Um Plano de Continuidade de Negócios (BCP) é um documento patrocinado e aprovado por executivos que fornece um roteiro de como uma organização reiniciará as operações no caso de um desastre imprevisto, natural ou causado pelo homem, como um furacão, incêndio ou violação de dados. Se ocorrer um desastre, sua empresa pode falhar sem um Plano de Continuidade de Negócios.
O que é um Plano de Continuidade de Negócios (Plano BCP)?
Toda organização, grande ou pequena, deve ter um plano de continuidade de negócios (BCP) testado. Em caso de desastre, a falta de um plano causa caos e pode levar a ferimentos e morte de funcionários, danos à reputação da empresa, multas por não conformidade, funcionários improdutivos, perda de receita e perdas financeiras. Ter um plano versus não ter um plano significa a diferença entre voltar aos negócios ou fechar os negócios. Na verdade, 75% das empresas sem um BCP falham dentro de três anos após um desastre. De acordo com um relatório publicado pela Agência Federal de Gerenciamento de Emergências (FEMA), 40% das pequenas empresas não reabrem após um desastre e outras 25% falham em um ano.
O que acontece sem um Plano de Continuidade de Negócios (Plano BCP)?
Como proprietário ou executivo de uma empresa, você deve entender quanto pode custar à sua empresa se as operações cessarem. Por exemplo, a International Data Corporation (IDC) relata estes custos típicos para uma empresa Fortune 1000:
- O custo total médio do tempo de inatividade não planejado do aplicativo é de US$ 1,25 bilhão a US$ 2,5 bilhões por ano
- O custo médio por hora de uma falha de infraestrutura é de US$ 100.000 por hora.
- O custo médio de uma falha crítica de aplicativo por hora é de US$ 500.000 a US$ 1 milhão
Para pequenas e médias empresas (SMBs), o custo estimado do tempo de inatividade varia de várias centenas a muitos milhares de dólares por minuto. Quanto pode custar à sua empresa depende da natureza e tamanho do seu negócio. Você precisa levar em consideração todos os itens a seguir para calcular quanto custará se sua empresa encerrar as operações:
- Receita perdida
- Diminuição da produtividade dos funcionários
- Funcionários estressados, especialmente mão de obra de TI
- clientes insatisfeitos
- Danos à marca
- Penalidades legais potenciais de não conformidade regulatória
- Níveis de serviço comprometidos (internos e externos)
Quem deve estar envolvido no planejamento de continuidade de negócios?
Um Gerente de Continuidade de Negócios (BCM) é inicialmente identificado para montar a equipe e liderar o desenvolvimento do plano. Esse indivíduo deve ter o apoio nos níveis mais altos de uma organização para ser bem-sucedido. Isso significa que o programa deve ter um patrocinador executivo e envolvimento da alta administração por meio de um Comitê Diretor. A experiência demonstra que os programas BCP com patrocínio executivo têm maior probabilidade de atingir seus objetivos de tempo de recuperação (RTOs) do que aqueles sem patrocínio executivo.
O BCM seleciona indivíduos de toda a organização para se juntarem à equipe. As seleções são feitas com base na análise de quais tipos de imprevistos podem ocorrer, sejam desastres naturais ou eventos relacionados ao clima, incêndios, ameaças aos funcionários ou ao perímetro das instalações, sabotagem, greve de funcionários, eventos de TI, falhas de equipamentos, software malicioso ataques, violações de dados, problemas de segurança dos funcionários, interrupções na cadeia de suprimentos, falta de energia, danos à propriedade, roubo de propriedade, problemas de segurança do produto, agitação social ou ataques terroristas, escândalos relacionados à administração ou à reputação da empresa, morte ou saída inesperada de um alto executivo.
Os membros da equipe BCP normalmente incluem:
- Patrocinador executivo
- Gerente de Continuidade de Negócios
- Oficial de segurança
- Diretor de Informação
- Principais fornecedores e parceiros
- Líderes específicos do departamento, que incluem: Finanças Gerenciamento de riscos/conformidade Atendimento ao cliente Gerenciamento de instalações Relações públicas e comunicações com funcionários Recursos humanos Manufatura/Distribuição Operações de tecnologia da informação Logística
Qual é a diferença entre continuidade de negócios e recuperação de desastres de TI?
Embora a maioria das pessoas fale sobre continuidade de negócios e planejamento de recuperação de desastres ao mesmo tempo, são planos diferentes.
