Continuidade de Negócios

O tema continuidade de negócios não é brincadeira. Empresas realmente vão a falência ou enfrentam longos e pesados períodos pela ausência de um plano bem estruturado.

Como regra geral, a continuidade de negócios tem sua razão de ser, identificar e estabelecer estratégias para uma recuperação das funções vitais do negócio.  Isso significa que em uma situação de exceção, o negócio precisa manter em operação as atividades que são essenciais e críticas à sua sobrevivência. Isso inclui pessoas, recursos físicos, parceiros/fornecedores e processos.

Em tempos onde a Tecnologia assume papel fundamental na competitividade do mercado, nada mais coerente do que incluir um plano de continuidade específico para ela. E é isso que propõe as principais referências de boas práticas em Gestão de TI, como a ITIL, COBIT, norma ISO/IEC20000 e ISO/IEC22301. O plano de continuidade de serviços de TI deve ser parte integrante – ou ao menos fortemente alinhado – com o plano de continuidade do negócio, visto que precisa ser desenvolvido à luz das mesmas funções vitais de negócio descritas no plano de continuidade do negócio.

Contudo, não é difícil encontrar empresas que são extremamente dependentes da TI e que não possuem um plano de continuidade de negócio ou registram oficialmente (documentam) quais são as suas atividades chave (funções vitais do negócio). Mesmo diante desse cenário a TI não deve se eximir da responsabilidade de se preparar para o pior.

Veja a seguir alguns itens que deveriam ser levados em consideração ao pensar na continuidade dos serviços de TI:

 

  1. Criticidade das informações

Desde quando fiz minha faculdade em 2001 ouço falar que o gestor de TI deve ser integrado ao negócio, deve pensar de forma estratégica e não apenas em “qual é o melhor storage, a melhor rede, etc.”. O ponto é que até hoje percebo que essa integração é rara e fico muito feliz quando encontro um gestor de TI com cabeça de Business ou um gestor de negócios que entende de verdade a criticidade de TI.

O primeiro passo para criar este link consistente entre negócios e TI pode ser a criação de um catálogo de serviços.

Neste artigo sobre catálogo de serviços do ITSM na prática você vai compreender que este documento não é (apenas) uma simples lista dos serviços que a TI oferece, como: criação de contas de e-mail, reset de senha da aplicação X, permissionamento no servidores de arquivos, etc.

O catálogo de serviço deve (ou deveria) ter uma visão de negócios. Isso significa priorizar em primeiro lugar os investimentos da empresa (Quais trazem o melhor retorno?), desdobrar a partir daí as soluções e tecnologias de TI que suportam estes investimentos e utilizar esta informação para estabelecer os Acordos de Nível de Serviços.

Veja que com um mapa como este, é possível priorizar os seus esforços e investimentos na continuidade dos serviços em caso de um desastre ou algum evento significativo. Você terá uma visão clara dos serviços que suportam o negócio, dos que ajudam a empresa a crescer e dos que criam algum diferencial competitivo e ajudam a “virar o jogo”.

Falando sobre o que eu vejo acontecer na prática, quando questionados sobre o que deveria estar em um ambiente de Disaster Recovery ou de Contingência a resposta é: Tudo que é produção precisa e o que é homologação não vai.

Isso é um tanto quanto óbvio e dependendo dos seus serviços pode ser que seja simples assim mesmo.

Em linhas gerais, com um catálogo de serviços orientado a negócios é mais fácil priorizar o que precisa de contingência em tempo real, quais os serviços onde é aceitável ter a informação apenas em D-1, quais serviços que precisam subir em até 48 horas, quais podemos sobreviver durante um período de recuperação, etc.

 

  1. Documentação do ambiente

Esta é outra grande disciplina super importante e que é falha na maioria das vezes.

Documentar dá trabalho, leva tempo, demanda capricho, além conhecimento técnico detalhado do ambiente e de gestão. Você já percebeu que não é qualquer um que é capaz de documentar corretamente, ainda mais com a correria do dia a dia.

No momento de um evento grave, a ausência de documentação aliada a ausência de processos vai fazer com que sua empresa demore 10x mais para se reestabelecer.

As documentações incluem: inventário de hardware e software, mapa topológico, senhas, procedimentos, contratos de suporte, garantias, configurações dos equipamentos, base de conhecimento, códigos de sistemas e muito mais.

Tudo isso deve estar armazenado em um lugar seguro, de preferência na nuvem, acessível de qualquer lugar.

Contar com ferramentas que te ajudam a mapear o ambiente também é uma boa pedida para prestar um serviço de qualidade. Nós utilizamos uma bem completa que você pode conhecer aqui. 

 

  1. Segurança da informação

Sobre os eventos indesejados que podem detonar a sua empresa, alguns deles podem ser evitados com um investimento consciente em segurança da informação, como: sequestro de dados (sua empresa perder o acesso as informações de clientes, faturamento, projetos ou outras), roubo de informações críticas (vazamento de senhas de clientes ou outras informações confidenciais), invasões de página ou redes sociais (problemas relacionados a imagem que podem derrubar todo um trabalho de construção da marca), ataques que derrubam sistemas (um sistema de ecommerce ou financeiro fora do ar), contaminação de vírus (usuários sem conseguir trabalhar por horas ou dias dependendo da contaminação), e muito mais.

