Testar ou não testar o PCN, eis a questão

Testar ou não testar o PCN, eis a questão 

Testar ou não testar o PCN, eis a questão A eficácia de um sólido Programa de Continuidade de Negócios só pode ser aferida de uma forma, testando o PCN repetidas vezes no modelo de melhoria contínua – PDCA.

Num teste bem planejado podem e devem ser validadas: as premissas assumidas, os recursos críticos necessários, as estratégias de recuperação estabelecidas, os tempos de recuperação (MTPD e RTO), perda máxima de dados (RPO), a qualificação dos participantes, a qualidade dos planos documentados etc. uma lista extensa de objetivos que mediante indicadores (KPIs) auxiliarão na avaliação das tendências do nosso programa, de melhoria ou não.

Esta análise de tendência está prevista na ISO 22301 – Segurança da sociedade — Sistema de gestão de continuidade de negócios — Requisitos no parágrafo 9.1.1 “agir, quando necessário, para endereçar tendências adversas ou resultados antes que …”

O parágrafo seguinte diz “manter informações relevantes como evidência dos resultados”.

Testar ou não testar o PCN, eis a questão

Ou seja, não adianta somente dizer que testou, tem que comprovar que testou e mais, que o teste produziu os resultados esperados.

Testar adequadamente o PCN, incluindo o DRP, não é nada diferente do que implantar o PCN, requer capacitação e muito planejamento.   Para nos auxiliar nesta tarefa temos uma outra norma, complementar à ISO 22301, a ISO 22398:2013 – Societal Security – Guidelines for Exercises que nos fornece os passos necessários para implantar um bom programa de exercícios objetivando a melhoria contínua.   Nosso curso Planejamento, Execução e Avaliação de Exercícios é baseado nesta norma.

A STROHL Brasil está executando um projeto de PCN em uma grande seguradora multinacional onde uma das componentes de risco a serem avaliadas é a Cadeia de Fornecedores.   Parte da documentação solicitada aos fornecedores são as evidências do último teste de PCN realizado no escopo do serviço contratado pela seguradora aos fornecedores.   Evidências, e não é necessário explicar muito, podem ser: print screen de telas, relatórios, logs de acesso, extratos, comprovantes de transações etc. qualquer profissional com o mínimo de bom senso sabe o que está sendo solicitado.

Esta solicitação é bastante clara e assim como os seus entregáveis.   Pois bem, estamos há mais de um mês rodando em círculos e até o momento NENHUM fornecedor apresentou evidências minimamente satisfatórias.   Justificativas de todas as naturezas, desde a empresa estar certificada em alguma norma que não de continuidade de negócios (27001 por exemplo) ou outro escopo de certificação (o faturamento é que está certificado), a respostas quase infantis “asseguramos que numa situação de contingência empreenderemos os maiores esforços de forma a restabelecer os serviços o mais rapidamente possível”, ou seja, não se comprometeu com absolutamente nada.

Então você já sabe, Testar ou não testar o PCN não é uma opção, você precisa provar que tem PCN e que o PCN funciona satisfatoriamente, testando, testando e testando e, guardando as evidências.   Um dia elas serão necessárias.

E.T.: e de nada adianta testar repetidamente a mesma coisa.

#ficaadica