A Secretaria Nacional de Defesa Civil (Sedec), do Ministério da Integração Nacional, apresentou na última quarta-feira (12/09), às 15 horas, o novo software Sistema Operativo de Defesa Civil (SODC). A apresentação do programa de computador aconteceu no auditório Renato Archer, localizado no andar Térreo do prédio do Ministério da Integração Nacional (Bloco E), na Esplanada dos Ministérios.

O SODC contém subsistemas que permitem, dentre outras funcionalidades, o acompanhamento de desastres com as imagens geradas no local da ocorrência, em tempo real, além da troca de informações on line entre os integrantes do Sindec, desde as Coordenadorias Municipais de Defesa Civil (Condec), passando pelas Coordenadorias estaduais (Cedec) e pelos demais órgãos que estiverem integrando a Rede Nacional de Defesa Civil (Renadec).

Ainda não possuimos um orgão tão forte e participativo quanto o FEMA, mas é interessante ver iniciativas como essa em "Terra Brasilis".

Como todos já sabem eu trabalho e pesquiso muito sobre continuidade de negócios e recuperação de desastres. Eu estou fazendo uma série de pesquisas e quero tornar público para participação e trabalho de todos os seguintes projetos:

Mapeamento de Ameaças usando Geoprocessamento

O projeto busca desenvolver e publicar uma ferramenta Open Source de Geoprocessamento (Geoserver) para que qualquer usuário possa ir mapeando e identificando ameaças em qualquer lugar do mundo. A idéia é formar uma grande base de informações para auxiliar o desenvolvimento de análises de riscos.

Linguagem de Notação para BCP (Business Continuity Plan)

O projeto busca desenvolver uma linguagem de notação semelhante as utilizadas em mapeamento de processos para ser utilizada em BCP. A linguagem irá tornar mais claro e fácil a implementação de um processo de Continuidade de Negócios.

Disaster Recovery Guides

O projeto busca desenvolver guides que irão auxiliar na avaliação e implementação de soluções para recuperação de ativos de tecnologia.

Quem quiser colaborar com os projetos, ou tirar dúvidas entre em contato usando os comentários ou direto no meu e-mail: wagner.elias@gmail.com.

Um CSO de uma grande organização Brasileira quando questionado sobre a Continuidade dos Negócios mandou logo o chavão: "Temos Planos A, B, C, D e F. Nossas redes são todas redundantes"

Bom, a pergunta era sobre continuidade de negócios e não contingência de TI. Planos de Sucessão, Planos de Continuidade Operacional, Planos de Gerenciamento de Crises e principalmente o quase sempre esquecido Plano de Comunicação nem pensar.

Pior, algum tempo atrás o vice-presidente da mesma organização disse que usou um plano de 3.700 páginas para gerenciar uma crise. Eu imagino a cena!

Em um post anterior eu havia comentado que falaria um pouco sobre BIA (Business Impact Analysis), nesse post eu vou comentar sobre um equivoco comum cometido por consultorias/profissionais e que infelizmente o mercado aceitou como verdade absoluta.

O que para muitos parece uma dúvida do tipo: quem veio primeiro, o ovo ou a galinha, para quem pesquisou documentos como o The BCI Guide e 10 Práticas Profissionais do DRII, saberia que é um erro grosseiro de conceito.

Ops...Estou falando dos problemas e ainda não disse que erro grosseiro é esse. O erro é realizar uma BIA antes do Risk Assessment (Análise de Riscos) ou como em vários casos eu já vi, realizar uma BIA sem Risk Assessment.

Faça uma reflexão, como é possível analisar os impactos nos negócios de uma organização sem conhecer os riscos que ela está sujeita? Impressionante é ver que o mercado aceitou esse erro e hoje acredita que o primeiro passo de um processo de continuidade de negócios é realizar uma BIA.

Como consultorias renomadíssimas podem cometer um erro tão grosseiro? Simples, a BIA é quase sempre vendida para alavancar o desenvolvimento de um plano de continuidade. De posse das informações sobre impactos financeiros é possível decidir se vale a pena investir ou não em um plano de continuidade e soluções de contingência para evitar eventuais perdas.

