A continuidade de negócio é a capacidade de uma organização manter a sua atividade durante e após a ocorrência de um desastre, recuperando com o menor impacto e tempo de inatividade possível. Arrisco em dizer que isto será um objetivo de todas as organizações, porém nem sempre é fácil que estas possam despender tempo e recursos para planear a continuidade, definindo cenários hipotéticos de desastre e métodos alternativos que, se tudo correr bem, podem nunca vir a ser usados. Contudo, os últimos dois anos têm-nos mostrado a todos que acontecimentos com baixa probabilidade não significam baixo risco e que todas as organizações precisam estar preparadas para situações inesperadas. Têm sido tempos de reflexão e mudança que levam as organizações a estarem mais conscientes da necessidade de analisarem e implementarem estratégias de continuidade.

A ISO 22301 vem apoiar as organizações no desenho desta estratégia de continuidade, indicando o caminho para a criação de um sistema que irá trabalhar este tema na organização ao longo do tempo. O primeiro passo que damos com os nossos clientes é o de definir quais são as atividades críticas para o negócio e quais os recursos necessários para que essas atividades se possam realizar, através de uma Análise de Impacto ao Negócio (BIA – Business Impact Analysis). Paralelamente, fazemos uma Análise de Risco (Continuity Risk Assessment) ao contexto interno e externo da organização para identificação dos riscos a que a organização está exposta, sejam eles desastres naturais, ataques cibernéticos, falhas de tecnologia, escassez de recursos humanos, interrupções no fornecimento de produtos ou serviços críticos, entre outros, variando de realidade para realidade. Tudo isto ajuda-nos a definir com o cliente quais os cenários de desastre possíveis para a organização e quais os procedimentos, planos e redundâncias que têm de ser implementados para responder a estes cenários. Para além das estratégias definidas, são escolhidos as ferramentas e os processos que permitirão a deteção de sinais de alerta de um evento potencialmente disruptivo, ajudando as organizações a ativar os seus procedimentos e planos com a maior rapidez possível. Estes planos e procedimentos não serão só usados em momentos de crise, mas sim divulgados, conhecidos e testados para garantir que estão adequados e, acima de tudo, que são exequíveis.

Quando ajudamos os nossos clientes na implementação desta norma, estamos a ajudá-los não só a definirem a estratégia adequada para aquele momento da organização, mas a desenvolverem mecanismos para olhar para a continuidade de negócio como algo em constante mudança, isto porque as estratégias criadas hoje podem não ser as mais adequadas amanhã, dado que surgem constantemente novos riscos e necessidades. As mudanças climáticas, a busca pela sustentabilidade, a mudança de comportamentos e formas de trabalho são exemplo disso. Usando este último exemplo as organizações nas quais o teletrabalho é uma realidade terão de contemplar na sua estratégia de continuidade recursos e riscos que não incluiriam anteriormente (ex: conectividade de internet dos colaboradores em teletrabalho, maior número de ameaças ao nível da segurança e disponibilidade de informação, ferramentas de comunicação, entre outros).

Em resumo, com uma forte estratégia de continuidade, as organizações estarão a transformar o inesperado em algo esperado, concreto e planeado o que lhes permitirá economizar dinheiro, tempo e a evitar perdas, coimas ou quebras de reputação, bem como ter mecanismos para se adaptarem às constantes mudanças que vão surgindo.