“São raras as empresas preparadas para enfrentar uma situação de catástrofe”

O investimento em planos de Business Continuity, e consequentemente as soluções de recuperação e redundância definidas, devem estar alinhados com o Cost of Downtime, defende a analista da Profit/Gartner Group.

Segundo um estudo realizado pela Gartner em finais de 2002,  o negócio de Disastar Recovery/Business Continuity representa em média entre 4% a 5% do orçamento anual das empresas para as TI.


 


Em Portugal, o peso do DR/BC é superior, cerca do dobro.


 


Em entrevista ao Computerworld, Ana Sérgio, analista e consultora da Profit/ Gartner, traça-nos a situação deste domínio em Portugal.


 


Computerworld


Comecemos pelos conceitos. Qual é a definição de Business Continuity?


 


Ana Sérgio


A Gartner define um plano de Business Continuity (BC) como sendo o conjunto de meios logísticos, técnicos, humanos e processuais implementados para garantir a continuidade da actividade da empresa.


 


Deste ponto de vista, um plano de BC cobre desde o Disaster Recovery (DR) até ao simples Plano de Contingência, passando pela redundância de sistemas e procedimentos manuais alternativos.


 


Por exemplo, um plano de BC deve permitir fazer face a uma catástrofe de grande escala, à avaria de um servidor ou  mesmo à falha de abastecimento por parte de um fornecedor.


 


Importa notar, porque há alguma confusão, que Business Continuity não é equivalente a Disaster Recovery.


 


Computerworld


Deste ponto de vista e na sua opinião, em que circunstâncias estamos perante um DR e/ou de BC?


 


Ana Sérgio


O Disaster Recovery aplica-se quando estamos perante um “desastre” que inviabiliza a utilização de toda uma infra-estrutura como, por exemplo, um incêndio.


 


Ou seja, activar um plano de DR é uma decisão que poucos querem tomar, pois para além dos custos associados nomeadamente à activação do site de recuperação e à deslocação das pessoas, há que somar os custos inerentes à reposição no site de origem.


 


E a reposição no site de origem é uma operação tão ou mais complexa que a activação do DR. No entanto, até agora, não encontrámos em Portugal uma instituição que tivesse um plano de reposição testado ou mesmo definido.


 


Enquanto o plano de DR está orientado para desastre com forte impacto, mas pouca probabilidade de acontecer, as restantes componentes do plano BC estão concebidas para ultrapassar/diminuir o impacto dos problemas do dia a dia, como por exemplo a instalação de UPS para fazer face às falhas momentâneas de energia eléctrica ou a redundância de equipamentos críticos, para prevenir a quebra de serviço em caso de avaria.


 


Em consequência, um plano de BC não se limita à tecnologia: os processos manuais são soluções válidas e económicas.


 


Os próprios processos críticos de negócio deveriam dispor de procedimentos alternativos que garantam a operacionalidade mínima ou pelo menos definam normas de comunicação com o exterior (Cliente ou Parceiros).


 


Aliás, a preparação da passagem para o Ano 2000 obrigou a maioria das empresas a construir autênticos planos de BC, foram elaborados manuais de procedimentos com o que fazer e dizer em caso de paragem do sistema informático. Infelizmente, muito desse trabalho encontra-se actualmente desactualizado ou mesmo perdido.


 


Computerworld


Sendo assim, em que circunstâncias as empresas devem um plano de BC?


 


Ana Sérgio


Quando o negócio o requer. Esta pode parecer uma resposta “à La Palice”, mas pelo que temos visto ainda não é obvio para todos que BC é um problema de negócio e não técnico.


 


A fase de Business Impact Analysis (BIA), 100% negócio, é fundamental na definição de um BC.


 


O BIA tem como objectivo identificar os riscos e sobretudo os custos associados à paragem dos serviços, o que a Gartner define como Cost of Downtime.


 


O cálculo do Cost of Downtime obriga a avaliar o impacto em termos de perdas potenciais de negócio, de produtividade e de resultados financeiros, assim como a valorizar a degradação em termos de imagem da empresa.


 


O investimento em BC, e consequentemente as soluções de recuperação e redundância definidas, devem estar alinhados com o Cost of Downtime.


 


Computerworld


No caso dos utilizadores nacionais, qual é a fórmula mais adequada e recomendável?


 


Ana Sérgio


Não há fórmula mágica para BC, há que conhecer as necessidades do negócio e implementar os meios de continuidade e de recuperação adequados.


 


O problema é que raras são as empresas nacionais que dispõem de informação/meios que lhe permitam calcular com alguma precisão o valor dos seus serviços/produtos e muito menos os prejuízos associados à perda dos mesmos.


 


Como tal, há que: orçamentar um BC de acordo com o negócio que vai suportar; definir os seus requisitos de negócio em termos de recuperação de serviços e informação (RTO – Recovery Time Objective e RPO-Recovery Position Objective); e, finalmente, desenhar e implementar a solução.


 


Computerworld


No âmbito do seu trabalho, qual é a percepção sobre o entendimento que os CEO/CFO e/ou CIO têm do BC?


 


Ana Sérgio


Actualmente, os CIO assumiram a responsabilidade do BC, o que, na minha opinião, está incorrecto, pois um plano de BC eficiente e eficaz requer muito mais do que tecnologia, requer conhecimento do negócio.


