Criando um Plano de Continuidade de Negócio

Muitas empresas, quando pensam em um plano de recuperação de crise, acabam focando mais na área tecnológica: pensam em backups dos bancos de dados, replicação de arquivos, mecanismos de redundância de serviços, etc.
Porém, considerar apenas a continuidade da TI, com seus backups e redundâncias, pode não ser suficiente na ocorrência de um desastre.
É inegável que as práticas de recuperação para a área da TI são essenciais para a continuidade de um negócio, mas um bom Plano de Continuidade de Negócio (ou em inglês BCP, Business Continuity Plan) deve descrever e conferir meios para que toda a operação da empresa possa continuar durante uma interrupção não planejada, com planos de contingência para cada área de negócio, desde a TI até os Recursos Humanos, parceiros e fornecedores, facilities, etc.
Um BCP que considera apenas uma área de negócio é limitado e pode acabar se tornando ineficaz se a empresa se deparar com uma ocorrência ou desastre de grande porte. Por isso, já na sua elaboração, um BCP deve ser abrangente e bem definido.
Para auxiliar neste processo da definição de um BCP, podemos separar seu processo de criação em 4 partes: fazer a análise dos riscos, mensurar os impactos destes riscos em cada aspecto do negócio, definir a estratégia do plano de continuidade e, por fim, monitorar, testar, e atualizar o plano periodicamente.

Análise dos riscos

O primeiro passo para se criar um BCP é fazer a análise dos riscos envolvidos no negócio.
As principais ameaças e vulnerabilidades devem ser identificadas, mapeadas e priorizadas. E esses riscos podem ser tanto os inerentes ao negócio, como mudanças de preços de insumos, surgimento de concorrentes, mudanças no mercado, etc; como riscos que fogem do escopo da empresa, como sabotagens, falhas sistêmicas, pandemias, incêndios, desastres naturais, etc.
Deixar de considerar algum risco pode fazer o BCP falhar em um momento de necessidade.
Nós hoje, durante a pandemia de COVID-19, estamos vivendo um estado de exceção. Quantos planos de continuidade de negócio estavam preparados para considerar um tipo de acontecimento desta magnitude? Quantos não consideravam e acabaram tendo seus negócios interrompidos, ou precisaram se adequar de forma acelerada e com pouco tempo de planejamento, podendo tando ter sofrido prejuízos quantos altos custos para adequação?

Apesar de quantos mais riscos identificados melhor, já que deixará o BCP mais completo, inicie pequeno. Foque nos riscos mais latentes e que são mais tangíveis. Não queremos despender muito tempo nesta fase em detrimento de ter um plano completo, e na fase de monitoração e acompanhamento teremos a oportunidade de voltar para a análise de riscos e expandir o BCP de forma incremental, deixando-o cada vez mais completo.

Mensurar o impacto no negócio

Depois de termos os riscos mapeados, eles devem ser analisados para que sejam identificados seus impactos no negócio e assim definidas suas prioridades no BCP.
Existe o risco de terremoto no Brasil? Até pode existir, mas a prioridade desse risco pode ser menor que o risco de interrupção generalizado no fornecimento de energia, por exemplo.
Esse passo é extremamente importante para que se tenha com clareza quais pontos do negócio podem ser mais vulneráveis, e já se começar a desenhar as possíveis soluções para esses riscos.
Nesta fase, além dos riscos mapeados, também podemos analisar os incidentes que já impactaram o negócio anteriormente, para que eles sejam melhores gerenciados no futuro.

Para ajudar nessa análise, podemos utilizar a BIA (Business Impact Analysis). Na BIA, cada função de negócio é correlacionada com seus riscos e vulnerabilidades; são definidos os níveis de impacto (seja financeiro, regulatório, etc), e o tempo máximo de indisponibilidade tolerado.
Com a BIA completa, conseguimos determinar a priorização de recuperação das funções de negócio, e então podemos partir para a próxima fase, definir a estratégia de recuperação.

