Gestão da Continuidade dos Negócios
Nem sempre é claro como as principais funções organizacionais de gestão da continuidade de negócios e gerenciamento de risco se relacionam. Neste artigo, explicamos a conexão entre esses dois conceitos. Ao fazer isso, consideramos:
- O que é gestão de continuidade de negócios?
- A diferença entre gestão de continuidade de negócios e gestão de risco;
- As principais etapas da gestão da continuidade dos negócios (incluindo análise de impacto nos negócios);
- Um estudo de caso da RISKID e gestão de continuidade de negócios;
- Seis dicas importantes para gestão da continuidade de negócios;
- Vários templates úteis para a gestão da continuidade de negócios.
O que é a Gestão da Continuidade dos Negócios?
Gestão da Continuidade dos Negócios (GCN) ou “Business continuity management (BCM)” em inglês significa preparar uma organização para lidar com eventos que poderiam impedi-la de alcançar seus objetivos. Esses eventos podem ser um desastre natural, uma pandemia, uma grande falha de TI ou qualquer outra coisa.
Existem vários outros termos relacionados ao gerenciamento de continuidade de negócios de alguma forma. Esses incluem:
- Planejamento de Continuidade dos Negócios (PCN). Para garantir uma GCN robusta, as organizações precisam ter um plano, o PCN (BCP em inglês) em vigor, com antecedência. Discutiremos o processo de formação de tal plano em detalhes neste artigo;
- Análise de Impacto no Negócio (ou BIA, Business Impact Analysis, em inglês) é um processo chave para a GCN, implica no exame do impacto de cada evento potencial teria nas funções críticas e processos chave da organização. Como parte do BIA, a organização precisa determinar quais recursos serão necessários para suportar essas funções chave;
- Planejamento de Recuperação de Desastre (ou DRP, Disaster Recovery Planning em inglês). Está relacionado, mas independente, do PCN. Em vez de focar na continuidade dos negócios, o DRP lida com as etapas específicas que devem ser executadas para colocar um negócio em funcionamento imediatamente, principalmente após uma perda de dados ou uma falha catastrófica da infraestrutura de TI.
Qual é a diferença entre gestão de riscos e gestão da continuidade dos negócios?
Os eventos de interrupção precisam ser gerenciados por meio do BCM devido ao risco que representam para a organização. Isso levanta questões: Existe uma necessidade de gestão de riscos e gestão de continuidade de negócios separados? Qual é a conexão real entre os dois?
Padrões Internacionais (ISO 31000) definiram risco como o “efeito da incerteza nos objetivos”. ‘Gestão de risco’ é, portanto, a gestão dessa incerteza. Embora os riscos específicos sejam diferentes de organização para organização, eles podem ser colocados nas categorias de riscos “estratégicos”, “financeiros”, “operacionais” e de “conformidade”.
Em gestão de riscos:
- Os riscos são identificados de acordo com suas causas e consequências;
- Os riscos são avaliados ou “pontuados” com base em sua significância para a organização (probabilidade e impacto);
- Mitigações e processos são implementados para lidar com os riscos críticos identificados;
- Ações mitigadoras são executadas, monitoradas e reportadas;
- A reavaliação de riscos e mitigações ocorre continuamente / em intervalos periódicos.
A avaliação e gestão de riscos podem ser integradas em várias fases da GCN:
- A avaliação de riscos é crucial para determinar em quais eventos potencialmente disruptivos a GCN deve se concentrar: provavelmente não faz sentido considerar o efeito perturbador de uma tempestade de neve, se uma organização tiver sede na Flórida;
- A GCN é em si uma mitigação de risco. A gestão de riscos significa implementar medidas para lidar com os riscos identificados. GCN é a principal ferramenta de mitigação de riscos de interrupção de negócios;
- Ao realizar o BIA, a avaliação de risco é uma parte natural do processo. Um evento disruptivo ou desastroso terá muitos impactos possíveis diferentes. Por exemplo, uma grande violação da segurança cibernética pode derrubar um portal de atendimento ao cliente online. Mas o quão significativo é esse impacto (e o foco que ele deve receber no BIA) depende da facilidade com que a organização pode mudar para um serviço não online ao cliente;
- A avaliação contínua de riscos dentro da organização pode trazer novos riscos de interrupção que exigem a atualização de seu PCN.
Com a avaliação de risco envolvida em vários níveis da GCN, colocar em prática um processo robusto de avaliação de risco pode ser a melhor coisa que uma organização pode fazer para melhorar a GCN: depois de concluir sua avaliação de risco, você terá a maioria dos dados de que precisa para seu PCN, BIA e seu DRP.
Quais são as etapas principais da gestão da continuidade dos negócios?
