Continuidade dos negócios vs. recuperação de desastres: qual plano é ideal para você?

Os planos de continuidade de negócios e recuperação de desastres são estratégias de gerenciamento de risco nas quais as empresas confiam para se prepararem para incidentes inesperados. Embora os termos estejam intimamente relacionados, existem algumas diferenças importantes que vale a pena considerar ao escolher qual é o certo para você:

• Plano de continuidade de negócios (BCP): um BCP é um plano detalhado que descreve as etapas que uma organização tomará para retornar às funções normais de negócios no caso de um desastre. Enquanto outros tipos de planos podem se concentrar em um aspecto específico da prevenção de recuperação e interrupção (como um desastre natural ou ataque cibernético), os BCPs adotam uma abordagem ampla e visam garantir que uma organização possa enfrentar a maior variedade possível de ameaças.
• Plano de recuperação de desastres (DRP): mais detalhados por natureza do que os BCPs, os planos de recuperação de desastres consistem em planos de contingência para como as empresas protegerão especificamente seus sistemas de TI e dados críticos durante uma interrupção. Juntamente com os BCPs, os planos de DR ajudam as empresas a proteger dados e sistemas de TI de diversos cenários de desastres, como interrupções maciças, desastres naturais, ataques de ransomware e malware, entre muitos outros.
• Continuidade de negócios e recuperação de desastres (BCDR): a continuidade de negócios e a recuperação de desastres (BCDR) podem ser abordadas em conjunto ou separadamente, dependendo das necessidades da empresa. Recentemente, mais e mais empresas estão começando a praticar as duas disciplinas juntas, pedindo aos executivos que colaborem nas práticas de BC e DR, em vez de trabalharem isoladamente. Isso levou à combinação dos dois termos em um, BCDR, mas o significado essencial das duas práticas permanece inalterado.

Independentemente de como você escolher abordar o desenvolvimento do BCDR em sua organização, vale a pena observar o quão rápido o campo está crescendo no mundo todo. À medida que os resultados de um BCDR ruim, como perda de dados e downtime, se tornam cada vez mais caros, muitas empresas estão aumentando seus investimentos existentes. No ano passado, empresas em todo o mundo estavam preparadas para gastar US$ 219 bilhões em cibersegurança e soluções, um aumento de 12% em relação ao ano anterior , de acordo com um relatório recente da International Data Corporation (IDC) (link externo a ibm.com).

Planos de continuidade de negócios (BCPs) e planos de recuperação de desastres (DRPs) ajudam as organizações a se prepararem para uma ampla variedade de incidentes não planejados. Quando implantado de forma eficaz, um bom plano de DR pode ajudar os stakeholders a entender melhor os riscos às funções de negócios regulares que uma ameaça específica pode representar. As empresas que não investem na recuperação de desastres para a continuidade de negócios (BCDR) têm maior probabilidade de sofrer perda de dados, downtime, penalidades financeiras e danos à reputação devido a incidentes não planejados.

Aqui estão alguns dos benefícios que as empresas que investem em planos de continuidade de negócios e recuperação de desastres podem esperar:

• Downtime reduzido: quando um desastre interrompe as operações de negócios normais, pode custar às empresas centenas de milhões de dólares para voltar a funcionar. Os ataques cibernéticos de alto perfil são particularmente prejudiciais, frequentemente atraindo atenção indesejada e fazendo com que investidores e clientes fujam para concorrentes que anunciam tempos de downtimes mais curtos. A implementação de um plano de BCDR forte pode encurtar seu prazo de recuperação, independentemente do tipo de desastre que você enfrenta.
• Menor risco financeiro: de acordo com o Relatório de custo das violações de dados recente da IBM, o custo médio de uma violação de dados foi de US$ 4,45 milhões em 15 — um aumento de 15% desde 2020. Empresas com sólidos planos de continuidade de negócios demonstraram que podem reduzir significativamente esses custos diminuindo os downtimes e aumentando a confiança de clientes e investidores.
• Penalidades reduzidas: as violações de dados podem resultar em grandes penalidades quando informações privadas de clientes vazam. As empresas que operam na área de saúde e finanças pessoais correm um risco maior devido à confidencialidade dos dados que manipulam. Ter uma forte estratégia de continuidade de negócios é fundamental para as empresas que operam nesses setores, ajudando a manter o risco de pesadas penalidades financeiras relativamente baixo.