Definir a estratégia

Tendo analisado os riscos e mensurados os impactos, precisamos definir como que o BCP será acionado.
Podemos estruturar esse plano em quatro subplanos:

  • Plano de contingência: deve ser utilizado no momento da crise, e define as ações diretas para contingenciar e controlar a ocorrência;
  • Plano de Administração (ou Plano de Gerenciamento de Crises): define as responsabilidades de cada equipe ou pessoa envolvida, cada qual com as definições de acionamento dos planos de contingência;
  • Plano de Recuperação de Desastres: Após o desastre ter sido controlado e passada a crise, o plano de recuperação traz o planejamento para que a empresa consiga se preparar para retomar seus níveis anteriores de operação. Esse plano de recuperação de desastre, além de recuperar recursos diretamente afetados, visa minimizar os efeitos do desastre em outras funções indiretamente afetadas.
  • Plano de Continuidade Operacional: Uma vez com o negócio recuperado, o plano de continuidade operacional deve garantir a continuidade da operação. Por exemplo, garantindo acesso a sistemas críticos a partir de outros ambientes que não o afetado, tratando do relacionamento com clientes e acionistas/sócios/colaboradores, etc, até que toda a situação seja normalizada e a empresa possa retornar para a operação anterior à crise.

Monitoração e acompanhamento

Tendo a estratégia bem definida, deve-se entrar na fase de monitoração e acompanhamento.
Um BCP obsoleto pode ser tão danoso para a empresa quando a crise que está sendo enfrentada, pois pode dar uma falsa sensação de que o negócio está sendo garantido, quando na verdade muitas coisas estão fora do escopo do plano, e a retomada da funções da empresa pode estar sendo prejudicada.
Ele deve ter periodicamente revisto e aprimorado, passando novamente pelas fases de análise de riscos, análise de impacto e definição da estratégia, para se adequar a novas conjunturas externas.
Um BCP também deve ser revisado de acordo com mudanças da própria natureza do negócio da empresa. Evoluções de software e hardware, rotatividade de pessoal, reorganização da companhia e alterações na infraestrutura são alguns motivos que devem ser levados em conta para determinar a necessidade de revisão.
A identificação de novos riscos, ou repriorização de risco identificados anteriormente também são motivos para inciar um processo de reavaliação do BCP. Nunca devemos considerar que um BCP está “pronto”, já que a melhoria contínua faz parte do processo.

Aqui também temos a oportunidade de testar um BCP, aplicando as estratégias definidas com seus diversos planos para garantir e avaliar sua efetividade. Quanto mais exercitado for o BCP, mais bem preparado as pessoas e equipes envolvidas estarão, e mais efetivo e ágil pode ser a recuperação das funções do negócio na ocorrência de um desastre, minimizando os danos.

É nesta fase também que devemos tratar da conscientização e educação dos colaboradores para a importância do BCP, garantindo que cada pessoa saiba do seu papel e onde encontrar as informações necessárias na hora de agir.

Conclusão

Um Plano de Continuidade de Negócios é essencial para qualquer empresa que queira crescer e manter os seus serviços de forma eficiente. E os tempos em que vivemos deixam isso muito latente.
Além da Pandemia de COVID-19, temos visto cada vez mais catástrofes naturais, acentuadas pelas mudanças climáticas, e a cada momento surgem novos riscos que precisam ser considerados.
Hoje, um BCP que não considera os riscos de um ataque de ransomware, pode ser considerado como completo e eficiente?

Devemos tornar a Continuidade do Negócio parte integral das decisões da empresa, realizando auditorias internas para garantir sua aplicação e processos, realizar exercícios regulares para avaliar a sua efetividade, e, é claro, como já foi falado, estar constantemente revisando os planos definidos e incluindo novos riscos e ações para garantir que a empresa esteja preparada para quaisquer que sejam as crises que possam ocorrer.

Artigo escrito como trabalho para matéria Business Continuity Management do curso de MBA em Cybersecurity na FIAP


Compartilhe: Twitter - Facebook - LinkedIn