COMPUTERWORLD - O portal voz do mercado de TI e Comunicação

Elisângela Ximenes Costa é Gerente Sênior da Ernst & Young

O apagão que ocorreu em 10/11/09 ocasionou alguns transtornos e prejuízos para empresas que acreditavam estar preparadas para enfrentar incidentes sem paralisar ou interromper suas operações. Após as falhas no fornecimento de energia elétrica, foram inúmeros os relatos de clientes frustrados e surpreendidos com suas experiências.

Problemas simples tais como falta de diesel para abastecer o gerador principal e falhas técnicas que tornaram os nobreaks inoperantes, causaram o desligamento de servidores e impossibilitaram as operações. Funcionários não puderam retornar às suas residências, trabalhando durante toda a noite para que os serviços fossem restabelecidos. Gerentes de TI tiveram que procurar por fornecedores desesperadamente para adquirir diesel para abastecer os geradores de prédios para que fosse possível normalizar as operações.

E quanto aos níveis de serviço definidos em contratos, os chamados SLA’s, que geram multas e outros impactos ao negócio? Estes também causaram muitos transtornos para empresas que somente perceberam que não estavam preparadas para lidar com desastres durante a ocorrência do incidente.

A maioria das companhias investe muito em contingência, mas os gestores de TI se esquecem que estar preparados para a ocorrência de incidentes é um processo complexo, que envolve planejamento, execução de testes periódicos e algumas vezes, revisões de procedimentos internos. Os processos de negócio estão em constantes mudanças e não revisar os procedimentos de contingência, assim como não realizar testes para a validação dos planos de recuperação de desastres, é uma prática de alto risco. Em uma simples analogia, é como dirigir um carro e não realizar as suas revisões periódicas e não saber se o estepe está disponível e em condições de uso.

A execução destes valiosos testes, que somente as empresas mais maduras tratam com a devida importância, visa: assegurar que o plano de continuidade está atualizado; verificar ele reflete as reais necessidades do negócio; confirmar se os sistemas de TI ainda podem ser efetivamente recuperados dentro dos prazos aceitáveis e se incidentes podem ser adequadamente gerenciados; e criar planos de ação e de gestão de crises e incidentes para os itens que precisam ser ajustados e atualizados no processo de contingência.

A extensão e a periodicidade dos testes da contingência da companhia devem ser definidas pela diretoria, de acordo com a complexidade do seu ambiente, e também devem considerar desde o teste de aplicações individuais até cenários de testes integrados que envolvam diversas aplicações (incluindo fornecedores e clientes, quando for o caso).

Ignorar essa etapa do processo da gestão de continuidade do negócio é assumir o risco de parar atividades da companhia; sem o consenso de outras áreas da empresa; e em algumas vezes, desconhecendo o grau dos impactos e consequências caso ocorram incidentes.

Gestão de continuidade do negócio é um processo que deve fazer parte do cotidiano dos profissionais de TI e demais áreas de negócios, e não deve estar na agenda de discussões de assuntos de TI somente quando ocorrem os incidentes. Ter um bom ambiente de controles internos e estar preparado para as adversidades inesperadas são fatores críticos de sucesso nos dias de hoje para qualquer companhia.