Gestão de Continuidade do Negócio

    Depois de estudar isso, eu oficialmente ODEIO listas. TEM LISTA DEMAIS!

    Se um desastre acontecer, podemos usar o PCN (Plano de Continuidade de Negócios) pra empresa continuar ativa. No PCN, ajuda a nos planejar se nós nos perguntarmos:

1. O que fazer se tiver perda de dados?
2. Como lidar com um desastre natural?
3. Como mitigar variações significantes de despesas?
4. Como reduzir possíveis prejuízos de ataques cibernéticos?
5. Como garantir contratos cumpridos mesmo com desastres?
6. Como reunir todos pra resolver problemas?

    Toda empresa tem um negócio, separado em 4 pilares:

1. UNIDADE: Os setores/áreas da empresa. Também chamados de centros de custo.
2. PROCESSOS: Literalmente o processo de fazer um produto ou serviço.
3. COMPONENTES: Unidade + processo. Mostra quais áreas e atividades são mais importantes e devem ser protegidas em caso de falhas.
4. ATIVOS: São tudo de valor na empresa. Tangíveis e intangíveis. De acordo com William Alevate, se dividem em 7 tipos:
1. TI: Sistemas, redes, PCs
2. NÃO TI: Móveis, ar condicionados, catracas, etc
3. PROVEDORES E PARCEIROS: Empresas que prestam serviços
4. INFRAESTRUTURA INTERNA: Prédios, salas, estrutura física
5. INFRAESTRUTURA EXTERNA: Locais fora da empresa usados nos processos
6. INSUMOS: Materiais necessários (papel, parafusos, etc)
7. RH: Pessoas, funcionários

    O PCN é complexo, mas importante. Se prevenir custa menos do que perder tudo em desastres. O PCN é constituído dos seguintes planos:

1. PLANO DE CONTINGÊNCIA (EMERGÊNCIA): Analisa cenários desastrosos e define ações imediatas pra manter as atividades mais importantes funcionando.
2. PLANO DE ADMINISTRAÇÃO DE CRISES (PAC): As partes importantes já tão funcionando (graças ao plano de contingência), e o PAC diz quem faz o quê pra administrar a crise e controlar os danos.
3. PLANO DE RECUPERAÇÃO DE DESASTRES (PRD): Planejam como voltar ao normal depois de controlar o desastre. Dentro dele, dois indicadores são importantes:
1. PONTO DE RECUPERAÇÃO (RPO): Quantidade máxima de dados que a empresa está disposta a perder.
2. TEMPO DE RECUPERAÇÃO (RTO): Quanto tempo esperar pra voltar as atividades.
4. PLANO DE CONTINUIDADE OPERACIONAL (PCO): Planejam como manter os recursos principais funcionando mesmo com o desastre.

    Assim como tudo em SI, tem que ser atualizado e revisado regularmente pra evitar falhas.

Termos PCN

1. RISCO: Chance de uma ameaça acontecer.
2. SERVIÇO: Atividade que gera valor pro cliente.
3. DISPONIBILIDADE: Um serviço poder fazer sua função sempre que for requisitado.
4. DESASTRE: Evento imprevisível que causa grandes perdas.
5. PRÁTICA DE GERENCIAMENTO DE CONTINUIDADE DE SERVIÇO: Ações pra manter os serviços funcionando em caso de desastre.
6. PLANOS DE RECUPERAÇÃO DE DESASTRE: Planos pra voltar ao normal depois de um desastre.
7. ANÁLISE DE IMPACTO NO NEGÓCIO: Identifica as principais funções do negócio e suas dependências.
8. GARANTIA: Expectativa que um serviço funcione como prometido.
9. AVALIAÇÃO DE RISCO: Identificar, analisar e medir riscos.
10. PRÁTICA DE GERENCIAMENTO DE RISCO: Analisar, compreender e tratar riscos eficazmente.

Desenvolvendo o PCN

Ciclo PDCA

    Também conhecido como ciclo de Deming. Um modelo de gestão que você escreve seu processo ideal e metas ideais e ele te ajuda a seguir esse plano.

