Está mais fácil planejar investimentos em Disaster Recovery

05/05/2011

Técnicas ajudam os gestores de TI a quantificarem melhor os riscos e avaliarem o impacto financeiro de uma interrupção.

Ed Ricks não teve de imaginar o pior cenário possível para convencer os executivos do Beaufort Memorial Hospital, na Carolina do Sul, sobre a necessidade de gastar mais com a continuidade dos negócios, ou Business Continuity, e em sistemas de Disaster Recovery (DR).

No seu primeiro dia como CIO do hospital, uma trovoada afetou o fornecimento de energia ao mesmo. O edifício passou imediatamente a estar ligado a um gerador, mas o sistema de reserva não abrangia o ar condicionado ou sequer as comunicações. "O nosso centro de dados aqueceu muito e tivemos de começar a desligar servidores", recorda Ricks. O hospital também perdeu as ligações de comunicação para outras instalações.

Do ponto de vista do CIO, "era quase bom demais para ser verdade", admite. "A situação não era mesmo tão ruim quanto podia ser, mas demonstrou o que poderia acontecer. Era óbvia a necessidade de fazer alguma coisa para garantir a operacionalidade", explica.

A conformidade deve ser um subproduto. Desde os ataques terroristas do 11 de setembro de 2001, vários organismos governamentais no mundo, além de grupos empresariais, emitiram pelo menos 22 regulamentos ou conjuntos de normas para a indústria. O objetivo era regular os planos de continuidade dos negócios e DR, de acordo com um relatório da Forrester Research. Embora muitos dos programas tenham sido voluntários, não deixaram de levar algumas empresas a financiarem projetos adicionais de continuidade dos negócios complementares e de DR.

Mas as empresas que fazem investimentos apenas para cumprir uma norma ou regulamentação da indústria estão fora de contexto, dizem os especialistas. "Infelizmente, querem apenas colocar uma cruz no quadrado" e gastar o mínimo possível na continuidade do negócio, apenas para estarem conformes, diz Rachel Dines, analista da Forrester. Por outro lado, os regulamentos, "pelo menos, colocam as pessoas pensando sobre o assunto".

Idealmente, a conformidade é apenas um produto suplementar de uma sólida estratégia de continuidade dos negócios ou plano de DR.

"Sempre tive a impressão de que tomando as decisões de negócios certas, acabar-se ia por estar conforme aos regulamentos", considera Ed Ricks, do Beaufort Memorial Hospital. "É uma atitude inteligente para nós, proteger os nossos dados e saber que temos um bom plano de DR, independentemente da legislação obrigar a isso ou não".

Hoje, o hospital tem um local de DR com backup em tempo real de dados. Ricks tenciona expandir as capacidades das instalações e adicionar servidores virtuais até ao final deste ano. Deverá custar um milhão de dólares (cerce de 750 mil euros).

Para a maioria dos gestores de TI, no entanto, é preciso mais do que um ato natural e oportuno para convencer os executivos a investirem mais na continuidade dos negócios e de DR. É preciso uma história envolvente e cheia de números concretos para os executivos poderem avaliar.

No passado, era difícil fazer um plano de negócios para sistemas de DR, por estes serem vistos como apólices de seguro caras para precaver ocorrências pouco prováveis. Mas o relatório da Forrester Research diz que esta situação está mudando, porque os gestores de TI estão conseguindo quantificar melhor os riscos e avaliar o impacto financeiro de uma interrupção. "É mais uma arte do que uma ciência", diz a analista da Forrester, Rachel Dines. "A maioria dos executivos não percebe o quanto custa. Estamos falando de milhões. E tudo depende da argumentação”.

Como afirma o documento da Forrester, "é muito mais provável que um CIO ou outro executivo aprove uma atualização para DR se conseguir explicar que nos próximos cinco anos é de 20% a probabilidade de ocorrer uma grave tempestade de Inverno, capaz de interromper o fornecimento de energia ao centro de dados e causar prejuízos em receitas perdidas e na produtividade dos funcionários".

Como é que os gestores de TI poderão apurar valores muito difíceis de quantificar para justificar o investimento em DR?

Dines sugere que primeiro se calcule o custo do risco anual e se faça uma lista de cada risco na área geográfica da empresa. Depois, será útil determinar o número provável de horas de inatividade, resultantes de potenciais interrupções, devidas ao risco. Numa coluna, é interessante registrar em porcentagem, o nível de probabilidade do evento acontecer no período de um ano. Por último, será necessário multiplicar tudo isso pelo custo por hora de inatividade para se obter o custo anual inerente aos riscos.

"Pode ser uma maneira prática de canalizar investimentos em tecnologia capazes de eliminarem esse risco - como o investimento em procedimentos de acesso remoto para uma tempestade de inverno", diz Dines.

Calcular o custo por hora do tempo de indisponibilidade. Descobrir o custo da inatividade pode ser assustador, pois as interrupções têm custos tangíveis e intangíveis. Comece por calcular os números mais óbvios, como as perdas de receitas ou as perdas de produtividade para os trabalhadores temporariamente incapazes de trabalhar. Esses são geralmente os maiores custos de inatividade. Explore também as sanções nas quais a empresa pode incorrer se não for capaz de cumprir com os regulamentos, por ter os sistemas em baixo.

