A continuidade dos negócios em eventos humanos extremos

Hayrton Rodrigues do Prado Filho - 

No caso do novo coronavírus ou SARS-CoV2, o primeiro caso foi identificado em Wuhan, na China, no dia 31 de dezembro de 2019, mas parece que o governo chinês escondeu isso desde outubro ou novembro de 2019 do resto do mundo. Desde então, os casos começaram a se espalhar rapidamente pelo mundo: primeiro pelo continente asiático, e depois por outros países. Em fevereiro, a transmissão da Covid-19, nome dado à doença causada pelo SARS-CoV2, no Irã e na Itália, chamou a atenção pelo crescimento rápido de novos casos e mortes, fazendo com que o Ministério da Saúde alterasse a definição de caso suspeito para incluir pacientes que estiveram em outros países. Pode-se acompanhar a evolução da pandemia no link https://coronavirus.jhu.edu/map.html

Em março, a Organização Mundial da Saúde (OMS) definiu o surto da doença como pandemia. Mas, o que parece, em um mundo globalizado economicamente, é que ela vai causar menos mortes humanas e mais mortes de empresas e empregos. Dessa forma, o requisito mais básico de continuidade de negócios é manter as funções essenciais em funcionamento durante um desastre ou evento extremo e recuperar com o menor tempo de inatividade possível.

Um plano de continuidade de negócios considera vários eventos imprevisíveis, como desastres naturais, incêndios, surtos de doenças, ataques cibernéticos e outras ameaças externas. A continuidade dos negócios é importante para organizações de qualquer tamanho, mas pode não ser prático para nenhuma empresa, exceto as maiores, manter todas as funções pela duração de um desastre ou evento extremo.

Segundo muitos especialistas, o primeiro passo no planejamento de continuidade de negócios é decidir quais funções são essenciais e alocar o orçamento disponível de acordo. Depois que os componentes cruciais são identificados, os administradores podem implementar os mecanismos de tolerância às falhas.

No caso dos dados, as tecnologias como espelhamento de disco permitem que uma organização mantenha cópias atualizadas de dados em locais geograficamente dispersos, não apenas no data center principal. Isso permite que o acesso aos dados continue ininterrupto se um local estiver desativado e protegido contra perda de dados.

No momento em que o tempo de inatividade é inaceitável, a continuidade dos negócios é fundamental. O tempo de inatividade vem de várias fontes. Algumas ameaças, como ataques cibernéticos, condições climáticas extremas e ataques bacteriológicos, etc. parecem estar piorando. É importante ter um plano de continuidade de negócios que considere possíveis interrupções nas operações.

O plano deve permitir que a organização continue funcionando pelo menos em um nível mínimo durante uma crise. A continuidade dos negócios ajuda a organização a manter a resiliência, respondendo rapidamente a uma interrupção. A forte continuidade dos negócios economiza dinheiro, tempo e reputação da empresa. Uma interrupção prolongada pode acarretar as perdas financeiras, pessoais e de reputação.

A continuidade dos negócios exige que uma organização analise as áreas potenciais de fraqueza e colete informações importantes - como listas de contatos e diagramas técnicos de sistemas - que podem ser úteis fora de situações de desastre. Ao empreender o processo de planejamento de continuidade de negócios, uma organização pode melhorar sua comunicação, tecnologia e resiliência.

A continuidade dos negócios pode até ser um requisito por razões legais ou de conformidade. Especialmente em uma era de maior regulamentação, é importante entender quais as regulamentações afetam uma determinada organização. Dessa forma, a continuidade dos negócios é uma maneira proativa de garantir que as operações de missão crítica continuem durante uma interrupção. Um plano abrangente inclui informações de contato, etapas para o que fazer diante de uma variedade de incidentes e um guia para quando usar o documento.

A continuidade dos negócios apresenta diretrizes claras sobre o que uma organização deve fazer para manter as operações. Se chegar a hora da resposta, não haverá dúvidas sobre como avançar nos processos de negócios. A empresa, os clientes e os funcionários estarão potencialmente em risco.

A continuidade adequada dos negócios inclui diferentes níveis de resposta. Como nem tudo é essencial, é importante definir o que é mais vital para continuar funcionando e o que poderia voltar a ficar online mais tarde. É crucial ser honesto sobre os objetivos do tempo de recuperação e os objetivos do ponto de recuperação.

