O que é a resiliência operacional?

Resiliência operacional é a capacidade de prevenir, detectar, responder a, recuperar-se de e aprender com interrupções operacionais. Para as organizações, a resiliência operacional garante a continuidade e a estabilidade dos negócios, no presente e no futuro. As empresas que demonstram resiliência geram retornos mais altos, mesmo em tempos de crise econômica.¹

O que é preciso para ter resiliência operacional? Planejamento cuidadoso e uma estratégia de framework de pessoas, processos e tecnologia (PPT). A resiliência operacional eficaz é uma estratégia de mitigação e gerenciamento de riscos que melhora os processos de resposta e recuperação. Interrupções podem provocar perda de receita, desconfiança do cliente e danos à reputação. A resiliência operacional minimiza o impacto de eventos potencialmente disruptivos em uma organização, seus parceiros e clientes. Em outras palavras, garante que o show continue.

Os pilares da resiliência operacional mantêm sua empresa funcionando, mesmo quando ocorrem interrupções. A resiliência operacional pode ser dividida em cinco pilares:

Identificação e avaliação de riscos. Identificar e avaliar riscos é fundamental para a estratégia de gerenciamento de riscos, uma iniciativa essencial da resiliência operacional. Expandir e crescer é um negócio arriscado! Violações de segurança, mudanças econômicas, interrupções na cadeia de suprimentos, transformações intraorganizacionais e outros fatores representam ameaças potenciais.

Os métodos para identificar e avaliar riscos incluem: brainstorming, revisões de documentação, coleta de informações, análise de pontos fortes, fracos, oportunidades e ameaças (SWOT), análise de causa raiz (RCA), análise de suposições e registros de riscos. A priorização de riscos melhora as capacidades de resposta. As equipes envolvidas podem agir com pouca ou nenhuma interrupção nas atividades de negócios.

Planejamento da continuidade dos negócios. Para que uma empresa continue “como sempre” diante de uma interrupção, você deve estabelecer uma ordem de operações e uma lista de partes interessadas para qualquer cenário de interrupção. Esse é o planejamento da continuidade dos negócios, que se baseia em metodologias de identificação e avaliação de riscos para fornecer soluções para possíveis interrupções. Um comitê de planejamento composto por líderes executivos, de TI e de segurança prepara as ações a serem tomadas diante de interrupções para minimizar seu impacto.

Um plano de continuidade de negócios bem-sucedido depende de várias etapas: coleta de informações (avaliação de risco), desenvolvimento e elaboração do plano, implementação, testes e manutenção e atualizações contínuas. Os fatores ambientais mudam — desde fatores externos, como novas leis e regulamentações, até fatores internos, como novas tecnologias internas. Portanto, revisar regularmente seu plano de continuidade dos negócios é crucial para sua viabilidade.

Dependendo do tamanho da sua organização, há vários elementos a serem considerados e uma quantidade variável de risco a ser contabilizada. Um bom plano de continuidade dos negócios é simples. Ele identifica os recursos vitais para operações contínuas, os locais relevantes para a continuidade das operações, as pessoas responsáveis pelas operações e os custos potenciais.

Resposta a incidentes e recuperação. As empresas enfrentam violações, ameaças ou ataques de segurança cibernética como algo inevitável na era digital. Planos de resposta a incidentes e recuperação são processos formalizados e tecnologias que previnem ataques cibernéticos e minimizam seu impacto caso ocorram. Incidentes de segurança comuns incluem ransomware, phishing e engenharia social, ataques de negação de serviço distribuída (DDoS), ataques à cadeia de suprimentos ou ameaças internas.

Os planos de resposta a incidentes e recuperação são normalmente criados por uma equipe dedicada de resposta a incidentes de segurança de computadores (CSIRT). Os membros dessa equipe geralmente são o diretor de segurança da informação (CISO) da organização, seu centro de operações de segurança (SOC), equipe de TI, partes interessadas da diretoria, departamentos jurídico e de RH, gerenciamento de riscos e conformidade regulatória. Esses planos detalham as funções e responsabilidades de cada parte interessada no caso de qualquer incidente. Eles descrevem os protocolos para restaurar os sistemas afetados durante uma interrupção, um conjunto detalhado de etapas a serem seguidas em resposta a um incidente, um protocolo de comunicação para informar todas as partes afetadas e metodologias de coleta de dados para revisões pós-incidente e aprendizados futuros.

Um processo de resposta a incidentes e recuperação também deve incluir etapas para detecção e análise, protocolos de contenção e soluções para erradicação. Depois que uma ameaça é detectada e analisada pelas equipes de segurança cibernética, deve ser contida para limitar os danos. Medidas de contenção de curto prazo abordam a ameaça imediatamente para neutralizá-la, enquanto medidas de contenção de longo prazo se concentram em fortalecer as defesas dos sistemas não afetados. Depois que uma ameaça é contida, as equipes podem remediar o problema erradicando-o completamente. Só então a recuperação entra em ação: as equipes restauram os sistemas à operação normal por meio de patches ou colocando-os novamente online.

