O que é BCDR? Guia de continuidade de negócios e recuperação de desastres
A continuidade de negócios (BC) e a recuperação de desastres (DR) estão intimamente relacionadas que dão suporte à capacidade de uma organização de permanecer operacional após um evento adverso.
Resiliência tornou-se a palavra de ordem para as organizações que enfrentam uma série de ameaças, desde desastres naturais até a última rodada de ataques cibernéticos.
Nesse clima, a continuidade de negócios e recuperação de desastres (BCDR) tem um perfil mais alto do que nunca. Toda organização, desde pequenas operações até as maiores empresas, está cada vez mais dependente de tecnologias digitais para gerar receita, fornecer serviços e apoiar clientes que sempre esperam que aplicativos e dados estejam disponíveis.
“Os dados de missão crítica não têm tempo para tempo de inatividade”, disse Christophe Bertrand, diretor de prática de gerenciamento e análise de dados do Enterprise Strategy Group (ESG), uma divisão da TechTarget. “Mesmo para dados não críticos, as pessoas têm muito pouca tolerância.”
Mais de dois terços dos entrevistados da Pesquisa Global de Data Center 2021 do Uptime Institute tiveram algum tipo de interrupção nos últimos três anos. E a disrupção não é apenas um inconveniente para os clientes.
“Quando ocorre uma interrupção, cerca de um quinto é classificado como grave ou grave, o que significa que houve grandes consequências financeiras, de reputação e outras”, de acordo com o Uptime Institute, uma organização de padrões de data center com sede em Seattle.
Por que o BCDR é importante?
O papel do BCDR é minimizar os efeitos de interrupções e interrupções nas operações de negócios. As práticas de BCDR permitem que uma organização se recupere após a ocorrência de problemas, reduza o risco de perda de dados e danos à reputação e melhore as operações, diminuindo a chance de emergências.
Algumas empresas podem ter uma vantagem inicial no BCDR. A DR é uma função estabelecida em muitos departamentos de TI em relação a sistemas individuais. No entanto, o BCDR é mais amplo do que a TI, abrangendo uma série de considerações - incluindo gerenciamento de crises, segurança dos funcionários e locais de trabalho alternativos.
Uma abordagem holística de BCDR requer planejamento e preparação completos. Os profissionais de BCDR podem ajudar uma organização a criar uma estratégia para alcançar a resiliência. O desenvolvimento de tal estratégia é um processo complexo que envolve a realização de uma análise de impacto nos negócios (BIA) e análise de risco, bem como o desenvolvimento de planos, testes, exercícios e treinamento de BCDR.
Os documentos de planejamento - a pedra angular de uma estratégia BCDR eficaz - também ajudam no gerenciamento de recursos, fornecendo informações como listas de contatos de funcionários, listas de contatos de emergência, listas de fornecedores, instruções para a realização de testes, listas de equipamentos e diagramas técnicos de sistemas e redes.
O especialista e consultor do BCDR, Paul Kirvan, observou várias outras razões para a importância do planejamento do BCDR:
- Os resultados da BIA identificam oportunidades de melhoria de processos e maneiras pelas quais a organização pode usar melhor a tecnologia.
- As informações no plano servem como uma fonte alternativa de documentação.
- O plano fornece uma única fonte de informações de contato importantes.
- O plano serve como um documento de referência para uso em planejamento e design de produtos, design e entrega de serviços e outras atividades.
Uma organização deve se esforçar para a melhoria contínua, impulsionada pelo processo BCDR.
O processo BCDR, da política de alto nível à infraestrutura técnica, consiste em várias camadas.
O que é continuidade de negócios e recuperação de desastres?
A capacidade de uma organização de permanecer operacional após um incidente depende de procedimentos de BC e DR. O objetivo do BCDR é limitar o risco e fazer com que uma organização funcione o mais próximo possível do normal após uma interrupção inesperada. Essas práticas também reduzem o risco de perda de dados e diminuem a chance de emergências, o que ajuda a manter e até melhorar a reputação da organização.
A tendência de combinar continuidade de negócios e recuperação de desastres em um único termo, BCDR, é o resultado de um crescente reconhecimento de que os executivos de negócios e tecnologia precisam colaborar estreitamente ao planejar respostas a incidentes, em vez de desenvolver esquemas isoladamente.
Qual é a diferença entre continuidade de negócios e recuperação de desastres?
O BC é mais proativo e geralmente se refere aos processos e procedimentos que uma organização deve implementar para garantir que as funções de missão crítica possam continuar durante e após um desastre. Esta área envolve um planejamento mais abrangente voltado para desafios de longo prazo para o sucesso de uma organização.
