O que é Continuidade de Negócios? Como Planejar para uma Emergência

Uma onça de preparação vale uma libra de cura.

Independentemente do tamanho da sua organização, o risco de interrupção dos negócios é real. Muitos perigos podem interromper funções críticas de negócios, incluindo ataques físicos ou cibernéticos, desastres naturais, pandemias e impactos na cadeia de suprimentos.

A continuidade dos negócios é a pedra angular da capacidade da sua organização de responder a interrupções. Ela aborda os principais riscos de negócios que podem levar a interrupções e ajuda a planejar a resposta esperada.

Os serviços tecnológicos comuns voltados para a continuidade de negócios incluem software de recuperação de desastres como serviço (DRaaS) para falhas de infraestrutura e políticas de segurança gerenciadas que protegem contra ataques cibernéticos mais sofisticados, entre outros.

Como a continuidade de negócios é essencial para manter sua infraestrutura de TI sob controle durante um desastre, ela deve ser desenvolvida por meio de um processo bem orquestrado.

A continuidade de negócios tem dois aspectos:

1. Planejamento de continuidade de negócios (BCP) define processos de gestão de riscos e técnicas para prevenir interrupções de serviços críticos e retomar as operações completas o mais rápido e eficientemente possível. Esses planos geralmente incluem processos, soluções manuais e procedimentos de backup para lidar com a perda de espaço de trabalho, infraestrutura, pessoas, software e fornecedores.
2. Gestão de continuidade de negócios (BCM) é uma abordagem holística para avaliação de riscos e seu impacto nos processos operacionais. Combina resposta a emergências, gestão de crises, recuperação de desastres e continuidade de negócios.

Por que a continuidade de negócios é importante?

Toda instituição, desde pequenas empresas até grandes corporações, depende da tecnologia digital para gerar receita, prestar serviços e apoiar consumidores que desejam serviços e dados disponíveis o tempo todo. Os clientes não são os únicos que sofrem com a interrupção. Um incêndio, inundação, ataque de ransomware ou outros desastres podem causar perdas financeiras significativas, prejudicar a imagem da empresa e, no pior dos casos, forçar uma empresa a fechar permanentemente.

As organizações enfatizam a continuidade de negócios porque manter serviços vitais durante uma crise ou interrupção pode significar a diferença entre sucesso e fracasso. Se capacidades críticas de negócios falharem, um curto tempo de recuperação para restauração do sistema pode ser de grande valor. 

A continuidade de negócios pode:

• Garantir a segurança de funcionários, contratados, clientes e visitantes
• Reduzir o impacto de uma interrupção acelerando o esforço de recuperação
• Proteger a imagem, processos e relações com stakeholders de uma empresa

Planejamento e preparação são essenciais para uma estratégia holística de continuidade de negócios. Profissionais podem ajudar uma empresa a desenvolver um plano de resiliência. Estabelecer tal estratégia é um processo demorado que envolve a realização de uma análise de impacto nos negócios (BIA) e análise de riscos, além de projetar planos de BC, testes, exercícios e treinamentos.

Por exemplo, recuperar conjuntos de dados massivos de um backup pode levar um tempo dolorosamente longo. Portanto, a transferência para um centro de dados distante é uma alternativa preferível para empresas com grandes conjuntos de dados.

Um plano de contingência pode ser a última alternativa quando os esforços de resiliência e recuperação falham ou ocorre um evento inesperado. Um plano de contingência contém uma abordagem praticada e uma estratégia para necessidades de último recurso. Essas necessidades podem variar desde encontrar suporte de terceiros até localizar um segundo local para espaço de escritório urgente ou servidores de backup remotos.

Tipos de risco de continuidade de negócios

Os riscos de continuidade de negócios afetam grandemente as organizações. O impacto da pandemia de Covid-19 nos negócios em todo o mundo é talvez o melhor exemplo de riscos de continuidade de negócios. 

As empresas sofreram perdas severas ao fecharem permanentemente, e os clientes foram forçados a permanecer em casa durante os lockdowns. Muitos funcionários foram demitidos enquanto as empresas lutavam para pagar salários e aluguéis.

