10 Passos para montar um PCN – Plano de Continuidade dos Negócios

10 Passos para montar PCN

O instituto Disaster Recovery, em suas previsões para 2019, publicou uma lista de possíveis desastres que podem atrapalhar o mundo. Alguns deles são bastante dramáticos, mas realistas.

A lista abrange tipos naturais, políticos, econômicos e outros de desastres causados ​​pelo homem. Embora ninguém possa dizer qual desastre ocorrerá e quando é razoavelmente certo que haverá interrupções significativas.

A questão é: quais empresas serão impactadas. E, para isso, a resposta é: todas as organizações estão igualmente expostas, igualmente vulneráveis ​​e, portanto, igualmente responsáveis ​​pelos esforços proativos de continuidade de negócios.

E é aí que pretendemos que este guia atue como uma atualização para executivos e líderes de negócios que já são versados ​​nos conceitos de continuidade de negócios.

Desta forma, esperamos que isso sirva de roteiro para aqueles que desejam entender como um Plano de Continuidade de Negócios pode ajudar a tornar seus negócios mais seguros e mais bem preparados para o desconhecido.

Aqui estão os 10 passos essenciais para montar um Plano de Continuidade de Negócios:

Resiliência, Recuperação e Contingência

As empresas devem estar equipadas com ferramentas, tecnologias, processos e visão de liderança para enfrentar os desastres quando eles ocorrem. Eles podem minimizar suas perdas apenas se puderem enfrentar a situação e continuar operando efetivamente, mesmo em caso de catástrofe.

A resiliência se concentra em:

  • Identificar os elementos críticos de negócios
  • Mitigar de riscos
  • Desenvolver sistemas para alta disponibilidade e capacidade de recuperação rápida
  • Garantir que os negócios voltem à normalidade após o desastre, o mais rápido possível

A recuperação se concentra em:

  • Realocar sistemas, se necessário
  • Planejar garantir o uso otimizado de recursos limitados em uma situação de desastre
  • Criar backups
  • Determinar o nível de disponibilidade / desempenho dos sistemas a serem considerados ‘recuperados‘

O planejamento de contingência concentra-se em:

  • Desenvolver uma política de planejamento de contingência
  • Conduzir a análise de impacto nos negócios (BIA)
  • Colocar controles preventivos no lugar
  • Criar estratégias de contingência
  • Desenvolver um plano de contingência para sistemas de informação
  • Garantir planejamento, teste, treinamento e exercícios
  • Garantir a manutenção e atualizações do plano

Ao absorver resiliência, recuperação e contingência no Planejamento de Continuidade dos Negócios, o tempo de inatividade de uma empresa é reduzido significativamente.

Análise de Impacto nos Negócios (BIA)

A Análise de Impacto nos Negócios desempenha uma regra essencial no BCP. As etapas envolvidas na criação de uma BIA são simples.

  • O primeiro passo é coletar informações sobre os tipos de ameaças às quais uma organização está propensa.
  • O próximo passo é associar cada uma dessas calamidades com um fator de probabilidade.
  • Classifique-os em ordem decrescente.
  • Prepare um relatório detalhado envolvendo o tipo, possíveis efeitos secundários para saber como lidar com esse evento.
  • Depois de assinar isso com o pessoal sênior da organização, uma BIA é estabelecida.

Continuidade de negócios x recuperação de desastres

A continuidade dos negócios é um plano de ação detalhado que uma organização adotará para garantir que suas operações regulares continuem mesmo quando ocorrer um desastre. Ele tem um escopo muito mais amplo que a recuperação de desastres.

A recuperação de desastres é melhor entendida como um subconjunto do planejamento de continuidade de negócios e visa reduzir ao mínimo o tempo de inatividade. A recuperação de desastres é essencial para garantir que a continuidade dos negócios não seja perdida em uma crise.

Inclui ferramentas, políticas, infraestrutura ou tecnologia consideradas necessárias para restaurar a normalidade de um negócio.

Objetivo do tempo de recuperação

No caso de um perigo, é essencial recuperar todos os dados perdidos no processo. O objetivo do tempo de recuperação (RTO) refere-se ao tempo máximo permitido para restaurar uma empresa ou um site ao seu modo totalmente funcional após um desastre, de modo que o tempo de inatividade permaneça ‘tolerável’ baixo.

Quanto menor a tolerância do processo para o tempo de inatividade, menor será a duração permitida do RTO.

