O conceito do plano de continuidade de negócios (PCN) é familiar para você?
Quando o assunto vem à tona, a forma mais simples de entendê-lo é pensar da seguinte maneira: todo negócio está sujeito a problemas, interrupções e entraves que eventualmente podem paralisar e dificultar o trabalho, certo?
É claro que sim. Justamente por esse motivo, é preciso que as empresas tenham em mãos um planejamento preventivo do que fazer para que as operações continuem funcionando até que tudo volte ao normal.
Entendendo o conceito-base do Plano de Continuidade
Antes de explorar o tema na área de TI, vamos considerar o conceito no seu sentido mais amplo.
Sim, paralisações nas atividades das empresas acontecem pelos mais diversos motivos: panes nos sistemas, fraudes, desastres naturais e crises financeiras são alguns exemplos.
Para evitar que essas situações críticas interfiram no andamento dos processos de trabalho e causem ainda mais prejuízo, o chamado Plano de Continuidade de Negócios (PCN) é um conjunto de ações e estratégias de prevenção que asseguram o funcionamento dos principais serviços da empresa durante momentos de crise e falhas.
Dispor desse planejamento significa ter uma grande visão estratégica do futuro, já que a organização consegue garantir sua sobrevivência e sua estabilidade mesmo em períodos adversos.
Os 3 pilares da elaboração do PCN
É claro que o conteúdo do plano vai variar conforme a empresa, o segmento e as necessidades de cada negócio, mas vale destacar 3 pilares fundamentais para o processo de elaboração, ou 3 perguntas que a gestão deve responder:
- Quais são as principais ameaças e riscos que podem afetar o negócio?
- De que forma essas ameaças podem impactar o negócio?
- Caso uma ameaça venha de fato a acontecer, quais ações e atitudes serão necessárias para contornar o problema e retomar as atividades?
Os elementos do Plano de Continuidade de Negócios
De uma maneira geral, o PCN deve contar com 4 subpartes, cada uma voltada para uma etapa das ações de continuidade e com objetivos diferentes. Elas são:
- Plano de Contingência ou Emergência: utilizado em um último caso ou momento, quanto todas as outras atividades preventivas tiverem falhado.
- Plano de Recuperação de Desastres: é o planejamento de ações para o momento pós-crise ou contingência. Assim, tem como objetivo fazer com que a empresa retorne à sua operação rotineira.
- Plano de Gerenciamento de Crises: esse plano define as responsabilidades de cada equipe envolvida no processo para acionar as atitudes de emergência, ao longo de todo o período da crise (antes, durante e depois).
- Plano de Continuidade Operacional: sua meta é retomar o funcionamento dos principais fatores que sustentam as atividades do negócio, reduzindo a indisponibilidade e os impactos do problema. É o caso da queda de um sistema importante para a empresa, por exemplo.
Como funciona o Plano de continuidade de negócios aplicado à TI?
É interessante notar como, na prática, os planos de continuidade de negócio acabam por se tornarem responsabilidade dos departamentos de TI. Isso acontece principalmente porque a área é vital para o funcionamento e a sobrevivência das empresas.
Vale acrescentar, inclusive, que a falta de um PCN nos negócios é frequentemente utilizada como pretexto para a inexistência de um plano de continuidade para os serviços de TI. De fato, há uma lógica no raciocínio, pois ambos os planos estão diretamente ligados.
Enquanto um plano de continuidade de negócios é fundamental para orientar qual é a disponibilidade necessária das atividades da TI, um plano de continuidade de TI (desenvolvido de forma independente e baseado apenas na própria TI) pode acarretar despesas e uso de recursos desnecessários.
Em outras palavras, ambos os planejamentos devem existir e serem essencialmente interligados.
Visando minimizar riscos, reduzir vulnerabilidades, elaborar um plano de recuperação de desastres, dar suporte ao PCN geral da empresa, prevenir problemas de segurança e, em última instância, colaborar com a sobrevivência do negócio, o Plano de Continuidade de Negócios em TI tem função primordial para contornar imprevistos e prevenir graves danos.
Dentre as estratégias necessárias para formular um plano de continuidade eficiente em TI, destacamos algumas das etapas principais:
Identificação de Obstáculos
No contexto do negócio, quais são os entraves e desafios que podem surgir no caminho das ações previstas no PCN? Essa etapa visa identificar justamente os problemas que a gestão e a equipe de TI devem enfrentar ao longo do processo.
Entre as questões mais comuns, podemos citar:
- Orçamento disponível;
- Ausência de comprometimento dos cargos e setores mais estratégicos da organização;
- Ausência de conscientização dos funcionários como um todo.
Estudo dos possíveis impactos de uma crise/instabilidade
Se um desastre vier a acontecer e ações de continuidade forem necessárias, quais os maiores impactos devem ser considerados? É o momento de levantar quais os serviços mais críticos e de maior importância para o negócio.
Para tanto, é preciso analisar os efeitos da indisponibilidade, traçando possíveis cenários de impacto.
Testes
Além de discutir cenários hipotéticos de desastres e formular ações, a elaboração de um bom PCN em TI deve envolver maratonas de testes dos modelos de recuperação de negócio.
Essa fase é importante não apenas para identificar possíveis deficiências e problemas no Plano, mas também para implementar treinamentos para que os colaboradores estejam devidamente preparados para cumprir suas tarefas no devido momento.
Se o assunto é voltar todas as rotinas à normalidade, é importante, sobretudo, considerar todos os envolvidos na empresa e também os clientes.
Definir controles preventivos
Depois de levantar as principais ameaças potenciais, é importante estabelecer controles e medidas preventivas para minimizar o nível de risco do negócio, sempre buscando implementar ações paliativas eficientes e econômicas.
Principais Obstáculos da recuperação de desastres
Alguns dificultadores se repetem nas empresas como os principais responsáveis por dificultar ações efetivas de recuperação de desastres (que tem seu foco maior na TI dos negócios).
Dentre eles, podemos incluir:
- Falta de backup regular nos sistemas virtuais;
- Pouco uso de tecnologia de replicação para proteção;
- Ausência de plano para recuperação de falhas;
- Falta de frequência e regularidade nos procedimentos de backup.
Para ajudar você a potencializar a segurança da informação na sua empresa, elaboramos um Guia Definitivo para proteger seu negócio contra o Ransomware, o crime virtual que tem feito cada vez mais vítimas no Brasil e no mundo.
