Lista de Verificação do Plano de Continuidade de Negócios

A disruption or a disaster can happen when you least expect it. In fact, 80% of data center managers have experienced an outage in the past three years. Whether it is a cyber attack, ransomware infection, human error or natural disaster, lengthy downtime can have a detrimental impact on your organization’s operations.

Ter um plano robusto de continuidade de negócios (BCP) como parte da sua estratégia de gestão de riscos permite que você mantenha ou restaure rapidamente funções críticas em caso de interrupção. Um BCP também protege a infraestrutura da empresa e serve como um esboço que você pode seguir para responder adequadamente a um incidente.

Esta postagem lista os elementos essenciais da lista de verificação do plano de continuidade de negócios. Continue lendo para descobrir o melhor curso de ação que você deve seguir para retomar as operações com sucesso, com repercussões mínimas.

Por que Você Precisa de um Plano de Continuidade de Negócios

A business continuity plan (BCP) determines how an organization can continue delivering products and services during unplanned disruptions. The BCP is a detailed strategy that helps mitigate the impact of a disaster on day-to-day activities while keeping the production environment going.

A comprehensive BCP should tackle all potential threats that could endanger your employees, resources and operations, whether it is a power outage, a malware infection or a natural disaster. This is particularly important since all these events can cause downtime, which, in turn, results in financial loss, reputational damage or permanent closure.

O principal propósito do plano de continuidade de negócios é garantir a preparação para emergências, permitindo que sua equipe de resposta complete metodicamente as etapas necessárias antes, durante e após um cenário disruptivo. Empresas sem esta lista de verificação podem enfrentar dificuldades para manter processos de negócios normais e correm o risco de perder dados, sistemas ou clientes, muitas vezes irreparavelmente.

O Plano de Continuidade de Negócios em 7 Etapas

A lista de verificação de 7 etapas ajuda você a formular um quadro geral de prioridades que você pode desenvolver para criar um plano de continuidade de negócios adaptado à sua organização. Você pode incluir todos os procedimentos necessários para manter as operações comerciais durante uma crise. Tenha em mente que os detalhes exatos variam de uma empresa para outra, com base em diferentes aspectos, como tamanho do negócio, setor e tipo de ameaças.

O plano de continuidade de negócios padrão geralmente inclui as seguintes etapas:

1. Criar uma equipe de resposta a desastres
2. Identificar serviços comerciais essenciais
3. Realize a avaliação de risco e a análise de impacto nos negócios
4. Desenvolva um plano de recuperação
5. Estabeleça objetivos de recuperação e designe um local para DR
6. Garanta que todas as cargas de trabalho críticas para o negócio estejam protegidas
7. Teste e atualize seu plano de continuidade dos negócios

Vamos dar uma olhada mais de perto em cada um desses passos para entender por que eles são elementos importantes de qualquer lista de verificação de PCN.

1. Crie uma equipe de resposta a desastres

O primeiro passo na formulação de um plano de continuidade dos negócios é montar a equipe responsável por manter a empresa funcionando em caso de emergência. A equipe de PCN deve incluir membros de cada departamento envolvido nas operações diárias, e deve ter um gerente designado para liderar os esforços de planejamento da continuidade dos negócios.

Ao identificar o pessoal chave de PCN, você precisa criar uma lista extensa de desastres que representam a maior ameaça à sua organização para que você possa recrutar as pessoas certas. Diferentes tipos de emergências como falha no sistema de TI, interrupção de energia ou danos às instalações exigem membros da equipe com conhecimento e experiência específicos para lidar com eles de maneira adequada e rápida.

Crie uma tabela para registrar as informações necessárias sobre os membros da equipe de resposta, para que você possa contatá-los facilmente quando necessário. Sua tabela pode incluir o nome, cargo, função na equipe de resposta e informações de contato. Lembre-se de atribuir pelo menos um substituto para cada função na equipe. Isso permite evitar gargalos caso os delegados principais não consigam executar suas responsabilidades.

2. Identificar serviços essenciais de negócios

Um dos principais propósitos do plano de continuidade de negócios é ajudá-lo a identificar os processos, equipamentos e recursos que são essenciais para o funcionamento da sua organização. Estes são as funções e serviços de infraestrutura importantes em torno dos quais você deve construir seu PCN.

