Sua empresa já tem um Plano de Continuidade do Negócio?

É muito comum, ao pensarmos em continuidade do negócio, nos apegarmos ao primeiro e imediato aspecto, o da disponibilidade dos recursos. Porém esse não deve ser o único ponto de atenção na hora de desenvolver um planejamento

Ataques cibernéticos e fraudes digitais, crimes que a cada dia se tornam mais sofisticados e parte da realidade das organizações, tem tomado a pauta principal de conselhos de administração, e mais do que nunca, vem tirando o sono dos executivos.

CONTINUIDADE DE NEGÓCIOS
Análise de Riscos - Infraestrutura, TIC, Segurança da informação e Recursos Humanos.

Análise de impacto nos negócios - Financeiros, operacionais, MTPD (Maximum Tolerable Period of Disruption, Período Máximo de Interrupção Tolerável é o "tempo necessário para que os impactos adversos tornem-se inaceitáveis, que pode surgir como resultado de não fornecer um produto/serviço ou realizar uma atividade), MBCO (Minimum Business Continuity Objective, Objetivo de continuidade de negócios mínimo é o nível mínimo de serviços ou produtos que uma organização precisa produzir após retomar as suas operações de negócios), RTO (Recovery Time Objective é o tempo necessário para que todo o sistema volte a operar normalmente) e RPO (Recovery Point Objective é a quantidade máxima de informação que se é aceitável perder durante um acidente).

Estratégias de recuperação - Apetite ao risco. CAPEX (CAPital EXpenditure é a despesa de capital; compra de bens como computadores, automóveis e softwares) e OPEX (OPerational EXpenditure é gasto operacional, destinado à manutenção ou melhora dos bens da companhia. Consultoria, por exemplo, entra nesta modalidade. SaaS, IaaS, PaaS, normalmente, se enquadram aqui, mas depende das cláusulas contratuais) versus Impactos.

Desenvolvimento dos planos de contingência - Resposta a incidentes; Gerenciamento de crise. Comunicação de TIC - DRP de negócios (Disaster Recovery Plan é o processo que uma organização usa para recuperar o acesso ao seu software, dados e/ou hardware que são necessários para retomar o desempenho das funções normais de negócios críticos após o evento de qualquer catástrofe natural ou uma catástrofe causada por seres humanos).

Programa evolutivo - Assegurar às partes interessadas que tudo funcionará no pior cenário a qualquer tempo.


De acordo com recente pesquisa da ICTS Protiviti sobre os maiores riscos enfrentados pelos executivos em 2016, ataques cibernéticos são a terceira maior preocupação dos executivos, atrás apenas de incertezas nas condições econômicas e mudanças na legislação.


As perdas com sistemas invadidos podem ir muito além dos valores escoados diretamente, através de transferências não autorizadas ou falsificações. Essas invasões podem também comprometer seriamente a operação, a continuidade e a sobrevivência do negócio.

É muito comum, ao pensarmos em continuidade do negócio, nos apegarmos ao primeiro e imediato aspecto, o da disponibilidade dos recursos. Porém esse não deve ser o único ponto de atenção na hora de desenvolver um planejamento de continuidade do negócio.

Não são poucas as vezes em que durante a execução de um plano de gestão de crises, que inclui processos para garantir a continuidade do negócio, percebe-se, por exemplo, que os backups de dados nunca foram testados e que estes não podiam ser restaurados. Ou que documentos importantes não estavam armazenados na unidade onde era realizado o backup, e sim no disco do usuário, ou ainda em um servidor que não tinha este propósito.

Fora estes casos, que podem parecer cotidianos demais, há situações onde os inventários de sistemas não estão atualizados, pois era necessária agilidade, e com isso, acontecendo a contratação de sistemas e serviços sem a ciência do departamento de TI, portanto, fora do plano inicial.

Outro aspecto importante é a constante atualização do planejamento de Continuidade.

Segundo pesquisa do Gartner, portal especializado em Tecnologia da Informação, 86% das 332 empresas respondentes alegam terem utilizado o seu Plano de Continuidade do Negócio, sendo que a última ocorrência de uso se deu nos últimos 6 meses.

Em outra avaliação de 530 planos de continuidade do negócio, foram identificados que os níveis de maturidade, em uma escala de 1 a 5 de acordo com o CMM (Capability Maturity Model), estão na baixíssima faixa de 2,45.

Isto reforça que, conforme vemos na prática, o Plano de Continuidade do Negócio é desenvolvido e então se torna um documento estático, sendo revisitado apenas no momento da emergência.

Contudo, suas diretrizes devem permear todas as áreas de negócio de forma periódica, garantindo que nenhuma informação importante ao negócio seja esquecida e que a devida relevância seja dada.

Para chegarmos a um modelo com maturidade elevada e alinhamento organizacional, adequado para cada negócio, é necessário que se reforce o modelo de governança e o envolvimento dos gestores e executivos.

É primordial o trabalho colaborativo para o mapeamento de informações, sistemas e principalmente riscos, que devem ser avaliados, para então serem mitigados ou monitorados, dependendo da estratégia a ser adotada, tornando-os conhecidos e identificados em um Plano de Continuidade do Negócio.