Logomarca IETEC

Buscar no TecHoje

Preencha o campo abaixo para realizar sua busca

:: Gestão e Tecn. da Informação

Planos de contingência em TI

José Wanderlei Gava Galves

Analista de Sistemas e ex-aluno da pós-graduação de Gestão de Projetos do IETEC

O que fazer quando Riscos assumidos se concretizam?

O que fazer quando os riscos identificados e assumidos (ou não) pela alta gestão se concretizam de forma inesperada? O que fazer então quando estes riscos são relativos à Área de Tecnologia da Informação (Tl) ? Mais especificamente, o que fazer quando a área de Operações de Tl tem suas atividades paralisadas por um simples início de incêndio, mas de conseqiiências que podem inviabilizar o negócio?

Eliminar Riscos em TI - Uma tarefa "Hercúlea".
O que fazer quando é identificado que o risco de incêndio na Sala de Operações de TI (previsto ou não antecipadamente, porém possível), se concretizou e que este incidente atingiu sobremaneira os servidores principais da empresa, podendo acarretar a paralisação das atividades e até mesmo tornar inviável o negócio?

É desnecessário enfatizar a importância de uma área de TI para as empresas, onde informação não é mais base para o negócio e sim o próprio negócio.

A adoção de ações preventivas planejadas antecipadamente como Planos de Contingência, é uma possibilidade para se amenizar riscos em TI ou até mesmo eliminá-los. É entendido porém por muitos que "eliminar" riscos em TI é uma tarefa "hercúlea", não sendo recomendável ser feita tal promessa aos níveis de decisão, visto que os riscos se renovam a cada dia, sendo sua velocidade proporcional à dinâmica desta ciência.

Para ser tratado o processo "Riscos Concretizados/Planos de Contingência em TI", vários são os assuntos que requerem uma abordagem antecipada, objetivando a equalização de conceitos :

Gerenciamento de Riscos nas Empresas ou "Como não ser um Gerente Feliz"
De um autor anônimo: "3 ignorância traz a felicidade". É assim que a maioria das empresas pode estar gerenciando seus riscos: quando fazem, tratam seus riscos de forma burocrática (alguém pediu e não cobrou, alguém registrou e alguém esqueceu...). "Alguém finge que pede, alguém finge que faz e vai se vivendo de forma feliz, pois não se sabendo não se tem preocupação". "Tratar Riscos de forma burocrática é um grande risco para a empresa", com exceção talvez de trazer "felicidade" para todos, como visto.

Reconhecer e gerenciar Riscos é uma das obrigações do Gestor do Negócio. É o Gestor do Negócio atuando de forma preventiva e pró-ativa. Gerenciar efetivamente os Riscos é a possibilidade da descoberta de novas oportunidades.

Por outro lado Não Gerenciar Riscos é "correr atrás do prejuízo". Não Gerenciar Riscos é o "suicídio profissional". Não Gerenciar Riscos é estar atrás da concorrência.
Não ser tem gestor" feliz" é obrigação da Gerência.

Causas do Não Gerenciamento de Riscos
Muitas podem ser as causas desta indiferença em relação à Gestão de Riscos de forma profissional, porém três são as mais comuns : aspecto financeiro; gestão frágil da alta e da média Gerência; e incompetência técnica operacional. Prever, mensurar, classificar e valorar riscos requer competência técnica das áreas. Contingenciar Riscos requer visão técnica apurada e crítica do seu negócio. Só se contigencia o que é conhecido e medido. "Fazer acontecer" depende de gestão ativa, receptiva, participativa, colaborativa e pró-ativa. Dinheiro é o terceiro fator. Não pouco, principalmente quando a área é TI e o assunto é Plano de Contingência.

Responsabilidade pela Gestão de Riscos nas Empresas
Follow-up sobre Riscos - Self Assessment: é a responsabilidade dos Gestores do Negócio e da empresa pela avaliação dos processos e acompanhamento dos riscos identificados, planos de ação e prazos para cumprimento. Caso a empresa não possua uma metodologia para a gestão dos riscos, esta função é normalmente executada, de forma indevida, pelas Auditorias Interna e Externa. Não se deve confundir controles internos e riscos. Apesar de ser assunto para outras páginas, é importante citar que controles internos e riscos são atividades diferentes, porém interdependentes. Confundi-ias já é um passo para se aumentar o risco na empresa. Pensa-se que a gestão eficaz de controles internos ameniza os riscos, porém nem sempre isto ocorre.

Risco Tl nas Empresas
Outro fator a ser considerado, e neste caso importante para a compreensão do problema apresentado, é a disciplina TI nas empresas. Como ela é ainda vista, por muitos gestores, como uma grande consumidora de recursos, que não é uma inverdade, empresários relegam a segundo plano os gastos ditos não necessários para a operação das atividades desta área. Estes empresários assumem os riscos de TI sem o mínimo de conhecimento da sua extensão e impacto.

