Artigo por Marcelo Mendes Santos, gerente de TI CISO da NEO
Um dos procedimentos elementares para quem trabalha com segurança da informação é o gerenciamento da continuidade dos negócios, definido na ISO 22301:2012 como “o processo de identificação de ameaças em potencial às operações de negócios de uma organização” e como “o processo que fornece uma estrutura para a construção organizacional de resiliência, com a capacidade de uma resposta eficaz que protege os interesses de seus principais stakeholders, a reputação, as atividades de criação de marca e o seu valor”.
O gerenciamento da continuidade dos negócios demanda a criação de um documento, que precisa elencar as estratégias a serem adotadas de modo a manter o pleno funcionamento das operações de uma empresa caso esta venha a enfrentar adversidades causadas por fatores internos ou externos - entre elas, o vazamento e o sequestro de dados por terceiros. A gestão de continuidade de um negócio feita a partir da elaboração deste plano é indispensável para assegurar o que chamamos de resiliência organizacional.
A primeira etapa para o planejamento de um programa de continuidade de negócios é entender as ameaças e os desafios atuais. Porque, na prática, este plano de contingência ajuda na análise do impacto que um incidente pode causar, dando mais segurança aos gestores na administração de crises, garantindo que as operações essenciais não sejam prejudicadas. Além de orientar quanto às estratégias mais recomendadas para cada situação, um bom plano precisa ir além. Em outras palavras, o gerenciamento de crises não pode ser considerado separadamente à disciplina da continuidade dos negócios.
Em um mundo cada vez mais interconectado, é essencial repensar o planejamento de contingência. E implementar operações resilientes e recuperáveis é mais difícil quando o tempo é precioso e os desafios são grandes. Por isso, as ações de continuidade precisam ser compreendidas como parte de um processo de construção da capacidade de resposta e de recuperação em episódios críticos. E, ao adotar um processo de gerenciamento holístico, que identifica ameaças em potencial e os impactos nas operações de negócios que essas ameaças (se realizadas) podem causar, o gestor tem ao seu dispor uma estrutura que o ajuda a criar resiliência organizacional, passando a ter a capacidade de fornecer uma resposta eficaz, que não apenas proteja os interesses, como também a marca e a reputação da empresa.
Com um bom planejamento, torna-se mais simples entender e comunicar as necessidades de retomada dos negócios e garantir que a capacidade de recuperação apropriada seja fornecida para atender as essas necessidades. Com isso, o gestor garante o bom funcionamento das infraestruturas sensíveis de suporte às atividades mais críticas, e consegue retomar o fluxo de modo planejado e controlado para atender aos requisitos do negócio e, de quebra, cumprindo as leis, contratos, regulamentos ou outros fatores aplicáveis em todas as operações. Desta forma, ele se certifica de que a continuidade dos negócios é uma parte essencial do planejamento, e mantém o desenvolvimento pleno dos negócios da organização a qual pertence.