Definição dos Objetivos [BCP/DRP - Parte 3: Objetivos]

Objetivos
Antes de iniciar as fases de construção e planejamento do BCP/DRP é essencial definir quais são os objetivos desejados. Saber onde se quer chegar irá definir o caminho, estratégia e os recursos investidos nos planos de contingência da empresa.

Geralmente os objetivos de um plano de recuperação e continuidade é medido em tempo. A necessidade do tempo para recuperação de um desastre pode variar de acordo com a área de negócios e isso deve ser levantado com cada uma dessas áreas.

Esse levantamento é chamado de BIA - Business Impact Analysis (Análise de Impacto nos Negócios) e abordaremos esse assunto mais adiante.

Existem três variáveis de tempo que são cruciais para o planejamento do BCP:

• RTO - Recovery Time Objective (objetivo do tempo de recuperação): É o tempo "alvo" a perseguir para a recuperação de um desastre.
• RPO - Recovery Point Objective (objetivo do ponto de recuperação): É o tempo onde se tem uma posição recuperável do sistema antes do ponto de desastre.
• MTO - Maximum Tolerable Outage (queda máxima tolerável): É o tempo MÁXIMO, o deadline até que o negócio ainda possa ser recuperado. Uma recuperação de desastre que ocorra após esse ponto é inútil pois o negócio poderá deixar de existir, os dados recuperados perdem seu valor e o resultado é a falência da empresa. (Esse tempo precisa ser menor do que o RPO de seus clientes por exemplo)

Esses números de tempo influenciam diretamente no custo do plano de contingência da empresa. Quanto mais próximo de "zero" for o RPO maior é o custo da solução e quanto maior for o tempo de recuperação (RTO), maior é a perda financeira sofrida pela empresa.

Se o tempo pós desastre ultrapassar o MTO, as perdas financeiras para a empresa e imagem no mercado serão tão grandes que a recuperação das operações perde o sentido. Atingir o MTO antes de se conseguir a recuperação dos dados e dos sistemas da empresa geralmente causa o colapso da organização e sua conseqüente falência.

Veja abaixo um vídeo com uma explicação simplificada sobre RPO e RTO:

Como achar tempo para Aprender Inglês - [DE VERDADE]

Vou dar uma pausa no guia de BCP/DRP por hoje para abordar outro assunto.

Em 2005 estava em uma "boa" posição profissional, com um inglês 'técnico' muito bom que dava pra arriscar no CV "Inglês Intermediário" (leitura e escrita) - padrão que encontramos por ai na maioria dos profissionais. Nós profissionais de TI somos uns cagões mesmo! Aprendemos inglês por osmose e não nos esforçamos quase nada para dar o passo seguinte. As vezes achamos até que iremos alcançar a fluência com o tempo, tudo por OSMOSE.

ER-RA-DO! Depois que atingimos um nível medíocre nós estagnamos. É isso que irá acontecer na prática.

Lembro do primeiro empurrão que tive. Foi em 1998 quando tentei uma prova da Microsoft e optei por faze-la em português. Por fazer no meu idioma nativo as questões dobraram (política da MS) e a tradução era sofrível. Não deu outra, TOMEI PAU. Tentei de novo, novamente: BOMBA! Mudei a estratégia, estudei com dois dicionários do lado e refiz a prova em inglês e, PASSEI. Fiz mais 6 provas e deu tudo certo. Essa necessidade de me forçar a dar um upgrade no meu "inglês-verbo-to be" me fez subir alguns degraus mas me mantive nesse nível por anos. Estagnei. Só quando perdi uma ótima oportunidade de trabalho fora do Brasil percebi que tinha que remediar essa situação.

Comecei lendo um livro que me ensinou a APRENDER inglês. Esse livro abriu minha cabeça e destruiu várias barreiras. Recomendo: COMPRE AQUI NA SARAIVA. Esse livro foi feito para Brasileiros aprenderem inglês. O autor, um inglês que mora no Brasil há muitos anos e que ensina a língua, mostra os macetes e aponta as dificuldades mais comuns para nativos brasileiros no aprendizado da língua. Junto com o livro, voltei a fazer aulas particulares 'one on one' (mano a mano) com um professor nativo. Acreditem, isso é muito mais barato do que uma escola média com metodologia cansativa e longa.

