Plano de Continuidade de Negócio, PCN, deve ser elaborado e, principalmente, deve ser periodicamente testado. Sem realizar os testes, nenhum plano pode ser considerado capaz de garantir para a organização que, havendo necessidade de sua execução, ele funcionará de maneira adequada.
Normalmente, as organizações primam por escrever (e colocar numa bela estante) o Plano de Continuidade de Negócio, com os seus mais variados nomes. Mas realizar teste, avaliar teste realizado e aprimorar o plano em função de testes poucas organizações fazem.
Inicialmente, precisamos saber que realizar um teste é um projeto com requisitos, limitações, início, meio e fim. Aliás, ainda temos o pós-fim. Depois do teste, devemos ter uma série de ações para aprimoramento do plano.
Sendo assim, quando a organização decide (ou é cobrada por uma auditoria), para realizar o teste, é necessário elaborar o Documento Planejamento de Teste de PCN. Como deve ser esse documento? Descrevemos abaixo os elementos mínimos que devem ser explicitados no documento:
1. Objetivo do teste
Descreva o objetivo principal do teste. Tente identificar um objetivo principal que pode ser complementado com objetivos secundários. Esse conjunto de objetivos será o direcionador para a realização do teste e para a avaliação do mesmo. Isto é, após a realização do teste, poderemos identificar se o teste atendeu ou não atendeu aos objetivos propostos.
2. Avaliação do teste
Descreva como será feita a avaliação do teste. Indique quais os pontos-chave de avaliação. Esses pontos devem estar relacionados e coerentes com o objetivo. Também é importante identificar quem fará a avaliação. Caso exista um observador externo, registre esse fato neste item. Apesar de não ser um avaliador, esse observador deverá gerar considerações que devem fazer parte da avaliação do teste.
3. Forma de realização do teste
Descreva como o teste será realizado, quais etapas comporão o teste. É a visão do teste. Indique que ambientes o teste vai envolver.
4. Considerações sobre o teste
Descreva o porquê da realização do teste e outras informações importantes para o registro do teste. Indique se é um teste único ou faz parte de um conjunto de testes. Se existir um planejamento estruturado de testes, ele deve ser registrado neste ponto.
5. Escopo do teste
Descreva os elementos, os sistemas, os serviços ou outras informações que definam o que o teste está contemplando. Emocionalmente, somos levados a querer realizar um teste com o escopo bem amplo. Essa situação pode ser a nossa meta. Mas se você está realizando o primeiro ou os primeiros testes, seja profissional e defina um escopo adequado. Ao longo do tempo, vá aumentando este escopo.
a. Sistemas de Tecnologia da Informação
Descreva todos os sistemas que serão utilizados no teste.
b. Ambiente Considerado
Identifique os ambientes que são considerados para o teste:
– Ambiente de Tecnologia da Informação
– Ambiente Convencional (Físico)
6. Cenário do teste
Descreva o cenário considerado para o teste. Exemplo: indisponibilidade total do Ambiente Principal de TI com a ocorrência da indisponibilidade ocorrendo às 8h de um dia útil bancário. As pessoas estarão disponíveis. De forma semelhante ao escopo, nossa tendência inicial é definir um cenário complexo. Defina um cenário coerente com a maturidade em segurança da informação da organização.
7. Macroatividades do teste
Descreva o conjunto de macro atividades que serão executadas no teste e os seus respectivos responsáveis.
8. Atividades necessárias para o teste
Identifique atividades que precisam ser realizadas previamente para possibilitar a realização do teste. Por exemplo: se todos os usuários vão acessar o ambiente de casa, verificar se todos têm modem 3G/4G.
9. Cronograma completo das atividades do teste
Descreva um cronograma detalhado das atividades do teste e seus respectivos responsáveis. Neste ponto, indique um anexo ou outro documento que detalhe o que cada usuário vais testar.
10. Aprovação do teste
Elabore o Documento Aprovação do Teste que deve ser um resumo do Documento de Planejamento do Teste, e obtenha a aprovação pelo executivo do Corpo Diretivo da Organização, conforme descrito na Política de Continuidade de Negócio da organização.
Realizar um teste, continuar realizando teste e aprimorando o Plano de Continuidade de Negócio é uma atividade complexa. Não tecnicamente, mas porque envolve vários usuários, vários grupos técnicos, cronograma, agenda, pré-treinamento, comunicação e outras atividades afins. É necessário ter tudo isso organizado junto com a avaliação do teste. Esse conjunto será uma fotografia do teste … 001. Bem, terminou? Agora comece a preparar o teste 002.
A Área de Segurança da Informação é responsável pela gestão dessa atividade de Teste do Plano de Continuidade de Negócio.
Edison Fontes, CISM, CISA, CRISC
Coordenador do Comitê de Segurança da Informação da ABSEG.
Consultor Gestor de Segurança da Informação, Riscos, Continuidade e Combate a Fraude.
edison@pobox.com
www.nucleoconsult.com.br