O que é continuidade de negócios? Tudo o que você precisa saber

A continuidade de negócios reúne pessoas e tecnologias para ajudar as organizações a se prepararem e superarem as interrupções das operações comerciais normais. O planejamento da continuidade de negócios engloba a recuperação de desastres, ou seja, a restauração dos serviços de TI após uma interrupção inesperada. No entanto, o seu objetivo é mais amplo. O objetivo de uma estratégia de continuidade de negócios é manter a empresa em funcionamento, independentemente de as operações serem afetadas por uma catástrofe não planejada, como um terremoto, ou por um evento planejado, como a aplicação de um grande patch de infraestrutura.

O que é continuidade de negócios?

Os líderes empresariais usam a continuidade de negócios como um paradigma para manter as operações, mesmo que em capacidade temporariamente limitada, no caso de interrupções inesperadas ou planejadas nos processos normais de negócios. Essas interrupções podem incluir desastres naturais, ataques cibernéticos, conflitos armados ou outros motivos de força maior, pandemias globais, falta de energia devido a tempestades ou inundações, falhas de infraestrutura, atividades de manutenção planejadas e até mesmo a saída inesperada de um colaborador inestimável. As tecnologias de computação em nuvem, como conteinerização e virtualização, podem ajudar a tornar as medidas de continuidade de negócios mais acessíveis para empresas de todos os portes.

Principais conclusões

• A continuidade de negócios envolve o desenvolvimento de processos com antecedência para manter a disponibilidade durante interrupções inesperadas ou planejadas nas operações normais.
• O planejamento de continuidade de negócios é uma metodologia para garantir que uma empresa tenha os processos em vigor para manter funções críticas.
• O planejamento da continuidade de negócios envolve a montagem de uma equipe, a avaliação dos riscos, a identificação das operações prioritárias e a garantia de que um plano de recuperação de desastres esteja em vigor para que a infraestrutura e os dados críticos de TI voltem a ficar online em tempo hábil.
• A continuidade de negócios não é uma proposta única. O plano deve ser praticado e testado regularmente para que as pessoas estejam familiarizadas com suas responsabilidades e para que as lacunas no plano possam ser identificadas e eliminadas.
• Uma nova geração de computação em nuvem, especialmente a conteinerização, tornou a continuidade de negócios e a recuperação de desastres mais eficientes e econômicas do que há 10 anos.

Continuidade de negócios explicada

As empresas normalmente adotam estratégias para impedir ameaças existenciais, como concorrentes bem estabelecidos, novos entrantes no mercado, mudanças repentinas no comportamento ou gosto dos clientes e mudanças tecnológicas.

No entanto, outra ameaça mais difícil para se planejar é um evento inesperado, geralmente temporário, que dificulta ou impossibilita que a empresa continue operando normalmente. Eventos naturais como furacões e ondas de calor prolongadas podem resultar na perda de energia elétrica usada para executar instalações ou serviços críticos de TI. Entidades criminosas ou estados-nação podem interromper as operações de TI ou manter os dados para resgate. Outros tipos de eventos, como o faleciomento ou a saída inesperada de funcionários importantes, interrupções na cadeia de suprimentos devido a guerras ou greves trabalhistas e boicotes de consumidores, são igualmente difíceis de planejar.

Portanto, empresas bem-sucedidas desenvolvem planos de continuidade de negócios para fornecer um modelo de como gerentes e outros funcionários devem reagir caso ocorram tais eventos extraordinários.

Por outro lado, as empresas que não têm planos de continuidade de negócios enfrentam riscos significativos. Mesmo considerando variáveis como setor, tamanho da empresa e tipo de negócio, tempo de inatividade da presença online de uma organização por si só pode custar entre US$ 2.300 e US$ 9.000 por minuto, e isso não leva em conta o custo dos danos à reputação e relacionamentos comerciais.

Por que a continuidade de negócios é importante para as empresas?

