Como Fazer: Âmbito Eficaz do Seu Programa de Continuidade de Negócios

No início do desenvolvimento de um programa de continuidade de negócios, uma delimitação cuidadosa e pragmática do âmbito pode ser a diferença entre ganhos rápidos e apropriados e um esforço de planeamento sem fim com pouca capacidade. As organizações normalmente constroem programas devido a requisitos do cliente e/ou regulamentares; no entanto, em vez de dedicarem o seu tempo a dar um âmbito cuidadoso e priorizar o esforço de continuidade do negócio (e fornecer recursos em conformidade), as organizações adoptam frequentemente uma abordagem de "tudo ou nada" ao planeamento - planear para cada "caixa no organograma", cada instalação, cada aplicação, e cada recurso. Muitas organizações não se apercebem de que a continuidade do negócio pode, e muitas vezes deve, abordar inicialmente os produtos e serviços mais críticos/críticos de uma organização, expandindo-se para outras partes da organização ao longo do tempo.

Um âmbito apropriado permite a uma organização planear eficientemente um incidente perturbador. Além disso, a delimitação eficaz do âmbito permite a uma organização dar prioridade a produtos e serviços críticos durante a implementação inicial da continuidade do negócio e expandir o programa para áreas menos críticas ao longo do tempo. Idealmente, uma organização define o âmbito da continuidade de negócios com base nos seguintes factores, que são discutidos com mais detalhe durante o resto deste posto:

1. Requisitos das partes interessadas
2. Produtos e Serviços
3. Apetite de risco

Compreender os requisitos
Mais importante ainda, um programa de continuidade de negócios com um escopo eficaz tem em conta as exigências das partes interessadas. As partes interessadas incluem clientes, reguladores, gestão, e outras partes interessadas. Cada grupo de partes interessadas tem expectativas, e para ser eficaz, a continuidade de negócios deve abordar e proteger uma organização de violar estas expectativas. Por conseguinte, uma organização deve conceber o seu programa de continuidade de negócios para se proteger dos impactos da violação de requisitos chave como, por exemplo:

• Obrigações Contratuais (acordos de nível de serviço)
• Requisitos regulamentares
• Promessas do Cliente
• Compromissos dos Empregados
• Requisitos de Saúde/Segurança

Embora os requisitos variem muito com base numa série de factores, uma organização terá extrema dificuldade em estabelecer prioridades, quanto mais em construir e manter um programa eficaz de continuidade de negócios, sem compreender os seus requisitos. Além disso, uma vez entendidos os requisitos, uma organização pode documentar um conjunto específico e apropriado de objectivos de continuidade de negócios.

Definir Produtos e Serviços
Após compreender as suas obrigações e estabelecer objectivos de continuidade de negócio, uma organização pode avançar com o esforço de delimitação do âmbito, compreendendo e avaliando os seus produtos e serviços (resultados benéficos fornecidos por uma organização aos seus clientes, destinatários e partes interessadas - ISO 22301) entregues a cada grupo de partes interessadas relevantes. A definição de produtos e serviços é uma forma eficaz de gerir o esforço de delimitação do âmbito a um nível estratégico, porque os produtos e serviços são facilmente compreendidos pela direcção, empregados, reguladores e clientes. Eles criam valor! Depois de uma organização fazer um inventário dos seus produtos e serviços, deve determinar se uma interrupção de cada produto e serviço resultaria na incapacidade de cumprir os requisitos da organização e/ou objectivos de continuidade do negócio (como descrito acima), ou resultaria em consequências inaceitáveis. Esses produtos e serviços, que se interrompidos resultariam em obrigações não cumpridas ou consequências inaceitáveis, devem ser considerados no seu âmbito, juntamente com todos os departamentos, actividades e recursos de apoio.

Assim que a organização definir uma lista de produtos e serviços "in-scope", pode e deve recuperar o organigrama e começar a mapear departamentos ou unidades de negócio de volta a estes produtos e serviços (lembrando que todos os departamentos não serão incluídos). Este exercício permite que uma organização comece a compreender e a dar prioridade às áreas de negócio críticas que devem ser abordadas pela continuidade do negócio e também fornece uma visão do tempo e dos recursos necessários para implementar a continuidade do negócio. Quando esta actividade estiver concluída, uma organização deve ter uma compreensão dos produtos e serviços no âmbito, e uma lista ou "mapa" dos departamentos que apoiam ou entregam estes produtos e serviços.

O gráfico abaixo fornece uma ilustração da relação entre produtos e serviços, departamentos, actividades, e recursos. Nota: A avaliação recomenda a identificação de actividades e recursos durante a análise do impacto nos negóciose não durante o esforço de delimitação do âmbito.

Definir o apetite de risco
Neste ponto do esforço de delimitação do âmbito, uma organização deve ter uma compreensão clara dos requisitos e objectivos de continuidade de negócio, bem como um inventário inicial de produtos, serviços e departamentos no âmbito.

A actividade final no processo de delimitação do âmbito é definir o apetite de risco de uma organização (os impactos que uma organização não está disposta a tolerar ou que são considerados inaceitáveis). Para chegar a um consenso sobre este tópico, uma organização deve aproveitar a informação das duas actividades anteriores e apresentar a gestão com potenciais impactos associados à incapacidade de fornecer produtos e serviços no âmbito de aplicação. A gestão deve posteriormente dar orientações sobre quais os impactos inaceitáveis, para incluir a quantidade de tempo de inactividade que a organização está disposta a tolerar.

Embora os impactos potenciais variem entre organizações e indústrias, as seguintes categorias são um bom ponto de partida para compreender e definir os impactos potenciais associados a um incidente perturbador:

• Impactos regulamentares
• Impactos Legais e/ou Contratuais
• Impactos no cliente
• Impactos financeiros
• Impactos operacionais
• Impactos Reputacionais

Com base nas orientações fornecidas pela direcção, uma organização pode definir e documentar formalmente o seu apetite para o risco utilizando critérios que descrevem o impacto que é inaceitável. O tempo de inactividade associado a produtos e serviços, departamentos e recursos que possam exceder o apetite de risco de uma organização deve estar no âmbito do programa de continuidade do negócio.

Conclusão
Com base em requisitos e obrigações, na importância dos produtos e serviços da organização, e num apetite documentado pelo risco, uma organização pode documentar uma declaração formal de âmbito que estabelece os limites do esforço de continuidade do negócio.

As organizações encontram-se frequentemente a desenvolver, ou a tentar manter programas de continuidade de negócios, sem uma compreensão ou definição formal do âmbito do programa. Isto leva a uma série de questões, incluindo a má atribuição de recursos, objectivos de preparação mal definidos, incapacidade de manter estratégias de recuperação, e dificuldade em fazer cumprir a política. Uma delimitação eficaz do âmbito não só proporciona foco, como formaliza objectivos de continuidade do negócio, define produtos e serviços no âmbito e facilita o acordo sobre a apetência pelo risco.

Afirmado de forma simples, a delimitação eficaz do âmbito é uma das formas mais seguras de evitar (ou abordar) programas ineficazes de continuidade empresarial e alinhar o âmbito de um programa com as expectativas das partes interessadas.

A continuidade do negócio e o planeamento da recuperação de desastres informáticos é tudo o que fazemos. Se procura ajuda para construir ou melhorar o seu programa de continuidade de negócios, nós podemos ajudar.