1. Análise de Impacto no Negócio (BIA)

O primeiro passo no desenvolvimento de um BCP é realizar uma Análise de Impacto no Negócio (BIA). Isso envolve identificar os processos críticos do negócio, avaliar o impacto potencial de uma disrupção nesses processos e priorizar a sua recuperação.
Uma BIA ajuda as organizações a compreender as potenciais consequências de uma disrupção, incluindo perdas financeiras, danos à reputação e perdas de confiança dos clientes.

Como parte do processo BIA, a organização identificará os objetivos de continuidade do negócio, que suportam a definição das metas e objetivos do BCP, incluindo os objetivos de tempo de recuperação (RTOs) e objetivos de ponto de recuperação (RPOs).
Os RTOs definem o tempo máximo necessário para recuperar processos ou funções do negócio críticas, enquanto os RPOs definem a quantidade máxima de dados que se podem perder durante uma disrupção.
Estes objetivos serão importantes para que, mais adiante, seja possível selecionar e estabelecer as estratégias de continuidade do negócio e de recuperação de desastres que serão incluídas no BCP.

2. Avaliação de Risco

A avaliação do risco é um componente crítico para estabelecer um BCP, uma vez que auxilia as organizações a identificar potenciais riscos que perturbem as atividades do negócio, impactando os processos críticos, os recursos e outras interdependências, como, por exemplo, um fornecedor de tecnologias de informação que faça parte da cadeia de abastecimento.

Inclui-se a identificação de potenciais desastres naturais, ciberataques, falhas ou avarias em infraestruturas críticas e outros tipos de eventos disruptivos que afetem a organização. Uma avaliação do risco irá também auxiliar as organizações a priorizar o desenvolvimento de estratégias de mitigação e planos de contingência, permitindo reduzir a probabilidade de eventos disruptivos e preparando as capacidades necessárias para uma rápida resposta e consequente redução de impactos.

3. Estratégias de Continuidade e Recuperação do Negócio

3.1 Estratégia de Continuidade do Negócio

A estratégia de continuidade do negócio descreve a abordagem da organização para manter as operações do negócio em caso de disrupções. Inclui-se a identificação de processos, procedimentos e recursos alternativos que podem ser utilizados para manter a continuidade do negócio. A(s) estratégia(s) de continuidade do negócio ajudam as organizações no desenvolvimento de um plano para responder a eventos disruptivos, minimizando o tempo de indisponibilidade e garantindo a continuidade de processos críticos do negócio.

3.2 Estratégia de Recuperação

Pese embora seja fundamental garantir a continuidade do negócio, é também necessário e relevante pensar em como recuperar as funções críticas do mesmo. A organização deve definir uma estratégia de recuperação de modo a delinear as etapas necessárias para restaurar as funções críticas do negócio para o novo “business-as-usual”.

Essa(s) estratégia(s) pode(m) envolver a ativação de equipas de recuperação, a articulação com partes externas previamente identificadas, o contacto com seguradoras, a recuperação de sistemas e dados de backups e outras ações necessárias para assegurar o regresso ao “novo normal”.

4. Plano Operacional de Continuidade de Negócio (BCOP)

O Plano Operacional de Continuidade de Negócio (BCOP) garante a continuidade das operações de cada área de negócio em caso de perturbação ou crise, minimizando o impacto nos clientes, colaboradores e outras partes interessadas. Este plano descreve os procedimentos e protocolos a seguir em caso de incidente disruptivo, garantindo a rápida recuperação das operações e a manutenção da reputação da organização.

5. Plano de Gestão de Emergências

Um plano de gestão de emergências descreve os procedimentos para responder a cenários que representam uma ameaça imediata à vida, à propriedade ou ao meio ambiente. O foco principal é garantir a segurança das pessoas e minimizar os danos à propriedade e ao meio ambiente.

1. Procedimentos de resposta a emergências
2. Planos de evacuação
3. Protocolos de comunicação
4. Alocação e implantação de recursos
5. Avaliação de danos e estratégias de recuperação

6. Plano de Recuperação

O plano de recuperação descreve as etapas necessárias para restaurar a normalidade das operações da organização após um evento disruptivo, minimizando o tempo de inatividade e garantindo a continuidade dos processos críticos do negócio.

7. Plano de Gestão de Crises e a CMT

7.1 Plano de Gestão de Crises

O plano de gestão de crises descreve os procedimentos para gerir cenários que possam prejudicar significativamente a reputação, as finanças ou as operações de uma organização.

