Continuidade dos negócios versus recuperação de desastres: Qual plano é o certo para você? –Blog da IBM

Os planos de continuidade dos negócios e recuperação de desastres são estratégias de gestão de riscos nas quais as empresas confiam para se prepararem para incidentes inesperados. Embora os termos estejam intimamente relacionados, existem algumas diferenças importantes que vale a pena considerar ao escolher o que é certo para você:

• Plano de continuidade de negócios (BCP): Um BCP é um plano detalhado que descreve as etapas que uma organização executará para retornar às funções normais de negócios no caso de um desastre. Enquanto outros tipos de planos podem concentrar-se num aspecto específico da recuperação e prevenção de interrupções (como um desastre natural ou um ataque cibernético), os BCP adoptam uma abordagem ampla e visam garantir que uma organização possa enfrentar uma gama tão ampla de ameaças quanto possível.
• Plano de recuperação de desastres (DRP): De natureza mais detalhada do que os BCPs, planos de recuperação de desastres consistem em planos de contingência sobre como as empresas protegerão especificamente seus sistemas de TI e dados críticos durante uma interrupção. Juntamente com os BCPs, os planos de DR ajudam as empresas a proteger dados e sistemas de TI contra diversos cenários de desastres, como interrupções massivas, desastres naturais, ransomware e malwares ataques e muitos outros.
• Continuidade de negócios e recuperação de desastres (BCDR): Continuidade de negócios e recuperação de desastres (BCDR) podem ser abordados em conjunto ou separadamente, dependendo das necessidades do negócio. Recentemente, cada vez mais empresas estão a avançar para a prática conjunta das duas disciplinas, pedindo aos executivos que colaborem nas práticas de BC e DR em vez de trabalharem isoladamente. Isto levou à combinação dos dois termos em um, BCDR, mas o significado essencial das duas práticas permanece inalterado.

Independentemente de como você escolha abordar o desenvolvimento do BCDR em sua organização, vale a pena observar a rapidez com que o campo está crescendo em todo o mundo. À medida que os resultados de um BCDR ruim, como perda de dados e tempo de inatividade, tornam-se cada vez mais caros, muitas empresas estão aumentando seus investimentos existentes. No ano passado, as empresas de todo o mundo estavam preparadas para gastar 219 mil milhões de dólares em soluções e segurança cibernética, um aumento de 12% em relação ao ano anterior de acordo com um relatório recente da International Data Corporation (IDC) (o link reside fora de ibm.com).

Por que os planos de continuidade de negócios e recuperação de desastres são importantes?

Os planos de continuidade de negócios (BCPs) e planos de recuperação de desastres (DRPs) ajudam as organizações a se prepararem para uma ampla gama de incidentes não planejados. Quando implementado de forma eficaz, um bom plano de DR pode ajudar as partes interessadas a compreender melhor os riscos para as funções empresariais regulares que uma determinada ameaça pode representar. As empresas que não investem na recuperação de desastres de continuidade de negócios (BCDR) têm maior probabilidade de sofrer perda de dados, tempo de inatividade, penalidades financeiras e danos à reputação devido a incidentes não planejados.

Aqui estão alguns dos benefícios que as empresas que investem em planos de continuidade de negócios e recuperação de desastres podem esperar:

• Tempo de inatividade reduzido: Quando um desastre interrompe as operações comerciais normais, pode custar às empresas centenas de milhões de dólares para voltarem a funcionar. Alto perfil ataques cibernéticos são particularmente prejudiciais, atraindo frequentemente atenção indesejada e fazendo com que investidores e clientes fujam para concorrentes que anunciam períodos de inatividade mais curtos. A implementação de um plano BCDR forte pode reduzir o tempo de recuperação, independentemente do tipo de desastre que você enfrenta.
• Menor risco financeiro: De acordo com o O recente relatório de custo de violação de dados da IBM, o custo médio de uma violação de dados foi de 4.45 milhões de dólares em 2023 – um aumento de 15% desde 2020. As empresas com fortes planos de continuidade de negócios demonstraram que podem reduzir esses custos significativamente, encurtando os tempos de inatividade e aumentando a confiança dos clientes e investidores.
• Penalidades reduzidas: As violações de dados podem resultar em grandes penalidades quando informações privadas de clientes são vazadas. As empresas que operam no setor de saúde e finanças pessoais correm um risco maior devido à sensibilidade dos dados que manipulam. Ter uma forte estratégia de continuidade de negócios em vigor é fundamental para as empresas que operam nestes setores, ajudando a manter relativamente baixo o risco de pesadas sanções financeiras.

