Gestão da Continuidade de Negócios (GCN)

 

Você já imaginou,
Uma empresa ficar sem internet, rede ou luz por horas? Parada por um dia? Sem operação por uma semana?

A Gestão da Continuidade de Negócios (GCN) (ABNT NBR ISO 22301:2013) é uma disciplina que ajuda a empresa a definir os processoschave e os impactos que resultariam da concretização de situações de interrupções, e preparar-se para responder a estes cenários, continuar os negócios e recuperar-se no menor tempo possível.
A Continuidade de Negócios é um domínio da Gestão de Riscos e demanda planejamento prévio e preparação dos recursos. Para isto, alguns planos devem ser criados e sempre estarem atualizados:

• Planos de Resposta (emergência e crises)
• Plano de Continuidade (recuperação e retorno)

Recomenda-se que as organizações estabeleçam, implementem, e mantenham uma documentação e avaliação formal para sistematizar o processo de análise de risco e impactos e estabeleça os objetivos da continuidade de negócio.
Para o desenvolvimento e implementação dos planos, aconselha-se adotar uma estrutura de trabalho e tática executando as seguintes etapas/ações:

1 – Realizar uma Avaliação de Riscos

• Identificar os riscos (e suas fontes) que possam levar a níveis inaceitáveis de ruptura nas atividades que são necessárias para o cumprimento dos objetivos da organização (ex: processos, instalações, pessoas, sistemas de informação, recursos, patrimônios tangíveis e intangíveis, parceiros, fornecedores, entre outros).
• Análise sistêmica dos riscos, pois estes são influenciados por fatores que sofrem alteração.

2 – Realizar uma Análise de Impacto nos Negócios (Business Impact Analysis – BIA)

• Identificar a criticidade da ocorrência do risco x os processos que são impactados;
• Mapear os processos mais críticos e suas interdependências.

3 – Elaborar e Implantar a Gestão de Crises

• Elaborar e disseminar as práticas de gestão de crises em todos os níveis da empresa, abrangendo também os terceiros, com o patrocínio da alta administração;
• Efetuar treinamentos teóricos e práticos, assegurando que todos os colaboradores realizem no mínimo uma passagem anual, sendo este o maior intervalo de tempo e mínimo de frequência;
• Garantir que todos em todos os níveis, de operacionais a executivos, estejam preparados para uma ação em caso de crise.

4 – Estruturar as Estratégias de Recuperação e Retorno

• Avaliar os riscos que requeiram tratamento (estão acima do nível de risco residual aceitável);
• Identificar tratamentos que correspondam com a magnitude do impacto com os objetivos da continuidade dos negócios e recuperação, recursos disponíveis, custos relacionados e expectativas dos Stakeholders.

5 – Elaboração dos Planos de Continuidade

• Envolver na elaboração dos planos um time multidisciplinar;
• Aplicar os planos de continuidade em toda a organização, garantindo uma organização mais resiliente;
• As organizações devem treinar, pelo menos, dois indivíduos em cada plano de continuidade, a fim de possuir uma reserva no caso do primeiro responsável não estar disponível;
• Testar os planos continuamente para fins de validação e melhoria;
• Assegurar a elevação do nível de maturidade da empresa, aumentando a confiança das partes envolvidas e dos acionistas.

Durante a Análise de Impacto nos Negócios (etapa 2), a criticidade da ocorrência de um determinado risco deverá ser avaliada e servirá como base posterior na elaboração das Estratégias de Recuperação e Retorno (etapa 4).
Na figura abaixo, seguem exemplos de impactos que podem ser levados em consideração durante o cálculo de criticidade para chegar à Criticidade da Ocorrência de Risco.