A maioria das empresas pode suportar a desaceleração ou a interrupção de suas atividades comerciais por um curto período de tempo, embora bancos, serviços públicos, prestadores de serviços de saúde e empresas de alguns outros setores não tenham esse luxo e precisem seguir os requisitos estatutários e garantir que possam retomar as operações normais quase imediatamente após uma interrupção.

Na maioria dos casos, independentemente dos requisitos regulamentares, as empresas não podem se dar ao luxo de sofrer uma interrupção prolongada de suas atividades porque até mesmo os clientes mais pacientes acabarão encontrando fornecedores alternativos. Na verdade, um evento de inatividade prolongado em um concorrente pode representar uma oportunidade para que outros no setor ganhem participação de mercado.

Ao planejar a continuidade de negócios, as organizações também devem considerar parceiros, fornecedores e cadeias de suprimentos sensíveis, onde as interrupções podem ter efeitos em cascata irreparáveis.

O que a continuidade de negócios inclui?

Em termos mais simples, a continuidade de negócios é a ideia de que uma organização continuará operando apesar de desastres, eventos, atos trágicos ou outras calamidades que interrompem temporariamente o curso normal dos negócios. Ela inclui:

• Avaliar funções como produção, atendimento ao cliente, vendas e marketing, e classificá-las por ordem de prioridade. Em uma emergência, sua organização talvez não consiga colocar todas as funções em funcionamento imediatamente, portanto, saber quais são as mais importantes para o sucesso é crucial para sobreviver aos primeiros minutos, horas e dias.
• Avaliar os principais fornecedores e prestadores de serviços quanto à sua adaptabilidade e flexibilidade. Certificar-se de que eles tenham seus próprios planos de continuidade de negócios e, no caso de provedores de TI, que tenham redundância, replicação de dados e outros processos de recuperação de desastres para garantir que sua empresa não sofra interrupções nas operações.
• Garantir que a organização esteja em conformidade com os padrões locais, nacionais e internacionais relevantes; isso é mais importante nos setores de finanças, saúde e serviços públicos.

O que está incluído em um plano de continuidade de negócios (BCP, Business Continuity Plan)?

Em sua forma mais básica, um plano de continuidade de negócios (PCN) é o simples reconhecimento, por parte da liderança, de que eventos disruptivos imprevistos, muitas vezes fora do controle da organização, ocorrerão inevitavelmente e que eles devem tomar medidas para garantir que a empresa possa continuar a fazer negócios, mesmo que em uma capacidade limitada por um curto período.

Um BCP deve incluir o plano de recuperação de desastres (DR), que, como o próprio nome sugere, é uma estrutura para recuperação de sistemas e, mais importante, dados após uma interrupção inesperada. Os eventos que podem causar essa interrupção incluem furacões ou tornados que derrubam a energia ou impossibilitam a viagem para os escritórios corporativos, conflitos armados que interrompem as cadeias de suprimentos, ataques cibernéticos que tornam os sistemas inoperantes e pandemias globais que forçam as pessoas a trabalhar em casa. No entanto, a causa mais comum de desastres é o erro humano, como um funcionário que cai em um esquema de phishing ou um administrador de banco de dados que não consegue aplicar um patch de software até que o sistema esteja comprometido.

E embora seja verdade que eventos futuros são impossíveis de prever, não estar preparado seria imprudente e contrário às leis e normas que regem muitos setores. Como Dwight D. Eisenhower, ex-presidente dos EUA e comandante supremo aliado na Europa durante a Segunda Guerra Mundial, observou: "Os planos são inúteis, mas o planejamento é indispensável".

Em outras palavras, eventos inesperados podem tornar os detalhes de muitos planos irrelevantes ou anacrônicos, mas o próprio processo de planejamento ajuda a preparar uma organização para o que vier a seguir. Eisenhower também disse: “Se você não gastou seu tempo planejando, não pode começar a trabalhar. Pelo menos não de forma inteligente”.