Como construir um plano de recuperação de desastres para continuidade de negócios

O planejamento de recuperação de desastres de continuidade de negócios (BCDR) é mais eficaz quando as empresas adotam uma abordagem separada, mas coordenada. Embora os planos de continuidade de negócios (BCPs) e os planos de recuperação de desastres (DRPs) sejam semelhantes, existem diferenças importantes que tornam vantajoso desenvolvê-los separadamente:

• BCPs fortes concentram-se em táticas para manter as operações normais em funcionamento antes, durante e imediatamente após um desastre. 
• Os DRPs tendem a ser mais reativos, delineando maneiras de responder a um incidente e fazer com que tudo volte a funcionar sem problemas.

Antes de nos aprofundarmos em como você pode criar BCPs e DRPs eficazes, vejamos alguns termos que são relevantes para ambos:

• Objetivo de tempo de recuperação (RTO): O RTO refere-se ao tempo necessário para restaurar os processos de negócios após um incidente não planejado. Estabelecer um RTO razoável é uma das primeiras coisas que as empresas precisam fazer ao criar um BCP ou um DRP. 
• Objetivo do ponto de recuperação (RPO): O objetivo do ponto de recuperação (RPO) da sua empresa é a quantidade de dados que ela pode perder em um desastre e ainda assim recuperar. Como a proteção de dados é uma capacidade central de muitas empresas modernas, algumas copiam dados constantemente para um local remoto. centro de dados para garantir a continuidade em caso de violação massiva. Outros definem um RPO tolerável de alguns minutos (ou mesmo horas) para que os dados empresariais sejam recuperados de um sistema de backup e sabem que serão capazes de recuperar tudo o que foi perdido durante esse período.

Como construir um plano de continuidade de negócios (BCP) 

Embora cada empresa tenha requisitos ligeiramente diferentes no que diz respeito ao planejamento da continuidade dos negócios, existem quatro etapas amplamente utilizadas que produzem resultados sólidos, independentemente do tamanho ou do setor.

1. Execute uma análise de impacto nos negócios 

A análise de impacto nos negócios (BIA) ajuda as organizações a compreender melhor as diversas ameaças que enfrentam. A BIA forte inclui a criação de descrições robustas de todas as ameaças potenciais e quaisquer vulnerabilidades que elas possam expor. Além disso, a BIA estima a probabilidade de cada evento para que a organização possa priorizá-los adequadamente.

2. Crie respostas potenciais

Para cada ameaça identificada na sua BIA, você precisará desenvolver uma resposta para o seu negócio. Ameaças diferentes exigem estratégias diferentes, portanto, para cada desastre que você possa enfrentar, é bom criar um plano detalhado sobre como você poderia se recuperar.

3. Atribua funções e responsabilidades

A próxima etapa é descobrir o que é exigido de todos na sua equipe de recuperação de desastres no caso de um desastre. Esta etapa deve documentar as expectativas e considerar como os indivíduos se comunicarão durante um incidente não planejado. Lembre-se de que muitas ameaças desligam os principais recursos de comunicação, como redes celulares e Wi-Fi, por isso é aconselhável ter procedimentos alternativos de comunicação nos quais você possa confiar.

4. Ensaie e revise seu plano

Para cada ameaça para a qual você se preparou, você precisará praticar e refinar constantemente os planos de BCDR até que eles funcionem perfeitamente. Ensaie um cenário o mais realista possível, sem colocar ninguém em risco real, para que os membros da equipe possam criar confiança e descobrir como provavelmente se sairão no caso de uma interrupção na continuidade dos negócios.

Como construir um plano de recuperação de desastres (DRP)

Tal como os BCP, os DRP identificam as principais funções e responsabilidades e devem ser constantemente testados e aperfeiçoados para serem eficazes. Aqui está um processo de quatro etapas amplamente utilizado para a criação de DRPs.

1. Execute uma análise de impacto nos negócios

Tal como o seu BCP, o seu DRP começa com uma avaliação cuidadosa de cada ameaça que a sua empresa pode enfrentar e quais podem ser as suas implicações. Considere os danos que cada ameaça potencial pode causar e a probabilidade de interromper suas operações comerciais diárias. Considerações adicionais podem incluir perda de receitas, tempo de inatividade, custo de reparação da reputação (relações públicas) e perda de clientes e investidores devido à má publicidade.

2. Faça um inventário de seus ativos

DRPs eficazes exigem que você saiba exatamente o que sua empresa possui. Execute esses inventários regularmente para que você possa identificar facilmente hardware, software, infraestrutura de TI e qualquer outra coisa de que sua organização dependa para funções críticas de negócios. Você pode usar os rótulos a seguir para categorizar cada ativo e priorizar sua proteção: crítica, importante e sem importância.

• Crítico: Rotule os ativos como essenciais se você depender deles para suas operações comerciais normais.
• Importante: Dê este rótulo a tudo o que você usa pelo menos uma vez por dia e que, se interrompido, afetaria suas operações críticas (mas não as encerraria totalmente).
• Sem importância: Esses são os ativos que sua empresa possui, mas usa com pouca frequência o suficiente para torná-los desnecessários para as operações normais.

