabalhar, durante um período de contingência)?

18

O BRASILEIRO NÃO ACREDITA

NO PIOR POR SUA CULPA!

Nós, brasileiros, achamos que o pior só acontece com o vizinho. Em última instância, ao conversar com vários gestores e donos de

empresas, a maioria pensa que o assunto é pertinente e importante, mas que a prioridade é bater a meta de faturamento ou acompanhar a evolução da concorrência.

Ou seja: a maioria dos brasileiros pensa de forma imediatista, diferen-te dos povos norte-americano e europeu, que pensam a médio e longo prazos. Seja por conta de um histórico de eventos sangrentos ou catas-trófi cos, envolvendo a máfi a na Itália, terrorismo nos Estados Unidos e os próprios eventos naturais, como nevascas, terremotos ou furacões, que não ocorrem no Brasil, nosso povo prefere imaginar que é mais barato gastar quando o problema ocorrer, do que se prevenir e gastar menos.

Voltemos a falar daquela estatística feita pela ONU, de que para US$1 gasto em preparação, economizamos US$7 em recuperação. O que dizer em um país com a estrutura fi scal do Brasil, onde o ICMS (Imposto sobre Circulação de Mercadorias e Serviços) beira os 20%? Ou seja: se a empresa gasta $10.000 em preparação, ela economiza $70.000 (ou mais); se é um negócio bom assim, por que não é divulgado ou investido? Por que não existem anúncios procurando por pessoas responsáveis por GCN (Gestão de Continuidade de Negócios) nos cadernos de empregos, todos os fi ns de semana? Por que a maioria dos planos existentes deixa de ser atualizada?

Porque o fl uxo de caixa prioriza o pagamento de dividendos e a distribuição de lucros. Simples assim. E se em algum momento ocorrer um evento que afete esse resultado, diminuindo os lucros, o sócio ou investidores vão suspirar e dizer “pelo menos só aconteceu este ano”,

19

PESQUISA SOBRE PCN NO BRASIL

O objetivo do questionário foi tentar identificar qual o perfil dePCN no Brasil, ou seja: como as empresas lidam com o assunto in-ternamente. Apresentei o convite aos meus contatos do LinkedIn (cerca de 2.000 pro$ ssionais dos mais variados tipos e segmentos), cujo resultado está aqui tabulado.

Esta tabulação considerou o percentual das respostas dadas por cada questão, pois em alguns casos houve questões sem respostas (no caso de empresas que não possuem PCN) e outras em que foram dadas mais de uma resposta por questão.

Solicitei aos participantes que respondessem de acordo com a rea-lidade da organização onde atuam, colocando de lado o conhecimento sobre o assunto. De forma alguma, iria avaliar se a resposta estava certa ou errada, que não era o objetivo desse questionário.

Peço que avaliem com cuidado as respostas a seguir, pois elas não re* etem melhores ou piores práticas, mas tão somente a fotogra$ a de um universo de organizações dos mais diferentes segmentos ($ nanças, indústria, serviços, TI e outros), que colaboraram com respostas sobre seu próprio cenário.

O resultado é apresentado a seguir, com os comentários sobre cada uma das perguntas e as conclusões obtidas:

Nota: a título de esclarecimento, 43,43% do total de pro$ ssio-nais participantes informaram não possuir um PCN. Desse universo, 16,66% preferiram não responder às outras questões, por acharem que não se aplicaria. Das empresas que responderam, 34,78% informaram não ter um PCN formal e implementado.

20

ONZE DICAS PARA ENFRENTAR

FALTA DE ENERGIA E DE ÁGUA

1. É mais comum do que se espera, durante uma falta de energia, que equipamentos de emergência não funcionem. Certi% que-se da validade dos no-breaks e se os geradores recebem manutenção periódica competente.

2. Se for contratar o aluguel de grupos geradores, tenha certeza de que o fornecedor não possua mais clientes do que geradores. A existência de cláusulas de SLA não substitui as perdas caso seu serviço deixe de ser prestado.

3. Veri% que com seus fornecedores se eles estão preocupados com a falta de energia e água, como você. Exija que os fornecedores críticos elaborem seus PCNs e garantam o fornecimento de seus produtos.

4. Contrate o que precisa: utilize o resultado do BIA, para avaliar, com precisão, quais áreas ou processos não podem parar. Ajude sua organização a economizar: quem disse que durante uma falta de energia precisam fazer toda empresa funcionar?

5. Se você possui geradores, veri% que a situação da armazenagem de combustível e a possibilidade de reabastecimento durante uma falta de energia.

