O plano de contingência deve fazer parte da política de segurança dentro de uma organização, dando complemento ao seu planejamento estratégico. Neste plano devem ser especificados procedimentos previamente estabelecidos e voltados nas tarefas de recuperação do ambiente negocial e dos sistemas, a fim de reduzir o impacto causado por incidentes que não podem ser evitados pelas medidas de segurança que estão em vigor.
As organizações são dependentes de suas tecnologias; com isso, vários imprevistos podem (e devem!) acontecer, tais como paralisações do sistema, perda de dados, fraudes e desastres. Estes sinistros fazem com que a organização perca tempo e, consequentemente, dinheiro e credibilidade (TECLOGICA, 2016).
As multinacionais começaram a se voltar em projetos que procuram fazer a gestão, manutenção e a continuidade do negócio. Com isso, mesmo que algo exterior viesse a impactar o andamento dos negócios, com algumas medidas preventivas, tal impacto nos negócios poderia ser minimizado.
Por causa dos benefícios de implementação do Plano de Contingência e como consequência desta implementação a alta disponibilidade em seus serviços, as multinacionais começaram a investir mais. Pode-se dizer que a criação de um Plano de Contingência dura um tempo expressivo, e possui um investimento considerável conforme a estrutura da corporação (FREITAS, 2016, p. 17).
Com base na vivência obtida na criação de um Plano de Contingência, pode-se dizer que tal projeto está longe de ser algo simplório, levando-se em consideração todos os requisitos da empresa, aplicações, problemas, segurança, sendo possível mensurar e quantificar todas as áreas com condições críticas.
Como o plano de contingência de TI foca a recuperação do sistema e dos dados, é muito importante que cada setor esteja envolvido nessas práticas de segurança da informação, inserindo conhecimento, engajamento, comprometimento e troca de experiências, deixando todos a par das atualizações e eventuais erros do sistema. Além disso, é essencial que os gestores, supervisores e executivos (os responsáveis pela organização) enfatizem o comprometimento da equipe quando ocorrer esse tipo de situação. Tanto o gestor como sua equipe devem estar preparados para atender às dúvidas dos usuários e explicar conceitos básicos mediante aos imprevistos.
Se faz necessário a criação de uma equipe responsável pela resolução dos problemas e realização das ações necessárias, independentemente das consequências. Esta equipe analisará e mensurará o que foi perdido e como restaurá-lo, sendo proprietária da decisão principal. Neste ponto, é recomendado unir o gerente responsável pelas operações de TI com o gerente responsável pelos dados, já que ambos podem agregar conhecimentos de suas respectivas áreas nas situações de risco.
Recomenda-se fazer testes entre os grupos para determinar qual a melhor solução encontrada ou a melhor forma de categorizar grupos de causas em potenciais de um determinado incidente. Assim, é possível definir os responsáveis pelo plano de contingência (FIGUEIREDO FILHO et al, 2019, p. 45).
Deve-se mensurar os prováveis impactos negativos resultantes de imprevistos, sejam por falhas naturais ou falhas humanas, por exemplo. A análise destes impactos estimará os desdobramentos e ações previstas para assegurar que os registros e documentações vitais para a organização não sejam comprometidos ou extraviados em decorrência do inevitável.
Dentro desta análise, também é essencial definir quais documentos, dados, setores e processos deverão ser classificados como prioridades ou dispensáveis. Com isso, além de apresentar uma melhor organização em todo o planejamento, será possível identificar quais os documentos que necessitam de maior cuidado e maior responsabilidade.
A totalidade da classificação necessita de análise cuidadosa para não deixar passar nada relacionado à urgência ou prioridade. Este procedimento envolve desde as políticas internas até os sistemas de informação.
Para Freitas (2013, p. 23), o plano de contingência deve ser:
✔ Desenvolvido por responsáveis que conhecem a organização como um todo e que tenha uma visão holística de tecnologia;
✔ Desenvolvido de forma conjunta por pessoal responsável e profissional e que tenham visão nas áreas negociais;
✔ Envolvimento de todas as áreas da organização;
✔ Envolvimento de todos os especialistas das aplicações consideradas críticas;
✔ Envolvimento da área financeira e da área de orçamento;