O prazo para testar o PCN e o DRP está chegando

O prazo para testar o PCN e o DRP está chegando

 

O prazo para testar o PCN e o DRP está chegando

No ano passado publicamos este post https://strohlbrasil.com.br/testar-ou-nao-testar-o-pcn-eis-a-questao/ sobre as necessidades de um sólido programa para testar o PCN e o DRP.

2020 será um ano atípico, a quarentena da covid-19 impôs uma série de limitações às organizações: home office, limitação da jornada de trabalho, suspensão dos contratos de trabalho etc. e, do outro lado, obrigou as organizações a lançarem novos produtos e serviços, migrar aplicações para a nuvem, adequar a infraestrutura para atender as demandas do home office etc.

E é neste cenário, com limitações na força de trabalho de um lado e de muitas transformações nos negócios das organizações precisam testar o PCN e o DRP, ou para atender um requisito regulatório, ou de auditoria, ou demandado pela matriz ou, principalmente que, se neste turbilhão de mudanças, a organização tiver um incidente de interrupção severo ela estará preparada para reiniciar rapidamente as suas operações críticas.   Este outro post complementa este tópico https://strohlbrasil.com.br/e-hora-de-atualizar-o-pcn/

Neste ano os desafios para testar o PCN e o DRP serão maiores.   Muitas mudanças, muitos projetos em andamento, recursos escassos (humanos e financeiros), prazo curto e um backlog imenso, as infraestruturas mudaram significativamente, consequentemente os planos de PCN e de DRP estão desatualizados e precisarão, primeiro serem atualizados para depois poderem ser testados.   Impossível?   Não.   Será fácil?   Também não.

A eficácia de um sólido Programa de Continuidade de Negócios só pode ser aferida de uma forma, testar o PCN e o DRP repetidas vezes no modelo de melhoria contínua – PDCA.

Ao testar o PCN e o DRP podemos e devemos validar: as premissas assumidas, os recursos críticos necessários, as estratégias de recuperação estabelecidas, os tempos de recuperação (RTO), perda máxima de dados (RPO), a qualificação dos participantes, a qualidade dos planos documentados etc. uma lista extensa de objetivos que mediante indicadores (KPIs) auxiliarão na avaliação das tendências do nosso programa, de melhoria ou não.

Esta análise de tendência está prevista na ISO 22301 – Segurança da sociedade — Sistema de gestão de continuidade de negócios — Requisitos no parágrafo 9.1.1 “agir, quando necessário, para endereçar tendências adversas ou resultados antes que …” e o parágrafo seguinte diz “manter informações relevantes como evidência dos resultados”.

Testar ou não testar o PCNe o DRP, eis a questão

Ou seja, não adianta somente dizer que testou, tem que comprovar que testou e mais, que o teste produziu os resultados esperados.

Testar o PCN e o DRP não é nada diferente do que implantar o PCN e o DRP, requer capacitação e muito planejamento.   Para nos auxiliar nesta tarefa temos uma outra norma, complementar à ISO 22301, a ISO 22398:2013 – Societal Security – Guidelines for Exercises que nos fornece os passos necessários para implantar um bom programa de exercícios objetivando a melhoria contínua.   Nosso curso Planejamento, Execução e Avaliação de Exercícios é baseado nesta norma. (Infelizmente, por razões de conhecimento de todos, nossos cursos presenciais estão suspensos até que existam condições seguras para a sua realização)

É muito comum nos projetos de PCN/DRP que a STROHL Brasil realiza solicitar aos fornecedores críticos dos nossos clientes evidências do último teste de PCN/DRP realizado no escopo do serviço contratado.   Evidências, e não é necessário explicar muito, podem ser: print screen de telas, relatórios, logs de acesso, extratos, comprovantes de transações etc. qualquer profissional com o mínimo de bom senso e sem conhecimento de PCN/DRP sabe o que está sendo solicitado.

É uma solicitação bastante clara assim como os entregáveis esperados.   Invariavelmente o tempo vai passando e após um mês ou mais rodando em círculos os fornecedores não apresentarem evidências minimamente satisfatórias.   As justificativas são as mais variadas: desde a empresa estar certificada em alguma norma que não de continuidade de negócios (27001 de segurança da informação por exemplo) ou outro escopo de certificação (o faturamento é que está certificado), a respostas quase infantis “asseguramos que numa situação de contingência empreenderemos os maiores esforços de forma a restabelecer os serviços o mais rapidamente possível”, ou seja, não se comprometeu com absolutamente nada.

Então você já sabe, Testar o PCN e o DRP não é uma opção, você precisa provar que tem PCN e DRP e que eles funcionam satisfatoriamente, testando, testando e testando e guardando as evidências.   Um dia elas serão necessárias.

E.T.: e de nada adianta testar repetidamente a mesma coisa.

#ficaadica

Compartilhe este Artigo

Compartilhar no email
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no whatsapp

Artigos Relacionados

3 Usos da BIA nos Ataques Cibernéticos

3 Usos da BIA nos Ataques Cibernéticos Aparentemente neste período de quarentena houve um aumento significativo de ataques cibernéticos às organizações.   Pode ser somente um

Apetite ao Risco

Apetite ao Risco Introdução Um dos pilares da Continuidade de Negócios (BC) e da Recuperação de Desastres (DR) é o Apetite ao Risco. É baseado

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Este site utiliza cookies para proporcionar uma melhor experiência para nossos usuários. Ao continuar a navegação neste site, você estará de acordo com os cookies que estão sendo utilizados. Se quiser saber mais sobre nossa política de cookies, clique aqui.