Algo lá no fundinho do meu coração me diz que ela serve como FUD (Fear, uncertainty, and doubt). Alguém chega com uma ferramenta de última geração, insere uns dados que vieram sei lá de onde e sai com um maravilhoso gráfico. Ah! Eles chamam isso de probabilidade subjetiva, eu chamo isso de outro nome científico: "inter femores" (Nas Coxas).

O correto é realizar uma análise de risco que irá identificar os riscos que sua organização está sujeita e com base nessas informações realizar uma análise de impacto nos negócios. Portanto, é impossível realizar uma análise de impactos nos negócios sem conhecer os riscos na organização. E sim, a análise de risco é realizada antes da análise de impactos nos negócios.

Sempre que eu participei de projetos que não foram realizadas análise de riscos eu não fiquei contente com os resultados. Não, eu não sou uma das consultorias que vende BIA como motivador de projeto, apenas acreditei em projetos anteriores realizados pela organização.

Se lhe surgir a oportunidade de realizar uma BIA, exija uma análise de riscos ou conheça seus riscos.

Essa semana eu acabei presenciando e participando de algumas discussões que foram ocasionadas por interpretações diferentes de alguns termos que lidamos diariamente na gestão de segurança da informação.

Termos como eficiência, eficácia, contingência, disponibilidade, evento, incidente, crise, gestão e gerenciamento estão na língua de qualquer gestor. Será que todos possuem o mesmo conceito sobre esses termos? Já percebi que não, as vezes estamos falando de A e fulano está pensando em B.

Pensando nisso eu resolvi escrever sobre algo que, na maioria das vezes é esquecido na concepção e implementação de um processo de continuidade de negócios. Estou falando de uma matriz de níveis de crise, simplesmente o recurso que irá servir como indicador para a tomada de decisão para o acionamento ou não de um processo de gerenciamento de crise.

Primeiro gostaria de dar algumas definições dos termos que costumam gerar confusão quando estamos discutindo gestão de tecnologia, segurança e governança de tecnologia:

Eficiência: fazer algo com eficiência significa fazer as coisas do jeito certo, na primeira tentativa. Expressa o grau de aproveitamento dos recursos utilizados ao se produzir um produto ou realizar um serviço;

Eficácia: fazer uma coisa com eficácia, significa fazer o que deve ser feito, fazendo a coisa certa. Expressa o grau com que são atingidas as expectativas de alguém (um cliente de uma empresa, por exemplo);

Contingência: controles como, site alternativo que garantam a disponibilidade do serviço em situação adversa;

Disponibilidade: controles como, load balance, cluster e RAID, que garantem a disponibilidade mínima do serviço caso parte do serviço seja afetada;

Evento: ocorrência futura que pode ocasionar um incidente;

Incidente: um evento que não é comum na operação da organização e que, pode parar serviços, recursos, que suportam as operações da organização;

Crise: um evento crítico que pode ocasionar a parada do negócio, riscos a pessoas, perda de infra-estura essencial para operação da organização e consequentemente abalar drasticamente a imagem, reputação da organização causando prejuízos irreparáveis;

Gestão: planejar, organizar, liderar e controlar as pessoas que constituem uma organização e as tarefas e atividades por estes realizadas;

Gerenciamento: controlar atividades especificas como, serviços de TI;

A Matriz de Níveis de Crise consiste em uma tabela com níveis que possibilitam avaliar um evento e acionar ou não o procedimento de gerenciamento de crises, tornando muito mais eficaz o processo de gestão de crises. A Matriz deverá ser criada com as características e riscos da organização.

Exemplo de matriz de níveis de crise:

Após a definição clara dos eventos que possam impactar o negócio, é preciso treinar e disponibilizar a matriz para acesso dos envolvidos na gestão de incidentes. Os envolvidos na gestão de incidente irão usar a matriz para avaliar se é necessário acionar procedimentos de gerenciamento de crise ou tratar o evento como parte da operação normal da gestão de incidente.

Você pode classificar a matriz de níveis de crise em cores: azul, amarelo, laranja e vermelho. Ou seja, nome, modelo não importa, crie sua matriz conforme as características de sua organização e deixe ela o mais viável possível para servir como fator de decisão para acionamento dos planos, procedimentos que sua organização possui para gerenciar as adversidades.