Um Plano de Continuidade de Negócios fornece a direção para garantir que a organização mantenha ou retome os negócios após um desastre, estabelecendo objetivos de ponto de recuperação (RPOs) e RTOs para retomar as operações da empresa. Ele mapeia processos e procedimentos para ativar a evacuação de emergência e o próprio plano e identifica papéis, responsabilidades e contatos. Ele garante que os funcionários tenham um local seguro e temporário para trabalhar (se necessário) com acesso aos sistemas, aplicativos e telefones para realizar seus trabalhos. Ele garante que os principais processos de negócios estejam funcionando, as comunicações internas e externas sejam retomadas, o site esteja funcionando e outras operações cruciais continuem ininterruptas.
Um Plano de Recuperação de Desastres de TI é um subconjunto do Plano de Continuidade de Negócios geral. Este plano visa recuperar serviços de tecnologia como sistemas, redes e dados para as “mesas dos funcionários”. O Plano de Continuidade de Negócios assume o controle para que os funcionários voltem ao trabalho em suas “mesas” com todas as outras ferramentas de que precisam para retomar as operações comerciais normais.
Se precisar de ajuda para desenvolver um plano de recuperação de desastres de TI, baixe “Como fazer um orçamento eficaz para a recuperação de desastres de TI”. Este documento discute a preparação para riscos de TI e fornece uma abordagem direta de orçamento para estimar o custo da recuperação de desastres eficaz e da continuidade de TI para sua infraestrutura exclusiva.
Erros ao fazer um plano de continuidade de negócios
Existem vários erros que podem ser cometidos ao criar um plano de continuidade de negócios. Aqui estão alguns:
TI e negócios não estão alinhados
Você é proprietário de uma PME. Sua organização desenvolveu um plano de continuidade de negócios no ano passado. Hoje, você pediu uma cópia do plano para revisão. Ao ler o plano, você ficou surpreso ao ver que o RTO para e-mails executivos é de 24 horas. Você não se lembra de ninguém na equipe perguntando sobre isso. Você e seus gerentes pensaram que o sistema de e-mail estaria disponível quatro horas após um desastre. Você se perguntou por que você e outros gerentes não foram consultados e se existem outras partes do negócio com requisitos que não são abordados no escopo do plano de continuidade de negócios.
Primeiro, a equipe de gerenciamento deve estar envolvida em qualquer iniciativa de planejamento de continuidade de negócios para ser eficaz. Além disso, a equipe de BCM deve incluir tomadores de decisão selecionados de outros departamentos da empresa, bem como associados financeiros, representantes de atendimento ao cliente, fornecedores-chave e pessoal de TI. Esses indivíduos devem estar ativamente engajados para garantir que o plano de continuidade de negócios e as atividades estejam alinhados com os objetivos da organização. Eles devem ser capazes de tomar decisões sobre estratégias de continuidade de negócios para seu departamento, bem como para o negócio como um todo. Cada membro da equipe deve reservar um tempo para entender as operações da organização, incluindo seus produtos e serviços e como eles são entregues. Com esse conhecimento,
O BCP não é testado
Você pediu à sua equipe uma cópia do relatório de teste do plano de continuidade de negócios. Você descobre que o plano nunca foi testado. Um plano não testado é quase tão ruim quanto não ter nenhum plano. Sem testes contínuos, não há garantia de que o plano garantirá que sua empresa se recupere de um desastre.
Em um artigo recente, Christopher Britton, diretor de operações da RockDove Solutions, sugere que todo plano seja executado da seguinte forma:
- Uma revisão da lista de verificação, que é uma verificação de alto nível de cada elemento do plano, deve ser realizada duas vezes por ano.
- Uma simulação de emergência, que requer a participação de todas as partes interessadas, deve ser realizada uma vez por ano. Isso reforça o papel de cada participante no caso de um desastre e garante que o plano funcione.
- Uma revisão de mesa deve ser realizada a cada dois anos. Nesse tipo de revisão, o pessoal-chave que recebe funções e responsabilidades de gerenciamento de emergência é reunido para discutir situações de emergência simuladas.
- Uma revisão abrangente deve ser realizada a cada dois anos ou quando houver mudanças significativas na organização, como uma grande mudança na infraestrutura de TI, uma fusão ou outra mudança importante nas operações de negócios. Esse tipo de revisão oferece às partes interessadas a oportunidade de revisar o plano atual para identificar novos riscos e atualizar o plano de acordo.
- Um teste de recuperação simulada deve ser realizado a cada dois ou três anos. Com esse tipo de revisão, o plano é totalmente testado para identificar eventuais lacunas, ajudar os funcionários a desempenhar suas funções e garantir que a organização possa se recuperar de acordo com os RTOs e RPOs planejados.
