Não existe PCN de TI! São três horas da madrugada e o seu celular corporativo toca. Você atende com aquela voz “meio atordoada” como seu corpo, e do outro lado da linha: “doutor João, acho melhor o senhor vir rápido pra cá que o prédio tá pegando fogo...”, você acha que tá sonhando... sua adrenalina sobe, e já não tão atordoado pergunta: “mas, o que foi mesmo que você falou???”, “o prédio tá pegando fogo doutor... Não tem ninguém trabalhando no prédio na hora do evento. O incêndio destruiu parcialmente (estou em um cenário otimista) o edifício e a sua recuperação levará pelo menos 30 dias. Então você, proprietário da empresa pergunta: estamos preparados para tal evento? O que fizemos para um evento inesperado (e às vezes não é nem tão inesperado assim)? Alguém então lembra: não tem problema não doutor João, temos um Plano de Continuidade de Negócios de TI, um PCN, um DRP, um...enfim, uma sopa de letrinhas que salva nosso negócio! Será que salva mesmo, pergunto? Ok, você suspira aliviado. Quando ativa o tal PCN, percebe que falta alguma coisa, ou melhor, algumas coisas...Percebe que o tal PCN, chamado de PCN de TI, “olhou” para salvar a TI. OK, legal, salvamos TI. Mas, está faltando o negócio, está faltando lugar para colocar as pessoas que tocam os processos de negócios críticos, percebe-se que não se pensou em uma equipe mínima, está faltando checar se foi tratado as informações não custodiadas por TI...Enfim, percebe-se que salvou TI (o meio), mas não salvou o negócio (o fim)! Então, é o Fim do negócio?! Com essa estória quero dizer que as empresas erroneamente chamam seu PCN de PCN de TI, e às vezes chamam simplesmente de PCN, aquilo que contempla apenas o recurso Tecnologia da Informação. Não existe o termo PCN de TI simplesmente porque PCN (Plano de Continuidade de Negócios) vai além de salvar o recurso TI. O tal PCN tem que ter como escopo de proteção outros recursos, como: pessoas (equipe mínima para tocar os processos de negócios mais críticos), instalações (onde o negócio continuará a sobreviver), informações que não estão custodiadas em TI e que necessito para continuar as operações e suprimentos diversos. O tal “PCN de TI” como muitos chamam, é parte do PCN completo, é parte de um conjunto de outros quatro planos; aí sim, juntando os cinco planos temos o PCN verdadeiro. Há que se ter planos que respondam a emergência, comuniquem a crise, façam a gestão da crise e recuperem os processos de negócios em instalações alternativas. E o plano de TI? O plano de TI não é PCN de TI, mas algo como Plano de Recuperação de Desastre de TI ou Plano de Contingência de TI, só isso. Ele complementa o PCN. Simplesmente eu gostaria de dar um recado: não é suficiente olhar e salvar só a TI! Por mais que a TI seja importante nas instituições financeiras, alguns dizem até crucial, ela não é o negócio, ela será sempre meio dele. É necessário muito mais do que recuperar apenas TI. É preciso salvar o negócio composto por seus processos de negócios, que precisam de instalações, que precisam de pessoas e que também precisam de TI. Com o tal PCN de TI você salva a TI, mas o seu negócio, bem, o seu negócio... Mário Sérgio Ribeiro - Engenheiro, mestre em segurança da informação pela USP, professor da FIA/USP e instrutor da ABBC desde 2006.