6. Veja se as áreas mais escuras ou de grande risco, nas suas instala-ções, possuem iluminação emergencial ou se possuem lanternas disponíveis para os funcionários encarregados dessas áreas.

7. TI não funciona sem pessoas, mas pessoas funcionam sem TI: veri% que se durante um período de racionamento é necessária a presença de todos os seus funcionários. Atualmente é pos-sível organizar o trabalho de funcionários de suas residências. Normalmente basta haver um planejamento prévio.

21

CRIANDO PLANO DE

CONTINUIDADE DE NEGÓCIOS

Depois de ter lido e aprendido os principais conceitos necessários para elaborar um PCN, seguem as principais “dicas”, necessárias para você elaborar o seu projeto:

1. Obtenha suporte e patrocínio da alta gestão (ou do dono da empresa). Sem isso, seu trabalho poderá ser prejudicado por questões políticas ou + nanceiras.

2. De+ na o escopo: TI, Negócios ou ambos? 3. Utilize a metodologia e realize um BIA, para criar evidências que

futuramente serão auditadas e vão justi+ car todo o resultado do traba-lho. Sem um BIA, seu Projeto será baseado em “achismo” e poderá ter o resultado questionado por uma auditoria ou mesmo pela matriz.

4. Comece sempre pelo básico: realize seu PRD para TI e ativos de infraestrutura, cujo resultado será sempre útil no futuro. Depois, crie o PCO baseado no resultado do BIA da área de negócios.

5. Depois do BIA, elaborado com informações prestadas pelas áreas pela área de negócios, + ca fácil para TI identi+ car quais ativos suportam os processos críticos, que indicam o respectivo escopo do PCO. Não pule etapas.

6. Fazer difícil é fácil: lembre-se que os planos não serão entregues para leigos. Tentar detalhar procedimentos técnicos ou opera-cioais apenas torna o plano complexo e provavelmente será dis-pensado em um caso real.

7. Não adianta querer incluir nos planos todos os possíveis procedi-mentos para reparo ou conserto. Existe documentação especí+ ca para isso, com essa função, preparada e mantida pela área de suporte.

Há alguns anos a maioria das empresas anunciava seus produtos ou serviços fa-

lando de “melhor preço com qualidade” como argumento para atrair clientes.

Ao longo do tempo, com o aumento da competição e o amadurecimento do con-

sumidor, preço e qualidade deixaram de ser diferenciais competitivos, tornan-

do-se obrigações.

Atualmente, em um mundo imediatista e cada vez mais acostumado a ter/receber

informações literalmente na “ponta dos dedos” graças à evolução dos celulares,

a maior preocupação das empresas tem sido manter sua disponibilidade e presen-

ça no mercado de seus consumidores.

E a dependência cada vez maior da Tecnologia da Informação (TI) acaba permi-

tindo vulnerabilidades onde antes não haviam, por conta do objetivo de reduzir

os custos e aumentar a produtividade. Em um ambiente altamente competitivo,

estar presente ou não pode significar a diferença entre grandes lucros ou prejuí-

zos, o que normalmente decide o destino da organização.

Ciberataques eram ameaças inexistentes até poucos anos atrás. Hoje, vemos

constantemente notícias de ataques a prefeituras, hospitais, redes de energia e

sistemas de controle de trânsito, para não citar objetos caseiros como geladeiras,

TVs e babás eletrônicas.

Um Plano de Continuidade de Negócios (PCN) é reconhecidamente um meio de

garantir a participação no mercado e reduzir as perdas que geralmente se concre-

tizam quando uma organização sofre as consequências de uma parada não plane-

jada. Muito além disso, trata-se de uma forma de evidenciar o profissionalismo

da alta gestão e a maturidade corporativa. Como dizia o fundador da TAM, Co-

mandante Rolim, “quando uma empresa vai mal, a primeira área onde se cortam

custos é a Segurança; se a companhia está bem, segurança é prioridade”.

Se a sua organização precisa garantir o funcionamento, seja por normas, regu-

lações ou custo da interrupção, o PCN é uma solução mais barata que duplicar

sua estrutura toda ou investir em “soluções” que nunca garantem 100% da con-

tinuidade das operações, sejam ela de TI ou de negócios.

Este livro é mais que uma “receita de bolo”, pois apresenta ao leitor todos os

conceitos e estratégias que envolvem a elaboração e implementação de um pro-

jeto para garantir a Resiliência e a Continuidade de Negócios.