Por que dar adeus a uma certificação que você estudou para tirar e é muito fácil manter?

Primeiro quero justificar o porque foi difícil tirar esta certificação. Todas as certificações que eu tirei foram com experiência prática. Eu já atuava profissionalmente com o tema abordado na certificação e tirava a certificação para ter um requisito para muitos projetos que eu participava. Nunca estudei para uma certificação para buscar um emprego melhor ou ostentar uma sigla e um bonito broche.

Para a CBCP o processo foi ainda mais prazeroso, pois na época em que tirei a certificação não existia bons materiais de estudo e podíamos contar nos dedos os profissionais certificados.

Em Abril de 2006 eu recebi o e-mail com o resultado do estudo e um atestado para aqueles que necessitavam de um certificado para acreditar na capacidade de um profissional.

A facilidade para manter uma certificação

A maioria das certificações se quer pede algo para renovar, o profissional poderá manter a certificação no currículo sem necessidade de comprovar qualquer envolvimento com o tema.

As certificações mais elaboradas exigem a necessidade de acumular CPE um acrônimo em inglês para Educação Profissional Continuada. Para acumular pontos o profissional certificado deve escrever artigos; participar de eventos; fazer treinamentos; ou seja, se manter continuamente envolvido com o tema da certificação.

Algo complicado nisto? Quando eu vejo um profissional certificado choramingando por CPEs eu acho lamentável. Se você não está continuamente envolvido com o objetivo da certificação você não deve ser certificado.

Por este motivo eu irei abandonar o CBCP. Hoje eu não atuo mais com continuidade de negócios e não estou mais confortável em manter esta certificação.

Mesmo conseguindo atingir os CPEs com muita facilidade, não irei perder tempo precioso que pode ser investido em estudo e executando algo para preencher um formulário para manter uma sigla que eu já não tenho nenhum envolvimento.

Resumindo, ADEUS CBCP.

Wagner Elias, ex-CBCP

Vários projetos foram desenvolvidos para se alcançar a conformidade com a resolução. Muitos destes projetos foram de Continuidade de Negócios. Eu tive a oportunidade de trabalhar em alguns destes projetos e consequentemente estudar bastante sobre risco operacional.

O objetivo deste post é esclarecer um equívoco que esta sendo cometido relacionado a métodos de alocação de capital. Em um bom projeto de Continuidade de Negócios a BIA (Business Impact Analysis) é um dos estudos que saltam os olhos, acredito que, por este motivo muitos associaram o BIA (Business Impact Analysis) com o BIA (Basic Indicator Approach) que é um dos métodos de alocação de capital.

Segundo a Resolução 3.380 todas as instituições tem que estabelecer uma metodologia para alocação de capital, as mais utilizadas são:

• BIA (Basic Indicator Approach)
  
  Consiste no método mais simplificado e tem a seguinte fórmula: Calcula-se a média do resultado bruto nos últimos 36 meses e aplica-se o fator de 15%.

• STA (Standardized Approach)

  Este método é semelhante ao anterior mais separa os resultados em linhas de negócio da instituição financeira.

  1. Corporate Finance: 18%
  2. Retail Banking 12%
  3. Commercial Banking 15%
  4. Trading and Sales 18%
  5. Payment and Settlement 18%
  6. Agency Services 15%
  7. Asset Management 12%
  8. Retail Brokerage 12%

• ASA (Alternative Standardized Approach)

  Esse método tem abordagem semelhante ao anterior mais com foco diferenciado nas linhas Commercial e de Retail.

• AMA (Advanced Measurement Approach)

  Este método é o mais complexo e exige maturidade da instituição. Ele adota métodos qualitativos e quantitativos. A vantagem em adotar o AMA está na possibilidade de alocar menos capital para risco operacional.

Não sou nenhum especialista no mercado financeiro, a idéia é tentar esclarecer este equívoco entre os profissionais que nunca passaram por esta situação. Uma boa fonte para quem deseja se aprofundar é o próprio site do Banco Central.

"Um terremoto de 5,2 graus de magnitude na escala Richter atingiu diversas regiões de São Paulo na noite desta terça-feira (22), e foi sentido em mais quatro Estados. O epicentro foi no mar, a 215 km da costa do Estado de São Paulo, segundo informação do Observatório de Sismologia da Universidade de Brasília (UnB). O fenômeno foi registrado às 21h00min48 e durou três segundos. O tremor foi um dos sete maiores em magnitude registrados por sismógrafos no país, segundo o professor George Sand França, da UnB."

