Support Suporte ao cliente
Support Suporte ao cliente

Gestão de Riscos – A importância da Continuidade dos Negócios (PCN) e da Recuperação de Desastres (PRD)

Garantir a continuidade das operações é essencial para qualquer empresa que deseja ser resiliente e se recuperar rapidamente em caso de desastres ou interrupções significativas. Hoje, gostaria de discutir mais sobre o chamado plano de continuidade de negócios, conhecido em inglês como Business Continuity Plan (BCP), e o plano de recuperação de desastres, ou Disaster Recovery Plan (DRP). Esses planos são fundamentais para desenvolver estratégias robustas que minimizem os riscos associados a eventos disruptivos, mantendo as operações críticas com poucas interrupções, mesmo diante de eventos adversos significativos. Eles envolvem aspectos como instalações físicas, segurança, pessoal e, no caso da recuperação de desastres, a recuperação de TI, backup de dados e telecomunicações.

Para começar, é crucial entender que não se pode simplesmente copiar o plano de outra empresa e implementá-lo na sua. É importante personalizar esses planos de acordo com as necessidades específicas de cada empresa.

Outro ponto relevante é que a eficácia de um plano de continuidade de negócios depende muito de sua atualização regular e testes periódicos.

Tudo começa com uma avaliação detalhada do ambiente de negócios atual para identificar as funções críticas e os componentes de hardware e software que podem estar em risco. Além disso, é necessário avaliar a capacidade do pessoal para liderar os esforços de recuperação.

Queria destacar ainda dois temas relevantes e sugerir algumas perguntas que deveriam ser feitas em relação a cada um deles, adicionando também um exemplo prático do que se preocupar, explicando sua importância e o que deve ser considerado ao respondê-las:

  • Localização: Se o seu local principal ficar indisponível, você pode continuar a operar a partir de um local diferente?

Importância: Esta pergunta é fundamental para avaliar a resiliência física da empresa, ou seja, a sua capacidade de operar a partir de um local alternativo pode significar a diferença entre a continuidade das operações e uma paralisação completa.

Considerações: A empresa deve ter identificado previamente locais alternativos, como escritórios de backup, home offices para os funcionários ou locais temporários de coworking. Além disso, é importante garantir que esses locais alternativos sejam adequados em termos de infraestrutura, acesso a recursos necessários e proximidade dos funcionários principais.

  • Comunicações: Você tem informações de contato atualizadas para todos os membros da equipe, fornecedores, prestadores de serviços de TI, companhias de seguros e outros contatos essenciais em caso de desastre?

Importância: A comunicação rápida e eficaz é crucial durante um desastre. Ter informações de contato atualizadas para todas as partes interessadas garante que todas as partes relevantes possam ser informadas e mobilizadas rapidamente.

Considerações: É essencial manter uma lista de contatos regularmente atualizada, que deve incluir números de telefone, endereços de e-mail e outros detalhes pertinentes. Essa lista deve estar acessível a partir de locais remotos, e deve incluir contatos de emergência tanto internos quanto externos, como serviços de emergência, fornecedores de serviços essenciais e parceiros estratégicos.

  • Hardware: Você sabe quais serviços (internet, e-mail, impressão, backup, acesso remoto, etc.) estão alocados em cada um de seus servidores, e isso está documentado?

Importância: A documentação detalhada dos recursos de hardware é essencial para garantir que, em caso de falha ou perda de um servidor, a recuperação possa ser executada de forma rápida e precisa.

Considerações: Cada servidor deve ser mapeado com clareza, indicando os serviços que ele suporta, suas configurações específicas e os procedimentos de backup e recuperação. Isso permite uma recuperação mais eficiente e evita a perda de serviços críticos durante um desastre.

  • Software: Você tem uma lista de todos os softwares e suas respectivas versões, e isso está documentado em algum lugar?

Importância: A recuperação de software é tão importante quanto a recuperação de hardware. Saber exatamente quais softwares são utilizados e suas versões específicas ajuda a garantir que todas as ferramentas necessárias estarão disponíveis durante a recuperação.

Considerações: Além de documentar os softwares, a empresa deve manter informações sobre licenças, chaves de ativação, fornecedores e suporte técnico. É importante também prever atualizações regulares dessa documentação, para refletir quaisquer mudanças ou upgrades realizados.

