O que é um plano de continuidade de negócios? Embora a resposta a essa pergunta possa ser um tanto intuitiva, devemos saber que, quando falamos de um plano de continuidade de negócios (também chamado de BCP), estamos nos referindo a um plano que pode gerenciar como uma empresa ou instituição deve se recuperar após uma interrupção indesejada ou um desastre em sua organização e restaurar suas funções críticas, parcial ou totalmente interrompidas, dentro de um prazo predeterminado.
É importante ter em mente que esses planos devem ser combinados com outras ações, como o DRP (plano de recuperação de desastres) e o BCM (gerenciamento da continuidade dos negócios). Em geral, sempre que o BCP é mencionado, o BCM e o DRP também acabam sendo destacados, pois complementam o conjunto de ações processuais que devem ser tomadas para proporcionar a continuidade dos negócios no caso de um evento indesejado, desde um vírus de computador, um surto de vírus biológico e outros perigos, como incêndios, inundações, tornados, furacões, terremotos e tsunamis que possam alterar a operacionalidade dos negócios.
A norma internacional para continuidade dos negócios, ISO 22301, define o plano de continuidade de negócios como "a capacidade [de uma empresa] de continuar fornecendo produtos ou serviços em níveis predefinidos aceitáveis após incidentes de interrupção dos negócios".
Qual é a finalidade e o objetivo desse tipo de plano? Os planos de continuidade dos negócios são, sem dúvida, uma parte vital do gerenciamento da segurança dos sistemas de informação, pois servem para evitar e gerenciar eventos indesejados a fim de proporcionar a continuidade dos negócios da maneira mais eficiente e menos dispendiosa possível.
Infelizmente, algumas empresas precisam fechar as portas quando são atingidas por um desastre para o qual não estavam adequadamente preparadas, e isso é lamentável - o caminho para essa preparação está bem documentado. Qualquer empresa, de qualquer tamanho, pode aumentar as chances de superar um incidente ameaçador de interrupção de negócios e permanecer inteira (com a marca intacta e sem perda de receita) seguindo determinadas estratégias testadas e confiáveis, independentemente de desejar ou não obter a certificação ISO 22301.
Agora que já destacamos os aspectos gerais, vamos ver as quatro principais etapas a serem seguidas para desenvolver esse tipo de plano.
Como criar um plano de continuidade de negócios em quatro etapas?
1. Identificar e priorizar ameaças
Depois de identificar os principais produtos, serviços ou funções de sua organização e, em seguida, realizar um perfil de risco por meio de uma autoavaliação usando a estrutura dos 4Ps: Pessoas, Processos, Lucros e Parcerias, crie uma lista de incidentes de interrupção dos negócios que constituam as ameaças mais prováveis aos negócios. Não use a lista de outra pessoa, pois as ameaças variam de acordo com o local. Por exemplo, uma área pode ser mais propensa a terremotos do que outra, e isso é importante para priorizar as ações.
Por outro lado, você precisa fazer algumas perguntas a si mesmo: e quanto à localização da sua empresa? E quanto ao vazamento de dados ou à interrupção da infraestrutura de TI, que pode acontecer em qualquer lugar? E se um produto químico tóxico causar uma paralisação de vários dias? Você está localizado perto de uma linha férrea? De uma rodovia importante? Qual é o grau de dependência da sua empresa em relação a fornecedores estrangeiros?
Nesse estágio, uma boa técnica é reunir pessoas de todos os departamentos em uma sessão de brainstorming. O objetivo da reunião é criar uma lista de cenários classificados por probabilidade de ocorrência e potencial de impacto negativo.
2. Realize uma análise de impacto nos negócios
Sem dúvida, você precisará determinar quais partes da sua empresa são mais críticas para sua sobrevivência. Nesse sentido, é importante que você possa avaliar o possível impacto das interrupções sobre a empresa e seus funcionários. Você pode começar detalhando as funções, os processos, os funcionários, os locais e os sistemas que são essenciais para o funcionamento da organização.
Essas tarefas geralmente são realizadas pelo líder do projeto, que deve entrevistar os funcionários de cada departamento e, em seguida, elaborar uma tabela de resultados que liste as funções e as pessoas principais e secundárias. Isso permitirá que você determine o número de "dias de sobrevivência" da empresa para cada função. Quanto tempo a empresa pode durar sem que uma função específica cause um impacto sério?
Em seguida, você classificará o impacto de cada função caso ela não esteja disponível. Por exemplo, o especialista em recuperação de desastres Michael Miora sugere que seja usada uma escala de 1 a 4, em que 1 = impacto crítico nas atividades operacionais ou perda fiscal e 4 = nenhum impacto a curto prazo. Ao multiplicar o impacto pelos "dias de sobrevivência", você poderá ver quais funções são mais críticas. Na parte superior da tabela, ficarão as funções com o maior impacto e com apenas um dia de sobrevivência.
3. Crie um plano de resposta e recuperação
Nesta etapa, é necessário catalogar os principais dados sobre os ativos envolvidos na execução das funções críticas, incluindo sistemas de TI, pessoal, instalações, fornecedores e clientes. É fundamental incluir números de série de equipamentos, contratos de licença, arrendamentos, garantias, detalhes de contato e assim por diante.
Você precisará determinar "para quem ligar" em cada categoria de incidente e criar uma árvore de números de telefone para que as ligações corretas sejam feitas na ordem correta. Você também precisa de uma lista de "quem pode dizer o quê" para controlar a interação com a mídia durante um incidente (considere a possibilidade de adotar uma estratégia de "somente o CEO" se for um incidente delicado).
Todos os acordos em vigor para transferir as operações para locais temporários e instalações de TI, se necessário, devem ser documentados. Não se esqueça de documentar o processo de notificação para toda a empresa e o procedimento de aconselhamento ao cliente.
As etapas para recuperar as principais operações devem ser sequenciadas de forma a explicitar as interdependências funcionais. Quando o plano estiver pronto, certifique-se de treinar os gerentes sobre os detalhes relevantes para cada departamento, bem como sobre a importância do plano geral para sobreviver a um incidente.
4. Teste o plano e refine a análise
A maioria dos especialistas em planos de continuidade de negócios recomenda que você teste o plano pelo menos uma vez por ano, com exercícios, análises passo a passo ou simulações. Os testes permitem aproveitar ao máximo o que foi investido na criação do plano, pois é possível detectar falhas e levar em conta as mudanças corporativas ao longo do tempo, o que sugere que é sempre aconselhável manter, revisar e atualizar continuamente o plano de continuidade de negócios.
Conclusão
Não há dúvida de que essas quatro etapas envolvem uma enorme quantidade de trabalho, mas é uma tarefa que as empresas ignoram por sua conta e risco. Se o projeto parecer muito assustador para ser aplicado a toda a empresa, considere começar com alguns departamentos ou um único escritório, se houver vários. Tudo o que você aprender no processo pode ser aplicado em uma escala maior à medida em que se avança. Evite a todo custo pensar que coisas ruins não acontecem, pois elas acontecem. Basta estar preparado. E não finja que, quando algo acontecer, não será tão ruim, pois pode ser.