As equipes de TI da maioria das organizações estão familiarizadas com os processos de recuperação de desastres e continuidade de negócios. No entanto, algumas podem não estar cientes da importância de realizar uma análise de impacto nos negócios (BIA). A BIA é um dos elementos mais importantes de um plano de continuidade de negócios. Ela ajuda as empresas a determinar o impacto financeiro de interrupções ou de qualquer outro tipo de perturbação em suas atividades.
O que é uma análise de impacto nos negócios e por que ela é importante?
Uma BIA identifica o impacto de uma perda repentina das funções da empresa, geralmente em termos de custo para a empresa. Uma BIA também identifica as funções comerciais mais críticas, o que permite criar um plano de continuidade de negócios que priorize a recuperação dessas funções essenciais. No entanto, a razão por trás da interrupção dos negócios não é importante. Ela pode ser causada por negligência, desastre natural, ataque cibernético ou outras causas. Em vez disso, ela analisa o impacto do desastre nos negócios, prioriza recursos e determina a melhor abordagem para a recuperação.
Uma BIA é composta por três componentes principais:
- Impacto nos negócios
- Prazos
- Dependências
Cada um desses pontos é abordado mais detalhadamente a seguir. Como parte da base de um plano de continuidade de negócios, uma BIA é essencial para a recuperação das operações em caso de desastre.
Impacto nos negócios
Determinar as funções empresariais mais críticas com base no custo para a empresa
Uma BIA identifica as funções mais importantes de uma empresa que garantem sua continuidade — seu conjunto abrangente de processos de negócios, os recursos necessários para executar esses processos e os sistemas exigidos para tal. O custo potencial associado a uma interrupção nos negócios, como perda de receita, multas por descumprimento de regulamentações, multas contratuais decorrentes do não cumprimento de acordos de nível de serviço (SLAs), aumento dos custos operacionais etc., é calculado em termos de valor monetário real para cada função de negócios.
Para avaliar o impacto financeiro, uma abordagem é usar um questionário para fazer perguntas, com respostas classificadas em uma escala de 1 a 5. Por exemplo:
- Qual seria a perda potencial de receita se essa função comercial fosse interrompida?
- Em quais multas e penalidades a empresa incorreria?
- Qual seria o aumento nos custos operacionais da empresa?
Também pode haver custos não monetários para a empresa. Isso inclui danos à reputação e perda de boa vontade. Seu questionário também pode incluir perguntas como:
- Qual seria o dano potencial à reputação da empresa?
- Qual seria o impacto no atendimento ao cliente?
Identificar possíveis ameaças a essas funções
Depois que a BIA identifica as funções críticas de negócios, ela determina os riscos associados a elas, bem como as condições que podem desencadear uma interrupção do processo de negócios e a probabilidade de recorrência do risco.
Prazos
Há três períodos de tempo que seu BIA deve abordar:
- Objetivo de Ponto de Recuperação (RPO) — Normalmente, o intervalo entre backups de dados que representa o tempo máximo durante o qual os dados podem ser perdidos em caso de desastre.
- Objetivo de Tempo de Recuperação (RTO) — O tempo que levaria para recuperar os dados a partir do backup.
- Tempo Máximo de Inatividade Permitido (MAD) — O período máximo de inatividade que uma determinada função empresarial pode suportar. Deve incluir o tempo necessário para restabelecer o pleno funcionamento da função após a restauração de um backup.
Dependências
Uma Análise de Impacto nos Negócios (BIA) deve identificar as dependências entre os processos de negócios e os sistemas. Isso ajuda a priorizar os sistemas que precisam ser recuperados em primeiro lugar. Uma BIA ajuda a determinar a ordem em que as funções ou processos perdidos devem ser restaurados. Uma função de negócios da qual dependem mais processos de negócios para seu funcionamento terá maior prioridade no processo de recuperação do que outras.
Também pode haver dependências em relação a determinados fornecedores com os quais você precisará trabalhar para restaurar vários sistemas e funções. Isso pode incluir fornecedores de TI e provedores de serviços de Internet, e deve ser documentado em seu BIA.
Existem padrões do BIA?
Várias normas fornecem orientação sobre como criar uma BIA. Entre elas estão a International Organization for Standardization (ISO) 22301, a National Fire Protection Act 1600 e a norma BCP do Federal Financial Institutions Examination Council (FFIEC) para instituições financeiras.
Análise de impacto nos negócios como parte do planejamento de continuidade dos negócios
Um plano de continuidade de negócios (BCP) descreve quais medidas devem ser tomadas em caso de interrupção ou falha, enquanto uma BIA identifica o risco que poderia causar a interrupção, bem como as funções críticas da empresa que poderiam ser afetadas por ela, e as prioriza para a recuperação. Uma BIA estabelece as bases para um plano de continuidade de negócios sólido e prepara uma organização para o esforço inevitável necessário para se recuperar de uma interrupção nos negócios. Os BCPs não se concentram apenas nas operações técnicas (problemas de hardware/software), mas também levam em consideração o pessoal e outros recursos associados à continuidade de negócios.
Quando a BIA estiver em vigor, é uma boa prática revisá-la e atualizá-la periodicamente, à medida que sua empresa muda com o tempo. Isso permite que você aproveite a BIA de forma eficaz para lidar com novos riscos e desafios. Recomenda-se que você faça isso pelo menos a cada dois anos. Uma BIA, em conjunto com o planejamento de continuidade dos negócios, permite que uma organização minimize o tempo de inatividade e garanta a produtividade da força de trabalho mesmo em caso de crise.
Saiba mais sobre o planejamento de continuidade de negócios em nosso e-book Transformando uma crise em uma oportunidade.