O planejamento da recuperação de desastres para a continuidade de negócios (BCDR) é mais eficaz quando as empresas adotam uma abordagem separada, mas coordenada. Embora os planos de continuidade de negócios (BCPs) e os planos de recuperação de desastres (DRPs) sejam semelhantes, há diferenças importantes que tornam vantajoso desenvolvê-los separadamente:

•  BCPs fortes se concentram em táticas para manter as operações normais funcionando antes, durante e imediatamente após um desastre. 
• Os DRPs tendem a ser mais reativos, descrevendo maneiras de responder a um incidente e fazer com que tudo volte a funcionar sem problemas.

Antes de nos aprofundarmos em como você pode criar BCPs e DRPs eficazes, vamos analisar alguns termos que são relevantes para ambos:

• Objetivo de tempo de recuperação (RTO): o RTO refere-se ao tempo necessário para restaurar os processos de negócios após um incidente não planejado. Estabelecer um RTO razoável é uma das primeiras coisas que as empresas precisam fazer ao criar um BCP ou DRP. 
• Objetivo do ponto de recuperação (RPO): o objetivo do ponto de recuperação (RPO) da sua empresa é a quantidade de dados que ela pode se dar ao luxo de perder em um desastre e ainda se recuperar. Como a proteção de dados é um recurso essencial de muitas empresas modernas, algumas copiam dados constantemente para um data center remoto, para garantir a continuidade em caso de uma violação maciça. Outras definem um RPO tolerável de alguns minutos (ou até horas) para que os dados de negócios sejam recuperados de um sistema de backup e sabem que poderão se recuperar do que foi perdido durante esse período.

Embora cada empresa tenha requisitos ligeiramente diferentes no que diz respeito ao planejamento da continuidade de negócios, há quatro etapas amplamente utilizadas que produzem resultados sólidos, independentemente do tamanho ou setor.

1. Execute uma análise de impacto nos negócios 

A análise de impacto nos negócios (BIA) ajuda as organizações a entender melhor as várias ameaças que enfrentam. Uma BIA forte inclui a criação de descrições robustas de todas as ameaças em potencial e quaisquer vulnerabilidades que elas possam expor. Além disso, a BIA estima a probabilidade de cada evento para que a organização possa priorizá-los adequadamente.

2. Crie respostas possíveis

Para cada ameaça identificada na sua BIA, você precisará desenvolver uma resposta para sua empresa. Ameaças diferentes exigem estratégias diferentes; então, para cada desastre que você possa enfrentar, é bom criar um plano detalhado de como você pode se recuperar.

3. Atribua funções e responsabilidades

A próxima etapa é descobrir o que é exigido de todos em sua equipe de recuperação de desastres no caso de um desastre. Essa etapa deve documentar as expectativas e considerar como os indivíduos se comunicarão durante um incidente não planejado. Lembre-se de que muitas ameaças interrompem os principais recursos de comunicação, como redes celulares e Wi-Fi; por isso, é prudente ter procedimentos de fallback de comunicação nos quais você possa confiar.

4. Ensaie e revise seu plano

Para cada ameaça para a qual você se preparou, você precisará praticar e refinar constantemente os planos de BCDR até que estejam operando sem problemas. Ensaie um cenário o mais realista possível, sem colocar ninguém em risco real, para que os membros da equipe possam ganhar confiança e descobrir como provavelmente se comportarão no caso de uma interrupção na continuidade de negócios.

Assim como os BCPs, os DRPs identificam funções e responsabilidades importantes e devem ser constantemente testados e refinados para serem eficazes. Aqui está um processo de quatro etapas amplamente utilizado para criar DRPs.

1. Execute uma análise de impacto nos negócios

Assim como seu BCP, seu DRP começa com uma avaliação cuidadosa de cada ameaça que sua empresa pode enfrentar e quais podem ser suas implicações. Considere os danos que cada ameaça potencial pode causar e a probabilidade de interromper suas operações de negócios diárias. Considerações adicionais podem incluir perda de receita, downtime, custo de reparo de reputação (relações públicas) e perda de clientes e investidores devido à má publicidade.

2. Faça o inventário de seus ativos

DRPs eficazes exigem que você saiba exatamente o que sua empresa possui. Realize esses inventários regularmente, para que você possa identificar facilmente hardware, software, infraestrutura de TIe qualquer outra coisa da qual sua organização dependa para funções de negócios críticas. Você pode usar os seguintes rótulos para categorizar cada ativo e priorizar sua proteção: crítico, importante e sem importância.

• Crítico: rotule ativos críticos se você depender deles para suas operações de negócios normais.
• Importante: coloque esse rótulo em qualquer coisa que você use pelo menos uma vez por dia e que, se interrompida, impactaria suas operações críticas (mas não as interromperia completamente).
• Sem importância: são os ativos que sua empresa possui, mas que são usados com pouca frequência, o que os torna não essenciais para as operações normais.