Use os comentários para discutir critérios adequados para uma matriz de níveis de crise.

CERT Resiliency Engineering Framework é um projeto novo do CERT. Desenvolvido em conjunto com instituições financeiras renomadas e especialistas em continuidade de negócios como: DRII, DRJ, SunGard e IBM, tem um objetivo bastante ambicioso: desenvolver ferramentas, técnicas e metodologias para garantir a resiliência das organizações unindo segurança e continuidade de negócios.

Bom, o que seria Resiliência?

"A resiliência é um termo oriundo da física. Trata-se da capacidade dos materiais de resistirem aos choques. Esse termo passou por um deslizamento em direção às ciências humanas e hoje representa a capacidade de um ser humano de sobreviver a um trauma, a resistência do individuo face às adversidades, não somente guiada por uma resistência física, mas pela visão positiva de reconstruir sua vida, a despeito de um entorno negativo, do estresse, das contrições sociais, que influenciam negativamente para seu retorno à vida. Assim, um dos fatores de resiliência é a capacidade do individuo de garantir sua integridade, mesmo nos momentos mais críticos."

Fonte: Professora Sandra Maia Farias Vasconcelos, Dr.

Resumindo, tornar uma organização resiliente é desenvolver estratégias, controles que garantam a sobrevivência em situações adversas. Ah! Então é o mesmo propósito de um Plano de Continuidade de negócios? Isso. Muito bem "friper"!

Deixando a brincadeira de lado, lendo os materiais disponíveis no site do projeto é possível chegar a uma conclusão: o material vai ser excelente e a abordagem excepcional. Só espero não ser tão complicado quanto a OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) também do CERT.

O framework irá ser organizado em quatro áreas:

Enterprise Management
Engineering
Operations Management
Process Management

Irá possuir 24 processos mais monitoramento, com o objetivo de garantir a resiliência de pessoas, informações, tecnologia e facilities (Infra-Estrura básica) no contexto de serviços e objetivos da organização.

Cada área possui um conjunto de processos. Divididos da seguinte forma:

Enterprise Management Process

RSKM - Risk Management
EF - Enterprise Focus
COMP - Compliance Management
FRM - Financial Resource Management
HRM - Human Resource Management

Operations Management Process

SAM - Supplier Agreement Management
SRM - Supplier Relationship Management
AMC - Access Management and Control
IMC - Incident Management and Control
VM - Vulnerability Management
EC - Environmental Control
KIM - Knowledge and Information Management
SOM - Security Operations Management
ITOPS - IT Operations Management

Engineering Process

RD - Requirements Definition
RM - Requirements Management
AM - Asset Management
COOP - Continuity of Operations Planning
REST - Restoration of Operations Planning
CSI - Control Selection and Implementation
RAD - Resilient Architecture Development

Process Management Processes
OT - Organizational Training
OPF - Organizational Process Focus
OPD - Organizational Process Definition
MA - Measurement and Analysis
MON - Monitoring

Como podemos ver o framework irá tratar dos mais diversos assuntos relacionados a gestão de ativos, segurança e continuidade.

Assim como o CobiT ele não reinventa nada, ele se utiliza de estudos e boas práticas já amadurecidas e disseminadas para atender os assuntos relacionadas a garantia da resiliência das organizações.

O framework também irá utilizar o conceito de níveis de maturidade por processo e será divulgado ainda esse ano.

Calma, não é nenhuma comparação ou defesa de um time ou outro, sim, as vezes parece que os profissionais tem um time de futebol e não uma base de informações e estudos para desenvolver um plano de continuidade de negócios.

Estou afirmando isso pois, ultimamente tenho visto atitudes no mínimo questionáveis de players de mercado. Ontem levantavam a bandeira do DRII (Disaster Recovery Institute International) e por motivos puramente comerciais começam a levantar a bandeira do BCI (Business Continuity Institute).

Ok, escolhas são escolhas! E quando não se aplica escolhas?

O DRII e BCI são as duas principais escolas sobre continuidade de negócios e ambas tem a mesma filosofia e práticas, com um único objetivo que é garantir a continuidade. Continuidade no sentido amplo da palavra, pois, a ciência se aplica a tudo não apenas a negócios.

