Os resultados esperados pela diretoria de um departamento de TI são segurança, redução de custos e performance. E como problemas internos ou externos podem colocar em risco o funcionamento da infraestrutura, as empresas devem contar com um plano de contingência em TI bem elaborado e testado.
A criação desse plano não pode deixar de fora nenhuma parte integrante dos provedores de serviços da TI. Qualquer ponta solta na estratégia é um canal potencial de entrada de ameaças e geração de prejuízos.
Por isso, criamos este post para falar sobre criação e seguimento de um plano de contingência. Também vamos abordar cuidados específicos que às vezes não são observados por não fazerem parte dos elementos mais comuns da TI. Acompanhe-nos.
Como criar e seguir um plano de contingência em TI
Mapear o ambiente de TI da empresa
A primeira etapa tem como objetivo revisar e documentar todos os elementos que fazem parte da estrutura de TI da organização. Além de evitar descuidos, essa ação serve também para que os principais pontos de fragilidade, que exigem atenção maior, sejam identificados.
Aliás, após o mapeamento e antes do seguir com a criação do plano, a identificação de pontos frágeis pode determinar soluções a serem implementadas para redução das fragilidades. Quanto aos pontos críticos da estrutura, que não necessariamente são frágeis, podem ter melhorias ou a implementação de soluções que aumentem a segurança.
Por exemplo, se a estruturação das fontes de dados está organizada de forma que facilite bugs, perda de informações ou assimetria de integrações, uma reestruturação pode ocorrer imediatamente.
Analisar impactos, classificar riscos e definir ações
Enquanto alguns riscos não estão associados a nenhum prejuízo e apenas podem gerar um pouco de trabalho adicional, outros estão vinculados a grandes prejuízos financeiros e operacionais para o setor de TI e outros departamentos. Outra diferença que existe entre os riscos é a probabilidade de se efetivarem, o que também precisa ser analisado.
Os objetivos dessas duas avaliações são os seguintes:
- relacionar os riscos às consequências que podem gerar;
- definir planos de continuidade de serviços para casos de efetivação de riscos;
- definir ações e estratégias de prevenção;
- definir as ações de contingência;
- estabelecer planos de recuperação de dados, softwares ou hardwares.
Documentar o plano de contingência
O plano, ou política de contingência, deve ser documentado com todas constatações obtidas nos passos anteriores e contar com atividades detalhadas e claras a serem feitas em caso de uma contingência ser necessária.
Todos os envolvidos, independentemente da posição de cada um na hierarquia, devem ter acesso ao plano documentado para entenderem os riscos, saberem que práticas e diretrizes a respeitar e seguirem o calendário preventivo, o que abordaremos adiante.
Estabelecer a equipe de gestão de crise
Profissionais específicos têm de ser destacados para entrarem em ação assim que qualquer problema ocorrer. Eles serão os responsáveis por tomar as decisões em caso de uma contingência, colocarem ações em práticas ou as delegarem, mensurarem prejuízos financeiros e operacionais e posteriormente analisarem causas, ocorrências, consequências e ações futuras.
Na criação dessa equipe é importante conciliar profissionais com perfis e conhecimentos diversificados, o que propicia um grupo mais completo e preparado para diferentes problemas que podem ocorrer.
Realizar testes e treinamentos do plano de contingência
Os testes servem para validar o plano criado e, se ainda necessário, aplicar melhorias e correções nas estratégias definidas para ele. Isso porque determinada ação pode funcionar para um erro específico, mas caso a ocorrência esteja associada simultaneamente a outro problema na estrutura ela pode não funcionar. Então, para essa possibilidade outra linha de ação tem de estar prevista.
Quanto aos treinamentos, garantem que a equipe de TI esteja preparada para agir diante de qualquer situação que justifique a colocação da política de contingência em prática. Como um erro individual pode gerar grandes problemas e ameaças podem surgir a qualquer momento, cada profissional precisa estar capacitado a agir imediatamente, e possivelmente individualmente, quando for necessário.
Planejar um calendário preventivo
Um calendário de ações preventivas tem como principais objetivos manter a segurança e a performance da estrutura de TI. Dentro dele podem estar ações como:
- verificação constante de atualizações;
- revisão do plano de contingência que foi documentado;
- criação de calendário de limpeza em hardwares;
- revisão da forma de estruturação das fontes de dados.
