Saltar para o conteúdo

Plano de continuidade de negócios

Origem: Wikipédia, a enciclopédia livre.

O Plano de Continuidade de Negócios - PCN (do inglês Business Continuity Plan - BCP), estabelecido pela norma ABNT NBR 15999 Parte 1, é o desenvolvimento preventivo de um conjunto de estratégias e planos de ação de maneira a garantir que os serviços essenciais sejam devidamente identificados e preservados após a ocorrência de um desastre, e até o retorno à situação normal de funcionamento da empresa dentro do contexto do negócio do qual faz parte.

A responsabilidade da implementação do plano de continuidade de negócios é dos dirigentes da organização. A equipe de gerência da segurança pode auxiliar nessa tarefa, na criação, manutenção, divulgação e coordenação do plano de contingências.

Sob o ponto de vista do PCN, o funcionamento de uma empresa deve-se a duas variáveis:

  • processos: as atividades realizadas para operar os negócios da empresa;
  • componentes: todas as variáveis utilizadas para realização dos processos: energia, telecomunicações, informática, infra-estrutura, pessoas. Todas elas podem ser substituídas ou restauradas, de acordo com suas características.

O Plano de Continuidade de Negócios é constituído pelos seguintes planos:

Todos estes planos têm como objetivo principal a formalização de ações a serem tomadas para que, em momentos de crise, a recuperação, a continuidade e a retomada possam ser efetivas, evitando que os processos críticos de negócio da organização sejam afetados, o que pode acarretar em perdas financeiras.

No que diz respeito à necessidade de atualizações, o Plano de Continuidade de Negócios deve ser revisado periodicamente, porque mudanças significativas em componentes, atividades ou processos críticos de negócio podem fazer com que novas estratégias e planos de ação sejam previstos, evitando assim com que eventuais desastres desestabilizem profundamente o andamento regular do negócio da empresa.

Desastre pode ser entendido como qualquer situação que afete os processos críticos do negócio de uma organização. Consequentemente, algumas ocorrências podem ser caracterizadas como sendo desastres para uma determinada empresa, mas não como tal em outra empresa.[1]

Propósito do Plano de Continuidade de Negócios (PCN)

[editar | editar código-fonte]

O propósito de um plano de continuidade de negócios, é permitir que uma organização recupere ou mantenha suas atividades em caso de uma interrupção das operações normais de negócios.

Os PCN são ativados para dar suporte às atividades críticas necessárias para cumprir os objetivos da organização. Eles podem ser executados integral ou parcialmente e em qualquer etapa da resposta a um incidente.

O conteúdo e os componentes dos PCN variam de organização para organização e possuem diferentes níveis de detalhe, dependendo da escala, ambiente, cultura e complexidade técnica da organização.

Algumas organizações de grande porte podem necessitar de documentos separados para cada uma de suas atividades críticas, enquanto as organizações menores podem ser capazes de abordar todos os aspectos críticos em um único documento.

Conteúdo do PCN

[editar | editar código-fonte]

Convém que os planos de ações incluam uma lista estruturada de tarefas em ordem de prioridade, destacando-se:

  • como o PCN é ativado;
  • as pessoas responsáveis por ativar o plano de continuidade de negócios;
  • o procedimento que esta pessoa deve adotar ao tomar esta decisão;
  • as pessoas que devem ser consultadas antes desta decisão ser tomada;
  • as pessoas que devem ser informadas quando a decisão for tomada;
  • quem vai para onde e quando;
  • quais serviços estão disponíveis, aonde e quando, incluindo como a organização mobilizará seus recursos externos e de terceiros;
  • como e quando esta informação será comunicada e
  • se relevante, procedimentos detalhados para soluções manuais, recuperação dos sistemas etc.

Os planos devem referenciar as pessoas, instalações, tecnologia, informação, suprimentos e partes interessadas identificados na fase de estratégias. Devem ser incluídas premissas claras e detalhamentos sobre quaisquer recursos necessários para implementar os planos. Caso a falta de um serviço ou recurso torne os objetivos desse plano inalcançáveis, um procedimento claro deve ser definido para que o problema seja escalado a um nível mais alto.[2]

Recursos necessários

[editar | editar código-fonte]

Convém que os recursos necessários para a continuidade e recuperação dos negócios sejam identificados em diferentes pontos no tempo. Estes podem incluir:

  • pessoas, o que pode incluir:
    • segurança,
    • logística de transporte,
    • necessidades de bem-estar e
    • gastos de emergência;
  • instalações;
  • tecnologia, incluindo comunicações;
  • informações, o que pode incluir:
    • detalhes financeiros (por exemplo, folha de pagamento),
    • registros de contas de clientes,
    • detalhes de fornecedores e partes interessadas,
    • documentos legais (por exemplo, contratos, apólices de seguro, escrituras etc.), e
    • outros documentos de serviços (por exemplo, acordos de nível de serviços);
  • suprimentos e
  • gestão das partes interessadas e da comunicação com estas.

Além disso o plano também deve especificar:

  • Responsáveis: Convém que a organização identifique e designe um responsável para gerenciar as fases da continuidade e da recuperação dos negócios que ocorrem após uma interrupção de serviços. Em muitos casos, é desejável que a organização designe os mesmos indivíduos identificados no plano de gerenciamento de incidentes para gerenciar as questões de longo prazo.
  • Formulários e anexos: Quando apropriado, convém que o PCN possua detalhes de contato atualizados das agências pertinentes internas e externas, organizações e fornecedores que possam ser necessários para o suporte da organização. Convém que o plano de continuidade de negócios inclua um registro de incidentes ou formulários para o registro de informações vitais, principalmente como consequência de decisões tomadas durante sua execução. O plano pode incluir também formulários para armazenar dados administrativos, como, por exemplo, os recursos usados, material para controle de despesas, mapas, desenhos e plantas do local e do escritório, especialmente aqueles relacionados a instalações alternativas, tais como áreas de recuperação do local de trabalho e de armazenagem.

Referências

  1. WALLACE, Michael; WEBBER, Lawrence. The Disaster Recovery Handbook: A Step-by-Step Plan to Ensure Business Continuity and Protect Vital Operations, Facilities, and Assets.
  2. «Professional Practices | DRI». drii.org. Consultado em 20 de março de 2018