Todos os anos, diversas empresas sofrem com desastres que impactam a disponibilidade de seus sistemas e consequentemente a sua lucratividade. Podemos definir como desastres os eventos naturais, as ações do homem ou falhas de abastecimento sobre determinado elemento primordial para o funcionamento da organização.
Neste sentido, uma organização que depende de seus ativos de serviço para realizar suas atividades sofrerá um desastre caso ocorra uma falha de energia ou a indisponibilidade desses ativos devido a um ataque cibernético.
Desta forma, se o objetivo é evitar a interrupção das atividades de negócio, proteger os processos críticos e promover a sua rápida recuperação em caso de indisponibilidade, é fundamental planejar previamente o gerenciamento de continuidade dos negócios.
Podemos destacar dois elementos distintos, mas que possuem relação entre si e compõem o gerenciamento de continuidade dos negócios, são eles:
- Plano de Recuperação de Desastres (PRD)
Este elemento busca mitigar as consequências de um desastre de forma imediata, fazendo com que os colaboradores ou ativos de serviço retornem às suas posições ou sejam restabelecidos em pouco tempo após a ocorrência do desastre.
- Plano de Continuidade de Negócio (PCN)
Já o PCN possui maior abrangência, pois é acionado em casos de interrupções que perduram por maior tempo, sendo necessária a adoção de local ou sistema alternativo diferente daquele usualmente utilizado pelos colaboradores com o intuito de manter a organização funcionando, ainda que parcialmente, desde o momento do desastre até a sua recuperação como um todo.
A implementação de um programa de gerenciamento de continuidade dos negócios passa por algumas etapas, dentre elas a identificação de processos e serviços críticos para a organização, a realização de uma análise de impacto sobre as consequências de determinado desastre e a elaboração de um plano de continuidade para restabelecer seus serviços.
O impacto de uma indisponibilidade pode variar de acordo com os serviços ou sistemas que estão indisponíveis e até mesmo os horários daquela indisponibilidade, pois uma empresa que não opera seus serviços e sistemas durante a madrugada não sofrerá impacto caso ocorra uma indisponibilidade durante aquele período.
Todavia caso a indisponibilidade perdure até o momento de início da execução de serviços e processos, este sim pode se tornar um desastre caso não seja possível tal início em decorrência da inatividade.
Um exemplo de acionamento do plano de recuperação de desastres ocorreu em 2017, com a gigante dinamarquesa do ramo logístico Maersk, que em decorrência de um ataque de ransomware teve transtornos na operação de 76 unidades portuárias espalhadas pelo mundo. Contudo, diante da indisponibilidade de seu sistema a empresa acionou seu plano de recuperação restabelecendo suas operações em tempo aceitável diante das circunstâncias daquele ataque cibernético.
Em meio aos abalos financeiros, a elaboração de um programa de gerenciamento de continuidade dos negócios e a transparência perante os stakeholders podem ter resultados benéficos, minimizando e até neutralizando uma possível crise reputacional.
Cabe ressaltar que a necessidade de testes regulares e conscientização dos funcionários são medidas fundamentais para o sucesso de ambos os planos e redução dos impactos causados por determinado desastre.
Para saber mais sobre este e outros temas relacionados à privacidade e proteção de dados pessoais, a equipe do Assis e Mendes possui especialistas prontos para atender as necessidades de sua empresa. Entre em contato conosco pelo site www.assisemendes.com.br.
Alan Farias é advogado da equipe de Privacidade e Proteção de Dados do Assis e Mendes. Tecnólogo em Redes de Computadores pela PUC-Campinas. Certificações: ISFS –Information Security Foundation based on ISO/IEC 27001 e ITIL Foundation Certificate in IT Service Management – EXIN.