Oferta por tempo limitado
Não perca os preços de 2024 agora para kits ISO 27001, exames de cursos e software!
Esta oferta é válida até 19 de dezembro de 2024.

Recuperação em caso de desastre vs. continuidade de negócios

Já aconteceu de sua gestão dar-lhe a responsabilidade de implementar a continuidade de negócios só porque você está no departamento de TI? Por que a continuidade de negócios normalmente está relacionada à tecnologia da informação?

Isto provavelmente acontece porque a continuidade de negócios tem suas raízes na recuperação de desastres, e a recuperação de desastres está totalmente ligada à tecnologia da informação. Vinte ou trinta anos atrás, a continuidade de negócios (CN) ainda não existia como um conceito, mas a recuperação de desastres (RD), sim – a principal preocupação era como salvar os dados caso ocorresse um desastre. Naquela época era muito comum adquirir equipamentos caros e colocá-los em um local remoto, de modo que todos os dados importantes de uma organização fossem preservados se, por exemplo, acontecesse um terremoto. O objetivo não era apenas preservar os dados, mas também processá-los mais ou menos com a mesma capacidade do local principal.

Mas depois de algum tempo, percebeu-se que esses dados seriam inúteis se não houve operações comerciais para utilizá-los. Foi assim que a ideia da continuidade de negócios nasceu – sua finalidade é permitir que a empresa continue funcionando, mesmo no caso de uma grande interrupção.

Definições

Vamos dar uma olhada nas definições: a continuidade de negócios é a “capacidade estratégica e tática da organização de se planejar e responder a incidentes e interrupções de negócios para conseguir continuar suas operações em um nível aceitável previamente definido” (BS 25999-2:2007), enquanto que a recuperação de desastres é “o processo, as políticas e os procedimentos relacionados à preparação para recuperação ou manutenção da infraestrutura tecnológica essencial para uma organização após um desastre natural ou induzido pelo homem” (Wikipedia.org).

Como você pode perceber a partir das definições, a ênfase na RD é a tecnologia, enquanto que na CN são as operações comerciais. Portanto, a recuperação de desastres é parte da continuidade de negócios. Você pode considerá-la como uma das principais possibilitadoras das operações comerciais, ou a parte tecnológica da continuidade de negócios.

No entanto, você deve ter notado outra coisa também: a definição de CN é uma citação da BS 25999-2, a principal norma em gestão da continuidade de negócios, enquanto que a definição da RD é citada da Wikipédia – na verdade, a “continuidade de negócios” é um termo oficial reconhecido nas normas, enquanto que a “recuperação de desastres” não é.

Implicações para a implementação

Então por que é uma má ideia o departamento de TI implementar a continuidade de negócios para toda a organização? Porque a continuidade de negócios é essencialmente uma questão comercial, não uma questão de TI. Se o departamento de TI fosse implementar a continuidade de negócios em toda a organização, ele não seria capaz de definir o grau de emergência das atividades comerciais, nem a importância das informações. Além disso, é uma questão de saber se iria conseguir obter o compromisso das partes comerciais da organização.

A melhor maneira de organizar a implementação da CN é a parte comercial liderar esse projeto. Assim você poderia conseguir uma maior consciência e aceitação de todas as partes da organização. O departamento de TI deve desempenhar seu papel nesse projeto – um papel fundamental – preparar os planos de recuperação de desastres.

Confira este webinar Implementing Business Impact Analysis according to ISO 22301 que explica como definir RTO e RPO para atividades críticas de negócios.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.