Por que investir em Continuidade de Negócios (GCN) em um mundo multicloud e multiplataformas com alta disponibilidade? Por que investir em GCN em um mundo com cópias de segurança online e automáticas? Porque o mundo não é só alta disponibilidade, e provavelmente a alta gestão ainda não entende o que é a Gestão da Continuidade de Negócios de verdade e seu valor para o negócio e para os investidores.

A Continuidade de Negócios é uma parte da gestão empresarial moderna, ou melhor, da Governança Corporativa e da Governança de Riscos, que tem por objetivo diagnosticar tecnicamente riscos e dependências para minimizar perdas. Portanto, trata-se de business e não de tecnologia. Sabemos que os negócios atuais são 90% tecnologia, automatizando processos, estratégias de marketing, vendas, atendimento, suporte e serviços.

Mesmo assim, negócios são mais ou menos resilientes por vários motivos: Oportunidade de mercado; Demanda; Inovação; Resolução de problemas; Preço; Novidade; Serviços essenciais para uma determinada finalidade, como por exemplo Saúde; Riscos ou a falta de gerenciamento técnico deles.

A resiliência é uma condição que os negócios têm, e sabemos que correr riscos faz parte dos negócios. Portanto, podemos antecipar cenários de crise, gerenciar os riscos e estarmos preparados para minimizar perdas.

Quando investimos, queremos solidez, força, inovação e algo que possa render mais e gerar mais riqueza. Fundos ou investidores individuais são sensíveis às redes sociais, TVs, as decisões de governos, e em um mundo de fake news isso é um risco a mais.

Demonstrar ao mercado que na estratégia de Governança e Gestão de Riscos utiliza-se de forma correta a Continuidade de Negócios, pode ser o diferencial de valor para um Valuation (M&A) ou o diferencial para investimento de um fundo ou grupo de pessoas que buscam as informações corretas nos websites ou na internet.

Normalmente quando invisto ou auxílio alguma empresa, oriento a buscar informações no website (relação com investidores), relatórios de auditorias, informações das seguradoras que assessoram aquele grupo e histórico de crises e/ou desastres para analisarmos a inércia ou falta de preparo e condicionamento para enfrentá-las.

O valor de uma BIA - Business Impact Analysis?

Um dos diagnósticos mais importantes de um Programa de Continuidade de Negócios é a Análise de Impactos no Negócio ou em inglês: a BIA. Ela é um processo que é estabelecido e revisado anualmente (ou quando se tem uma mudança significativa no negócio) e serve para:

Entender os processos de negócios ou linhas de produtos e serviços;
Identificar, classificar e compreender os ciclos do negócio e os tempos necessários (RTO, RPO etc.)
Identificar e quantificar os impactos (financeiros, operacionais, legais ou de imagem) causados pela interrupção dos processos ao negócio, quando interrompidos.
Entender a dependência de pessoas, tecnologias ou até mesmo de fornecedores que os processos de negócios têm;
Servir de base para compreendermos os tempos X processos de negócios (e o que entregam) X impactos ao negócio, e assim definirmos um apetite de riscos para tratamento e análise de estratégias de continuidade para Pessoas, Processos e Tecnologias.

Algumas perguntas importantes para a Alta Administração e/ou investidores fazerem às empresas

Quanto investimos em Continuidade de Negócios anualmente? (Budget) E o que protegemos de fato? Quanto isso melhora nossa resiliência? Testamos e validamos isso? Nota: Empresas certificadas na ISO 22301 são auditadas anualmente.
Nossos parceiros sabem o que é a GCN? Possuem Planos de Continuidade? Eles sabem o que fazer se nossa empresa declarar uma situação de crise e acionar nosso Plano de Continuidade (PCN)?
Temos contratado, ativado ou configurado os recursos de Continuidade (DRP) nos serviços de Cloud (infraestrutura e serviços em "nuvem")? Nossas equipes de Cloud, DevOps, etc sabem o que é isso e como usar adequadamente?
Como mostramos isso para nossos clientes, acionistas e investidores? Como usamos como vantagem competitiva e valor?
O quanto isso está forte em nossa governança?

Em algumas empresas multinacionais, o engajamento e participação de executivos em exercícios simulados de ativação do PCN impacta o PLR (Participação nos lucros e resultados) e até bônus anuais. E o percentual de PLR das equipes e lideranças táticas também é medido através de indicadores e participação ativa no desenvolvimento e exercícios.

Dicas para a implementação da Gestão de Continuidade de Negócios:

Leia a ISO 22301 e a ISO 22313;
Busque ainda mais informações relevantes no DRII - Disaster Recovery Institute (USA) e/ou BCI - Business Continuity Institute (UK);
Invista tempo e engajamento da liderança para um programa de Continuidade de Negócios corporativo, com uma Política de Continuidade de Negócios. Defina o apetite de riscos (aplicado a GCN) e invista na resiliência como valor;
Entenda o negócio - invista e realize uma Análise holística de risco e uma BIA;
Discuta e crie estratégias para pessoas, processos e tecnologias;
Crie e implemente (governança) planos de continuidade para os processos críticos, tecnologias críticas (incluindo também automação industrial - T.A) e fornecedores críticos;
Melhoria contínua - através de auditorias, controles internos, exercícios e testes periódicos, bem como indicadores e métricas (OKR, KGI, KPI) da GCN para medição.

*Jeferson D’Addario é CEO do Grupo DARYUS e especialista em Continuidade de Negócios e Gestão de Riscos.

Sobre o Grupo DARYUS

Desde 2005 com o propósito de iluminar mentes, potencializar pessoas e proteger negócios, por meio de educação e serviços em gestão de riscos, o grupo DARYUS tornou-se referência em consultoria, educação e eventos nos temas: Gestão de Riscos, Segurança de Informação, Cibersegurança, Proteção de Dados (LGPD) e Governança de Tecnologia da Informação (TI). O Grupo é composto por 4 unidades de negócios: 1) A DARYUS Consultoria - especializada em Gestão de Riscos e Cibersegurança, 2) O IDESP - instituto DARYUS de Ensino Superior Paulista - que é líder na formação em GRC, com mais de 30 mil profissionais formados desde 2006, e pioneira na criação dos cursos de pós-graduação em segurança da informação, forense computacional, cibersegurança e continuidade de negócios, 3) A DARYUS Eventos, que tem foco em criar e gerenciar eventos que desenvolvam a comunidade de cibersegurança e gestão de riscos no Brasil, e 4) A DARYUS StartLab, aceleradora de startups focada em Riscos, TI e Cibersegurança.