Business Continuity Plan o “anti-vírus” natural das organizações?

Queria apenas refletir sobre um desses paradigmas: o home office (teletrabalho), o qual, parte da população portuguesa, fruto da natureza da sua atividade profissional, conseguiu garantir. Para além das infraestruturas e tecnologias que o permitem fazer (postos de trabalho virtuais [VDI], redes de comunicações de alto débito [fibra óptica], ferramentas colaborativas, serviços OTT, VPNs, etc.) existe, obrigatoriamente, em idle mode e de forma silenciosa, todo um trabalho prévio de planeamento, definição estratégica, plano de acção, de dimensionamento de estruturas, testes de carga e recursos para garantir o business as usual das organizações ou pelo menos, a tentativa de mitigar o impacto de um cenário com este tipo de amplitude.

Esse conjunto de ações deverá estar previsto naquilo a que as organizações chamam de Business Continuity Plan (BCP). Deverá ser, claro e regularmente, acompanhado por ações que visam simular cenários de ameaça e de desastre, com o objetivo de testarem capacidade de resposta e eficiência do mesmo. 

Temas sensíveis como a segurança da informação e o respetivo nível de acesso à mesma, elevam ainda mais a fasquia sobre o nível da preparação e maturidade das organizações. Essa preparação, para além da óbvia vertente técnica, exige um esforço por parte das organizações em formar, sensibilizar e educar os seus colaboradores para agirem em conformidade com o mesmo – como se de um manual de boas maneiras se tratasse. 

A estrutura de um Business Continuity Plan deverá contemplar no seu conteúdo pelo menos estes 5 princípios:

- Análise de impacto no negócio: identificando processos críticos de negócio e respetivos recursos que o suportam.

- Identificar e classificar o tipo de ameaças possíveis: prever potenciais incidências/ameaças, permitindo obter um primeiro draft das medidas a tomar e possíveis ações de formação.

- Criar planos de contingência para a continuidade: aqui vão estar presentes as ações principais a serem tomadas para que a reativação dos processos core da organização possam acontecer.

- Definição de responsabilidades e atores principais: identificar na organização elementos chave na execução do plano, na realização de testes/ exercícios, preparação de ações de formação para se poder avaliar e preparar o estado de prontidão às ameaças identificadas. Estes elementos terão um papel determinante na execução efetiva do plano.

- Manutenção do plano: manutenção e revisão do plano de forma contínua. As empresas são orgânicas e as ameaças podem ter origens diversas. Este último ponto deve ser revisto de forma cíclica. A criação deste plano tem como objetivo, não apenas o da criação de um conjunto de documentos onde estão revistas ações, boas práticas e medidas de ação, mas sim o de poder criar um verdadeiro mindset naqueles que o vão executar. A antecipação, preparação, formação adequada e a rápida atuação dos principais interlocutores deste plano serão fundamentais no sucesso da sua execução. É, por isso, extremamente importante que este plano não esteja armazenado num local onde o seu acesso deixe de ser possível em situação de desastre.

Como parte integrante do Business Continuity Plan, podemos ainda encontrar o Disaster Recovery Plan, que tem como principal objetivo reativar, no menor curto espaço de tempo, as atividades core da organização de um incidente/ameaça, até que a situação possa ser normalizada.

É habitual vermos, nas organizações de média/grande dimensão, equipas especializadas (Departamento de Sistemas de Informação), que executam de forma regular, exercícios e testes que visam simular a capacidade de resposta das infraestruturas secundárias, que em situação de desastre/ameaça, serão ativadas para garantir a continuidade do negócio. Preocupações com os circuitos de comunicações alternativos, Datacenters fisicamente distantes uns dos outros, sistemas de Backup and Recovery, performance, sistemas de alimentação de energia, estão na lista das prioridades destas equipas.

Acredito que muitos de nós, tal como eu, não tenhamos feito esse exercício mental, quando, algures, num dia deste longo mês de março, ligámos de forma natural o PC/ Laptop à rede Wi-Fi das nossas casas, com o objetivo de vestir o papel do colaborador home office. A partir desse momento, pelo menos, uma de duas coisas pode ter acontecido: a primeira e a mais desejada, é o tal business as usual sem grandes percalços. A segunda, bem, se a organização não teve em consideração a criação do seu Business Continuity Plan e a sua aplicabilidade, quero acreditar que estará, neste momento, à procura de um bom antídoto que ofereça a menor quantidade de efeitos secundários ao seu negócio.”