Por Camila Fusco, do COMPUTERWORLD

Logo depois dos atentados terroristas de 2001 que devastaram centenas de companhias nos Estados Unidos – e que propagaram seus efeitos por todo o mundo –, uma preocupação que ressoou entre boa parte das organizações esteve na elaboração de planos de contingência de negócios.

Quando o tema começava a assentar, voltou à pauta com novo vigor quatro anos mais tarde, com o furacão Katrina, que deixou um rastro de destruição no Golfo do México e em diversos Estados norte-americanos. Dessa vez, no entanto, muitas já aparentavam estar mais preparadas para lidar com a situação. Difícil saber se, de fato, essas companhias tinham um plano suficientemente forte e testado para manter a continuidade dos negócios ou também contaram com a sorte.

Um padrão nascente tem o objetivo de fazer com que a visão do plano de continuidade de negócios seja mais pragmática e conte menos com golpes de sorte a partir de então. Trata-se do BS 25999, que tem como objetivo esclarecer, padronizar e estabelecer diretrizes para a elaboração e testes da estratégia de continuidade. Em entrevista ao COMPUTERWORLD, John Di Maria, gerente de certificações e marketing da BSI International, detalha a estrutura da norma e garante: de nada adianta um plano sem testes prévios. Leia os principais trechos:

COMPUTERWORLD – Recentemente o senhor esteve no Brasil para explicar aos executivos locais as diretrizes previstas para a BS 25999. O que prevê a norma?
John DiMaria – A proposta do padrão é fornecer uma base para que as empresas compreendam, desenvolvam e implementem planos de continuidade de negócio e também fornecer confiança nas transações entre empresas e com os consumidores. A norma permite ainda a uma organização medir ou avaliar suas ações em direção à continuidade dos negócios de uma forma consistente frente a seus sistemas. A abordagem da continuidade de negócios não é nova, mas o padrão enfatiza a importância de elaborar o plano com base nas melhores práticas da indústria.

CW – E qual é essa postura prática da norma?
DiMaria – Assim como outros padrões da indústria, o padrão 25999 é criado a partir das melhores práticas. Especificamente, ele foi construído sobre o escopo daquilo que uma companhia precisa endereçar na estrutura de continuidade de negócios, assim como no roadmap de implantação e nos aspectos que os sistemas precisam sustentar para garantir o prosseguimento das operações. Ele traz também uma visão geral sobre gerenciamento, orienta sobre como avaliar as respostas dos sistemas e construir uma visão de continuidade na organização, além de informar às companhias a necessidade de prever os custos decorrentes das novas ferramentas eventualmente implantadas. Além disso, prevê algo que geralmente é esquecido pelas companhias, que é o exercício dos métodos e dos sistemas destinados à sustentação das operações.

CW – Você mencionou que os testes geralmente ficam de fora dos planos de continuidade da maior parte das empresas. Além desse, quais os erros mais comuns das organizações nesse sentido?
DiMaria – Entre os principais erros está a falta de avaliação apropriada dos riscos e a deficiência em compreender exatamente as necessidades de elaborar e testar os sistemas antes de colocá-los em vigor. Geralmente, as companhias mantêm estratégias de recuperação de desastres, mas não sabem como colocá-las efetivamente em prática. De nada adianta ter um plano se você não sabe realmente se ele funciona.

CW- O padrão é dividido em duas partes. Quais são elas e quais os cronogramas de divulgação?
DiMaria – A primeira parte, que leva o nome de BS 25999-1, aborda as diretrizes que as empresas devem adotar para ter um plano de continuidade de negócios eficiente. Esta parte está disponível para consulta no site www.bs25999.com. A segunda parte do padrão, 25999-2, deve estar pronta em outubro e especifica as exigências de processos e auditoria, além de estabelecer monitoramento e controle de riscos.

CW – A norma ISO 20000, que abrange controles para gerenciamento de serviços de TI, tem suas origens na norma BS 15000. É possível dizer que a BS 25999 também poderá caminhar para uma ISO destinada a continuidade de negócios?
DiMaria – Geralmente caminha-se nessa direção. Se você olhar a história, além da BS 15000 que originou a ISO 20.000, existe também a BS 7799, que resultou na ISO 27.000. Geralmente as normas ISO são originadas de um padrão. No entanto, antes de isso acontecer é tradicional a realização de comitês técnicos para debate.

CW – E quais os passos para uma adequação? Quem confere a certificação?
DiMaria – Primeiro de tudo, a companhia precisa “vestir a camisa” sobre o padrão, e conhecer a fundo suas implicações. Posteriormente, pode contratar uma consultoria para auxiliar no processo de adequação segundo diretrizes da BS 25999, mas não é obrigatório. Geralmente o passo posterior é realizar um procedimento de análise e correção de falhas e caminhar para a auditoria de certificação. No entanto, são necessárias também verificações periódicas para garantir que o sistema continua adequado.

CW – Como o padrão deve auxiliar as companhias?
DiMaria – Justamente no fornecimento de uma forma organizada para implementar o padrão de continuidade de negócios e garantir o cumprimento de boas práticas nesse tema.

CW – Já é possível prever a popularidade do padrão entre as companhias mundiais?
DiMaria – Logo que a primeira parte foi divulgada, foram registrados 5 mil downloads. Fizemos uma pesquisa na Europa – com 857 companhias – e 94% delas disseram que aprovavam um padrão formal para gerenciamento da continuidade.