Um plano de continuidade de negócios tem como principal objetivo avaliar como a empresa continuará atuando no mercado de forma sustentável, ou seja, funcionando em várias situações e com a melhor utilização dos recursos.
A importância de um plano de continuidade de negócios é importante, pois diversos fatores não previstos pelas empresas podem ocasionar a realização de suas atividades, o que pode trazer prejuízos financeiros e até impactos negativos para a imagem da empresa.
O plano de continuidade de negócios
Um plano de continuidade de negócios deve ser elaborado de forma que a empresa continue produzindo apesar dos imprevistos.
E para isso, o plano de continuidade deve ser elaborado de maneira a identificar qual o impacto que o risco ou que o imprevisto terá sobre o negócio.
A direção da empresa e os envolvidos nos negócios da organização devem conhecer todos os processos da empresa e assim desenvolver um plano de continuidade dos negócios apesar de todos os riscos e ameaças que podem afetar as operações da empresa.
Primariamente falando um plano de continuidade de negócios deve ser estabelecido de acordo com os riscos que trarão maior impacto para as operações.
Elaborar um plano de continuidade é importante para que a empresa amadureça um plano contingencial que busque a proteção da empresa.
Contar com um plano de continuidade de negócios significa que a empresa está amadurecendo e que pode proteger seus ativos.
Proteger o negócio é algo sério
Proteger o patrimônio da empresa é algo sério e requer dedicação e cuidados, pois a empresa pode estar sujeita a diversos riscos e ameaças que os empresários ou funcionários ainda não tomaram conhecimento.
Por isso, é necessário que haja conscientização por parte da empresa e dos colaboradores sobre as vulnerabilidades, riscos e ameaças que podem afetar o desempenho da empresa.
Alguns conceitos
Sobre a gestão de riscos alguns conceitos são bem importantes:
A ABNT conceitua risco como sendo a combinação de eventos, sua ocorrência e consequências.
Um ativo pode ser denominado como algo de valor para a organização, seja um ativo tangível ou intangível.
As ameaças podem ser conceituadas como causas potenciais de algum incidente indesejável e que pode ter como resultado danos para a empresa.
Vulnerabilidades – vulnerabilidade é um estado de fragilidade de um ativo diante de riscos ou ameaças.
Incidentes – é qualquer evento que não faz parte do cotidiano normal de operações e que por isso, poderá causar interrupções.
E o problema pode ser conceituado como a ocorrência de um ou mais incidentes.
Gestão de Riscos
Gerir riscos significa trabalhar de forma coordenada para a direção e controle de uma organização.
Na gestão de riscos se faz necessário o processo de identificação, de análise, de tratamento, de monitoramento; entre outras atividades.
O PDCA que é o processo de melhoria continua pode ser aplicado á gestão de riscos, pois gerir riscos consiste em um processo de planejar, de executar, de agir e de checar.
Na etapa de planejamento serão definidas estratégias e formas de alcançar um controle de riscos que possa a garantir a segurança da empresa.
Na etapa de execução serão definidos os planos de gerenciamento de riscos.
Ainda na etapa de execução a empresa deve se atentar para o que a ISSO 27005 chama de plano de tratamento de risco.
A etapa de checagem compreende a verificação dos processos implementados e como a empresa executou o plano de riscos para o alcance de metas.
Na etapa agir a empresa deve realizar ações no sentido de corrigir e prevenir e ainda identificar desvios.
Processo de gestão de risco
Como em todo e qualquer gerenciamento; o gerenciamento de risco também requer processos e etapas.
O processo de gestão de riscos compreende:
Comunicação – a fase de comunicação de riscos é a fase em que se comunica o processo de gestão de riscos e ainda a divisão de tarefas, estabelecendo as responsabilidades dos stakeholders, funcionários envolvidos e demais interessados.
Contexto – na parte de contexto do risco as empresas devem identificar fatores de riscos e ainda a avaliação, impacto dos riscos e outros.
Na etapa de definição dos riscos é necessário levantar informações que sejam relevantes sobre segurança e análise dos riscos.
Identificação de riscos – na etapa de identificação de riscos é necessário identificar os principais riscos e como esses riscos podem afetar as operações.
Portanto, é necessário responder ás questões:
O que poderá ocorrer?
O que? Como e onde poderão ocorrer imprevistos?
Estimativas de riscos
Na etapa de estimativas de riscos é analisada a origem dos riscos com o auxilio da probabilidade de ocorrência de riscos.