A DR é mais reativa e compreende etapas específicas que uma organização deve tomar para retomar as operações após um incidente. As ações de recuperação de desastres ocorrem após o incidente e os tempos de resposta podem variar de segundos a dias.
O BC normalmente se concentra na organização, enquanto o DR se concentra na infraestrutura de tecnologia. A recuperação de desastres é uma parte do planejamento de continuidade de negócios e se concentra no acesso fácil aos dados após um desastre. O BC inclui esse elemento, mas também considera o gerenciamento de riscos e qualquer outro planejamento que uma organização precise para se manter à tona durante um evento.
Há semelhanças entre a continuidade dos negócios e a recuperação de desastres. Ambos consideram vários eventos não planejados, de ataques cibernéticos a erros humanos e desastres naturais. Eles também têm o objetivo de fazer com que o negócio funcione o mais próximo possível do normal, especialmente no que diz respeito a aplicativos de missão crítica. Em muitos casos, a mesma equipe está envolvida com BC e DR.
Qual é a diferença entre resiliência de negócios e continuidade de negócios?
A resiliência e a resiliência dos negócios começaram a aparecer no vocabulário do BCDR no início dos anos 2000. A resiliência, às vezes, tem sido usada de forma intercambiável com a continuidade dos negócios, mas os termos têm diferentes tons de significado.
Kirvan disse que um negócio resiliente pode retornar ao seu estado operacional anterior após um evento que o encerrou. O gerenciamento de continuidade de negócios, a recuperação de desastres tecnológicos e a resposta a incidentes estão entre as disciplinas que alimentam a resiliência de uma organização.
A resiliência se concentra na construção de um negócio para ser impermeável a possíveis interrupções de vários tipos, de acordo com Jeff Ton, consultor estratégico de TI da InterVision Systems, um provedor de serviços de TI com sede regional em San Jose, Califórnia, e Chesterfield, Missouri.
A resiliência “é mais sobre ser capaz de resistir e resistir a problemas, e a continuidade dos negócios é sobre ser capaz de continuar os negócios depois que algo interrompeu seus negócios”, disse Ton.
Usando uma analogia de elástico, Ton disse que um evento pode esticar uma organização; mas, se a resiliência foi alcançada, ela resiste e reassume sua forma. A continuidade dos negócios entra em ação quando o elástico se rompe e a organização toma medidas para resolver a quebra, acrescentou.
Bertrand, do ESG, disse que a continuidade dos negócios gira em torno da capacidade de failover e manutenção de sistemas em um alto nível de disponibilidade, enquanto a resiliência é a capacidade de resistir à interrupção e evitar que problemas aconteçam em primeiro lugar.
Qual é a diferença entre resiliência organizacional e resiliência operacional?
A ideia de resiliência e seu papel na continuidade dos negócios também se diversificou nos conceitos de resiliência organizacional e operacional.
A resiliência organizacional (OR) é a capacidade de toda a organização de se proteger contra eventos disruptivos. Toda a organização inclui todo o pessoal em cada departamento ou unidade de negócios; os aplicativos, a infraestrutura e outras tecnologias em toda a empresa; instalações, incluindo edifícios e espaços de trabalho; e os processos e políticas envolvidos na execução da organização.
Para que a sala de cirurgia seja totalmente realizada, todos os elementos da organização devem ser protegidos contra eventos adversos e demonstrar a capacidade de mudar e se adaptar - mesmo que apenas temporariamente - para continuar administrando os negócios até que a interrupção seja aliviada e as operações normais sejam restauradas.
A resiliência operacional (OpR) é geralmente considerada como um subconjunto próximo da resiliência organizacional, mas a OpR se concentra nas pessoas, processos e infraestrutura do negócio para responder e se adaptar aos padrões em mudança. Vale a pena notar que esta descrição não é apenas sobre BCDR, mas pode se aplicar a quaisquer problemas ou situações que afetem as condições de negócios.
Onde a OR adota uma visão mais holística da resiliência, a OpR inclina a visão em favor das questões de resiliência envolvidas na execução do dia a dia do negócio. Existem várias normas relacionadas com o OpR, incluindo a norma internacional ISO 22316:2017 e a norma britânica BS 65000:2014.
OR e OpR exigem atenção cuidadosa à previsão e planejamento para que possíveis interrupções sejam identificadas e preparadas com antecedência. Interrupções que não são consideradas ou planejadas podem superar a postura de resiliência de uma organização e causar grandes e duradouros impactos nos negócios.
Incorporar e testar vários processos em um plano de resiliência de negócios.
O papel das estratégias de análise de risco, BIA e BCDR
A análise de risco e a BIA são ferramentas críticas para as organizações que enfrentam a questão de como construir uma estratégia de BCDR.
