No atual mundo empresarial, onde as organizações se deparam com interligações complexas e num contexto em constante evolução, pode ocorre, a qualquer momento, um evento disruptivo que ameace a própria existência de uma organização. Eventos como, desastres naturais, ataques cibernéticos, pandemias e outro tipo de cenários de crise podem causar danos significativos à operação, à reputação e aos resultados financeiros de uma empresa. Por forma a mitigar esses riscos, as organizações devem desenvolver um Plano de Continuidade do Negócio (BCP) abrangente que descreva os procedimentos e estratégias necessárias para manter as operações do negócio durante e após uma disrupção.

Um BCP elaborado corretamente é essencial para garantir a resiliência de uma organização, protegendo os seus ativos e minimizando o impacto de disrupções nos seus clientes, funcionários e partes interessadas. Neste artigo, abordaremos os principais componentes de um Plano de Continuidade de Negócios, fornecendo uma visão abrangente dos elementos essenciais que as organizações devem incluir no seu BCP.

1. Análise de Impacto no Negócio (BIA)

O primeiro passo no desenvolvimento de um BCP é realizar uma Análise de Impacto no Negócio (BIA). Isso envolve identificar os processos críticos do negócio, avaliar o impacto potencial de uma disrupção nesses processos e priorizar a sua recuperação. Uma BIA ajuda as organizações a compreender as potenciais consequências de uma disrupção, incluindo perdas financeiras, danos à reputação e perdas de confiança dos clientes.

Como parte do processo BIA, a organização identificará os objetivos de continuidade do negócio, que suportam a definição das metas e objetivos do BCP, incluindo os objetivos de tempo de recuperação (RTOs) e objetivos de ponto de recuperação (RPOs). Os RTOs definem o tempo máximo necessário para recuperar processos ou funções do negócio críticas, enquanto os RPOs definem a quantidade máxima de dados que se podem perder durante uma disrupção. Estes objetivos serão importantes para que, mais adiante, seja possível selecionar e estabelecer as estratégias de continuidade do negócio e de recuperação de desastres que serão incluídas no BCP.

2. Avaliação de Risco

A avaliação do risco é um componente crítico para estabelecer um BCP, uma vez que auxilia as organizações a identificar potenciais riscos que perturbem as atividades do negócio, impactando os processos críticos, os recursos e outras interdependências, como, por exemplo, um fornecedor de tecnologias de informação que faça parte da cadeia de abastecimento. Inclui-se, a identificação de potenciais desastres naturais, ciberataques, falhas ou avarias em infraestruturas críticas e outros tipos de eventos disruptivos que afetem a organização. Uma avaliação do risco irá também auxiliar as organizações a priorizar o desenvolvimento de estratégias de mitigação e planos de contingência, permitindo reduzir a probabilidade de eventos disruptivos e preparando as capacidades necessárias para uma rápida resposta e consequente redução de impactos.

3. Estratégias de Continuidade e Recuperação do Negócio

3.1 Estratégia de Continuidade do Negócio
A estratégia de continuidade do negócio descreve a abordagem da organização para manter as operações do negócio em caso de disrupções. Inclui-se, a identificação de processos, procedimentos e recursos alternativos que podem ser utilizados ​​para manter a continuidade do negócio. A(s) estratégia(s) de continuidade do negócio ajuda as organizações no desenvolvimento de um plano para responder a eventos disruptivos, minimizando o tempo de indisponibilidade e garantindo a continuidade de processos críticos do negócio.

3.2 Estratégia de Recuperação
Pese embora seja fundamental garantir a continuidade do negócio, é também necessário e relevante pensar em como recuperar as funções críticas do mesmo, uma vez que, como referido, a continuidade do negócio pode envolver a implementação de processos, procedimentos, sistemas alternativos, ou mesmo a ativação de localizações alternativas, em diferentes geografias, e/ou com capacidade limitada.
A organização deve definir uma estratégia de recuperação de modo a delinear as etapas necessárias para restaurar as funções críticas do negócio para o novo “business-as-usual”, no caso de um evento disruptivo. Essa(s) estratégia(s) pode(m) envolver a necessidade de ativação de equipas de recuperação e limpeza, o estabelecimento de contactos e a articulação dos esforços necessários com as partes externas identificadas previamente em listas de contactos de emergência, o contacto com as seguradoras e a ativação das apólices de seguros relacionadas. Inclui-se, ainda, a limpeza e recuperação dos locais impactados, a recuperação de sistemas e dados de backups, e a seleção de outras estratégias necessárias, de modo a assegurar que tudo está pronto para continuar as funções do negócio no modo “novo normal”. Pense nisto como um “manual” com estratégias para colocar o seu negócio a funcionar de novo, rapidamente e com a máxima capacidade.