A probabilidade de ocorrência de riscos utiliza dados quantitativos e qualitativos.
Na estimativa qualitativa de riscos utiliza-se indicadores de riscos com critérios de baixa, média e alta probabilidade.
Avaliação e tratamento de riscos
Para cada risco existe um tratamento diferente e ainda avaliar quais os riscos que impactam os principais processos da organização.
Quanto ao tratamento de riscos é necessário priorizar os riscos com maior probabilidade e executar um tratamento de redução, evitação ou retenção de riscos.
Quanto á redução de riscos é importante ressaltar quais ações pode reduzir a probabilidade de riscos.
Outro fator de tratamento de riscos é a transferência de riscos que consiste em compartilhar o risco com outra parte.
Quando se fala em compartilhar o risco consiste em compartilhar o ônus, perdas ou benefícios que estão associados aos riscos.
Transferir o risco somente será benéfico se não for gerados novos riscos ou ainda se o risco existente for apenas modificado.
O monitoramento de riscos
O monitoramento de riscos é a etapa mais importante para a gestão de riscos, isso porque os riscos devem ser monitorados, revisados com o intuito de se identificar quais as oportunidades de melhoria de processos para os riscos.
Ciclo de Vida na Continuidade de Negócios
Programa de Gestão de Continuidade de Negócios
Para gerir um plano de continuidade de negócios a empresa deve nomear responsáveis, definir diretrizes e ainda o escopo de recursos a serem alocados.
A gestão de continuidade de negócios compreende as etapas:
Entender a organização – no caso de falhas como as operações suportarão ameaças?
É necessário realizar um mapeamento de produtos e serviços, estimar o tempo de recuperação das operações caso haja interrupções.
Estratégia da continuidade de negócios
A estratégia de gestão de riscos para a empresa deve analisar as possíveis e adequadas ao tempo, recursos e tecnologia.
Desenvolver e planejar a estratégia de Gestão de Continuidade de negócios
A empresa deve definir um plano de continuidade de negócios que seja uma resposta efetiva para possíveis incidentes.
O plano de continuidade deverá conter: objetivos, divisão de responsabilidades, comunicação de fatos e outros.
Estrutura do plano de continuidade de negócios
A estrutura do plano de continuidade de negócios deve suportar o negócio da organização com o auxilio da Tecnologia da Informação para a recuperação das operações de acordo com as prioridades do negócio.
A estrutura do plano deve Conter os seguintes fatores:
Escopo e cenário – qual o escopo e cenários atuais e ainda o nível de maturidade da empresa para que seja realizado um plano de continuidade que seja completo.
Avaliação de riscos e ameaças
Como foi dito acima a avaliação de riscos deve ser construída com o uso de indicadores qualitativos- médio ou alto e baixo.
Impacto nos negócios
A avaliação de como os riscos impactam os negócios deve considerar os fatores:
Quantificação de impactos financeiros
Impacto em processos críticos de negócios
Quais são os recursos críticos para a continuidade dos negócios e etc.
Gestão da continuidade dos negócios
Prevenção de ameaças
Uma ameaça pode ser caracterizada como um potencial e indesejável incidente, resultando em dano para a organização.
Existem vários tipos de ameaças na continuidade dos negócios:
Intrusos – uma das piores ameaças para as empresas é a presença de intrusos.
Existem três tipos de intrusos:
Os mascarados – são pessoas que não têm autorização e mesmo assim utiliza recursos da empresa, essas pessoas podem ter acesso a controles e explorarem a conta de um algum usuário.
Ou intrusos infratores– que são pessoas que acessam dados, sistemas sem autorização ou pessoas que têm autorização e acessam dados com o uso mal intencionado.
Usuário clandestino- este usuário pode acessar o sistema e conseguir escapar de auditorias ou outras formas de controle.
Ataques físicos e tecnológicos
Os ataques físicos podem ser verificados em incidentes como roubo de informações, isso pode acontecer quando indivíduos mal intencionados decide roubar pendrives, Cds, Dvds e outros equipamentos que podem conter informações importantes.
As empresas que têm dúvidas sobre como proteger sua segurança física e segurança de informações podem buscar auxilio com a norma ABNT NBR ISO 27002.
A ISO propõe a segurança física e do ambiente com diretrizes que têm o objetivo de evitar o acesso físico não permitido.
Medidas de prevenção podem ser tomadas como precaução para proteção de equipamentos, instalações e sistemas.
