Antes do Plano: Política de Continuidade de Negócio

Muitas organizações, ou melhor dizendo, muitos profissionais de segurança implementam planos de continuidade, com os seus mais famosos nomes e significados, sem a existência de uma Política para a Continuidade do Negócio. Esses planos serão um fracasso? Talvez não, porque as organizações estão muito carentes de ações de continuidade. Mas, com certeza não será uma ação sustentável nem uma abordagem profissional adequada.

A organização precisa aprender e ser cobrada para definir o que deseja em termos de continuidade de negócio. Para isto deve definir a política de continuidade de negócio que é um conjunto de diretrizes. Depois é que deve ser feito o plano de continuidade, que é um conjunto de ações e atividades que indicará como a organização procederá quando de uma indisponibilidade de recursos.

Ora, você leitor poderá pensar, mas ter um plano de continuidade é indiscutível. A empresa precisa! Concordarei, porém a questão é: qual o plano de continuidade que a organização precisa e qual o plano que a organização deseja implantar?

A primeira questão que confunde todos os profissionais são os diversos nomes que se utiliza para ações de continuidade, normalmente em inglês: disaster recovery, business continuity, continuity plan e (and) IT recovery. Todas essas ações buscam a continuidade de recursos. O que diferencia é o escopo e o cenário. Recomendo chamar de plano de continuidade e especificar o cenário e o escopo considerado.

Mas, antes de tudo é necessário ter a Política de Continuidade de Negócio, onde a organização definirá formalmente responsabilidades de pessoas e áreas, frequência de testes, garantia da manutenção e o escopo que o plano de continuidade da organização deva considerar. A partir daí pode-se desenvolver um plano ou vários planos em etapas para atender o que a organização deseja.

Como em todas as dimensões de segurança da informação, o plano de continuidade deve existir para atender ao negócio. Ele não existe por causa da área de segurança, ou da área de tecnologia da informação ou para o ego de algum profissional. Ele existe pelo negócio. Somente assim a organização construirá, implantará e terá condições de manter um plano de continuidade efetivo.

Como sempre digo: cada organização tem o plano de continuidade que merece!