Gestão de Continuidade de Negócios em tempos de Pandemia (COVID-19)

Qual o seu Plano de Retorno à Normalidade? O Ministério da Saúde confirmou, no dia 26/02/2020, o primeiro caso de COVID-19 em São Paulo. Desde então, várias cidades entraram em quarentena afetando diretamente a forma de trabalho das empresas e das pessoas. A decretação da Pandemia colocou todo o país em um bloqueio repentino e inesperado, na tentativa de limitar os efeitos do contágio que, no entanto, teve consequências massivas em termos humanos, sociais e econômicos.

Em fevereiro de 2020 quem pensava que a Pandemia poderia nos afetar dessa forma?

Fomos obrigados, num piscar de olhos, a acionar um Plano de Continuidade de Negócios que muitas empresas nem sabiam que tinham, e que uma pequena parte destas, tinham de fato e já estavam preparadas para colocar em prática, como o Home Office.

Em muitas empresas a equipe de Tecnologia da Informação virou a noite implementando uma estratégica de continuidade de negócios que consiste em, através de um acesso remoto, entregar para os funcionários em suas casas, todas as ferramentas de trabalho que ele está acostumado a utilizar como estivesse trabalhando dentro da empresa, desde funcionalidades mais simples como o correio eletrônico até o principal sistema integrado de gestão empresarial que interliga todos os dados e processos empresariais em um único sistema. As reuniões presenciais foram substituídas por vídeo conferência online, acarretando numa transformação digital na marra, sem nenhum planejamento, para manter a sobrevivência das empresas nesse período de crise.

A utilização cada vez maior da Tecnologia para suportar a transformação digital também traz grandes vulnerabilidades técnicas, com o aumento de pessoas conectadas à internet direto na rede corporativa, aumentando consideravelmente os riscos.

O COVID-19 por si só não pode desligar os sistemas de informações, operações ou serviços críticos de uma empresa. É a falta de preparação dos funcionários que aumenta o risco desses tipos de interrupções. Nas circunstâncias atuais, com tantas pessoas cumprindo quarentena em casa, até uma pequena interrupção na rede elétrica ou na internet da empresa pode ter um enorme impacto nos processos de negócios.

Os criminosos sabendo disso tentam cometer os seus crimes abusando da confiança e da ingenuidade dos funcionários que muitas vezes estão em busca de informações sobre o Corona vírus, por exemplo. Um incidente na máquina de um funcionário pode agravar e até ocasionar uma parada nos sistemas de informação, acarretando uma interrupção no processo de negócio.

A atual Pandemia nos mostra a importância de uma boa Gestão de Continuidade de Negócios principalmente quando complementada por uma estratégia implementada e testada de Recuperação de Desastre. Esta crise demonstra claramente como somos vulneráveis e possuímos fraquezas há muito negligenciadas em processos e sistemas de informação.

Agora imagina se, durante essa crise e com a dificuldade que estamos enfrentando, acontece um incidente grave na sua empresa. Bate na madeira. TOC.TOC.

Durante a Pandemia quais são os principais riscos de interrupção de negócios da sua empresa?

Neste contexto é imprescindível realizar uma avaliação de riscos para identificar quais são os principais eventos que podem ocasionar uma interrupção nos processos de negócios críticos e implementar e testar Planos de Continuidade para diminuir os prejuízos.

Toda vez que ficamos sem o fornecimento de um simples serviço, presenciamos in loco um incidente de disrupção, que é um incidente, previsto ou imprevisto, que causa um desvio não planejado e negativo da expectativa de entrega de produtos e serviços de acordo com os objetivos da empresa.

Pare para pensar, quantas vezes você ficou sem utilizar um serviço de uma empresa…inúmeras? E durante a dificuldade econômica que estamos vivendo, um incidente deste nível poderia ocasionar a falência dessa empresa.

Exemplo: Uma Universidade particular migrou todos os seus cursos para aulas online.

O Sistema de Ensino a Distância é o seu principal sistema de informação. Caso algum aluno insatisfeito com as aulas ou um concorrente provocasse um incidente de disrupção deste sistema, neste momento de Pandemia, os prejuízos seriam graves, desde o descontentamento dos alunos solicitando uma redução do preço das mensalidades, até o cancelamento ou fechamento da matrícula.

