COVID-19 e Continuidade de negócio.

O COVID-19, aka corona-vírus, tornou-se um teste aos planos de continuidade de negócio das empresas, em particular nas zonas mais afetadas pelo vírus, demonstrando claramente os benefícios de possuir uma estrutura adequada e pronta a reagir em caso de cenários adversos.

Pela informação que se obtém da comunicação social e outras fontes noticiosas, verifica-se também a existência clara de uma diferença substancial no impacto desta crise nas empresas e outras organizações com base na localização geográfica.

Porque estarão a ser tão fortemente afectadas as empresas europeias em relação às suas congéneres nos EUA? Qual a diferença? Existência de uma metodologia diferente?

Analisando os paradigmas legais e de gestão, a diferença encontrada é substancial. Não só por questões culturais, mas também legais. Nos EUA é em muitos casos obrigatória a existência de planos de continuidade, no entanto o mesmo não se passa em relação à maior parte dos outros lugares do globo. Por exemplo, a SpaceX é obrigada por lei a ter os seus processos distribuídos por 3 instalações independentes (Califórnia, Nevada, Florida) de modo a garantir em qualquer caso o cumprimento dos seus compromissos.

Então, como manter uma organização a funcionar se os colaboradores não têm acesso às instalações nas zonas afectadas? Como manter cadeia de suprimentos nas zonas menos afectadas?

Metodologias

A resposta a este tipo de questões, e a outras relacionadas, pode ser conseguida com o recurso a instrumentos de gestão (https://defenselifecycle.com/continuidade-do-negocio/) como:

– Gestão de Risco (SGR)

– Business Impact Analisis (BIA)

– Business Continuity Plan (BCP)

– Gestão de Segurança de SI (SGSI)

Um acontecimento nunca deve ser uma surpresa, ou porque é algo que tem uma probabilidade elevada de acontecer (exemplo: terramotos em áreas sísmicas), ou um acontecimento de saúde pública (é este o caso), ou outras quaisquer com possível impacto no negócio (exemplos: ataques cibernéticos, rebeliões e guerras).

Sempre que é identificado um risco, o mesmo deve ser registado de modo a poder ser acompanhado e mitigado (SGR).

No registo, o possível espaço temporal da ocorrência, as suas condições e impactos esperados são tidos em conta, ou seja, neste caso em particular, desde o mês de Dezembro que deve existir acompanhamento, as primeiras analises de mitigação (sejam elas para minimizar impactos ou maximizar oportunidades) já estão a ser consideradas e com isso, nenhum acontecimento relativo a este risco deverá uma surpresa.

Sendo implementada uma cultura pró-activa, um relatório/analise que identifica todos os processos críticos ao negócio, as condições limite que são suportadas e previstas, e seus riscos associados é crítico (https://searchdisasterrecovery.techtarget.com/definition/business-continuity).

O BIA

No caso em particular da organização estar numa zona afectada por uma epidemia, onde a possibilidade de saúde de colaboradores é o principal risco; o BIA contém a identificação das vulnerabilidades relativas ao factor humano nos processos e sua identificação.

Com essa identificação, conseguem-se calcular quais são os “backups” de cada recurso humano, mitigar as suas falhas e fraquezas, para além de ser possível efetuar um calculo preciso do impacto tolerável que é suportado para cada processo. Por exemplo, existem dois colaboradores que têm conhecimento em tarefas de múltiplos processos, os mesmos num dado processo são os únicos a desempenhar acções; em caso de outros “falharem” eles ficarão numa situação de saturação por excesso de tarefas, levando a incumprimento e falhas.

Por outro lado, em zonas pouco afectadas temos o problema dos suprimentos, e aí o BIA identifica esses processos, possibilitando a mitigação da vulnerabilidade. Por exemplo, a cadeia de suprimentos pode estar em causa devido a suprimentos fundamentais estarem dependentes apenas de um fornecedor. O processo produtivo pode estar em risco.

Sabendo os “pontos fracos” dos processos de negócio indicados anteriormente pelo BIA, a mitigação destes pode ser implementada, ou por outras palavras, levar-se-á  a cabo a criação de um BCP.

Desta mitigação, fazem parte todos os planos de contingência, de comunicação ou de implementação, e outros ainda que sejam necessários para ultrapassar qualquer quebra de processo de negócio ou constrangimento.

O BCP

Estando identificadas dependências geográficas, políticas, humanas ou outras possíveis estas devem ser mitigadas (BCP), sem a necessidade de urgência  (pura reactividade), prevenindo, assim, custos adicionais. Por exemplo, se um fornecedor não garantir os suprimentos, então já deverá estar prevista a activação de uma alternativa, sabendo previamente o tempo que demora a sua activação e as respetivas condições.

Se a vulnerabilidade incidir nos colaboradores, já deverão existir planos previstos de contingência. Por exemplo, se um grupo de colaboradores ficar indisponível, já estarão previamente consideradas acções (treino, formação, etc) para que outros os possam substituir, mantendo os níveis mínimos suportáveis.

Observa-se que mesmo grandes organizações ignoram estes procedimentos, provocando paragem de processos devido a quebras de fornecimento de suprimentos. É esta a diferença que encontramos no que concerne às consequências relatadas pelas notícias diárias.

E que consequências nos Sistemas de Informação? Este componente não é afectado de forma substancial numa primeira análise, porém, como os utilizadores fazem parte do sistema e, estão incluídos neste problema (a disponibilidade de sistemas e seus processos deve ser garantida), serão facilmente ignorados um conjunto que questões:

– Existem processos integrados no SGSI que são críticos e estão documentados no BIA?

– Pode existir constrangimentos de comunicações e outros suprimentos?

– Pode aumentar erros humanos devido a pressão ou facilitismos?

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *