Quando se fala em administrar a segurança da informação em uma empresa, a primeira coisa que vem à mente são os dispositivos para a proteção da rede de dados, sistemas contra códigos maliciosos, senhas seguras, controle de acesso, restrição do uso de dispositivos removíveis e uma série de políticas, procedimentos e tecnologias, a fim de garantir que as informações da empresa estejam a salvo e em condições normais de operação. No entanto, será que as empresas estão realmente preparadas para lidar com uma situação de contingência, garantindo condições aceitáveis de operação sem comprometer a segurança das informações?
Uma parte muito importante do Sistema de Gestão de Segurança da Informação deve ser o Plano de Continuidade de Negócios (BCP, Business Continuty Planning), que serve como complemento para as ações que uma empresa deve seguir com o intuito de recuperar e restaurar as atividades críticas do negócio em um prazo razoável e, de forma gradual, até voltar à normalidade; garantindo em todos os momentos a integridade, confidencialidade e disponibilidade das informações.
Diante de uma eventualidade que possa afetar o normal funcionamento das operações, o primeiro objetivo das empresas é restabelecer todos os serviços com o intuito de que o cliente não seja afetado. No entanto, diante do desejo de voltar rapidamente à ordem, muitas vezes, as organizações acabam se descuidando da segurança da informação, considerando que a execução de algumas ações pode tornar vulnerável toda a informação da empresa. Um exemplo disso ocorre quando a informação é restaurada sem qualquer garantia da integridade ou quando as medidas de contingência não funcionam como era esperado. Além disso, outras situações podem surgir, como links de comunicação de backup funcionando com menores condições de criptografia apenas com o intuito de permitir o tráfego de dados. Todas essas medidas podem afetar fortemente à empresa.
Por isso, quando falamos de um BCP, devemos ter em conta alguns aspectos durante a sua implementação. Em primeiro lugar, um BCP deve completar a segurança do recurso humano, contando com as condições necessárias para cumprir com a sua tarefa. Em seguida, a partir de uma análise de impacto, onde seja possível avaliar quais são as atividades e os recursos chave para garantir as funções mais críticas do negócio e planejar o restabelecimento de todas as atividades da empresa. Esse ponto é muito importante, considerando que para assegurar a segurança da informação nesse processo é fundamental saber exatamente qual tráfego será gerado a fim de garantir canais de comunicação com as adequadas medidas de segurança, definir quem são as pessoas que terão acesso à informação durante uma emergência e quais são os mecanismos para restabelecê-la.
Da mesma forma, não devemos esquecer que talvez o mais importante de um BCP seja o processo de testagem. De nada adianta ter os melhores servidores de backup se não funcionam no momento em que é necessário reestabelecer os serviços críticos; ou ter um canal de dados exclusivo se não é possível restabelecer as informações a tempo, ou pior ainda, manter os serviços do negócio funcionando mesmo que toda a informação da empresa esteja vulnerável.
A implementação desses planos requer um longo trabalho e pode ter um alto custo (inicialmente) para a empresa. O pensamento nesses casos não deve ser quando será necessário gastar, mas quanto a organização pode deixar de perder nos casos em que ocorrem contingências, afetando o funcionamento normal do negócio. Por isso, deixamos uma mensagem que pode ser bastante útil para refletir: Planeje-se para o pior, esperando sempre o melhor!