A Gestão da Continuidade de Negócio é a capacidade que uma organização possui para poder continuar a disponibilizar os seus produtos e serviços perante um cenário disruptivo, de forma planeada e adequada aos limites de tempo pré-definidos e aos compromissos assumidos.
Esta capacidade desdobra-se na prevenção e na recuperação planeada e preparada do “estado normal” após a ocorrência de um cenário disruptivo, ou seja, de um incidente ou evento que causou interrupção na disponibilização de produtos e serviços, de acordo com os compromissos assumidos por uma organização.
A pandemia, mas também situações mais comuns, como um incêndio que destruiu parte das instalações de uma empresa, inundações que impedem o acesso às instalações, um problema informático que causa indisponibilidade da informação, fuga de informação sensível ou um ciberataque “bem-sucedido”, são exemplos de cenários disruptivos que colocam à prova as estruturas existentes.
Nos últimos dois anos, verificou-se que muitas organizações não resistiram ao efeito directo e colateral da pandemia. Outras, não resistiram às consequências dos ciberataques que sofreram. Teriam estas organizações pensado e preparado a ocorrência destes cenários?
No sentido de prepararem a Continuidade de Negócio, os Gestores devem responder a um conjunto de questões relevantes sobre a sua Organização:
1. Quais as vulnerabilidades que caracterizam a minha organização?
2. Quais os riscos/incidentes disruptivos a que a minha organização está sujeita?
3. Quais as actividades críticas que é crucial proteger para continuar a prestar os meus produtos/serviços em caso de ocorrência de um incidente disruptivo?
4. Caso um incidente disruptivo ocorra, qual o impacto (legal, operacional, financeiro, reputacional) que terá no meu negócio?
5. Caso um incidente ocorra, qual é o meu objectivo temporal para restaurar a minha actividade para o modo normal?
6. Caso um incidente ocorra, qual o nível de perda e o período aceitável para reposição de informação?
Posteriormente, o desenvolvimento de um conjunto de actividades e ferramentas que se consolidam num Plano de Continuidade de Negócios (PCN), em que se identificam as vulnerabilidades existentes, os potenciais cenários disruptivos, as actividades críticas a serem protegidas, os recursos (primários e redundantes) necessários para assegurar a continuidade das operações e os testes necessários para assegurar a adequabilidade do plano face aos riscos identificados, permite que as Organizações estejam adequadamente preparadas para continuarem a sua actividade, dentro dos limites preestabelecidos, em cenários disruptivos.
Algumas organizações apresentam um PCN essencialmente centrado na vertente de TI, o que será insuficiente, já que os riscos e cenários disruptivos não serão apenas tecnológicos, mas também humanos, de processos, de infra-estrutura, entre vários outros.
Todas as organizações e diferentes sectores de actividade devem preocupar-se com estas questões? Sim. No entanto, as Organizações (Públicas ou Privadas) cujas actividades, sistemas, activos, redes (físicas ou virtuais) e infra-estruturas são críticas para a sobrevivência de uma nação, e cuja indisponibilidade comprometeria a economia do país, a saúde e a segurança das pessoas, deverão ter uma preocupação redobrada. Exemplos de sectores críticos são: saúde, energia, transportes, financeiro, águas e saneamento, comunicações, educação, serviços de emergência e tecnologias de informação.
A responsabilidade em assegurar que as questões relevantes se encontram devidamente endereçadas, em particular nos Sectores Críticos, divide-se. Por um lado, deve ser das Entidades Reguladoras dos sectores, que devem considerar esta abordagem como um requisito para os respectivos operadores. Por outro lado, da Liderança das Organizações.
A Gestão da Continuidade de Negócio é um compromisso estratégico, assumido pela organização, através da sua Liderança, com as partes interessadas. A Liderança irá assumir o Plano de Continuidade de Negócio quando tiver de ser activado; irá quantificar, especialmente do ponto de vista financeiro e reputacional, o impacto dos incidentes no negócio (Business Impact Analysis – BIA); irá aprovar o investimento para os recursos e as redundâncias necessárias para assegurar a Continuidade do Negócio no caso de um incidente disruptivo. É, portanto, crucial termos a nossa Liderança sensibilizada e comprometida com a Continuidade de Negócio das Organizações.
Desta forma, teremos uma rede de Organizações e infra-estruturas mais resilientes, que melhor responderão aos riscos e incidentes disruptivos, infelizmente cada vez mais graves e frequentes.
