Solução

Gestão da Continuidade dos Negócios

Nem sempre é claro como as principais funções organizacionais de gestão da continuidade de negócios e gerenciamento de risco se relacionam. Neste artigo, explicamos a conexão entre esses dois conceitos. Ao fazer isso, consideramos:

O que é a Gestão da Continuidade dos Negócios?

Gestão da Continuidade dos Negócios (GCN) ou “Business continuity management (BCM)” em inglês significa preparar uma organização para lidar com eventos que poderiam impedi-la de alcançar seus objetivos. Esses eventos podem ser um desastre natural, uma pandemia, uma grande falha de TI ou qualquer outra coisa.

Existem vários outros termos relacionados ao gerenciamento de continuidade de negócios de alguma forma. Esses incluem:

Qual é a diferença entre gestão de riscos e gestão da continuidade dos negócios?

Os eventos de interrupção precisam ser gerenciados por meio do BCM devido ao risco que representam para a organização. Isso levanta questões: Existe uma necessidade de gestão de riscos e gestão de continuidade de negócios separados? Qual é a conexão real entre os dois?

Padrões Internacionais (ISO 31000) definiram risco como o “efeito da incerteza nos objetivos”. ‘Gestão de risco’ é, portanto, a gestão dessa incerteza. Embora os riscos específicos sejam diferentes de organização para organização, eles podem ser colocados nas categorias de riscos “estratégicos”, “financeiros”, “operacionais” e de “conformidade”.

Em gestão de riscos:

A avaliação e gestão de riscos podem ser integradas em várias fases da GCN:

Com a avaliação de risco envolvida em vários níveis da GCN, colocar em prática um processo robusto de avaliação de risco pode ser a melhor coisa que uma organização pode fazer para melhorar a GCN: depois de concluir sua avaliação de risco, você terá a maioria dos dados de que precisa para seu PCN, BIA e seu DRP.

Quais são as etapas principais da gestão da continuidade dos negócios?

Não existe um processo definido para a GCN que sua organização deva seguir. No entanto, achamos útil seguir as seguintes etapas em ordem:

1. Avaliação de risco estratégico. Existem dezenas de eventos diferentes que podem interromper a continuidade dos negócios. Mas em quais você deve se concentrar? Por exemplo, organizações na Nova Zelândia ou no Japão precisarão pensar sobre o efeito de grandes terremotos em suas operações. As organizações com acervos de dados significativos precisarão considerar o impacto da falha do servidor de TI. Dependerá da organização em questão e de seu próprio processo de avaliação de risco;

2. Análise de impacto nos negócios. Conforme mencionado acima, uma vez que os eventos potencialmente disruptivos tenham sido identificados e avaliados, a próxima etapa é o BIA. Nesta fase, o impacto preciso de eventos disruptivos na organização é definido. Esta é, em alguns aspectos, uma versão mais aprofundada do exame das consequências de um evento específico em uma avaliação de risco regular;

3. Plano de recuperação de desastres. Seguindo o BIA, as organizações precisam olhar para os recursos necessários para a organização se recuperar da interrupção potencial o mais rápido possível. Isso é estabelecido no DRP. Isso inclui “análise de lacunas” da distância entre as metas de recuperação de negócios e os recursos atuais. Nesse ponto, um conjunto de objetivos de recuperação (incluindo objetivos de tempo) deve ser definido. Além disso, é necessário estimar o pessoal crítico e os recursos financeiros para a recuperação;

4. Plano de Continuidade de Negócios. Um PCN formal precisa ser construído com contribuições de toda a organização e de todas as partes interessadas relevantes. O PCN é um amplo documento de resumo dos principais processos de GCN da organização. Ao contrário do DRP, ele não olha apenas para a recuperação, mas também para a prevenção e a mitigação. Em ato nível, deve resumir os resultados da avaliação de risco estratégico, BIA e DRP;  

5. Treinamento. Deve haver treinamento e desenvolvimento contínuos para a equipe de GCN (se houver uma equipe distinta) e para a força de trabalho geral em GCN. Este treinamento deve conscientizar os funcionários e contratados sobre possíveis interrupções importantes para a organização e o que eles podem fazer em resposta. Este treinamento deve identificar quem é responsável pela continuidade dos negócios e onde a documentação relevante (por exemplo, PCNs) e os números de contato podem ser encontrados;

6. Testes, revisões e monitoramento regulares. Esta pode ser a etapa mais subestimada do processo, embora seja crucial. Um PCN “ruim” que funciona ainda é melhor do que um PCN perfeito que só funciona em teoria. Portanto, é uma boa prática para uma organização passar por um teste de execução do DRP todos os anos para verificar se ele é adequado para o propósito e se os objetivos de recuperação podem realmente ser alcançados.

Resumindo, podemos resumir a GCN como uma atividade abrangente de avaliação de risco, análise de impacto nos negócios, planejamento de recuperação de desastres, treinamento e revisão / teste contínuo.