Dentre os gastos citados no parágrafo anterior, os mais chamativos são ainda aqueles relativos aos Planos de Contingência. Cabe aos gestores de TI estarem preparados para conscientizar, educar, convencer e demais verbos relacionados, os órgãos de decisão das empresas. Porém, o que são Planos de Contingência para TI?

A atividade Tl nas Empresas:
Antes de se conceituar Planos de Contingência de TI, voltemos ao assunto TI. Como funciona ou quais são as áreas básicas de TI? Independente da instalação, da empresa, dos produtos e dos serviços uma área de TI tem basicamente três sub-divisões (e claro muitas variações sobre o mesmo tema) :
- uma área de Desenvolvimento de Sistemas (programadores, analistas, metodologias e ferramentas para desenvolvimento de sistemas etc). É a área que tem contato direto com o usuário final-cliente. Deveria ser a porta de entrada da área de TI para os usuários/clientes;
- uma área de Operações/Produção, onde estão as máquinas principais de processamento (servidores, fitotecas, impressoras centralizadas etc). É onde os sistemas corporativos são processados; os serviços de correio, internet são mantidos; as informações são geradas e armazenadas. É, como o próprio nome diz, a produção de TI;
- e finalmente uma área de Suporte Técnico que mantém esta tecnologia. É o pessoal técnico que mantém a infra-estrutura de informática (hardware e software).

Riscos e Controles Internos em TI

De volta à questão "o que são Planos de Contingência para Tl?". Planos de Contingência de
TI são Planos elaborados, escritos, divulgados, testados, mantidos e atualizados, objetival1rlo snanter
o negócio contínuo, mesmo que haja um sinistro que afete áreas/equipasnentos/serviços de TI. Este
sinistro pode ser desde pequenas proporções (quebra de um servidor crítico até perda total das
instalações).

Quais são os riscos de TI? No parágrafo anterior são citados dois (grifados) de uma infinidade.
Cada área de TI (as três básicas) tem inerente seus riscos operacionais e técnicos. Alguns exemplos :
- Desenvolvimento de Sistemas: risco de que os sistemas da empresa sejam desenvolvidos
de forma não padronizada gerando custos pela "independência na criação" e dificuldades
ou mesmo impossibilidade de manutenção em função da falta de uma Metodologia de Desenvolvimento de Sistemas (Controle Interno)
- Operação/Produção : risco de indisponibilidade dos serviços de TI pela inexistência de sites alternativos (Controle Interno) para continuidade do processamento em casos de perda de uma ou mais máquinas principais.
- Suporte Técnico : risco de indisponibilidade dos serviços pela adoção/implantação de um software básico não compatível com a infra-estrutura de Tl homologada (Controle Interno).

Para conhecimento de todos os riscos de TI é importante que esta área tenha uma metodologia básica e cada gestor e equipe estejam preparados para validar Riscos; entender a extensão das perdas e impactos e habilitados a elaborar e manter Planos de Contingência. É imprescindível também que as Gerências operacionais e os técnicos estejam, além de preparados para apontar estes Riscos, definir ações preventivas e corretivas a serem aprovadas pelos órgãos superiores.

Ações Preventivas e Corretivas para os Riscos de Tl
As ações preventivas e corretivas fazem parte do dia-a-dia dos técnicos e gerentes operacionais de TI. São inerentes às suas funções e atreladas aos riscos do negócio sob sua responsabilidade. É sua obrigação tê-los "na ponta da língua", como se dizia antigamente. É recomendável que as ações preventivas sejam mais utilizadas que as corretivas.

As ações preventivas devem estar previamente orçadas, contratadas, acompanhadas e atuantes. Podem se restringir a uma ação puramente técnica controlada internamente ou pode requerer uma ação externa (fornecedores, terceiros etc). As ações Preventivas estão atuantes pré-ocorrência do Risco.

Por outro lado as ações corretivas são ativadas pós-ocorrência do Risco. Podem ser o último estágio antes do acionamento de um Plano de Contingência. Ações corretivas em demasia podem ser o resultado de um planejamento ou operações inadequadas ou mesmo a falta deles. Ações corretivas, na maioria das vezes ocorrem de forma emergencial, sem planejamento e dependendo do procedimento e das ferramentas adotados podem ser mais nocivas para o ambiente de Tl do que benéficas. Podem ser evitadas caso haja ações Preventivas.

Um exemplo clássico é a gestão de servidores : é requerido que este passe por manutenções preventivas de hardware periódicas (disco, memória, capacidade, performance etc), assim como é requerido também que seu ambiente operacional (sistema operacional, software gerenciador de banco de dados etc) seja atualizado permanentemente de acordo com as orientações do fornecedor. Não havendo manutenções e atualizações preventivas (Hw e Sw), riscos de indisponibilidade do ambiente são potencializados. Ações corretivas emergenciais serão requeridas com todo o risco que lhes são inerentes.

