Checklist do Plano de Continuidade de Negócios

Tutoriais

A disruption or a disaster can happen when you least expect it. In fact, 80% of data center managers have experienced an outage in the past three years. Whether it is a cyber attack, ransomware infection, human error or natural disaster, lengthy downtime can have a detrimental impact on your organization’s operations.

Ter um plano de continuidade de negócios (PCN) robusto como parte de sua estratégia de gerenciamento de risco permite manter ou restaurar rapidamente funções críticas no caso de uma interrupção. Um PCN também protege a infraestrutura da empresa e serve como um esboço que você pode seguir para responder adequadamente a um incidente.

Este post lista os elementos essenciais da lista de verificação do plano de continuidade de negócios. Leia para descobrir a melhor ação a ser tomada para retomar as operações com o mínimo de repercussões.

Por que você precisa de um Plano de Continuidade de Negócios

A business continuity plan (BCP) determines how an organization can continue delivering products and services during unplanned disruptions. The BCP is a detailed strategy that helps mitigate the impact of a disaster on day-to-day activities while keeping the production environment going.

A comprehensive BCP should tackle all potential threats that could endanger your employees, resources and operations, whether it is a power outage, a malware infection or a natural disaster. This is particularly important since all these events can cause downtime, which, in turn, results in financial loss, reputational damage or permanent closure.

O principal objetivo do plano de continuidade de negócios é garantir a preparação para emergências, permitindo que sua equipe de resposta complete metodicamente as etapas necessárias antes, durante e após um cenário disruptivo. Empresas sem esta lista de verificação podem lutar para manter processos de negócios normais e correm o risco de perder dados, sistemas ou clientes, muitas vezes irreparavelmente.

O Plano de Continuidade de Negócios em 7 Etapas

A lista de verificação em 7 etapas ajuda a formular uma estrutura geral de prioridades que você pode construir para criar um plano de continuidade de negócios adaptado à sua organização. Você pode incluir todos os procedimentos necessários para manter as operações de negócios durante uma crise. Tenha em mente que os detalhes exatos variam de uma empresa para outra com base em diferentes aspectos, como tamanho do negócio, indústria e tipo de ameaças.

O plano de continuidade de negócios padrão geralmente inclui as seguintes etapas:

  1. Criar uma equipe de resposta a desastres
  2. Identificar serviços de negócios essenciais
  3. Avaliar o risco operacional e fazer análise de impacto nos negócios
  4. Desenvolver um plano de recuperação
  5. Estabelecer objetivos de recuperação e designar um local de DR
  6. Assegurar que todas as cargas de trabalho críticas para o negócio estejam protegidas
  7. Testar e atualizar o seu plano de continuidade de negócios

Vamos examinar mais de perto cada um desses passos para entender por que são elementos importantes de qualquer checklist de BCP.

1. Criar uma equipe de resposta a desastres

O primeiro passo na formulação de um plano de continuidade de negócios é reunir a equipe responsável por manter a empresa funcionando em caso de emergência. A equipe de BCP deve incluir membros de cada departamento envolvido nas operações do dia-a-dia, e deve ter um gerente designado para liderar os esforços de planejamento de continuidade de negócios.

Ao identificar o pessoal chave do BCP, é necessário criar uma extensa lista de desastres que representam a maior ameaça para a sua organização para que você possa recrutar as pessoas certas. Diferentes tipos de emergências, como falha no sistema de TI, falta de energia ou danos às instalações, exigem membros da equipe com conhecimento e expertise específicos para lidar com eles de forma adequada e rápida.

Crie uma tabela para registrar as informações necessárias sobre os membros da equipe de resposta para que você possa contatá-los facilmente quando necessário. Sua tabela pode incluir o nome, cargo, função na equipe de resposta e informações de contato. Tenha em mente que você deve designar pelo menos um substituto para cada função na equipe. Isso permite evitar gargalos caso os delegados primários falhem em executar suas responsabilidades.

2. Identificar serviços essenciais de negócios

Um dos principais propósitos do plano de continuidade de negócios é ajudá-lo a identificar os processos, equipamentos e recursos que são críticos para o funcionamento da sua organização. Estas são as funções e serviços de infraestrutura importantes em torno dos quais você deve construir seu PCN.

Estes serviços essenciais e elementos de infraestrutura provavelmente incluem:

  • Sistemas de energia e geradores
  • Dispositivos de telecomunicação – WAN, LAN, telefones, computadores
  • Sistemas e servidores de TI
  • Infraestrutura e instalações do prédio
  • Equipamentos especializados ou suprimentos críticos para os negócios

É crucial restaurar esses elementos o mais rápido possível em caso de interrupção para retomar suas operações e proteger seus ativos.

3. Realizar avaliação de riscos e análise de impacto nos negócios

Após identificar os principais serviços empresariais, você deve realizar uma avaliação de impacto de risco para descobrir as vulnerabilidades associadas aos sistemas, atividades e recursos essenciais. A avaliação de risco estima a probabilidade de cada ameaça e reflete a probabilidade do desastre ocorrer.

A análise de impacto nos negócios (BIA), geralmente conduzida ao lado da avaliação de risco, permite que você avalie a criticidade e gravidade do impacto nas operações da sua empresa. O objetivo principal do BIA é analisar os custos financeiros e operacionais que você incorreria caso o risco se materialize. Isso ajuda a determinar o nível de tolerância de processos importantes e dependências, como clientes e parceiros, se as funções comerciais-chave forem degradadas, interrompidas ou completamente interrompidas.

Aqui está uma tabela simplificada que você pode usar como modelo para começar a elaborar sua própria análise:

Processo de Negócio Categoria de Impacto Severidade Tempo Máximo de Inatividade Tolerável (MTD) Custos Estimados Dependências

Observe que organizações com múltiplos locais devem realizar uma avaliação de risco separada e uma BIA para cada local. Se esses locais estiverem geograficamente distantes, então os desafios e riscos podem ser diferentes. Um plano de continuidade de negócios robusto também considera os relacionamentos e dependências entre os diferentes locais.

4. Desenvolver um plano de recuperação

Depois de concluir as etapas anteriores, é hora de criar um plano de recuperação que gire em torno da restauração de suas operações após um desastre. Continuidade dos negócios e recuperação de desastres andam de mãos dadas, especialmente porque o plano de recuperação de desastres (DR) é uma parte essencial do plano de continuidade dos negócios. Para obter modelos de recuperação de desastres mais detalhados, baixe nosso white paper gratuito Manual e modelos de recuperação de desastres.

O plano de DR descreve as etapas técnicas que você precisa executar para restaurar seus serviços principais o mais rápido possível. Tenha em mente que o plano de recuperação não se limita aos dados, pois também deve incluir máquinas, cargas de trabalho e processos.

Seu plano de recuperação pode aproveitar as seguintes estratégias, entre outras:

  • Procedimentos comerciais alternativos – por exemplo, soluções alternativas manuais para processos mecanizados ou automatizados até que os sistemas voltem a funcionar
  • A secondary or alternate site to resume business operations
  • Failover de rede e servidor no nível do site
  • Recuperação de backups externos de dados essenciais para os negócios
  • Recursos “hot-spare” ou de espera, que podem ser colocados em serviço imediatamente quando os componentes primários falharem

O vídeo abaixo explica como você pode executar uma recuperação completa de desastres usando o NAKIVO Backup & Replication.

5. Defina objetivos de recuperação e designe um site de DR

O objetivo de tempo de recuperação ou RTO determina quanto tempo de inatividade do sistema de TI uma empresa pode tolerar razoavelmente antes que os processos ou serviços sejam restaurados. O objetivo de ponto de recuperação ou RPO define quanto perda de dados uma empresa pode tolerar. Tanto o RTO quanto o RPO são métricas importantes em qualquer plano de continuidade de negócios.

A designação de um site de recuperação de desastres (DR) para falha de rede/dados é crucial, pois fornece um substituto imediato caso seu site de produção principal fique offline. Além disso, ajuda a garantir que seus objetivos de recuperação sejam alcançados.

A instalação de DR localizada em uma localização geográfica diferente atua como uma cópia “standby quente” de seus recursos, como máquinas virtuais (VMs). No caso de uma falha em toda a instalação que derrube sua rede de produção, o tráfego pode ser transferido para o local DR. As VMs “standby quentes” essencialmente se tornam cargas de trabalho de produção, restaurando as operações comerciais e garantindo a continuidade dos negócios de forma eficiente.

Você pode usar soluções avançadas de proteção de dados de terceiros para replicar VMs de produção em um local DR fora do local e definir o intervalo de replicação para se alinhar com seu RPO. A VM replicada é uma cópia exata da máquina original e pode ser usada em um processo de failover automatizado ao implementar seu plano de recuperação de desastres.

6. Garanta que todas as cargas de trabalho críticas para os negócios estejam protegidas

O impacto de um desastre pode ser significativamente mitigado ao proteger adequadamente seus dados críticos de negócios. Torne seus backups resilientes aplicando a regra 3-2-1: tenha no mínimo 3 backups em 2 tipos diferentes de mídia de armazenamento, com pelo menos 1 cópia armazenada externamente.