Outras consequências - como a perda de clientes, a insatisfação dos clientes ou o impacto na reputação da empresa e no moral dos funcionários - são mais difíceis de quantificar. Pode-se tentar calculá-los, olhando para o impacto de eventos semelhantes anteriores em organizações conhecidas.

Na Universidade de Troy, no estado propenso a furacões do Alabama, Greg Price tem um objetivo simples: "nós não queremos os nossos serviços fora do ar nem por um segundo". Com 30 mil alunos espalhados por 17 fusos horários em torno do globo, a universidade não pode tolerar tempos de inatividade. Por isso, Price, CSO e CTO da universidade, reuniu cuidadosamente os dados para reforçar a sua argumentação de que a instituição precisava de um novo centro de dados remoto para substituir uma instalação desatualizada.

A partir de dados coletados nos últimos 15 anos traçou a probabilidade de certos eventos, classificados como leves, graves ou significativos, afetarem o campus da Troy. "Podemos avaliar rapidamente o potencial de falhas face a essas métricas", diz Price.

Os gestores de TI têm sido bem sucedidos na obtenção de recursos financeiros para a recuperação de desastre, quando as unidades de negócios e pessoal de gestão de risco ajudam a explicar, em termos de negócio, a necessidade do investimento.

Pesquisa realizada com 345 assinantes do Disaster Recovery Journal mostrou que cerca de 65% das equipes responsáveis pelos projetos de recuperação de desastre trabalham com as equipes de gestão das suas unidades de negócio para determinar o impacto do risco.

Outras dicas para convencer os executivos não ligados às TI

• Não diga "desastre". Dines evita usar a palavra “desastre” ao falar sobre a continuidade de negócios. É mais do que reagir aos tempos de inatividade, diz. Pelo contrário, o DR e a continuidade dos negócios envolvem "ser ativo para procurar manter as comunicações e a disponibilidade", explica. Os riscos mais comuns são os mundanos: falhas de energia, de hardware, de software, de rede e erros humanos. É mais fácil calcular a probabilidade de um desses incidentes do que prever um desastre natural.

• Explicar como se deve estar preparado é uma vantagem competitiva. Refira-se ao DR ou a despesas de continuidade de negócios como necessidades. Assinale que os concorrentes da empresa podem obter ganhos significativos, se os sistemas da organização estiverem fora do ar por alguns dias, sugere Dines. Quando definir o valor comercial de um projeto, pense na recuperação de desastres como mais do que uma necessidade básica.

O CIO Gary Kern passou três anos desenvolvendo a sua versão para o sistema ideal de recuperação de desastres no Mutual Bank. Os 500 mil dólares que eventualmente recebeu – para comprar uma Storage Área Network (SAN) com sistema de backup num centro de dados remoto – chegaram em pequenos incrementos. Kern e sua equipa iam explicando aos executivos da comissão técnica os benefícios de cada elemento e porque cada um custava tanto.

"Normalmente, a justificação seria mais do que apenas a capacidade de recuperação", diz Kern. "Nós também falamos da gestão do armazenamento e definimos todas as peças e partes com utilidade, além da simples recuperação"

Depois de seis anos no Mutual Bank, Kern aprendeu a adaptar o seu discurso a cada executivo: "é uma questão de descobrir quais são os botões certos para cada executivo. Obtenha alguma coisa para todos. Depois mantenha o discurso curto e perceptível para uma pessoa pouco conhecedora de tecnologia entender. Eles precisam de perceber o valor de negócio inerente a cada tecnologia".

Kern também sugere a consulta a uma entidade independente, como um auditor, para ajudar a justificar a iniciativa. "Se a questão aparecer nos relatórios de terceiros, os argumentos do departamento interno de TI ganham força", diz.

Na Universidade de Troy, Price mostrou como a facilidade de backup remoto pode ser usada diariamente, não apenas durante uma interrupção. "Dia a dia, usamo-lo como o nosso sistema de teste e como ambiente de experimentação para o desenvolvimento de novos serviços", diz ele.

• Aproveite bem os momentos de crise. Idealmente, as empresas tomam decisões de investimento baseadas em elementos racionais, avaliações de risco objetivas. Mas os profissionais de segurança e risco sabem que nem sempre funciona assim. O interesse dos altos executivos na recuperação de desastres e continuidade de negócios pode flutuar muito rapidamente, dependendo da última manchete sobre uma crise, de acordo com Jeff Weber, diretor-geral da Protiviti, empresa de consultoria de risco sedeada em Menlo Park, na Califórnia.

Consequentemente, os gestores de TI podem precisar explorar as mais recentes catástrofes, as pandemias e falhas de segurança para obter a atenção dos executivos seniores, diz o relatório da Forrester.

Lembre-se: "foi uma tempestade que ajudou a justificar um investimento de um milhão de dólares em melhorias de recuperação de desastres no Beaufort Memorial Hospital”.

Site: CIO
Data: 04/05/2011
Hora: 07h15
Seção: Gestão
Autor: ------
Link: http://cio.uol.com.br/gestao/2011/05/04/esta-mais-facil-planejar-investimentos-em-disaster-recovery/