O que pode fazer uma organização quando se depara com uma inundação, um ciberataque ou, transferindo a problemática para um cenário real e atual, com uma situação pandémica que exige a desmobilização das equipas de trabalho para fora da organização? A solução pode estar na aplicação do plano de continuidade do negócio.
O plano de continuidade do negócio define quais os procedimentos a implementar para que uma organização continue a funcionar perante uma interrupção imprevista. Não é o mesmo do que um plano de recuperação de desastres — este tem como objetivo recuperar informação após um acontecimento que tenha resultado na perda de informação.
O que deve garantir o plano de continuidade do negócio?
É normal que as organizações se foquem na infraestrutura tecnológica quando equacionam a elaboração de um plano de continuidade do negócio. No entanto, o foco deve estar nas necessidades do negócio e a infraestrutura deve apenas garantir que estas conseguem ser preenchidas. Para cada processo, é crítico assegurar os 3 pilares seguintes:
– Disponibilidade: nem todos os processos precisam de estar disponíveis. É importante identificar os processos críticos para o funcionamento da organização e garantir o seu acesso por vias alternativas, caso o habitual fique indisponível, seja por falhas nas instalações físicas da organização ou nos seus equipamentos técnicos.
– Integridade: desastres naturais, ciberataques ou outras situações podem colocar em causa a qualidade da informação e das ferramentas necessárias para a atividade da organização. É essencial garantir a existência de mecanismos de verificação da qualidade de informação para permitir que os processos de negócio continuem a funcionar.
– Confidencialidade: É em momentos de stress que estamos mais vulneráveis e os agentes maliciosos aproveitam-se dessas situações. É necessário garantir que os mecanismos alternativos para o funcionamento da organização em momentos de crise providenciam os mesmos níveis de confidencialidade do que em situações normais.
Como desenvolver um plano de continuidade do negócio?
Se a sua organização ainda não tem um plano de continuidade do negócio é tempo de agir. O primeiro passo deverá passar por uma avaliação dos processos de negócio e identificar quais as áreas vulneráveis na organização e, consequentemente, que perdas podem ocorrer se esses processos ficarem inoperacionais durante um dia, alguns dias ou uma semana.
De seguida, é importante estruturar e desenvolver o plano. Por norma, o seu desenvolvimento abrange os seguintes passos:
– Identificação do âmbito do plano;
– Identificar as áreas de negócio principais;
– Identificar as funções críticas do negócio;
– Identificar as dependências entre as diferentes áreas de negócio e funções;
– Determinar o tempo de inatividade aceitável para cada função crítica;
– Criar um plano para garantir o funcionamento das operações.
Uma das ferramentas mais utilizadas na definição do plano é uma checklist que inclui a listagem dos equipamentos, a localização das cópias de segurança da informação da organização, onde está disponível o plano de continuidade do negócio e quem lhe pode aceder, contactos de emergência, entre outras informações relevantes.
Idealmente, em conjunto com o plano de continuidade do negócio, deve existir um plano de recuperação de desastres. Assim, caso a sua organização ainda não o tenha, importa também defini-lo. Se a organização já tiver um plano de recuperação de desastres é necessário revê-lo para garantir que está alinhado com o plano de continuidade do negócio e acautelar que o tempo de restauração dos sistemas está definido, é exequível e adequado ao tempo de inatividade aceitável.
Durante o desenvolvimento de um plano de continuidade do negócio é também aconselhável recolher experiências de outras organizações que passaram por situações críticas e foram bem sucedidas.
No caso da Opensoft, o seu plano de continuidade do negócio foi aplicado na resposta à pandemia provocada pelo coronavírus. Os resultados foram bons: rapidamente o teletrabalho foi adotado por toda a equipa sem comprometer as entregas previamente acordadas dentro e fora da organização.
A Opensoft atualizou recentemente os seus procedimentos com vista a obter certificação ISO 27001, que se relaciona com a gestão da segurança de informação, por isso os seus processos já estavam otimizados para responder a imprevistos como o coronavírus. A existência de material informático portátil e replicável, a sediação de aplicações e ambientes de execução na cloud, a subscrição de ferramentas de colaboração remota foram soluções que permitiram fazer uma adaptação rápida à nova realidade de colaboração remota.
Se quiser saber mais sobre o plano de continuidade do negócio da Opensoft e a nossa experiência na sua aplicação, entre em contacto connosco!