A determinação de riscos internos e externos é importante para o processo de BCDR. A análise de risco identifica os riscos e a probabilidade de que eles ocorram. Esta avaliação de risco funciona em conjunto com a BIA, que ajuda a quantificar os potenciais efeitos da interrupção. A análise financeira é um aspecto de um BIA, mas este exercício também considera os custos não financeiros de interrupções não planejadas. Além disso, a BIA identifica as funções de missão crítica que uma organização deve manter ou restaurar após um incidente e os recursos necessários para suportar essas funções.
É importante obter apoio da gerência ao buscar um BIA, dada a intensidade do processo. A BIA fornece uma maneira de uma organização aprender sobre si mesma e detalhar oportunidades de melhoria.
Uma organização usa análise de risco e dados de BIA para determinar a continuidade de negócios e as estratégias de recuperação de desastres e as respostas apropriadas. Cada estratégia é transformada em uma série de ações que ajudarão a alcançar a recuperação operacional, como replicação de dados, failover para um serviço baseado em nuvem, ativação de rotas de rede alternativas e trabalho remoto.
Por que você deve usar o BCDR e quando ele deve ser ativado?
As motivações para uma organização desenvolver uma estratégia de BCDR podem incluir a proteção da vida e da segurança dos funcionários, garantindo a disponibilidade de serviços aos clientes e protegendo os fluxos de receita. O posicionamento competitivo e a gestão reputacional são fatores que muitas vezes estão por trás de outros motivadores: uma empresa percebida como incapaz de proteger funcionários ou fornecer serviços terá dificuldades para atrair trabalhadores e clientes.
O ambiente regulatório e de conformidade também influencia as organizações em sua busca pelo BCDR. A Regra de Segurança da HIPAA, por exemplo, exige que as entidades cobertas, como hospitais, forneçam um plano de operação em modo de emergência, que inclui “procedimentos para permitir a continuação de processos críticos de negócios para proteção da segurança de informações de saúde protegidas eletronicamente”.
A Autoridade Reguladora do Setor Financeiro (FINRA), uma organização que supervisiona os corretores, exige que as empresas “criem e mantenham planos de continuidade de negócios escritos” que abordem emergências ou interrupções nos negócios. A FINRA explicita suas medidas de continuidade de negócios necessárias em sua regra de preparação para emergências.
As agências federais dos EUA, por sua vez, também são obrigadas a desenvolver estratégias de BCDR, que na terminologia do governo são chamadas de planos de continuidade de operações. O objetivo é “garantir que os serviços essenciais do governo estejam disponíveis em emergências - como ataques terroristas, clima severo ou emergências em nível de edifício”, de acordo com o Government Accountability Office.
Os clientes também podem pressionar as empresas a desenvolver planos BCDR adequados. Uma avaliação da postura BCDR de uma organização pode fazer parte do processo de verificação de um cliente em potencial. Os reguladores federais, como o Escritório do Controlador da Moeda, incentivam os bancos a incluir a resiliência como parte do processo de due diligence do fornecedor. Especificamente, o Boletim OCC 2013-29, “Relacionamentos com Terceiros: Orientação de Gerenciamento de Riscos”, afirma que os bancos devem “determinar se o terceiro mantém planos de recuperação de desastres e continuidade de negócios que especificam o prazo para retomar as atividades e recuperar dados”.
O “porquê” do BCDR potencialmente tem muitas respostas, e o “quando” da continuidade de negócios e da recuperação de desastres é igualmente matizado. As organizações devem pesar vários fatores antes de declarar um desastre e acionar o plano BCDR. O principal deles é a duração esperada da interrupção, os efeitos da interrupção na organização, o custo financeiro da ativação do plano BCDR e o potencial do plano BCDR para causar interrupções. Paradoxalmente, o processo de failover do principal local de negócios de uma organização para uma instalação de backup - e depois de failback após um evento - pode interromper significativamente as operações, observou Paul Thomann, diretor regional de transformação de nuvem e data center da Insight Enterprises Inc., um provedor de serviços de TI com sede em Tempe, Arizona.
Assim, a liderança de uma organização deve avaliar cuidadosamente quando promulgar o plano BCDR. A migração para uma instalação de backup, disse Thomann, “tem um impacto no orçamento”. Uma organização, por exemplo, pode considerar uma interrupção de seis horas não significativa o suficiente para fazer a chamada de desastre.
Essa decisão, particularmente em empresas maiores, é tipicamente tomada por um comitê, em vez de um executivo individual, disse Thomann. O comitê pode ser composto pelo CEO, CFO, cio e outros executivos C-suite, acrescentou.
Como construir um plano BCDR
As organizações podem dividir um plano BCDR em componentes BC e DR.
