Continuidade de Negócio: o que é, para que serve, como se faz?

Em eventos disruptivos de longo prazo como a pandemia Covid-19 ou de curto prazo, como uma falha elétrica no data center, é preciso ter um Plano de Continuidade de Negócio e, independentemente do tamanho do seu business e da área em que opera, superar desastres transmite aos clientes confiança e resiliência.

Mas afinal, o que é Continuidade de Negócio?

“Continuar o negócio” significa superar as adversidades que possuem impacto de grandes proporções, a ponto de ser necessário transferir as operações física (equipamentos, pessoas, dados em mídia física), ou lógica (dados armazenados ou em trânsito, acesso à internet, processos, etc), ou ambas para outro local. Para que isso seja possível, diversos requisitos devem ser atendidos como: entender o contexto da empresa, conversar com stakeholders, verificar quais legislações e regulamentações são aplicáveis ao seu business, criação de um Business Impact Analysis (BIA), mapear o que não fará parte do escopo, definir pontos e tempos de recuperação para os serviços que a empresa fornece e vários outros itens, que no geral compõem a Gestão de Continuidade de Negócio (GCN). 

O standard internacional ISO 22301:2019, que pode ser conferido gratuitamente e na íntegra aqui, é o padrão comumente utilizado no mundo corporativo para o planejamento, a criação e operação da GCN e nele podem ser encontrados todos os requisitos para auxiliar em todos os aspectos relacionados à GCN. No entanto, é importante lembrar que esta norma internacional é indiferente quanto a área de atuação da entidade e, por isso, deve ser feito o scoping and tailoring. Scoping é o ato da empresa decidir quais aspectos e requerimentos farão parte do escopo e quais serão removidos para um determinado ambiente, que pode ser desde um setor específico até a empresa como um todo. Tailoring é o processo de customização dos aspectos e requerimentos para as necessidades únicas da empresa. 

GCN

E para que serve?

Como já foi dito no início deste artigo, Continuidade de Negócio é a matéria que ajuda uma entidade a superar desastres e transmitir resiliência e confiança ao cliente. Entretanto, um item extremamente importante desta matéria é garantir que as pessoas estejam a salvo destes desastres, além de garantir também que tecnologia e processos continuem a funcionar, logo, estes três itens (pessoas, processos e tecnologia) são imprescindíveis para uma empresa que quer manter-se viva e competitiva no mercado.  Para exemplificar, podemos imaginar um desastre que impacta um edifício de uma entidade do setor financeiro onde estão localizados o seu data center principal e as pessoas que ali trabalham. Caso esta entidade tenha feito seu dever de casa, este evento causará a comutação das funções exercidas pelo data center principal para o secundário/backup, a movimentação das pessoas para fora do edifício e os processos específicos para eventos desta natureza serão ativados. 

Para além do que já foi exposto, a GCN é uma componente somada a outros que ajudam as empresas de certas áreas de atuação como Saúde, Financeiro, Energia, Saneamento e outras a estarem em conformidade com as legislações e regulamentações que as regem, evitando multas, sanções, má reputação e, por consequência, perda de clientes e capital. 

BCM

Já sei o que é e qual é o propósito, mas como faço isso tudo?

Vale ressaltar que o intuito deste artigo não é ir a fundo nos detalhes que compõem uma GCN, mas sim destacar a importância para que cada leitor(a) reflita sobre o tema. Para aqueles que desejam encarar esta empreitada, pessoalmente recomendo que sigam a ISO 22301:2019 que (ao dia que vos escrevo) está disponível na íntegra neste link. Para aqueles que desejam entender o que é, para que serve e como se faz, sigamos neste artigo. 

Após entender o contexto único da sua empresa e antes de realizar o scoping and tailoring, há um passo muito importante: definir as necessidades e expectativas dos stakeholders. Stakeholders ou Partes Interessadas, são as pessoas ou entidades internas e externas da empresa que possuem expectativas quanto ao funcionamento do serviço ofertado e, por isso, também podemos incluir nesse passo importante os requisitos das leis e regulamentações já mencionadas. Com este cenário estabelecido, ou seja, com o entendimento do contexto, alinhamento das necessidades e expectativas das partes interessadas, escopo definido e customizado, nada disso adiantará se não existir apoio da liderança, nomeadamente do Conselho de Administração. É imprescindível que este apoio seja do início do planejamento até o término da criação da GCN e, é claro, durante toda a operação e manutenção da GCN. 