Um estudo de caso sobre RISKID e gestão de continuidade de negócios

Pode ser útil explicar a importância da GCN e sua relação com gestão de riscos, com um exemplo concreto. Usamos nosso próprio caso. Para uma empresa de Software como Serviço (SaaS), um dos eventos mais catastróficos possíveis é a perda de dados do cliente. Mas, como é a natureza humana, é fácil minimizar eventos potencialmente desastrosos, se sua chance de ocorrência for baixa.

Durante os primeiros anos da nossa empresa, há mais de 10 anos, é claro que pensávamos ‘isso nunca vai acontecer conosco’. No nosso caso, a falha veio do lado do nosso provedor de servidor. Uma falha no projeto de arquitetura do sistema, desconhecida para nós, resultou em um sistema de backup com defeito. Em um determinado momento, tentamos corrigir um bug e, no processo, excluímos os dados atuais. No entanto, não tivemos acesso aos dados de backup para corrigir o problema rapidamente. Todos nós ficamos em choque porque realmente perdemos / excluímos dados do cliente.

Felizmente, nossos processos de GCN existentes foram acionados e a pequena quantidade de dados perdidos foi recuperada com um caro especialista em recuperação de dados.

Mas, depois dessa experiência, aprendemos a prestar mais atenção à avaliação de risco em nossos processos de GCN. Eventos improváveis, dado um período de tempo longo o suficiente, tendem a acontecer, então as práticas de gestão de riscos de uma organização precisam estar bem preparadas para essas eventualidades.

Nas seções finais deste artigo, apresentamos dicas importantes que aprendemos ao longo dos anos para melhorar a GCN, com base em nossa experiência no campo, bem como modelos úteis que você pode empregar no desenvolvimento de seus próprios processos de GCN.

Seis dicas para Gestão da Continuidade dos Negócios

1. Atribuir um dono para a gestão da continuidade de negócios

Todas as principais funções de negócios precisam de um “dono” do processo. Essa é a pessoa responsável por essa função na organização. Quem é este vai depender do tamanho e dos recursos da organização: algumas grandes organizações terão equipes dedicadas de GCN, em outras isso fará parte da gestão de risco, ou em organizações muito pequenas, a responsabilidade dos próprios diretores.

Certifique-se de que a responsabilidade seja clara e que responda ao conselho da organização (geralmente por meio do comitê de risco do conselho).

2. Colaborar na gestão de continuidade de negócios

Ao fazer avaliações de risco iniciais, ou ao realizar o BIA, é necessária uma convergência de conhecimentos. É improvável que apenas uma pessoa tenha conhecimento perfeito dos riscos que podem prejudicar uma organização, bem como seus impactos mais amplos.

Quem quer que seja o “dono” da GCN na organização precisa facilitar uma ampla contribuição de toda a organização e dos principais interessados ​​(como o conselho). Isso ajudará a determinar quais eventos potencialmente perturbadores e quais impactos precisam ser o foco da GCN.

3. Integrar a gestão de riscos e a gestão da continuidade de negócios

Mencionamos que a GCN é impossível sem gestão de riscos e vice-versa. Diante disso, as organizações devem tomar medidas para garantir que essas funções estejam alinhadas.

Por exemplo, a gestão de risco de forma continuada pode identificar maior probabilidade de eventos de “lockdown” no ambiente da pandemia do COVID-19. Como resultado, a continuidade durante um evento de “lockdown” deve ser priorizada na GCN.

4. Apresente ferramentas tecnológicas

Existem várias ferramentas que podem contribuir fortemente para o GCN. Exemplos incluem:

5. Mantenha os planos de continuidade de negócios simples e acionáveis

O PCN, pela sua natureza, é implementado em situações de emergência. Não é apenas um documento interno que é arquivado para atualização ocasional. Isso significa que um PCN excessivamente complexo e detalhado pode impedir o uso prático. Nós recomendamos:

6. Teste, teste, teste

Execute os exercícios definidos no PCN e teste os procedimentos no DRP. Certifique-se de que tudo funciona quando as coisas dão errado.

Existem Templates úteis para seguir?

Uma vez que a organização decidiu implementar ou melhorar seus processos de GCN, por onde eles deveriam começar?

Plano de Continuidade de Negócios

Existem vários modelos úteis disponíveis online, dependendo das necessidades da organização. Achamos os seguintes modelos úteis ao construir PCNs:

BIA – Análise de Impacto nos Negócios

Ao realizar uma BIA, recomendamos os seguintes modelos:

DRP – Plano de Recuperação de Desastres

Desenvolvemos nosso próprio DRP com a ajuda dos templates abaixo:

Conclusão

Embora a gestão da continuidade de negócios e a gestão de riscos sejam disciplinas separadas, estão inter-relacionados: uma atividade não pode ser realizada sem a outra. Nesta peça, além de explicar a conexão entre os dois, definimos algumas etapas simples para melhorar e “unir” seus processos de gestão de risco e continuidade de negócios: Atribuir donos, colaborar, integrar, empregar tecnologia, mantê-lo simples e testes regulares.

Esperamos que os templates e modelos que identificamos possam fornecer um ponto de partida para a sua própria gestão de continuidade de negócios. Outras dicas e modelos úteis são bem-vindos!