  • Sistema Telefônico: Você entrou em contato com seu provedor de telefonia e estabeleceu um número de celular de backup para redirecionamento do número principal quando necessário?

Importância: A continuidade das comunicações telefônicas é vital, especialmente em situações de desastre. Um número de celular de backup para redirecionamento pode garantir que a empresa continue acessível, mesmo se o sistema telefônico principal falhar.

Considerações: A empresa deve configurar previamente um número de celular de backup com seu provedor de telefonia. Além disso, deve testar o redirecionamento periodicamente para garantir que funcione corretamente quando necessário.

  • Documentação Fisica Impressa: Todo o seu papel está protegido, digitalizado ou de outra forma protegido?

Importância: Documentos físicos podem ser perdidos ou destruídos durante um desastre. A digitalização de documentos importantes e seu armazenamento seguro garantem que as informações essenciais permaneçam acessíveis.

Considerações: Implementar processos de digitalização contínua para todos os documentos críticos, como contratos, documentos legais e registros financeiros. Esses documentos digitalizados devem ser armazenados em um sistema de backup seguro, preferencialmente na nuvem, para garantir acessibilidade remota.

  • Informações de Recuperação e Instruções: O seu Plano de Continuidade está armazenado online e acessível de um local remoto?

Importância: A acessibilidade do plano de recuperação é crucial em uma situação de desastre, onde o acesso físico ao local principal pode ser comprometido. Ter o plano disponível online permite que a equipe responsável possa acessá-lo rapidamente e implementar as ações necessárias.

Considerações: O plano deve ser armazenado em uma plataforma segura, com acesso restrito apenas aos membros da equipe que precisam dele durante um desastre. A plataforma escolhida deve garantir a disponibilidade contínua do documento, mesmo em situações de interrupção de serviços locais.

  • Sistemas de Backup: Os dados da sua empresa estão sendo backupados e são recuperáveis?

Importância: Pode parecer obvio, mas a existência de backups confiáveis é fundamental para garantir que a empresa possa recuperar seus dados e continuar operando após um desastre. A ausência de backups adequados pode levar à perda permanente de informações críticas.

Considerações: A empresa deve implementar uma estratégia robusta de backup, que inclua backups regulares, automáticos e monitorados. Além disso, é importante testar periodicamente a recuperação desses backups para garantir que os dados possam ser restaurados conforme necessário.

Outro ponto relevante esta em que a categorização dos desastres pode ser feirta em cinco tipos principais, permitindo que as empresas se prepararem de forma mais eficaz para diferentes cenários de interrupção. Cada tipo de desastre exige ações específicas e possui cronogramas de recuperação distintos, com base na gravidade e no impacto potencial sobre as operações da empresa., e vou tentar detalhar um pouco mais de cada uma dessas categorias:

  • Perda de Arquivos, Falha Parcial de Sistemas, Falha de Sistemas Telefônicos, Falha de Internet:

Este tipo de desastre envolve interrupções menores que afetam parcialmente os sistemas da empresa. Exemplos incluem a perda de arquivos específicos, falhas em partes do sistema (como impressoras ou servidores), falhas no sistema telefônico ou falhas na conexão de internet.

Ações Específicas:

Contato com Suporte de TI: A primeira ação é comunicar-se imediatamente com a equipe de suporte de TI para diagnosticar e corrigir o problema.

Priorização de Soluções: A empresa deve priorizar a solução dos problemas que impactam diretamente nas operações críticas.

Monitoramento do Status: Se o problema não puder ser resolvido em um curto período (por exemplo, 48 horas), pode ser necessário reclassificar o incidente como um Tipo 3, desencadeando uma resposta mais ampla.

Cronograma de Recuperação:

Imediato: A ação deve ser iniciada imediatamente após a identificação do problema. O tempo de recuperação depende da gravidade da falha, mas o objetivo é restaurar a funcionalidade total dentro de um ou dois dias.

  • Perda de Localização, Mas os Sistemas Não São Afetados:

Este tipo de desastre ocorre quando a empresa perde acesso ao seu local físico de operação, mas os sistemas de TI permanecem funcionais. Exemplos incluem incêndios, inundações ou desastres naturais que tornam o escritório principal inacessível, mas não afetam a infraestrutura de TI.

