Logo no início do desenvolvimento de um programa de continuidade de negócios, uma definição de âmbito cuidadosa e pragmática pode ser a diferença entre conquistas rápidas e adequadas e um esforço de planeamento interminável com pouca capacidade. As organizações normalmente criam programas devido a requisitos regulamentares e/ou de clientes; no entanto, em vez de dedicarem tempo a definir e priorizar cuidadosamente o esforço de continuidade de negócios (e fornecer recursos em conformidade), as organizações adotam frequentemente uma abordagem de “tudo ou nada” ao planeamento – planear para cada “caixa no organograma”, cada instalação, cada aplicação e cada recurso. Muitas organizações não percebem que a continuidade de negócios pode, e muitas vezes deve, abordar inicialmente os produtos e serviços mais críticos/urgentes de uma organização, expandindo-se para outras partes da organização ao longo do tempo.

Um âmbito adequado permite que uma organização planeie eficientemente um incidente disruptivo. Além disso, a definição eficaz do âmbito permite que uma organização priorize produtos e serviços críticos durante a implementação inicial da continuidade de negócios e expanda o programa para áreas menos críticas ao longo do tempo. Idealmente, uma organização define o âmbito da continuidade de negócios com base nos seguintes fatores, que são discutidos com mais detalhes ao longo do restante deste artigo:

  1. Requisitos das partes interessadas
  2. Produtos e serviços
  3. Tolerância ao risco

Compreender os requisitos
Mais importante ainda, um programa de continuidade de negócios com um âmbito eficaz tem em conta os requisitos das partes interessadas. As partes interessadas incluem clientes, reguladores, gestão e outras partes interessadas. Cada grupo de partes interessadas tem expectativas e, para ser eficaz, a continuidade de negócios deve abordar e proteger uma organização de violar essas expectativas. Portanto, uma organização deve conceber o seu programa de continuidade de negócios para se proteger dos impactos da violação de requisitos-chave, tais como:

  • Obrigações contratuais (acordos de nível de serviço)
  • Requisitos regulamentares
  • Promessas aos clientes
  • Compromissos com os funcionários
  • Requisitos de saúde/segurança

Embora os requisitos variem muito com base numa série de fatores, uma organização terá extrema dificuldade em priorizar, quanto mais criar e manter um programa de continuidade de negócios eficaz, sem compreender os seus requisitos. Além disso, uma vez compreendidos os requisitos, uma organização pode documentar um conjunto específico e adequado de objetivos de continuidade de negócios.

Definir produtos e serviços
Após compreender as suas obrigações e estabelecer objetivos de continuidade de negócios, uma organização pode avançar com o esforço de definição do âmbito, compreendendo e avaliando os seus produtos e serviços (resultados benéficos fornecidos por uma organização aos seus clientes, destinatários e partes interessadas – ISO 22301) entregues a cada grupo de partes interessadas relevante. Definir produtos e serviços é uma forma eficaz de gerir o esforço de definição do âmbito a um nível estratégico, porque os produtos e serviços são facilmente compreendidos pela gestão, funcionários, reguladores e clientes. Eles criam valor! Depois de uma organização fazer um inventário dos seus produtos e serviços, deve determinar se uma interrupção de cada produto e serviço resultaria na incapacidade de cumprir os requisitos e/ou objetivos de continuidade de negócios da organização (conforme descrito acima) ou resultaria em consequências inaceitáveis. Esses produtos e serviços que, se interrompidos, resultassem em obrigações não cumpridas ou consequências inaceitáveis, devem ser considerados no âmbito, juntamente com todos os departamentos, atividades e recursos de apoio.

Depois de a organização definir uma lista de produtos e serviços “dentro do âmbito”, pode e deve recuperar o organograma e começar a mapear os departamentos ou unidades de negócios de volta para estes produtos e serviços (lembrando que nem todos os departamentos serão incluídos). Este exercício permite que uma organização comece a compreender e priorizar as áreas de negócios críticas que devem ser abordadas pela continuidade de negócios e também fornece informações sobre o tempo e os recursos necessários para implementar a continuidade de negócios. Quando esta atividade estiver concluída, uma organização deve ter uma compreensão dos produtos e serviços dentro do âmbito e uma lista ou “mapa” dos departamentos que apoiam ou entregam estes produtos e serviços.

O gráfico abaixo fornece uma ilustração da relação entre produtos e serviços, departamentos, atividades e recursos. Nota: A Avalution recomenda identificar atividades e recursos durante a análise de impacto no negócio, não durante o esforço de definição do âmbito.

Definir a tolerância ao risco
Neste ponto do esforço de definição do âmbito, uma organização deve ter uma compreensão clara dos requisitos e objetivos de continuidade de negócios, bem como um inventário inicial de produtos, serviços e departamentos dentro do âmbito.

A atividade final no processo de definição do âmbito é definir a tolerância ao risco de uma organização (os impactos que uma organização não está disposta a tolerar ou que são considerados inaceitáveis). Para chegar a um consenso sobre este tópico, uma organização deve aproveitar as informações das duas atividades anteriores e apresentar à gestão os potenciais impactos associados à incapacidade de entregar produtos e serviços dentro do âmbito. A gestão deve, subsequentemente, dar orientações sobre quais os impactos que são inaceitáveis, incluindo a quantidade de tempo de inatividade que a organização está disposta a tolerar.

Embora os potenciais impactos variem entre organizações e setores, as seguintes categorias são um bom ponto de partida para compreender e definir os potenciais impactos associados a um incidente disruptivo:

  • Impactos regulamentares
  • Impactos legais e/ou contratuais
  • Impactos nos clientes
  • Impactos financeiros
  • Impactos operacionais
  • Impactos na reputação

Com base nas orientações fornecidas pela gestão, uma organização pode definir e documentar formalmente a sua tolerância ao risco utilizando critérios que descrevem o impacto que é inaceitável. O tempo de inatividade associado a produtos e serviços, departamentos e recursos que possam exceder a tolerância ao risco de uma organização deve estar dentro do âmbito do programa de continuidade de negócios.

Conclusão
Com base nos requisitos e obrigações, na importância dos produtos e serviços da organização e numa tolerância ao risco documentada, uma organização pode documentar uma declaração de âmbito formal que estabelece os limites do esforço de continuidade de negócios.

As organizações muitas vezes desenvolvem, ou tentam manter programas de continuidade de negócios, sem uma compreensão ou definição formal do âmbito do programa. Isto leva a uma série de problemas, incluindo a má alocação de recursos, objetivos de preparação mal definidos, uma incapacidade de manter estratégias de recuperação e dificuldade em aplicar a política. A definição eficaz do âmbito não só proporciona foco, como também formaliza os objetivos de continuidade de negócios, define os produtos e serviços dentro do âmbito e facilita o acordo sobre a tolerância ao risco.

Simplificando, a definição eficaz do âmbito é uma das formas mais seguras de prevenir (ou abordar) programas de continuidade de negócios ineficazes e alinhar o âmbito de um programa com as expectativas das partes interessadas.

A continuidade do negócio e o planeamento da recuperação de desastres de TI é tudo o que fazemos. Se estás à procura de ajuda para criar ou melhorar o teu programa de continuidade do negócio, nós podemos ajudar.