As ações preventivas possibilitam uma gestão de menos risco. No caso citado, contratos de manutenção e suporte técnico junto a fornecedores e terceiros; treinamento técnico ao pessoal interno e outras ações impedem que haja exposição e perdas financeiras da empresa em função de indisponibilidade dos sistemas/serviços.

Processo base pré Planos de Contingência em TI - "BIA"
Finalmente, após alguns conceitos e idéias, pode-se partir para serem completadas as questões iniciais : "O que fazer quando os riscos identificados e assumidos pela alta gestão se concretizam de forma inesperada? O que fazer então quando estes riscos são relativos à Área de Tecnologia da Informação (Tl) ? Mais especificamente, o que fazer quando a área de Operações de Tl tem suas atividades paralisadas por um simples início de incêndio, mas de conseqiiências que podem inviabilizar o negócio?"

"O que fazer quando os riscos identificados e assumidos pela alta gestão se concretizam de forma inesperada?"
Pensa-se que, primeiramente tenha havido um processo de identificação adequado e eficaz dos processos e dos riscos. Todos os processos das áreas de TI tenham sido mapeados, junto aos seus gestores e funcionários. Pensa-se também é claro, que estes gestores e funcionários tenham domínio sobre sua função, entendam a extensão dos riscos do negócio sob sua responsabilidade, o impacto, freqüência, possíveis custos/perdas etc (de novo a idéia de uma Metodologia de Gestão de Riscos ativa, mais precisamente a fase c/e execução denominada BlA - Business Impact Analisys).

Acompanha este cardápio a necessidade de existência de políticas, instruções operacionais, manuais de operação e quaisquer outros documentos de apoio à gestão e à operação que definam diretrizes, responsabilidades ferramentas etc (de novo aqui a idéia dos Controles Internos, mais precisamente a ISO).

Sabendo-se e tendo-se tudo isto, será fácil para o Gestor de TI (e aí pela primeira vez neste texto aparece o CIO - o homem de informações da empresa) levar aos níveis de decisão, os riscos priorizados e com custos apurados. Este processo é vital e deve ser "vendido" corretamente; entendida sem dúvidas e implantado sem demora.

Novamente à questão : "O que fazer quando os riscos identificados e assumidos pela alta gestão se concretizam de forma inesperada"?

Caso tenha o "dever de casa" sido corretamente feito: funcionários identificam processos e levantam riscos de TI; Gerências Operacionais avaliam os Riscos e em conjunto com áreas técnicas definem ações preventivas e corretivas; Gestores de TI (CIO) reconhecem os riscos aprovam processo e preparam relatórios com prioridades e custos para a solução; e Órgãos de decisão da empresa aprovam e liberam verba para a amenização ou solução dos riscos.

Tem-se a resposta para a questão inicial, caso todas as ações planejadas ou não falharem e a ocorrência do Risco justificar o acionamento de um Plano de Contingência, que nada mais é do que unia ação preventiva com custo antecipado (e que custo...).

Planos de Contingência em TI
Os Planos de Contingência de TI são normalmente construídos para situações até extremas de ocorrência de riscos, porém situações de ocorrência de riscos do dia-a-dia devem também ser contempladas por eles.
Um Plano de Contingência de TI está baseado em três vértices :
- Vértice PESSOAS - que trata dos recursos humanos envolvidos nas atividades em Contingência.
- Vértice ORGANIZApÃO - que trata especificamente sobre a disponibilidade e segurança de recursos estruturais e organizacionais para suportar as atividades necessárias em Contingência.
- Vértice TECNOLOGIA - que contempla os recursos de hardware, software e ambientais apoiados em tecnologias de TI e complementares para atender em contingência.

A situação extrema de Risco é a possibilidade de indisponibilidade total do ambiente de TI,
incluindo-se ou não perdas humanas. Nestas situações a empresa se utiliza de, sites back-ups, contratados anteriormente ou de sua propriedade. É um processo preventivo, muito semelhante a um seguro - paga-se objetivando-se nunca ter que se utilizar.

Existem várias metodologias para a elaboração de Planos de Contingência, assim como há também softwares para sua gestão, documentação e atualização. O importante porém é que a filosofia de contingenciamento de riscos esteja viva e ativa entre os funcionários de TI.

Situações imprevistas em TI ocorrem praticamente todos os dias. As ações para sua correção são normalmente feitas ainda de forma corretiva. Históricos das ocorrências com causas e ações tomadas são procedimentos raros, assim como uma base de dados das lições aprendidas.

Em TI, Riscos e Contingências caminham juntos. Metodologias, políticas, ações operacionais e gerenciais (preventivas e corretivas) e dinheiro são as bases para a boa gestão deste processo.

 

Saiba mais sobre o curso de pós-graduação em Gestão de Projetos, clicando aqui.

 

Saiba mais sobre os cursos da área de Tecnologia da Informação do IETEC, clicando aqui.

 

Indique este artigo a um amigo

Indique o artigo