Ações Específicas:

Realocação de Funcionários: A empresa deve realocar os funcionários para um local de backup, home offices ou outro espaço temporário previamente identificado.

Comunicação e Coordenação: É crucial coordenar com os funcionários, clientes e fornecedores sobre a nova localização temporária e quaisquer mudanças temporárias nos processos de operação.

Verificação de Infraestrutura: Verificar se a infraestrutura de TI, como acesso remoto e sistemas de backup, está totalmente operacional para suportar o trabalho remoto ou em um local alternativo.

Cronograma de Recuperação:

Imediato: Ação imediata se o local for inacessível por mais de um dia, a menos que todos os funcionários tenham acesso remoto total. A realocação deve ocorrer o mais rápido possível, idealmente dentro de 24 a 48 horas.

  • Perda Total dos Sistemas, Mas a Localização Não É Afetada:

Nesta situação, os sistemas de TI são completamente comprometidos, mas o local físico permanece intacto. Exemplos incluem ataques cibernéticos (como ransomware), falhas graves de hardware, roubo de equipamentos ou quedas de energia prolongadas que afetam os sistemas críticos.

Ações Específicas:

Implementação Completa do DRP: A empresa deve implementar imediatamente o Plano de Recuperação de Desastres (DRP) para restaurar os sistemas de TI.

Reclassificação se Necessário: Se os sistemas críticos não puderem ser reparados dentro de um prazo razoável (por exemplo, 24 horas), o evento pode ser reclassificado como Tipo 4, exigindo uma resposta mais abrangente.

Coordenação com Fornecedores de TI: Trabalhar em estreita colaboração com fornecedores de TI para adquirir novos equipamentos, restaurar backups e reconfigurar sistemas.

Cronograma de Recuperação:

Imediato: Ação imediata para restaurar a funcionalidade do sistema. O objetivo é restabelecer os serviços críticos dentro de um dia, com um plano para restaurar totalmente a funcionalidade do sistema dentro de 48 a 72 horas.

  • Perda Total de Localização e Sistemas:

Este é o cenário de desastre mais grave, onde a empresa perde tanto o local físico quanto todos os sistemas de TI. Exemplos incluem incêndios devastadores, grandes inundações ou ataques terroristas que destroem tanto a infraestrutura física quanto a digital da empresa.

Ações Específicas:

Implementação Completa do BCP e DRP: Este cenário exige a implementação completa dos Planos de Continuidade de Negócios e de Recuperação de Desastres.

Estabelecimento de Local Temporário: A empresa deve realocar suas operações para um local alternativo ou para um ambiente de trabalho remoto, utilizando servidores de backup em locais externos.

Coordenação com Seguradoras: Contato imediato com as seguradoras para iniciar processos de reivindicação e garantir a recuperação financeira.

Reestabelecimento de Comunicações: Reconfigurar sistemas de comunicação, como telefonia e internet, para garantir que a empresa permaneça acessível durante o processo de recuperação.

Cronograma de Recuperação:

Até 1 Dia para Iniciar: A ação deve começar dentro de um dia após a perda total, com foco na restauração das operações críticas dentro de 48 a 72 horas. A recuperação completa pode levar semanas, dependendo da gravidade do desastre.

  • Perda de Pessoal:

Este tipo de desastre se refere a situações em que a empresa perde uma parte significativa de seu pessoal, tornando difícil manter as operações normais. Exemplos incluem pandemias, onde muitos funcionários adoecem simultaneamente, ou eventos como “caça às cabeças”, onde um grupo significativo de funcionários chave é recrutado por concorrentes.

Ações Específicas:

Engajamento de Agências de Recrutamento: A empresa deve contatar imediatamente agências de recrutamento especializadas para substituir o pessoal perdido.

Cruzamento de Treinamento e Sucessão: Implementar programas de treinamento cruzado para garantir que os funcionários remanescentes possam assumir responsabilidades adicionais se necessário.

Ajuste de Operações: Ajustar as operações da empresa com base no número de funcionários disponíveis, priorizando funções críticas.

Cronograma de Recuperação:

Variante: O tempo de recuperação varia dependendo da disponibilidade de novos funcionários e da rapidez com que podem ser integrados. A recuperação total pode demorar dias ou semanas, dependendo da gravidade do evento.

