Como testar o Plano de Continuidade de Negócio?

Plano de Continuidade de Negócio, PCN, deve ser elaborado e principalmente deve ser periodicamente testado. Sem realizar os testes, nenhum plano pode ser considerado capaz de garantir para a organização que havendo necessidade de sua execução, ele funcionará de maneira adequada.

Normalmente as organizações primam por escrever (e colocar numa bela estante) o Plano de Continuidade de Negócio, com os seus mais variados nomes. Mas realizar teste, avaliar teste realizado e aprimorar o plano em função de testes, poucas organizações fazem.

Inicialmente precisamos saber que realizar um teste é um projeto com requisitos, limitações, início, meio e fim. Aliás, ainda temos o pós-fim. Após o teste devemos ter uma série de ações para aprimoramento do plano.

Sendo assim, quando a organização decide (ou é cobrada por uma auditoria), para realizar o teste, é necessário elaborar o Documento Planejamento de Teste de PCN. Como deve ser este documento? Descrevemos abaixo os elementos mínimos que devem ser explicitados neste documento:

1. Objetivo do teste
Descreva o objetivo principal do teste. Tente identificar um objetivo principal que pode ser complementado com objetivos secundários. Este conjunto de objetivos será o direcionador para a realização do teste e para a avaliação do mesmo. Isto é, após a realização do teste poderemos identificar se o teste atendeu ou não atendeu aos objetivos propostos.

2. Avaliação do teste
Descreva como será feita a avaliação do teste. Indique quais os pontos chaves de avaliação. Estes pontos devem estar relacionados e coerentes com o objetivo. Também é importante identificar quem fará a avaliação. Caso exista um observador externo registre este fato neste item. Apesar de não ser um avaliador, este observador deverá gerar considerações que devem fazer parte da avaliação do teste.

3. Forma de realização do teste
Descreva como o teste será realizado, quais as etapas comporão o teste. É a visão do teste. Indique que ambientes o teste vai envolver.

4. Considerações sobre o teste
Descreva o porquê da realização do teste e outras informações importantes para o registro do teste. Indique se este é um teste único ou faz parte de um conjunto de testes. Se existir um planejamento estruturado de testes, ele deve ser registrado neste ponto.

5. Escopo do teste
Descreva os elementos, os sistemas, os serviços ou outras informações que definam o que o teste está contemplando. Emocionalmente somos levados a querer realizar um teste com o escopo bem amplo. Esta situação pode ser a nossa meta. Mas se você está realizando o primeiro ou primeiros testes, seja profissional e defina um escopo adequado. Ao longo do tempo vá aumentando este escopo.

a) Sistemas de Tecnologia da Informação
Descreva todos os sistemas que serão utilizados no teste.

b) Ambiente considerado
Identifique os ambientes que são considerados para o teste:
– Ambiente de Tecnologia da Informação;
– Ambiente Convencional (Físico).

6. Cenário do teste
Descreva o cenário considerado para este teste. Exemplo: indisponibilidade total do Ambiente Principal de TI com a ocorrência da indisponibilidade ocorrendo às 08:00hs. De um dia útil bancário. As pessoas estarão disponíveis. De forma semelhante ao escopo, nossa tendência inicial é definir um cenário complexo. Defina um cenário coerente com a maturidade em segurança da informação da organização.

7. Macro atividades do teste
Descreva o conjunto de macro atividades que serão executadas no teste e os seus respectivos responsáveis.

8. Atividades necessárias para o teste
Identifique atividades que precisam ser realizadas previamente para possibilitar a realização do teste. Por exemplo: se todos os usuários vão acessar o ambiente de casa, verificar se todos têm modem 3G/4G.

9. Cronograma completo das atividades do teste
Descreva um cronograma detalhado das atividades do teste e seus respectivos responsáveis. Neste ponto indique um anexo ou outro documento que detalhe o que cada usuário vai testar.

10. Aprovação do teste
Elabore o Documento Aprovação do Teste que deve ser um resumo do Documento de Planejamento do Teste, e obtenha a aprovação pelo executivo do Corpo Diretivo da Organização conforme descrito na Política de Continuidade de Negócio da organização.

Realizar um teste e continuar realizando teste e aprimorando o Plano de Continuidade de Negócio é uma atividade complexa. Não tecnicamente, mas porque envolvem vários usuários, vários grupos técnicos, cronograma, agenda, pré-treinamento, comunicação e outras atividades afins. É necessário ter tudo isto organizado junto com a avaliação do teste. Este conjunto será uma fotografia do teste … 001. Bem, terminou? Agora comece a preparar o Teste 002.

A Área de Segurança da Informação é responsável pela gestão desta atividade de teste do Plano de Continuidade de Negócio.