Não faz muito tempo, ter um computador era um luxo. O alto custo de aquisição, a reserva de mercado e o próprio sistema operacional criavam obstáculos que impediam o desenvolvimento da competitividade de empresas brasileiras no mercado internacional, ao contrário de suas concorrentes estrangeiras.
Com o advento do Windows, com a queda da reserva de mercado e com a redução de custos de aquisição, qualquer empresa -por menor que seja- só funciona atualmente se possuir um microcomputador. Pelo menos, para emissão de cupons fiscais. Esse diferencial que agregou velocidade, escalabilidade e, principalmente, economia de recursos, gerou uma característica inesperada: a dependência.
Hoje em dia, raríssimas empresas possuem máquinas de escrever manuais. Pouquíssimas mantêm um arquivo em papel. Quase nenhuma deixa de acessar seu extrato bancário pelo computador. E isso, independente do tamanho da companhia. É claro que, quanto maior a empresa ou a sofisticação de seus produtos ou serviços, mais dependente de TI ela deverá ser, demonstrando o meio de sua manutenção no mercado.
Entretanto, para o gestor de TI, surge uma equação de difícil solução: como definir os investimentos para o setor frente à necessidade de prestar suporte aos processos de negócio da sua empresa? Investir na melhoria de desempenho ou em proteção dos atuais recursos? Um back-up site é proteção suficiente para impedir eventuais paradas dos componentes de TI?
A resposta à estas perguntas é extremamente pessoal face às características de cada empresa. Cada processo possui um tempo de resposta próprio e cada segmento de mercado possui uma determinada velocidade de realização do seu ciclo de negócio, inviabilizando um padrão único de avaliação. Por exemplo, qual a velocidade do negócio de uma empresa de call center? E de uma indústria? E se esta indústria for de algum equipamento de tecnologia ou comunicação, o seu ciclo será maior ou menor?
Na verdade, este artigo se propõe a criar muito mais questionamentos do que oferecer respostas, haja vista a nossa própria cultura de só levar em conta a segurança quando se trata de retirar nosso automóvel da agência. O próprio seguro de vida ou de capitalização, só se torna um assunto levado a serio depois de nosso primeiro filho... De qualquer forma, são custos que não são "visíveis", ao contrário da aquisição de um novo servidor ou de um aplicativo mais dinâmico. São custos que só se fazem perceber em situações de ameaça de parada, justificando seus gastos pela redução do tempo de parada da empresa ou pela manutenção dos negócios da empresa, frente a eventos.
O real valor do investimento em segurança de dados e sistemas é uma questão que nunca será respondida, a não ser em situações de exceção como quando o nosso servidor trava, quando nosso link é interrompido ou quando nossa rede é invadida por vírus. É correto imaginar que estas situações não são regras. Mas quando prevemos o custo de recuperação (direto e indireto) para os processos que dependem de TI, começamos a nos preocupar. Pior, começamos a pensar se devemos "gerenciar" o risco de sofrer estes tipos de eventos ou se devemos realmente gastar um percentual de nossos limitados recursos, não para sua prevenção (que é nossa obrigação, como gestores do setor), mas para a mitigação de suas consequências, quando ocorrerem.
Em empresas multinacionais ou instituições financeiras, esta é uma realidade diária. No primeiro caso, por imposição cultural de países que sofrem ou sofreram de ameaças naturais e humanas que historicamente justificam o investimento em Planos de Contingência e de Continuidade de Negócios. No segundo, devido a fortes imposições normativas que regulam o seu funcionamento.
A maioria dos profissionais de TI acaba escolhendo o investimento em back-up sites como forma de proteger suas atividades, esquecendo que o negócio (ou aplicativos) não são diretamente relacionados aos processos deles dependentes. Na verdade, as atividades de qualquer empresa dependem muito mais do fluxo de atividades que dependem de TI, do que dos próprios dados nele contidos. Em última instância, para efeito de simplificação, qualquer novo negócio fechado pode ser finalizado independente de outros já em andamento. É uma questão de normatização.
Por outro lado, a criação de Planos de Contingência Operacional e de Continuidade de Negócios sem uma validação externa poderá levantar o questionamento a respeito de sua validade frente à situações de crise reais. Como exemplo, posso citar uma multinacional da indústria de alimentos que atendeu à exigência de sua matriz para a realização de Planos para o Ano 2000, só que através de um grupo de estagiários. Até onde eu saiba, estes planos nunca foram testados ou validados externamente.
No caso de ocorrer um evento real, quem pagará a conta no caso de falha? Os estagiários que atenderam à ordens superiores ou os gestores ligados aos processos afetados?
Agora mesmo, no Brasil, surge uma imposição do Banco Central para realizar um controle mais eficaz da posição dos fluxos financeiros dos bancos através do SPB (Sistema de Pagamento Brasileiro). Através deste sistema, os recursos necessários para realização de operações interbancárias passarão a ser transferidos online, impedindo que as instituições encerrem suas atividades diárias em posições negativas. O tempo máximo que o Bacen exige para recuperação, caso os bancos sofram qualquer tipo de interrupção no processo, é de 30 minutos. Após esse período, a operação é extinta.
Como o custo de operação é elevado, as instituições estão atualmente investindo em meios de proteger as operações, por força normativa. Mas limitações existem, de várias origens e formas.
Neste caso específico, não é apenas um back-up site que vai garantir a continuidade das operações dos bancos. É imprescindível que seus processos sejam mapeados e planificados para que, caso se concretize qualquer ameaça ao processo, possa responder dentro do limite de tempo exigido. Assim ocorre com outras situações de negócio, como o call center, que não pode deixar de atender ao cliente frente à ameaça de perda da venda ou do próprio cliente, insatisfeito com a ausência de atendimento.
A gerência de TI, nos dias de hoje, está muito mais voltada para resultados mensuráveis de seu desempenho do que a simples gestão de hardware ou software. A área de informática da maioria das grandes empresas é vista como um setor de negócios, cuja principal missão é a de oferecer suporte ao principal processo de negócio da empresa, seja ela do segmento que for. Se não pensarmos desta forma, estaremos fadados à inércia de uma fase que já passou, quando a informática era vista como um luxo ou uma necessidade de poucos abastados.
Fernando Marinho (fmarin@osite.com.br) é Economista, Pós-Graduando em Segurança de Dados e de Informações. Exerce as atividades de Consultor de Empresas e Assessor em Segurança e Continuidade de Negócios.