Ainda assim, a recuperação de desastres é fundamental, mas não o único componente essencial de um BCP eficaz. Um BCP abrangente deve incluir os seguintes elementos:

• Análise de impacto nos negócios. Determine quais funções e processos são críticos para a sobrevivência da organização e entenda o impacto caso sejam interrompidos. Essa análise deve ser contínua, mas é especialmente importante quando a empresa se expande para novos mercados de produtos ou áreas geográficas e quando acrescenta tecnologias essenciais, como um novo data center ou uma nova infraestrutura de nuvem. Por exemplo, uma empresa com operações importantes em áreas frequentemente atingidas por tempestades tropicais deve considerar construir ou alugar instalações em áreas fora da trajetória típica das tempestades.
• Plano de comunicação. Estabelecer canais de comunicação claros para as partes interessadas internas e externas a fim de fornecer informações oportunas e precisas durante uma crise.
• Bem-estar e segurança dos funcionários. Planeje recursos de trabalho remoto e priorize a saúde e a segurança dos funcionários e de suas famílias acima de tudo.
• Avaliação e gerenciamento de riscos. Avalie como os principais clientes, fornecedores ou outros parceiros dos quais a empresa depende podem reagir a interrupções repentinas nos negócios, como as cadeias de suprimentos podem ser afetadas, quais questões jurídicas podem surgir e qual será a exposição da organização a desastres naturais e outras interrupções.
• Resiliência da cadeia de suprimentos. Desenvolva estratégias para gerenciar o risco da cadeia de suprimentos, incluindo diversificar fornecedores e opções de fornecimento sempre que possível. Considere um cenário em que a empresa tenha que se mudar para um ou mais locais secundários.
• Treinamento e conscientização. Treine regularmente os funcionários sobre suas funções no caso de um desastre ou outra grande interrupção dos negócios para que eles se sintam confortáveis com os procedimentos e protocolos que devem seguir.

Crie um plano de continuidade de negócios

O planejamento da continuidade de negócios é essencial para a sobrevivência de uma organização no caso de um desastre natural ou de outra interrupção do curso normal dos negócios. De fato, cerca de 25% das empresas não reabrem após desastres, de acordo com a Agência Federal de Gerenciamento de Emergências dos EUA. As empresas devem tomar as seguintes medidas para criar um BCP eficaz:

1. Identifique um gerente de continuidade de negócios (BCM) e deixe claro que o BCM tem total apoio dos líderes seniores. Em grandes empresas, o BCM geralmente se reporta ao diretor financeiro.
2. O BCM deve montar uma equipe que represente as principais funções do negócio, como fabricação, vendas, atendimento ao cliente, TI, operações, recursos humanos e marketing.
3. Em seguida, essa equipe trabalha para identificar as áreas da empresa que são essenciais para as operações em andamento, como TI, infraestrutura de telecomunicações, gestão de edifícios, gestão de fornecedores e folha de pagamento, bem como os clientes que geram quantidades significativas de receita. Normalmente, as empresas vinculam seus planos de continuidade a duas métricas: um objetivo de tempo de recuperação (RTO) e um objetivo de ponto de recuperação (RPO). O RTO é o tempo máximo que deve levar para colocar sistemas críticos de TI novamente online. O RPO é a quantidade de dados que a empresa pode perder antes que sejam prejudicados além dos limites aceitáveis ​​determinados.
4. Crie uma lista das principais partes interessadas, incluindo suas informações completas de contato e áreas de responsabilidade. O BCM deve garantir que cópias físicas da lista sejam facilmente acessíveis em vários locais específicos. Em outras palavras, não presuma que as versões digitais da lista, ou qualquer outra coisa, estarão disponíveis durante uma interrupção.
5. Determine quais áreas de negócios têm prioridade no caso de uma interrupção e se as implementações atuais permitem a recuperação dentro do prazo de RTO declarado. Uma unidade de negócios ou equipe de linha de negócios precisa de um backup simples, replicação de dados para um local secundário ou proteção e recuperação de dados em tempo real? Por exemplo, se for determinado que a empresa não pode tolerar a perda de um site de e-commerce por mais de uma hora, mas a implementação atual desse site exigiria um tempo de recuperação de quatro horas, a equipe de TI talvez precise rearquitetar a página ou encontrar um novo provedor. Além disso, reconheça os riscos que a empresa está disposta a aceitar, pois a tentativa de minimizá-los sairia muito caro, e compense-os de outra forma, como, por exemplo, adquirindo uma apólice de seguro.
6. Crie planos de comunicação para a empresa como um todo e para cada área funcional. Certifique-se de que as principais partes interessadas estejam cientes desses planos e possam acessá-los em caso de interrupção.
7. Identifique locais, incluindo home offices, que possam ser usados ​​como locais de trabalho temporários caso os escritórios principais fiquem inacessíveis por longos períodos. Planeje disponibilizar dados e aplicações críticas o mais rápido possível nesses locais.
8. Analise os principais fornecedores e prestadores de serviços para garantir que eles tenham seus próprios BCPs em vigor para proteger sua empresa caso sofram uma interrupção significativa.
9. Pratique o plano orientando todas as partes interessadas sobre as etapas que devem ser seguidas em caso de interrupção. Defina um cronograma para testar esses planos pelo menos uma vez por ano para identificar e controlar alterações entre fornecedores, equipes ou instalações.