Especificamente, de acordo com o consultor do BCDR, Kirvan, um plano de continuidade de negócios (BCP) contém informações de contato, procedimentos de gerenciamento de mudanças, diretrizes sobre como e quando usar o plano, procedimentos passo a passo e um cronograma para revisão, teste e atualização. Um plano de recuperação de desastres (DRP) apresenta um resumo das principais etapas de ação e informações de contato, as responsabilidades definidas da equipe de DR, diretrizes sobre quando usar o plano, a declaração de política de DR, metas do plano, etapas de resposta e recuperação de incidentes, ferramentas de autenticação, riscos geográficos e histórico do plano. O DRP também deve levar em conta o pessoal, garantindo que o pessoal capaz de executar as várias etapas de um plano de DR esteja sempre disponível para executar tarefas críticas de recuperação.
Bons planos de continuidade de negócios e recuperação de desastres são claros sobre os diferentes níveis de riscos para a organização; fornecer medidas bem definidas e acionáveis para a resiliência e a recuperação; proteger os funcionários, as instalações e a marca da organização; incluir um plano de comunicações; e são abrangentes no detalhamento de ações do início ao fim.
Uma política de BCDR é um passo inicial importante. A política estabelece a base para o processo e normalmente abrange o escopo do sistema de gerenciamento de continuidade de negócios, quais funcionários são responsáveis por ele e as atividades executadas, como o desenvolvimento do plano e a BIA. Uma política pode também estabelecer um conjunto comum de métricas, tais como indicadores-chave de desempenho e indicadores-chave de risco. O aspecto da política é frequentemente negligenciado, mas é um item importante de auditoria de continuidade de negócios.
O desenvolvimento do BCP e do DRP normalmente começa com a reunião de membros da equipe do BCDR e a realização de uma análise de risco e BIA. A organização identifica os aspectos mais críticos do negócio e com que rapidez e em que medida eles devem estar funcionando após um incidente. Depois que a organização escreve os procedimentos passo a passo, os documentos devem ser consistentemente testados, revisados e atualizados.
Embora certos aspectos do processo envolvam membros selecionados da organização, é importante que todos entendam o plano e sejam incluídos em algum momento. O plano também deve abranger terceiros e os serviços que eles fornecem. Um banco, por exemplo, pode confiar em dados que uma empresa terceirizada fornece, portanto, o relacionamento deve ser documentado no plano BCDR. Essas entidades externas devem ser mantidas no circuito para que entendam como o plano vai funcionar.
Outras etapas em uma lista de verificação de planejamento do BCDR incluem a mitigação de riscos e um plano de comunicações de emergência. Este último detalha o método, ou métodos, que uma organização usará para disseminar informações sobre uma emergência para os funcionários.
Em resumo, o processo de construção de um plano BCDR normalmente envolverá as seguintes atividades:
- identificação de riscos
- revisão da infraestrutura
- BIA
- design do plano
- implementação do plano
- teste
Teste BCDR
Testar um plano de continuidade de negócios e recuperação de desastres fornece garantia de que os procedimentos de recuperação implementados funcionarão conforme o esperado para preservar as operações de negócios. A fase de testes também pode destacar áreas de melhoria, que a organização pode abordar e incorporar na próxima versão do plano.
Os testes podem variar de simples a complexos. Um exercício de mesa baseado em discussão reúne os participantes para percorrer as etapas do plano. Esse tipo de teste ajuda os funcionários com funções de BCDR a se familiarizarem com o processo de resposta, ao mesmo tempo em que permite que os administradores avaliem a eficácia do plano BCDR.
No outro extremo do espectro de testes, uma simulação de teste em larga escala exige que os participantes executem suas funções BCDR em vez de discuti-las em um exercício de mesa. Esses exercícios podem envolver o uso de sistemas de backup e locais de recuperação.
Ainda assim, os testes exigem tempo, financiamento, apoio da gestão e participação dos funcionários. O processo de teste também inclui planejamento pré-teste, treinamento de participantes do teste e relatórios sobre o teste.
A frequência dos testes varia de acordo com a organização. As empresas maiores devem realizar exercícios de mesa pelo menos trimestralmente, enquanto as organizações menores podem testar com menos frequência, disse Thomann, da Insight Enterprises. Um teste completo de BCDR, que é mais demorado e intensivo em recursos, pode ser realizado anualmente, acrescentou.
Ton, da InterVision, também recomendou um cronograma de testes trimestrais, com um teste de DR realizado duas vezes por ano com exercícios de mesa entre esses testes. A continuidade dos negócios, como um teste separado, pode ser realizada anualmente. Ton disse que achou mais eficaz separar os testes porque a realização do teste de DR por si só é menos perturbadora para a organização.
Testes periódicos, manutenção do plano e resiliência estão inter-relacionados. Uma organização melhora sua resiliência quando atualiza seus planos de BC e DR e, em seguida, os testa continuamente.
Gestão de custos BCDR
Mudanças no cenário de ameaças ou novos empreendimentos comerciais podem obrigar uma organização a expandir sua cobertura de BCDR. Essa mudança no escopo pode exigir gastos em serviços de consultoria ou tecnologias de backup e recuperação de desastres.
Os gerentes de BCDR podem precisar buscar novos financiamentos para o plano BCDR expandido e tecnologias de resiliência se os dólares não estiverem disponíveis no orçamento atual.
Uma proposta de investimento deve ser construída sobre um caso de negócios que enfatize os resultados positivos que os novos recursos de BCDR fornecerão para a organização. A proposta de financiamento deve também determinar se o plano BCDR revisto afetará outras áreas, como a cibersegurança. Outras etapas para obter financiamento incluem a verificação de produtos e serviços que suportam os requisitos expandidos e a preparação de uma solicitação de aquisição com documentação suficiente, de acordo com o consultor do BCDR, Kirvan.
Ton disse que as organizações devem encontrar um equilíbrio entre o nível de investimento em abordagens BCDR e os efeitos financeiros previstos de um determinado cenário de desastre. “Você não quer chegar a uma solução que custa 200 vezes mais do que o desastre teria”, disse ele.
Pedir aos líderes empresariais de várias disciplinas corporativas que estimem os custos esperados associados a diferentes tipos de eventos pode ajudar as organizações a estabelecer uma linha de base a partir da qual possam tomar decisões de investimento BCDR informadas.
Normas, modelos, software e serviços para planejamento de BCDR
As organizações que embarcam em um processo de planejamento de continuidade de negócios e recuperação de desastres têm vários recursos para aproveitar. Isso inclui padrões, ferramentas que vão desde modelos a produtos de software e serviços de consultoria.
“Para construir um plano, você tem muitos modelos que existem e muitas práticas recomendadas e muitos consultores”, disse Bertrand do ESG. “Não há razão para não ter um plano de DR forte.”
Padrões BCDR
Órgãos de padrões do governo e do setor privado, incluindo o Instituto Nacional de Padrões e Tecnologia (NIST) e a Organização Internacional de Padronização (ISO), publicaram diretrizes BCDR. As normas, que abrangem tópicos desde a gestão de crises até a avaliação de riscos, fornecem estruturas sobre as quais as empresas podem construir seus planos BCDR.
A seguir, uma amostra de padrões:
- ISO 22301:2019 Segurança e resiliência – Sistemas de gerenciamento de continuidade de negócios – Requisitos
- ISO 22313:2012 Segurança social – Sistemas de gestão de continuidade de negócios – Orientação
- ISO 22320:2018 Segurança e resiliência – Gerenciamento de emergências – Diretrizes para o gerenciamento de incidentes
- ISO/IEC 27031:2011 Tecnologia da informação – Técnicas de segurança – Diretrizes para a prontidão da tecnologia da informação e comunicação para continuidade de negócios
- ISO 31000:2018 Gestão de riscos – Diretrizes
- Guia ISO 73:2009 Gestão de riscos – Vocabulário
- IEC 31010:2019 Gestão de riscos – Técnicas de avaliação de riscos
- ISO/TS 22317:2021 Segurança e resiliência – Sistemas de gerenciamento de continuidade de negócios – Diretrizes para análise de impacto nos negócios
- FINRA Regra 4370. Planos de continuidade de negócios e informações de contato de emergência
- National Fire Protection Association 1600: Norma sobre Continuidade, Emergência e Gestão de Crises (novo rascunho consolidado pendente)
- Publicação Especial do NIST 800-34 Rev. 1: Guia de Planejamento de Contingência para Sistemas de Informação Federais
- American National Standards Institute/ASIS ORM.1.201 Segurança e resiliência nas organizações e suas cadeias de suprimentos
Modelos de plano de continuidade de negócios e recuperação de desastres
Os modelos fornecem formulários predefinidos que as organizações podem preencher para criar documentos de planejamento BCDR. Alguns modelos cobrem o plano BCDR como um todo ou abordam aspectos específicos do planejamento BCDR.
Este BCP geral, por exemplo, inclui disposições para catástrofes naturais, incêndios, interrupções de fornecedores de serviços de rede e inundações ou outros danos causados pela água. Um modelo de planejamento também pode ajudar as PMEs, o que poderia simplificar o processo, dependendo do tamanho e da complexidade da organização.
Um plano BCDR pode exigir um contrato de nível de serviço (SLA), que define padrões para a qualidade do programa de recuperação BCDR de uma organização. Também pode ajudar a garantir que os serviços obtidos por meio de terceiros, como hot sites de DR, tenham um desempenho em níveis aceitáveis. Kirvan criou um modelo que aborda SLAs para programas BCDR.
Como observado acima, a realização de uma BIA pode ajudar as organizações com o planejamento de continuidade de negócios. Este modelo de relatório BIA fornece um mecanismo para documentar os processos-mãe, subprocessos e os efeitos financeiros e operacionais em caso de interrupção.
As organizações também podem se beneficiar do agendamento de atividades de BCDR para o cuidado contínuo e a manutenção da estratégia de continuidade de negócios. As atividades vão desde o agendamento de uma BIA até a revisão de um plano de recuperação de desastres de tecnologia.
Software BCDR
O software BCDR especializado fornece outra ferramenta para organizações prontas para construir um plano. Os produtos BCDR, às vezes chamados de software de continuidade de negócios ou software de gerenciamento de continuidade de negócios, visam ajudar as organizações a criar planos de continuidade de negócios e recuperação de desastres. Eles normalmente cobrem uma série de atividades de planejamento, como BIA e avaliação de riscos, e oferecem recursos de resposta a incidentes.
Existem várias abordagens para BC e DR, incluindo serviços de continuidade de negócios misturados com software de recuperação de desastres.
Os fornecedores no mercado incluem Castellan Solutions, Continuity Logic, Dell Technologies, eBRP Solutions Network, Fusion Risk Management e SAI Global.
Serviços de planeamento BCDR
Outra opção é terceirizar as necessidades de BCDR da organização para uma empresa terceirizada que possa fornecer análise de risco, planejar o desenvolvimento e a manutenção e o treinamento. Cabe à empresa analisar suas necessidades antes de selecionar uma empresa de BCDR, identificando informações como o que deseja terceirizar, quais serviços espera do fornecedor, os riscos de um contrato de terceirização e quanto planeja gastar.
Fontes potenciais de suporte ao planejamento incluem empresas de contabilidade, que podem realizar BIAs como parte do processo de planejamento de continuidade de negócios. As empresas de contabilidade normalmente devem ser capazes de ajudar os clientes a determinar o custo das interrupções de carga de trabalho, mas os compradores devem, idealmente, selecionar uma empresa com experiência em continuidade de negócios ou planejamento de recursos de TI, de acordo com o escritor de tecnologia e ex-CIO Brien Posey. As empresas de consultoria também podem ajudar no planejamento do BCDR, acrescentou Posey.
Os provedores de serviços gerenciados (MSPs) geralmente servem como CIOs virtuais para seus clientes SMB. Nessa função, os MSPs podem ajudar no planejamento. Como seu negócio é gerenciar os ativos de TI de um cliente, eles são capazes de desenvolver um plano para lidar com interrupções de tecnologia.
Os provedores de serviços gerenciados podem ajudar as organizações com o planejamento do BCDR.
Tecnologias e estratégias de apoio
As opções de tecnologia para executar a parte de DR de um plano BCDR se expandiram nos últimos anos devido ao advento da computação em nuvem. Tradicionalmente, as organizações construíam ou alugavam uma instalação externa para lidar com suas necessidades de recuperação de desastres. Esses locais de recuperação de desastres exigem uma duplicação de sistemas de produção internos, para que possam estar fora do alcance financeiro de muitas PMEs. No entanto, as ofertas baseadas em nuvem, como a recuperação de desastres como serviço, tornaram a DR mais acessível para organizações menores.
Outras ofertas de resiliência incluem sistemas de notificação de emergência, sistemas de segurança cibernética e sistemas de resposta a incidentes, que podem ser incluídos em produtos de gerenciamento de continuidade de negócios. As organizações também podem recorrer a fornecedores de recuperação de área de trabalho que fornecem locais de trabalho alternativos para os funcionários.
Gestão de BCDR
A equipe que constrói, gerencia e - no caso de um desastre - executa um plano BCDR deve ser multifuncional, com base em várias partes interessadas e bolsões de experiência em toda a organização.
A liderança da equipe varia um pouco de acordo com a organização. Em uma grande empresa, por exemplo, o diretor de gerenciamento de riscos geralmente preside a equipe do BCDR com um representante do departamento de TI como vice-presidente, disse Ton, da InterVision. Organizações menores que não possuem um departamento de gerenciamento de riscos podem nomear o CFO para liderar a equipe, observou ele. E, em alguns casos, o chefe do departamento de TI pode dirigir a equipe do BCDR.
Outros membros da equipe normalmente incluem representantes das principais funções de negócios da organização: finanças e contabilidade, instalações, jurídico - incluindo aconselhamento interno e externo - marketing e relações públicas, por exemplo.
A tarefa de reunir várias partes interessadas para desenvolver um plano BCDR - e conduzir as análises de impacto e risco necessárias - pode ser um desafio. O gerenciamento de projetos, portanto, torna-se uma consideração importante. As organizações devem pensar em nomear um gerente de projeto para conduzir o processo de construção de um plano BCDR, observou Ton.
A equipe do BCDR também deve assumir a tarefa de gerenciamento contínuo da continuidade dos negócios, certificando-se de que os planos estejam atualizados. As iniciativas de negócios e as tecnologias de data center mudam com frequência, portanto, os planos BCDR precisarão de manutenção regular para permanecer no ponto. Como primeiro passo, uma organização deve avaliar se o plano atual pode ser atualizado ou se um plano totalmente novo está em ordem, de acordo com George Crump, presidente da Storage Switzerland, uma empresa de analistas de TI. As organizações devem realizar testes de BCDR para determinar até que ponto um plano precisa ser revisado.
Além dos testes, uma equipe de BCDR também pode querer considerar uma auditoria de plano de continuidade de negócios, que avalia a eficácia de um plano. A auditoria deve detalhar os riscos que podem ameaçar o sucesso do plano e testar os controles atualmente em vigor para determinar se esses riscos são aceitáveis para a organização. Uma auditoria de Controles Gerais de TI também pode ser usada para avaliar os riscos para a infraestrutura e identificar áreas de melhoria, de acordo com o consultor Kirvan, do BCDR.
Uma auditoria bem-sucedida do plano BC inclui cinco elementos-chave.
As várias funções e responsabilidades dos membros da equipe do BCDR, do planejamento ao teste, podem ser detalhadas na política de continuidade de negócios de uma organização. Essa política também pode abranger pessoal externo, como fornecedores e clientes.
Outro aspecto da formação de equipes do BCDR é atualizar os indivíduos sobre as melhores práticas do BCDR. Para esse fim, os membros da equipe do BCDR podem se beneficiar de programas de treinamento e certificação de continuidade de negócios.
O Business Continuity Institute, uma organização profissional global, oferece seu Certificado do Business Continuity Institute, que abrange processos e práticas de gerenciamento de continuidade de negócios. O instituto também oferece um Diploma BCI de Gerenciamento de Continuidade de Negócios para indivíduos que procuram informações adicionais sobre o gerenciamento de continuidade de negócios.
O BCM Institute, por sua vez, oferece seu credenciamento Business Continuity Certified Planner (BCCP). A certificação BCCP visa reconhecer a compreensão de um profissional de continuidade de negócios dos principais conceitos de gerenciamento de continuidade de negócios.
Outras organizações que concedem certificações profissionais de continuidade de negócios incluem a DRI International, o Instituto Nacional de Gestão de Continuidade de Negócios e o Consórcio Internacional de Resiliência Organizacional. Esses organismos de certificação geralmente trabalham com um grupo de treinamento interno ou externo que prepara os alunos para se sentarem para os exames, observou Kirvan.
As conferências também oferecem uma oportunidade para educar os membros da equipe BCDR. Ton citou os eventos DRI e Disaster Recovery Journal como úteis para pessoas que desejam aprender mais sobre a continuidade dos negócios.
Armadilhas do BCDR: Cuide da lacuna
A mudança é talvez o principal inimigo de um plano BCDR. À medida que o ritmo da mudança tecnológica se acelera, as organizações são deixadas atualizando equipamentos de TI - de armazenamento e servidores a redes e seus dispositivos associados. Alguns ativos de TI estão migrando para a nuvem. É improvável que um plano BCDR de 5 anos reflita - e se mostre adequado para proteger - o atual patrimônio de TI.
O processo de gerenciamento de alterações de uma organização pode ajudar a resolver esse problema. O gerenciamento de mudanças supervisiona ajustes em sistemas, redes, infraestrutura e documentos. Ele aborda situações semelhantes às do planejamento e teste do BCDR, para que uma organização decida incluir a continuidade dos negócios e a recuperação de desastres no processo de gerenciamento de alterações.
O processo de gerenciamento de mudanças contém seis atividades principais, de acordo com Kirvan:
- identificar uma mudança potencial;
- analisar a solicitação de alteração;
- avaliar a mudança;
- planejar a mudança;
- implementar a mudança; e
- revisar e fechar o processo de mudança.
Uma organização, é claro, também está sujeita a alterações. As organizações fazem aquisições, despojam-se de operações não essenciais e criam novas linhas de negócios, por exemplo. Um plano BCDR eficaz deve ser atualizado periodicamente para levar em conta esses desenvolvimentos. Testes de BCDR regularmente agendados podem expor lacunas no plano em que ele não conseguiu levar em conta as mudanças de tecnologia ou negócios.