Fonte: UOL

Eu moro no último andar de um edifício na Capital de São Paulo, mais precisamente no décimo quarto andar. No momento do incidente minha esposa logo gritou desesperada, já minha filha de 3 anos achou um barato. "Papai a cama está balançando!". Em seguida, minha sogra que mora no mesmo prédio nos liga contando o fato e afirma ter conversado com a portaria e foi informada que vários moradores sentiram o mesmo. Era mesmo um terremoto!

A reação neste momento podem ser as mais variadas, como nós estamos preparados? Quando digo estar preparado não estou falando em construir estruturas que suportam abalos sísmicos e sim resposta e suportes básicos aos seres humanos, como já escreveu meu amigo Fernando Fonseca sobre a pirâmide de Maslow. Estou falando de Human Resilience, a principal e mais difícil parte na resposta a qualquer incidente. Está mais que na hora das organizações e instituições governamentais colocarem a prova aqueles planos que custaram uma boa quantia em recursos e servem apenas para compliance e/ou respostas a incidentes envolvendo recursos tecnológicos.

Uma boa referência para o tema pode ser o plano estratégico que foi recentemente apresentado pelo NIST - US National Earthquake Hazards Reduction. Espero que as autoridades estejam atentas e trabalhando neste sentido.

Em breve escrevo minhas impressões sobre esta publicação e o Cert Resiliency Engenieering Framework.

Ainda não tive a oportunidade de estudar o guide com impressionantes 456 páginas de conteúdo. Em breve pretendo colocar minhas impressões sobre o material.

A primeira coisa que devemos deixar bem claro quando falamos de controle e distribuição dos planos é a diferença entre documentação física e digital. Vamos começar tratando as características comuns sobre os dois tipos.

Organização

Os planos devem estar disponíveis/acomodados de maneira organizada e com índices/ferramentas que facilitem a pesquisa e consulta.

Controle de Versão e Alteração

A base para um controle eficaz de toda documentação é o controle das alterações e versões de cada documento. É necessário documentar todas as alterações realizadas em cada documento e saber exatamente quais são as versões atuais e que estão em uso no plano.

Granularização dos Planos

Para se obter o sucesso na Resposta a Incidentes é necessário que o Plano de Continuidade de Negócios da organização esteja dividido em vários Planos/Procedimentos que será distribuído a cada responsável. Na minha opinião uma falha grave é distribuir um book (um amontoado de papel descrevendo tudo que está definido como procedimentos de resposta). Cada indivíduo responsável por alguma atividade de resposta deve possuir apenas sua parte do plano e ser gerenciado por um coordenador de posse de um plano macro que irá definir quando cada atividade será executada.

Distribuição Controlada

Como é necessário distribuir vários documentos a indivíduos distintos da organização deve ser implementado um processo onde as alterações dos planos devem ser analisadas, visando a distribuição ou não de novas versões. Estes planos devem estar classificados de acordo com a política de classificação da empresa e sempre que for identificado a necessidade de uma nova versão um procedimento deve ser executado para distribuir estes documentos.

Cópias Alternativas

Cópias alternativas dos planos devem ser mantidas off-site (site ou local alternativo) e um procedimento para facilitar o acesso deve ser de conhecimento de todos. 

Testes dos Planos

Como uma alteração no Plano de Continuidade de Negócios da Organização pode ser demandada por qualquer área/indivíduo é necessário criar gatilhos para identificar a necessidade de testes dos planos. Estes testes são atipicos, portanto são planos extras, além dos testes programados no programa de testes.

Após a definição clara de um processo de Controle e Distribuição de Planos que leve em considerações as características comentadas, devemos ficar atento a características de cada tipo de documento.

Documento Digital

Os documentos digitais (word/excel/pdf/*) são a base para a disponibilização dos documentos físicos. Além de estar atualizados, escritos de forma clara e concisa é necessário que ele esteja disponível e acessível por todos os envolvidos na resposta a incidentes. É imprescindivel que estes documentos possuam um controle de acesso e backups eficazes. Ferramentas de Gestão de Continuidade podem ajudar a organização dos planos digitalmente.