Por fim, os especialistas aconselham tornar as operações de recuperação o mais automatizadas possível, permitindo que as partes interessadas e os colaboradores se concentrem no plano geral de continuidade de negócios. Um exemplo é o uso de sistemas de failover que alternam automaticamente para servidores ou redes de backup em caso de falha. A automação aumenta as chances de um resultado positivo e previsível.

Teste um plano de continuidade de negócios

Os planos de continuidade de negócios são tão bons quanto os hábitos das pessoas que fazem uso deles. Embora seja quase impossível prever um desastre real, podemos simular um evento disruptivo para que a equipe possa praticar as ações que provavelmente terá de executar. Antes de qualquer teste, as partes interessadas precisam ter visto e assimilado o BCP.

Os testes devem avaliar os principais elementos do plano, inclusive os tempos de reação a quedas de energia e falhas de TI, a viabilidade dos sistemas de comunicação internos e externos e os procedimentos de alerta e ativação para os funcionários envolvidos.

Os testes não apenas familiarizam as pessoas com suas responsabilidades em caso de uma interrupção, mas também ajudam a identificar lacunas ou falhas no plano para que possam ser abordadas antes de uma emergência real.

As melhores práticas para esse tipo de teste incluem:

• Teste de mesa. Isso inclui reunir as principais partes interessadas em uma sala de conferência física ou virtual, descrever um evento disruptivo e, em seguida, pedir a cada uma delas que liste as ações que tomariam de acordo com o BCP que já devem ter lido.
• Teste passo a passo. Também conhecido como simulação de teste de recuperação de desastre, essa é uma versão mais abrangente do teste de mesa. Nele, os funcionários percorrem fisicamente os passos que seguiriam em caso de interrupção. Por exemplo, a equipe de gerenciamento de instalações demonstraria como garantiria que os geradores de backup estivessem funcionando, e alguém de TI usaria o documento de informações de contato para falar com o data center ou com o provedor de serviços em nuvem.
• Serviços de teste de terceiros. Os fornecedores externos testam como a equipe da sua organização e as principais partes interessadas estão preparadas para reagir a interrupções simuladas, incluindo ataques de ransomware e outros atos maliciosos. As empresas especializadas em segurança cibernética podem testar os funcionários para ajudar a garantir que eles não caiam em phishing ou outros truques psicológicos que podem resultar em violações dos sistemas de TI.

Os BCMs devem realizar testes pelo menos uma vez por ano e estabelecer um formato para que as partes interessadas compartilhem e revisem os resultados.

Padrões de continuidade de negócios

Os planos de continuidade de negócios em certos setores, principalmente serviços financeiros, serviços públicos e assistência médica, estão sujeitos a padrões locais, nacionais e/ou internacionais. Na verdade, mais de 120 regulamentações de gerenciamento de continuidade de negócios se aplicam a uma variedade de setores, de acordo com a DRI International, uma consultoria de recuperação de desastres sem fins lucrativos. Isso inclui as normas da Comissão de Valores Mobiliários, da Financial Industry Regulatory Authority e da Sarbanes-Oxley nos Estados Unidos, bem como a estrutura normativa internacional BASEL III para bancos e a ISO 22301 da International Organization for Standardization.

Outros padrões de continuidade de negócios incluem o SP 800-34 e 24762 do National Institute of Standards and Technology e o padrão NFPA 1600 da National Fire Protection Association dos EUA para gerenciamento de continuidade, emergência e crise. Outros regulamentos gerais sobre continuidade de negócios incluem o Regulamento Geral de Proteção de Dados da UE, que, por reger o armazenamento e a disseminação de dados, também é relevante para a continuidade de negócios.

Continuidade de negócios e recuperação de desastres

A continuidade de negócios e a recuperação de desastres estão intrinsecamente relacionadas. Ambos são planos organizacionais para sobreviver e se recuperar rapidamente de uma interrupção potencialmente catastrófica para os negócios, e ambos também estão intrinsecamente ligados à TI, considerando a dependência das empresas em relação à infraestrutura e às aplicações de TI.

Para citar apenas um exemplo de como todas as empresas se tornaram dependentes da TI, a maioria das instalações esportivas profissionais nos Estados Unidos não aceita mais pagamentos em dinheiro, o que significa que os sistemas informatizados de ponto de venda precisam estar operando para vender alimentos, bebidas, equipamentos, entre outros produtos.

Continuidade de negócios vs. recuperação de desastres

A ISO 22301 define continuidade de negócios como “procedimentos documentados que orientam as organizações a responder, recuperar, retomar e restaurar um nível predefinido de operações após a interrupção”. A recuperação de desastres é um subconjunto da continuidade de negócios que envolve a restauração de serviços de TI, incrementalmente, se necessário. Uma das principais diferenças entre continuidade de negócios e a recuperação de desastres, é que a continuidade de negócios considera todas as interrupções, inclusive as planejadas.

Tecnologia e continuidade de negócios

A continuidade de negócios depende de uma ampla variedade de fatores, incluindo o setor em que a organização opera e a natureza da própria interrupção. Mas na era da informação, quase toda a continuidade de negócios depende de algum nível de funcionalidade de TI. Portanto, é fundamental que as empresas se certifiquem de que possuem níveis adequados de infraestrutura redundante e replicação de dados, não apenas para dar suporte ao curso normal dos negócios, mas também para garantir que a empresa possa operar com eficiência suficiente durante um evento disruptivo.

Quanto mais curtos os RTOs e RPOs, melhor para a continuidade. No entanto, o custo de atingir qualquer RTO ou RPO aumenta à medida que o período para cumprir cada objetivo se torna mais curto. As escolhas arquitetônicas podem ajudar. Os líderes empresariais devem considerar o uso da computação em nuvem e, de forma ideal, de contêineres para isolar ainda mais os dados essenciais dos sistemas que sofreram interrupções. Eles também devem procurar provedores de serviços em nuvem com instalações de failover geograficamente diferentes.

Uma das vantagens da computação em nuvem, do ponto de vista da continuidade de negócios, é o que chamamos de “implementações luz piloto”, em que sites secundários ou cópias de cargas de trabalho corporativas podem ser tão pequenos quanto uma única máquina virtual (VM) ou contêiner. No caso de um failover, essa única VM ou contêiner pode, se necessário, iniciar um processo automatizado que permite que sua organização ative o restante da infraestrutura. E ao usar uma implementação piloto, as organizações precisam pagar apenas por esse único recurso, em vez de replicar um sistema inteiro.

Outra estratégia é a chamada arquitetura “azul-verde”, na qual, em vez de ter de quatro a seis ambientes redundantes para desenvolvimento e teste e um ambiente separado para a implementação de produção, a organização implementa apenas dois ambientes redundantes e distribuídos. Digamos que o ambiente “azul” seja a produção e o “verde” seja o desenvolvimento e os testes. Quando o desenvolvimento é concluído, o ambiente "verde" torna-se o ambiente de produção principal, e o ambiente "azul" é usado para desenvolvimento, teste e recuperação de desastres. E esse ciclo se repete.

Simplifique sua estratégia de continuidade de negócios com a Oracle Cloud Infrastructure

A Oracle torna mais simples e econômico o desenvolvimento de um plano abrangente de continuidade de negócios. Como a Oracle Cloud Infrastructure (OCI) foi desenvolvida depois de outras nuvens de hiperescala, ela foi criada para fornecer melhor eficiência e confiabilidade, menor latência e flexibilidade superior em comparação com nuvens concorrentes. Além dos contêineres, a OCI tem máquinas virtuais flexíveis, o que significa que as empresas podem comprar apenas a quantidade de potência de computação necessária. Outros provedores oferecem menos flexibilidade, exigindo que os clientes provisionem outras instâncias, o que lhes custa mais. A OCI tem várias regiões de nuvem separadas geograficamente em diversos países, permitindo que os clientes permaneçam em conformidade com os regulamentos de soberania de dados e, ao mesmo tempo, tenham locais diferentes para fins de continuidade de negócios.

Com base em décadas de experiência em desenvolvimento e feedback de clientes do mundo real, a Oracle desenvolveu as melhores práticas, chamadas de Oracle Maximum Availability Architecture (MAA). A Oracle MAA fornece o modelo para implementar soluções de alta disponibilidade, escalabilidade, recuperação de desastres e proteção de dados em ambientes do Oracle Database.

As melhores práticas da Oracle MAA, mantidas por uma equipe de desenvolvedores da Oracle, validam continuamente o uso integrado dos recursos de alta disponibilidade do Oracle Database, como o Oracle Real Application Clusters e o Oracle Data Guard, usando técnicas de engenharia do caos e outras metodologias de teste.

A Oracle MAA é ampliada ainda mais com o serviço Oracle Cloud Infrastructure Full Stack Disaster Recovery. A OCI Full Stack Disaster Recovery orquestra a transição de computação, bancos de dados e aplicações entre regiões da OCI de todo o mundo com um único clique. Os clientes podem automatizar as etapas necessárias para recuperar um ou mais sistemas de negócios sem redesenhar ou reprojetar infraestrutura, bancos de dados ou aplicações existentes e sem precisar de servidores especializados de gerenciamento ou conversão.

Além disso, o Oracle Autonomous Database e o Oracle Exadata Database Service têm redundância incorporada, o que significa que os clientes não pagam a mais pela replicação de dados dentro da mesma zona de disponibilidade.

As expectativas para a continuidade de negócios mudaram à medida que o cenário tecnológico evoluiu. Por exemplo, a maioria das empresas costumava pensar em RTOs em termos das chamadas aplicações de nível 1, mas as opções de computação em nuvem mais baratas, como as pilotos, significam que as organizações podem criar planos de continuidade de negócios para todas as suas aplicações.

Perguntas frequentes sobre continuidade de negócios

Quais são os 4 pilares da continuidade de negócios?

Em sua forma mais básica, a continuidade de negócios consiste em montar uma equipe focada neste tema, avaliar quais áreas da empresa correm mais risco durante um evento de interrupção, criar um plano para manter as operações em níveis minimamente viáveis e, em seguida, ensaiar e testar esse plano regularmente.

Qual ​​é a diferença entre continuidade de negócios e recuperação de desastres?

A continuidade de negócios é uma abordagem organizacional para garantir que uma empresa possa continuar operando de alguma forma durante qualquer interrupção, seja ela planejada ou não, enquanto a recuperação de desastres se concentra em fazer os sistemas de TI voltarem a funcionar.

Por que ter um BCP é importante?

As organizações que não têm planos de continuidade de negócios atualizados correm um risco maior do que aquelas que têm. Na pior das hipóteses, elas podem sair permanentemente do mercado devido a uma interrupção inesperada e significativa das operações normais, levando à perda de clientes e de dados. Corrigir isso pode custar muito caro.