Para essas diferentes atividades, e outras possíveis, podem ser estabelecidas periodicidades distintas de realização. Enquanto o plano de contingência em TI pode ser revisado uma vez por ano ou por semestre, já que é uma política complexa e validada, a verificação de atualizações deve ser mais frequente.
Compartilhar pontos específicos com outros setores
Os usuários da estrutura de TI, como os profissionais do setor fiscal que utilizam o módulo fiscal do ERP, precisam estar a par da existência de um plano de contingência e saberem que suas ações impactam na prevenção de problemas.
Portanto, devem ser instruídos em relação ao correto uso das tecnologias para que respeitem as diretrizes de segurança da política definida. É claro que um assistente fiscal não precisa saber por que pode ocorrer determinada assincronia na integração de aplicações e o que fazer nesse caso. Porém, esse profissional pode seguir uma agenda de backups para os dados que movimenta e um fluxo predeterminado de tarefas para importações, exportações e conciliações de dados.
6 ações específicas para um plano de contingência em TI
Avaliar os planos de parceiros externos
A empresa pode continuar em risco se prestadores de serviços ou parceiros ligados ao seu setor de TI não tiverem bons planos de contingência, pois problemas com as estruturas deles podem acabar gerando consequências para ela.
Por isso, antes de uma contratação e de uma implementação feita por um agente externo é necessário analisar os cuidados que esse agente toma para manter a segurança e a performance e garantir ambas as características para a organização.
Identificar intrusos de maneira invisível
Caso ocorra uma invasão por intruso ou hacker não se pode deixar que o invasor perceba que foi detectado. Isso pode fazer com que ele encontre outra maneira de se esconder ou que acelere a efetivação dos seus planos de invasão, os danos, antes que seja eliminado.
Portanto, o invasor tem de ser eliminado percebendo que foi identificado apenas quando não conseguir mais ter acesso aos locais nos quais estava. Depois, os hardwares e softwares pelos quais ele passou devem ser revisados à procura de instalações maliciosas e outros tipos de danos deixados pelo caminho.
“Queimar” caminhos de passagens de vírus
Após um vírus ser detectado e eliminado todos os locais pelos quais ele passou, e que potencialmente estão infectados ou danificados de alguma forma, têm de ser “queimados”. Posteriormente, as instalações precisam ser refeitas e os dados devem ser recuperados para um recondicionamento de estrutura.
Novamente, com as práticas de contingência tendo sido feitas, cabe uma revisão para saber se nenhum dano se manteve e se nenhum resquício do vírus e de outros elementos dele sobreviveram.
Ter planos de ação secundários definidos
Apesar de muito bom, um plano de contingência em algum momento pode não ser eficiente por uma série de motivos. Então, um plano de ações secundárias deve existir para que os profissionais responsáveis por agir não fiquem sem caminho definido a seguir para chegar em algum resultado minimamente satisfatório.
Um desses planos secundários pode ser a redundância de elementos, como servidores, backups e redes. Isso serve para eliminar um risco ou pelo menos reduzir sua gravidade quando as ações principais não conseguirem solucionar os problemas constatados.
Compartilhar riscos e custos com a seguradora
Nem todo perigo associado a uma estrutura de tecnologia é ligado a ela, pois existem perigos físicos — principalmente em relação a hardwares e demais equipamentos —, como incêndios e sobrecargas de energia.
Por isso, é sempre útil e positivo, principalmente no que diz respeito à prevenção, estar com a infraestrutura física da TI segurada contra desastres que danifiquem equipamentos. Muitas vezes, dependendo da ocorrência, é possível que o pagamento da seguradora cubra toda a manutenção e/ou a reposição.
Eliminar ao máximo etapas e burocracia
Por exemplo, uma ocorrência de grau de risco menor e que demanda uma ação simples e rápida para resolução, evitando um problema maior no futuro, não precisa da chancela do gerente de TI para efetivação. Basta que o profissional disponível no momento, detectando a ocorrência, tome as providências e reporte o caso e a solução ao seu superior posteriormente.
Quanto menos burocracia e etapas, com a hierarquia sendo colocada em segundo plano quando for coerente e possível, melhor. Assim, a equipe de gestão de crise e contingências consegue ser mais rápida e eficiente. Além disso, evita-se que pequenos problemas cresçam e gerem prejuízos reais apenas por conta de demora desnecessária na resolução deles.
Depois de ler o que abordamos, você acha que o plano de contingência em TI da sua empresa está adequado ou pode melhorar? Tem mais alguma ideia sobre o assunto para compartilhar? Deixe sua percepção ou sua dúvida nos comentários.