Plano de contingência

Este artigo carece de reciclagem de acordo com o livro de estilo. Sinta-se livre para editá-lo(a) para que este(a) possa atingir um nível de qualidade superior. (Setembro de 2021)

Esta página cita fontes, mas que não cobrem todo o conteúdo. Ajude a inserir referências. Conteúdo não verificável pode ser removido.—Encontre fontes: ABW  • CAPES  • Google (N • L • A) (Setembro de 2021)

Um plano de contingência, também chamado de planejamento de riscos, plano de continuidade de negócios ou plano de recuperação de desastres, tem o objetivo de descrever as medidas a serem tomadas por uma empresa, incluindo a ativação de processos manuais, para fazer com que seus processos vitais voltem a funcionar plenamente, ou num estado minimamente aceitável, o mais rápido possível, evitando assim uma paralisação prolongada que possa gerar maiores prejuízos a corporação, como:

• a fuga de acionistas,
• grandes perdas de receita;
• sanções governamentais;
• problemas jurídicos para os dirigentes;
• abordagens maliciosas da imprensa;
• fuga de funcionários para os concorrentes e
• em casos extremos, o fechamento da empresa.

Dada a grande importância deste processo seu custo deve estar incluído no escopo de novos projetos.

O Plano de Contingência é um documento onde estão definidas as responsabilidades estabelecidas em uma organização, para atender a uma emergência e também contêm informações detalhadas sobre as características da área ou sistemas envolvidos. É um documento desenvolvido com o intuito de treinar, organizar, orientar, facilitar, agilizar e uniformizar as ações necessárias às respostas de controle e combate às ocorrências anormais.^[1]

Causas Comuns[editar | editar código-fonte]

Os incidentes mais comuns que causam a contingência na área de sistemas são vírus, enchentes, incêndios, rebeliões, greves, terremotos, tsunamis, furacões, falta de energia, ataques de hackers internos (funcionários ou consultores mal intencionados) ou externos, vírus de computador, vazamento químico, sabotagem, atentados terroristas, acidentes e erros humanos.

Os planos de contingência devem se concentrar nos incidentes de maior probabilidade e não nos catastróficos que, normalmente, são menos prováveis de acontecer. Paralelamente, determinados tipos de falhas com alta probabilidade de ocorrência podem, pelo tipo e duração de seus efeitos, não justificar qualquer medida de contingência.

Exemplos de alguns grandes incidentes que afetaram empresas:

• São Paulo - incêndio no Edifício Joelma - 1 de fevereiro de 1974
• Internet – vírus de computador Melissa – 26 de março de 1999
• Brasil – corte de energia elétrica (apagão) – 2001 e 2002
• Mundo – vírus de computador ILOVEYOU – 3 de maio de 2000
• New York e Washington - ataques terroristas - 11 de setembro de 2001
• Argentina – rebelião (panelaço) – 19 e 20 de dezembro de 2001
• Madrid – ataques terroristas – 11 de março de 2004
• Cuba, Ilhas Cayman e Jamaica – furacão Ivan – 3 de setembro de 2004
• Indonésia, Sri Lanka, Índia e Tailândia – tsunami – 26 de dezembro de 2004
• Fukuoka – terremoto – 20 de março de 2005
• Londres - ataque terrorista - 7 de julho de 2005
• Louisiana e Mississippi – furacão Katrina – 29 de agosto de 2005
• Paquistão, Índia e Afeganistão – terremoto – 8 de outubro de 2005
• Peru, Cidade de Pisco - terremoto – 15 de agosto de 2007
• Chile - terremoto e maremoto – 27 de fevereiro de 2010
• Brasil, Cidade de Nova Friburgo - deslizamento de terra e enchentes - 11 de janeiro de 2011
• Japão - terremoto e maremoto – 11 de março de 2011
• Jamaica, Cuba, Bahamas, Haiti, República Dominicana, New York e New Jersey - Furacão Sandy (2012) - 28 de outubro de 2012

