Artigos

Continuidade do Negócio além do Desastre

Por 19 de setembro de 2022 Sem comentários

São Paulo/SP – 19 de setembro de 2022. O Plano de Continuidade de Negócios (PCN ou BCP) tem como principal propósito a criação de procedimentos para sustentação de operações essenciais para os negócios, durante a recuperação ocasionada por uma interrupção significativa.

*Por Dylan Ribeiro

Quando pensamos em Plano de Continuidade de Negócios a primeira coisa que vem a nossa mente são grandes desastres como terremotos, enchentes e até mesmo atentados terroristas. De fato, esse tema entrou em foco depois de um desses eventos, o ataque terrorista de 11 de setembro fez com que muitas empresas perdessem tudo por terem seus datacenters principais e o de backup nas duas torres destruídas naquele dia. No entanto, um Plano de Continuidade de Negócios é muito mais que isso, o Plano de Recuperação de Desastres é apenas um dos muitos planos criados para garantir que uma empresa sobreviva a qualquer incidente.

De acordo com o Disaster Recovery Journal em 2020, os principais gatilhos para uma empresa colocar um Plano de Recuperação de Desastre em ação foram Falhas de Hardware e Software (37%), Ciberataque (24%), Falha Elétrica (18%) e Falha no Serviço de Internet (18%). Isso demonstra que os gatilhos para esse acionamento são muito variados e nem sempre são aqueles que vem a nossa mente quando pensamos em Continuidade de Negócios.

Por serem tão variados, esses fatores de risco têm diversas formas de serem abordados e mitigados. O Plano de Continuidade de Negócios (PCN ou BCP) tem como principal propósito a criação de procedimentos para sustentação de operações essenciais para os negócios, durante a recuperação ocasionada por uma interrupção significativa. O BCP engloba outros elementos como o BIA (Business Impact Analysis), uma análise de riscos detalhada de cada um dos principais processos da empresa e outros planos que são colocados em prática de acordo com as regras de acionamento presentes no BCP. A seguir apresentamos esses planos e um pouco mais do que eles fazem.

Plano de Recuperação de Desastres (PRD ou DRP)

Nesse plano são descritos procedimentos operacionais para a recuperação dos sistemas computacionais nas localidades primárias ou secundárias da organização após a ocorrência de um desastre. Diferente de outros planos o DRP é focado na área de TI e se limita a grandes rupturas com efeitos a longo prazo.

Ele também é responsável por:

  • Identificar e classificar ameaças e ricos capazes de causar um desastre;
  • Definir os recursos e processos que assegurem a continuidade dos negócios durante o desastre, como por exemplo site alternativo e outros;
  • Definir os mecanismos para realizar a restauração dos serviços após os efeitos do desastre serem mitigados ou extintos.

Plano de Resposta a Incidentes (PRI)

No PRI o objetivo é criar estratégias para detectar, responder e limitar as consequências de um incidente de TI ou de segurança da informação. Seu escopo se limita a respostas aos incidentes de segurança da informação e/ou redes.  Elementos como o SOC (Security Operations Center ou Centro de Operações de Segurança) e a CSIRT (Computer Security Incident Response Team ou Grupo de Resposta a Incidentes de Segurança) são medidas que podem ser criadas na implementação do PRI.

Dentre outros aspectos esse plano também busca:

  • Impedir uma resposta desarticulada a um incidente de segurança da informação, minimizando assim o impacto sobre as operações;
  • Criar e estabelecer controles para recuperação adequada e tratamento das provas;
  • Permitir a ação penal ou civil contra os autores;
  • Servir como referência para a criação de relatórios precisos e recomendações uteis.

Plano de Continuidade Operacional (PCO)

Tem como propósito a criação de procedimentos para sustentar as operações estratégicas da empresa durante uma falha. Essa falha pode afetar parcialmente ou totalmente a organização por um pequeno espaço de tempo e a recuperação é feita pela área de TI sem a declaração de contingência.

Esse plano engloba outros aspectos como:

  • Identificar e mapear possíveis falhas no ambiente de TI da empresa;
  • Definir recursos e processos alternativos;
  • Implantar políticas de backup para todos os dados de aplicações críticas;
  • Testar e adequar o plano, bem como treinamentos para a equipe;
  • Estabelecer regras para execução de manutenções corretivas e preventivas.

Vale ressaltar que uma falha inicialmente irá acionar o PCO, mas pode evoluir e acionar o PRD ou o PRI dependendo do problema ou origem e conforme seu impacto nos negócios da organização for aumentando.

Plano de Comunicação de Crises (PCC)

Nesse plano são propostos procedimentos para a disseminação de informações sobre o andamento dos processos de recuperação para o público interno ou externo à organização. Além disso serve para planejar e monitorar como a informação é levada ao público, tanto pela empresa como pela mídia. Todas essas ações buscam garantir que a imagem da empresa seja preservada diante de um cenário de crise.

Podemos dividir uma crise de quatro formas:

  • Grave com maior conhecimento público;
  • Grave com menor conhecimento público;
  • Leve com maior conhecimento público;
  • Leve com menor conhecimento público.

Para cada uma dessas situações são definidas as ações a serem tomadas, quem deve ser informado primeiro, o responsável por realizar essa comunicação e outros elementos.

Plano de Emergência Ocupacional (PCO)

São procedimentos coordenados para minimizar a perda de vidas ou ferimentos e os danos materiais às propriedades em resposta a uma ameaça física. Desastres como: incêndio, inundação, ameaça de bomba ou greves são situações que o PCO é acionado e utilizado.

Nesse plano são definidos por exemplo:

  • Comitê de emergência;
  • Árvore de responsabilidades;
  • Lista de contatos externos;
  • Melhor sequência de ações;
  • Eventos que serão cobertos pelo plano.

Por essa descrição podemos ver como o PCO é similar ao PRD e não é incomum eles serem confundidos. De fato, um incêndio por exemplo, irá acionar os dois planos ao mesmo tempo dependendo da escala do evento. A principal diferença é que o PRD é focado nas operações de TI e o PCO é focado nos colaboradores e nas instalações da empresa.

Considerações Finais

Esse artigo buscou apresentar de forma breve alguns planos que compõem o Plano de Continuidade de Negócios. Cada um deles possui uma série de recomendações e boas práticas para estruturação. Uma referência para essa estruturação é a norma ABNT NBR ISO/IEC 22301, que especifica requisitos para estabelecer e gerenciar um sistema de gestão de continuidade de negócios. Algumas organizações podem tratá-los como seções dentro do PCN ou planos separados a julgar pelas informações contidas em cada um e quem deve ter acesso.

O importante é entender que não podemos limitar a continuidade do negócio apenas a desastres naturais. Devemos buscar formas para atender qualquer cenário possível. Todos esses planos de modo geral buscam criar ferramentas para que em momentos de crise os colaboradores consigam superá-los da forma mais rápida, mais organizada e com o menor impacto possível.

Nem sempre as ações tomadas por uma organização cabem perfeitamente em outra, por isso é importante entender cada cenário e como cada um desses planos pode contribuir positivamente para que a empresa consiga superar as adversidades.

— Dylan Ribeiro é Consultor de GRC na [SAFEWAY]

Como podemos Ajudar?

SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.

Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.

Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de ProcessosPessoas e Tecnologia.

Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!