O BCP está desatualizado
Como sua equipe desenvolveu a versão inicial do plano de continuidade de negócios, você percebe que virtualizou parte do seu ambiente de TI e pergunta se o plano inclui essas mudanças na infraestrutura de TI. Você é informado de que o plano não foi atualizado.
Um plano de continuidade de negócios deve ser atualizado sempre que a organização introduzir uma mudança nas operações que introduza novas categorias de riscos. As partes interessadas devem se reunir regularmente para discutir mudanças nos negócios que possam afetar o plano.
Novas ameaças não são consideradas em sua solução BCP
Você sempre precisa atualizar seu plano para lidar com qualquer novo risco e ameaça cibernética, pois uma nova ameaça pode ser tão destrutiva quanto os outros desastres que seu plano já inclui. Durante o primeiro semestre de 2021, quatro em cada cinco organizações sofreram uma violação de segurança cibernética originada de uma vulnerabilidade em seus ecossistemas de fornecedores terceirizados. Embora você possa acreditar que seu SMB é “muito pequeno para atingir”, você corre o risco de ataques automatizados e de cadeia de suprimentos cada vez maiores direcionados a seus provedores de serviços de TI.
As PMEs são um dos alvos mais atraentes para um ataque cibernético. Os invasores sabem que as PMEs estão “em negação” quando se trata de ameaças cibernéticas, e muitas não tomam as medidas adequadas para proteger e proteger seus sistemas e dados. Isso por si só torna as SMBs um alvo principal para um ataque.
É importante que os planos de continuidade de negócios e recuperação de desastres tenham um forte foco na segurança cibernética para que a empresa possa ter certeza de que a organização sobreviverá a um ataque e poderá fazê-lo rapidamente.
Se você não tem um plano de continuidade de negócios, comece hoje
Se você não é um executivo da empresa, sua primeira ação é obter patrocínio executivo para um BCP. Para começar, encaminhe este artigo a todos os seus executivos para iniciar a discussão. Uma vez que haja patrocínio executivo, considere contratar um consultor para auxiliar no desenvolvimento de seu plano, se seu orçamento permitir. Como alternativa, pesquise online um modelo de plano para download que pode ajudar a orientá-lo no processo.
Considere e priorize os tipos de desastres que mais comumente afetam seu tipo de negócio e formule seu plano para lidar com eles primeiro. Mais importante ainda, certifique-se de testar o plano regularmente para garantir que você tenha processos de trabalho em vigor para mitigar possíveis desastres.
Depois de elaborar seu Plano de Continuidade de Negócios, lembre-se de que, assim como seu negócio evolui continuamente, seu plano também deve evoluir.
Então você precisa de um Plano de Continuidade de Negócios
Um Plano de Continuidade de Negócios é vital para manter seus negócios funcionando caso ocorra um desastre. E esteja avisado, o desastre acontecerá. Se você ainda não tem um plano e ainda não experimentou nenhum tipo de desastre, considere-se com sorte. Nenhuma empresa está imune a desastres naturais, como incêndios ou catástrofes climáticas extremas. Talvez mais importante, os desastres causados pelo homem – ransomware , malware e outros ataques de hackers a dados corporativos – estão aumentando em um ritmo alarmante. Toda empresa precisa tomar medidas proativas para se proteger contra possíveis desastres. Tão importante quanto isso, toda empresa precisa se preparar para voltar aos negócios quando, e não se, ocorrer um desastre. Para fazer isso, você precisa de um BCP testado e atualizado, incluindo um backup eficaz e bem documentado estratégia.
Se você não tem um BCP, precisa começar a criar um hoje, se não antes.
Como a Xtech Solutions e a nossa solução Endpoint Protection Cloud pode proteger qualquer empresa – Uma solução completa de continuidade de negócios
Tão importante quanto um plano de continuidade de negócios e recuperação de desastres, toda empresa deve ter a solução de segurança cibernética certa para garantir as operações de negócios, mesmo após a falha.
O Endpoint Protection Cloud oferece às PMEs e grandes organizações:
- Gerenciamento de segurança cibernética e proteção de endpoint, avaliações de vulnerabilidade e gerenciamento de patches, área de trabalho remota e integridade da unidade
- Proteção completa baseada em inteligência de máquina (MI) de próxima geração contra malware, incluindo filtragem de URL e verificação automatizada de backup
- Recuperação rápida e confiável de seus aplicativos, sistemas e dados em qualquer dispositivo, de qualquer incidente
Endpoint Protection Cloud utiliza uma abordagem revolucionária para proteção cibernética. Ao integrar a proteção de dados com a segurança cibernética, essas soluções eliminam a complexidade, oferecem melhor proteção contra as ameaças atuais e maximizam a eficiência economizando tempo e dinheiro.
