A continuidade dos negócios resume-se a sobreviver a todo o tipo de coisas más que podem ter impacto na sua empresa, quer se trate de um surto de vírus informáticos, surto de vírus biológicos, e todos os outros perigos no meio, como incêndios, inundações, tornados, furacões, terremotos e tsunamis. O padrão internacional para a continuidade dos negócios, ISO 22301, define-o como a capacidade de uma organização “continuar a oferecer os seus produtos e serviços em níveis aceitáveis após terem ocorrido incidentes perturbadores.
A Gestão da Continuidade de Negócios (Business continuity management), muitas vezes conhecida por BCM, é o processo de se alcançar e manter essa capacidade de operacionalidade e é uma parte vital da gestão de segurança dos sistemas de informação, vulgarmente conhecidos nos dias de hoje como segurança cibernética. Nas próximas linhas vamos descrever os conceitos básicos do BCM e fornecer uma lista de ferramentas que você e sua empresa podem usar para melhorarem a vossa capacidade de sobreviverem a qualquer mudança inesperada e indesejável de eventos.
A continuidade dos negócios é TI e não só
Actualmente, a maioria das empresas estão fortemente dependentes das tecnologias de informação – desde portáteis a servidores, a desktops, tablets e smartphones – porém esta tecnologia pode ser perturbada por uma ampla gama de incidentes potencialmente perigosos. Neste grupo incluem-se cortes de energia causados por tempestades, perda de dados causada por funcionários pouco profissionais ou cibercriminosos. Por todos estes motivos, ficou claro desde o início que as empresas necessitam de estratégias para estarem preparadas e recuperarem rapidamente destes incidentes. Por esta razão, muito do trabalho inicial acerca de como se lidar com incidentes mais perturbadores saiu da comunidade de TI, porém com o tempo a disciplina de disaster recovery evoluiu para um processo de gestão holística”, nomeadamente um que:
“Identifique potenciais ameaças a uma organização e os impactos nas operações de negócios que essas ameaças podem causar, o que fornece uma estrutura com a capacidade de dar uma resposta eficaz que salvaguarde os interesses da empresa, dos investidores e claro está, a sua reputação”.
Novamente, isto é linguagem ISO 22301.
Note que, apesar da sua empresa não necessitar de possuir uma certificação ISO 22301 para sobreviver a um desastre, algumas podem pretender alcançar esta certificação para melhorarem o seu programa BCM o que irá permitir-lhes ganharem alguns negócios.
Um programa BCM de quatro passos:
Infelizmente, algumas empresas acabam por fechar quando são atingidas por algum desastre para o qual não estão adequadamente preparadas. Isto é lamentável, uma vez que o caminho para a preparação está bem documentado. Qualquer empresa de qualquer dimensão pode melhorar as suas hipóteses de sair ilesa de um evento perturbador – com a sua marca intacta e sem diminuir a sua receita. Para o ajudarmos, explicamos a seguir as quatro etapas principais para a elaboração de um bom Plano de Continuidade de Negócios.
1. Identifique e classifique as ameaças
Faça uma lista com os incidentes potencialmente perturbadores que poderão ameaçar o seu negócio. Não utilize a lista de outras pessoas porque as ameaças variam de acordo com a sua localização. Por exemplo, em San Diego, onde está um dos centros de distribuição da ESET, existe um nível relativamente elevado de terramotos e incêndios, e como tal muitas organizações têm empreendido um nível básico de planeamento no que diz respeito à preparação para este tipo de incidentes. Mas o que dizer do local onde a sua empresa está localizada. E o que dizer de uma possível violação de dados que pode acontecer em qualquer lugar? E se umas cheias ou um desabamento colocarem as suas instalações fora dos limites de acesso durante vários dias?
Uma boa técnica nesta fase, passa por incluir pessoas de todos os departamentos numa sessão de brainstorming. O objetivo é criar-se uma lista de cenários classificados por probabilidade de ocorrência e potencial impacto negativo. Pode encontrar uma lista básica de ameaças em inglês, nesta ligação https://www.disastersafety.org/disastersafety/open-for-business-ez.
2. Execute uma Análise de Impacto no Negócio
Necessita de descobrir que partes do seu negócio são mais críticas para a sua sobrevivência. Uma boa forma de começar passa por detalhar as funções, processos, pessoas, lugares e sistemas que são críticos para o funcionamento da sua empresa. O líder do projeto BCM pode fazer isso através de entrevistas com os funcionários em cada departamento e colocar os resultados numa tabela.
