Plano de Continuidade de Negócios ou
O plano ou planejamento de continuidade de negócios é o processo envolvido na criação de um sistema de prevenção e recuperação de potenciais ameaças a uma empresa. O plano garante que o pessoal e os ativos estejam protegidos e possam funcionar rapidamente em caso de desastre. O PCN é geralmente concebido com antecedência e envolve a contribuição das principais partes interessadas e dos funcionários.
O PCN envolve a definição de todos e quaisquer riscos que possam afetar as operações da empresa, tornando-se uma parte importante da estratégia de gerenciamento de riscos da organização. Os riscos podem incluir desastres naturais – incêndios, inundações ou eventos relacionados ao clima – e ataques cibernéticos. Uma vez identificados os riscos, o plano também deve incluir:
- Determinar como esses riscos afetarão as operações;
- Implementar salvaguardas e procedimentos para mitigar os riscos;
- Procedimentos de teste para garantir que eles funcionem;
- Revisar o processo para certificar-se de que está atualizado.
PCNs são uma parte importante de qualquer negócio. Ameaças e interrupções significam uma perda de receita e custos mais altos, o que leva a uma queda na lucratividade. E as empresas não podem confiar apenas no seguro porque não cobre todos os custos e os clientes que se mudam para a concorrência.
Entendendo o Plano de Continuidade de Negócios
As empresas são propensas a uma série de desastres que variam em grau de menor a catastrófico. O planejamento de continuidade de negócios geralmente serve para ajudar uma empresa a continuar operando no caso de grandes desastres, como incêndios por exemplo. Os BCPs são diferentes de um plano de recuperação de desastres, que se concentra na recuperação do sistema de TI de uma empresa após uma crise.
Considere uma empresa financeira com sede em uma cidade grande. Pode colocar um PCN no local, tomando medidas, incluindo backup de seu computador e arquivos do cliente fora do local. Se algo acontecesse com o escritório corporativo da empresa, seus escritórios satélites ainda teriam acesso às informações importantes.
Um ponto importante a ser observado é que o PCN pode não ser tão eficaz se uma grande parte da população for afetada, como no caso de um surto de doença.
veja neste link algumas dicas de como manter o plano de continuidade de negócios em dia https://adentro.com.br/5-dicas-para-manter-a-continuidade-de-negocios.
Desenvolvendo um Plano de Continuidade de Negócios
Existem várias etapas que muitas empresas devem seguir para desenvolver um PCN sólido. Elas incluem:
- Análise de Impacto nos Negócios: Aqui, a empresa identificará funções e recursos relacionados que são sensíveis ao tempo;
- Recuperação: Nessa parte, o negócio deve identificar e implementar etapas para recuperar funções críticas de negócios;
- Organização: Uma equipe de continuidade deve ser criada. Esta equipe elaborará um plano para gerenciar a interrupção;
- Treinamento: A equipe de continuidade deve ser treinada e testada. Os membros da equipe também devem completar exercícios que revisem o plano e as estratégias.
As empresas também podem achar útil criar uma lista de verificação que inclua detalhes importantes, como informações de contato de emergência, uma lista de recursos que a equipe de continuidade possa precisar, onde os dados de backup e outras informações necessárias estejam armazenados e como contatar pessoas terceiras importantes.
Além de testar a equipe de continuidade, a empresa também deve testar o próprio PCN. Ele deve ser testado várias vezes para garantir que possa ser aplicado a muitos cenários de risco diferentes. E isso ajudará a identificar quaisquer deficiências no plano que possam ser identificadas e corrigidas antes da crise de fato ocorrer.
Importante! Para que um plano de continuidade de negócios seja bem-sucedido, todos os funcionários, mesmo aqueles que não estão na equipe de continuidade, devem estar cientes do plano.
Análise de impacto de continuidade de negócios
Uma parte importante do desenvolvimento de um PCN é uma análise de impacto de continuidade de negócios. Ele identifica os efeitos da interrupção de funções e processos de negócios. Ele também usa informações para tomar decisões sobre prioridades e estratégias de recuperação.
A FEMA (Agência Federal de Gestão de Emergências dos EUA, que faz parte do Departamento de Segurança Interna) fornece uma planilha de impactos financeiros e operacionais para ajudar a executar uma análise de continuidade de negócios. A planilha deve ser preenchida por gerentes de funções e processos que estejam bem familiarizados com os negócios. Essas planilhas resumirão o seguinte:
- Os impactos – financeiros e operacionais – que resultam da perda de funções e processos empresariais individuais;
- Identificar quando a perda de uma função ou processo resultaria nos impactos comerciais identificados.
A conclusão da análise pode ajudar as empresas a identificar e priorizar os processos com maior impacto nas funções financeiras e operacionais da empresa. O ponto em que eles devem ser recuperados é geralmente conhecido como o “objetivo do tempo de recuperação“.
Quão extenso deve ser o seu plano de recuperação?
Atualmente, com crimes cibernéticos e violações de segurança se tornando mais sofisticados, é importante para você como organização definir suas estratégias de recuperação e proteção de dados. A capacidade de lidar rapidamente com incidentes pode reduzir o tempo de inatividade e minimizar danos financeiros e de reputação.
Planos de recuperação de desastres permitem que organizações garantam que atendam a todos os requisitos de conformidade, ao mesmo tempo que fornecem um roteiro claro para a recuperação.
