Wolfgang Mahr Para pessoas de for a do contexto, não é fácil distinguir entre os propósitos específicos da Gestão de Continuidade de Negócio (GCN), Segurança da Informação (SI), e Recuperação de Desastre em TI (RD TI). Todas as três áreas têm algo a ver com “segurança”, “perdas”, “desastres” e “proteção”. Continue a leitura para saber mais sobre os papéis particulares das disciplinas frequentemente mal-entendidas pela gestão.
Para os iniciantes, vamos dar uma olhada nas definições (em termos práticos, ao invés de definições oficiais secas).
Gestão da Continuidade de Negócio (GCN)
Como o nome diz, a GCN protege organizações (negócios inteiros) das consequências indesejáveis e incontroláveis das interrupções de negócio. Sendo a equipe o recurso mais precioso de uma organização, proteger as vidas dos empregados é algo da mais alta prioridade. Claro, fora este aspecto, tipicamente há toda uma gama de ativos e recursos críticos a serem protegidos também. No contexto deste artigo, a TI pode ser considerada um destes tais recursos. A implementação de uma abordagem de continuidade de negócio é governada pela ISO 22301.
Várias situações de interrupções
Interrupções podem ou não ter algo a ver com sistemas de TI. Eles podem estar no ar e operando, mas se uma cadeia de suprimento crítica foi interrompida, a produção pode parar inesperadamente e indefinidamente. Se um incêndio destrói um armazém, suas entregas para os clientes podem ser afetadas. Se a equipe é incapaz de chegar ao call center da organização devido ao mau clima, serviços de vendas ou de atendimento ao cliente serão impactados.
Segurança da Informação (SI)
A Segurança da Informação, como especificado na série de normas ISO 27000, lida com a tratativa apropriada e segura da informação dentro de uma organização. Esta gama de normas (capitaneadas pela ISO 27001) foca não apenas em assuntos técnicos, mas também lida com a tratativa da informação em papel e aspectos humanos tais como a engenharia social.
Segurança da Informação em uma casca de noz
Um modelo para expressar a essência da Segurança da Informação é o modelo CID. O acrônimo significa confidencialidade, integridade e disponibilidade. De acordo com melhores práticas amplamente aceitas, a informação precisa ser classificada (e.g., pública, interna ou confidencial), o que significa que o acesso deve ser organizado com base na “necessidade-de-saber”. Integridade prove a garantia de que os resultados apresentados pelos sistemas de TI podem ser confiados e que não foram (intencionalmente ou não) manipulados. “D” significa disponibilidade – uma característica da informação pela qual ela pode ser acessada por pessoas autorizadas quando necessário. Por exemplo: um Sistema de TI que não está em execução ou não está acessível é inútil. Se este sistema de TI é de importância para a organização (para o negócio), ele é de interesse par aa abordagem de GCN também. Aqui nós temos uma importante sobreposição.
Leia o artigo: A lógica básica da ISO 27001: Como a segurança da informação funciona? Para saber mais sobre Segurança da Informação.
Recuperação de Desastre em TI (RD TI)
Se identificamos um sistema que não está disponível, temos toda a motivação para colocá-lo de volta em operação dentro de um período de tempo especificado. Esta janela de tempo, por sua vez, é determinada durante a fase de análise de impacto no negócio do ciclo de vida da GCN (como descrito nas ISO 22301 e ISO 22317). A definição de parâmetros apropriados de RD TI é importante dentro do contexto tanto da Segurança da Informação quanto da Gestão da Continuidade do Negócio. A ISO 27031 descreve os conceitos e princípios da prontidão das tecnologias da informação e comunicação (TIC) para a continuidade de negócio, sendo a RD TI porte desta abordagem.
Leia o artigo: Understanding IT disaster recovery according to ISO 27031 para saber mais sobre recuperação de desastre de acordo com a ISO 27031.
Esperando pelo desastre?
Contudo, a RD TI é apenas uma atividade reativa; uma abordagem apropriada de GCN e de SI igualmente demanda medidas proativas e preventivas para reduzir tanto a probabilidade quanto o impacto causado por um desastre por falha da TI. Isto é feito projetando-se apropriadamente os sistemas de TI afetados, geralmente pela adição de elementos redundantes, desta forma evitando os assim chamados “pontos únicos de falha” (abreviados como PUF).
Sejamos cuidadosos com estes três termos
Nós precisamos ser. Vamos reiterar: o “N” em GCN significa todo o negócio e cobre mais do que apenas a TI. A GCN precisa ser implementada de acordo com a ISO 22301.
Contudo, a TI geralmente é um pilar muito importante da organização. Como tal, a TI não deveria ser excluída de uma abordagem de GCN, mas precisa de implementação dedicada de acordo com a série de normas ISO 27000.
A RD TI é uma disciplina específica, reativa direcionada para a restauração dos sistemas de TI que pararam de operar. É um elemento crucial tanto da GCN quanto da SI, mas é bem inútil se usada como medida única. Como uma tática isolada, a RD TI não prove nem proteção adequada para um negócio, nem é um substituto para a abordagem de Segurança da Informação.
A GCN certamente não é uma questão interna de TI, e cobre muitos aspectos não relacionados a TI também. Uma implementação apropriada da Segurança da Informação é uma parte essencial e ideal da construção de uma abordagem holística da GCN.
Leia este artigo gratuito Integration of Information Security, IT and Corporate Governance para saber como integrar diferentes sistemas dentro da organização.
Nós agradecemos a Rhand Leal pela tradução para o português.
