Hoje será iniciada uma série de 3 posts sobre Gestão da Continuidade de Negócio.
Este assunto é extremamente importante para a sobrevivência de sua instituição quando ela sofrer um grave incidente! Não, não é premonição, é um fato: um dia sua instituição vai sofrer um incidente crítico, portanto, faça o planejamento da continuidade do seu negócio com antecipação...
Este assunto é extremamente importante para a sobrevivência de sua instituição quando ela sofrer um grave incidente! Não, não é premonição, é um fato: um dia sua instituição vai sofrer um incidente crítico, portanto, faça o planejamento da continuidade do seu negócio com antecipação...
Gestão da Continuidade de Negócios
A Gestão de Continuidade de Negócio (GCN) é o estabelecimento de uma estrutura estratégica e operacional, bem documentada, bem capacitada, para melhorar a resiliência da instituição, recuperar sua operacionalização pós-desastre e gerenciar as devidas interrupções nos negócios junto aos stakeholders.
Organograma & Responsabilidades
- Alta Direção – papel de criar as políticas de GCN (ou de delegar ao Comitê), criar o Comitê de GCN e aprovar os planos de GCN.
- Comitê/Gestão de GCN, composto pela alta direção, diretorias e gerentes sêniores – papel de direcionar as ações de GCN, disseminar o GCN na instituição, manter o PCN alinhado aos negócios, alocar recursos e apoiar a gestão da crise.
- Equipe de Administração de Crise, composto pelo Comitê e pelo representante da área de relações públicas da instituição – papel de condução da comunicação em momento de crise e definição da equipe que irá elaborar a política do PCN.
- Equipes de Gerência do PCN, composto por gerentes, coordenadores, gestores e representantes de áreas de negócio – papel de condução da elaboração do PCN e de comunicação entre os membros participantes e a equipe do Comitê de GCN.
- Equipes técnicas do PCN – papel de elaboração, manutenção, testes e execução do PCN
Abaixo compartilho um mapa de conceitos gerais de GCN bem interessante:
Mapa de Conceitos de Gestão de Continuidade de Negócio - Jorge H C Fernandes, 2011
Plano de Continuidade de Negócios
O Plano de Continuidade de Negócios (PCN) ou Business Continuity Plan (BCP), possui o objetivo de permitir que uma instituição mantenha suas atividades (e recupere-as!) em caso de interrupção das operações de negócios devido a um incidente – o negócio original pode ser dependente de ativos de TI ou até mesmo ser executado por processos manuais.
Para se criar um PCN seguimos algumas normas, definições e, é claro, as boas práticas de mercado. Logo de início, o Comitê de GCN deve definir a Política do PCN em um documento sucinto, abordando itens imprescindíveis à responsabilidade, criação e manutenção do PCN – este documento deve ser formalmente aprovado pela Alta Direção e estar acessível a todas as pessoas que possuem contato com a instituição:
Informações importantes na Política de GCN:
- Identificar a equipe responsável pela criação da política.
- Definir a periodicidade de avaliação, revisão e atualização dos planos do PCN.
- Definir os meios de publicação dos documentos derivados da PCN.
- Definir os participantes da Gerência de PCN, incluindo neste, representantes de áreas de negócio.
- Definir o coordenador do PCN.
- Definir os processos críticos ao negócio e seus responsáveis.
- Definir os grupos responsáveis pela criação, acompanhamento, revisão, avaliação, evolução, frequência e execução de testes e treinamento dos Planos do PCN.
- Definir a frequência da capacitação das pessoas comprometidas com a execução do PCN.
- Deve ser considerada a identificação e concordância de todas as responsabilidades e procedimentos do PCN.
A identificação dos procedimentos necessários para a manutenção e continuidade do negócio é, sem dúvida, uma atividade onerosa, mas imprescindível, e que requer bastante conhecimento dos processos críticos que integram o negócio e, principalmente, conhecimento dos procedimentos que fazem parte destes processos – serão nestes procedimentos que as ações de contingência/manutenção da continuidade de negócio serão executadas para que possam ser recuperados, de acordo com as prioridades do negócio, no menor intervalo de tempo possível. Após esta etapa, a identificação e concordância das responsabilidades por cada um deles será facilitada.