Um plano de continuidade de negócios pode ajudar a prevenir tais ameaças potenciais e manter operações suaves e eficazes. Vamos examinar cinco riscos primários de continuidade de negócios que uma empresa deve monitorar e gerenciar:

1. Ataques cibernéticos são uma grande preocupação. Cibercriminosos podem prejudicar a reputação e as finanças de uma empresa causando danos à rede e ao sistema. Por exemplo, em outubro de 2020, o ransomware Clop atingiu a Software AG, uma empresa de tecnologia alemã. Os cibercriminosos ameaçaram divulgar dados de clientes (como informações de contato e outras informações pessoalmente identificáveis (PII)) se a empresa não pagasse um resgate de 23 milhões de dólares.
2. Violação de dados ocorre quando informações essenciais, privadas e sensíveis são liberadas ou reveladas a uma pessoa ou ambiente não confiável. As violações de dados incluem a perda de pen drives, dispositivos móveis ou de computação, laptops e redes de computadores. Tais violações podem expor informações críticas da empresa e do cliente a indivíduos desconhecidos e causar danos significativos à empresa.
3. Terrorismo ameaça um país ou comunidade. Instila medo e incerteza entre o público em geral. Funcionários e forças de segurança em uma empresa estão mal equipados para lidar com ataques terroristas. As consequências mais visíveis do terrorismo são a destruição de propriedades e a interrupção dos negócios. Além disso, o turismo e a vida diária são altamente afetados após um evento de terrorismo. Leva algum tempo para que as empresas retomem as atividades normais.
4. Incêndios ocorrem tipicamente de repente e sem aviso. Qualquer coisa pode causá-los, como mau funcionamento de propriedade empresarial ou abuso de ferramentas e dispositivos organizacionais, como configurações de tecnologia da informação (TI) defeituosas ou superaquecidas. Manter uma estratégia de controle de incêndio que inclua brigadas de incêndio, alarmes e extintores como uma medida preventiva para prevenir e combater incêndios é necessário para todos os tipos de negócios.
5. Interrupção da cadeia de suprimentos: As empresas também devem ser cautelosas com a interrupção da cadeia de suprimentos. Calamidades naturais como inundações, furacões, terremotos, tsunamis e tempestades frequentemente causam tal interrupção. Como resultado, o sistema de distribuição entre empresas e fornecedores colapsa, e a cadeia de suprimentos sofre.

O que a continuidade de negócios inclui?

A continuidade de negócios aborda o planejamento e a preparação essenciais para fortalecer e equipar uma empresa para conduzir serviços de negócios vitais durante uma crise. Ela determina, planeja e desenvolve:

• As equipes necessárias para gerenciar emergências
• Como comunicar-se com consumidores, fornecedores e outros intermediários para fornecer informações precisas e assistência
• A sequência e o tempo essenciais para restaurar operações
• Como garantir que os clientes continuem a receber serviços ou produtos
• A tecnologia essencial para apoiar os fluxos de trabalho de negócios
• Como assistir os funcionários em caso de emergência
• Onde e como mover stakeholders internos se os locais de negócios forem impactados ou indisponíveis
• Procedimentos alternativos que entram em ação quando os processos não estão disponíveis
• Exercícios regulares para garantir que planos e ações cumpram os padrões e funcionem durante um incidente real
• Documentação dos processos de negócios e etapas necessárias

A continuidade de negócios adequada incorpora diferentes classes de resposta. Como nem tudo é crítico para a missão, é essencial separar o que é mais crítico para continuar funcionando e o que pode esperar um pouco mais. É vital ser imparcial sobre objetivos de tempo de recuperação (RTOs)  e objetivos de ponto de recuperação (RPOs).

Componentes de um plano de continuidade de negócios

Um plano de continuidade de negócios tem três componentes principais: resiliência, recuperação e contingência.

A resiliência de uma organização melhora quando ela planeja serviços essenciais e infraestrutura considerando múltiplos cenários de crise, como rotações de força de trabalho, redundância de dados e capacidade excedente. Garantir resiliência contra várias situações também pode ajudar as empresas a manter serviços vitais dentro e fora do local sem interrupção.

A recuperação rápida é crítica para restaurar serviços após um desastre. Estabelecer objetivos de tempo de recuperação para diferentes sistemas, redes ou aplicativos pode determinar quais componentes precisam ser recuperados inicialmente. Outras opções de recuperação incluem inventários de recursos, parcerias com empresas terceirizadas para assumir operações de negócios e instalações modificadas para operações críticas para a missão.

Um plano de contingência inclui técnicas para uma variedade de eventos externos e uma hierarquia que distribui tarefas dentro de uma empresa. Essas tarefas também podem envolver a substituição de hardware, aquisição de espaço de escritório de emergência, avaliação de danos e contratação de fornecedores terceirizados.

