A segurança da informação é prioridade no discurso das empresas, mas na prática ainda vemos brechas e falhas gravíssimas em assegurar a continuidade do negócio.
Cerca de 30% das grandes empresas brasileiras não possuem um Plano de Recuperação de Desastres (DRP, na sigla em inglês). É um número alto, considerando a relevância da segurança da informação na agenda corporativa. Mas essa realidade tem nuances ainda mais preocupantes.
Mesmo entre as organizações que dizem ter um DRP, 23% delas não o testam regularmente. Outras 24% o testam, mas com participação apenas da TI, excluindo as demais áreas, o que é limitante. Cerca de 61% têm uma governança “parcial ou limitada” de seu plano, e 14% não conta com qualquer governança, afirmando que os “protocolos de ação não estão formalmente documentados, e a comunicação e o treinamento sobre eles não são suficientes”.
Todos esses dados foram levantados de capítulos especiais (e inéditos) da quarta edição da pesquisa Jornada CIO, realizada pela Lozinsky Consultoria, e que terá seu relatório publicado em agosto. Antecipei esses resultados aqui por uma boa razão: eles comprovam que a maior parte das grandes empresas brasileiras está em débito consigo mesma no que diz respeito a ter um DRP apropriado, capaz de lhe permitir dar continuidade ao negócio diante de um ataque de cibercriminosos.
Mesmo diante da constatação da importância de uma arquitetura de segurança sólida e eficaz, parece que faltam ações condizentes com os riscos que as empresas enfrentam hoje em dia. Mas por que?
Adiamento e empirismo
A Jornada CIO identificou outro dado importante: entre os que não têm um DRP, apenas 8% garantiram já ter um cronograma de implementação. E 52% dos executivos indicaram que “vão iniciar o planejamento em breve”; 20% disseram não ter, mas que estão “considerando desenvolvê-lo futuramente”; e outros 20% afirmaram que não há plano algum.
Na prática, sabemos que “em breve” e “futuramente” quase sempre se referem a uma projeção imprecisa. É “aquele estranho dia que nunca chega”, como já definiu o escritor Luis Fernando Veríssimo, um amanhã difuso que pouco provavelmente vai se concretizar. Mas o problema não é simplesmente postergar.
Existem líderes de TI que até possuem a intenção real de desenvolver um DRP, mas não dispõem de todos os elementos necessários para fazê-lo. Como não adotam (ou sequer conhecem) uma metodologia adequada, desenvolvem o plano de forma empírica, acreditando que vão conseguir replicar seus sistemas e servidores, e que isso será suficiente para ter um plano de recuperação de desastres em funcionamento.
Não será. Na verdade, esse líder de TI vai se deparar com duas questões. A primeira delas é a inviabilidade financeira do plano: se fizer uma réplica online do seu sistema e de todos os seus servidores, o custo será estratosférico. Porém, ele só vai descobrir isso no meio do caminho, o que vai fazer com que ele fique com apenas uma parte dos sistemas replicados.
O outro ponto sensível desse desconhecimento é a falta de visão sobre o que é crítico para o negócio. Ao tentar realizar sozinho o DRP, esse líder de TI não obtém uma percepção realista de todos os elementos que a organização necessita em caso de um desastre. E como em nenhuma etapa desse processo houve conversas com o negócio, ele acaba ignorando outros sistemas que eventualmente estejam online.
Visão limitada
No cenário descrito acima, o “melhor” resultado possível será um DRP capenga e que, ainda assim, estará limitado à TI. Porém, esse é um outro grande problema na maneira como as empresas endereçam o tema. Porque o DRP precisa ser parte de um PCN.
Como diz o próprio nome, o PCN é um Plano de Continuidade de Negócios – ou seja, o negócio não pode ser excluído de sua elaboração. E o Plano de Recuperação de Desastres é, ou deveria ser, parte indissociável desse planejamento mais amplo e estratégico.
O PCN é elaborado a partir de três elementos:
- O BIA (da sigla em inglês para Análise de Impacto para o Negócio) – aponta quais são os processos com os quais a gestão deve se preocupar
- O próprio DRP – que mostra como mitigar os impactos em caso de desastre
- e o PCO, o Plano de Continuidade Operacional – aponta as ações necessárias para que as operações prossigam.
A observância e a diligência nesses três elementos garantem que o objetivo maior, que é a continuidade do negócio, corra de forma concreta e sem gastar além do razoável. Mas, para isso, é preciso que o negócio reconheça a importância de um PCN.
Ainda segundo a quarta edição da Jornada CIO, 40% dos executivos que indicam não contar com um DRP justificam essa realidade pela “baixa percepção de risco ou prioridade”, e 18% por “falta de patrocínio de outras lideranças”. É uma cultura nociva, no qual a empresa acredita que os riscos existem, mas que está imune a eles.
A TI também tem sua parcela de responsabilidade, por não saber convencer o negócio dessa importância – 10% dos entrevistados reconhecem não ter sequer conhecimento técnico para criar um DRP.
Responsabilidade compartilhada
Diante disso tudo, é seguro afirmar que, sem um bom plano de contingência de negócios, não é possível elaborar um bom plano de recuperação de desastres – e vice-versa. Ele é um organismo expansivo, que deve obrigatoriamente ir além das fronteiras da TI e ser discutido e elaborado junto com o negócio. Como todo organismo, ele tem vida, de modo que requer atualização constante para não ficar obsoleto, muito menos morrer na praia.
A TI atual esbarra na dificuldade de sair de um modelo majoritariamente operacional. Em muitos casos, não dispõe de tempo sequer para fazer o que precisa, quanto mais para se antecipar a desastres. Mas os desastres estão à espreita, e chamar a atenção para a necessidade de cuidar deles pode ser um primeiro passo para a área recobrar seu protagonismo.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!