• PLANEJAR: Definir objetivos. Descrever métodos e condições pra implementar os processos ou planos. 
• EXECUTAR: Executar os planos e coletar dados necessários.
• CHECAR: Ver periodicamente se tá tudo indo bem. Investigar anomalias se houver.
• AGIR: Se tiver algo fora do esperado, tomar medidas corretivas.

    O modelo é simples e da pra incluir todo mundo nele. Abaixo, um exemplo dele em ação:

1. Mapeamento de negócios (Planejar): Analisar tudo do negócio
2. Análise de impacto (Planejar): Descobrir pontos fracos e prever desastres
3. Definição de estratégias (Planejar): Com base na análise, definir soluções
4. Documentação de planos (Executar): Registra o PCN e suas etapas
5. Testes e simulações (Checar/Agir): Testar planos, treinar equipes e corrigir falhas

    O PCN pode precisar de ajustes em caso de:

1. O teste de estratégias pode ter sido ineficaz
2. Pode ter problemas nas estratégias no geral
3. Algumas funções podem precisar de esclarecimentos
4. Membros podem ter mudado de função
5. Coisas como novos equipamentos, abertura de nova filial, realocação de operações podem modificar processos

Politica de Gestão de Continuidade de Negócios (PGCN)

    PGCN e PCN não são o mesmo. A PGCN é mais abrangente e serve como base pra desenvolver planos como o PCN. Ela é a política geral que diz como a continuidade deve ser tratada na empresa. A PGCN define os responsáveis por cada ação e descrição das ações de garantia de continuidade.

    Na descrição da PGCN, tem que dizer:

• Objetivos (definem o que é o PCN)
• Escopo (abrangência da continuidade)
• Papeis de responsabilidades

    E tem que considerar:

• Recursos
• Políticas de apoio, princípios e guias
• Normas e leis

Benefícios de aplicar a PGCN

1. Vai saber dos impactos e consequências antes mesmo de um desastre rolar
2. Reduz o risco de perder dinheiro
3. Se um desastre rolar, a empresa volta aos negócios rapidamente
4. Preserva a imagem da empresa pois é mais confiável de continuar funcionando
5. Cumpre as obrigações legais
6. Minimiza efeitos de interrupções na empresa

ITIL - Information Technology Infrastructure Library

    Conjunto de praticas pra gerenciar serviços de TI. Pode ser integrado com outras já existentes em uma empresa. Trabalha com 5 processos.

1. Estratégia de serviço: Decide o que oferecer e por quê
2. Design de serviço: Planeja como o serviço vai funcionar
3. Transição de serviço: Prepara e testa o serviço antes de entrar em produção
4. Operação de serviço: Garante que tudo funcione bem no dia a dia
5. Melhoria contínua de serviço: Analisa erros e melhora o serviço com base em feedback e dados. Usa o ciclo PDCA.

    Vamos focar no 2. Design de serviço, pois um de seus subprocessos é o Gerenciamento de Continuidade de Serviços de Tecnologia da Informação (GCSTI) que é o próximo tópico.

Continuidade de Serviços de Tecnologia da Informação (GCSTI)

    Gerencia riscos que possam afetar serviços de TI, garantindo que a pessoa possa sempre fornecer os níveis mínimos de qualidade preestabelecidos.

    Traz benefícios prevenindo perdas em acidentes. Em caso de desastres, os serviços de TI podem voltar a operar mais rápido.

    Pra uma empresa implementar o GCSTI, precisa:

• Identificar os serviços e ativos
• Identificar riscos e ameaças
• Desenvolver planos de contingencia
• Documentar planos de recuperação

Mas é um processo complexo, pode ter desafios:

• Criar planos pros serviços de TI continuarem mesmo se a empresa não tiver um plano de continuidade geral pode ser difícil.
• Fazer a área de negócios da empresa seguirem as boas práticas de TI com a orientação do time de TI também.