Processo de gerenciamento da continuidade do serviço de TI

Pergunta: O que é um desastre?

Pode parecer estranho começar a abordagem sobre gerenciamento da continuidade com esta pergunta. Mas a falta de conscientização de muitos gestores pode fazer com que a palavra desastre traga uma enorme dor de cabeça.

Segundo o OGC (2006, p. 155), desastre é “um acontecimento que afeta de tal forma um serviço ou sistema que a restauração do seu nível de desempenho original exige considerável esforço”.

Um incidente chega a ser insignificante perto de um desastre, pois o desastre causa uma interrupção no negócio. Dependendo da sua intensidade, o negócio pode parar parcial ou totalmente.

Os desastres podem acontecer de várias formas, desde ataques via rede, causando a ruptura nas comunicações da organização, até através de raios, incêndios, enchentes (ou qualquer outro dano causado pela água), roubo, falta de energia, defeito no hardware, etc.

Isso tudo poderia trazer menos “dor de cabeça” para as organizações se as mesmas desenvolvessem planos de continuidade do negócio. Este ato se torna cada vez mais importante na medida em que as organizações se tornam cada vez mais dependentes dos serviços de TI.

O processo de gerenciamento da continuidade dos serviços de TI prega que desastres sejam evitados através da prevenção.

Objetivos

O gerenciamento da continuidade visa a suportar o processo de gerenciamento da continuidade do negócio com a garantia de que a infraestrutura técnica e de serviços sejam recuperadas dentro do prazo especificado e acordado com o cliente. Para exemplificar, os serviços a serem garantidos podem ser: sistemas, aplicações, redes, telecomunicações, banco de dados, suporte e central de serviços.

Isso pode ser alcançado criando e/ou mantendo planos de continuidade atualizados, através de constante análise de risco em conjunto com o gerenciamento da disponibilidade e segurança.

Além disso, contratos com empresas terceiras podem ser feitos para o provisionamento de capacidades de recuperação que façam parte desses planos.

Ao se preocupar em fazer um plano de continuidade, a organização deixa mais fácil a administração de uma recuperação dos sistemas, caso um desastre venha acontecer. Tem mais tempo de disponibilidade de serviço, oferece melhor continuidade dos serviços para os usuários e minimiza a interrupção de suas atividades.

O processo

É de responsabilidade do gerenciamento da continuidade:

a. após um desastre, fazer a avaliação do risco e impacto da perda dos serviços de TI;

b. fazer a definição de tempo de restauração dos serviços;

c. identificar serviços primordiais para o negócio para provimento de medidas de prevenção adicionais;

d. fazer a definição de qual abordagem será tomada para a restauração dos serviços;

e. tomar medidas para prevenir e reduzir os efeitos do impacto de um desastre;

f. criar, manter e testar um plano de recuperação que seja bem detalhado para restaurar os serviços, no período definido, após um desastre.

É bom que dois conceitos fiquem bem estabelecidos:

O gerenciamento da continuidade do negócio (GCN) gerencia os riscos a fim de garantir que a todo tempo a organização possa dar continuidade à sua operação, ao menos, em um nível mínimo predeterminado. Esse processo tem por finalidade reduzir os riscos a níveis aceitáveis e criar planos de recuperação para restaurar as atividades do negócio se esses riscos se materializarem e ocorrer uma interrupção no negócio.

O gerenciamento da continuidade dos serviços de TI (GCSTI) trabalha com os desastres que afetam os serviços de TI e mantém os serviços em pleno funcionamento a fim de garantir que o negócio não sofra interrupções. O GCSTI é parte e depende do GCN.

Importante: O direcionamento do processo de gerenciamento da continuidade dos serviços de TI ocorre de acordo com os requisitos do negócio e não baseado no que a organização de TI acha que o negócio necessita. O GCSTI é dependente das informações que são fornecidas pelo GCN.

A análise de impacto no negócio consiste em uma técnica usada na identificação dos requisitos mínimos necessários de sistemas para manter os processos de negócio críticos.

A determinação desses requisitos vem do impacto da perda de um processo de negócio, tanto das perdas financeiras, ou danos à imagem corporativa, além da quebra de regulamentos e leis.

A análise de risco consiste no levantamento feito sobre as ameaças e níveis de vulnerabilidade. Cada ameaça é associada a uma possível interrupção nos serviços críticos, tanto de TI, quando do negócio. Dessa tarefa geralmente são originados um relatório e um plano para aplacar os riscos.

Relacionamento com outros processos

O gerenciamento da continuidade dos serviços de TI interage, particularmente, com os seguintes processos:

a. gerenciamento do nível de serviço, fornecendo informações sobre as obrigações dos serviços de TI;

b. gerenciamento da disponibilidade, desenvolvendo e implementando medidas de prevenção;

c. gerenciamento da configuração, fornecendo informações sobre o que é preciso restaurar depois de um desastre;

d. gerenciamento de capacidade, garantindo que as exigências do negócio tenham suporte dos recursos de TI;

e. gerenciamento de mudança, garantindo que todos os planos do gerenciamento da continuidade dos serviços de TI estejam atualizados e corretos.

Os itens abordados nesta leitura mostram que os desastres podem acontecer de várias formas e que poderia ser bem mais fácil se as organizações desenvolvessem planos de continuidade do negócio. O processo de gerenciamento da continuidade do serviço de TI investiga, desenvolve e implementa opções de recuperação de serviços quando ocorrer uma interrupção grave no serviço.

Referência

OFFICE OF GOVERNMENT COMMERCE (OGC). Introdução ao ITIL. Norwich: OGC, 2006.

Autores: Miguel Garcia Junior e Rodrigo Santana

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

One Response to “Processo de gerenciamento da continuidade do serviço de TI”

  1. Oi Diego muito bom seu artigo, estou usando para uma trabalho na matéria de Gestão de TI da instituição FATEC-TQ no curso de ADS. Parabéns!!!

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *