Ter um PCN não garante que um negócio sobreviverá a qualquer crise, mas é um instrumento que pode aumentar significativamente as chances de retomar à normalidade após um incidente crítico

A interrupção das operações causada por um incidente crítico pode deixar um negócio irrecuperável ou à beira do colapso. Por isso, o planejamento e a implementação de uma estratégia de continuidade não podem ser vistos apenas como ações complementares, mas sim, como um elemento essencial para a sobrevivência da empresa. 

O Plano de Continuidade de Negócios (PCN) é um conjunto de procedimentos que uma organização desenvolve para garantir que ela possa seguir operando durante e após situações adversas, como falta de energia, incêndios, desastres naturais, ataques cibernéticos e, até mesmo, escândalos que colocam a reputação da empresa em cheque. Ele também pode ser útil para lidar com problemas mais específicos, como a perda de um fornecedor-chave, por exemplo. 

No entanto, vale lembrar que o caráter proativo do PCN tem como foco as funções críticas do negócio e não toda a organização. Por quê? “Seria muito caro resolver tudo de uma vez. A empresa precisa manter suas funções críticas e ter um tempo para conseguir reparar e restaurar toda a organização”, explica Ivan Paiva, Líder da Plataforma de Segurança e Continuidade da Flowti. 

Preparação 

A primeira coisa a saber ao construir um Plano de Continuidade de Negócios é que não se trata de um projeto único. É algo que as empresas precisam acompanhar e atualizar conforme necessário para mantê-las na melhor forma possível, prontas para qualquer adversidade. 

Mas o melhor projeto, segundo Ivan Paiva, é o que funciona e é bem aplicado, não importa se ele ocupa uma única folha de papel ou um livro inteiro. “Não adianta a empresa gastar milhares de Reais para fazer um PCN se ela não tiver capacidade de aplicar e mantê-lo vivo”, diz o especialista. Por essa razão, a alta direção é quem precisa se conscientizar primeiro da importância do plano. “Os gerentes de TI e Jurídico sabem das implicações de não se ter um PCN e muitos deles dizem que os diretores não querem investir nisso. Alguns nem acreditam que seja necessário se adequar à LGPD. Mas se der um problema grande, como um ataque cibernético em que há vazamento de dados, por exemplo, são os próprios diretores que vão responder por isso”, lembra Ivan. 

O tamanho e a complexidade do PCN depende muito da disponibilidade financeira da instituição. Ivan Paiva explica que é possível usar a criatividade para construir um plano, mesmo quando se tem um orçamento limitado. “O fato de um hospital, por exemplo, não ter muitos recursos financeiros não quer dizer que não possa fazer nada. Por trás da sombra do ‘não temos dinheiro’, tem um monte de coisa que você poderia fazer, mas não faz”, conta Ivan. E ele completa: “A empresa analisa os riscos e os impactos, vê as áreas críticas do negócio e define o escopo. Por exemplo, você não tem dinheiro para manter 100% dos profissionais trabalhando numa situação crítica, mas pode garantir 20%. Então, vai escolher as áreas críticas, um ou dois representantes de cada e manter uma linha”. 

Ação colaborativa 

Para que a gestão de crise funcione, é importante contar com um comitê de pessoas que saibam o que fazer na “hora H”. Segundo Ivan Paiva, é necessário ter quem cuide da comunicação corporativa interna e externa, para avisar os clientes e o mercado, dizer do que se trata o problema e dar uma previsão de recuperação. E também um braço jurídico, que deve prever o impacto que a empresa sofrerá. 

A seguir, conheça os principais componentes do desenvolvimento de um Plano de Continuidade de Negócios: 

* Diagnóstico de Prontidão de Continuidade de Negócio: é quando a alta direção começa a tomar consciência da importância do plano, porque é quando são feitas perguntas-chave, como: “a empresa está pronta para se recuperar de um desastre?”  

* Diagnóstico de Cibersegurança: avaliar as vulnerabilidades do ambiente digital da empresa. 

* Estabelecer a Política de Gestão de Continuidade de Negócio (GCN): decidir as diretrizes da organização para este fim.  

* Estabelecer a governança de GCN: designar as pessoas que farão parte do comitê e como as decisões serão tomadas. 

* Análise interna: conhecer todos os processos da instituição, identificar suas funções críticas, aprender sobre a legislação, entender a relação com a parte externa (fornecedores, por exemplo). 

* Avaliação dos riscos: analisar e avaliar os riscos de uma interrupção à organização e controles aplicáveis.  

* Análise de impacto de negócio: é preciso avaliar como os incidentes mapeados podem atingir o negócio.  

* Definir o escopo: com todos os dados em mãos, é o momento de apontar as prioridades, isto é, onde o investimento será feito. 

* Seleção e desenvolvimento de estratégias de continuidade do negócio: elaborar as soluções com base em todas as informações recolhidas, nos diferentes cenários e nas diretrizes estabelecidas. 

* Treinamento: não adianta ter um plano de primeira linha se as pessoas não estiverem preparadas para colocá-lo em prática. Para isso, é preciso fazer simulações. “Várias empresas que eu conheço fazem uma simulação de migração de um data center para outro a cada seis meses, um ano. Não dá para deixar pra descobrir só na hora da necessidade, se você inventou um bom paraquedas, tem que testar antes”, exemplifica Ivan.  

E a TI? 

Quando se trata exclusivamente de infraestrutura de TI, existem três aspectos muito importantes ao construir um Plano de Continuidade de Negócio: RTO (Objetivo do Tempo de Recuperação), RPO (Objetivo do Ponto de Recuperação) e DRP (Plano de Recuperação de Desastres).  

RTO mostra o tempo que leva para que o negócio se recupere de uma interrupção. “No RTO, a gente define o quanto tempo a instituição aguenta parada sem ter de ativar um plano de recuperação de desastres. Às vezes, é melhor ficar parado até umas quatro horas e voltar à produção do que migrar por uma contingência, que não é simples”, diz Ivan.  

O RPO se refere ao ponto em que as operações serão retomadas após uma interrupção ter sido resolvida, ou seja, determina a quantidade de informações que serão perdidas. Já o DRP é o passo a passo técnico para restabelecer e proteger a infraestrutura de TI que atende o negócio para ser usado em um evento de desastre. “O objetivo é reduzir o Downtime a um tempo predefinido e aceitável, e aumentar a velocidade da recuperação da infra e serviços críticos da TI”, conclui Ivan. 

 “O fato de um hospital não ter muitos recursos financeiros não quer dizer que não possa fazer nada.” 

Ivan Paiva, Líder da Plataforma de Segurança e Continuidade da Flowti