Para o Cálculo de Criticidade, deve-se estabelecer para cada impacto uma pontuação, por exemplo: de 1 a 5. Uma vez estabelecida a média dos valores, chega-se à Criticidade de Ocorrência do Risco:

• Impacto de Imagem (público interno e externo)
• Impacto Regulatório (multas, licenças, autorizações)
• Impacto Estratégico (planejamento, expansão, entrada em novos mercados)
• Impacto Financeiro (seguradoras, ações, fundos, caixa)
• Impacto Operacional (produção e janelas críticas)
• Impacto nos Processos (interdependências)
• Impacto com Fornecedores (nacionais e estrangeiros)
• Impacto na Sociedade e Meio ambiente

Média da pontuação = Criticidade de Ocorrência do Risco
Mapeados os riscos e seus impactos, há a necessidade de estabelecer uma priorização de retorno dos processos, baseando-se em critérios de nível de criticidade. Nesta etapa, os objetivos de tempo e ponto de recuperação dos processos devem ser estabelecidos.

O objetivo de ponto de recuperação (Recovery Point Objective – RPO) identifica o máximo de volume de dados, mensurado em horas, que pode ser perdido durante um esforço de recuperação. Ou seja, é a perda tolerável de informação.
O objetivo de tempo de recuperação (Recovery Time Objective – RTO) determina a tolerância máxima de tempo necessário para a volta dos sistemas críticos. Normalmente é medido em horas e deve ser cumprido dentro do MTD.
O tempo máximo tolerável de indisponibilidade (Maximum Tolerable Downtime – MTD) é a maior quantidade de tempo que um serviço de tecnologia da informação ou componente possa ficar indisponível sem causar sérios danos à organização. 

 

 

Uma vez realizadas todas as etapas anteriores de avaliação e mapeamento, o plano deverá ter em sua documentação um Acordo de Nível de Serviço (Service Level Agreement – SLA) com a área de Tecnologia da Informação. O SLA é um acordo entre a área prestadora de serviços de TI e seus clientes. Este acordo deve deixar claro quais serviços estão sendo oferecidos (serviços do Catálogo de Serviços), suas metas de nível de serviço, além dos papéis e responsabilidades das partes envolvidas no acordo. Caso haja um fornecedor externo de TI, também deverá ser considerado um contrato de apoio para definir metas e responsabilidades necessárias para a execução de um serviço de TI.

Este artigo buscou introduzir algumas ferramentas e estrutura de trabalho como sugestão para você iniciar, em seu ambiente, uma Gestão de Continuidade de Negócios, e não esgota o assunto. Existem diversas opções disponíveis no mercado de metodologias e soluções que aqui não foram apresentadas e devem ser consideradas durante sua avaliação.

Não existe uma fórmula única para estruturação de um trabalho de GCN. As boas práticas e frameworks devem ser adaptados à cultura, recursos disponíveis, setor, complexidade e nível de maturidade de seu negócio.
Para mais informações sobre preparação de segurança e emergência, é possível obter ótimas referências em alguns websites governamentais e institucionais americanos, assim como de entidades no Brasil. Seguem alguns endereços eletrônicos:

• www.asisonline.org
• www.dhs.gov
• www.cdc.gov
• www.nfpa.com
• www.fema.org

Normas, certificadoras e curso no Brasil sobre a ISO 22301:

• http://www.abntcatalogo.com.br
• http://www.abntcatalogo.com.br/curs.aspx?ID=27
• http://www.bsigroup.com/pt-BR/ISO-22301-Continuidade-dos-Negocios/

Certificações para profissionais de Continuidade de Negócios:

• https://www.drii.org
• https://www.exin.com/BR/pt/exames/&fw=exin-business-continuity-management

Melhores práticas para o gerenciamento de serviço de TI:

• https://www.axelos.com/best-practice-solutions/itil/what-is-itil

Fonte: ASIS/BSI BCM.01- 2010 – Business Continuity Management Systems: Requirements with Guidance for Use.

  

 

Autor: Paulo Grechi de Almeida, CPP, CPO, ASE, CGEIT, CISM
Diretor do Comitê de Continuidade de Negócios da | ABSEG
Membro do Comitê Técnico de Elaboração da Norma – Security Awareness Standard, da | ASIS International