A gestão de continuidade de negócios é processo de gerenciamento holístico que visa identificar ameaças potenciais a uma organização e os impactos nas operações de negócios que essas ameaças, se concretizadas, podem causar, podendo ainda ser conceituada como uma estrutura para identificar a exposição a riscos de uma organização a diversos tipos de ameaças internas e externas.
A gestão de continuidade de negócios possibilita a criação de uma estrutura que permite a organização construir uma resiliência operacional para garantir a proteção e salvaguarda dos interesses da organização e de sua alta administração e faz parte integrante de outras disciplinas tais como: a gestão de resposta a incidentes; gestão de crises, gestão de recuperação de desastres de TI e da própria continuidade de negócios, fornecendo à organização a capacidade de responder de forma efetiva diversos tipos de ameaças tais como: (a) desastres naturais; (b) violação de dados; © ataques de negação de serviço realizados por hackers; (d) vazamento de dados pessoais; (e) indisponibilidade de serviços ou recursos de TI; (f) proteção dos interesses comerciais da empresa; dentre outros.
Uma boa gestão de continuidade de negócios deve possuir processos que permitam a recuperação de desastres que impossibilitem a organização de realizar a entrega de sua proposta de valor e a realização do seu modelo de negócio, bem como outros itens, dos quais destacam-se: (a) o gerenciamento de crises; (b) o gerenciamento de incidentes; © o gerenciamento de emergências e por fim (d) o planejamento de contingência.
De acordo com a ISO 22301, um sistema de gestão de continuidade de negócios enfatiza a importância de: (a) compreender as necessidades de continuidade e preparação, bem como a necessidade de estabelecer políticas e objetivos relacionados à gestão de continuidade de negócios; (b) a implementação e operacionalização de ações, controles e medidas que possibilitem o gerenciamento dos riscos; © o monitoramento e revisão das métricas relacionadas a desempenho e eficácia do sistema de gestão de continuidade de negócios e. por fim (d) a melhoria contínua com base no planejamento estratégico da organização e as medições do sistema de gestão de continuidade de negócios.
Diante do contexto apresentado, podemos perceber que a gestão da continuidade de negócios deve abraçar toda a organização, incluindo os processos realizados pelas áreas de negócios, colaboradores, fornecedores, parceiros comerciais, garantindo assim que mesmo acontecendo um desastre de qualquer tipo a organização irá continuar a realizar o seu modelo de negócio, entregando a sua proposta de valor a seus clientes e ao mercado que atua.
Existem diversas razões para se ter um sistema de gestão de continuidade de negócios robusto, dentre as quais destacam-se: (a) a conformidade legal e regulamentar que a organização está sujeita; (b) as demandas da organização por seus fornecedores e clientes; © maximização do modelo de negócio; (d) a gestão de marca e reputação perante ao mercado e seus clientes; (e) a garantia da resiliência do modelo de negócio e da própria organização.
A continuidade de negócio de TI é uma abordagem holística utilizada pelas equipes de segurança da informação e segurança cibernética de uma organização para gerenciar todos os ativos de TI no caso de um problema grande relacionado a interrupção, falha ou indisponibilidade.
A continuidade de negócios em TI é um processo essencial que visa capacitar as equipes de TI e a organização a responder em momentos de crises decorrentes da continuidade de negócios através da implementação de mecanismos capazes de responder à recuperação de desastres e failover. Neste contexto, é preciso que a organização implemente um conjunto de políticas e procedimentos através de um plano de continuidade que garantam que todos os envolvidos neste plano saibam o que fazer no caso de um momento de crise.
No geral, um plano de continuidade de negócios em TI, concentra-se na criação de estratégias capazes de sustentar todos os pontos e processos críticos de TI de uma organização, para o caso de qualquer tipo de interrupção, fornecendo orientações detalhadas a todos, sobre as ações e procedimentos necessários para garantir as operações de TI, durante e após um grande incidente não planejado. Ou seja, durante um momento de crise que afete os serviços e recursos críticos de TI.