Algumas pessoas ainda pensam que um hacker não tem motivação para atacar uma empresa desconhecida, como uma pequena ou média empresa, porém, muitas vezes é aí onde os ataques são concentrados. Menos exposição, menores investimentos em segurança e dinheiro fácil.

Dizemos em segurança da informação que o bandido está sempre um passo à frente e que não existe segurança 100%. Isso por que se o criminoso estiver realmente motivado a conseguir ele vai buscar cada vez mais ferramentas para cumprir com seu objetivo.

É como proteger um carro. Imagine que você tem um fusca lindo. Se você utiliza apenas as travas das portas com as chaves originais, qualquer bandidinho interessado vai conseguir abrir seu carro sem muito esforço. Aí você coloca trava “carneiro”, e já elimina alguns bandidos que não sabem lidar com isso, mas ainda está vulnerável. Então você coloca um alarme, rastreador, fechadura com controle remoto, segredo para ignição…

Com TI é a mesma coisa. Precisamos fechar o cerco o máximo que puder para desmotivar qualquer ataque. Eliminar as vulnerabilidades.

Então eu pergunto:

  • Como você guarda suas senhas? Estão criptografadas?
  • Seus usuários estão bem informados sobre a sua política de segurança? Existe uma política?
  • Você tem um firewall? Ele é confiável?
  • Filtro de conteúdo?
  • IDS (Intrusion Detection System), IPS (Intrusion Prevention System)?
  • O antivírus está atualizado? As vacinas estão sendo aplicadas?
  • Tem sistema GED (Gestão eletrônica de documentos) para proteger e gerenciar documentos críticos?
  • Alguém monitora e gerencia a sua rede 24 horas?

 

  1. Disaster Recovery/Contingência

Para deixar claro a diferença entre Contingência e Disaster Recovery (DR), pense em contingência como Plano B e DR como Plano C.

Ou seja, imagine que eu tenho um sistema que é acessado por 1500 representantes comerciais espalhados no Brasil e na América Latina e não posso (como negócio) me dar ao luxo de não conseguirem emitir um pedido em tempo real.

Este sistema precisa estar contingenciado em alta disponibilidade, se eles não conseguirem utilizar pelo recurso 1 devem utilizar o recurso 2. As mesmas informações devem estar disponíveis em ambos recursos.

Já um ambiente de DR, como o próprio nome sugere, será utilizado para recuperar os serviços em caso de um desastre. Muitas vezes nestes casos é aceitável que se perca algumas horas, ou até alguns dias no reestabelecimento dos serviços.

Veja que neste cenário estamos considerando o seguinte: Pegou fogo, inundou, roubaram, depredaram ou caiu um meteoro em cima do Data Center principal.

Em uma situação caótica como esta, entre fechar a empresa e perder uma semana de faturamento, pode ser aceitável perder esse período de dados. 

Por que eu não posso deixar tudo contingenciado, já que aí eu não perco nada?

Simples! Por que sai caro.

Agora, seja um ambiente de Contingência ou de DR, é importante que ele esteja geograficamente distante do seu Data Center principal.

Este ambiente precisa ser gerenciado assim como o principal, pois você não quer descobrir que ele não está com as informações replicadas como o negócio precisa apenas depois do desastre.

Para os serviços críticos da empresa, além de ter uma política eficiente de Backup (e de restore!), é essencial separar o dados que serão enviados para um Data Center externo baseado no seu mapeamento do catálogo de serviços.

Se quiser ler um material completo sobre Backup pode baixar este nosso ebook aqui.

 

Minha última dica sobre um ambiente de contingência ou de DR é: Considerar a contratação do ambiente em Cloud, ao  invés de Colocation ou Hosting tradicionais, é a melhor opção na maioria das vezes.

Isso porque a Cloud:

  1. Já é um ambiente em alta disponibilidade. Você contrata um servidor, mas este servidor já está contingenciado dentro da própria Cloud.
  2. É mais barato. A não ser que você tenha feito recentemente o investimento em hardware e licenças, aí vale mais a pena o colocation.
  3. É gerenciado, então demanda menor esforço da sua equipe.
  4. É seguro. O provedor de Cloud toma todas as providencias de segurança mencionadas ali em cima.

 

Se quiser saber mais sobre as diferenças entre Colocation, Hosting e Cloud pode ler nosso artigo aqui.  

 

Sobre a Strati

A Strati é um provedor de serviços gerenciados de TI com serviços e soluções fim a fim para infraestrutura e suporte a usuários de TI.

 

Se quiser conhecer:

  1. Nossa solução de Data Center pode solicitar um contato aqui. 
  2. Nossa solução de Monitoramento e Gerenciamento pode pedir uma demonstração aqui. 
  3. Nosso serviço de Suporte/Monitoramento e Gerenciamento de Ativos 24 horas pode solicitar um contato aqui. 

 

Um abraço,

André Bernardo – Strati

Author André Bernardo de Oliveira

Diretor de Marketing e Vendas da Strati - 15 anos de experiência em TI, certificado PMP, ITIL, MBA em Gestão Estratégica.

More posts by André Bernardo de Oliveira

Leave a Reply