Deste modo, poderá determinar o número de dias de sobrevivência para cada função. Quanto tempo pode durar o seu negócio sem que uma determinada função tenha um sério impacto? Posteriormente, pode classificar o impacto de cada função, caso a mesma não esteja disponível. Por exemplo, o especialista em recuperação de desastres Michael Miora sugere o uso de uma escala de 1 a 4, onde os impactos 1 = impacto crítico operacional ou perda fiscal, e 4 = sem impacto a curto prazo. Se posteriormente multiplicar Impacto x Dias de Sobrevivência irá saber de imediato quais as funções mais críticas. No topo da tabela estarão as funções com grande impacto, sendo que sem elas não estará garantido mais do que um dia de sobrevivência.
3. Crie um plano de resposta e Recuperação
É neste plano que irá catalogar os dados importantes acerca dos activos envolvidos na execução de funções críticas, incluindo sistemas de TI, pessoal, instalações, fornecedores e clientes. Irá necessitar dos números de série dos equipamentos, dos acordos de licenciamento e ainda das garantias e detalhes do contractos. Vai também necessitar de determinar “quem chamar” para cada categoria de incidentes e criar uma ordem para a execução de chamadas, uma vez que os contactos certos, são feitos na ordem certa.
Quaisquer acordos que possuir visando a transição das suas operações para locais temporários e instalações de TI deverão estar documentados. Não se esqueça de documentar também os processos de notificação e os procedimentos a tomar no caso de um contacto por parte de um cliente.
Quando o plano estiver pronto, certifique-se de que treina os gestores e os seus colaboradores indicando as informações mais importantes a cada departamento e ressalvando a importância deste plano global para sobreviverem a um incidente.
4. Teste o plano e melhore a análise
A maioria dos especialistas BCM recomendam que o plano seja testado, pelo menos, uma vez por ano, recorrendo a exercícios e simulações. Os testes permitem que tire o máximo partido do seu investimento na elaboração do plano para além de o ajudarem a encontrar lacunas e alterações a efectuar ao longo de tempo.
A elaboração destas quatro etapas representa um enorme compromisso e entrega, sendo que muitas empresas, por este motivo, ignoram estes passos. Isto representa um enorme risco. Evite também pensar que os acidentes não irão acontecer. Lembre-se da célebre frase do Engenheiro Aeroespacial Norte-Americano Edward A. Murphy, mais conhecida por Lei de Murphy e que diz que se algo poder correr mal, vai correr.
Quer saber mais? Aqui estão algumas ligações interessantes:
OFB-EZ: Stay open for business
https://www.disastersafety.org/disastersafety/open-for-business-ez
BCI Horizon Scan 2014
http://www.thebci.org/index.php/the-2014-bci-horizon-scan
Disaster Preparedness Planning
https://www.chase.com/online/commercial-bank/document/Perspective_DisasterPreparedness.pdf
BCI Good Practice Guidelines
http://www.thebci.org
NFPA 1600 Standard on Disaster/Emergency Management and Business Continuity Programs
https://www.nfpa.org
Disaster Recovery Journal
http://www.drj.com
TechTarget Business Impact Analysis template
http://searchdisasterrecovery.techtarget.com/feature/Using-a-business-impact-analysis-BIA-template-A-free-BIA-template-and-guide
ISACA Business Impact Analysis template
http://www.isaca.org/Groups/Professional-English/business-continuity-disaster-recovery-planning/GroupDocuments/Business_Impact_Analysis_blank.doc
Continuity Central US
http://www.continuitycentral.com/namerica.htm
Continuity Central UK
http://www.continuitycentral.com
NIST Business Impact Analysis Template
http://csrc.nist.gov/publications/nistpubs/800-34-rev1/sp800-34-rev1_bia_template.docx
Contingency Planning Guide for Federal Information Systems
http://csrc.nist.gov/publications/nistpubs/800-34-rev1/sp800-34-rev1_errata-Nov11-2010.pdf
MIT Business Continuity Plan: because schools need BCP too
http://web.mit.edu/security/www/pubplan.htm
Business Continuity Planning Booklet, Federal Financial Institutions Examination Council (FFIEC)
http://ithandbook.ffiec.gov/it-booklets/business-continuity-planning.aspx
Latest Business Continuity Testing and Exercising News Headlines, Continuity Central
http://www.continuitycentral.com/bctenews.htm
Principles and Practice of Business Continuity, Tools & Techniques
http://www.amazon.com/gp/product/1931332398