Gestão de Continuidade de Negócios: O processo que salva empresas

Todos sabem que a maioria das informações utilizadas pelas empresas são manuseadas através de sistemas de informação.

Com a dependência da Tecnologia da Informação (TI) e seus riscos inerentes, foram criadas diversas normas e legislações específicas para a gestão de riscos operacionais. Prova disso são os diversos decretos e instruções normativas do Banco Central referentes à riscos operacionais e continuidade de negócio, leis como Sarbanes-Oxley para empresas de capital aberto nos EUA, Basiléia II, normas referentes à obrigatoriedade de auditoria de TI pelas empresas de auditoria contábil, entre outras.

Grande parte das legislações citadas, bem como normas e frameworks específicas da área de TI, como ITIL, COBIT e normas ISO 27001/27002 tratam de gestão de riscos e gestão de continuidade de negócios (GCN).

Mesmo tendo conhecimento das melhores práticas, muitas empresas ainda não instituíram processos de gestão para tratar o assunto segurança da informação. Por processos de gestão leia-se Sistema de Gestão de Segurança da Informação, abrangendo Gestão de Continuidade de Negócios, Gestão de Riscos e todas as atividades envolvidas. Com isso, mesmo sendo assunto amplamente discutido, infelizmente para muitas empresas esse assunto ainda é “novidade”, e não é tratado de forma adequada.

É importante que as companhias conheçam as ameaças que podem impactar seus processos e a entrega de seus produtos e serviços, e mantenham um planejamento para recuperação das suas atividades, caso essas ameaças venham a se concretizar. A redução do risco de perdas financeiras e de reputação depende de ações práticas. Deve-se lembrar que em momentos de crise é difícil tomar decisões rápidas, e com a ajuda de um processo específico para essas ocasiões, é possível prover a habilidade de recuperar e restaurar as operações em casos de descontinuidade, de forma eficiente e eficaz.

Nesse contexto, o processo de Gestão de Continuidade de Negócios vem com o objetivo de apoiar organizações que “pensam” em longo prazo, e se preocupam com sua continuidade e imagem.

Esse processo tem como atividades principais (mas não mais importante que as demais atividades), o mapeamento de riscos, análise de impacto nos processos e estratégia de recuperação de desastres. Uma das formas recomendadas para conseguir realizar essas atividades com sucesso é utilizar como guia a norma BS 25999, também conhecida como ISO 15999.

A BS 25999 foi a primeira norma britânica para Gestão de Continuidade de Negócios, e se tornou referência mundial em termos de GCN. Essa norma apresenta todas as atividades necessárias para definir, implementar, testar, executar e monitorar o processo de forma adequada.

Deve-se destacar, que como o próprio nome diz, a continuidade é do negócio, por isso o trabalho envolve processos e área de negócio, fora da TI. Não devemos esquecer que o objetivo é dar continuidade à entrega dos produtos e serviços aos clientes. Por isso, existem alguns elementos chave da GCN, que devem estar sempre claros, do estabelecimento à implantação e monitoração. São eles:

  • Entendimento do contexto no qual a organização opera;
  • Entendimento dos produtos e serviços críticos que a organização deve entregar (seus objetivos);
  • Entendimento das barreiras ou interrupções que podem ser encontradas na entrega desses produtos e serviços;
  • Entendimento de como a organização pode continuar a atingir esses objetivos no caso de ocorrência das interrupções;
  • Entendimento dos custos envolvidos quando os controles e outras estratégias de mitigação são implementadas;
  • Entendimento dos critérios e execução de respostas a incidentes, e procedimentos de recuperação do negócio;
  • Garantir que todos os profissionais envolvidos entendam seus papéis e responsabilidades no caso de ocorrência de paradas;
  • Criar consenso e comprometimento ao desenvolvimento, implantação e execução da continuidade do negócio;
  • Integrar o processo de continuidade do negócio como parte da rotina da organização.

Além desses elementos chave, existem algumas atividades básicas realizadas para a implantação da GCN:

Mapeamento de Processos

  • Análise de Riscos;
  • Análise de Impacto no Negócio (Business Impact Analysis – BIA);
  • Definição de estratégias de Continuidade;
  • Documentação (Planos de Continuidade de Negócio);
  • Treinamento;
  • Testes.

Porque as empresas devem instituir a GCN: 

  • A implantação da GCN demonstra prudência dos gestores e a preocupação com a continuidade de suas empresas, e a provisão de seus serviços;
  • A alta administração e gerências possuem a responsabilidade de manter o funcionamento da empresa. As empresas têm o dever de entregar seus serviços e produtos aos seus clientes (internos e externos). Algumas empresas têm obrigação legal de manter uma GCN através de legislações como as já citadas neste artigo;
  • Para uma gestão prudente é importante o reconhecimento e a gestão de riscos de forma adequada. A GCN trabalha com riscos na sua base. A criação do processo obriga a empresa a conhecer seus riscos através de atividades como análise de riscos e a análise de impacto no negócio (BIA).  Através do mapeamento de processos e as análises de riscos é possível analisar riscos do negócio, riscos operacionais, riscos externos, entre outros.

Existem muitos benefícios na implantação do processo de Gestão de Continuidade de Negócios, e existem alguns que se destacam, pois trazem melhorias para a empresa como um todo, e podem ser utilizados por outras áreas/processos.

A capacidade de identificar riscos da operação, mitigar e gerir esses riscos é um benefício que no médio prazo traz lucros, por reduzir perdas, minimizar a probabilidade e o impacto de exploração de vulnerabilidades e reduzir retrabalho.

Outro benefício importante é a vantagem competitiva que resulta da GCN, conferida pela habilidade de manter os serviços e produtos aos clientes, lucratividade e empregabilidade de seus funcionários.

As empresas tem suas atividades suportadas por tecnologias que maximizam a eficiência, eficácia e produtividade, mas que são suscetíveis a problemas. Por isso a importância de todos os esforços necessários à manutenção da disponibilidade das operações.

A GCN é uma peça fundamental para a pronta recuperação das operações da empresa, no menor tempo possível, e por isso é recomendável a empresas de qualquer porte e atividade. O processo se ajusta ao tamanho da empresa, o primeiro passo é o entendimento da necessidade de uma ferramenta de apoio ao negócio e às ferramentas tecnológicas, para dar continuidade ao crescimento do número de clientes, faturamento, funcionários e sociedade.

Postado por:

Leave a Reply