O que é plano de continuidade de negócios?
Plano de continuidade de negócios (PCN) é um processo capaz de proporcionar a uma empresa um nível de funcionamento operacional suficiente após interrupções ou incidentes de negócios.
Na prática, suponha que uma empresa teve seus dados tomados após invasão de hackers. Se ela possui um plano de continuidade dos negócios, poderá operar de modo suficiente até que a situação seja normalizada. Equipamentos, instalações, sistemas de informação, pessoal e informações podem ficar indisponíveis, certo?
Dessa forma, podemos pensar que o PCN é um importante mecanismo de prevenção à ocorrência de desastres. Diante de uma ocorrência, a empresa está preparada para minimizar o impacto da crise em seus negócios, pois existem processos alternativos diante da indisponibilidade dos processos atuais.
E o que é gestão de continuidade de negócios? É somente um nome relacionado ao plano de continuidade dos negócios. Diz respeito a prevenção e planejamento diante de incidentes ou ocorrências que impactam na operação empresarial.
Ainda neste sentido, podemos dizer que o plano de continuidade de negócios reúne um conjunto de ações e procedimentos que integram o processo de gerenciamento de crises.
Por este motivo, é fundamental que as estratégias e os planos táticos sejam desenvolvidos preventivamente. Quando ocorrer o incidente, a empresa já está planejada para garantir seus serviços essenciais.
Quais são os principais objetivos do planejamento de continuidade de negócios?
Quando falamos de plano de continuidade de negócios, estamos falando de prevenção em TI. Por isso, pensar em qual a função do plano de continuidade de negócios é pensar em minimizar impactos negativos.
Por meio dessa medida administrativa, os gestores podem assegurar a continuidade das operações comerciais em eventual indisponibilidade prolongada de ativos e recursos que suportam essas operações.
Portanto, seu objetivo é garantir que os sistemas críticos de uma empresa retorne à condição operacional regular em um prazo aceitável após ocorrência de um incidente de segurança. Dessa forma, mesmo em situações de contingência, consegue resguardar interesses, imagem, reputação e atividades de uma organização.
Para atingir ao seu objetivo, porém, o planejamento de continuidade de negócios deve ter em mente as principais perguntas que o norteiam. Quais são os riscos e ameaças existentes às operações empresariais? Existem processos críticos para o negócio? Se sim, quais são eles?
A partir dessas perguntas, os profissionais responsáveis poderão enxergar e delimitar os recursos necessários para enfrentar e superar os riscos existentes. Sempre existirá, conforme a natureza e porte da atividade econômica, uma estratégia de recuperação mais adequada.
A adequação de um plano de continuidade de negócios, inclusive, é o que faz com que gestores consigam atender os objetivos do PCN. Afinal, há processos que devem ser monitorados e controlados na empresa X, mas não na empresa Y.
Como elaborar um plano de continuidade de negócios?
Se você não sabe como fazer um plano de continuidade de negócios, fique tranquilo. Pense que o processo orienta e define quais ações devem ser executadas e em que momento serão executadas para que a empresa mantenha sua resiliência organizacional.
Um bom plano de continuidade de negócios deve ser capaz de responder efetivamente ao incidente, salvaguardando os negócios da organização. Por este motivo, considera-se que ele deve ser parte integrante de uma governança corporativa estruturada e baseada nas melhores estratégias de gestão de controles internos.
E como elaborar um plano de continuidade de negócios? Em primeiro lugar, o responsável deve ter em mente três perguntas fundamentais:
- Análise de risco: quais as principais ameaças à minha infraestrutura de TI?
- Análise de impacto: como as ameaças à infraestrutura podem impactar o negócio?
- Planejamento estratégico: diante de uma ameaça, quais ações serão necessárias para retomar as operações o quanto antes?
Com a resposta a essas três perguntas, é possível elaborar um plano de continuidade de negócios TI. O detalhamento das ações a serem tomadas em caso de uma interrupção no serviço da organização é muito importante, claro, mas não é o único tópico.
Um bom plano de continuidade de negócios e segurança da informação deve possuir a declaração de política, o objetivo e o escopo do plano. Além de trazer o mapeamento de potenciais cenários de perda, deve trazer informações sobre identificação, análise e avaliação dos riscos.
No entanto, isso não basta. Afinal, quem será responsável pelas ações? O plano de continuidade dos negócios deve definir não só as ações a serem tomadas, como também as responsabilidades e deveres de determinados profissionais.
Por fim, é importante que o plano de continuidade de negócios TI traga um roteiro de simulação de teste de funcionamento, as instruções sobre como usar o plano e o mecanismo de ativação do plano.
Subplanos de um bom PCN
Com tantas informações constantes no plano de continuidade de negócios, muitas pessoas o estruturam em quatro subplanos menores. Apesar disso, são planos interligados, que dizem respeito a estágios diferentes.
O plano de continuidade operacional (PCO) tem como principal função o restabelecimento do funcionamento dos principais ativos necessários para a operação da empresa. É o que reduz os impactos provocados por um eventual incidente e o tempo de queda.
Se a internet cai, por exemplo, o plano de continuidade operacional é ativado. O responsável adotará ações para que ela seja prontamente restabelecida, pois é um ativo fundamental para o funcionamento da organização.
Já o plano de gerenciamento de crises (PAC) traz as responsabilidades das equipes envolvidas com as ações de contingência. Com eles, os profissionais sabem o que fazer, antes, durante e após o incidente.
Existe também o plano de recuperação de desastres (PRD), que traz as ações necessárias para que a empresa retome os níveis originais de operação após controle da contingência e arrefecimento da crise, a empresa retome seus níveis originais de operação.
Por fim, o plano de contingência (emergência). Ele só deve ser acionado em último caso e diante das falhas de todas as demais prevenções. Ele define necessidades e ações mais imediatas.
Quais os benefícios de um plano de continuidade dos negócios?
Os benefícios de um plano de continuidade dos negócios se relacionam à própria definição e objetivo. O documento descreve o modo como uma organização responde a um incidente, de forma a garantir que suas funções sejam retomadas em um tempo hábil.
Para tanto, os responsáveis se fazem inúmeras perguntas ao elaborar, aprovar, comunicar e testar um plano de continuidade de negócios. A partir das respostas, ele terá clareza de uma série de processos de sua infraestrutura.
Com esse plano, a administração empresarial poderá usufruir de algumas vantagens que garantem a segurança da informação, tais como:
- Dar uma resposta eficiente às eventuais interrupções, uma vez que existe um planejamento com todas as ações necessárias;
- Aumentar significativamente a probabilidade de sobrevivência do negócio em caso de incidentes, qualquer que seja sua causa;
- Promover um entendimento mais evidente e amplo das operações organizacionais, o que possibilita melhorias contínuas;
- Preservar a reputação e a imagem da organização no que diz respeito a uma gestão profissional diante de uma crise;
- Identificar processos críticos e os impactos de sua paralisação para toda a empresa;
- Minimizar possíveis impactos negativos ao patrimônio e às partes interessadas;
- Treinar a equipe envolvida na resposta a ocorrências;
- Conhecer o grau de exposição aos riscos.
O plano de continuidade de negócios tem como objetivo criar padrões para que as empresas, diante de um incidente em sua infraestrutura, possam operar em condições adequadas até a normalização da atividade.
Quando o plano é adequado, há boas chances de o negócio voltar a operar sem nenhum problema.