O Novo BCP – Business Continuity Plan

Intróito

Com a evolução da tecnologia, os assuntos de segurança foram elevados a um novo patamar dentro das empresas, destacando-se o BCP (Business Continuity Plan) ou PCN (Plano de Continuidade de Negócios).

Não é de hoje que as empresas se preocupam com possíveis interrupções de suas principais rotinas e como garantir o retorno do funcionamento delas no menor tempo possível. No início da era da informática, a principal medida para garantir a retomada dos negócios, face a um problema de ordem técnica, era ter cópias de segurança (backups), dado a inexistência de redes de comunicação e integração como temos atualmente.

Contudo, atualmente, temos novos meios de transmissão e armazenamento de dados (locais e em nuvem), integração das redes em nível global e, ainda, novos tipos de ameaças (hackers, por exemplo). Consequentemente, as organizações precisaram rever e aprimorar seus procedimentos de segurança.

Quão complexo tornaram-se os BCPs?

Para abordar a questão da complexidade, vale recordar que:

  1. BCP é um conceito e não uma metodologia. Isto porque cada Empresa, Unidade de Negócio, Processos etc., tem características específicas, o que requer planos apropriados a cada um.
  2. BCP é um conjunto de procedimentos desenvolvidos com base no conceito e nas necessidades do “Core Business”. Dependendo do seu objetivo e da sua construção, pode envolver diversas Pessoas, Departamentos, Unidades ou até terceiros.
  3. BCP não evita uma ruptura nos negócios, ele minimiza os impactos das perdas provocadas pela ruptura.

Conforme mencionamos anteriormente, os BCPs iniciais restringiam-se a garantir a existência de cópias atualizadas dos principais dados e programas, além de aspectos de infraestrutura locais, independente da área de negócio ou tipo de sistema. Não estaríamos errando muito se disséssemos que havia algum tipo de padronização entre os BCPs das empresas naqueles tempos.

Atualmente, a realidade é um pouco diferente.

A construção de um BCP

Para elaborar um BCP é preciso considerar:

  • Todas as instâncias que o processo abrange (interno, local, regional ou Global):

Imagine que um Departamento preste serviços a Unidades de uma empresa que estão alocadas em diversos países. Para cada um dos serviços prestados deve-se avaliar a necessidade ou não de se ter um BCP. Para os que necessitarem de BCP, ao construí-lo, deve-se levar em conta diversos aspectos como, fuso horário, políticas e culturas locais, legislação local, SLAs distintos de atendimento etc.

  • Sua interrelação com outros processos, sejam eles internos (do mesmo departamento) ou externos:

Deve-se avaliar se os entregáveis de cada processo são “inputs” de outros processos. Em caso positivo, é preciso avaliar como a aplicação de um BCP poderá afetar esses outros processos e que procedimentos deverão ser realizados quando da normalização da situação.

  • Quais seriam os impactos caso não existisse um BCP apropriado para a circunstância que está sendo avaliada:

A construção de um BCP passa por entender as consequências de determinadas rupturas de processos na cadeia de atividades. Esse entendimento é fundamental para direcionar a construção de um BCP.

  • Quais seriam as conseqüências de não se ter um BCP para a circunstância que está sendo avaliada:

Diferentemente do item anterior, a avaliação neste caso seria no aspecto econômico e de contrato com eventuais clientes.

Ao considerarmos estes pontos, entendemos que se faz necessário pensar em todos os possíveis cenários, independente da probabilidade remota ou não de acontecer. Também é preciso avaliar a necessidade de construir ou não um BCP para cada um deles.

Gabinete de Crise:

Não adianta as Empresas terem excelentes e abrangentes BCPs se não houver um time de Gestão para avaliar as circunstâncias e decidir quais e em que ordem deverão aplicar os BCPs.

Uma mesma circunstância e momento podem exigir a aplicação de diferentes BCPs para diferentes áreas. Por exemplo, a falta de acesso ao sistema ERP nos primeiros dias do mês pode comprometer o fechamento contábil mensal. Entretanto, não trará impactos para o processamento da folha de pagamento, caso a situação se resolva com brevidade.

Recomenda-se formar esse Gabinete de Crise com os gestores das Unidades afetadas ou com os respectivos Coordenadores. É fundamental que essas pessoas dominem os processos afetados.

Mas o que deve constar nos documentos que detalham um BCP?

Quanto mais detalhado o documento que descreve a execução de um BCP, melhor será o resultado. Isto porque a execução de um BCP não é algo que acontece todo dia e, portanto, as pessoas que irão executá-lo, não irão fazê-lo com a mesma naturalidade que executam suas atividades diárias.

Em linhas gerais, deve estar claro em um BCP:

  1. Quem é o Responsável, ou seja, quem tem a autoridade para permitir a execução de um BCP;
  2. Identificar as Áreas, os Departamentos, as Localidades podendo, inclusive, identificar as funções que devem ser envolvidas;
  3. Estabelecer as ações do BCP a serem aplicadas de acordo com o período estimado da ruptura do processo. Ou seja, para uma interrupção prevista de 2 horas, aplicar as ações A, B e C. Para uma interrupção de 6 horas, aplicar adicionalmente as ações D e E. E assim por diante;
  4. Definir as comunicações necessárias para cada período estimado de ruptura e como e para quem essas comunicações devem ser endereçadas;
  5. Prever uma reunião de comunicação e alinhamento quando for possível o restabelecimento das atividades. Deverão participar todos os responsáveis pelos Departamentos envolvidos e Coordenadores dos processos afetados durante a execução do BCP.

Treinamentos e Simulações

É fundamental que os BCPs sejam “testados” regularmente. Trata-se do mesmo princípio das demais áreas de segurança, para que todos os envolvidos tenham, no mínimo, noção do que deverão executar. Além disso, esses treinamentos permitem:

  1. Avaliar se o BCP tem alguma falha;
  2. Avaliar se o BCP está adequado a eventuais mudanças que ocorreram nos processos;
  3. Oportunizar a eventuais novos colaboradores relacionados ao processo o conhecimento do BCP e sua utilização.

O advento da pandemia e outras situações globais que passamos nos últimos anos, impulsionaram as organizações a adaptarem suas rotinas de trabalho para o modelo remoto, e não mais depender das estruturas físicas de trabalho, para a continuidade das atividades.

A tendência de migração dos dados dos servidores das empresas para o ambiente de nuvem (iCloud) é outro facilitador para a mobilidade e mitigação ou resolução mais ágil, no caso de problemas técnicos.

Percebe-se então que o BCP, atualmente, tem como premissa a comunicação clara com todos os envolvidos e impactados no plano de contingência da operação e a execução de forma ágil e consecutiva de todas as ações que foram planejadas e revistas periodicamente com as lideranças da organização.

E na sua empresa, já existe um BCP para a continuidade das operações de negócio?


Posts Relacionados