O processo inclui toda a organização, desde a gerência executiva em diante. Embora a TI possa impulsionar a continuidade dos negócios, é essencial obter o apoio da gerência e comunicar as principais informações para toda a organização. Uma outra área importante de colaboração é com a equipe de segurança - embora os dois grupos frequentemente trabalhem separadamente, uma organização pode ganhar muito compartilhando informações entre esses departamentos. No mínimo, todos devem conhecer as etapas básicas de como a organização planeja responder.

Um plano de continuidade de negócios possui três elementos principais: resiliência, recuperação e contingência. Uma organização pode aumentar a resiliência projetando as funções e infraestruturas críticas com várias possibilidades de desastre em mente. Isso pode incluir rotações de pessoal, redundância de dados e manutenção de um excesso de capacidade. Garantir a resiliência a diferentes cenários também pode ajudar as organizações a manter serviços essenciais no local e fora do local sem interrupção.

A recuperação rápida para restaurar as funções de negócios após um desastre é crucial. Definir os objetivos de tempo de recuperação para diferentes sistemas, redes ou aplicativos pode ajudar a priorizar quais elementos devem ser recuperados primeiro. Outras estratégias de recuperação incluem inventários de recursos, acordos com terceiros para assumir a atividade da empresa e usar espaços convertidos para funções críticas.

Um plano de contingência possui procedimentos para uma variedade de cenários externos e pode incluir uma cadeia de comando que distribui responsabilidades dentro da organização. Essas responsabilidades podem incluir substituição de hardware, locação de escritórios em emergências, avaliação de danos e contratação de fornecedores terceirizados para obter assistência.

A NBR ISO 22301 de 06/2013 – Segurança da sociedade – Sistema de gestão de continuidade de negócios – Requisitos especifica os requisitos para planejar, estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar continuamente um sistema de gestão documentado para se proteger, reduzir a possibilidade de ocorrência, preparar-se, responder a e recuperar-se de incidentes de interrupção quando estes ocorrerem. Os requisitos especificados nessa norma são genéricos e planejados para serem aplicados em todas as organizações ou parte delas, independentemente do tipo, tamanho e natureza do negócio. A abrangência da aplicação desses requisitos depende do ambiente operacional e complexidade da organização.

A norma define gestão de continuidade de negócios como o processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio caso estas ameaças se concretizem. Este processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder eficazmente e salvaguardar os interesses das partes interessadas, a reputação e a marca da organização e suas atividades de valor agregado. Também., especifica os requisitos para estabelecer e gerenciar um eficaz Sistema de Gestão de Continuidade de Negócios (SGCN). Um SGCN reforça a importância de: entender as necessidades da organização e a imprescindibilidade de estabelecimento de política e objetivos para a gestão de continuidade de negócios; implementar e operar controles e medidas para a gestão da capacidade geral da organização para gerenciar incidentes de interrupção; monitorar e analisar criticamente o desempenho e a eficácia do SGCN; e melhorar continuamente com base na medição objetiva.

O SGCN, assim como outros sistemas de gestão, deve possuir os seguintes componentes chave: uma política; pessoas com responsabilidades definidas; processos de gestão relativos a: política, planejamento, implementação e operação, e avaliação de desempenho; análise crítica pela direção; melhorias; documentação fornecendo evidências auditáveis; e quaisquer processos de gestão da continuidade de negócios pertinentes à organização. A continuidade de negócios contribui para uma sociedade mais resiliente.

É possível que seja necessário envolver no processo de recuperação a comunidade em geral, assim como outras organizações, em função do impacto no ambiente organizacional. É adotado nesse processo o modelo Plan-Do-Check-Act para planejar, estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar continuamente a eficácia do SGCN de uma organização. Isto garante um grau de consistência com outras normas de sistemas de gestão, como as NBR ISO 9001 (Sistemas de gestão da qualidade), NBR ISO 14001 (Sistemas de gestão ambiental), NBR ISO/IEC 27001 (Sistemas de gestão de segurança da informação), NBR ISO/IEC 20000-2 (Gestão de Serviços de TI) e NBR ISO 28000 (Especificação para sistemas de gestão de segurança para a cadeia logística), suportando, assim, a implementação consistente e integrada e a operação com sistemas de gestão relacionados.

A figura e a tabela abaixo ilustram como um SGCN considera como entradas as partes interessadas e os requisitos de continuidade de negócios e, por meio de ações necessárias e processos, produz resultados de continuidade (por exemplo, continuidade de negócios gerenciada) que atendem àqueles requisitos.

