DARYUS 
Lendo um artigo no blog do especialista em SI e GCN Sr. Dejan Kosutic, identifiquei algumas recomendações que são interessantes e importantes para empresas que pretendem adotar em seus plano de continuidade de negócios nas referências da ISO 22301 (ISO atual que orienta a implementação da Gestão de Continuidade de Negócios nas empresas). Lembre-se toda norma ISO é trilha e não trilho, portanto algumas variações e ajustes serão necessários de acordo com o tipo de negócio, segmento e cultura organizacional.
Segundo o Sr. Dejan, na sua experiência, as empresas costumam encontrar duas coisas que geralmente dificultam os processos de implementação:
- A avaliação de riscos;
- O planejamento de continuidade de negócios.
Então ele dá algumas recomendações interessantes:
O que é um Plano de Continuidade de Negócio?
“De acordo com a ISO 22301, Plano de Continuidade de Negócios é definida como “procedimentos documentados que as organizações precisam como um guia” para responder, recuperar, retomar e restaurar a um nível pré-definido de operação após a interrupção”. (Cláusula 3.5)
Isto significa basicamente que o BCP se concentra no desenvolvimento de planos/procedimentos, mas não inclui a análise de que forma a base desse planejamento, nem o meio de manter tais planos – todos estes são elementos necessários de gestão de continuidade de negócios, que são necessárias para permitir o planejamento da contingência com sucesso”.
“Exemplo, plano de continuidade de negócios, para ser a estrutura ideal para o plano de continuidade de negócios para empresas de menor porte ou de médio porte, e que cada seção deve incluir:
Finalidade, o escopo e os usuários – por que este plano é desenvolvido, seus objetivos, quais as partes da organização que abrange e quem deveria lê-lo.
Documentos de Referência – Todos os documentos que este plano se relaciona? Normalmente, estes são a Política de Continuidade de Negócios, Análise de Impactos no Negócio, Estratégia de Continuidade de Negócios, etc.
Pressupostos – os pré-requisitos que devem existir para que este plano seja eficaz.
Papéis e Responsabilidades – que será responsável pela gestão do incidente perturbador, e que está autorizado a realizar determinadas atividades, no caso de um incidente perturbador – por exemplo, ativação dos planos, compras urgentes, a comunicação com a mídia, etc.
Contatos Importantes – detalhes de contato para pessoas que irão participar na execução do plano de continuidade de negócio – este é geralmente um dos anexos do plano.
Ativação e Desativação Plano – em que casos pode o plano ser ativado, e o método de ativação, que condições devem existir para desativar o plano.
Comunicação – que meios de comunicação será utilizado entre equipes diferentes e com outras partes interessadas durante o incidente perturbador. Quem está encarregado de se comunicar com cada interessado, e as regras especiais de comunicação com a mídia e agências governamentais.
Resposta a incidentes – como reagir inicialmente a um incidente, a fim de reduzir os danos – esta é muitas vezes um anexo ao plano principal.
Locais físicos e transporte – que são os sítios primários e alternativos, onde os pontos de montagem, e como ir de primário para locais alternativos.
Ordem de recuperação para atividades – lista de todas as atividades, com precisos Recovery Time Objective (RTO) para cada um.
Os planos de recuperação para as atividades – descrição das ações passo-a-passo e as responsabilidades para a recuperação de recursos humanos, instalações, infraestrutura, software, informações e processos, incluindo interdependências e interações com outras atividades e partes interessadas externas – estas são muito frequentemente anexos ao principal plano.
Plano de recuperação de desastres – isto é, normalmente, um tipo de plano de recuperação que se concentra na recuperação da informação e infraestrutura de tecnologia de comunicação.
Recursos necessários – uma lista de todos os funcionários, serviços de terceiros, instalações, infraestrutura, informações, equipamentos, etc., que são necessárias para executar a recuperação, e que é responsável por fornecer a cada um deles.
Restaurar e retomar as atividades a partir de medidas temporárias – como restaurar atividades empresariais de volta ao business-as-usual, uma vez que o incidente perturbador foi resolvido.
O que eu gosto sobre a ISO 22301 é que ela exige que todos os elementos que são necessários para este plano para ser útil no caso de um desastre (ou qualquer outra interrupção das atividades de uma empresa). No entanto, nenhuma norma pode ajudá-lo a menos que você entenda essa tarefa a sério – um plano escrito corretamente e abrangente pode salvar a sua empresa em tempos difíceis, enquanto que um plano superficialmente escrito só vai piorar as coisas.
Bom, gosto da abordagem do Dejan e o considero um dos mais claros no entendimento. O que recomendo as empresas de pequeno e médio porte é que procurem consultores, de preferência certificados pelo DRII (www.drii.org) para auxiliá-los na confecção do seu Plano de Continuidade de Negócios.
Entenda que um Plano de Continuidade de Negócios é muito mais do que UM MONTE DE PAPEL BEM IMPRESSO EM UMA PASTA BONITA COM O NOME PCN NA CAPA.
A Continuidade de Negócios começa com o entendimento e comprometimento dos executivos sobre sua importância e abrangência. É uma DECISÃO DE NEGÓCIOS e um diferencial competitivo para as empresas. Esta decisão visa PROTEGER O NEGÓCIO e apoiar sua sobrevivência.
Em um dia comum, recebi uma ligação ás 6:00 (manhã) informando que um cano havia rompido no prédio onde está meu escritório na Av. Paulista em São Paulo e que um grande vazamento havia ocorrido afetado várias áreas comuns, elevadores desativados e não sabiam se haveria eletricidade para que usássemos o escritório naquele dia.
Bom, situações como estas são comuns e fáceis de acontecer, e felizmente conseguimos por volta das 8:00 ter acesso e nada foi atingido impedindo a realização de aulas da parte educacional ou de atividades normais de escritório pelos demais. Por algumas horas corremos o risco de declaram ativação do PCN e lidar com o cenário de INDISPONIBILIDADE DE LOCAL DE TRABALHO. O incidente foi gerenciado e não se tornou uma CRISE a ponto de ativação do PCN, porém poderia ter ocorrido.
E se a água tivesse afetado infraestrutura críticas de elétrica impedindo ou até mesmo danificando equipamentos principais. Provavelmente teríamos o cenário 1 de INDISPONIBILIDADE DE LOCAL e o cenário 2 INDISPONIBILIDADE DE INFRAESTRUTURA DE TIC, o que seria muito mais SEVERO.
Um Plano de continuidade de negócios faz com que os empresários pensem e repensem o que poderia ser feito em situações extremas que afetem suas operações. E como sair delas com o MENOR IMPACTO POSSÍVEL. ACIONISTAS, CLIENTES e INVESTIDORES agradecem!
Plano de Continuidades de Negócios é um tema discutido mundialmente. No Brasil, os eventos GRC+DRIDAY e GRM proporcionam aos participantes debates e painéis exclusivos que agregam sobre Gestão de Riscos, Continuidade e Cyber Security.
