Já aconteceu de sua gestão dar-lhe a responsabilidade de implementar a continuidade de negócios só porque você está no departamento de TI? Por que a continuidade de negócios normalmente está relacionada à tecnologia da informação?
Isto provavelmente acontece porque a continuidade de negócios tem suas raízes na recuperação de desastres, e a recuperação de desastres está totalmente ligada à tecnologia da informação. Vinte ou trinta anos atrás, a continuidade de negócios (CN) ainda não existia como um conceito, mas a recuperação de desastres (RD), sim – a principal preocupação era como salvar os dados caso ocorresse um desastre. Naquela época era muito comum adquirir equipamentos caros e colocá-los em um local remoto, de modo que todos os dados importantes de uma organização fossem preservados se, por exemplo, acontecesse um terremoto. O objetivo não era apenas preservar os dados, mas também processá-los mais ou menos com a mesma capacidade do local principal.
Mas depois de algum tempo, percebeu-se que esses dados seriam inúteis se não houve operações comerciais para utilizá-los. Foi assim que a ideia da continuidade de negócios nasceu – sua finalidade é permitir que a empresa continue funcionando, mesmo no caso de uma grande interrupção.
Definições
Vamos dar uma olhada nas definições: a continuidade de negócios é a “capacidade estratégica e tática da organização de se planejar e responder a incidentes e interrupções de negócios para conseguir continuar suas operações em um nível aceitável previamente definido” (BS 25999-2:2007), enquanto que a recuperação de desastres é “o processo, as políticas e os procedimentos relacionados à preparação para recuperação ou manutenção da infraestrutura tecnológica essencial para uma organização após um desastre natural ou induzido pelo homem” (Wikipedia.org).
Como você pode perceber a partir das definições, a ênfase na RD é a tecnologia, enquanto que na CN são as operações comerciais. Portanto, a recuperação de desastres é parte da continuidade de negócios. Você pode considerá-la como uma das principais possibilitadoras das operações comerciais, ou a parte tecnológica da continuidade de negócios.
No entanto, você deve ter notado outra coisa também: a definição de CN é uma citação da BS 25999-2, a principal norma em gestão da continuidade de negócios, enquanto que a definição da RD é citada da Wikipédia – na verdade, a “continuidade de negócios” é um termo oficial reconhecido nas normas, enquanto que a “recuperação de desastres” não é.
Implicações para a implementação
Então por que é uma má ideia o departamento de TI implementar a continuidade de negócios para toda a organização? Porque a continuidade de negócios é essencialmente uma questão comercial, não uma questão de TI. Se o departamento de TI fosse implementar a continuidade de negócios em toda a organização, ele não seria capaz de definir o grau de emergência das atividades comerciais, nem a importância das informações. Além disso, é uma questão de saber se iria conseguir obter o compromisso das partes comerciais da organização.
A melhor maneira de organizar a implementação da CN é a parte comercial liderar esse projeto. Assim você poderia conseguir uma maior consciência e aceitação de todas as partes da organização. O departamento de TI deve desempenhar seu papel nesse projeto – um papel fundamental – preparar os planos de recuperação de desastres.
Confira este webinar Implementing Business Impact Analysis according to ISO 22301 que explica como definir RTO e RPO para atividades críticas de negócios.