Continuidade de negócios vs. recuperação de desastres

A continuidade de negócios e a recuperação de desastres (DR) estão intimamente alinhadas e ajudam uma organização a permanecer ativa após um desastre. Integrar continuidade de negócios e recuperação de desastres em um único termo, BCDR, decorre de uma compreensão crescente de que executivos de negócios e tecnologia devem trabalhar em estreita colaboração para preparar soluções de crise em vez de construir estratégias isoladamente. O BCDR visa reduzir riscos e colocar uma organização em funcionamento o mais rápido possível após uma interrupção não planejada.

Continuidade de negócios é mais proativa e refere-se ao gerenciamento de sistemas e processos críticos para a missão para garantir a operação contínua durante e após uma crise. Inclui um planejamento mais completo que visa ameaças de longo prazo ao sucesso dos negócios. A continuidade de negócios geralmente se concentra nos processos organizacionais.

Recuperação de desastres é mais reativa e envolve medidas específicas para uma empresa seguir após uma interrupção para retomar as operações. A recuperação de desastres ocorre após o desastre, com tempos de reação variando de segundos a dias. A DR lida com a infraestrutura técnica.

Ao contrário dos planos de continuidade de negócios, as estratégias de recuperação de desastres também podem incluir precauções adicionais de segurança para os funcionários, como exercícios de incêndio ou suprimentos de emergência. Combinar os dois ajuda uma empresa a se concentrar nas operações e na segurança dos funcionários simultaneamente.

A recuperação de desastres é um componente essencial dos programas de continuidade de negócios que tornam os dados acessíveis após um desastre. Este aspecto está incluído na BC, mas também considera a gestão de riscos e outras preparações que uma empresa precisa para se manter à tona durante uma emergência.

A continuidade de negócios e a recuperação de desastres têm algumas semelhanças. Ambos consideram vários eventos imprevistos, como ataques cibernéticos, erros humanos e desastres naturais. Eles se concentram na recuperação de negócios, especialmente para aplicativos críticos para a missão. Em muitas situações, a mesma equipe trabalha tanto na BC quanto na DR.

Planos de continuidade de negócios bem-sucedidos reduzem o tempo de inatividade operacional, enquanto planos de recuperação de desastres eficazes reduzem funções de sistema anormais ou ineficientes. As empresas podem se preparar totalmente para emergências apenas integrando as duas estratégias.

Resiliência de negócios vs. continuidade de negócios

Embora os planos de continuidade de negócios sejam críticos para o sucesso em um mundo imprevisível, a resiliência de negócios vai além dos planos para fomentar uma cultura ágil.

A resiliência de negócios é a disposição de uma organização para se adaptar a situações e funcionar eficientemente diante de riscos ou mudanças externas ou internas. Empresas resilientes podem se adaptar e lidar com ameaças de segurança, risco, preparação e sobrevivência.

A resiliência de negócios responde a riscos e incorpora continuidade de negócios e gestão de crises. Também abrange a capacidade de uma empresa de se adaptar a novos ambientes e mesclar várias disciplinas em um único conjunto de procedimentos integrados. É uma abordagem mais estratégica para a gestão de riscos. A resiliência de negócios é personalizada para cada empresa, já que diferentes empresas têm necessidades diferentes.

Em suma, trata-se de absorver um golpe e se recuperar dele. Para uma empresa, isso significa que, em caso de interrupção, você tem medidas em vigor para absorver o impacto sem interromper severamente suas atividades. As empresas precisam seguir certos princípios para criar uma estrutura para a resiliência organizacional bem-sucedida.

A resiliência geralmente requer:

• Comportamento consistente com uma visão e objetivo compartilhados
• Uma compreensão atualizada do ambiente de uma empresa
• A capacidade de absorver, adaptar e responder a mudanças de forma eficaz
• Boa liderança e gestão
• Coordenação entre disciplinas gerenciais e contribuições de especialistas técnicos e científicos

Padrões de continuidade de negócios

Os padrões de continuidade de negócios promovem a uniformidade em uma abordagem específica de continuidade de negócios. Seguir normas e processos estabelecidos permite que as empresas alcancem retornos rápidos.

