Desde meados de 1999, com a proximidade do novo milênio, os
Após o evento do dia 11/09 no WTC, as empresas estão reconsiderando a importância que o aspecto da segurança física e as respectivas estratégias de contingência e recuperação podem ter para o seu funcionamento. Seja em função do exemplo da empresa que possuía seu escritório em uma torre e seu local de recuperação em outra, ou pela outra que perdeu 700 funcionários de sua matriz, o resultado dos acontecimentos é um só: não basta antecipar os possíveis eventos.
O exercício da previsão deve beirar a paranóia se desejamos garantir a continuidade da empresa através do desenvolvimento de sua segurança. No início de minhas atividades de consultoria, uma das maiores desculpas que ouvi de várias empresas para justificar a inexistência de um PCN era a ausência de eventos naturais que os justificassem, tais como terremotos, furacões,vulcões ou tsunamis (ondas de grandes dimensões). A maioria destas pessoas não se conformava quando eu mostrava um gráfico desenvolvido pelo Gartner Group indicando quais as origens de paradas de empresas nos EUA. Nele, os desastres naturais eram responsáveis por “apenas” 8% destas paradas corporativas. 80% dos eventos eram causados pelo conjunto de erro humano, falha de transmissão, dano em dispositivo (hardware) ou erro de aplicativo (crash). O restante (12%), era de origem “incerta”.
Quando começo a falar de análise de riscos em processos, a maioria das pessoas me questiona, perguntando se eu não estou sendo interessadamente pessimista. E, invariavelmente, eu respondo com outra pergunta: se a empresa parar por causa de um risco que não foi considerado por opção, qual será o reflexo no seu currículo Não faz muito tempo, fui consultado por uma empresa do segmento de telecomunicações, que solicitou uma análise de um PCN desenvolvido internamente, considerando-se como modelo o PCN da sua matriz norte-americana.
A empresa seguiu as estratégias de recuperação elaborados nos EUA, sem levar em conta as variáveis locais. Reservou locais em escritórios virtuais, assim como a matriz, mas não definiu quais funcionários ocupariam o espaço. Definiu locais de back-up para seu call center, que foi construído numa razão de 1:4 (o call center original tem 200 posições, o back-up tem 50) e não definiu quais serão os 50 funcionários que irão ocupar o local. Resumindo: a empresa se sente segura, por ter um PCN que foi auditado e aprovado pela matriz (não podendo ser diferente, uma vez que a estrutura era a mesma para ambas as instalações) mas que, na verdade, não foi submetido a testes e tampouco oferece a consistência de uma Análise de Impacto nos Negócios. Em outras palavras, do plano final que a empresa possui hoje, apenas 50% deve ser efetivo. O restante, provavelmente irá atrapalhar, mais do que ajudar.
Costumo dizer que o PCN não é a panacéia para todos os males. Mas não é por isso que devemos menosprezar sua importância frente à dispositivos de IDS (intrusion detection system) ou firewalls. Cada um, no conjunto de segurança de ambiente corporativo, cumpre seu respectivo papel. E, como tal, não podemos considerar que o melhor exemplo de um possa substituir outro. Isto nos exporia a riscos desnecessários.
Muito se fala em segurança de dados e informações. Mas o que pouco se fala a respeito é que a espinha dorsal de toda e qualquer estrutura segura é o bom senso. Não adianta querer substituí-lo com produtos de alto custo (o melhor firewall, na minha opinião, ainda é uma simples CPU com o OpenBSD instalado e configurado para agir como um), se não há planejamento que sustente sua utilização.