Documento Físico

Apesar de muitos acharem que tudo se resume ao mundo digital e tecnologia, os planos distribuídos no bom e velho papel cumprem papel importante em muitas situações. Não são poucas as situações onde não vamos dispor de recursos tecnológicos para acessar aquela ferramenta que gastamos uma fortuna ou aquele documento digital disponível em um repositório na rede da organização. Para distribuição destes planos é necessário estabelecer procedimentos formais suportados por formulários específicos para documentar cada ação.

Estes formulários alem de servir como evidência para auditoria tem papel fundamental na troca de versões. O formulário irá documentar a troca e formalizar a destruição física (fragmentação de papel) do documento antigo. Isso irá garantir que apenas versões atuais e funcionais vão estar disponíveis.

Estas são características essenciais para que uma organização possa usar seu Plano de Continuidade de Negócios e consiga responder de forma adequada a incidentes que possam interromper as suas atividades.

Eu posso e qualquer um pode, afirmar que não é possível prever todos tipos de cenários. Por mais que uma das principais características de um plano eficaz seja a implementação de um ciclo PDCA (Plan, Do, Check, Act), que irá realizar análises de riscos continuas e que poderão identificar e prospectar novos cenários, não é possível identificar todas as possibilidades.

Análise de Riscos que, em BCP (Business Continuity Plan) tem como principal objetivo identificar quais as principais ameaças e sua probabalidade de ocorrência. Com base nestas informações e nos impactos que serão identificados na BIA (Business Impact Analysis) eu preciso tomar a seguinte decisão:

1 - Quais riscos podem ser tratados? Se for identificado que os custos e possibilidades para tratamento são viáveis eu trato o risco;
2 - Todos os riscos que eu não consigo tratar, desenvolvo plano de respostas.

Portanto, planos de respostas devem auxiliar a organização a responder a todas as ameaças que não foram tratadas ou identificadas.

Esta introdução é para questionar Uma técnica bastante utilizada, a definição de cenários para elaboração de planos de respostas. Técnica que geralmente começa com um cenário absurdo (geralmente chamado de pior cenário) que é muito pouco provável de acontecer. Mesmo sendo cauteloso, tentando prever um cenário que seja factível, ainda assim não conseguiremos mensurar todos os cenários que possam impactar os negócios. Os cenários podem ser usados para coletar informações e realizar testes para validação dos planos de respostas, mas nunca deve ser o principal balizador para um Plano de Continuidade de Negócios.

Como podemos tratar esta característica?
A solução é trabalhar para responder a qualquer incidente.

Como podemos responder a qualquer incidentes?

• Tenha uma matriz de níveis de crise bem elaborada e alinhada com as necessidades da organização;
• Tenha um plano de gerenciamento de crises e comunicação claro e de entendimento de toda organização;
• Conheça e mantenha uma documentação clara de toda sua arquitetura e principais características do ambiente;
• Planeje, teste, ajuste com frequências seus planos de respostas a incidentes;
• Faça um trabalho de lições aprendidas após cada incidente.

Recomendo a leitura dos documentos do Governo Americano (National Response Framework)

Não entendeu nada? Fique tranquilo, é o que eu mais vejo por aí!

Em poucas palavras o RTO é quanto o processo suporta de perda de dados. Não confunda isto com o último backup realizado, equívoco bastante comum entre os profissionais de contingência, infra-estrutura.

O último backup realizado pode servir como métrica para desenvolver uma estratégia para garantir a continuidade de processos de negócios, mas o RTO consiste em um objetivo, como o acrônimo RPO (Recovery Point Objective) deixa claro.

Vamos tentar clarear as coisas. Aconteceu um incidente, preciso restabelecer um processo dentro do objetivo de recuperação que eu identifiquei (RTO). Para restabelecer este processo eu preciso de dados, ai entra o RPO. Se eu preciso de dados de 2 horas (meu RPO) antes do incidente e meu último backup é de 24 horas atrás, tenho um problema sério.

Para atender o meu RPO de duas horas preciso alterar a minha estratégia de backup ou fazer uma reengenharia no processo.

Porque reengenharia no processo?

Porque não é sempre que o meu problema é apenas com dados digitalizados. Se o problema é backup, eu posso mudar minha solução de backup, alterar a estratégia. Agora se o processo depende de informações "não digitais"? Ai só uma reengenharia no processo pode resolver ou minimizar os impactos.