Confecção de um Plano de Contingência[editar | editar código-fonte]

O plano de contingência deve ser desenvolvido envolvendo todas as áreas sujeitas a catástrofes, tanto as de sistema de informática quanto as de negócio e não deve ser de exclusiva responsabilidade da área de Tecnologia da Informação da organização. Seus itens deverão estar todos documentados e a atualização desta documentação deve ser feita sempre que necessário. Testes periódicos no plano também são necessários para verificar se o processo continua válido. O detalhamento das medidas deve ser apenas o necessário para sua rápida execução, sem excesso de informações que podem ser prejudiciais numa situação crítica.

Os procedimentos mais simples de contingência são: manter backup regular das bases de dados, manter um 'site de contingência' sempre atualizado, possuir ferramentas seguras para acesso aos dados remotamente para o caso da impossibilidade chegar até o prédio da empresa (VPN ou acesso discado, por exemplo), ter cópias completas e atualizadas de servidores vitais para o funcionamento da empresa (principalmente os que requerem muito tempo para reconstituição), manter senhas em local seguro mas de fácil acesso a pessoas chaves da empresa no caso de uma emergência.

Um plano de contingência mais elaborado normalmente tem um custo elevado, pois envolve alocação de pessoas, sites alternativos, hardware redundante subutilizado, etc. Normalmente o site alternativo possui recursos menores do que o site de produção, visando reduzir custos e atendendo apenas o suficiente para manter os serviços vitais da empresa. A partir de uma análise é possível relevar o que é realmente importante para a empresa, comparando os custos para se criar a contingência de um determinado item e o eventual prejuízo gerado pela falta da contingência deste mesmo item.

Para se criar um plano de contingência mais eficaz, normalmente as grandes empresas utilizam as regras abaixo descritas, com algumas variações mínimas:

• Identificar todos os processos de negócio da organização;

• Avaliar os impactos no negócio, ou seja, para cada processo identificado, avaliar o impacto que a sua falha representa para a organização, levando em consideração também as interdependências entre processos. Como resultado deste trabalho será possível identificar todos os processos críticos para a sobrevivência da organização;

• Identificar riscos e definir cenários possíveis de falha para cada um dos processos críticos, levando em conta a probabilidade de ocorrência de cada falha, provável duração dos efeitos, consequências resultantes, custos inerentes e os limites máximos aceitáveis de permanência da falha sem a ativação da respectiva medida de contingência;

• Identificar medidas para cada falha, ou seja, listar as medidas a serem postas em prática caso a falha aconteça, incluindo até mesmo o contato com a imprensa;

• Definir ações necessárias para operacionalização das medidas cuja implantação dependa da aquisição de recursos físicos e/ou humanos (por exemplo, aquisição de gerador e combustível para um sistema de contingência de energia elétrica);

• Estimar custos de cada medida, comparando-os aos custos incorridos no caso da contingência não existir;

• Definir forma de monitoramento após a falha;

• Definir critérios de ativação do plano, como tempo máximo aceitável de permanência da falha;

• Identificar o responsável pela ativação do plano, normalmente situado em um alto nível hierárquico da companhia;

• Identificar os responsáveis em colocar em prática as medidas de contingência definidas, tendo cada elemento responsabilidades formalmente definidas e nominalmente atribuídas. Deve também existir um substituto nominalmente definido para cada elemento. Todos devem estar familiarizados com o plano visando evitar hesitações ou perdas de tempo que possam causar maiores problemas em situação de crise. A equipe responsável deverá ter a possibilidade de decidir perante situações imprevistas ou inesperadas, devendo estar previamente definido o limite desta possibilidade de decisão;

• Definir a forma de reposição do negócio aos moldes habituais, ou seja, quando e como sair do estado de contingência e retornar ao seu estado normal de operação, assim como quem são os responsáveis por estas ações e como este processo será monitorado

  Referências

• Portal de economia e negócios