Realize o backup de dados empresariais seguindo a metodologia de backup 3-2-1 para alcançar os menores RPOs e RTOs possíveis. Isso também permite garantir que o mesmo desastre que afetou sua rede de produção não possa afetar seus dados de backup também.

7. Teste e atualize seu plano de continuidade de negócios

Assim que seu plano de continuidade de negócios estiver completo, é necessário realizar testes rigorosos. A melhor maneira de fazê-lo é treinar seus funcionários para garantir que entendam completamente seus papéis e responsabilidades. Você não pode garantir a preparação para emergências sem realizar treinamentos regulares e simulações. Mais importante ainda, ao realizar simulações completas, você pode identificar e corrigir falhas em seu plano.

Certifique-se de realizar todos os procedimentos para imitar o fluxo de um cenário de desastre real. Esses tipos de testes são melhor realizados trimestralmente, já que os principais membros da equipe permanecem familiarizados com o processo. Além disso, alterações em sua infraestrutura, ambiente, protocolos, cargas de trabalho e/ou força de trabalho podem introduzir complicações no plano. Esses obstáculos potenciais são frequentemente descobertos apenas durante execuções completas.

As simulações devem ser observadas por um observador independente que possa tomar notas de todas as vulnerabilidades. Deve haver debriefings após cada execução, então você pode elaborar um relatório que documenta as fraquezas observadas e as atualizações propostas. Os relatórios, bem como o plano de continuidade de negócios atualizado, devem ser compartilhados com todos os membros da equipe.

A Lista de Verificação do Plano de Continuidade de Negócios

Aqui está uma lista de verificação simplificada do PCN que permite passar pelas fases necessárias para garantir a prontidão para emergências.

Criar uma equipe de resposta a desastres

  • Atribuir gerente sênior do PCN
  • Criar comitê de continuidade de negócios
  • Escolher membros da equipe de resposta
  • Definir papéis e responsabilidades
  • Escolher delegados secundários para cada membro da equipe
  • Estabelecer comunicação clara entre todos os membros

Identificar serviços de negócios essenciais

  • Mapear todos os sistemas de energia
  • Identificar dispositivos de telecomunicação
  • Identificar sistemas e servidores de TI
  • Identificar instalações e equipamentos especializados
  • Identificar a interdependência entre os serviços
  • Verificar os serviços de emergência

Realizar avaliação de riscos e análise de impacto nos negócios

  • Identificar ameaças e vulnerabilidades
  • Estabelecer tolerância ao risco
  • Determinar processos de negócios críticos
  • Calcular o tempo máximo tolerável de inatividade para cada serviço
  • Analisar o impacto financeiro, legal, regulatório e sobre os clientes
  • Identificar a interdependência entre funções críticas do negócio

Desenvolver um plano de recuperação              

  • Criar seu plano de continuidade das operações (COOP)
  • Elaborar soluções manuais para processos automatizados
  • Preparar para falhas de rede e servidor no nível do site
  • Testar a recuperação de backups offsite de dados críticos
  • Garantir que recursos de reserva estejam disponíveis

Definir objetivos de recuperação e designar um site de DR

  • Designar um site secundário para retomar as operações comerciais
  • Definir objetivos de ponto de recuperação (RPO)
  • Definir objetivos de tempo de recuperação (RTO)
  • Gerenciar processos de recuperação de desastres

Proteger dados críticos para o negócio

  • Realizar backups de dados críticos para o negócio
  • Armazenar dados em dispositivos de armazenamento local e remoto
  • Armazenar backups em ambientes isolados
  • Permitir imutabilidade para backups específicos

Testar e atualizar seu plano de continuidade de negócios

  • Realizar testes anuais, semestrais e trimestrais
  • Realizar simulações completas do BCP anualmente
  • Criar um processo de auditoria
  • Identificar vulnerabilidades e atualizar o plano
  • Treinar seus funcionários

Conclusão

A business continuity plan checklist is essential to ensure that services can carry on smoothly while you recover the impacted workloads following a disruptive event. Organizations that fail to create a BCP risk suffering from major downtime and data loss which can cause irreparable financial and reputational damage.

Esta lista de verificação fornece o esquema para um plano de continuidade de negócios eficaz que pode ajudá-lo a resistir até mesmo aos piores cenários. Tenha em mente que um PCN não pode estar completo sem uma solução avançada de proteção de dados como o NAKIVO Backup & Replication. A solução NAKIVO inclui todas as ferramentas necessárias para realizar processos de backup e recuperação, automatizar fluxos de trabalho de DR e conduzir testes de DR não disruptivos para garantir que seus objetivos de recuperação sejam alcançados.

Source:
https://www.nakivo.com/blog/business-continuity-plan-checklist/