Esses serviços-chave e elementos de infraestrutura provavelmente incluem:

• Sistemas de energia e geradores
• Dispositivos de telecomunicação – WAN, LAN, telefones, computadores
• Sistemas de TI e servidores
• Infraestrutura e instalações do prédio
• Equipamentos especializados ou suprimentos críticos para o negócio

É crucial restaurar esses elementos o mais rápido possível em caso de interrupção para retomar suas operações e proteger seus ativos.

3. Realizar avaliação de riscos e análise de impacto nos negócios

Após identificar os principais serviços empresariais, você deve realizar uma avaliação de impacto de risco para descobrir as vulnerabilidades associadas aos sistemas, atividades e recursos essenciais. A avaliação de risco estima a probabilidade de cada ameaça e reflete a probabilidade do desastre ocorrer.

A análise de impacto nos negócios (BIA), geralmente conduzida em conjunto com a avaliação de risco, permite avaliar a criticidade e severidade do impacto nas operações do seu negócio. O objetivo principal da BIA é analisar os custos financeiros e operacionais que você incorreria caso o risco se materialize. Ela ajuda a determinar o nível de tolerância de processos importantes e dependências, como clientes e parceiros, se funções empresariais essenciais forem degradadas, interrompidas ou completamente paralisadas.

Aqui está uma tabela simplificada que você pode usar como modelo para começar a elaborar sua própria análise:

Processo de Negócios	Categoria de Impacto	Severidade	Tempo Máximo de Inatividade Tolerável (MTD)	Custos Estimados	Dependências

Observe que organizações com múltiplos locais devem realizar uma avaliação de riscos separada e uma BIA para cada local. Se esses locais estiverem geograficamente distantes, os desafios e riscos podem diferir. Um plano robusto de continuidade de negócios também considera as relações e dependências entre os diferentes locais.

4. Desenvolva um plano de recuperação

Uma vez que você tenha concluído os passos anteriores, é hora de criar um plano de recuperação que seja voltado para restaurar suas operações apos um desastre. Continuidade de negócios e recuperação de desastres vão mãos na mão, principalmente since o plano de recuperação de desastres (DR) é uma parte essencial do plano de continuidade de negócios. Para modelos de recuperação de desastres mais detalhados, baixe nosso documento branco gratuito Guia e Modelos de Recuperação de Desastres.

O plano de DR descreve as etapas técnicas que você precisa executar para restaurar seus serviços centrais o mais rápido possível. Note que o plano de recuperação não se limita a dados, já que deve incluir também máquinas, cargas de trabalho e processos.

Seu plano de recuperação pode aproveitar as seguintes estratégias, entre outras:

• Procedimentos de negócios alternativos – por exemplo, soluções de trabalho manual para processos mecanizados ou automatizados até que os sistemas estejam novamente online
• A secondary or alternate site to resume business operations
• Falha em cascata de rede e servidores em nível de site
• Recuperação de backups off-site de dados críticos para negócios
• Recursos “hot-spare” ou standby, que podem ser colocados em serviço imediatamente quando os componentes primários falham

O vídeo abaixo explica como você pode realizar uma recuperação de desastre completa usando o NAKIVO Backup & Replication.

5. Defina objetivos de recuperação e designe um local de DR.

O objetivo de tempo de recuperação ou RTO determina quanto tempo de inatividade do sistema de TI uma empresa pode razoavelmente tolerar antes que os processos ou serviços sejam restaurados. O objetivo de ponto de recuperação ou RPO define quanto perda de dados uma empresa pode tolerar. Tanto o RTO quanto o RPO são métricas importantes em qualquer plano de continuidade de negócios.

A designação de um site de recuperação de desastres (DR) para failover de rede/dados é crucial, pois fornece um substituto imediato caso seu site de produção primário fique offline. Além disso, ajuda a garantir que seus objetivos de recuperação sejam atendidos.

A instalação de DR localizada em uma localização geográfica diferente atua como uma cópia “pronta para uso” de seus recursos, como máquinas virtuais (VMs). No caso de uma falha em todo o site que derruba sua rede de produção, o tráfego pode ser redirecionado para a localização de DR. As VMs “prontas para uso” essencialmente se tornam cargas de trabalho de produção, restaurando as operações comerciais e garantindo a continuidade dos negócios de forma eficiente.

Você pode usar soluções avançadas de proteção de dados de terceiros para replicar VMs de produção para uma localização de DR fora do local e definir o intervalo de replicação para se alinhar com seu RPO. A VM de réplica é uma cópia exata da máquina original e pode ser usada em um processo de failover automatizado ao implementar seu plano de recuperação de desastres.

