Hayrton Rodrigues do Prado Filho
Será possível efetuar todos os preparativos para as inúmeras possibilidades que uma empresa pode sofrer com algum tipo de desastre? A preocupação deve ser uma só: as empresas têm que sobreviver aos impactos negativos e eventualidades que venham a acontecer, e mensurar, aprovar e sempre monitorar os procedimentos.
Uma organização é dependente de seus recursos, pessoal e as tarefas que são realizadas no dia a dia e estar sempre saudável, feliz e com retorno financeiro. A maioria das organizações tem recursos tangíveis e intangíveis, propriedade intelectual, empregados, computadores, comunicações, links, locais e serviços locais de trabalho.
Se qualquer destes recursos é danificado ou se tornado inacessível por qualquer razão, a empresa pode estar com problemas. Se mais de um destes recursos fica prejudicado a empresa pode sofrer riscos muito altos. Quanto mais tempo estes itens ficam sem uso, mais tempo será necessário para a organização voltar ao seu estado normal.
Em determinados casos, algumas empresas não conseguem voltar ao estado normal após um desastre. Entretanto, as que pensam na frente, planejam para a maioria dos desastres que podem acontecer, e não se arriscam, e realizam um plano de continuidade ou uma gestão da continuidade dos negócio.
O objetivo de recuperação de desastres é para minimizar os efeitos de um desastre e tomar os passos necessários para certificar que os recursos, pessoal, e os processos de negócios estejam aptos à continuar a operação em pouco tempo na eventualidade de desastres. A recuperação de desastres é diferente da continuidade de negócios, onde o foco é em manter o negócio funcionando mesmo no caso de um problema, e no caso do ultimo o foco é em voltar ao normal após a falha. Em geral, o foco de recuperação de desastres é mais no ambiente de Tecnologia da Informação.
Um plano de recuperação de desastres é utilizado quando tudo está em modo de emergência, e todos estão focados em retomar todos os sistemas em modo on-line. O plano de continuidade de negócios toma uma linha mais focada no problema. Isso inclui o propósito nos sistemas mais críticos, e leva-los para um ambiente alternativo onde o desastre ocorreu enquanto ocorre a reparação da unidade com problemas. Levando em conta todos os envolvidos na empresa e também os clientes, de uma forma que tudo volte a normalidade o mais breve e seguro possível.
É importante observar que a empresa pode estar muito mais vulnerável depois que ocorre o desastre, porque os sistemas de segurança ficam mais focados na continuidade dos negócios. Os procedimentos planejados permitem a organização: prover um imediato e apropriada resposta à situações de emergência; proteger vidas e garantir segurança; reduzir impacto aos negócios; retornar as funções criticas de negócios à normalidade; reduzir confusão durante uma crise; e garantir a sobrevivência do negocio.
A NBR ISO 22313:2015 – Segurança da sociedade – Sistemas de gestão de continuidade de negócios – Orientações fornece orientação com base em boas práticas internacionais para o planejamento, criação, implantação, operação, monitoramento, análise crítica, manutenção e melhoria contínua de um sistema de gestão documentado, que permite que as organizações se preparem para responder e recuperar-se de incidentes de interrupção quando eles surgirem. Não é a intenção desta norma impor uniformidade na estrutura de um Sistema de Gestão de Continuidade de Negócios (SGCN), mas permitir que uma organização projete um SGCN que seja adequado às suas necessidades e que atenda aos requisitos de suas partes interessadas.
Essas necessidades são formadas por requisitos legais, regulamentares, organizacionais e industriais, pelos produtos e serviços, processos empregados, o ambiente no qual a organização opera, seu tamanho e estrutura assim como os requisitos das suas partes interessadas. Esta norma é genérica e aplicável a todos os tipos e tamanhos de organizações, incluindo grandes, médias e pequenas que operam em setores industrial, comercial, público e sem fins lucrativos que desejam: estabelecer, implementar, manter e melhorar um SGCN; assegurar conformidade com a política de continuidade de negócios da organização, ou fazer uma autodeterminação e autodeclaração de conformidade com esta norma.
Não é possível utilizar esta norma para avaliar a capacidade de uma organização para atender às suas necessidades de continuidade de negócios próprios, nem quaisquer necessidades de clientes, legais ou regulamentares. As organizações que desejam fazê-lo podem usar os requisitos da NBR ISO 22301 para demonstrar conformidade para outros ou buscar a certificação de seu SGCN por um organismo de certificação terceiro acreditado.
Assim, a norma fornece orientação, onde apropriado, sobre os requisitos da NBR ISO 22301:2013 e fornece recomendações (“convém que”) e permissões (“pode”) em relação a eles. Não é a sua intenção fornecer orientações gerais sobre todos os aspectos da continuidade de negócios.
Esta norma inclui os mesmos títulos que a NBR ISO 22301, mas não repete os requisitos para sistemas de gestão de continuidade de negócios e seus termos e definições relacionados. As organizações que desejam ser informadas destas, portanto, devem consultar a NBR ISO 22301 e a ISO 22300.