4. Plano Operacional de Continuidade de Negócio (BCOP) [por área de negócio]

O Plano Operacional de Continuidade de Negócio (BCOP) garante a continuidade das operações de cada [Área de Negócio] em caso de perturbação ou crise, minimizando o impacto nos clientes, colaboradores e outras partes interessadas. Este plano descreve os procedimentos e protocolos a seguir em caso de incidente disruptivo, garantindo a rápida recuperação das operações comerciais e mantendo a reputação da organização. Este BCOP aplica-se à [Área de Negócio] específica, que é responsável por [descrever resumidamente as funções e responsabilidades da área de negócio]. O plano abrange todos os processos de negócio, sistemas e infraestruturas críticas necessárias para a operação contínua dessa área de negócios.

5. Plano de Gestão de Emergências

Um plano de gestão de emergências, é um documento abrangente que descreve os procedimentos e protocolos para responder e gerir cenários de emergência que representam uma ameaça imediata à vida, à propriedade ou ao meio ambiente. As emergências podem incluir desastres naturais, como furacões, terramotos ou inundações, assim como incidentes provocados pelo homem, como incêndios, derrames de produtos químicos ou acidentes industriais. Inclui-se a identificação da equipa de resposta a emergências, delinear ou identificar os protocolos de comunicação estabelecidos no plano de comunicação e, definir as funções e responsabilidades de cada membro da equipa.

O foco principal de um plano de gestão de emergências é garantir a segurança e o bem-estar das pessoas, bem como minimizar os danos à propriedade e ao meio ambiente. O plano normalmente inclui:

1. Procedimentos de resposta a emergências
2. Planos de evacuação
3. Protocolos de comunicação
4. Alocação e implantação de recursos
5. Avaliação de danos e estratégias de recuperação

Um plano de gestão de emergências é frequentemente desenvolvido por uma equipa multidisciplinar, incluindo equipas de resposta a emergências, gestores de instalações e outras partes interessadas, e a sua implementação é normalmente liderada por colaborar designados para a gestão de emergências (“trabalhador designado”).

6. Plano de Recuperação

O plano de recuperação descreve as etapas necessárias para restaurar a normalidade das operações da organização após um evento disruptivo. Inclui-se, a identificação dos recursos e o pessoal necessários para suportar os esforços de recuperação, a definição de prazos para a recuperação e o estabelecimento de procedimentos para testar e executar o plano de recuperação. Um plano de recuperação ajuda as organizações recuperarem rapidamente de disrupções, minimizando o tempo de inatividade e garantindo a continuidade de processos críticos do negócio.

Conforme abordado anteriormente, este plano inclui e ativa as estratégias de recuperação previamente identificadas (dentro do possível, pois deverão ser adaptadas ao impacto real do evento disruptivo), incluindo, os procedimentos e processos para a normalização das operações do negócio. Pode incluir planos detalhados para restaurar sistemas críticos, como sistemas de TI e de comunicação, assim como planos para recuperar processos de negócio, como, por exemplo, as operações de produção e da cadeia de abastecimento.

7. Plano de Gestão de Crises e a CMT

7.1 Plano de Gestão de Crises
O plano de gestão de crises é um documento estratégico e um componente crítico do BCP. O plano, descreve os procedimentos e protocolos para gerir um cenário de crise em que exista a probabilidade de prejudicar significativamente a reputação, as finanças ou as operações de uma organização. Uma crise pode ser um evento repentino e inesperado, como um recall de produto, um desastre natural ou um ciberataque, que ameace a estabilidade e a continuidade da organização. Inclui-se, a identificação da equipa de gestão de crises, o delinear dos protocolos de comunicação e a definição das funções e responsabilidades de cada membro da equipa.

