Escolar Documentos
Profissional Documentos
Cultura Documentos
O que fazer quando os riscos identificados e assumidos (ou não) pela alta gestão se concretizam
de forma inesperada? O que fazer então quando estes riscos são relativos à Área de Tecnologia da
Informação (Tl) ? Mais especificamente, o que fazer quando a área de Operações de Tl tem suas
atividades paralisadas por um simples início de incêndio, mas de conseqiiências que podem
inviabilizar o negócio?
Para ser tratado o processo "Riscos Concretizados/Planos de Contingência em TI", vários são os
assuntos que requerem uma abordagem antecipada, objetivando a equalização de conceitos :
Por outro lado Não Gerenciar Riscos é "correr atrás do prejuízo". Não Gerenciar Riscos é o
"suicídio profissional". Não Gerenciar Riscos é estar atrás da concorrência.
Não ser tem gestor" feliz" é obrigação da Gerência.
Dentre os gastos citados no parágrafo anterior, os mais chamativos são ainda aqueles relativos
aos Planos de Contingência. Cabe aos gestores de TI estarem preparados para conscientizar,
educar, convencer e demais verbos relacionados, os órgãos de decisão das empresas. Porém, o
que são Planos de Contingência para TI?
De volta à questão "o que são Planos de Contingência para Tl?". Planos de Contingência de
TI são Planos elaborados, escritos, divulgados, testados, mantidos e atualizados, objetival1rlo
snanter
o negócio contínuo, mesmo que haja um sinistro que afete áreas/equipasnentos/serviços de TI.
Este
sinistro pode ser desde pequenas proporções (quebra de um servidor crítico até perda total das
instalações).
Quais são os riscos de TI? No parágrafo anterior são citados dois (grifados) de uma infinidade.
Cada área de TI (as três básicas) tem inerente seus riscos operacionais e técnicos. Alguns
exemplos :
- Desenvolvimento de Sistemas: risco de que os sistemas da empresa sejam desenvolvidos
de forma não padronizada gerando custos pela "independência na criação" e dificuldades
ou mesmo impossibilidade de manutenção em função da falta de uma Metodologia de
Desenvolvimento de Sistemas (Controle Interno)
- Operação/Produção : risco de indisponibilidade dos serviços de TI pela inexistência de sites
alternativos (Controle Interno) para continuidade do processamento em casos de perda de uma ou
mais máquinas principais.
- Suporte Técnico : risco de indisponibilidade dos serviços pela adoção/implantação de um
software básico não compatível com a infra-estrutura de Tl homologada (Controle Interno).
Para conhecimento de todos os riscos de TI é importante que esta área tenha uma metodologia
básica e cada gestor e equipe estejam preparados para validar Riscos; entender a extensão das
perdas e impactos e habilitados a elaborar e manter Planos de Contingência. É imprescindível
também que as Gerências operacionais e os técnicos estejam, além de preparados para apontar
estes Riscos, definir ações preventivas e corretivas a serem aprovadas pelos órgãos superiores.
Por outro lado as ações corretivas são ativadas pós-ocorrência do Risco. Podem ser o último
estágio antes do acionamento de um Plano de Contingência. Ações corretivas em demasia podem
ser o resultado de um planejamento ou operações inadequadas ou mesmo a falta deles. Ações
corretivas, na maioria das vezes ocorrem de forma emergencial, sem planejamento e dependendo
do procedimento e das ferramentas adotados podem ser mais nocivas para o ambiente de Tl do
que benéficas. Podem ser evitadas caso haja ações Preventivas.
Um exemplo clássico é a gestão de servidores : é requerido que este passe por manutenções
preventivas de hardware periódicas (disco, memória, capacidade, performance etc), assim como é
requerido também que seu ambiente operacional (sistema operacional, software gerenciador de
banco de dados etc) seja atualizado permanentemente de acordo com as orientações do
fornecedor. Não havendo manutenções e atualizações preventivas (Hw e Sw), riscos de
indisponibilidade do ambiente são potencializados. Ações corretivas emergenciais serão requeridas
com todo o risco que lhes são inerentes.
As ações preventivas possibilitam uma gestão de menos risco. No caso citado, contratos de
manutenção e suporte técnico junto a fornecedores e terceiros; treinamento técnico ao pessoal
interno e outras ações impedem que haja exposição e perdas financeiras da empresa em função de
indisponibilidade dos sistemas/serviços.
Sabendo-se e tendo-se tudo isto, será fácil para o Gestor de TI (e aí pela primeira vez neste texto
aparece o CIO - o homem de informações da empresa) levar aos níveis de decisão, os riscos
priorizados e com custos apurados. Este processo é vital e deve ser "vendido" corretamente;
entendida sem dúvidas e implantado sem demora.
Novamente à questão : "O que fazer quando os riscos identificados e assumidos pela alta gestão
se concretizam de forma inesperada"?
Caso tenha o "dever de casa" sido corretamente feito: funcionários identificam processos e
levantam riscos de TI; Gerências Operacionais avaliam os Riscos e em conjunto com áreas
técnicas definem ações preventivas e corretivas; Gestores de TI (CIO) reconhecem os riscos
aprovam processo e preparam relatórios com prioridades e custos para a solução; e Órgãos de
decisão da empresa aprovam e liberam verba para a amenização ou solução dos riscos.
Tem-se a resposta para a questão inicial, caso todas as ações planejadas ou não falharem e a
ocorrência do Risco justificar o acionamento de um Plano de Contingência, que nada mais é do que
unia ação preventiva com custo antecipado (e que custo...).
Planos de Contingência em TI
Os Planos de Contingência de TI são normalmente construídos para situações até extremas de
ocorrência de riscos, porém situações de ocorrência de riscos do dia-a-dia devem também ser
contempladas por eles.
Um Plano de Contingência de TI está baseado em três vértices :
- Vértice PESSOAS - que trata dos recursos humanos envolvidos nas atividades em Contingência.
- Vértice ORGANIZApÃO - que trata especificamente sobre a disponibilidade e segurança de
recursos estruturais e organizacionais para suportar as atividades necessárias em Contingência.
- Vértice TECNOLOGIA - que contempla os recursos de hardware, software e ambientais apoiados
em tecnologias de TI e complementares para atender em contingência.