Dito isto queria também lembrar de que a ação imediata é fundamental quando um evento de desastre ocorre, e faz toda a diferença, pois a empresa deve ter um processo claro para determinar quando ativar o plano, com base na gravidade do evento. Por exemplo, em um cenário de perda total de localização e sistemas, é esperado que a empresa implemente o DR e o BCP dentro de 24 horas, com um escritório totalmente funcional restaurado dentro de 48-72 horas.

Além disto uma comunicação eficaz é fundamental durante um evento de desastre. Cada funcionário deve conhecer seu papel e responsabilidade no processo de recuperação, por isto bom criar uma “árvore de comunicação”, onde cada membro da equipe é responsável por contatar outros membros, garantindo que a informação seja disseminada de forma rápida e eficiente.

Já a recuperação da localização envolve a escolha de espaços alternativos para as operações da empresa. Três opções são sugeridas: utilização de espaço disponível na residência de um diretor, alocação em escritórios alugados temporários ou a configuração de servidores em um ambiente hospedado para que os funcionários possam trabalhar remotamente. Essas opções devem ser pré-negociadas e os detalhes de contato relevantes mantidos atualizados.

Enquanto que a recuperação de TI é uma outra parte vital do plano de continuidade de negócios, neste sentido queria reforçar mais uma vez a importância de realizar ensaios regulares de recuperação de desastres para garantir que todos os dados e sistemas possam ser recuperados conforme necessário. A recuperação é dividida em várias etapas, começando pela definição dos requisitos de hardware e seguindo para a recuperação dos componentes de TI, como servidores, sistemas de e-mail, internet e telefone.

Como sempre o treinamento contínuo e a avaliação das habilidades dos funcionários são essenciais para garantir uma resposta eficaz a desastres.

Queria para terminar listar abaixo alguns dos aspectos que consideri mais críticos do plano de continuidade de negócios (e do plano de recuperação de desastres, para ajudar a ter certeza de que estarão sendo tratados nos seus planos?

  • Controle de Documentos e Versões:

Data da Última Atualização: É essencial manter o documento atualizado regularmente. Isso garante que todas as informações estejam precisas e que as últimas mudanças e procedimentos estejam incorporados.

Responsável pelo Controle de Documentos / Contatos: Um membro sênior da equipe deve ser designado como responsável pela manutenção e atualização do documento. Essa pessoa também deve gerenciar a lista de contatos relevante para os planos assegurando que seja atualizada com frequência.

  • Testes:

Cronograma Anual de Testes: A realização de testes periódicos dos planos é fundamental para verificar a eficácia do plano e identificar quaisquer falhas ou áreas de melhoria. O cronograma anual deve prever, no mínimo, um teste por ano, mas o ideal é que sejam realizados dois.

Data do Teste Atual: Registra-se a data do último teste realizado para monitorar a frequência dos testes e garantir que o plano seja testado regularmente.

  • Pontos de Ação para os Funcionários:

Árvore de Comunicação dos Funcionários: Um plano claro de comunicação interna deve ser estabelecido, assegurando que todos os funcionários saibam quem contatar em caso de desastre. A árvore de comunicação ajuda a disseminar informações rapidamente durante uma emergência.

  • Listas de Contatos:

Funcionários, Incluindo Descrições de Cargos: Manter uma lista atualizada de todos os funcionários, incluindo suas descrições de cargo, é crucial para garantir que as responsabilidades sejam claras durante uma recuperação de desastres.

Clientes: Uma lista atualizada de clientes deve ser mantida para garantir que a comunicação com eles seja rápida e eficiente durante um evento de desastre, especialmente se houver impacto direto em suas operações ou serviços.

Fornecedores: Ter uma lista de fornecedores confiáveis e atualizada é vital para a continuidade dos negócios, pois permite a rápida reorganização ou substituição de recursos essenciais.

Parceiros: A lista de parceiros estratégicos deve ser revisada e mantida atualizada para garantir que o apoio necessário possa ser obtido durante a recuperação.

Agências de Recrutamento: Em caso de perda significativa de pessoal (Tipo 5 de desastre), é necessário ter uma lista de agências de recrutamento prontamente disponíveis para facilitar a reposição de funcionários essenciais.

  • Localização:

Local de Backup: A identificação e a preparação de locais alternativos para as operações da empresa são fundamentais. Isso pode incluir espaços em escritórios provisórios ou locais para onde a equipe pode ser realocada temporariamente.

