COMPLIANCE MÓDULO 3 Dilma Resende 28/03/2012
EADCONTEUDO
MÓDULO 03 COMPLIANCE E GESTÃO DE RISCOS – PARTE 03
Plano de contingência "O plano de contingência não é um trabalho para ser feito depois da crise e sim antes", ressaltam os maiores consultores de segurança de negócios. Para se prevenir, são sugeridas diversas medidas como, por exemplo, replicar o banco de dados, os principais equipamentos, os servidores e os roteadores. Igualmente, o empresário que quiser enfrentar com sucesso uma situação de crise também não pode deixar de cuidar da gestão. "As empresas se preocupam muito com a tecnologia, mas se esquecem do essencial: as pessoas e os processos", destaca Alan Scofield, gerente de negócios da Sion People Center.
2
EADCONTEUDO Protocolo para planos de contingência
Um plano de contingência é um documento onde descrevemos, passo a passo, as ações que a empresa deve realizar para retomar normalmente seus processos de trabalho, após a ocorrência de um incidente de segurança. É um documento elaborado para treinar, organizar, orientar, e tornar coerentes as ações que possam vir a eliminar problemas emergenciais. Empresas sem um plano de contingência tornam-se desorientadas. Correm riscos desnecessários e, na hora de um problema mais grave, são obrigadas a tomarem medidas desesperadas sem testes e planejamento prévios. Planos de contingência devem ser: •
• •
Testados periodicamente; documentados por escrito; atualizados sempre que necessário; formalmente aprovados pela diretoria da empresa; arquivados em local seguro e de fácil acesso aos usuários (do plano); Alem disso, deve ser elaborado por profissionais especializados, de acordo com a política de segurança da empresa; Deve-se realizar testes periódicos no Plano de Contingência, pois esta é a única forma de avaliar antecipadamente seu funcionamento em situações de contingência. Estes testes devem conter: cronogramas de testes, locais, aplicações a serem testadas e critérios para documentação dos mesmos.
Como elaborar um bom plano de contingência: Três pontos devem ser observados: Plano de Administração de Crise – Tem o condão de planejar passo-a-passo o funcionamento das equipes envolvidas diretamente com o plano antes, durante e depois do incidente. Além de definir as providências a serem tomadas quando voltar a normalidade. Plano de Continuidade Operacional – Visa definir os procedimentos, reduzir o tempo que os sistemas ficarão indisponíveis e evidentente os impactos resultantes de toda essa problemática. Plano de Recuperação de Desastres – Tem o objetivo de definir um plano de recuperação e restauração dos sistemas afetados.
3
EADCONTEUDO Obviamente, cada caso é um caso, cada empresa tem uma realidade e isso não pode sair do foco. Porém, é certo que se precaver é melhor que remediar. O grande jurista Daniel Ustarróz (in Responsabilidade Contratual, Editora RT, 2a. Edição) bem coloca que: "afinal o homem diligente é aquele que mais simula hipóteses abstratas (como a desvalorização cambial, terrorismo, hiperinflação etc.), mas no jogo das probabilidades as têm por remotas". Um outro aspecto importantíssimo e que JAMAIS deve ser posto de lado, são as questões jurídicas envolvidas na montagem do plano. Ao analisar, a IT Compliance em Planos de Contingência de várias empresas, é possível verificar várias páginas sem adequação legal alguma. É preciso que sejam elaborados com base nas normas técnicas, POIS ASSIM SERÁ MAIS DIFICIL ERRAR E, MAIS IMPORTANTE: não há necessidade de modelos. Basta um diagnostico bem feito, com bom senso. Elaborar um plano de contingência é pensar com inteligência. É se antecipar a situações, num ponto onde ainda é possível planejar soluções com frieza. Ao elaborar um plano de contingência, é preciso ter em mãos a seguinte legislação: 1. Código Civil Brasileiro - Lei 10.404/2002 2. Código de Defesa do Consumidor - Lei 8078/1990 3. Resolução 3.380 do Conselho Monetário Nacional
Evidente que nas normas nacionais e internacionais sobre segurança da informação e governança, esta pauta também é prevista, a saber: “NBR ISO IEC 27001:2006: Prevê que o Plano de Contingência seja documentação testada e integrante do Chamado SGSI ( Sistema de Gestão de Segurança da Informação), que é o resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, conjuntamente, definem como são reduzidos os riscos para segurança da informação. (A.14) Também prevê a implantação no modelo PDCA (Plan-DoCheck-Act ou Planejar-Executar-Verificar-Agir) onde não basta possuir documentação, é preciso demonstrar que tudo foi absolutamente testado. NBR ISO/IEC 17799: Prevê a "Gestão da Continuidade do Negócio" onde demonstra imperativo que empresas detenham um Plano de Contingência testado e atualizado. Serbanes-Oxley (2002): Prevê em sua seção 404 (Management Assessment of Internals Controls), (103) (Auditing, Quality Control, And Independence Standards 4
EADCONTEUDO and Rules) e 409 (Real Time Disclosure), a necessidade de um plano de gerenciamento de Riscos em frameworks nacionais e internacionais como CobIT e ITIL. Como se verifica, mais do que um "luxo" ou condição para grandes contratações, o Plano de Contingência é requisito indispensável de todas as normas envolvendo Tecnologia. Deve-se ter em mente que só documentação basta apenas para as chamadas "pré-auditorias", sendo que auditorias "on-the-fly" ocorrerão, para se verificar na prática o disposto nas documentações. Por outro lado, deve-se revisar com o Jurídico tais disposições, para que suas cláusulas não constituam abusividades ou nulidades, eis que nos termos do Código Civil de 2002, em seu artigo 393: "O devedor não responde pelos prejuízos resultantes de caso fortuito ou força maior, se expressamente não se houver por eles responsabilizado". (palavras de Jose Milagres, professor e gestor de TI)
5