Com a Política aprovada, pontuando as necessidades básicas da instituição com relação à continuidade do negócio, damos início à elaboração do PCN.
Para se construir o PCN (veja alguns documentos de apoio ao final do último post desta "trilogia") atente-se às etapas estabelecidas pelo BSI Group:
Ciclo de vida da GCN, BSI Group
Reconhecer e compreender a estrutura organizacional
Esta etapa objetiva alinhar o PCN com os objetivos, obrigações e responsabilidades da instituição.
O que precisa ser feito:
- Definir o escopo, o cenário atual e seu nível de maturidade.
- Fazer uma Análise de Impacto sobre Negócios (BIA – Business Impact Analysis), para identificar, medir e avaliar os resultados de um incidente objetivando: quantificar os impactos financeiro, operacional e de reputação; processos de negócio críticos e suas prioridades; recursos críticos; dependências (internas e externas); prazo máximo de indisponibilidade do negócio; prazo máximo para recuperação do negócio em caso de incidente desastroso.
- Realizar análise, avaliação e gestão dos riscos com base no escopo, cenários e maturidade.
A BIA é um processo de análise em uma instituição utilizado para identificar seus processos críticos de negócios (e suas inter/dependências) e seus prazos limites de operação, com o objetivo de estimar seu impacto (financeiro, operacional e reputação) devido às paradas causadas por incidentes e criar uma ordem de recuperação dos processos.
A avaliação dos riscos sendo executada após a BIA auxilia a focar os esforços nos processo críticos da instituição, mas leve em consideração que é quase impossível prever todos os riscos operacionais, devido à dificuldade de identificar as possíveis ameaças. Trate tantos riscos quanto forem possíveis (custo X benefício).
Definir as estratégias para a continuidade do negócio
Esta etapa objetiva considerar aspectos de continuidade relativos a pessoas (retenção de conhecimentos do negócio), instalações (redução do impacto pela indisponibilidade das instalações físicas normais de trabalho), serviços de tecnologia (garantia do provisionamento), informação (considerar os diversos meios – físicos e digitais – nos quais a informação é retida – de forma provisória ou definitiva –, a conservação dos níveis de segurança e do nível aceitável de falta de atualização da informação), suprimentos (inventariar e desenvolver estratégia de ressuprimento para a execução das atividades críticas) e relações com stakeholders (considerar fatores de mercado, culturais e condições especiais de atendimento e relacionamento, durante e após o desastre, com os stakeholders).
O que precisa ser feito:
- Definir estratégias para a instituição
- Definir estratégias para os processos de negócio
- Definir estratégias para recuperação de ativos
Desenvolver e implementar respostas
Esta etapa objetiva buscar a implantação das estratégias definidas e a formalização de planos que garantam o gerenciamento de incidentes e a continuidade de suas atividades críticas. Deve ser estruturada uma equipe de gerenciamento de crises ou incidentes que tem como funções avaliar o incidente (natureza e extensão), controlá-lo e se comunicar com as partes internas e externas envolvidas na solução (polícia, bombeiros, imprensa, fornecedores, funcionários, dentre outros).
O que precisa ser feito:
- Plano de Gerenciamento de Incidentes
- Plano de Continuidade de Negócios:
- Plano de Contingência (PC)
- Plano de Administração de Crises (PAC)
- Plano de Recuperação de Desastres (PRD)
- Plano de Continuidade Operacional (PCO)
Aplicar, manter e rever (evoluir)
Esta etapa objetiva garantir a validação das ações descritas nos planos por meio de testes e análises críticas, além de contribuir com sua manutenção, de forma a mantê-las permanentemente atualizadas/coerentes com as necessidades da instituição.
O que precisa ser feito:
- Planejamento e execução dos testes dos planos de PCN
- Avaliar e manter os planos de PCN
- Evoluir, analisando, auditando, identificando e implementando potenciais melhorias no PCN
Todos estes planos devem ser desenvolvidos e implementados para a manutenção e recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após ocorrência de interrupções ou falhas dos processos críticos do negócio.
Abraços e até a segunda parte do tema GCN, quando falaremos sobre o Plano de Administração de Crises e o Plano de Contingência.
Abraços e até a segunda parte do tema GCN, quando falaremos sobre o Plano de Administração de Crises e o Plano de Contingência.
Nenhum comentário:
Postar um comentário