Não existe um processo definido para a GCN que sua organização deva seguir. No entanto, achamos útil seguir as seguintes etapas em ordem:
1. Avaliação de risco estratégico. Existem dezenas de eventos diferentes que podem interromper a continuidade dos negócios. Mas em quais você deve se concentrar? Por exemplo, organizações na Nova Zelândia ou no Japão precisarão pensar sobre o efeito de grandes terremotos em suas operações. As organizações com acervos de dados significativos precisarão considerar o impacto da falha do servidor de TI. Dependerá da organização em questão e de seu próprio processo de avaliação de risco;
2. Análise de impacto nos negócios. Conforme mencionado acima, uma vez que os eventos potencialmente disruptivos tenham sido identificados e avaliados, a próxima etapa é o BIA. Nesta fase, o impacto preciso de eventos disruptivos na organização é definido. Esta é, em alguns aspectos, uma versão mais aprofundada do exame das consequências de um evento específico em uma avaliação de risco regular;
3. Plano de recuperação de desastres. Seguindo o BIA, as organizações precisam olhar para os recursos necessários para a organização se recuperar da interrupção potencial o mais rápido possível. Isso é estabelecido no DRP. Isso inclui “análise de lacunas” da distância entre as metas de recuperação de negócios e os recursos atuais. Nesse ponto, um conjunto de objetivos de recuperação (incluindo objetivos de tempo) deve ser definido. Além disso, é necessário estimar o pessoal crítico e os recursos financeiros para a recuperação;
4. Plano de Continuidade de Negócios. Um PCN formal precisa ser construído com contribuições de toda a organização e de todas as partes interessadas relevantes. O PCN é um amplo documento de resumo dos principais processos de GCN da organização. Ao contrário do DRP, ele não olha apenas para a recuperação, mas também para a prevenção e a mitigação. Em ato nível, deve resumir os resultados da avaliação de risco estratégico, BIA e DRP;
5. Treinamento. Deve haver treinamento e desenvolvimento contínuos para a equipe de GCN (se houver uma equipe distinta) e para a força de trabalho geral em GCN. Este treinamento deve conscientizar os funcionários e contratados sobre possíveis interrupções importantes para a organização e o que eles podem fazer em resposta. Este treinamento deve identificar quem é responsável pela continuidade dos negócios e onde a documentação relevante (por exemplo, PCNs) e os números de contato podem ser encontrados;
6. Testes, revisões e monitoramento regulares. Esta pode ser a etapa mais subestimada do processo, embora seja crucial. Um PCN “ruim” que funciona ainda é melhor do que um PCN perfeito que só funciona em teoria. Portanto, é uma boa prática para uma organização passar por um teste de execução do DRP todos os anos para verificar se ele é adequado para o propósito e se os objetivos de recuperação podem realmente ser alcançados.
Resumindo, podemos resumir a GCN como uma atividade abrangente de avaliação de risco, análise de impacto nos negócios, planejamento de recuperação de desastres, treinamento e revisão / teste contínuo.
Um estudo de caso sobre RISKID e gestão de continuidade de negócios
Pode ser útil explicar a importância da GCN e sua relação com gestão de riscos, com um exemplo concreto. Usamos nosso próprio caso. Para uma empresa de Software como Serviço (SaaS), um dos eventos mais catastróficos possíveis é a perda de dados do cliente. Mas, como é a natureza humana, é fácil minimizar eventos potencialmente desastrosos, se sua chance de ocorrência for baixa.
Durante os primeiros anos da nossa empresa, há mais de 10 anos, é claro que pensávamos ‘isso nunca vai acontecer conosco’. No nosso caso, a falha veio do lado do nosso provedor de servidor. Uma falha no projeto de arquitetura do sistema, desconhecida para nós, resultou em um sistema de backup com defeito. Em um determinado momento, tentamos corrigir um bug e, no processo, excluímos os dados atuais. No entanto, não tivemos acesso aos dados de backup para corrigir o problema rapidamente. Todos nós ficamos em choque porque realmente perdemos / excluímos dados do cliente.
Felizmente, nossos processos de GCN existentes foram acionados e a pequena quantidade de dados perdidos foi recuperada com um caro especialista em recuperação de dados.
Mas, depois dessa experiência, aprendemos a prestar mais atenção à avaliação de risco em nossos processos de GCN. Eventos improváveis, dado um período de tempo longo o suficiente, tendem a acontecer, então as práticas de gestão de riscos de uma organização precisam estar bem preparadas para essas eventualidades.
Nas seções finais deste artigo, apresentamos dicas importantes que aprendemos ao longo dos anos para melhorar a GCN, com base em nossa experiência no campo, bem como modelos úteis que você pode empregar no desenvolvimento de seus próprios processos de GCN.
Seis dicas para Gestão da Continuidade dos Negócios
1. Atribuir um dono para a gestão da continuidade de negócios
Todas as principais funções de negócios precisam de um “dono” do processo. Essa é a pessoa responsável por essa função na organização. Quem é este vai depender do tamanho e dos recursos da organização: algumas grandes organizações terão equipes dedicadas de GCN, em outras isso fará parte da gestão de risco, ou em organizações muito pequenas, a responsabilidade dos próprios diretores.