Para fornecer mais esclarecimentos e explicação de pontos-chave, esta norma inclui uma série de figuras. Todas essas figuras são apenas para fins ilustrativos e o texto relacionado no corpo desta norma tem precedência.
Um sistema de gestão de continuidade de negócios (SGCN) enfatiza a importância de: compreender as necessidades da organização e a necessidade de estabelecer uma política e objetivos de continuidade de negócios; implementar e operar controles e medidas para a gestão da capacidade geral de uma organização para gerenciar incidentes de interrupção; monitorar e analisar criticamente o desempenho e a eficácia do SGCN e melhorar continuamente, com base em medições objetivas.
O SGCN, como qualquer outro sistema de gestão, inclui os principais componentes a seguir: uma política; pessoas com responsabilidades definidas; processos de gestão relativos a: política; planejamento; implementação e operação; avaliação de desempenho; análise crítica da gestão e melhoria; um conjunto de documentação fornecendo evidências auditáveis, e quaisquer processos do SGCN relevantes para a organização.
Geralmente a continuidade de negócios é específica para uma organização, no entanto, a sua implementação pode ter implicações de longo alcance sobre a comunidade em geral e terceiros. É provável que uma organização tenha outras organizações externas que dependam dela, e assim vice-versa. Uma continuidade de negócios eficaz, portanto, contribui para uma sociedade mais resiliente.
Esta norma adota o modelo “Plan-do-check-act” (PDCA) para planejar, estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar continuamente a eficácia do SGCN de uma organização. A Figura 1 ilustra a forma como o SGCN leva requisitos das partes interessadas como insumos para a gestão de continuidade de negócios (GCN) e, por meio das ações necessárias e processos, produz resultados de continuidade de negócios (por exemplo, gestão de continuidade de negócios) que atendem a esses requisitos.
A continuidade de negócios é a capacidade que uma organização tem de continuar a entrega de produtos ou serviços em níveis aceitáveis pré-definidos após um incidente de interrupção. A gestão de continuidade de negócios (GCN) é o processo de alcançar a continuidade do negócio e é sobre a preparação de uma organização para lidar com incidentes de interrupção que poderiam impedi-la de atingir seus objetivos.
Colocar a GCN dentro de uma estrutura e disciplinas de um sistema de gestão cria um sistema de gestão de continuidade de negócios (SGCN) que permite que a GCN possa ser controlada, avaliada e melhorada continuamente. Nesta norma, a palavra negócio é usada como um termo abrangente para as operações e serviços realizados por uma organização em busca de seus objetivos, metas ou missão. Como tal, é igualmente aplicável a organizações grandes, médias e pequenas que operam em setores industrial, comercial, público e sem fins lucrativos.
Qualquer incidente, grande ou pequeno, natural, acidental ou deliberado tem o potencial de causar grande interrupção para as operações da organização e sua capacidade de fornecer produtos e serviços. No entanto, a implementação de uma gestão de continuidade de negócios antes que um incidente de interrupção ocorra, ao invés de esperar que isso aconteça, vai permitir que a organização retome suas operações antes que surjam níveis de impacto inaceitáveis.
A GCN envolve: ser claro sobre os principais serviços e produtos-chave da organização e as atividades que os suportam; conhecer as prioridades para retomar as atividades e os recursos necessários; ter uma compreensão clara das ameaças a essas atividades, incluindo suas dependências, e compreendendo os impactos de uma não retomada; ter implementado arranjos testados e confiáveis para retomar essas atividades após um incidente de interrupção, e certificar-se que estes acordos são analisados criticamente e atualizados de forma rotineira, de modo que eles sejam eficazes em todas as circunstâncias.
A continuidade de negócios pode ser eficaz em lidar tanto com incidentes repentinos de interrupção (por exemplo, explosões) como aqueles graduais (por exemplo, pandemias de gripe). As atividades são interrompidas por uma grande variedade de incidentes, muitos dos quais são difíceis de prever ou analisar. Ao concentrar-se sobre o impacto da interrupção e não a causa, a continuidade de negócios identifica as atividades em que a organização depende para a sua sobrevivência, e permite que a organização determine o que é necessário para continuar a cumprir as suas obrigações.
Através da continuidade de negócios, a organização pode reconhecer o que precisa ser feito para proteger os seus recursos (por exemplo, pessoas, instalações, tecnologia e informação), cadeia de suprimentos, as partes interessadas e reputação, antes que um incidente de interrupção ocorra. Com esse reconhecimento, a organização é capaz de ter uma visão realista sobre as respostas que possam vir a ser necessárias, caso e quando uma interrupção ocorra, e assim esteja confiante para gerenciar as consequências e evitar impactos inaceitáveis.