No modelo Plan (Planejar)-Do (Fazer)- Check (Checar)-Act (Agir), as Seções 4 a 10 envolvem componentes descritos a seguir. A Seção 4 é um componente do Planejar e introduz os requisitos necessários para estabelecer o contexto do SGCN, como se aplica na organização, bem como suas necessidades, requisitos e escopo. A Seção 5 é um componente do Planejar e resume os requisitos específicos para o papel da Alta Direção no SGCN e como a liderança deve articular suas expectativas para a organização por meio de uma declaração de política.

A Seção 6 é um componente do Planejar e descreve os requisitos para a aplicação de objetivos estratégicos e princípios direcionadores para o SGCN como um todo. O conteúdo da Seção 6 difere do estabelecimento de oportunidades para o tratamento de riscos decorrentes do processo de avaliação de risco, bem como dos objetivos de recuperação derivados da análise de impacto nos negócios (business lmpact analysis - BIA). Os requisitos dos processos de análise de impacto nos negócios e de avaliação de riscos estão detalhados na Seção 8.

A Seção 7 é um componente do Planejar e suporta a operação do SGCN, atribuindo competências e comunicação de forma recorrente/conforme necessária com as partes interessadas, bem como documentando, controlando, mantendo e retendo as documentações necessárias. A Seção 8 é um componente do Fazer e define os requisitos para a continuidade de negócios, determinando como abordá-los e como desenvolver procedimentos para gerenciar um incidente de interrupção.

A Seção 9 é um componente do Checar e resume os requisitos necessários para medir o desempenho da gestão de continuidade de negócios, a conformidade do SCGN com esta norma e com as expectativas da direção e busca o feedback dos gestores com relação às expectativas. A Seção 10 é um componente do Agir e identifica e atua em aspectos do SGCN que· não estão em conformidade através de ações corretivas.

No caso da crise atual, provocada por uma gripe, a organização deve estabelecer, implementar e manter procedimentos para identificar, ter acesso e avaliar os requisitos legais e regulatórios aplicáveis ao seu mercado de atuação, alinhados com a continuidade de suas operações, produtos e serviços, bem como os interesses das partes interessadas relevantes. Deve assegurar que estes requisitos legais, regulatórios e outros requisitos a que a esteja sujeita sejam levados em consideração no estabelecimento, implementação e manutenção de seu SGCN.

A organização deve documentar estas informações e mantê-las atualizadas. Novidades ou variações nos requisitos legais, regulatórios e outros requisitos devem ser comunicadas aos empregados envolvidos e às outras partes interessadas. Medidas do governo devem ser acompanhadas e implementadas se for o caso.

A NBR ISO 22313:2015 de 10/2015 – Segurança da sociedade — Sistemas de gestão de continuidade de negócios — Orientações fornece orientação com base em boas práticas internacionais para o planejamento, criação, implantação, operação, monitoramento, análise crítica, manutenção e melhoria contínua de um sistema de gestão documentado, que permite que as organizações se preparem para responder e recuperar-se de incidentes de interrupção quando eles surgirem. Não é a intenção desta norma impor uniformidade na estrutura de SGCN, mas permitir que uma organização projete um SGCN que seja adequado às suas necessidades e que atenda aos requisitos de suas partes interessadas. Essas necessidades são formadas por requisitos legais, regulamentares, organizacionais e industriais, pelos produtos e serviços, processos empregados, o ambiente no qual a organização opera, seu tamanho e estrutura assim como os requisitos das suas partes interessadas. Esta norma é genérica e aplicável a todos os tipos e tamanhos de organizações, incluindo grandes, médias e pequenas que operam em setores industrial, comercial, público e sem fins lucrativos que desejam: estabelecer, implementar, manter e melhorar um SGCN; assegurar conformidade com a política de continuidade de negócios da organização, ou fazer uma autodeterminação e autodeclaração de conformidade com esta norma.

Não é possível utilizar esta norma para avaliar a capacidade de uma organização para atender às suas necessidades de continuidade de negócios próprios, nem quaisquer necessidades de clientes, legais ou regulamentares. As organizações que desejam fazê-lo podem usar os requisitos da NBR ISO 22301 para demonstrar conformidade para outros ou buscar a certificação de seu SGCN por um organismo de certificação terceiro acreditado.