Com o cenário estabelecido e após muito brainstorming, reuniões com diversas equipes e partes interessadas, será possível identificar os riscos e oportunidades que guiarão o planejamento para evita-los e aproveita-los, respectivamente, sempre considerando a performance da empresa e os projetos futuros como entrega de serviços e produtos. A partir desse planejamento, serão formulados objetivos e seus respectivos planos de ação, que por sua vez devem ser controlados e implementados de forma ordenada e o documento que representa todo esse mapeamento é o BIA. No entanto, para que a eficácia desse plano seja maior é preciso mapear os gaps físicos, lógicos e de conhecimentos que serão utilizados, tornando assim mais fácil de comprar, adquirir e ensinar com antecedência. Outro ponto de atenção que é transversal para todas as fases da GCN é a documentação de tudo que é feito, pois sem isso perde-se facilmente tanto o que está a ser feito quanto o registro do que já foi conquistado. 

A fase da implementação, que por si só é muito extensa e digna de um artigo à parte (escrevam nos comentários caso seja interessante) possui muitos pontos importantes, mas os pontos de destaque desta fase são identificar quais serviços são essenciais para a continuidade da empresa e isto é feito através do BIA (Business Impact Analysis), onde também será possível identificar os maiores riscos à empresa e quais ações são prioritárias, do maior risco ao menor, para que a continuidade de negócio seja possível. Depois de delinear as ações por prioridade, para implementa-los será necessário criar procedimentos, que são documentos mais operacionais com ênfase no how-to de uma ação específica, o que facilita tanto na implementação quanto no entendimento de novos membros na equipe. Perceba que documentar tudo é extremamente importante e, sendo assim, cria-se o Plano de Continuidade de Negócio, um documento que descreve o que está ou não no escopo, todo o planejamento, o BIA, as ações a serem realizadas em cada tipo de desastre e as pessoas responsáveis para cada função, seja guiar as pessoas para fora do edifício, comunicar interna e externamente o ocorrido e tantas outras funções. Quanto às ações implementadas, o próximo e óbvio passo é testa-los para ter a certeza de que os tempos estimados de downtime e recuperação do negócio são assertivos, bem como se os profissionais estão preparados. 

Testar regularmente de diferentes maneiras, com ou sem interrupção, apenas leitura do passo-a-passo, interrupção total ou parcial, entre outros métodos, permitirá obter métricas de qualidade de todos os aspectos já realizados, visando a melhoria contínua da estratégia da GCN. Uma outra maneira, que requer alinhamento entre todas as partes, é a realização de auditorias quanto ao alinhamento da GCN com a ISO 22301:2019, que resultarão em ações classificadas como de Oportunidades de Melhoria (OFI – Opportunity for Improvement) ou Não Conformidade (NC – Non-Conformity), ou ambas. 

Por fim, é preciso verificar a viabilidade e planejar as ações de melhoria da estratégia da GCN e implementa-las conforme sua prioridade. Este ciclo PDCA (Plan-Do-Check-Act) é essencial para que a estratégia esteja alinhada com o core business da empresa.

Ficou com alguma dúvida ou tem algo a complementar? Deixe seu comentário abaixo!

Patryck Dumit, CISSP

Mais artigos deste autor »

Formado em Segurança da Informação e com 10 anos de experiência, já atuei como pré-vendas, operação e implementação, consultoria e também ministrei cursos.

Estas são algumas das certificações que possuo:
(ISC)² CISSP
Exin Information Security Officer
Exin Information Security Management Professional based on ISO/IEC 27001
Exin Business Continuity Management Foundation
ISACA COBIT 5 Foundation
Certiprof Lead Cybersecurity Professional
Certiprof ISO/IEC 27001 Auditor
Microsoft Security, Compliance and Identity Fundamentals
CCNP Security
CCNA Security, CCDA, CCNA R&S
Cisco Certified System Instructor


Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!