Uma organização que tenha implementado uma gestão de continuidade de negócios adequada também pode tirar vantagem das oportunidades que de outro modo poderiam ser consideradas como de risco muito alto. Os diagramas (Figuras 2 e 3) destinam-se a ilustrar conceitualmente como a gestão de continuidade de negócios pode ser eficaz na atenuação dos impactos em determinadas situações. Nenhuma escala de tempo específica está implícita pela distância relativa entre as fases descritas em qualquer diagrama.
Enfim, é importante que a empresa entenda que alcança o seu objetivo oferecendo seus produtos e serviços aos clientes. Portanto, para criar um entendimento do impacto negativo ao longo do tempo, que a interrupção destes produtos e serviços (e as atividades associadas) teria sobre os objetivos e funcionamento da organização. Também é importante compreender as interrelações e requisitos de recursos das atividades que suportam produtos e serviços e as ameaças sobre eles.
Por meio da compreensão, a organização é capaz de garantir que a sua continuidade do negócio se alinha com a sua finalidade, deveres e obrigações legais para as suas partes interessadas. O entendimento é alcançado por meio dos processos de análise de impacto nos negócios e avaliação de riscos. Estes processos fornecem a informação de que a organização precisa determinar e selecionar estratégias de continuidade de negócios (8.3.1).
Convém que a análise de impacto dos negócios (BIA) e a avaliação de risco permitam a organização identificar medidas que: limitem o impacto de uma interrupção na organização; encurtem o período de interrupção; e diminuam a probabilidade de uma interrupção. Convém que o contexto, critérios de avaliação e formato do resultado da BIA e avaliação de risco sejam definidos e acordados com antecedência. Convém que as informações coletadas sejam analisadas criticamente regularmente, especialmente durante os períodos de mudança.
E como exercitar os planos de continuidade de negócios? Os exercícios são atividades projetadas para examinar a capacidade dos colaboradores para reagir, recuperar e continuar eficazmente a executar funções de negócio atribuídas quando enfrentados com cenários de interrupção específicos. Convém que a organização faça uso de exercícios e de resultados documentados destes para assegurar a eficácia e a prontidão de seus planos de continuidade de negócios. Convém que cada exercício e teste tenham metas e objetivos claramente definidos e sejam baseados em um cenário apropriado para atendê-los.
Os exercícios podem: antecipar um resultado predeterminado, por exemplo, é planejado e esquematizado com antecedência; e permite que a organização desenvolva soluções inovadoras. Convém que os exercícios sejam realísticos, planejados com cuidado e acordados com as partes interessadas, de modo que haja um risco mínimo de interrupção aos processos de negócios e de um incidente que ocorra por um resultado direto do exercício.
Isto pode ser conseguido empreendendo o exercício dentro de um ambiente controlado e isolado contanto que este não comprometa a integridade dos objetivos que estão sendo testados. Convém que a organização projete cenários do exercício que satisfaçam aos objetivos do exercício e possam usar ameaças identificadas na avaliação de risco ou em outros eventos apropriados.
A eficácia de alguns aspectos dos arranjos da GCN exigirá que determinados indivíduos ou aqueles que ocupam posições específicas tenham conhecimento, habilidades e compreensões específicas. Convém que estes sejam colocados antes do exercício permitindo que os participantes apliquem estes aos cenários e às simulações relevantes.
Convém que os exercícios sejam projetados e conduzidos de modo que forneçam um ou mais do seguinte: verificação de que os tempos objetivados de recuperação (RTO) são realizáveis (8.3.1); confiança de que as informações exigidas pelas atividades são apropriadamente atuais (8.3.2.3); melhoria da compreensão das dependências na continuidade dos negócios de fornecedores e outras partes interessadas; maior consciência do contexto e as prioridades da organização; melhoria da compreensão do conteúdo e utilização de procedimentos de continuidade de negócios; melhoria da confiança na resposta a incidentes; uma oportunidade para melhorar as capacidades; uma avaliação da utilidade e aplicabilidade de estratégias de continuidade de negócios; uma avaliação da adequação das capacidades desenvolvidas e alocação de recursos; uma identificação das necessidades e práticas anteriores utilizadas na gestão de um incidente ou interrupção que não foram documentadas; uma oportunidade para identificar quaisquer outras insuficiências nos procedimentos de continuidade de negócios escritos e sua implementação; garantia de que os procedimentos de continuidade de negócios são capazes de serem implementados, quando necessário; melhoria da confiança das partes interessadas sobre a preparação da organização; e um meio de cumprimento dos requisitos de governança regulamentares, contratuais ou organizacionais.
Os exercícios podem ter uma variedade de diferentes formatos. A decisão a respeito da adequação do tipo de exercício dependerá do contexto para a GCN, dos objetivos para o exercício, da disponibilidade do orçamento e dos participantes e da tolerância da organização à interrupção operacional causada pela execução do exercício. Os tipos principais de exercício são descritos na ISO 22398 – Societal security – Guidelines for exercises and testing.
Hayrton Rodrigues do Prado Filho é jornalista profissional, editor da revista digital Banas Qualidade e membro da Academia Brasileira da Qualidade (ABQ) – hayrton@hayrtonprado.jor.br