Aprendi a gostar! Isso foi crucial para meu desenvolvimento. Consegui isso com o livro. Depois de gostar, aprender e desenvolver minha fluência foi só questão de tempo. Comecei a consumir podcasts em inglês. Busquei assuntos que me interessavam e isso não me cansava. Fotografia, tecnologia em geral e segurança me acompanhavam no carro no meu longo translado de casa para o trabalho. Reverti as 3 horas por dia no trânsito em horas de estudo. Alguns dias encarava a CPTM só para ler alguma coisa junto com os audios dos podcasts. Aqui passo uma lista dos principais podcasts que escutava, um desses continuo ouvinte fiel (já há 6 anos). Alguns possuem transcrição de todo o conteúdo do áudio.

• ESLPod.com: Esse foi minha principal fonte no início. O ESLPod é feito por um professor americano residente em (beautiful) Los Angeles, CA. O ritmo e velocidade é perfeito para estudantes intermediários, e o conteúdo possui uma variedade de assuntos que irá ajudar a sair de várias situações do cotidiano. Ele possui também vários livros em audio aos quais comprei quase todos também. Além dos livros há uma área para assinantes que dá acesso a transcrição completa de todos os episódios (3 semanais). (clique aqui e ouça um dos episódios)

• Voice of America Special English: É um site/podcast mantido pelo governo americano feito para "foreign speakers'. (notícias, variedades e exercícios no site) 

Posso dizer que são necessárias 2.000 horas de estudos para se adquirir um bom nível de inglês (vou plagiar essa teoria que está no livro que indiquei acima). Isso significa que se você fizer um "cursinho" de inglês uma vez por semana por duas horas (e não estudar fora da escola), precisará de 20 anos para alcançar o seu objetivo. Antes que você se assuste, vamos fazer um outro cálculo: se você fizer uma imersão nos EUA, tendo contato com a língua praticamente 24 horas por dia, não precisará mais do que 3 meses para atingir o mesmo nível.

Vou dar aqui uma sugestão de plano de estudo focando nas 2000 horas:

• 2hs por semana com professor particular;
• 2hs por dia ouvindo podcasts em inglês (preferencialmente cursos de inglês como o ESL e o VOA de segunda a sexta);
• 15 minutos por dia fazendo exercícios de gramática e vocabulário;
• 2hs - vamos contar também o contato por 'osmose' que temos com a língua e vamos somar tudo:

Já temos aí uma carga de 122hs/mês ou quase 1500 horas por ano. Daí, ao completar um ano, tire férias e faça um curso de verão fora do Brasil e evite qualquer contato com Brasileiros quando estiver lá fora. Imersão em uma língua e isolamento da outra. Com essa estratégia você irá alcançar o alvo de 2000 horas de estudo em menos de um ano e meio!

Se funcionou pra mim certamente pode funcionar pra você.

Conceitos [BCP/DRP - Parte 2: Conceitos]

O plano de recuperação de desastre, é mais conhecido pela sua sigla em inglês DRP, Disaster Recovery Plan e o plano de continuidade de negócios será referenciado no resto deste guia como BCP, Business Continuity Plan.

Uma boa definição prática desses termos é a seguinte:

"Está acontecendo um desastre agora, vamos colocar em prática nosso DRP para recuperar os sistemas e garantir as operações da empresa"

"A situação de emergência passou! Hora de avaliar TODOS os danos e garantir o funcionamento da empresa pós desastre para garantir a continuidade de nossos negócios. Vamos operar nosso BCP"

Enquanto que o DRP está fortemente ligado ao departamento de TI da empresa, o BCP está ligado a todo o negócio. O BCP possui maior abrangência e seu planejamento não deve ser feito sem  o envolvimento das área de negócio da empresa pois ele será o ponto central para garantir o funcionamento da empresa em caso de desastres que causem grandes interrupções.

Disponibilidade (sem esquecer da Confidencialidade e Integridade)
Ao se pensar em DRP e BCP estamos falando de garantir a "Disponibilidade" dos serviços da empresa. Contudo, toda a tríade da Segurança da Informação deve ser observada e não só disponibilidade.

A Confidencialidade e Integridade dos dados não devem ser negligenciadas!

Ativos importantes não devem ser abandonados na planta onde ocorreu o desastre. Lembre-se que é possível recuperar dados de um disco que sofre uma inundação ou incêndio parcial. Documentos importantes podem ter ficado para trás e seu BCP deve contemplar também o tratamento adequado para esses resíduos para garantir que informações vitais da sua empresa não caiam em mãos erradas.