Certifique-se de que a responsabilidade seja clara e que responda ao conselho da organização (geralmente por meio do comitê de risco do conselho).
2. Colaborar na gestão de continuidade de negócios
Ao fazer avaliações de risco iniciais, ou ao realizar o BIA, é necessária uma convergência de conhecimentos. É improvável que apenas uma pessoa tenha conhecimento perfeito dos riscos que podem prejudicar uma organização, bem como seus impactos mais amplos.
Quem quer que seja o “dono” da GCN na organização precisa facilitar uma ampla contribuição de toda a organização e dos principais interessados (como o conselho). Isso ajudará a determinar quais eventos potencialmente perturbadores e quais impactos precisam ser o foco da GCN.
3. Integrar a gestão de riscos e a gestão da continuidade de negócios
Mencionamos que a GCN é impossível sem gestão de riscos e vice-versa. Diante disso, as organizações devem tomar medidas para garantir que essas funções estejam alinhadas.
Por exemplo, a gestão de risco de forma continuada pode identificar maior probabilidade de eventos de “lockdown” no ambiente da pandemia do COVID-19. Como resultado, a continuidade durante um evento de “lockdown” deve ser priorizada na GCN.
4. Apresente ferramentas tecnológicas
Existem várias ferramentas que podem contribuir fortemente para o GCN. Exemplos incluem:
- Ferramentas de avaliação de risco que monitoram os riscos em andamento e identificam quais precisam ser priorizados e quais devem ser revisados;
- Fluxos de dados integrados. Dados contínuos e em tempo real sobre quaisquer problemas importantes de TI ou outras interrupções de negócios podem ser usados para melhorar a GCN contínua.
5. Mantenha os planos de continuidade de negócios simples e acionáveis
O PCN, pela sua natureza, é implementado em situações de emergência. Não é apenas um documento interno que é arquivado para atualização ocasional. Isso significa que um PCN excessivamente complexo e detalhado pode impedir o uso prático. Nós recomendamos:
- Mantenha o plano relativamente curto. Os DRPs, avaliações de risco e BIA mais detalhados podem estar contidos em documentos separados;
- Concentre-se em orientações e ações concretas para a equipe, bem como os principais detalhes do regulador / fornecedor para contato em uma emergência;
- Certifique-se de que o dono da GCN e portanto a responsabilidade, esteja claramente identificado no plano.
6. Teste, teste, teste
Execute os exercícios definidos no PCN e teste os procedimentos no DRP. Certifique-se de que tudo funciona quando as coisas dão errado.
Existem Templates úteis para seguir?
Uma vez que a organização decidiu implementar ou melhorar seus processos de GCN, por onde eles deveriam começar?
Plano de Continuidade de Negócios
Existem vários modelos úteis disponíveis online, dependendo das necessidades da organização. Achamos os seguintes modelos úteis ao construir PCNs:
- A Agência Federal de Gestão de Emergências Americana – Federal Emergency Management Agency (FEMA), fornece um modelo relativamente curto, mas requer documentação adicional significativa. Isso seria útil para organizações maiores com recursos significativos para contribuir com o GCN;
- O Conselho da cidade de Manchester na Inglaterra – Manchester City Council, criou um modelo extenso com ênfase em etapas acionáveis;
- O escritório de gestão de emergências da região de Wellington na Nova Zelândia – Wellington Region Emergency Management Office, tem um modelo simples e altamente acionável. Este modelo (desenvolvido com os riscos de terremotos regionais em mente) é útil para implementação imediata em uma emergência.
BIA – Análise de Impacto nos Negócios
Ao realizar uma BIA, recomendamos os seguintes modelos:
- FEMA’s template fornece um layout simples para um BIA;
- A agência Europeia para segurança cibernética The European Union Agency for Cybersecurity oferece um modelo mais amplo com foco em segurança cibernética, embora seja simples aplicá-lo a outras áreas operacionais.
DRP – Plano de Recuperação de Desastres
Desenvolvemos nosso próprio DRP com a ajuda dos templates abaixo:
- Esse modelo é muito recomendado; também é o main template que usamos em nosso DRP;
- Modelo detalhado da Info-Tech Research Group’s para DRPs de TIC;
- Outro template para DRP de TIC da Search Disaster Recovery.
Conclusão
Embora a gestão da continuidade de negócios e a gestão de riscos sejam disciplinas separadas, estão inter-relacionados: uma atividade não pode ser realizada sem a outra. Nesta peça, além de explicar a conexão entre os dois, definimos algumas etapas simples para melhorar e “unir” seus processos de gestão de risco e continuidade de negócios: Atribuir donos, colaborar, integrar, empregar tecnologia, mantê-lo simples e testes regulares.
Esperamos que os templates e modelos que identificamos possam fornecer um ponto de partida para a sua própria gestão de continuidade de negócios. Outras dicas e modelos úteis são bem-vindos!