O tema Continuidade de Negócios é vasto e o sistema de gestão – SGCN – envolve muitas etapas de implementação que devem ser minuciosamente planejadas, executadas e documentadas. Trata-se de um programa extenso, cujo sucesso depende imprescindivelmente da experiência e capacitação aplicados na condução das etapas – ou dos projetos, conforme define o PMBok (ex.: BIA – Business Impact Analisys, Definição de Estratégias, entre outros). Devido a essa ampla extensão, o programa requer investimentos de tempo, recursos financeiros e tecnológicos. Além disso, é importante ressaltar que quase sempre gera mudanças processuais e acaba envolvendo a empresa como um todo, se entendermos que diversas frentes – áreas – se complementam e se envolvem direta ou indiretamente com a Gestão da Continuidade.

Os recursos atribuídos e utilizados para implantação do SGCN não são nada fáceis de serem aprovados pelos executivos, principalmente em uma empresa onde o nível de maturidade em Continuidade de Negócios não é satisfatório, tanto por desconhecimento quanto por equívoco. Alguns executivos insistem em acreditar que sua organização não precisa de ações voltadas à continuidade de negócios ou, ainda, supõem que estão em um nível confortável e adequado de maturidade nos negócios. Se adotarmos, por exemplo, a premissa de que todos os recursos necessários foram aprovados e disponibilizados, teríamos um cenário extremamente favorável, contudo não seria a garantia efetiva de um perfeito funcionamento do programa de Continuidade.

Segundo a Norma ABNT NBR ISO 22301 – Segurança da Sociedade — Sistema de gestão de continuidade de negócios – Requisitos, um SGCN é:

Parte do sistema global de gestão que estabelece, implementa, opera, monitora, analisa criticamente, mantém e melhora a continuidade de negócios.

Em sua nota, cita-se que:

O sistema de gestão inclui estruturas organizacionais, políticas, atividades de planejamento, responsabilidades, procedimentos, processos e recursos.

Entendendo esta definição, bem como o ciclo PDCA para os sistemas de gestão, percebemos que a norma em questão está alinhada com o novo padrão ISO para formalização de normas de sistemas de gestão (ex.: ISO 9001 – Gestão da Qualidade; ISO 27001 – Gestão de Segurança da Informação, entre outros). Tanto um sistema de gestão (estabelece, implementa, opera, monitora, analisa criticamente, mantém e melhora) quanto o ciclo PDCA (planeja, faz, verifica e age) consistem em uma sequência de passos utilizados para controlar qualquer processo que tenha sido bem definido.

Vale lembrar também do padrão ISO 22313 – Societal Security – Business Continuity Management Systems – Guidance, que contém as orientações para a correta implementação da ISO 22301, e foi desenvolvida já de acordo com as novas Diretivas ISO para normas de sistemas de gestão (conhecidas como Anexo SL).

Por que falar tanto dessas normas? Para mostrar que, ao se adequarem ao formato das normas de gestão, elas enfatizam a definição dos objetivos estratégicos, desempenho e métricas; que, por sua vez, buscam garantir a continuidade do processo.

Teoricamente, tudo está muito bem elaborado e perfeitamente encaixado. Todavia, após 14 anos atuando com Continuidade de Negócios, tenho percebido que uma fase do processo estabelecido pelo projeto de implantação da continuidade de negócios não vem sendo bem conduzida. Trata-se da fase da revisão, manutenção e monitoração, ou seja, a fase da sequência ou, ainda, a fase da SOBREVIVÊNCIA/CONTINUIDADE.

Se uma manutenção, revisão e auditoria não são estabelecidas, qualquer processo de gestão está fadado ao fracasso. Com o SGCN não poderia ser diferente. Neste caso, todo o esforço (investimentos de tempo, recursos financeiros e tecnológicos) até aqui dispendido, será desperdiçado.

Por mais estranho que isso possa parecer, acontece muito mais do que imaginamos. As causas são diversas, mas com certeza posso apontar uma que, sem sombra de dúvidas, está na lista das principais: o desconhecimento da Continuidade de Negócios.

A primeira coisa que vem à cabeça de alguém (leigo ou não), quando ouve sobre continuidade de negócios, são catástrofes naturais (enchentes, terremotos, vulcões, tornados, etc.). Felizmente, nosso país está livre de boa parte destas catástrofes e, por isso, é comum fazer a analogia de que não precisamos de continuidade de negócios. Profissionais inexperientes, empresas que vendem milagres (para não dizer outra coisa), são, muitas vezes, os culpados por esta desinformação e consequente fracasso.

Se você não consegue enxergar os benefícios diretos ou indiretos da continuidade de negócios, independente de já ter ou não implantado o SGCN, dificilmente dará sequência ao tema; tanto para a implantação quanto para a revisão do processo.

[Webinar] Garanta que seus processos críticos sejam à prova de imprevistos!

Um processo de implantação do SGCN bem executado, com alinhamento de expectativas junto às partes interessadas (stakeholders), treinamentos e disseminação de conceitos aos diversos níveis da empresa (antes e depois da implantação do SGCN), bem como o apoio efetivo da Alta Direção, é um fator crítico para o sucesso da Continuidade de Negócios e garantia do processo. Sem esquecer das normativas e regulamentações existentes, que fazem do SGCN uma obrigatoriedade para diversos segmentos de mercado (financeiro, farmacêutico, seguros, aéreo, etc.).