Alguns tipos de desastres para os quais as organizações podem planejar incluem:
-
Falha de lógica no ambiente (crash no servidor, ataque racker, vírus, indisponibilidade);
-
Falha de comunicação (queda de internet ou falta de energia, etc.);
-
Desastre no data center principal;
-
Desastre no prédio (terremoto, incêndio, alagamentos, etc.)
Coisas que Você Deve Incluir na Sua Lista de Verificação do Plano de Recuperação de Desastres
Objetivo de Tempo de Recuperação (RTO) e Objetivo de Ponto de Recuperação (RPO)
Um plano de recuperação de desastres deve deixar claro quais são os:
- RTO—o tempo máximo que sua organização pode tolerar para recuperar operações normais em caso de desastre (por exemplo, recuperação dentro de 30 minutos, 2 horas, 12 horas)
- RPO—a quantidade máxima de dados que sua organização pode se dar ao luxo de perder (por exemplo, uma hora de dados, 3 horas de dados, um dia de dados)
Inventário de Hardware e Software
Para que um plano seja eficaz, você deve ter um inventário abrangente e atualizado de seus ativos de TI. Categorize-os nas seguintes categorias:
- Crítico—ativos sem os quais sua empresa não pode operar
- Importante—aplicações que são usadas pelo menos uma vez por dia e podem interromper as operações normais
- Não importante—aplicações que são usadas com menos frequência do que uma vez por dia
Certifique-se de que seu plano de recuperação de desastres aborda todos os ativos críticos e, o máximo possível, os ativos importantes e não importantes, nessa ordem.
Identifique Funções do Pessoal
O plano deve definir quem na organização é responsável pelos processos de recuperação de desastres, com seus nomes e detalhes de contato. Responsabilidades críticas incluem:
-
Backup contínuo e manutenção de sistemas de continuidade de negócios
-
Responsabilidade por declarar um desastre
-
Responsabilidade por contatar fornecedores terceirizados
-
Responsabilidade por relatar à administração e fazer a ligação com clientes, imprensa, etc.
-
Responsabilidade por gerenciar a crise e se recuperar dela
Lista de Sites de Recuperação de Desastres
Um plano de recuperação de desastres deve especificar onde estão localizados os ativos da empresa e para onde cada grupo de ativos será movido se ocorrer um desastre. Existem três tipos de sites:
- Sites quentes—um centro de dados totalmente funcional com equipamentos de TI, pessoal e dados do cliente atualizados
- Sites mornos—um centro de dados funcional que permite acesso apenas a sistemas críticos, sem dados atualizados do cliente
- Sites frios—usados para armazenar backups de sistemas ou dados, mas sem a capacidade de executar sistemas operacionais imediatamente
Procedimentos de Resposta a Desastres
Um elemento-chave de um plano de recuperação de desastres é um procedimento documentado para responder a um evento catastrófico. As primeiras horas de um evento são críticas, e a equipe deve saber exatamente o que fazer para minimizar os danos aos sistemas organizacionais e recuperar os sistemas para retomar as operações normais.
Um procedimento de recuperação de desastres deve incluir etapas de ação claras, em linguagem simples e inequívoca, incluindo como migrar para o site de recuperação de desastres e garantir que a recuperação seja bem-sucedida.
Identificar Dados Sensíveis
Todas as organizações mantêm dados sensíveis, que também podem estar sujeitos a requisitos de conformidade, como Informações Pessoais Identificáveis, dados de titulares de cartões de crédito ou outros dados valiosos, como propriedade intelectual (PI).
Um plano de recuperação de desastres deve identificar como esses dados sensíveis são copiados com segurança e quem deve ter acesso à cópia original e aos backups, tanto durante as operações normais quanto em caso de desastre.
Definir um Plano de Comunicação para Eventos de Desastre
Quando um desastre ocorre, uma empresa deve ter um plano claro para fornecer informações essenciais às partes afetadas, incluindo:
-
-
Gerenciamento;
-
Funcionários
-
Fornecedores;
-
Clientes;
-
Autoridades e conformidades;
-
A mídia
-
O plano de comunicação deve incluir elementos como relações públicas, comunicação nos sites da empresa e mídias sociais. Quando há um canal claro de comunicação com as partes interessadas sobre um evento, os clientes e outras partes interessadas se sentirão tranquilizados e estarão mais propensos a continuar sua relação com a empresa.
Testando seu plano de recuperação de desastres (DRP)
Os planos de recuperação de desastres (DRPs) são testados para encontrar problemas e corrigi-los antes de um desastre real acontecer. Esses testes mostram se o plano de resposta a emergências é eficaz e cumpre os objetivos de tempo e de recuperação. Como a tecnologia muda sempre, testar os DRPs também garante que o plano esteja atualizado.
Você pode ler nosso artigo dos motivos para contratar um PCN https://adentro.com.br/3-razoes-pra-voce-contratar-um-pcn/.
Às vezes, as empresas não testam os DRPs por falta de dinheiro, recursos ou aprovação da diretoria. Os testes de DR consomem tempo, recursos e planejamento.
Os testes de DR podem ser simples ou complexos. Em uma revisão do plano, discutimos detalhes do DRP para encontrar falhas. Em um teste, as pessoas envolvidas no plano simulam uma emergência para ver se sabem o que fazer.
Saiba um pouco mais como a ADENTRO lhe ajuda na elaboração do plano de continuidade de negócios.