Se já sabemos o que é o RTO, não existe dificuldade em identificar junto aos responsáveis pelo processo, qual o RTO de cada processo. Errado, boa parte dos RTOs identificados em trabalhos de Continuidade de Negócios não condizem com a realidade e acabam direcionando as organizações a tomar decisões precipitadas.

A primeira coisa que devemos nos ater é, o RTO é apenas o tempo que o processo tem disponível para ser suportado por uma solução alternativa que o mantenha a níveis satisfatórios sem causar impactos a organização. Neste tempo teremos apenas uma solução de contorno (Workaround), o que difere do tempo total que um processo pode ficar indisponível. O tempo total que um processo pode ficar indisponível é definido segundo a BS 25999-1 como MTPD (Maximum Tolerable Period of Disruption).

Então podemos identificar pelo diagrama abaixo que, eu preciso subtrair do tempo total que o processo pode ficar indisponível o RTO mais o tempo para reestabelecer a normalidade.

Se não bastasse o equívoco cometido quanto aos tempos de RTO/MTPD, muitos generalizam o tempo assumindo que o MTPD é o RTO, ainda temos um problema mais sério. A maioria dos RTOs mapeados em projetos é muito mais baixo do que deveria. Na prática são raras as exceções onde um processo tem RTO menor que 1, 2 hora. O que quero dizer com isto? A maioria dos profissionais valorizam muito os RTOs sem medir ou conhecer as consequências. Um processo que pode ter até 24 horas de RTO é mapeado com um 1 hora como se não houvesse problema nisto.

O grande problema quando mapeamos RTOs relativamente baixos é a solução de estratégia. Sabemos que os RTOs e critícidades dos processos da organização são mapeados na BIA (Business Impact Analysis), fase esta que antecede e serve como tomada de decisão para a próxima fase, seleção de estratégia.

Na fase de Seleção de Estratégia vamos planejar e identificar soluções para atender os tempos mapeados como objetivo (RTO) na BIA. O que acontece quando os RTOs são muito baixo? As soluções para atender estes tempos serão soluções de alta disponibilidade e consequentemente terão um custo muito mais alto que qualquer plano de resposta. Ao contrário do que muita gente pensa, Se sabemos que são raras as exceções de RTO entre 1 e 2 horas, consequentemente são raras as exceções onde você necessita de Alta Disponibilidade para atender as necessidades da organização.

Resumindo, Planos para Continuidade do Negócio estão longe de ser soluções de contingência e a maioria das organizações estão gastando mais do que deviam com soluções de Alta Disponibilidade e Contingência.

No próximo post vou falar sobre o RPO (Recovery Point Objective).

O mercado está cheio de curioso, charlatão, marqueteiro, que diz conhecer Continuidade de Negócios, todos eles usam a famosa bomba de fumaça: Plano de Continuidade orientado a ISO 27001 e agora o mais novo hype, BS 25999.

Os mais informados sabem que nenhuma das duas lhe ajudará ou dará o caminho das pedras para desenvolver um processo de Continuidade de Negócios. A ISO 27001 apenas diz que você deve ter um plano, a BS 25999 é um sistema de gestão dos controles relacionados ao processo de Continuidade de Negócios.

Um profissional que conheça além de meia dúzia de Buzzword relacionados ao tema, agora tem dois padrões bem interessantes.

Série 28000 - Security management systems for the supply chain

Este padrão vem colaborar com os conceitos básicos de Continuidade de Negócios e segurança. Continuidade de Negócios deve gerenciar riscos com uma visão holística e segurança é transitiva. Do que adianta eu ter inúmeras soluções de alta-disponibilidade e contingência, se meu negócio pode parar se um fornecedor chave por algum motivo deixar de me fornecer?

ISO/PAS 22399 - Guideline for incident preparedness and operational continuity

Este padrão foi recebido com imensa alegria por mim. Sempre que eu tentei dizer que todo o processo de Continuidade de Negócios são controles de resposta a incidentes, achavam que eu era louco, que estava inventando moda.

Agora quem está dizendo é a ISO e não eu. Agora vou dar uma de louco novamente!

Todo profissional de segurança adora falar coisas como estas:

• Não existe segurança 100%
• Segurança é equilibrio

Se sabemos que, em algum momento um incidente vai acontecer, deve existir um equilibrio entre controles e procedimentos de resposta. Por que pouco se investe em Resposta?