Um SGCN enfatiza a importância de: compreender as necessidades da organização e a necessidade de estabelecer uma política e objetivos de continuidade de negócios; implementar e operar controles e medidas para a gestão da capacidade geral de uma organização para gerenciar incidentes de interrupção; monitorar e analisar criticamente o desempenho e a eficácia do SGCN e melhorar continuamente, com base em medições objetivas. O SGCN, como qualquer outro sistema de gestão, inclui os principais componentes a seguir: uma política; pessoas com responsabilidades definidas; processos de gestão relativos a: política; planejamento; implementação e operação; avaliação de desempenho; análise crítica da gestão e melhoria; um conjunto de documentação fornecendo evidências auditáveis, e quaisquer processos do SGCN relevantes para a organização.

A continuidade de negócios é a capacidade que uma organização tem de continuar a entrega de produtos ou serviços em níveis aceitáveis pré-definidos após um incidente de interrupção. A gestão de continuidade de negócios (GCN) é o processo de alcançar a continuidade do negócio e é sobre a preparação de uma organização para lidar com incidentes de interrupção que poderiam impedi-la de atingir seus objetivos.

Colocar a GCN dentro de uma estrutura e disciplinas de um sistema de gestão cria um sistema de gestão de continuidade de negócios (SGCN) que permite que a GCN possa ser controlada, avaliada e melhorada continuamente. Nesta norma, a palavra negócio é usada como um termo abrangente para as operações e serviços realizados por uma organização em busca de seus objetivos, metas ou missão. Como tal, é igualmente aplicável a organizações grandes, médias e pequenas que operam em setores industrial, comercial, público e sem fins lucrativos.

Qualquer incidente, grande ou pequeno, natural, acidental ou deliberado tem o potencial de causar grande interrupção para as operações da organização e sua capacidade de fornecer produtos e serviços. No entanto, a implementação de uma gestão de continuidade de negócios antes que um incidente de interrupção ocorra, ao invés de esperar que isso aconteça, vai permitir que a organização retome suas operações antes que surjam níveis de impacto inaceitáveis.

A GCN envolve: ser claro sobre os principais serviços e produtos-chave da organização e as atividades que os suportam; conhecer as prioridades para retomar as atividades e os recursos necessários; ter uma compreensão clara das ameaças a essas atividades, incluindo suas dependências, e compreendendo os impactos de uma não retomada; ter implementado arranjos testados e confiáveis para retomar essas atividades após um incidente de interrupção, e certificar-se que estes acordos são analisados criticamente e atualizados de forma rotineira, de modo que eles sejam eficazes em todas as circunstâncias.

A continuidade de negócios pode ser eficaz em lidar tanto com incidentes repentinos de interrupção (por exemplo, explosões) como aqueles graduais (por exemplo, pandemias de gripe). As atividades são interrompidas por uma grande variedade de incidentes, muitos dos quais são difíceis de prever ou analisar. Ao concentrar-se sobre o impacto da interrupção e não a causa, a continuidade de negócios identifica as atividades em que a organização depende para a sua sobrevivência, e permite que a organização determine o que é necessário para continuar a cumprir as suas obrigações.

Através da continuidade de negócios, a organização pode reconhecer o que precisa ser feito para proteger os seus recursos (por exemplo, pessoas, instalações, tecnologia e informação), cadeia de suprimentos, as partes interessadas e reputação, antes que um incidente de interrupção ocorra. Com esse reconhecimento, a organização é capaz de ter uma visão realista sobre as respostas que possam vir a ser necessárias, caso e quando uma interrupção ocorra, e assim esteja confiante para gerenciar as consequências e evitar impactos inaceitáveis.

Uma organização que tenha implementado uma gestão de continuidade de negócios adequada também pode tirar vantagem das oportunidades que de outro modo poderiam ser consideradas como de risco muito alto. Os diagramas abaixo destinam-se a ilustrar conceitualmente como a gestão de continuidade de negócios pode ser eficaz na atenuação dos impactos em determinadas situações. Nenhuma escala de tempo específica está implícita pela distância relativa entre as fases descritas em qualquer diagrama.