3. Atribua funções e responsabilidades

Como no seu BCP, você precisará descrever as responsabilidades e garantir que os membros da sua equipe tenham o que precisam para executá-las. Aqui estão algumas funções e responsabilidades amplamente utilizadas a serem consideradas:

• Repórter do incidente: Alguém que mantém informações de contato de partes relevantes e se comunica com líderes empresariais e partes interessadas quando ocorrem eventos perturbadores.
• DRP Supervisor: Alguém que garante que os membros da equipe executem as tarefas que lhes foram atribuídas durante um incidente. 
• Gerente de ativos: Alguém cujo trabalho é proteger e proteger ativos críticos quando ocorre um desastre. 

4. Ensaie seu plano

Assim como acontece com seu BCP, você precisará praticar e atualizar constantemente seu DRP para que ele seja eficaz. Pratique regularmente e atualize seus documentos de acordo com quaisquer alterações significativas que precisem ser feitas. Por exemplo, se a sua empresa adquirir um novo ativo após a formação do seu DRP, você precisará incorporá-lo ao seu plano daqui para frente ou ele não estará protegido quando ocorrer um desastre.

Exemplos de fortes planos de continuidade de negócios e recuperação de desastres

Quer você precise de um plano de continuidade de negócios (BCP), de um plano de recuperação de desastres (DRP) ou de ambos trabalhando juntos ou separadamente, pode ser útil observar como outras empresas implementaram planos para aumentar sua preparação. Aqui estão alguns exemplos de planos que ajudaram as empresas na preparação de BC e DR.

• Plano de gestão de crise: Um bom plano de gestão de crises pode fazer parte do planeamento da continuidade dos negócios ou da recuperação de desastres. Os planos de gerenciamento de crises são documentos detalhados que descrevem como você gerenciará uma ameaça específica. Fornecem instruções detalhadas sobre como uma organização responderá a um tipo específico de crise, como um corte de energia, crimes cibernéticos ou desastres naturais; especificamente, como eles lidarão com as pressões hora a hora e minuto a minuto enquanto o evento se desenrola. Muitas das etapas, funções e responsabilidades exigidas no planeamento da continuidade dos negócios e da recuperação de desastres são relevantes para bons planos de gestão de crises.
• Plano de comunicação: Os planos de comunicações (ou planos de comunicação) aplicam-se igualmente à continuidade dos negócios e aos esforços de recuperação de desastres. Eles descrevem como sua organização abordará especificamente as preocupações de RP durante um incidente não planejado. Para construir um bom plano de comunicação, os líderes empresariais normalmente coordenam-se com especialistas em comunicação para formular os seus planos de comunicação. Alguns têm planos específicos para desastres considerados prováveis ​​e graves, então eles sabem exatamente como responderão.
• Plano de recuperação de rede: Os planos de recuperação de rede ajudam as organizações a recuperar interrupções de serviços de rede, incluindo acesso à Internet, dados celulares, redes locais (LANs) e redes de longa distância (WANs). Os planos de recuperação de rede são normalmente de âmbito amplo, uma vez que se concentram numa necessidade básica e essencial – a comunicação – e devem ser considerados mais no lado da continuidade dos negócios do que na recuperação de desastres. Dada a importância de muitos serviços em rede para as operações comerciais, os planos de recuperação de rede concentram-se nas etapas necessárias para restaurar os serviços de forma rápida e eficaz após uma interrupção.
• Centro de dados plano de recuperacao: É mais provável que um plano de recuperação de data center seja incluído em um BCP do que em um DRP devido ao seu foco na segurança de dados e nas ameaças à infraestrutura de TI. Algumas ameaças comuns ao backup de dados incluem pessoal sobrecarregado, ataques cibernéticos, quedas de energia e dificuldade em seguir os requisitos de conformidade. 
• Plano de recuperação virtualizado: Assim como um plano de data center, é mais provável que um plano de recuperação virtualizado faça parte de um BCP do que de um DRP devido ao foco do BCP em recursos de TI e de dados. Os planos de recuperação virtualizados dependem de máquina virtual (VM) instâncias que podem entrar em operação alguns minutos após uma interrupção. Máquinas virtuais são representações/emulações de computadores físicos que fornecem recuperação de aplicativos críticos por meio de alta disponibilidade (HA) ou a capacidade de um sistema operar continuamente sem falhar.

Soluções de continuidade de negócios e recuperação de desastres 

Mesmo uma pequena interrupção pode colocar o seu negócio em risco. A IBM possui uma ampla variedade de planos de contingência e soluções de recuperação de desastres para ajudar a preparar sua empresa para enfrentar uma variedade de ameaças, incluindo backup em nuvem e recursos de recuperação de desastres, além de serviços de segurança e resiliência.

Proteja dados e acelere a recuperação com soluções de planejamento de continuidade de negócios da IBM