Desde sempre que as organizações se deparam com ameaças disruptivas ao seu negócio e com a necessidade de responder com eficácia às mesmas. No entanto deparamo-nos hoje com riscos e ameaças em constante transformação que já vão muito além da concorrência do mercado, dos fenómenos climatéricos extremos ou das próprias imposições legais e regulamentares.
Os ciberataques, as falhas na cadeia de fornecimento, falha de telecomunicações ou tecnologias de informação, a crise económica, a dificuldade na retenção de competências, entre outros, são ameaças cada vez mais presentes no contexto atual. É assim essencial delinear estratégias e planear ações, alinhadas com as melhores práticas, de modo a garantir a continuidade do negócio, em caso de desastre.
Atualmente, as empresas enfrentam o problema das ciberameaças, devido à constante transformação digital. Com o crescimento e valorização dos dados das empresas, estas tornam-se alvos constantes de ataques.
É cada vez mais importante que as empresas tenham um plano de segurança de informação definido na sua estratégia organizacional e que este esteja alinhado com os processos de negócio, de forma que todos estejam preparados para um ciberataque.
Além disso, as empresas devem ter recursos internos ou externos com a capacidade para formar todos os seus colaboradores acerca de cibersegurança ou outra norma associada à segurança da informação, nomeadamente a ISO 27001.
Neste sentido, destacamos uma ferramenta imprescindível para ajudar a lidar com estas ameaças: O Plano de Continuidade de Negócio. Este é uma ferramenta de planeamento que visa assegurar a capacidade de resposta de uma organização a uma crise, estando essa resposta previamente definida e alinhada com a estratégia da organização.
Como deve ser o Plano de Continuidade de Negócio?
Considerando que o Plano de continuidade de negócio será utilizado em circunstâncias de stress extremo, é essencial que toda a documentação elaborada seja clara, concisa, simples e fácil de seguir. Não devemos ter abordagens simplistas demais aquando da definição de um Plano de Continuidade de Negócio, mas deve também ser evitada a produção de informação desnecessário e/ou contraproducente à execução do mesmo. Assim, a dimensão do plano irá depender da complexidade da própria organização. Por exemplo para empresas de pequena dimensão o mesmo pode ser resumido num único documento, enquanto em organizações maiores poderá ser necessário um plano por área/sector. A adoção do Plano de continuidade será tanto mais efetiva quanto mais o mesmo refletir a realidade e contexto da organização.
“É cada vez mais importante que as empresas tenham um plano de segurança de informação definido na sua estratégia organizacional e que este esteja alinhado com os processos de negócio, de forma que todos estejam preparados para um ciberataque.”
Abordagem a considerar na elaboração do Plano de Continuidade de Negócio
O Plano de Continuidade assenta em duas variáveis que necessariamente têm de ser inicialmente identificadas e mantidas: os processos e atividades da organização, e respetivos recursos necessários para que esses processos continuem a operar em caso de desastre.
Neste contexto, a abordagem ao Plano de Continuidade de Negócio pressupõe:
- A identificação dos riscos dos processos e das atividades, de modo a analisar onde deverá ser feita uma gestão de risco mais efetiva;
- A análise de impacto nos processos e atividades (BIA – Business Impact Analisys), de modo a identificar quais as áreas de negócio mais críticas.
Que informação deve conter o Plano de Continuidade de Negócio?
No Plano de Continuidade de Negócio deverão ser detalhadas as medidas tomadas e os respetivos procedimentos de execução em caso de disrupção, assim como os testes que se devem realizar para garantir o funcionamento, caso seja necessário. Para além de outra informação que possa ser identificada como relevante, deverá conter indicação de Papeis e Responsabilidades, Contactos, Descrição da ativação do plano e registos de manutenção, tempos de indisponibilidade, procedimentos para retomar as atividades prioritárias, procedimentos de revisão e testes ao plano.
Como já referido anteriormente, com a implementação da ISO 27001, existe uma secção da norma que trata da gestão da continuidade do negócio, uma vez que esta se relaciona à segurança da informação. Contudo a ISO 27001 não fornece muitos detalhes sobre a continuidade de negócio. Para isso, existe a ISO 22301. A Norma NP EN ISO 22301 – Requisitos para um sistema de gestão de continuidade de negócio, assegura de forma estruturada a definição e implementação de um Sistema de Gestão de Continuidade de Negócio. Implementando este referencial terá garantias de que o seu Plano de Continuidade de Negócio alinha a estratégica da sua organização com o valor prático desta ferramenta, sempre assente na avaliação dos resultados e na melhoria continua.