Enfim, é importante que a empresa entenda que alcança o seu objetivo oferecendo seus produtos e serviços aos clientes. Portanto, para criar um entendimento do impacto negativo ao longo do tempo, que a interrupção destes produtos e serviços (e as atividades associadas) teria sobre os objetivos e funcionamento da organização. Também é importante compreender as interrelações e requisitos de recursos das atividades que suportam produtos e serviços e as ameaças sobre eles. (ver diagrama abaixo)

Por meio da compreensão, a organização é capaz de garantir que a sua continuidade do negócio se alinha com a sua finalidade, deveres e obrigações legais para as suas partes interessadas. O entendimento é alcançado por meio dos processos de análise de impacto nos negócios e avaliação de riscos. Estes processos fornecem a informação de que a organização precisa determinar e selecionar estratégias de continuidade de negócio.

É importante entender que a interrupção das atividades pode fazer com que a entrega dos produtos e serviços seja interrompida indiretamente. Por exemplo, a perda da capacidade para pagar fornecedores pode danificar a reputação da organização e resultar que fornecedores se recusem a fornecer os bens, o que então impede que os produtos que estão sendo fabricados ou os serviços sejam entregues.

As atividades geralmente sofrem variações e podem ser naturalmente cíclicas. Existem variações sazonais e níveis de atividade mais altos associados com fins do prazo ou datas de entrega do projeto semanais, mensais ou anuais. Supor que a interrupção ocorre no pior momento durante estes ciclos garante que o máximo impacto possível está avaliado. Fazer o cálculo de quanto tempo levaria para que os impactos associados com a perturbação das atividades da organização se tornem inaceitáveis.

O tempo tomado para que os impactos se tornem inaceitáveis pode variar entre segundos e diversos meses segundo a natureza da atividade. Atividades que são sensíveis ao tempo em que ocorrem necessitam poder ser especificadas com um grande grau de precisão, por exemplo, ao minuto ou à hora. Menor precisão será aceitável para atividades menos sensíveis ao tempo. O tempo que tomaria para que os impactos se tornem inaceitáveis pode ser referido como o período tolerável máximo de interrupção, o período tolerável máximo ou a indisponibilidade aceitável máxima. O nível mínimo do produto ou serviço que é aceitável à organização pode ser expressado como o objetivo mínimo de continuidade de negócios.

Interessante estabelecer um processo de avaliação de risco que fornece um processo estruturado de análise de risco em termo das consequências e das suas probabilidades antes de decidir se um tratamento adicional pode ser exigido. Este processo estruturado tenta responder às seguintes perguntas fundamentais: o que pode acontecer e por quê (identificação do risco); quais podem ser as consequências; qual é a probabilidade de sua ocorrência futura; e há quaisquer fatores que mitiguem a consequência do risco ou que reduzem a probabilidade do risco?

O processo precisa considerar obrigações financeiras, governamentais e sociais. Convém que a organização compreenda as ameaças e as vulnerabilidades dos recursos exigidos para cada atividade da organização, e em particular aquelas: exigidas por uma atividade com alta prioridade; ou com um prazo de entrega significativo para substituição.

Fundamental ainda é a proteção das atividades prioritárias pode ser orientada para: reduzir o risco da atividade; transferir a atividade a um terceiro (embora a responsabilidade permaneça com a organização); e cessar ou mudar a atividade, se alternativas viáveis estiverem disponíveis. Convém que as opções para proteger atividades prioritárias sejam selecionadas de acordo com: as vulnerabilidades percebidas da atividade; o custo das medidas comparado aos benefícios estimados; (opcionalmente) a urgência da atividade – uma vez que haverá menos tempo para resolver a situação; e a exequibilidade e a conformidade geral da opção.

Quando a organização estimar que uma ameaça seja extremamente improvável ou o custo de proteger uma atividade prioritária for proibitivamente caro, a mesma pode optar por aceitar o risco e reavaliá-lo como parte de sua avaliação contínua do desempenho do SGCN. No caso de uma quarentena, pode haver necessidade de transporte após um incidente para: o envio de colaboradores para casa se o meio de transporte normal estiver indisponível; realocação de colaboradores no local alternativo do trabalho; e recursos necessários em diferentes localidades.

Convém que a organização determine antecipadamente as opções para fornecer meios alternativos de transporte que possam ser necessários na sequência de um incidente de interrupção. Esses podem incluir: identificar cenários possíveis de interrupções logísticas que podem ser causados diretamente por um incidente e por situações pouco usuais; assegurar meios logísticos e rotas alternativas considerando condições de tráfego, meios de transporte, e das outras redes da logística; e contratos com fornecedores de transporte.