6. Garanta que todas as cargas de trabalho críticas para o negócio estejam protegidas

O impacto de um desastre pode ser significativamente mitigado ao proteger adequadamente os dados críticos para o seu negócio. Torne seus backups resilientes aplicando a regra 3-2-1: tenha no mínimo 3 cópias de segurança em 2 tipos diferentes de mídia de armazenamento, com pelo menos 1 cópia armazenada externamente.

Realize backup de dados empresariais seguindo a metodologia de backup 3-2-1 para alcançar os menores RPOs e RTOs possíveis. Isso também permite garantir que o mesmo desastre que afetou sua rede de produção não possa impactar também seus dados de backup.

7. Teste e atualize seu plano de continuidade de negócios

Assim que seu plano de continuidade de negócios estiver completo, é necessário realizar testes rigorosos. A melhor maneira de fazer isso é treinar seus funcionários para garantir que entendam completamente seus papéis e responsabilidades. Você não pode garantir a prontidão para emergências sem realizar treinamentos regulares e simulacros. Mais importante ainda, ao realizar simulações completas, você pode identificar e corrigir falhas em seu plano.

Certifique-se de seguir todos os procedimentos para simular o fluxo de um cenário real de desastre. Esses tipos de testes são melhor realizados trimestralmente, uma vez que os membros-chave da equipe permanecem familiarizados com o processo. Além disso, mudanças em sua infraestrutura, ambiente, protocolos, cargas de trabalho e/ou força de trabalho podem introduzir complicações no plano. Esses problemas potenciais são frequentemente descobertos apenas durante os testes completos.

O plano de continuidade de negócios deve ser observado por um observador independente que possa fazer anotações de todas as vulnerabilidades. Deve haver debriefings após cada execução e, em seguida, você pode elaborar um relatório que documente as fraquezas observadas e as atualizações propostas. Os relatórios, bem como o plano de continuidade de negócios atualizado, devem ser compartilhados com todos os membros da equipe.

A Lista de Verificação do Plano de Continuidade de Negócios

Aqui está uma lista de verificação simplificada do PCN que permite passar pelas fases necessárias para garantir a preparação para emergências.

Criar uma equipe de resposta a desastres

• Atribuir gerente sênior de PCN
• Criar um comitê de continuidade de negócios
• Escolher membros da equipe de resposta
• Definir funções e responsabilidades
• Escolher delegados secundários para cada membro da equipe
• Estabelecer comunicação clara entre todos os membros

Identificar serviços essenciais de negócios

• Mapear todos os sistemas de energia
• Identificar dispositivos de telecomunicações
• Identificar sistemas e servidores de TI
• Identificar instalações e equipamentos especializados
• Identificar interdependência entre serviços
• Verificar os serviços de emergência

Realizar avaliação de riscos e análise de impacto nos negócios

• Identificar ameaças e vulnerabilidades
• Estabelecer tolerância ao risco
• Determinar processos de negócios críticos
• Calcular tempo máximo tolerável de inatividade para cada serviço
• Analise o impacto financeiro, legal, regulatório e para o cliente
• Identifique a interdependência entre funções críticas do negócio

Desenvolva um plano de recuperação              

• Crie seu plano de continuidade das operações (COOP)
• Elabore soluções manuais para processos automatizados
• Prepare-se para a falha de rede e servidor no nível do local
• Teste a recuperação de backups offsite de dados críticos
• Assegure-se de que recursos de reserva estejam disponíveis

Estabeleça objetivos de recuperação e designe um local de DR

• Designe um site secundário para retomar as operações comerciais
• Estabeleça objetivos de ponto de recuperação (RPO)
• Estabeleça objetivos de tempo de recuperação (RTO)
• Gerencie os processos de recuperação de desastres

Proteja os dados críticos do negócio

• Realize backups dos dados críticos do negócio
• Armazene os dados em dispositivos de armazenamento no local e fora do local
• Armazene backups air-gapped
• Habilite a imutabilidade para backups específicos

Teste e atualize seu plano de continuidade do negócio

• Realize testes anuais, semestrais, trimestrais
• Realize simulações completas de BCP anualmente
• Crie um processo de auditoria
• Identifique vulnerabilidades e atualize o plano
• Capacite seus funcionários

Conclusão

A business continuity plan checklist is essential to ensure that services can carry on smoothly while you recover the impacted workloads following a disruptive event. Organizations that fail to create a BCP risk suffering from major downtime and data loss which can cause irreparable financial and reputational damage.