O Estado do Texas nos EUA está implantando um sistema muito interessante baseado em RFID. Evacuação de ambientes é uma coisa bem crítica em determinadas situações, o sistema vai rastrear todos os envolvidos e monitorar uma evacuação.

Notícia veiculada no G1

Uma operação no Aeroporto Internacional de Campo Grande, no Mato Grosso do Sul, vai simular um grande acidente com um Boeing 737-200. A simulação vai mobilizar forças civis, militares e de órgãos da segurança pública. Alunos do curso de resgate e de duas faculdades de enfermagem representarão os 'passageiros' do acidente.

A simulação, que acontece na próxima segunda-feira (19), vai encenar o combate a um possível incêndio na aeronave e resgate de vítimas. Acadêmicos da Universidade para o Desenvolvimento do Estado e da Região do Pantanal (Uniderp) e Universidade Católica Dom Bosco (UCDB) e do curso de resgate dos Bombeiros serão os passageiros e terão os 'ferimentos' maquiados por alunos do curso de teatro da UCDB.

A operação está sendo preparada pelo Corpo de Bombeiros Militar em conjunto com a Base Aérea de Campo Grande, Infraero, unidades do Exército, Polícia Militar, PRF, Polícia Civil, Coordenadores de Defesa Civil do Estado e de Campo Grande, Samu, Hospital Regional e Santa Casa. Dois helicópteros serão usados para transportar as vítimas para os hospitais.

O exercício, segundo o tenente-coronel do Corpo de Bombeiros Jonys Cabrera Lopes, busca estabelecer coordenação em atividades de gerenciamento de crises em acidentes e desastres de grandes proporções com o emprego do sistema Integrado de Comando de Operações de Emergência.

Na operação simulada, considerada de 'grande magnitude', serão empregados todos os meios, incluindo um Boeing 737-200. O resgate será encenado o mais próximo de uma emergência real, segundo o Corpo de Bombeiros. Os resultados do exercício serão usados para planejamento e treinamento, além de 'adequações de protocolo' entre as instituições envolvidas na operação para enfrentamento de situações semelhantes.

Me surpreende primeiro pelas várias iniciativas e depois pela priorização. Afinal existem inúmeras outras ameaças com maior probabilidade de ocorrência e nada é feito. Priorização é um conceito básico de gestão de riscos.

O governo já trabalhou nas seguintes iniciativas para evitar uma epidemia de gripe aviária:

• Distribuiu uma cartilha de 44 páginas com informações sobre a gripe aviária e suas consequências;
• Monitora a rota migratória das aves;
• Disponibilizou o telefone (0800 611995) para esclarecer dúvidas sobre gripe aviária;
• Está implantando um sistema informatizado nos portos para evitar a entrada de seres infectados no Brasil.

De qualquer forma fica o elogio para nossos governantes mas, que isso seja estendido a outras frentes e que seja feito uma análise técnica e que seja priorizado o tratamento dos riscos.

• ISO 28003:2007Security management systems for the supply chain -- Requirements for bodies providing audit and certification of supply chain security management systems

• ISO 28000:2007Specification for security management systems for the supply chain

• ISO 28004:2007Security management systems for the supply chain -- Guidelines for the implementation of ISO 28000

• ISO 28001:2007Security management systems for the supply chain -- Best practices for implementing supply chain security, assessments and plans -- Requirements and guidance

Se até bem pouco tempo reclavamos da falta de padrões em segurança, num futuro próximo vamos aclamar por um padrão que gerencie todos os sistemas de gestão.

Pesquisa Daryus

A pesquisa pode ser respondida em apenas 10 Minutos. Quem preencher a pesquisa irá receber em primeira mão o resultado.

Mais um exemplo de maturidade em segurança é apresentado pelos Estados Unidos. Está aberto para revisão pública e comentários o National Response Framework (Estrutura de Resposta Nacional)

O documento está estruturado da seguinte forma:

Capítulo 1 - Papéis e Responsabilidades;
Capítulo 2 - Ações de Resposta;
Capítulo 3 - Gestão de incidentes;
Capítulo 4 - A estratégia fundamental para estar preparado.

Para quem está envolvido em continuidade de negócios é um prato cheio. O maior foco do documento publicado é a garantia da resiliência.

National Strategy for Homeland Security

Detalhe, o que para eles é um game "for kids" é mais conhecimento que muitos analistas, consultores de continuidade de negócios e CIO tem no Brasil.