Mais uma vez trazendo um exemplo recente dos prédios que desabaram no RJ em Janeiro de 2012, os entulhos, junto com papeis, documentos e restos de computadores foram tratados por empresas públicas e terceiros e ouve caso de desvio de materiais. Além de bens recuperáveis, informações importante poderiam cair em mãos erradas colocando em risco o negócio da empresa. É sempre bom nos perguntarmos em cada momento do plano de ação de DRP e BCP e não está havendo negligência em todos os três pontos principais da segurança da informação: Confidencialidade, Integridade e Disponibilidade.

Introdução a BCP e DRP [BCP/DRP - Parte 1: Introdução]

Introdução

As empresas que se preparam para desastres são a esmagadora minoria. Cada tipo de empresa, micro, pequena, média ou grandes corporações subjuga eventos que podem comprometer toda a operação da empresa. Seja ela um Home Office de um consultor, um pequeno escritório de administração de imóveis, fábricas ou mesmo uma corporação global, cada uma dessas empresas, em sua maioria negligencia algum tipo de risco e não se preparam para desastres.

As empresas precisam ter em mente que um desastre não é só uma grande tragédia natural como uma grande enchente, terremoto ou tsunami. Até mesmo ações simples podem desencadear algum evento(s) que possam resultar na parada total das operações das empresas.

Eu como muitos aprendi da pior forma possível quando no início dos anos 90 perdi todos os códigos fonte de uma aplicação de folha de pagamento que eu mantinha para uma pequena prefeitura do interior. Dura lição para quem hoje não negligencia mais os backups.

Temos muitos exemplos de desastres que varreram do mundo corporativo grandes companhias, como no caso do colapso das torres em Nova Iorque em 2001, como recentemente o desabamento dos prédios no centro do Rio de Janeiro. Além das vidas perdidas que nunca poderão ser substituídas, essas empresas perderam sua capacidade de continuar operando pela falta de um plano que resguardasse pelo menos as informações mais críticas para que o negócio continuasse operando em case de desastre. Por outro lado vimos também que a devastação causada pelo Tsunami no Japão recentemente teve um impacto muito menor do que o potencial destrutivo da tragédia. Além da pequena perda de vidas, que proporcional ao desastre foi pequeno, a grande maioria das empresas tinham planos de recuperação de desastres e de continuidade de negócios. Essas empresas tinham equipes treinadas, planos claros de ação em caso de qualquer desastre e as equipes responsável haviam sido treinadas e faziam exercícios regulares sobre como se recuperar de um desastre e depois disso garantir as operações da empresa.

Pensando em uma escala menor de desastre, devemos nos perguntar de estamos preparados para pequenas falhas nos sistemas e infraestrutura que suporta a empresa:

Há um backup regular dos dados e testes periódicos de recuperação de arquivos e dados?

Por mais elementar que possa parecer, o backup é um item que é negligenciado em todos os tipos e tamanhos de organização. Em muitas das pequenas empresas ele nem sequer é feito. Em médias e grandes empresas o backup não cobre 100% dos sistemas críticos da empresa e o mais importante, raramente são feitos testes de restauração de arquivos periodicamente. Auditoria desse processo então... nem pensar. Normalmente os administradores dos sistemas são responsável por fazer o backup, rodar os testes de restauração (quando esses existem), e validar o resultado.

E se o hardware de um servidor crítico parar?

Para pra pensar e mentalize todos os servidores críticos da sua empresa respondendo a si mesmo se sua empresa está pronta para agir caso qualquer um desses servidores para por uma falha no hardware. Pense mais um pouco. Você possui discos reserva para substituir possíveis falhas de HD? Seus servidores possuem redundância de fontes e alimentação elétrica? Sua infraestrutura está devidamente protegida contra raios e surtos elétricos? Os contratos de garantia com esses servidores estão vigentes? Você possui contrato com fornecedores com um SLA definido para substituição de peças e equipamentos?

Se ao ler isso você sentiu um frio na barriga então você deve pensar mais seriamente e se preparar para enfrentar todas as eventualidades possíveis. De pequenos eventos como a quebra de um HD em um servidor, a incêndios e inundações.

Esse pequeno guia é para lhe ajudar a pensar, planejar, e implementar planos de Recuperação de Desastres e Continuidade de Negócios para sua empresa, tenha ela o porte que tiver.

(acompanhe nesse blog as postagens seguintes do guia completo de BCP e DRP)