3. Atribua funções e responsabilidades

Como em seu BCP, você precisará descrever responsabilidades e garantir que os membros de sua equipe tenham aquilo de que precisam para executá-las. Aqui estão algumas funções e responsabilidades amplamente usadas a serem consideradas:

• Relator de incidentes: alguém que mantém as informações de contato das partes relevantes e se comunica com os líderes de negócios e stakeholders quando ocorrem eventos disruptivos.
• Supervisor de DRP: alguém que garanta que os membros da equipe executem as tarefas que lhes foram atribuídas durante um incidente. 
• Gerente de ativos: alguém cujo trabalho é defender e proteger ativos críticos quando ocorre um desastre. 

4. Ensaie seu plano

Assim como no seu BCP, você precisará praticar e atualizar constantemente o seu DRP para que ele seja eficaz. Pratique regularmente e atualize seus documentos de acordo com quaisquer alterações significativas que precisem ser feitas. Por exemplo, se sua empresa adquirir um novo ativo após a formação do DRP, você precisará incorporá-lo ao seu plano daqui para a frente, ou ele não estará protegido quando ocorrer um desastre.

Se você precisa de um plano de continuidade de negócios (BCP), um plano de recuperação de desastres (DRP), ou ambos trabalhando juntos ou separadamente, pode ser útil analisar como outras empresas implementaram planos para aumentar sua preparação. Aqui estão alguns exemplos de planos que ajudaram as empresas na preparação de BC e DR.

• Plano de gerenciamento de  crises: um bom plano de gerenciamento de crises pode fazer parte da continuidade de negócios ou do planejamento de recuperação de desastres. Os planos de gerenciamento de crises são documentos detalhados que descrevem como você gerenciará uma ameaça específica. Eles fornecem instruções detalhadas sobre como uma organização responderá a um tipo específico de crise, como queda de energia, crime cibernético ou desastre natural; especificamente, como ela vai lidar com as pressões hora a hora e minuto a minuto enquanto o evento está se desenrolando. Muitas das etapas, funções e responsabilidades exigidas na continuidade de negócios e no planejamento de recuperação de desastres são relevantes para bons planos de gerenciamento de crises.
• Plano de comunicações: os planos de comunicações (ou planos de comun.) se aplicam igualmente aos esforços de continuidade de negócios e recuperação de desastres. Eles descrevem como sua organização abordará especificamente as preocupações de RP durante um incidente não planejado. Para criar um bom plano de comunicações, os líderes empresariais normalmente se coordenam com especialistas em comunicação para formular seus planos de comunicação. Alguns têm planos específicos para desastres considerados prováveis e graves, para que saibam exatamente como responder.
• Plano de recuperação de rede: os planos de recuperação de rede ajudam as organizações a se recuperar de interrupções de serviços de rede, incluindo acesso à internet, dados celulares, redes locais (LANs) e redes de área ampla (WANs). Os planos de recuperação de rede geralmente têm um escopo amplo, pois se concentram em uma necessidade básica e essencial, a comunicação, e devem ser considerados mais no lado da continuidade de negócios do que na recuperação de desastres. Dada a importância de muitos serviços em rede para as operações de negócios, os planos de recuperação de rede se concentram nas etapas necessárias para restaurar os serviços de forma rápida e eficaz após uma interrupção.
• Plano de recuperação de data center: um plano de recuperação de data center é mais provável de ser incluído em um BCP do que um DRP devido ao seu foco na segurança de dados e nas ameaças à infraestrutura de TI. Algumas ameaças comuns ao backup de dados incluem pessoal sobrecarregado, ataques cibernéticos, quedas de energia e dificuldade em seguir os requisitos de conformidade. 
• Plano de recuperação virtualizado: como um plano de data center, é mais provável que um plano de recuperação virtualizado faça parte de um BCP do que de um DRP, devido ao foco do BCP em recursos de TI e dados. Os planos de recuperação virtualizados dependem de instâncias de Virtual Machine (VM) que podem entrar em operação em alguns minutos após uma interrupção. Virtual Machines são representações/emulações de computadores físicos que fornecem recuperação de aplicações críticas por meio de alta disponibilidade (HA), ou a capacidade de um sistema operar continuamente sem falhar.

Mesmo uma pequena interrupção pode colocar sua empresa em risco. A IBM tem uma ampla gama de planos de contingência e soluções de recuperação de desastres para ajudar a preparar sua empresa para enfrentar uma variedade de ameaças, incluindo recursos de backup em nuvem e recuperação de desastres, além de serviços de segurança e resiliência.