1. Identificação e avaliação do cenário de crise
2. Desenvolvimento de uma estratégia de resposta
3. Comunicação com partes interessadas
4. Mitigação do impacto da crise
5. Restauro da operação normal e da reputação

7.2 Equipa de Gestão de Crises (CMT)

A equipa de gestão de crises coordena, responde e gere eventos disruptivos, envolvendo representantes de várias áreas da organização, com funções e responsabilidades claramente definidas.

8. Formação e Consciencialização

A formação e a consciencialização garantem que todos os membros da equipa compreendem o BCP, as suas funções e responsabilidades, reforçando a importância da continuidade do negócio.

9. Testar e Exercitar

Testar e exercitar o BCP permite validar a sua eficácia, identificar lacunas e preparar as equipas para responderem com confiança.

10. Monitorização, Revisão e Melhoria Contínua

O BCP deve ser revisto e atualizado regularmente, assegurando que permanece eficaz, alinhado com a realidade da organização e com o seu contexto de risco.

11. Outros Sub-planos

11.1 Plano de Recuperação de Desastres de TI (IT DRP)

Define procedimentos para restaurar sistemas e dados de TI em caso de desastre, minimizando tempo de inatividade e perdas de dados.

11.2 Plano de Comunicação

Garante a comunicação clara, atempada e transparente com colaboradores, clientes, fornecedores e outras partes interessadas durante uma disrupção.

11.3 Plano de Continuidade da Cadeia de Abastecimento

Define medidas para assegurar a continuidade da cadeia de abastecimento em cenários de crise.

11.4 Plano de Recursos Humanos

Foca-se na segurança, bem-estar e gestão dos colaboradores durante e após um evento disruptivo.

11.5 Plano Financeiro

Define procedimentos para garantir a continuidade das operações financeiras em cenários de crise.

Conclusão

Para garantir a continuidade das operações do negócio em caso de disrupção, é essencial estabelecer um Plano de Continuidade do Negócio (BCP) abrangente. Um BCP bem elaborado reforça a resiliência, reduz o impacto de eventos inesperados e aumenta a confiança das partes interessadas.

A Behaviour apresenta um catálogo de formação e certificação dedicada à área das Melhores Práticas, Metodologias e Sistemas de Gestão.
Explore o Catálogo de Formação e os cursos na Área de Continuidade do Negócio.

Autor: Behaviour
Publicado em: 6 dezembro de 2024
Não é autorizada a cópia ou reprodução deste artigo.

Quer se trate de um desastre natural, de um ataque ciberataque ou de uma falha na cadeia de abastecimento, o impacto no seu negócio pode ser significativo. Mas, e se pudesse construir um sistema capaz de resistir e de recuperar com facilidade desses eventos disruptivos? Vamos explorar a importância das melhores práticas de continuidade do negócio e fornecer dicas práticas sobre como construir sistemas robustos para poderem resistir a qualquer “tempestade”.

Por que é a continuidade do negócio importante?

A continuidade do negócio implica garantir que a sua organização possa continuar a operar de forma eficaz, mesmo quando se depara com eventos disruptivos inesperados. Trata-se de ter um plano estabelecido para minimizar o tempo de inatividade, proteger a sua reputação e retornar à operação do negócio normalmente e, o mais rápido possível. Na era digital de hoje, os riscos são maiores do que nunca. Uma única hora de inatividade pode resultar em perdas financeiras significativas, danos à sua marca e perda de confiança do cliente.

Consequências dos eventos disruptivos

As disrupções podem ocorrer de várias formas, desde desastres naturais, como furacões e terramotos, até ciberataques ou falhas na cadeia de abastecimento. As consequências podem ser devastadoras, incluindo:

• Perdas financeiras: As disrupções podem resultar em perdas financeiras significativas, incluindo perda de receitas, equipamentos danificados e aumento de custos.
• Danos à reputação: uma disrupção pode prejudicar a sua reputação e impactar a confiança do cliente, dificultando a recuperação.
• Problemas de conformidade: As interrupções também podem levar a problemas de conformidade, incluindo a não conformidade com requisitos regulamentares.