Lacunas perceptivas também podem minar os planos de BCDR. Bertrand, do ESG, disse que muitas organizações que adotam ofertas de SaaS têm uma falsa sensação de segurança em relação à proteção de dados. Um terço dos entrevistados de uma pesquisa ESG disse que os aplicativos SaaS, como o Microsoft 365 e o Salesforce, não precisam ser copiados. Bertrand disse que esse simplesmente não é o caso. Ele citou o exemplo de recuperação de e-mails que os usuários de uma organização enviaram para a lixeira. Ele disse que o Office 365, dependendo do nível de assinatura do cliente, retém e-mails excluídos por um tempo limitado.
“A resiliência dos aplicativos SaaS está sendo confundida com a disponibilidade de dados SaaS”, disse Bertrand. “Os aplicativos baseados em SaaS não estão sendo adequadamente protegidos hoje.”
As organizações que usam esses aplicativos baseados em nuvem devem se familiarizar com os SLAs de proteção e recuperação de dados de seus fornecedores e garantir que os planos BCDR cubram os aplicativos SaaS e seus requisitos de disponibilidade. Bertrand disse que a porcentagem de pessoas que estão cientes dos SLAs dos fornecedores de SaaS está melhorando, mas nem todos estão atualizados. Ele disse que 58% dos entrevistados da pesquisa ESG disseram estar familiarizados com as provisões de proteção e recuperação de dados dos fornecedores de SaaS.
Uma organização pode usar uma lista de verificação BCDR - ou uma série de listas de verificação - cobrindo planos, políticas e estratégias de recuperação para erradicar possíveis problemas e sinalizar pontos fracos de BCDR. As equipes de BCDR também devem ficar a par do cenário de ameaças em mudança para garantir que seus planos reflitam as ameaças emergentes. Os riscos de continuidade de negócios que as organizações devem monitorar variam de ataques de segurança cibernética em evolução a incidentes de atiradores ativos.
O futuro do BCDR
O planejamento e a execução do BCDR continuarão a evoluir com a natureza mutável das ameaças. Abaixo estão alguns desenvolvimentos a serem considerados.
A confluência de segurança cibernética e continuidade de negócios. O papel dos ataques cibernéticos, como o ransomware, na interrupção das operações de negócios parece destinado a continuar - se não acelerar. A segurança cibernética e a continuidade de negócios são tipicamente funções separadas e distintas em uma organização. Kirvan, falando sobre o futuro da continuidade dos negócios, disse acreditar que essas disciplinas “deveriam estar sob o mesmo teto”.
Voltando ao futuro com o armazenamento em fita. Os arquivos de backup podem ser criptografados em um ataque de ransomware. As organizações, no entanto, podem isolar os arquivos de que precisam para recuperação da rede corporativa, criando uma lacuna de ar. É aí que o armazenamento em fita de teste de tempo entra em jogo. Bertrand disse que o armazenamento em fita está ressurgindo como uma maneira de as organizações preservarem uma “cópia ouro” de seus dados, off-line e fora do local. “Está voltando”, disse ele sobre o método de backup.
Influência da IA no planejamento do BCDR. A IA e suas funções cognitivas podem ajudar as equipes de BCDR a tomar decisões sobre a organização de seus planos e também podem desempenhar um papel na realização de BIAs e avaliações de risco, de acordo com Kirvan. A IA também poderia apoiar a resposta a incidentes, recomendando ações com base nos detalhes dos cenários de desastre em desenvolvimento.
Os provedores de serviços desempenham um papel maior no BCDR. Uma grande porcentagem de MSPs está envolvida no backup e na recuperação de desastres. É provável que o setor de MSP surja como um balcão único para serviços de continuidade de negócios, particularmente para PMEs sem experiência interna. Os MSPs, em sua função de consultor confiável, podem aconselhar os clientes sobre o planejamento do BCDR e fazer recomendações tecnológicas. Alguns fornecem sua própria recuperação de desastres como um serviço, enquanto outros fazem parcerias com fornecedores que fornecem essa ferramenta.
Esta atualização foi atualizada pela última vez em junho de 2022
Continue lendo sobre o que é BCDR? Guia de continuidade de negócios e recuperação de desastres
-
Crie um programa de treinamento de funcionários do BCDR para o máximo de resiliência
-
12 habilidades que os gerentes de continuidade de negócios precisam para ter sucesso
-
Gerenciamento de resiliência de TI, planejamento top of mind para profissionais de DR
-
Perguntas da entrevista de continuidade de negócios para aspirantes a gerentes
-
Faça um plano de continuidade de negócios de falta de energia com estas dicas