  • Itens de Papelada e Não Relacionados a TI:

Itens de Contabilidade e Folha de Pagamento: A continuidade desses itens é crucial para manter as operações financeiras e o pagamento de funcionários.

Mobiliário: A documentação e o seguro de itens de mobiliário devem ser mantidos atualizados para facilitar reivindicações de seguros e reconfiguração de espaços de trabalho.

Desenhos e Plantas: Itens como plantas de edifícios ou desenhos técnicos devem ser armazenados de maneira segura e, preferencialmente, digitalizados para fácil recuperação.

Outros Documentos Críticos: Qualquer outra documentação essencial ao funcionamento da empresa deve ser digitalizada e armazenada de forma segura, com backups offsite.

  • Hardware:

Servidores: A recuperação dos servidores é crucial. O checklist assegura que todos os servidores estejam cobertos por backups e que haja planos claros para sua recuperação.

PCs e Laptops: Garantir que todos os computadores, incluindo laptops, estejam configurados para fácil substituição ou recuperação em caso de desastre.

Impressoras: As impressoras, muitas vezes negligenciadas, devem ser incluídas no plano de continuidade para garantir que possam ser substituídas ou recuperadas rapidamente.

Backup de Dados Offsite & Solução de DR: O armazenamento de backups de dados fora do local principal de operação é vital para garantir a recuperação rápida e eficaz dos dados em caso de desastre.

  • Software:

Sistema Operacional e Versão: A documentação detalhada dos sistemas operacionais em uso e suas versões deve ser mantida para garantir que possam ser reinstalados e configurados rapidamente.

Aplicações: As aplicações críticas para o negócio devem ser documentadas, incluindo informações sobre licenciamento e backup, para garantir sua disponibilidade durante a recuperação.

Backup de Dados Offsite & Solução de DR: Assim como com hardware, os dados de software devem ser mantidos em backup fora do local e ser parte de uma solução abrangente de recuperação de desastres.

  • Telecomunicações:

Sistema Telefônico: Planos para o redirecionamento de linhas telefônicas e a configuração de sistemas temporários de telecomunicações são essenciais para manter a comunicação durante um desastre.

Intranet / Rede Interna: Garantir que a rede interna da empresa seja recuperável é crucial para a continuidade das operações.

Provedor de Internet (ISP): A continuidade do serviço de internet deve ser garantida, com backups ou alternativas prontas para serem ativadas em caso de falha do serviço principal.

Acesso Remoto: Planos para permitir o acesso remoto seguro para funcionários são fundamentais para garantir que o trabalho possa continuar, mesmo que o local físico esteja inacessível.

  • Conclusão e finalização

É fundamental não subestimar a continuidade dos negócios, pois a perda substancial de dados pode resultar no fechamento da empresa. A preparação antecipada e o envolvimento de provedores confiáveis de BCP (Plano de Continuidade de Negócios) e DRP (Plano de Recuperação de Desastres) são as melhores estratégias para garantir que a empresa esteja preparada para enfrentar qualquer emergência.

Sempre ter um plano nas mãos é um passo importante para a minimização dos impactos que um incidente pode trazer que, a depender do incidente, como dito anteriormente, podem resultar em sérios danos a organização podendo inclusive serem irreparáveis ou irrecuperáveis.

Posts relacionados

Carregar mais
  • +55 (34) 98437-5085
  • relacionamento@nuvemdatacom.com.br
  • Horário de funcionamento comercial:
  • Segunda à Sexta-feira, das 8h às 18h.
  • Av. Rondon Pacheco, 4600 - UBT - Sala 101, Tibery, Uberlândia - MG, 38405-142
Linkedin-in Instagram Youtube

Estrutura certificada.

TIA 942 (TIER 3)

Seguimos todas as melhores práticas da norma.

ISO/IEC 27001:2013

ISO/IEC 20000-1:2018

Solicite um orçamento



    Ao clicar em “Fale com um especialista” eu entendo e aceito que, durante o atendimento online, meus dados serão tratados de acordo com os termos de condições da Política de Privacidade da Nuvem Datacom.

    Entre em contato



      Ao clicar em “Fale com um especialista” eu entendo e aceito que, durante o atendimento online, meus dados serão tratados de acordo com os termos de condições da Política de Privacidade da Nuvem Datacom.