Com relação ao planejamento de contingência de TI, este por sua vez refere-se a criação de planos, políticas, procedimento e medidas técnicas que permitam a recuperação das operações de TI, após um incidente inesperado, que por sua vez pode ser um evento disruptivo que se não tratado pode levar a um grande desastre. É importante ressaltar que toda e qualquer organização deve possuir pelo menos um plano de contingência de TI, para responder a uma série de eventos e/ou incidentes inesperados e não desejados tais como: (a) eventos ou incidentes de causas naturais – inundação, terremoto, maremoto, etc.; (b) eventos ou incidentes ocasionados por falhas tecnológicas – bugs de sistema, códigos maliciosos, vírus de computador, falhas ou pane elétrico, incêndio, etc. © eventos ou incidentes ocasionados por fator humano de forma não intencional – erros operacionais, falta de conhecimento ou treinamento e, por fim (d) eventos ou incidentes ocasionados por fator humano de forma intencional – ataques hackers ou terroristas, invasão de sistemas, vazamento ou roubo de dados ou informação, etc.
Lembre-se: não podemos esperar que os sistemas computacionais funcionem sempre perfeitamente. Em algum momento eles irão falhar, o que tornará seus serviços e recursos indisponíveis a qualquer um que precise utilizá-los. Por este motivo é que se faz necessário um plano de contingência de TI e um plano de continuidade de negócios.
Por fim, com relação ao conteúdo, duração e recursos necessários para a criação de um plano de contingência de TI e um plano de continuidade de negócios, estes podem variar dependendo do tamanho e da sofisticação das operações de TI que suportam o modelo de negócio e toda a organização. Já com relação a organizações de grande porte, poderá haver um conjunto de planos que irão compor toda a contingência e continuidade da TI e do próprio modelo de negócio e, poderão receber diversas nomenclaturas, tais como: (a) gerenciamento e contingência de TI; (b) gerenciamento de respostas a incidentes de TI; © gestão de desastre e recuperação de TI; (d) plano de resposta a incidentes de TI e assim por diante. Mas, lembre-se, todos no geral possuem o mesmo propósito, que é o de garantir a continuidade dos negócios e a contingência das operações de TI.
O plano de recuperação de desastres, também conhecido como DRP é um plano criado pela área de segurança da informação ou segurança cibernética que tem como objetivo implementar um conjunto de políticas, normas, ações e procedimentos destinados a auxiliar na execução de processos de recuperação em resposta a um desastre, visando proteger toda a infraestrutura de TI necessária a operação do modelo de negócio de uma organização, promovendo assim a recuperação dos ativos de TI e respectivamente os recursos e serviços críticos que sustentam o negócio da organização.
Em geral, o DRP deve explicar de forma abrangente as ações consistentes que devem ser realizadas antes, durante e depois da ocorrência de qualquer tipo de evento ou incidente não planejado que seja classificado como um desastre, proporcionando assim que todas as equipes de TI saibam e possam realizar todas as ações de maneira coordenada e de forma eficiente e eficaz. É importante lembrar que um DRP deve abordar todo e qualquer tipo de desastre, seja esse causado por elementos naturais, artificiais, tecnológicos ou humanos.
Seja qual for o tipo e tamanho da organização, no geral, atualmente todas realizam o tratamento de grandes quantidades de dados e utilizam diversos recursos providos pela TI. Neste contexto, iremos encontrar diversos tipos de dados e recursos que serão considerados de missão crítica para o modelo de negócio e toda a organização. Isto significa que qualquer tipo de falha ou interrupção nesses recursos de missão crítica, irão causar um impacto enorme nas operações da organização. Por tanto, a necessidade de se ter um plano de recuperação de desastres torna-se essencial e primordial para a organização.
A criação de um plano de recuperação de desastres de TI, torna-se mais eficaz se realizada em conjunto com outros planos, como por exemplo o plano de contingência de TI, o plano de continuidade de operações, o plano de gerenciamento de incidentes e o plano de continuidade de negócios e, durante a sua fase de construção é importante que se faça uma boa análise de impacto das operações de TI em relação ao negócio. Isto proporcionará às equipes de TI o reconhecimento dos recursos e operações de TI críticos ao modelo de negócio, bem como a categorização de prioridades e o tempo de recuperação.