O foco principal de um plano de gestão de crises é a gestão da própria crise, incluindo:

1. Identificação e avaliação do cenário de crise
2. Desenvolver uma estratégia de resposta
3. Comunicação com as partes interessadas, incluindo colaboradores, clientes e a mídia
4. Mitigar o impacto da crise na organização
5. Restaurar operações normais e reputação

Um plano de gestão de crises é normalmente desenvolvido pela gestão de topo e pelas principais partes interessadas, e a sua implementação é muitas vezes liderada pela equipa de gestão de crises.

7.2. Equipa de Gestão de Crises (CMT)
A equipa de gestão de crises é responsável por coordenar, responder e gerir eventos disruptivos, que sejam classificados como potenciais crises ou cenários de crise. Esta equipa deve incluir representantes de diversos departamentos, como as TI, operações, finanças e recursos humanos. Os vários membros da equipa irão trabalhar em conjunto na tomada de decisões, alocar recursos e implementar a estratégia de recuperação do evento de crise. A equipa deve ter a formação adequada para responder de forma rápida e eficaz aos eventos disruptivos e devem estar claramente definidas as funções e responsabilidades da equipa e dos seus membros.

8. Formação e Consciencialização

A formação e a consciencialização são componentes críticos de um BCP, uma vez que ajudam a garantir que todos os membros da equipa estão familiarizados com o plano e com as suas funções e responsabilidades. Inclui-se a realização regular de programas de formação e sensibilização e a garantia de que todos os membros da equipa compreendem a importância da continuidade do negócio.

9. Testar e Exercitar

Testar e exercitar o BCP é fundamental para garantir que o mesmo é eficaz, e que todos os membros da equipa estão familiarizados com as suas funções e responsabilidades. Inclui-se, a realização de simulacros e exercícios regulares de modo a testar o plano e identificar áreas de melhoria.

10. Monitorização, Revisão e Melhoria Contínua do BCP

O BCP deve estar sujeito a um processo de melhoria contínua, incluindo revisões e atualizações regulares de modo a garantir que o plano permanece eficaz e relevante. Assim, deve-se monitorizar e avaliar a eficácia do plano, identificar áreas de melhoria e implementar alterações quando necessário.

Lembre-se de que o seu BCP é tão bom quanto o esforço que despender na sua manutenção. A revisão e atualização regular do seu plano é fundamental, pelo que, a atualização das listas de contactos, a revisão das estratégias de recuperação e a realização de exercícios regulares de formação são atividades que fazem parte deste processo. Para que o plano se mantenha eficaz e relevante, estas são as atividades que necessita de assegurar que são realizadas regularmente.

11. Outros Sub-planos (transversais aos planos acima identificados)

11.1 Plano de recuperação de desastres de TI (IT DPR)
Um plano abrangente de recuperação de desastres de TI (DR) é um documento crítico que descreve os procedimentos e estratégias para restaurar sistemas e dados de TI em caso de desastre, falha catastrófica, ou crise. O plano visa garantir o mínimo de tempo de inatividade, perda de dados e interrupção dos negócios, protegendo assim a reputação de uma organização, o relacionamento com os clientes e a estabilidade financeira.

11.2. Plano de Comunicação (transversal aos vários planos)
O plano de comunicação é essencial para garantir que as partes interessadas são informadas e atualizadas durante uma disrupção. Isto inclui, identificar os canais de comunicação, delinear os protocolos de comunicação a serem utilizados para a partilha de informação, desenvolver mensagens e anúncios, definir as funções e responsabilidades de cada membro da equipa e estabelecer procedimentos para reportar e rastrear informação. Um plano de comunicação ajuda a organização a manter a transparência e a confiança com as partes interessadas, informando-as sobre os seus esforços de resposta. Inclui-se a comunicação com colaboradores, clientes, fornecedores e outras partes interessadas para minimizar o impacto da disrupção, incluindo o impacto reputacional, na organização e nas partes interessadas.

11.3. Plano de Continuidade da Cadeia de Abastecimento
Um plano de continuidade da cadeia de abastecimento descreve os procedimentos a seguir para garantir a continuidade das operações da cadeia de abastecimento em caso de desastre ou crise.

