Não existe PCN de TI!
São três horas da madrugada e o seu celular corporativo toca. Você atende
com aquela voz “meio atordoada” como seu corpo, e do outro lado da linha:
“doutor João, acho melhor o senhor vir rápido pra cá que o prédio tá pegando
fogo...”, você acha que tá sonhando... sua adrenalina sobe, e já não tão
atordoado pergunta: “mas, o que foi mesmo que você falou???”, “o prédio tá
pegando fogo doutor...
Não tem ninguém trabalhando no prédio na hora do evento. O incêndio destruiu
parcialmente (estou em um cenário otimista) o edifício e a sua recuperação
levará pelo menos 30 dias. Então você, proprietário da empresa pergunta:
estamos preparados para tal evento? O que fizemos para um evento
inesperado (e às vezes não é nem tão inesperado assim)? Alguém então
lembra: não tem problema não doutor João, temos um Plano de Continuidade
de Negócios de TI, um PCN, um DRP, um...enfim, uma sopa de letrinhas que
salva nosso negócio! Será que salva mesmo, pergunto?
Ok, você suspira aliviado. Quando ativa o tal PCN, percebe que falta alguma
coisa, ou melhor, algumas coisas...Percebe que o tal PCN, chamado de PCN
de TI, “olhou” para salvar a TI. OK, legal, salvamos TI. Mas, está faltando o
negócio, está faltando lugar para colocar as pessoas que tocam os processos
de negócios críticos, percebe-se que não se pensou em uma equipe mínima,
está faltando checar se foi tratado as informações não custodiadas por
TI...Enfim, percebe-se que salvou TI (o meio), mas não salvou o negócio (o
fim)! Então, é o Fim do negócio?!
Com essa estória quero dizer que as empresas erroneamente chamam seu
PCN de PCN de TI, e às vezes chamam simplesmente de PCN, aquilo que
contempla apenas o recurso Tecnologia da Informação. Não existe o termo
PCN de TI simplesmente porque PCN (Plano de Continuidade de Negócios) vai
além de salvar o recurso TI. O tal PCN tem que ter como escopo de proteção
outros recursos, como: pessoas (equipe mínima para tocar os processos de
negócios mais críticos), instalações (onde o negócio continuará a sobreviver),
informações que não estão custodiadas em TI e que necessito para continuar
as operações e suprimentos diversos.
O tal “PCN de TI” como muitos chamam, é parte do PCN completo, é parte de
um conjunto de outros quatro planos; aí sim, juntando os cinco planos temos o
PCN verdadeiro. Há que se ter planos que respondam a emergência,
comuniquem a crise, façam a gestão da crise e recuperem os processos de
negócios em instalações alternativas. E o plano de TI? O plano de TI não é
PCN de TI, mas algo como Plano de Recuperação de Desastre de TI ou Plano
de Contingência de TI, só isso. Ele complementa o PCN.
Simplesmente eu gostaria de dar um recado: não é suficiente olhar e salvar só
a TI! Por mais que a TI seja importante nas instituições financeiras, alguns
dizem até crucial, ela não é o negócio, ela será sempre meio dele. É
necessário muito mais do que recuperar apenas TI. É preciso salvar o negócio
composto por seus processos de negócios, que precisam de instalações, que
precisam de pessoas e que também precisam de TI. Com o tal PCN de TI você
salva a TI, mas o seu negócio, bem, o seu negócio...
Mário Sérgio Ribeiro - Engenheiro, mestre em segurança da informação pela
USP, professor da FIA/USP e instrutor da ABBC desde 2006.