BCP FAQ

Por que um FAQ sobre BCP em um blog? Porque durante o longo período que venho estudando, executando projetos e aprendendo com grandes profissionais que tive a oportunidade de trabalhar, sempre ouvi muita bobagem e todo tipo de informação que não colabora em nada com a cultura de continuidade de negócios.

Venho colecionando essas “perolas” há um bom tempo, agora decidi escrever um FAQ para facilitar um pouco a vida de quem ainda não teve a oportunidade de se envolver e estudar a fundo a disciplina de BCP.

1 – Não temos a cultura de BCP porque o índice de desastres naturais em nosso país é muito pequeno?

Muitos países possuem um índice de desastres naturais maiores que o nosso, mas, pode acreditar a nossa falta de cultura em BCP é baixa por falta de estudo e desenvolvimento, pois, se não possuímos desastres naturais, temos uma série de eventos que poderiam ser atendidos por um BCP. Afinal, Deus nasceu em Belém, mas, não é brasileiro!

2 – Ontem faltou energia durante 15 minutos e muitas áreas ficaram sem trabalhar e nosso site institucional ficou indisponível! Por que não acionamos o plano?

Aqui podemos ter duas situações, você possui processos críticos que em 15 minutos causaram impactos altíssimos ao seu negócio e o seu site é fundamental para o seu negócio, ai realmente se não ativaram foi por incompetência. Agora se você não possui processos com RTO menores ou iguais há quinze minutos e o seu site não é crítico, o plano não deveria ser acionado. Mas, eu gastei uma bala com o desenvolvimento do plano e ele não é capaz de suprir minhas necessidades a qualquer momento? Um plano é desenvolvido para atuar em situações abruptas onde a indisponibilidade de processos críticos podem causar sérios problemas à empresa. Incidentes comuns devem ser tratados pela operação normal da empresa. Aqui pode ser interessante implementar os processos de gestão de incidentes, gestão de problemas e a função de service desk para atuar integrado com o plano, se extrapolar a ação deles o plano pode ser acionado.

3 – Quem acionará o botão vermelho?

Calma, você desenvolveu um plano de continuidade de negócios, você ainda não tem um telefone vermelho sobre sua mesa e nem é a pessoa mais importante do mundo. Ninguém deve ser responsável sozinho por ativar um plano, o que irá determinar o acionamento do plano é uma matriz de níveis de crises clara que orienta a ativação do plano. Com base na matriz uma equipe previamente definida, comumente chamada de Crises Management Team, é responsável por avaliar os fatos e ativar o plano. Claro, o nome da equipe é o que menos importa, importante é que a decisão seja tomada por pessoas com visão ampla do negócio e de comum acordo com os controladores do negócio.

4 – Por que você não trás um “book” com um plano de continuidade para eu ver?

Você anda com o seu processo de contas a pagar debaixo dos braços? Apesar de existir documentos como resumptiom plan, onde etapas, atividades de recuperação de desastres são documentadas, o plano de continuidade adequado é o que é elaborado e implementado como um processo de negócios e sofre constante atualização e controle, possibilitando o amadurecimento e adequação do processo a necessidade do negócio.

5 – Gastamos uma bala com consultoria durante um ano e você não quer fazer um teste funcional do meu plano?

Um teste funcional só deve ser realizado após um amadurecimento do processo, somente se testes inferiores já foram executados, identificação de eventuais desvios e correções já foram feitas nos procedimentos de recuperação. Antes de um teste funcional você deve realizar testes como walkthrough, tableTop e testes parciais de cada procedimento, ação.

6 – A maioria dos meus processos não depende de tecnologia, como você vai fazer um BCP?

BCP é Business Continuity Plan ou Technology Continuity Plan? O plano deve atuar em situações que ofereçam risco ao negócio ou pessoas, sendo ele tecnológico ou não. Ah! Para os processos de negócio que não dependem de recursos de tecnologia você pode utilizar procedimentos de continuidade operacional.

7 – DRP é maior que um BCP?

Não. Disaster Recovery Plan é apenas uma pequena parte de um processo completo de continuidade de negócios.

8 – Por que você quer fazer primeiro a análise de riscos, o ideal não é primeiro fazer a BIA?

O ideal é realizar uma análise de riscos identificando todos os issues e com base nessas informações realizar uma análise de impactos no negócio. Em algumas situações realizamos a BIA para identificar os processos críticos e viabilizar a elaboração de um plano de continuidade de negócios.

9 – Por que você passa um ano fazendo todo tipo de entrevista e estudo para desenvolver um site alternativo? Não é muito mais fácil replicar os servidores principais?

Replicar ativos é contingência e não continuidade de negócios. É necessário avaliar o negócio a relação entre os processos, ativos que suportam os processos, riscos associados a esses ativos e caso seja necessário investir em redundância ou outras soluções para recuperação em um tempo inferior ao RTO do processo.

10 – O que tem haver SMS com o plano?

As áreas de SMS (Segurança, Saúde e Meio Ambiente) estão completamente ligadas a continuidade de negócios, essas áreas geralmente possuem procedimentos e recursos que devem ser levados em consideração e utilizados na gestão de crises.

11 – Você não tem uma ferramenta, como vai desenvolver o plano?

Bom, essa não é das piores, pior é ouvir que é necessário uma ferramenta para elaborar uma política de segurança. Uma ferramenta não impede em nada a implementação de um plano de continuidade de negócios. Ferramenta pode lhe auxiliar na gestão do plano, em cálculos de análise de riscos. Mas, que fique claro que não é mandatório.

12 – Qual é a melhor metodologia DRII, BCI?

Essa costumo ser curto e grosso. Nenhuma das duas são metodologia e sim áreas de conhecimento, como as de gerenciamento de projetos desenvolvidas pelo PMI.

Por enquanto é só, mas, tenho certeza que esse FAQ pode crescer muito.