Nunca vamos saber se as atitudes são devido a incapacidade intelectual ou falta de ética, mas, cabe a profissionais neutros e que atuam deixar claro questões como essa: BCI é continuidade e DRI é Recuperação de Desastres!

Eu começo com uma simples pergunta: você conhece as dez práticas profissionais do DRI e o The BCI Guide?

Se o profissional que faz tal afirmação estudasse um pouco mais essas duas fontes ele iria encontrar essas informações:

Professional Practices - DRII

1 - Project Initiation and Management
2 - Risk Evaluation and Control
3 - Business Impact Analysis
4 - Developing Business Continuity Strategies
5 - Emergency Response and Operations
6 - Developing and Implementing Business Continuity Plans
7 - Awareness Programs and Training
8 - Maintaining and Exercising the Business Continuity Plans
9 - Crisis Communications
10 - Coordination with External Agencies

Qualquer profissional que tenha um pouco de boa vontade identificaria as práticas número 3 - Business Impact Analysis; Developing and Implemententing Business Continuity Plans; e Maintaining and Exercising the Business Continuity Plans. Essas três práticas só por seu enunciado já desmistificam tal afirmação feita por profissionais que desconhecem os institutos e a ciência continuidade de negócios.

Se não bastasse uma simples análise superficial ainda podemos identificar também nos enunciados do guide do BCI a sinergia entre os institutos.

Good Practices Guideline 2007 - BCI

1 - BCM Policy and Programme Management
2 - Understanding the organisation
3 - Determining BC Strategies
4 - Developing and Implementing a BCM Response
5 - Exercising, Maintenance and Review

O capítulo um do guide tem o mesmo propósito da primeira prática do DRI, que é basicamente definir um escopo para o desenvolvimento do plano e estabelecer um comitê de continuidade de negócios, além dos cuidados para implementação de um processo em uma organização.

O capítulo dois do guide tem o mesmo propósito das práticas 2 - Risk Evaluation and Control e 3 - Business Impact Analysis (aqui também temos sérios problemas de conceito, mas, isso fica para um outro post) do DRI, que é avaliar os riscos e identificar os principais processos de negócios que servirão como principal análise para a seleção de estratégia.

O Capítulo três do guide tem o mesmo propósito da prática 4 - Developing Business Continuity Strategies do DRI, que define que deve-se identificar e implementar soluções para atender os principais processos em situações adversas.

O Capítulo quatro do guide tem o mesmo propósito da prática 6 - Developing and Implementing Business Continuity Plans do DRI, que tem como objetivo implementar a cultura, processo de continuidade de negócios na organização.

O Capítulo cinco do guide tem o mesmo propósito da prática 8 - Maintaining and Exercising the Business Continuity Plans do DRI que tem como objetivo testar e exercitar o processo de continuidade e atualizar o plano mediante a novas demandas do negócio.

Bom, acho que consegui deixar as coisas mais claras por aqui. Sugiro que todos os interessados estudem as 10 práticas profissionais do DRI e o The BCI Guide para ter mais informações e não cometer gafes como essas.

Algumas pessoas me perguntaram porque questionar tanto o profissionalismo e conteúdo disponibilizado em "terra brasilis" sobre BCP. Simples, para espetar e incentivar as pessoas a sairem da simples "rodinha de hamster" do BCI (Business Continuity Institute). A explicação para tantos profissionais utilizarem é uma só: o The BCI Guide descreve de forma simples os passos para a implementação de um processo de continuidade de negócios. Excelente documentação que recomendo a todos como ponto de partida.

Conhecer o The BCI Guide me torna um especialista em BCP? Não. Um especialista se faz do senso crítico e muito estudo e dedicação a vários temas que envolvem determinada ciência. Assim como The BCI Guide, qualquer outra fonte de informação como: 10 práticas profissionais; NIST 800-34; CISSP-CBK; e outras, deve servir como base para seu entendimento e implementação, não como características mandatórias e verdades absolutas.