É por isso que se torna fundamental a execução do projeto por empresas e profissionais experientes e capacitados. Para que se obtenha sucesso no programa (SGCN), é fundamental que os benefícios sejam transmitidos de forma clara e direta, assim como os riscos pela sua não implementação e a perda de investimento pela não continuidade do processo.

Quanto menor o nível de maturidade em continuidade de negócios da empresa, mais riscos e responsabilidades devem ser bem atribuídos.

É preciso que antes mesmo de começar a execução do projeto, a alta administração esteja ciente da importância na continuidade do processo. Que ela entenda os benefícios e que não haja dúvida alguma de onde está o ROI – Retorno sobre Investimento – neste processo (como minimizar os custos de implantação de um SGCN e maximizar os resultados da continuidade dos processos em um evento de crise).

A implementação do projeto de Continuidade de Negócios em cada empresa é um trabalho diferente, com escopos diferentes e consequentemente resultados diferentes. Essa informação é ratificada pelo processo de conhecer a organização, ou seja, entender para proteger.

Nosso foco principal aqui é a sobrevivência do processo de Continuidade de Negócios, ou seja, após a sua implantação. Então, o que fazer para garantir esse processo?

  • Um dos primeiros passos a ser tomado é identificar as partes interessadas deste processo. Em seguida, identificar quem são as áreas responsáveis e as pessoas que participarão de forma efetiva da implantação do processo (SGCN). Todo esse público deve ser conscientizado (cada um de acordo com seu foco de atuação e responsabilidade), eles precisam entender o conceito de Continuidade de Negócios, suas responsabilidades na implantação, os objetivos e benefícios, bem como as premissas e escopo. Agindo assim, manteremos as pessoas envolvidas alinhadas e engajadas com o objetivo final do projeto de implantação do SGCN.
  • Como próximo passo, recomendo que uma reunião (kick off) seja realizada antes de cada fase de execução do projeto (Risk Assessment, BIA, etc). Assim você garante que as pessoas saberão o que fazer durante as atividades. Isso deve se estender até o final da implantação do projeto, ou seja, à medida que as pessoas forem sendo envolvidas, elas devem ser conscientizadas e alinhadas com os objetivos.
  • Como etapa final deste processo de conscientização durante a implantação do projeto, uma conscientização maciça deve ser realizada junto ao público geral, onde o conteúdo desta conscientização é tema para uma outra discussão.

Dependendo do tamanho da organização, a implantação da Continuidade de Negócios pode levar vários meses e até anos (claro que estamos falando de grandes organizações). Tudo aquilo que foi dispendido para esta implantação (já citado anteriormente) não poderá ser desprezado. Mas é preciso que as partes interessadas saibam o seu papel no antes, durante e depois do projeto de implantação do Sistema de Gestão de Continuidade de Negócios.

Perceba que, assim, ao final do projeto de implantação, você terá perto de 100% dos seus stakeholders conscientizados e envolvidos (engajados) com o processo de continuidade de negócios; incluindo a Alta Direção. Se as pessoas estão entendendo os objetivos, seus benefícios e estão efetivamente envolvidas com o processo, dificilmente deixarão de dar sequência e, consequentemente, isso garantirá o processo de continuidade de negócios da empresa.

Sem envolvimento, não há engajamento. Sem engajamento, não haverá continuidade da Continuidade.

 

Valdir Agnelli

Agnelli (2)Bacharel em Ciências da Computação, pós-graduado em TI Aplicada aos Negócios. Especialista em Continuidade de Negócios da Módulo e líder do CCM-GCN (Centro de Competência Módulo para Gestão de Continuidade de Negócios). É professor universitário na UNIESP, onde ministra as disciplinas de Arquitetura de Computadores e Metodologia e Desenvolvimento de Projetos. Atua em continuidade de negócios há 14 anos e já trabalhou com GCN em algumas das maiores instituições financeiras do país  (Citibank, Bradesco e Itaú BBA).

Summary
Event
GCN Parte I - Tire o plano do papel e agregue valor aos negócios
Location
Módulo,15h,16h
Starting on
03/31/2015
Ending on
03/31/2015
Compartilhe conhecimentoShare on LinkedInShare on FacebookTweet about this on TwitterShare on Google+
http://segurancadainformacao.modulo.com.br/wp-content/uploads/2015/03/peixe_blog.jpghttp://segurancadainformacao.modulo.com.br/wp-content/uploads/2015/03/peixe_blog.jpgValdir AgnelliGestão de Continuidade de NegóciosSegurança da InformaçãoWebinarcontinuidade,crise,GCN
O tema Continuidade de Negócios é vasto e o sistema de gestão – SGCN – envolve muitas etapas de implementação que devem ser minuciosamente planejadas, executadas e documentadas. Trata-se de um programa extenso, cujo sucesso depende imprescindivelmente da experiência e capacitação aplicados na condução das etapas – ou dos...