11.4 Plano de Recursos Humanos
Um plano de recursos humanos descreve os procedimentos a serem seguidos para gerir a segurança e o bem-estar dos colaboradores em caso de desastre ou crise.

11.5. Plano Financeiro
Um plano financeiro descreve os procedimentos a serem seguidos para gerir as operações financeiras em caso de desastre ou crise.

Conclusão

Em conclusão, para garantir a continuidade das operações do negócio em caso de disrupção, é necessário que a organização estabeleça um Plano de Continuidade do Negócio (BCP) abrangente. Compreender os principais componentes de um BCP, é crítico para as organizações poderem desenvolver um plano robusto que as ajude a manter a continuidade do negócio e a recuperar de forma rápida e eficiente em caso de disrupção. Um BCP bem elaborado pode auxiliar as organizações a melhorar a resiliência das suas operações, e a minimizar o impacto de eventos inesperados, garantindo e melhorando assim a confiança das suas partes interessadas.

A Behaviour apresenta um catálogo de formação e certificação dedicada à área das Melhores Práticas, Metodologias e Sistemas de Gestão. Explore o Catálogo de Formação e os cursos na Área de Continuidade do Negócio.

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo

No atual cenário empresarial, onde as organizações se deparam com interligações complexas e num contexto em constante evolução, os eventos disruptivos são cada vez mais prováveis e fazem parte dos cenários para os quais uma organização deve estar preparada.

Quer se trate de um desastre natural, de um ataque ciberataque ou de uma falha na cadeia de abastecimento, o impacto no seu negócio pode ser significativo. Mas, e se pudesse construir um sistema capaz de resistir e de recuperar com facilidade desses eventos disruptivos? Vamos explorar a importância das melhores práticas de continuidade do negócio e fornecer dicas práticas sobre como construir sistemas robustos para poderem resistir a qualquer “tempestade”.

Por que é a continuidade do negócio importante?

A continuidade do negócio implica garantir que a sua organização possa continuar a operar de forma eficaz, mesmo quando se depara com eventos disruptivos inesperados. Trata-se de ter um plano estabelecido para minimizar o tempo de inatividade, proteger a sua reputação e retornar à operação do negócio normalmente e, o mais rápido possível. Na era digital de hoje, os riscos são maiores do que nunca. Uma única hora de inatividade pode resultar em perdas financeiras significativas, danos à sua marca e perda de confiança do cliente.

Consequências dos eventos disruptivos

As disrupções podem ocorrer de várias formas, desde desastres naturais, como furacões e terramotos, até ciberataques ou falhas na cadeia de abastecimento. As consequências podem ser devastadoras, incluindo:

• Perdas financeiras: As disrupções podem resultar em perdas financeiras significativas, incluindo perda de receitas, equipamentos danificados e aumento de custos.
• Danos à reputação: uma disrupção pode prejudicar a sua reputação e impactar a confiança do cliente, dificultando a recuperação.
• Problemas de conformidade: As interrupções também podem levar a problemas de conformidade, incluindo a não conformidade com requisitos regulamentares.

Construir Sistemas Robustos

Como pode então construir um sistema que consiga resistir e recuperar de eventos disruptivos? Indicamos de seguida algumas dicas práticas:

1. Desenvolva um Plano de Continuidade do Negócio: Um plano de continuidade do negócio é um componente crítico de qualquer sistema robusto. Este plano descreve os passos que deve executar para responder a uma disrupção, incluindo informações de contactos de emergência, sistemas de backup e procedimentos de recuperação.
2. Identifique Sistemas Críticos: Identifique os sistemas críticos que são essenciais para as suas operações de negócio. Isto pode incluir sistemas de TI, gestão da cadeia de abastecimento e suporte ao cliente.
3. Implemente Redundâncias: Implemente redundâncias nos seus sistemas críticos de modo a garantir que continuam a operar mesmo se um sistema falhar.
4. Realize testes regulares: realize testes regulares do seu plano de continuidade do negócio para garantir que o mesmo é eficaz e que a sua equipa está preparada para responder a um evento disruptivo.
5. Mantenha-se informado: mantenha-se informado sobre possíveis cenários de eventos disruptivos, incluindo desastres naturais, ciberameaças e problemas na cadeia de abastecimento.