O problema é tão sério que esses dias me deparei com uma notícia em português e na hora me perguntei: eu já li essa notícia! E realmente eu tinha razão (as vezes eu ainda tenho memória), a notícia havia saído no continuitycentral e os "autores" brasileiros haviam publicado a notícia sem a decência de divulgar a fonte. Sem contar os livros nacionais sobre o tema, não passam de um plano de projeto com MDM (Mesmo do Mesmo).

Me perdoe a sinceridade, mas, existem profissionais e profissionais, eu poderia citar vários nomes de profissionais competentes e que realmente buscam entender o tema, agora poderia também afirmar que 90% dos profissionais envolvidos com BCP não acrescentam nada ao tema e vivem de carteirada: "Já fiz mais de 20 projetos"; "Já escrevi um livro"; "Sou certificado"; "Trabalho com BCP a 20 anos".

Por isso eu, um jovem senhor de 27 anos, continuo estudando muito sobre o tema e questionando, críticando a postura de profissionais que não estudam, não compartilham conhecimento e trabalham para que o mercado seja refém de sua "expertise". Que por sinal foi adquirida a vários anos e está um pouco "enferrujada".

Um bom profissional se destaca pela sua competência, não por sua capacidade de esconder seus truques! Compartilhe conhecimento sempre, você tem muito a ganhar trocando experiências e informações. Com a maturidade você chegará a uma simples conclusão: quanto mais eu pesquiso e estudo, mais eu sei que nada sei.

Tem uma nova falácia no mercado que eu decidi que deveria escrever um post e não um dos tópicos do BCP FAQ. Simplesmente porque ela é um absurdo e mostra o despreparo de alguns profissionais sobre o tema.

Meu amigo e companheiro de trabalho há vários anos, Jeferson D'Addario, comentou que algumas pessoas o endagaram sobre a possibilidade do DRII (Disaster Recovery Institute International) perder sua "força".

Bom, aqui a coisa fica realmente feia, pois, estão comparando bananas com laranjas. O DRII não só vai permanecer da mesma forma, como vai ser muito melhor aproveitado. O DRII não possui nem mesmo uma metodologia, quem dirá uma norma. Ele possui uma base de conhecimento chamada de dez práticas profissionais, muito semelhante a iniciativa do PMI (Project Management Institute).

Uma norma como a BS 25999-1:2006 e muito em hoje ISO 15999, só fortalece os propósitos do DRII, um instituto sem fins lucrativos que busca fomentar e capacitar profissionais do mundo todo sobre continuidade de negócios e gerenciamento de crises.

Como havia comentado na primeira versão desse FAQ, poderíamos escrever uma série de perguntas e respostas enorme com a quantidade de bobagem que é falado por aí. Como o feedback foi positivo e tenho umas pérolas que são a “última moda” no mercado, resolvi escrever a seqüência do FAQ.

1 - Realizar entrevista para coleta de informações sobre ativos é ultrapassado. As novas ferramentas possibilitam coletar automaticamente as informações.

Bom, se é um inventário de ativos que você precisa, as ferramentas já possibilitam isso há vários anos. Como BCP é Business Continuity Plan e não Bullshit Compliance Plan, não é um inventário de ativos que eu preciso. Uma entrevista com gestores dos ativos que suportam os processos serve para coletar informações que nenhuma ferramenta pode lhe oferecer de forma automatizada, Cenários de Falha; Tempo Estimado de Recuperação; Dependência de Ativos; Contratos de Níveis de Serviços; entre outras informações que são necessárias para desenvolver uma estratégia de recuperação que atenda a críticidade dos seus processos.

2 - Quero iniciar um trabalho de continuidade de negócios fazendo uma BIA de TI, você pode me atender?

Não. Impossível, uma BIA é uma Business Impact Analysis, ou seja, é uma análise quantitativa da críticidade dos processos de negócio. Qualquer análise realizada nos ativos que suportam os processos pode ser qualquer coisa, menos uma Business Impact Analysis. Essa talvez seja a maior bobagem que eu já ouvi durante o tempo que atuo em projetos de BCP, provavelmente é “vendida” pelos profissionais que utilizam a “metodologia” do DRI.

Se eu fosse o James Randi iria oferecer um milhão de dólares para qualquer um que mostrasse a eficácia de todas essas bobagens que estão virando padrão no mercado. Infelizmente em terra de cego quem tem olho é rei.