Não se sinta mal, nem tudo é ruim no gerenciamento de continuidade.

Sejamos realistas: toda vez que falamos em gestão de continuidade, sempre pensamos no ruim, em desastres, em interrupções graves de serviços, em interrupções generalizadas que causam grande indisponibilidade. Se você é um dos que pensam assim, deixe-me oferecer uma visão muito diferente (e mais positiva) do gerenciamento da continuidade...

É verdade que uma parte muito importante do ITSCM é a elaboração de planos de continuidade, planos de contingência, planos de recuperação ou como você preferir chamá-los. Os DRPs (eu os chamo assim) são um dos resultados "chamativos" dos processos, mas também são a parte mais triste, pois são o lado negativo, o que fazer quando as coisas dão errado.

O problema é que o ITSCM não é responsável apenas pelo que fazer quando as coisas dão errado, mas também tem uma parte proativa e preventiva (muito negligenciada), que é responsável por analisar os riscos e as ameaças aos nossos serviços e tomar medidas (com a ajuda de outros processos) para que a temida indisponibilidade não ocorra. Essas tarefas preventivas, que ajudam a melhorar a disponibilidade dos serviços, também são de responsabilidade do processo de gerenciamento de continuidade.

Antes de mergulhar de cabeça no desenvolvimento de planos de recuperação, a análise de impacto nos negócios (BIA) de uma interrupção de serviço deve ser analisada detalhadamente e, com base nessa avaliação, deve-se determinar se o gerenciamento preventivo de riscos é necessário:

• Determinar quais riscos podem afetar cada serviço
• Para cada risco, determine o impacto real em cada serviço (nem todos os riscos terão o mesmo impacto em todos os serviços).
• Descobrir quais ameaças podem fazer com que o risco em questão se materialize
• Para cada ameaça, analise qual é a probabilidade real de que a ameaça se concretize (e de que o risco que afetará o serviço se concretize).

Toda essa "prevenção" também é responsabilidade do gerenciamento da continuidade do serviço, que cuida do "antes" (que o serviço não caia) para evitar o "depois" (o serviço já está fora do ar).

Além disso, todas essas atividades preventivas estão intimamente relacionadas a outros processos, pois se pensarmos bem...

• ... estamos realizando tarefas de melhoria contínua (CSI)
• ... estamos detectando dificuldades latentes na infraestrutura (Gerenciamento proativo de problemas? Detecção de erros conhecidos?).
• ... estamos implementando ações de mitigação para reduzir o impacto dos riscos e/ou a probabilidade de ameaças (Change Management?)

Sempre se dá o exemplo de que o Gerenciamento de Continuidade é como uma apólice de seguro que é contratada caso as coisas deem errado ou fiquemos doentes, mas acho que essa é uma comparação errada (ou pelo menos incompleta), pois é realmente uma apólice de seguro médico que nos ajuda a não ficarmos doentes fazendo check-ups preventivos e que, mesmo assim, se finalmente ficarmos doentes, nos ajuda a ficar bem (mas não vamos pensar apenas nessa segunda parte da apólice, a primeira parte é realmente muito mais importante).

Espero que você goste

Jandro Castro