O cenário de Pandemia já faz parte do Sistema de Gestão de Continuidade de Negócios (SGCN) da empresa?
*Por Rodrigo Dantas
As empresas de todos os tamanhos e segmentos estão sendo impactadas e testadas pela pandemia. O Ministério da Saúde confirmou, no dia 26/02/2020, o primeiro caso de COVID-19 em São Paulo. Assim, a quarentena afetou diretamente e mudou a maneira de trabalho, bem como trouxe o conceito do “novo normal”. Como resposta à crise, a continuidade dos negócios tornou-se um tema indispensável para discussão. Muitas empresas não tinham um planejamento para colocar em prática o Home Office, por exemplo.
Pesquisa realizada pelo Grupo Daryus aponta que 43% das empresas ouvidas não possuíam um Plano de Continuidade de Negócios (PCN) ou Gestão de Crises (PGC) para enfrentar os efeitos da pandemia da COVID-19. Apenas 12% estavam estruturadas para a continuidade, mas não haviam testado seus planos para um cenário parecido como este de 2020. Nem os mais negativistas pensariam em um cenário de Pandemia com as proporções da COVID-19, não é mesmo?
A Gestão de Crises (GC) e Continuidade de Negócios (CN)
A gestão de crises e continuidade dos negócios envolve o estabelecimento de um Sistema de Gestão de Continuidade de Negócios (SGCN) que compreende o desenvolvimento e implantação de estratégias, equipes, planos e ações que fornecerão proteção e formas alternativas de operação para uma organização frente aos eventos adversos.
Um SGCN bem estruturado será capaz de prevenir e mitigar riscos, bem como reduzir os danos e perdas humanas, materiais e de imagem da empresa advindos de acidentes, crises e contextos catastróficos.
O cenário de Pandemia já faz parte do seu Sistema de Gestão de Continuidade de Negócios (SGCN)? Se a resposta for não, é precisa realizar o quanto antes, pois este cenário já não é algo que pode acontecer, e sim algo que está presente nos tempos atuais.
Como Estabelecer um Sistema de Gestão de Continuidade de Negócios (SGCN)?
Estabelecer um Sistema de Gestão de Continuidade de Negócios (SGCN) é uma tarefa árdua que perpetua todos os níveis da organização da Alta Direção até o Operacional. O principal objetivo é que a empresa deverá ter a capacidade de continuar a entregar produtos e serviços críticos em um nível aceitável durante uma interrupção dos seus processos de negócios.
Abaixo destacamos as etapas que devem ser seguidas, minimamente:
- Análise de Impacto nos Negócios: Esta análise permite a definição de prioridades dos processos de negócios baseado em impactos de custo de perda para retomar as atividades que foram interrompidas. A principal resposta com esta análise é: “O que é mais importante na sua empresa?”.
- Avaliação de Riscos: Esta avaliação permitirá avaliar os riscos de interrupção das atividades priorizadas anteriormente na Análise de Impacto nos Negócios, para que possamos implementar os controles necessários para tratar esses O principal objetivo é entender quais são os principais riscos? Como vou tratá-los?
- Estratégias e Soluções de Continuidade de Negócios: A partir dos resultados da análise de impacto nos negócios e na avaliação de riscos devemos selecionar a melhor estratégia de continuidade de negócios que contemple as opções para antes, durante e depois do tratamento do incidente ou da crise. Por exemplo, estratégia de Home Office para pessoas, estratégia de backup em solução de nuvem para informações, estratégia de um site backup para o Data Center da empresa etc. Neste processo a pergunta que deve ser respondida é: “Qual a minha estratégia caso ocorra um incidente de interrupção das atividades?”.
- Planos e Procedimentos de Continuidade de Negócios: O próximo passo após a escolha e implementação da melhor estratégia de continuidade de negócios é o desenvolvimento de Planos e Procedimentos de Continuidade. Um Plano compreende vários procedimentos de tratamento de incidentes e a recuperação dos processos de negócios que foram interrompidos. Cada plano deve incluir, minimamente:
- o propósito, escopo e objetivos;
- os papéis e responsabilidades da equipe que implementará o plano;
- ações para implementar as soluções;
- fornecer informações necessárias para ativar (incluindo critério de ativação), operar, coordenar e comunicar as ações com a equipe;
- interdependências internas e externas;
- recursos necessários;
- requisitos de relatórios;
- um processo de evacuação.
- Programa de Exercícios e Testes: Todos os Planos devem ser testados periodicamente para validar a eficiência das suas estratégias, soluções e procedimentos de continuidade de negócios Adicionalmente, serve para testar a equipe responsável por acionar os Planos em um ambiente de pressão, contribuindo assim para o treinamento da equipe no momento de tratar um incidente ou crise.
Conclusão
Neste cenário de Pandemia, muitas empresas precisaram implementar uma estratégica de continuidade de negócios rapidamente, o que consiste em, através de um acesso remoto, entregar para os funcionários em suas casas, todas as ferramentas de trabalho que ele está acostumado a utilizar como estivesse trabalhando dentro da empresa. As reuniões presenciais foram substituídas por vídeo conferência, promovendo uma transformação digital forçadamente, para manter a sobrevivência das empresas nesse período de crise.
O COVID-19 por si só não pode causar a interrupção dos sistemas de informações, operações ou serviços críticos de uma empresa, porém a falta de preparação e/ou conscientização dos funcionários, pode aumentar o risco desses tipos de situações.
Nestes tempos, cumprindo quarentena em casa, até uma pequena interrupção na rede elétrica ou na internet da empresa pode ter um enorme impacto nos processos de negócios. Lembre-se que estes impactos também precisam ser refletidos no Sistema de Gestão de Continuidade de Negócios (SGCN).
– Rodrigo Dantas é Senior GRC and Information Security Consultant na [SAFEWAY]
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 22 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
A Safeway pode ajudar os clientes a entender melhor suas necessidades de Segurança da Informação, bem como as ferramentas necessárias para detectar, responder e mitigar seus riscos envolvendo ameaças e questões regulatórias. Desta maneira, nossos profissionais e consultores especializados podem auxiliar a eliminar pequenos problemas antes que se tornem grandes. A Gestão de Segurança, Vulnerabilidades e Fraudes analisa ativamente a segurança da sua empresa através de atividades de monitoramento, mitigação de riscos e ataques no ambiente de TI.
