Esta seção fornece orientações sobre os processos realizados no sistema para apoiar as análises de impacto no negócio (Business Impact Analyses - BIA). De acordo com a norma ABNT NBR 15999-1, a análise de impacto no negócio é "o processo de analisar as funções do negócio e os efeitos que uma interrupção pode causar nelas". A ideia básica de uma BIA é analisar os componentes de negócio da organização e estimar os impactos que uma interrupção teria sobre eles, permitindo que sejam considerados críticos ou não para a organização e priorizados para as atividades de continuidade.
O sistema oferece suporte para o gerenciamento e a automatização de processos de BIA através de fluxos que permitem que a situação de cada BIA seja monitorada e enviam notificações para os envolvidos na análise sobre o que é esperado de cada um deles em cada etapa.
O primeiro passo é fazer um inventário dos componentes de negócio e dos ativos que os suportam e que sejam considerados relevantes em termos de continuidade de negócios. Durante essa fase, as propriedades desses componentes de negócio e ativos devem ser cadastradas no módulo Organização, incluindo os responsáveis por eles, sua relevância e suas associações com outros componentes de negócio e ativos. Campos específicos de continuidade de negócios aparecem para cada componente de negócio na aba Dados de BIA e na aba Requisitos de Continuidade, que podem ser habilitadas no módulo Administração para um ou mais tipos de componentes de negócio. O preenchimento da Tabela de Impactos na aba Dados de BIA, que mede diferentes impactos ao longo do tempo, é especialmente importante nessa fase. Por exemplo, o impacto financeiro da interrupção de um determinado componente de negócio é medido em um prazo que varia entre imediato e 30 dias. Os dados dessa tabela são usados para calcular a Medida de Impacto após a conclusão de uma análise de impacto, explicada mais adiante. Para mais detalhes sobre como habilitar essas abas, veja o Capítulo 17: Administração -> Customizações -> Apresentação.
O próximo passo é iniciar uma análise de impacto no módulo de Continuidade, que é um conjunto de atividades que permitem determinar a importância de cada um dos componentes de negócio da organização de acordo com o impacto resultante de sua interrupção. Durante esta etapa, os componentes de negócio são incluídos no escopo da BIA e os seus dados são enviados para revisão. Aqueles alocados como responsáveis por esses componentes poderão então confirmar ou atualizar esses dados – incluindo suas associações com ativos e os valores para os diferentes tipos de impacto ao longo do tempo. Essas informações devem ser validadas e podem opcionalmente ser enviadas para aprovação. Qualquer número de aprovadores pode ser alocado para revisar as informações fornecidas pela pessoa responsável para o componente de negócio, e os aprovadores podem aprovar esses dados ou solicitar alterações. Uma vez aprovados os dados, a Medida de Impacto é calculada através da fórmula padrão, baseada nos impactos estimados ao longo do tempo. Essa medida calculada é, portanto, o principal resultado de uma análise de impacto nos negócios.
A Medida de Impacto é utilizada para ajudar os gestores de continuidade a determinar se um componente de negócio incluído no escopo da BIA é crítico, o que pode ser feito simplesmente selecionando o componente de negócio e o marcando como crítico ou não. Os responsáveis por componentes de negócio marcados como críticos devem usar as informações fornecidas na aba Dados de BIA de cada componente de negócio no módulo Organização para então preencher os campos na aba Requisitos de Continuidade.
As propriedades RPO (Recovery Point Objective) e RTO (Recovery Time Objective), da aba Requisitos de Continuidade, são especialmente importantes. O RPO é o ponto ou nível aceitável para a recuperação de dados. Supõe-se aqui que em muitos casos só haverá uma recuperação parcial de dados em relação ao nível que estava disponível antes da interrupção. Por exemplo, se a rotina do backup para os dados relativos às vendas de produtos é de 18 horas, isto implica que no pior dos casos, no máximo 18 horas de dados serão perdidas. O RPO para este processo é então de 18 horas, dado que existe uma tolerância para perda de até 18 horas de dados.
O RTO, por outro lado, é o tempo que a organização considera ideal para que sistemas, aplicações, serviços ou processos sejam restaurados depois de uma interrupção causada por um incidente. Por exemplo, pode haver cláusulas em SLAs (contrato de nível de serviço) que determinam que o suporte técnico não pode ser interrompido por mais de 24 horas e que multas sejam aplicadas caso isso aconteça. Nesse caso, o RTO para este processo seria de 24 horas. O RTO também pode indicar o tempo desejado para a recuperação de uma atividade ou serviço em um nível de desempenho previamente estabelecido.
Uma terceira propriedade relacionada ao RTO é o MTPD (maximum tolerable period of disruption), que é o período máximo tolerável de interrupção de um serviço, aplicação ou sistema. De acordo com a norma NBR 15999, essa é a "duração a partir da qual a viabilidade da organização será inevitavelmente ameaçada caso a entrega de produtos e serviços não seja restaurada". Gestores utilizam esse parâmetro para ajudar a determinar, por exemplo, que o MTPD de um determinado processo é de 5 dias, e que se o sistema ou serviço não for restaurado, existem riscos significativos para o negócio ou para a continuidade da própria organização. Observe que o RTO deve ser menor ou igual ao MTPD.
Em seguida, os recursos necessários ao componente de negócio para assegurar sua continuidade também devem ser especificados nesta aba. Para isso, uma tabela específica é fornecida, onde qualquer número de ativos pode ser associado aos seus respectivos ativos de contingência, e detalhes podem ser fornecidos para qualificar esta associação. Essas informações serão utilizadas na preparação de planos de continuidade para o componente de negócio.
Um resumo desse processo está descrito abaixo:
1) Os gestores de continuidade selecionam os componentes de negócio que serão incluídos no escopo de uma análise de impacto no negócio.
2) Os gestores de continuidade definem parâmetros de revisão para cada componente de negócio incluído no escopo da BIA, incluindo a frequência de revisão e as pessoas a serem alocadas para aprovar dados sobre eles, uma vez que tenham sido revisados por seus responsáveis. Observe que a aprovação é opcional, e se nenhum aprovador for alocado, os dados do componente de negócio serão considerados válidos uma vez que a pessoa responsável por ele os confirme.
3) Uma revisão dos dados do componente de negócio é iniciada para que os gestores de continuidade possam ter certeza de que dados precisos e atualizados estão sendo utilizados. Nessa etapa, aqueles alocados como responsáveis por cada componente de negócio no módulo Organização irão revisar os dados de cada um, fazer as alterações necessárias e confirmá-los.
4) Uma vez revisados, os dados do componente de negócio são então confirmados por quaisquer aprovadores alocados. Aprovadores têm a opção de rejeitar esses dados, fornecendo detalhes sobre por que não foram aprovados para que os responsáveis pelo componente de negócio possam então fazer as alterações necessárias.
5) Depois que os dados são confirmados pelo aprovador final, a Medida de Impacto é calculada.
6) A Medida de Impacto é usada para ajudar gestores de continuidade a determinar se o componente de negócio é crítico e se estratégias e planos deveriam ser preparados para assegurar a sua continuidade.
7) Uma vez que os processos críticos tenham sido identificados, os gestores de continuidade devem assegurar que os responsáveis pelos componentes de negócio forneçam detalhes sobre os requisitos de continuidade para cada um, disponíveis como uma aba separada para cada componente de negócio no módulo Organização.