O Endpoint Protection Cloud capacita sua empresa com backup integrado, recuperação de desastres, anti-malware de última geração, segurança de e-mail, gerenciamento de proteção de endpoint, avaliação de vulnerabilidade e recursos de gerenciamento de patches para detectar e eliminar ameaças antes que danifiquem os ambientes de seus clientes. É a única solução que integra nativamente segurança cibernética, proteção de dados e gerenciamento de proteção de endpoint para proteger os endpoints, sistemas e dados de seus clientes. Essa sinergia elimina a complexidade, para que sua empresa possa mitigar/eliminar melhor os riscos para os clientes, mantendo os custos baixos. Ele fornece:
- O melhor backup e recuperação do setor com backup e recuperação de imagem completa e em nível de arquivo para proteger os dados em mais de 20 cargas de trabalho – com RPOs e RTOs próximos de zero.
- Proteção cibernética essencial sem custo adicional com um mecanismo de detecção comportamental de última geração que interrompe malware, ransomware e ataques de dia zero nos terminais e sistemas de seus clientes.
- Gerenciamento de proteção desenvolvido para MSPs para permitir investigações pós-incidente completas e correção adequada.
A sua empresa também podem expandir seus serviços ainda mais com pacotes de proteção avançados e recursos exclusivos de proteção cibernética, permitindo que eles controlem seus custos pagando apenas pelas funcionalidades de que seus clientes precisam. Os pacotes avançados incluem:
- Antimalware de última geração, que usa tecnologias baseadas em inteligência de máquina (MI) para evitar malware emergente/novo, juntamente com um mecanismo baseado em assinatura para detecção rápida de malware conhecido
- Monitoramento de ameaças globais e alertas inteligentes e acionáveis dos Centros de Operações de Proteção Cibernética (CPOC) da Xtech Solutions para que você possa se manter bem informado sobre malware, vulnerabilidades, desastres naturais e outros eventos globais que podem afetar a proteção de dados de seus clientes, para que você possa tomar as medidas recomendadas ações para protegê-los. Por exemplo, isso pode resultar em backups mais frequentes, verificações mais profundas ou instalações concretas de patches
- Backup forense que permite coletar dados de evidências digitais, incluí-los em backups em nível de disco que são armazenados em um local seguro para protegê-los de ameaças cibernéticas e usá-los para investigações futuras
- Gerenciamento de patches para Microsoft e mais de 230 aplicativos de terceiros no Windows, permitindo que você agende facilmente ou implante manualmente patches para manter os dados de seus clientes seguros
- Integridade da unidade (disco rígido) usando tecnologia baseada em MI para prever problemas de disco e alertá-lo para tomar medidas preventivas para proteger os dados de seus clientes e melhorar o tempo de atividade
- Coleta de inventário de software com varreduras automáticas ou sob demanda para fornecer visibilidade profunda do inventário de software de seus clientes
- Coleta de inventário de hardware para saber quantos dispositivos seu cliente precisa proteger
- Aplicação de patches à prova de falhas gerando um backup de imagem dos sistemas de seus clientes para facilitar a recuperação caso um patch torne o sistema de seu cliente instável
- Proteção para mais de 20 tipos de carga de trabalho em um único console, incluindo Microsoft Exchange, Microsoft SQL Server, clusters Oracle DBMS Real Application e SAP HAN
- Um mapa de proteção de dados que rastreia a distribuição de dados nas máquinas de seus clientes, monitora o status de proteção de arquivos e usa os dados coletados como base para relatórios de conformidade
- Proteção contínua de dados que garante que você não perderá as alterações de dados de seus clientes feitas entre backups agendados
A recuperação avançada de desastres fornece orquestração de recuperação de desastres usando runbooks – um conjunto de instruções que definem como ativar o ambiente de produção de seu cliente na nuvem e fornecer recuperação rápida e confiável dos aplicativos, sistemas e dados de seus clientes em qualquer dispositivo, a partir de qualquer incidente.
A segurança avançada de e-mail bloqueia ameaças de e-mail, incluindo spam, phishing, comprometimento de e-mail comercial (BEC), malware, ameaças persistentes avançadas (APTs) e vulnerabilidades de dia zero antes que cheguem aos usuários finais Microsoft 365, Google Workspace, Open-Xchange ou em -caixas de correio locais.