Malwares
O sistema de informações de uma empresa pode também ser seriamente atacado, pois um malware significa um software malicioso que é capaz de danificar computadores e até roubar informações importantes.
Os vários tipos de malwares são:
Os vírus – um vírus de computador é um programa “intruso” que realiza comandos contrários aos comandos dos usuários e que pode causar danos a arquivos ou aos próprios programas já existentes no computador.
Os vários tipos de vírus são: vírus de e-mail, vírus de macro e etc.
Worm – o worm é um arriscado verme para computadores, pois consiste em um programa ou fragmentos de programas que agem se propagando a outros computadores.
A proliferação do worm não necessita da presença de um usuário.
O worm para infectar computadores age por meio de estações e assim poderá infectar diversas máquinas.
Para proliferação do worm são utilizados recursos de e-mail, que envia cópias de si mesmo e assim infecta outros sistemas.
Outras ameaças que são capazes de corromper os sistemas de informação são: cavalo de tróia, backdoor, Keyloggers e outros.
Soluções
A solução encontrada pela empresa é pela educação, é necessário educar os colaboradores para prevenir ameaças.
Para isso a empresa pode organizar uma série de treinamentos que possibilite a conscientização dos colaboradores quanto á ameaças possíveis e prevenção de riscos.
O colaborador é um usuário dos sistemas da empresa e por isso, é necessário conscientizar o funcionário de que é necessário segurança e proteção dos sistemas sob pena de perdas e danos.
Mas para isso, é necessário que a empresa invista em treinamento para conscientização.
Educar é necessário
É necessário educar os funcionários sobre o uso correto e preventivo dos sistemas de informações.
Algumas medidas simples podem ser utilizadas como forma de prevenir ataques de vírus, veja:
Trocar a senha padrão assim que o usuário realizar o primeiro login.
Não utilizar senhas curtas e fáceis de serem decifradas.
Não elaborar senhas com palavras que podem ser encontradas no dicionário.
Não utilizar senhas com nomes de pessoas, data de nascimento, datas comemorativas.
Nem utilizar os números: de telefones, de placas de automóveis e outros.
Passos para um plano de continuidade
Empresas de todos os portes podem elaborar um plano de continuidade.
Na verdade este é o seguro mais barato que uma empresa pode contratar.
Um plano de continuidade de negócios oferece suporte sobre como os funcionários irão continuar suas operações apesar de incidentes, desastres ou emergências.
Os planos de continuidade de negócios podem ser denominados ainda como planos de Recuperação de Desastres.
Para ter-se um plano de continuidade eficiente é necessário seguir os seguintes passos:
Documente funcionários – é necessário listar os funcionários que são chave para as atividades da empresa.
Esse é o primeiro passo.
Para listar os funcionários imprescindíveis é necessário considerar os fatores:
Quais são as funções criticamente necessárias no dia a dia da empresa.
A lista deve conter todos os dados dos funcionários: celular; Pager; e-mail de negócios; e-mail pessoal e outros.
Identifique funcionários que podem trabalhar em casa – existem funcionários na empresa que podem trabalhar em casa, pois possui computador, internet, telefone.
Documentar contatos – os contatos externos da empresa são também essenciais para o funcionamento eficaz das atividades e, portanto, é necessário documentar quais são os contatos externos que possuem informações críticas sobre a empresa.
Esses contatos podem ser: banqueiros, consultores, polícia, bombeiros e outros.
Identifique equipamentos críticos – alguns equipamentos são críticos para as atividades das empresas como: computadores, fax, máquinas de xerox e outros.
Identifique documentos críticos – os documentos críticos são documentos sobre contratos, documentos de Know How, documentos contábeis e financeiros.
Identifique soluções de contingencia – as soluções de contingencia podem ser: locação de computadores, de serviços de terceiros como: fax, cópias, impressões e outros.
Localização de contingencia – onde a empresa poderá funcionar caso ocorra eventos indesejáveis como desastres, incêndios e outros.
Uma localização de contingência pode ser hotéis, escritórios compartilhados e outros.
Por fim, ao planejar contingencia reúna todas as informações sobre pessoas chaves, dívida responsabilidades e comunique os funcionários sobre a importância de um plano de contingencia ou plano de continuidade de negócios.
Lembrando que o plano deve passar por análises e testes e ainda mudanças necessárias.
Preparado para fazer um Plano de Continuidade de Negócios?