Objetivo do ponto de recuperação

O objetivo do ponto de recuperação (RPO) é uma medida de “quão recentes e atualizadas” os arquivos devem ser, os quais, quando recuperados, garantem operações normais. O RPO é expresso em ‘tempo passado’, com referência ao momento em que o desastre / tempo de inatividade ocorre. A unidade de medida é horas ou minutos.

Um número baixo nessa métrica indica um Plano de Continuidade dos Negócios robusto.

Papéis e responsabilidades

Um Plano de Continuidade dos Negócios é eficaz somente quando a equipe que o gerencia é clara sobre os diferentes papéis que devem ser desempenhados e quem desempenha esse papel quando o desastre ocorre.

Seu plano de continuidade de negócios é um documento ativo e deve ser atualizado regularmente. As equipes relevantes devem estar cientes da versão mais recente do plano e de quaisquer alterações nas funções e responsabilidades que isso implica.

Para garantir que todos estejam preparados para desempenhar suas respectivas funções, realize simulações, simulações e revisões de planos entre os membros da equipe.

Procedimentos de recuperação e listas de verificação

Os procedimentos de recuperação são um conjunto de documentos que explicam como lidar com um desastre e se recuperar de seus efeitos posteriores.

Ele atende especificamente ao departamento de TI e abrange regras como manter a sala do servidor protegida contra incêndio e danos físicos, com backup adequado para dados e fácil restauração.

Também envolve inspeções regulares e procura de possíveis vulnerabilidades para manter o ecossistema de TI da empresa seguro.

As listas de verificação são os documentos de planejamento ideais que ajudam os executivos a garantir que os sistemas de TI da organização cumpram os procedimentos de recuperação.

Log de resposta e recuperação

Os logs de resposta e recuperação referem-se a documentos que registram os detalhes do perigo.

Logs de respostas registram:

  • O tipo de perigo
  • Quem / o que foi afetado
  • Os danos sofridos
  • O plano que foi seguido

Logs de recuperação registram:

  • Quanto tempo levou para a empresa se restaurar à normalidade
  • Os passos realizados
  • Informações sobre a discriminação das diferentes operações e seus tempos de recuperação

Teste de gerenciamento de mudanças e continuidade de negócios e recuperação de desastres (BCDR)

Qualquer plano de gerenciamento de desastres é efetivo somente quando está sujeito a testes e melhorias contínuas.

O mesmo vale para o teste BCDR. Alguns dos métodos que podem ser implementados para testar a eficácia de um plano de BCDR são:

Revisão

O plano do BCDR deve ser revisto várias vezes e com diferentes partes interessadas para avaliar sua eficácia e utilidade.

Procure a assistência de especialistas em gerenciamento de desastres que serão capazes de ver através de brechas e ajustá-lo.

Simulação

Exercícios simulados do exercício de recuperação de desastres são uma ótima maneira de preparar a equipe para qualquer risco imprevisto. Isso também ajudará a identificar gargalos no plano existente e a torná-lo robusto.

Testes

Isso envolve passar por todas as etapas do BCP com todos os funcionários da equipe de gerenciamento de desastres. Isso garante que todos estejam armados para enfrentar qualquer calamidade. Também ajuda a identificar pessoas que podem não ter informações suficientes e, por sua vez, treiná-las para enfrentar o risco.

Padrões mais recentes de continuidade de negócios

Independentemente da escala de risco, o tempo de inatividade dos negócios significa perda de tempo e dinheiro. À medida que a natureza das ameaças continua mudando, o mesmo ocorre com os padrões de continuidade dos negócios.

A ISO 22301 é um processo de sistema de gerenciamento que ajuda a garantir a continuidade dos negócios no momento de uma calamidade.

  • Ajuda a identificar os possíveis fatores de risco e os tipos de riscos aos quais a empresa está vulnerável.
  • Identifica operações críticas que não podem sofrer como resultado de uma catástrofe.
  • Depois que uma empresa identifica que é imperativo mantê-la funcionando em caso de risco e minimizar o impacto.
  • A última etapa se concentra na recuperação rápida e na demonstração dessa capacidade de mitigar um desastre para clientes e parceiros.
  • Essa estrutura garante que os negócios não sofram um revés devido a qualquer calamidade.

A BS EN ISO 22301: 2014 é outro padrão de planejamento de continuidade de negócios, lançado pela British Standards Institution (BSI) e endossado por organizações britânicas.

Plano de contingência

Calamidades abruptas não podem ser previstas. Entretanto elas possam ser eliminados enquanto planejamos administrar um negócio. É vital considerar extremidades imprevistas e ter um plano em prática.

 

Write a comment