Business Continuity Management, uma resposta adequada aos requisitos da SRI2

Estas ameaças podem ir desde catástrofes naturais e ciberataques a problemas decorrentes de código ou configurações defeituosas devido à falta de controlos de segurança e qualidade.

As repercussões destas ameaças podem ser graves, conduzindo a perdas financeiras significativas. Estas perdas não incluem apenas as receitas perdidas durante o tempo de inatividade, mas também os danos infligidos à reputação da organização. De acordo com a IBM, o custo médio global de uma violação de dados em 2023 foi de 4,45 milhões de dólares. Além disso, a violação da lei de proteção de dados pode resultar em pesadas coimas e custas judiciais, agravando as perdas financeiras. As interrupções de serviço podem perturbar as cadeias de abastecimento, paralisar operações vitais para a sociedade e minar a confiança dos clientes, requisitos essenciais que procuram ser salvaguardados com a Network and Information Security (NIS2), nossa (SRI2) Segurança das Redes e da Informação.

Mesmo com o software e as estruturas de segurança mais recentes, é extremamente difícil obter uma proteção a 100%. Nenhum sistema pode estar completamente a salvo de ameaças como os ciberataques, dada a rápida evolução das ciberameaças e a complexidade não só destas, mas também das infra-estruturas digitais. É crucial enfrentar a ameaça de perturbações da actividade empresarial através da Business Continuity Management (BCM).

Business Continuity Management (BCM)

O principal objetivo da BCM é assegurar que as soluções críticas que suportam o negócio continuam a funcionar durante e após uma catástrofe, minimizando assim o impacto na organização e nos seus intervenientes. A BCM engloba uma abordagem abrangente para identificar potenciais ameaças e desenvolver estratégias para mitigar os seus efeitos.

Um componente chave da BCM é a realização de uma Business Impact Analysis (BIA). A BIA identifica e avalia os potenciais efeitos das perturbações nas operações que suportam o negócio. Ajuda a determinar quais são as funções empresariais críticas e quais são os recursos subjacentes necessários para as apoiar. Ao compreender o impacto de vários cenários de perturbação, as organizações podem dar prioridade aos esforços de recuperação e afetar recursos de forma mais eficaz. O BIA também ajuda a identificar as dependências entre diferentes funções e sistemas empresariais, garantindo uma abordagem eficaz ao planeamento da continuidade.

O primeiro passo para criar o BIA é identificar as funções críticas do negócio. Isto implica reunir-se com as partes interessadas e examinar todos os aspetos do negócio e as suas funções para determinar quais as operações essenciais para a sobrevivência da organização e quais as funções críticas subjacentes que as suportam.

Outro elemento crucial da BCM é o desenvolvimento de um Business Continuity Plan (BCP), que descreve os procedimentos e processos necessários para manter e restaurar as operações críticas durante uma perturbação. Este plano inclui estratégias para a afetação de recursos, planos de comunicação e passos de recuperação específicos para garantir que os serviços empresariais essenciais do negócio possam continuar com o mínimo de interrupção.

O objetivo de um BCP é minimizar os danos financeiros causado pela indisponilidade dos serviços e da reputação de uma organização, antecipando um acontecimento imprevisto e dispondo já de um plano de recuperação. É essencial distinguir entre um BCP e um Disaster Recovery Plan (DRP). Enquanto um BCP avalia os riscos potenciais, considera a forma como os incidentes críticos podem afetar vários serviços e oferece um conjunto de procedimentos para continuar ou restaurar rapidamente processos cruciais, um DRP centra-se na vertente tecnológica do negócio e visa recuperar a infraestrutura digital da organização após um cenário crise.

Conteúdo co-produzido pela MediaNext e pela Balwurk