Plano de Continuidade de Negócios: o que é e por que você precisa de um

Imagine, naquele agradável mundo pré-pandemia, que você — enquanto diretor de uma pequena empresa instalada em um simples escritório alugado — é notificado às 05h da manhã pelo responsável do prédio a respeito de um grave vazamento na tubulação de água do edifício. Por conta desse problema, o síndico sinaliza que sua equipe possivelmente será impedida de trabalhar ali até que o problema seja resolvido.

Pior ainda: imagine que o escoamento seja tão grande que acabe criando uma inundação e o seu andar é atingido, com água danificando seus computadores, impressoras e outros dispositivos de trabalho. Em ambos os casos, caso você não estivesse preparado para tal, veria sua empresa impossibilitada de trabalhar normalmente, seja pelos motivos “Indisponibilidade de local de trabalho” ou “Indisponibilidade de Infraestrutura de TI”.

Imaginar esse cenário é a forma mais simples e rápida de entender o que é e qual a necessidade de um Plano de Continuidade de Negócios. Trata-se de uma estratégia, apresentada e documentada de forma escrita, que estabelece diretrizes, normas e processos a serem adotados caso aconteça um desastre ou seja identificado um incidente que afete a operação normal de seu empreendimento.

Como você já deve ter percebido, garantir a continuidade de negócios é um objetivo que vai muito além da segurança cibernética: as operações de uma empresa podem ser afetadas por uma série de motivos, incluindo catástrofes naturais (fortes chuvas que impeçam a locomoção dos seus colaboradores, por exemplo), quedas de energia e até mesmo pandemias, como a que enfrentamos com o novo coronavírus (SARS-CoV2).

E na segurança da informação?

É importante lembrar, antes de prosseguirmos, que a Disponibilidade é um dos três grandes pilares da segurança da informação (junto com a Confidencialidade e a Integridade). Isso significa que a informação necessária para o exercício de seu core business — ou seja, a atividade primária de seu empreendimento — deve estar sempre disponível a quem lhe compete acessá-la, operá-la ou processá-la.

E é justamente por isso que o Plano de Continuidade de Negócios deve existir dialogando de forma íntima com qualquer Política de Segurança da Informação. Ao longo dos últimos meses, o que mais vimos foram casos de empresas inteiras sendo paralisadas por ataques de ransomwares, códigos maliciosos que “sequestram” as máquinas corporativas, trancafiando seu conteúdo e só liberando-as após o pagamento de um resgate em dinheiro.

Se você acha que isso só acontece com pequenas empresas, vale lembrar que multinacionais de diversos ramos — de fábricas automotivas a grupos de geração e distribuição de energia elétrica — sofreram com esse problema em 2020. 

Claro, a própria pandemia também criou dores de cabeça nesse sentido, com executivos quebrando a cabeça a respeito de como oferecer acesso, de forma segura, a colaboradores trabalhando remotamente. E o ransomware não é o único tipo de malware que pode causar interrupções no fluxo de trabalho: qualquer incidente que resulte na perda de informações pode atrasar as suas operações, afetando o pilar “Integridade”.

Quando for necessário remediar

É por esses motivos que você precisa de um Plano de Continuidade de Negócios com procedimentos bem específicos, que levem em conta a análise de riscos (o que pode acontecer com seus ativos de informação?), análise de impacto (de qual forma a eventual perda ou inacessibilidade de tais ativos pode impactar em sua operação?) e planejamento estratégico (quais ações e atitudes devem ser tomadas?).

O objetivo aqui é minimizar os prejuízos morais ou financeiros que horas, dias ou semanas de uma operação afetada por um determinado incidente possam criar para o seu empreendimento, transpondo crises da forma mais ágil possível e garantindo que sua equipe consiga continuar entregando o mínimo necessário para que sua empresa se mantenha ativa.

Isso inclui o uso de backups, a adoção de redundância para sistemas críticos e até mesmo procedimentos de investigação a respeito de incidentes para identificar os motivos pelos quais ele ocorreu (e como podemos evitar que isso se repita no futuro). Não é fácil pensar nos piores cenários que você pode enfrentar, sendo melhor prevenir do que remediar — porém, se prevenir não deu certo, é preciso saber de antemão qual remédio utilizar.