Exemplos de casos reais

Na prática, o que são então sistemas robustos? Indicamos de seguida alguns exemplos de casos reais: 

• Delta Airlines: Após uma falha de energia crítica em 2016, a Delta Airlines conseguiu recuperar a sua operação rapidamente graças ao seu plano de continuidade do negócio. A companhia aérea conseguiu redirecionar os voos e fornecer atualizações aos clientes, minimizando o impacto da disrupção.

Infelizmente, a Delta Airlines, e muitas outras empresas em todo o mundo, não estavam preparadas para um cenário “impensável” e “improvável” e, não foram capazes de se adaptar e responder rapidamente ao mais recente evento disruptivo de TI no início deste ano de 2024, causada pela atualização da CrowdStrike.

 Segundo o website avweb.com,
“O CEO da Delta Air Lines, Ed Bastian, criticou a empresa de cibersegurança CrowdStrike e o fornecedor de software Microsoft, reportando que a disrupção de TI custou à companhia aérea US$ 500 milhões.

A enorme disrupção dos computadores da Delta em 19 de julho interrompeu o sistema de rastreamento da tripulação da companhia aérea por quase uma semana, impedindo a empresa de localizar pilotos e comissários de bordo para operar voos. Como resultado, a Delta teve de cancelar cerca de 30% dos seus voos. (…)

Bastian disse que a recuperação da Delta foi prejudicada de forma significativa devido à sua elevada dependência da CrowdStrike e da Microsoft para cibersegurança. A empresa teve que reinstalar manualmente 40.000 servidores para restaurar as operações.” 

• UPS: Quando um ciberataque massivo atingiu a UPS em 2017, a empresa conseguiu responder rapidamente graças ao seu plano de continuidade do negócio. A empresa conseguiu conter o ataque e minimizar o impacto nas suas operações.

• NHS: Quando um poderoso ciberataque atingiu o NHS e a assistência social em 2022, causou perturbações significativas em muitos sistemas de software de serviços de assistência. Um dos fornecedores de cuidados de saúde foi um dos muitos fornecedores, que foram forçados a operar sem um sistema crítico instalado para suportar o seu serviço. Embora o fornecedor tivesse toda a infraestrutura de cibersegurança relevante e apropriada, o serviço foi interrompido por um ataque de ransomware direcionado ao seu fornecedor de software. Felizmente, a empresa tinha um plano de continuidade do negócio em vigor que incluía um plano robusto para cibersegurança, e o serviço conseguiu continuar as operações graças às práticas estabelecidas no seu plano de continuidade do negócio.

Conclusão
Construir sistemas robustos que possam resistir e recuperar de disrupções é fundamental para o sucesso de qualquer negócio. Ao desenvolver um plano de continuidade do negócio, identificar sistemas críticos, implementar redundâncias, realizar testes regulares e, ao manter-se informado é possível minimizar o impacto das disrupções e garantir que o seu negócio continua a operar de forma eficaz. Lembre-se de que a continuidade do negócio não se trata apenas de evitar períodos de indisponibilidade – trata-se de proteger a sua reputação, minimizar as perdas financeiras e garantir que os seus clientes continuam a confiar em si.

Ainda, a continuidade do negócio ajuda a criar uma cultura de resiliência para a organização estar preparada para consiguir responder aos cenários mais “impensáveis ​​e imprevisíveis”. Desta forma, a empresa pode adaptar-se e responder rapidamente a esses cenários, minimizando o impacto no negócio.

A Behaviour apresenta um catálogo de formação e certificação dedicada à área das Melhores Práticas, Metodologias e Sistemas de Gestão. Explore o Catálogo de Formação e os cursos na Área de Continuidade do Negócio.

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Isenção de responsabilidade: este artigo é baseado em pesquisas externas públicas obtidas de diversas fontes. As informações fornecidas são apenas para fins de referência e os utilizadores assumem total responsabilidade por confiar nelas. A BEHAVIOUR não assume nenhuma responsabilidade pela precisão ou consequências do uso destas informações.