• ISO 22301: Este padrão de BC estabelece uma estrutura para táticas de resposta e métodos de recuperação por meio de um sistema de gestão definido. Inclui planejamento estratégico, design, implementação, facilidade de operabilidade, monitoramento, avaliação, gestão e atualizações oportunas.
• ISO 22313: Este protocolo é uma extensão do ISO 22301 que destaca cláusulas regulatórias específicas.
• ISO 27001: Esta estratégia se concentra em sistemas de gestão de segurança da informação (ISMS). Envolve o design, implementação, gestão e promoção de uma cultura de melhoria contínua.
• ISO 22320: Este padrão de BC define condições de resposta a incidentes e uma abordagem fundamental para a estrutura de comando, informações operacionais e engajamento com grupos de resposta a incidentes.
• ISO 31000: Este é um quadro geral de gestão de riscos que pode ser adaptado a qualquer negócio, independentemente do tipo, tamanho ou complexidade de suas atividades. Cobre gestão de riscos e alocação eficaz de recursos.
• ISO 27000: Este é um conjunto de regras regulatórias aplicáveis a ISMS. Foca na segurança do sistema de informações, incluindo dados financeiros, perfis de pessoal, dados de consumidores e bancos de dados de terceiros.
• ISO 28000: Este padrão descreve os requisitos para um sistema de gestão de segurança do ponto de vista da gestão da cadeia de suprimentos.
• NFPA 1600: É uma fonte de referência que explica como se preparar para, abordar e se recuperar de desastres.
• NFPA 72: Este padrão fornece melhores práticas para implantar sistemas de detecção de incêndio, sinalização, alarme, notificação em massa, gestão de clima e sistemas de notificação semelhantes para notificar equipes de continuidade de negócios sobre perigos potenciais.

Ferramentas de continuidade de negócios

Você pode escolher entre uma ampla gama de ferramentas de continuidade de negócios, cada uma com seu próprio conjunto de recursos:

• Backup: O backup de dados é uma das técnicas mais básicas para garantir a continuidade de negócios. Embora manter dados fora do local ou em um drive remoto assegure alguma continuidade de negócios, outros sistemas são necessários para fazer backup da infraestrutura de TI e mantê-la operacional em caso de desastre. Software de backup protege os dados da empresa replicando dados de servidores, bancos de dados, desktops e outros dispositivos quando erros humanos, arquivos danificados ou calamidades físicas tornam dados essenciais inacessíveis.
• Backup como Serviço (BaaS): O Backup como Serviço é comparável ao backup de dados em um local distante, mas é realizado por uma fonte terceirizada. Mais uma vez, os dados são copiados, mas a infraestrutura de TI não é.
• DRaaS: DRaaS migra o processamento de dados de uma organização para uma plataforma em nuvem. Os fornecedores de DRaaS oferecem um modelo de assinatura ou pagamento por uso para que as empresas utilizem o serviço. Uma vantagem do DRaaS é que as empresas podem continuar a operar normalmente a partir do site do fornecedor, mesmo que seus servidores estejam indisponíveis. Usar um fornecedor local de DRaaS resulta em menor latência, mas se os servidores do fornecedor estiverem muito próximos do local do desastre, seus servidores podem ser afetados pela mesma crise.

Benefícios da continuidade de negócios

Eventos inesperados podem descarrilar uma organização a qualquer momento. Seja o incidente um desastre natural ou um acidente, um revés intencional ou um ataque, o impacto na sua empresa pode ser severo. Se você não planejar para tal emergência, as consequências podem ser muito mais severas.

Estratégias de continuidade de negócios podem ajudá-lo a:

• Garantir que sua empresa continue funcionando durante e após um evento
• Proteger a reputação da sua empresa
• Restaurar operações o mais rápido possível após uma interrupção
• Reduzir o custo de lidar com o tempo de inatividade dos negócios
• Reduzir os riscos e o impacto dos riscos no seu negócio
• Aumentar a confiança e a confiança dos clientes

Desafios da continuidade de negócios

Com a continuidade de negócios proporcionando todos os benefícios listados acima, pode ser contraintuitivo supor que adotar uma estratégia de continuidade de negócios possa ter desvantagens. Talvez "limitações" seja um termo melhor para usar ao discutir desvantagens. Embora o planejamento de continuidade de negócios ofereça vários benefícios, ele pode dar às empresas uma falsa sensação de segurança e levar a uma preparação inadequada.

Aqui estão alguns desafios comuns de continuidade de negócios:

• É um processo demorado. Desenvolver uma estratégia de continuidade de negócios leva tempo. Além disso, estabelecê-la como uma parte crítica da cultura organizacional não é muito fácil.
• Vem com restrições financeiras. Um plano de continuidade de negócios pode resultar em perdas econômicas substanciais se executado incorretamente.

Planeje para o pior

Não há muito uso em organizar planos de recuperação de desastres e continuidade de negócios se você não os mantiver atualizados. Revise regularmente as suposições em que seu programa foi baseado. Desenvolva mais de um cenário de recuperação para escolher a solução mais apropriada para cada situação. Finalmente, identifique sistemas e dados críticos para recuperar rápida e completamente.

Quer avaliar riscos de negócios e planejar para eles? Veja como software de gestão de continuidade de negócios ajuda empresas a identificar e se recuperar de interrupções operacionais.