BCM – Business Continuity Management ou Gerenciamento de Continuidade de Negócios: é um framework para identificar o risco de exposição de uma organização a ameaças internas e externas.
Na ISO 22301: 2012, BCM possui a seguinte definição: O Gerenciamento de Continuidade de Negócios (BCM) é definido como um processo de gerenciamento holístico que identifica ameaças potenciais a uma organização e os impactos para operações comerciais que ameaças, se realizadas, podem causar e que fornecem uma estrutura para a construção de resiliência organizacional com a capacidade de uma efetiva Resposta que salvaguarde os interesses de suas principais partes interessadas, reputação, marca e atividades de criação de valor.
O BCM abrange:
- Recuperação de desastres
- Recuperação de negócios
- Gerenciamento de crises
- Gerenciamento de incidentes
- Gerenciamento de emergência
- Planejamento de contingência
Uma vez compreendido o contexto, vamos aos fatos!
Regularmente o Instituto Ponemon realiza uma pesquisa intitulada “Estudo do Custo da Violação de dados: Impacto no Gerenciamento de Continuidade de Negócios” que analisa os benefícios financeiros e de reputação de ter um programa BCM numa organização frente a uma violação de dados.
O estudo mundial realizado em 2016, envolvendo 383 empresas de 16 setores da indústria, constatou que todas as organizações participantes tiveram uma violação de dados que variavam entre 3.000 e 101.500 registros comprometidos. Lembrando que “registro comprometido” é definido como aquele que identifica o indivíduo cuja informação foi perdida ou roubada em uma violação de dados.
Metade dessas empresas (52%), no entanto, possui a função BCM ou uma equipe envolvida no gerenciamento de riscos corporativos, recuperação de desastres e gerenciamento de crises. Esses especialistas são envolvidos quando uma empresa possui uma violação de dados e, como resultado de seu envolvimento, a resolução da violação de dados é mais eficiente e menos onerosa.
Para elas, o estudo lista os benefícios que tiveram com o programa BCM:
- Tempo médio substancialmente menor para identificar e conter o incidente de violação de dados.
- O envolvimento no planejamento e execução da resposta a incidentes de violação de dados é muito significativo.
- Minimiza as interrupções nas operações de negócio quando ocorre uma violação de dados.
- Melhora a resiliência das operações de TI.
- Pode proteger a reputação de uma empresa após uma violação de dados.
- O custo da violação de dados é mais caro se o BCM não faz parte do planejamento e execução da resposta a incidentes de violação de dados.
- A economia do custo por dia é substancial.
- A probabilidade de ter uma futura violação de dados é maior para as empresas que não envolvem o BCM como parte de seu planejamento de resposta a incidentes.
- Alemanha e Japão possuem a maior porcentagem de empresas que envolvem suas equipes de BCM para ajudar no planejamento e execução de resposta a incidentes de violação de dados. Os países com o menor envolvimento são o Brasil e a região Árabe. Com exceção da Itália, todos os países aumentaram o envolvimento do BCM no processo de gerenciamento de incidentes de violação de dados.
Numericamente falando, podemos avaliar o impacto dos Programas de Gerenciamento de Continuidade de Negócios sobre o Custo da Violação de Dados:
- Redução de US $ 9 no custo per capita de violação de dados
- 11% de redução no custo per capita de violação de dados
- Redução de 15% no custo total da violação de dados
- Redução de 52 dias no tempo médio para identificar uma violação de dados
- Redução de 36 dias no tempo médio para conter uma violação de dados
- Redução de 29% na probabilidade de uma violação de dados nos próximos 2 anos
Uma análise adicional baseada em 33 entrevistas com pessoas responsáveis pelo gerenciamento do processo de resposta a incidentes de violação de dados revelou as seguintes razões que contribuem para os benefícios financeiros e de reputação de um programa BCM:
- Define planejamento e testes rigorosos
- Habilita um canal de comunicação vertical e horizontal em tempos de crise
- Estabelece uma estrutura para reduzir a complexidade do processo de resposta a incidentes
- Aumenta a perspicácia organizacional e a conscientização sobre eventos de crise como resultado do cumprimento das políticas, planos e padrões do BCM
- Fornece liderança e conhecimento que suportam o gerenciamento proativo de risco significativo
- Promove uma cultura que abrange monitoramento e vigilância proativos
Esse estudo comprova a importância das empresas em adotarem um Programa BCM para a mitigação de ameaças internas e externas. Diante de tantos ataques de ransomware que temos presenciado recentemente, além de outras ameaças, se sua empresa ainda não possui BCM, vale pensar a respeito!