Será que este risco foi identificado e tratado pelas Universidades?

Testemunham-se todos os dias incidentes de disrupção que causam perdas graves, que poderiam ter seus impactos minimizados.

Mas como?

Com Planejamento e Organização. A sua empresa deverá ter a capacidade de continuar a entregar produtos e serviços críticos em um nível aceitável durante uma interrupção dos seus processos de negócios. Mas atingir esse nível não é um passe de mágica e deverá seguir no mínimo as atividades abaixo:

  1. Análise de Impacto nos Negócios. O que é mais importante na sua empresa?
    • Está análise permite a definição de prioridades dos processos de negócios baseado em impactos de custo de perda para retomar as atividades que foram interrompidas.
  2. Avaliação de Riscos. Quais são os principais riscos? Eles foram tratados?
    • Está avaliação permitir avaliar os riscos das atividades priorizadas anteriormente serem interrompidas, para que possa implementar os controles necessários para tratar esses riscos.
  3. Estratégias e Soluções de Continuidade de Negócios. Qual a minha estratégia caso ocorra um incidente de disrupção?
    • Com base nos resultados da análise de impacto nos negócios e na avaliação de riscos deve-se identificar e selecionar a melhor estratégia de continuidade de negócios que considere as opções para antes, durante e depois do tratamento do incidente ou da crise. Por exemplo, estratégia de Home Office para pessoas, estratégia de backup em solução de nuvem para informações, estratégia de um site backup para o Datacenter da empresa etc.
  4. Planos e Procedimentos de Continuidade de Negócios – O que faço para tratar um incidente de disrupção?
    • Após a escolha e implementação da melhor estratégia de continuidade de negócios deve-se elaborar os Planos. Um Plano compreende vários procedimentos de tratamento de incidentes de disrupção e a recuperação dos processos de negócios que foram interrompidos.
    • Cada plano deve incluir:
      1. o propósito, escopo e objetivos;
      2. os papéis e responsabilidades da equipe que implementará o plano;
      3. ações para implementar as soluções;
      4. fornecer informações necessárias para ativar (incluindo critério de ativação), operar, coordenar e comunicar as ações com a equipe;
      5. interdependências internas e externas;
      6. recursos necessários;
      7. requisitos de relatórios;
      8. um processo de evacuação.

5. Programa de Exercícios e Testes. Os Planos estão corretos e atualizados?

    • Todos os Planos devem ser testados para validar a eficiência das suas estratégias, soluções e procedimentos de continuidade de negócios implementados. E serve também para testar a equipe responsável por acionar os Planos em um ambiente de pressão, contribuindo assim para o treinamento da equipe no momento de tratar um incidente de disrupção.

Seja uma empresa, organização do setor público ou instituição de caridade, você precisa saber como continuar a operar os seus processos de negócios em qualquer circunstância, o que chamamos de resiliência organizacional.

E após o fim desta crise. Qual o seu Plano de Retorno à Normalidade?

Referência bibliográfica

  • MANOEL, Sergio. Sistema de Gestão de Continuidade de Negócios: esteja preparado para salvar a sua vida e os negócios em caso de um incidente ou desastre. Rio de Janeiro: Brasport, 2019.
  • International Organization For Standardization. 22301:2019 Security And Resilience — Business Continuity Management Systems — Requirements. Genebra, 2019.
  • International Organization For Standardization. 22313:2020 Security And Resilience — Business Continuity Management Systems — Guidance On The Use Of Iso 22301. Genebra, 2020.

Sergio Manoel é Diretor da Trinity Cyber Security / DPO – Data Protection Officer / Gestor / Consultor / Escritor / Instrutor Oficial Exin pela ADAPT NOW de Proteção de Dados, Segurança da Informação e Continuidade de Negócios – BCMF – EXIN Business Continuity Management Foundation.

https://www.linkedin.com/in/sergio-manoel/

Conheça nossa certificação em BCM Foundation (Business Continuity Management com base na ISO 22301). Faça o download do Guide/Ementa e Simulado.