 


Os responsáveis pelas Unidades de Negócio deveriam ser os primeiros interessados em BC. Ficarei muito mais satisfeita quando um dia for contactada por um responsável de um Departamento de Crédito para definir o plano de BC para a sua área.


 


Não me parece que haja um entendimento cabal do que um plano de BC significa, mas os custos de um DR não permitem leviandades: o outsourcing é a solução natural para a maior parte das organizações.


 


Computerworld


Da sua experiência, como avalia a evolução do mercado de BC em Portugal desde o 11 de Setembro de 2001?


 


Ana Sérgio


Logo a seguir ao 11 de Setembro, houve uma corrida às soluções de DRP.


 


Depois, perante a complexidade e elevados custos de implementação e, sobretudo, de manutenção deste tipo de soluções, as empresas foram perdendo o entusiasmo (ou o medo).


 


Portugal está alinhado com as tendências internacionais, pois um estudo da Gartner realizado em Janeiro de 2003 mostra que as duas principais razões que levam as empresas a não investir em BC são a complexidade (25%) e os custos (29%).


 


Ao contrário do que provavelmente é mais comum pensar-se, os investimentos em BC não aumentaram depois do 11 de Setembro, estagnaram e até diminuíram.


 


As análises realizadas pela Gartner revelam que as empresas optaram por consolidar as suas soluções de DR.


 


Computerworld


Como pensa que vai evoluir o mercado de BC em Portugal?


 


Ana Sérgio


No contexto económico actual, em que as empresas estão focadas na redução de custos, o BC não é de todo uma prioridade.


 


As condições específicas do momento não são de molde a olharem-se estes investimentos como prioritários ou sequer essenciais.


 


Nestas condições, é muito complicado prever a evolução deste mercado. No entanto, há que salientar que o mercado português de BC tem como clientes o sector financeiro e o resto da indústria.


 


As instituições financeiras já dispõem de soluções de recuperação e vão continuar a melhorar e expandir o DR, empurradas pelo Acordo de Basileia, que obriga à existência de meios de recuperação, para redução do Risco Operacional.


 


Para as empresas dos restantes sectores, o plano DR é tratado como o seguro de incêndio da nossa casa: temos ou não temos, e na maioria das vezes, quando temos, não cobre o valor real do objecto seguro.


 


Quando vamos ao terreno apercebemo-nos que há muita coisa para fazer, mas neste momento não há disponibilidade para este tipo de investimentos.


 


Computerworld


No caso de um “apagão” semelhante ao registado nos EUA/Canadá ou de um sismo em Lisboa, qual seria o impacto?


 


Ana Sérgio


Caso acontecesse um “apagão” na zona de Lisboa como o dos EUA, acredito que muitas empresas ficariam simplesmente à espera que a energia eléctrica voltasse, já que a maioria dos planos de DR têm tempos de recuperação de serviços superiores a 24h, o que invalidaria qualquer tentativa de accioná-los.


 


Uma catástrofe de grande escala, como um sismo, causaria provavelmente o caos, pois raras são as empresas preparadas para fazer face a este tipo de calamidades.


 


Computerworld


Como caracterizaria a situação da adopção de BC em Portugal face à Europa?


 


Ana Sérgio


Portugal está claramente atrás da Grécia, por exemplo, pois neste país DRP é lei principalmente para os bancos e outras empresas do sector financeiro.


 


Justifica-se pelo facto da Grécia estar numa zona sísmica activa, o perigo é constante. O Reino Unido criou, este ano, uma comissão no sentido de definir uma legislação nesta área também para os serviços financeiros (Financial Secretary to the Treasury by command of Her Magesty), o resultados estão previstos para início de 2004.


 


Portugal está no pelotão da Europa nesta área , provavelmente mais na parte detrás do pelotão.


 


Computerworld


Existem algum tipo de entrave ao desenvolvimento do mercado de BC em Portugal?


 


Ana Sérgio


Temos um mercado pequeno e como tal os fornecedores de soluções de DR não conseguem grandes economias de escala. Ao adquirir um equipamento já sabem à partida que devem ser amortizado por meia dúzia de clientes.


 


Os custos das comunicações em Portugal também são elevados (em particular quando comparados com EUA), o que inviabiliza backup electrónicos com grandes volumes de dados.


 


Os planos de DRP em Portugal são ainda “rústicos” quando comparado com os modelos americanos.


 


Computerworld


Tem recomendações a fazer às organizações nacionais?


 


Ana Sérgio


Sim. Em primeiro lugar, devo reforçar a ideia de que é o negócio que deve liderar as iniciativas de BC. Relativamente aos planos de BC, a minha recomendação é simples: quando mais cedo melhor.


 


Os requisitos de continuidade e recuperação de serviços devem aparecer logo na fase de concepção dos sistemas, ao mesmo nível que os requisitos de negócio.


 


Desta forma, será possível desenhar uma arquitectura técnica adequada, o que permitirá evitar a posteriori implementações de DR complexas, com custos elevados, manutenção pesada e que não satisfazem os requisitos de negócio.


 




Deixe um comentário

O seu email não será publicado