Construir Sistemas Robustos

Como pode então construir um sistema que consiga resistir e recuperar de eventos disruptivos? Indicamos de seguida algumas dicas práticas:

1. Desenvolva um Plano de Continuidade do Negócio: Um plano de continuidade do negócio é um componente crítico de qualquer sistema robusto. Este plano descreve os passos que deve executar para responder a uma disrupção, incluindo informações de contactos de emergência, sistemas de backup e procedimentos de recuperação.
2. Identifique Sistemas Críticos: Identifique os sistemas críticos que são essenciais para as suas operações de negócio. Isto pode incluir sistemas de TI, gestão da cadeia de abastecimento e suporte ao cliente.
3. Implemente Redundâncias: Implemente redundâncias nos seus sistemas críticos de modo a garantir que continuam a operar mesmo se um sistema falhar.
4. Realize testes regulares: realize testes regulares do seu plano de continuidade do negócio para garantir que o mesmo é eficaz e que a sua equipa está preparada para responder a um evento disruptivo.
5. Mantenha-se informado: mantenha-se informado sobre possíveis cenários de eventos disruptivos, incluindo desastres naturais, ciberameaças e problemas na cadeia de abastecimento.

Exemplos de casos reais

Na prática, o que são então sistemas robustos? Indicamos de seguida alguns exemplos de casos reais:

• Delta Airlines: Após uma falha de energia crítica em 2016, a Delta Airlines conseguiu recuperar a sua operação rapidamente graças ao seu plano de continuidade do negócio. A companhia aérea conseguiu redirecionar os voos e fornecer atualizações aos clientes, minimizando o impacto da disrupção.

Infelizmente, a Delta Airlines, e muitas outras empresas em todo o mundo, não estavam preparadas para um cenário “impensável” e “improvável” e, não foram capazes de se adaptar e responder rapidamente ao mais recente evento disruptivo de TI no início deste ano de 2024, causada pela atualização da CrowdStrike.

Segundo o website avweb.com,
“O CEO da Delta Air Lines, Ed Bastian, criticou a empresa de cibersegurança CrowdStrike e o fornecedor de software Microsoft, reportando que a disrupção de TI custou à companhia aérea US$ 500 milhões.

A enorme disrupção dos computadores da Delta em 19 de julho interrompeu o sistema de rastreamento da tripulação da companhia aérea por quase uma semana, impedindo a empresa de localizar pilotos e comissários de bordo para operar voos. Como resultado, a Delta teve de cancelar cerca de 30% dos seus voos. (…)

Bastian disse que a recuperação da Delta foi prejudicada de forma significativa devido à sua elevada dependência da CrowdStrike e da Microsoft para cibersegurança. A empresa teve que reinstalar manualmente 40.000 servidores para restaurar as operações.”

• UPS: Quando um ciberataque massivo atingiu a UPS em 2017, a empresa conseguiu responder rapidamente graças ao seu plano de continuidade do negócio. A empresa conseguiu conter o ataque e minimizar o impacto nas suas operações.

• NHS: Quando um poderoso ciberataque atingiu o NHS e a assistência social em 2022, causou perturbações significativas em muitos sistemas de software de serviços de assistência. Um dos fornecedores de cuidados de saúde foi um dos muitos fornecedores, que foram forçados a operar sem um sistema crítico instalado para suportar o seu serviço. Embora o fornecedor tivesse toda a infraestrutura de cibersegurança relevante e apropriada, o serviço foi interrompido por um ataque de ransomware direcionado ao seu fornecedor de software. Felizmente, a empresa tinha um plano de continuidade do negócio em vigor que incluía um plano robusto para cibersegurança, e o serviço conseguiu continuar as operações graças às práticas estabelecidas no seu plano de continuidade do negócio.

Conclusão
Construir sistemas robustos que possam resistir e recuperar de disrupções é fundamental para o sucesso de qualquer negócio. Ao desenvolver um plano de continuidade do negócio, identificar sistemas críticos, implementar redundâncias, realizar testes regulares e, ao manter-se informado é possível minimizar o impacto das disrupções e garantir que o seu negócio continua a operar de forma eficaz. Lembre-se de que a continuidade do negócio não se trata apenas de evitar períodos de indisponibilidade, trata-se de proteger a sua reputação, minimizar as perdas financeiras e garantir que os seus clientes continuam a confiar em si.

Ainda, a continuidade do negócio ajuda a criar uma cultura de resiliência para a organização estar preparada para consiguir responder aos cenários mais “impensáveis e imprevisíveis”. Desta forma, a empresa pode adaptar-se e responder rapidamente a esses cenários, minimizando o impacto no negócio.

Autor: Behaviour
Publicado em: 6 dezembro 2024
Não é autorizada a cópia ou reprodução deste artigo.

Isenção de responsabilidade: este artigo é baseado em pesquisas externas públicas obtidas de diversas fontes. As informações fornecidas são apenas para fins de referência e os utilizadores assumem total responsabilidade por confiar nelas. A BEHAVIOUR não assume nenhuma responsabilidade pela precisão ou consequências do uso destas informações.