Gestão de crise. A gestão de crise é definida pela forma como as organizações respondem a qualquer crise — grande ou pequena. Um evento disruptivo ocorre, a organização reage e coloca seu plano de continuidade dos negócios em ação. Isso é gestão de crise. Liderança eficaz, protocolos eficientes e mobilização rápida distinguem uma operação de gestão de crise bem-sucedida de uma fracassada.

Governança e cultura adaptáveis. Uma gestão de crise eficaz exige agilidade e adaptabilidade das organizações. Respostas rápidas a interrupções são apenas uma parte da obtenção de resiliência operacional. Ao adotar uma governança e uma cultura adaptáveis, as organizações também estão aprendendo ativamente com seu ambiente e com os incidentes para informar futuras tomadas de decisões. É como praticar uma mentalidade de crescimento em nível organizacional.

A resiliência operacional é importante para os resultados financeiros de qualquer organização. Quando os serviços ficam lentos, indisponíveis ou são hackeados, isso afeta os clientes e sua segurança. Dependendo do setor, as ramificações podem variar de inconvenientes a ameaças à vida, como na área da saúde. Elas podem prejudicar a confiança do cliente e ter repercussões legais — um vazamento de dados pode até constituir uma violação da conformidade regulatória. No curto prazo? Você trabalha intensivamente em esforços de resolução. Mas no longo prazo, sua reputação sofre.

A resiliência operacional permite que as equipes de TI minimizem o tempo de inatividade, o que garante uma rápida recuperação, reduz interrupções operacionais e mantém a produtividade. Evitar interrupções ou resolvê-las rapidamente também preserva a confiança do cliente e a reputação da organização. Isso, por sua vez, protege as organizações contra perda de receita e a instabilidade financeira resultante.

Continuidade dos negócios e resiliência operacional às vezes são usadas de forma intercambiável, mas variam quanto ao escopo e à abordagem. A continuidade dos negócios é um pilar da resiliência operacional, referindo-se a um tipo formal e específico de planejamento destinado a garantir que os negócios continuem sem problemas e rapidamente em caso de interrupção.

A resiliência operacional é uma abordagem abrangente e proativa que ajuda as organizações a resistir, se adaptar e prosperar durante e após as interrupções. Ela envolve avaliações constantes para promover melhorias contínuas. Todos os aspectos da organização são reavaliados, incluindo cadeias de suprimentos, tecnologias, comunicações e sua força de trabalho.

A resiliência operacional depende da governança adaptativa e da melhoria contínua para complementar os procedimentos de recuperação. Para que uma empresa demonstre resiliência, são necessárias metodologias de planejamento de continuidade dos negócios e resiliência operacional.

Alcançar a resiliência operacional é cada vez mais desafiador, pois novas tecnologias surgem antes que as organizações tenham tempo de se adaptar às suas versões anteriores mais recentes. As ameaças cibernéticas também estão cada vez mais sofisticadas, exigindo investimentos significativos em profissionais e tecnologias de segurança cibernética por parte das organizações. As cadeias de suprimentos estão mais complexas do que nunca, dependendo de uma rede intrincada de agentes globais, todos regidos por diferentes requisitos regulatórios.

Para qualquer organização, equilibrar custos e garantir a resiliência é um desafio constante. Afinal, a resiliência operacional tem um impacto significativo na produtividade de qualquer organização e, portanto, em sua viabilidade financeira. As empresas devem identificar suas prioridades para entender a melhor forma de alocar fundos e recursos para manter a estabilidade e o crescimento.

Mitigar ameaças cibernéticas e violações de dados também exige mais recursos do que nunca. Os agentes de ameaças estão mais bem equipados e as empresas têm superfícies de ataque mais amplas, aumentando o número de vulnerabilidades. Um ambiente digital expandido, ao mesmo tempo em que oferece à organização mais flexibilidade e velocidade no desenvolvimento, também é um desafio significativo para a resiliência operacional.

O aprimoramento da resiliência operacional começa com o desenvolvimento de um framework de resiliência abrangente. As empresas precisam adotar uma abordagem estruturada e integrar frameworks de resiliência em todos os aspectos da organização, do planejamento estratégico às operações diárias.

Para uma resiliência eficaz de segurança cibernética, as organizações precisam implementar medidas robustas e realizar testes e simulações regulares. Uma abordagem proativa é metade do caminho andado para uma organização com resiliência cibernética. Ela também garante que planos de resposta a incidentes e recuperação completos e relevantes tenham sido formalizados. A preparação é fundamental.

Em última análise, a resiliência é uma questão de cultura dentro da organização. Uma comunicação eficaz em todos os canais e um compromisso com o aprendizado contínuo demonstrado pela liderança são essenciais para aumentar a resiliência operacional.

À medida que as empresas continuam a aumentar seus investimentos em tecnologias de IA e machine learning, podemos vê-las sendo usadas para reforçar a resiliência operacional. Modelos de resiliência preditiva, que utilizam analítica de dados e machine learning, podem impulsionar iniciativas de gerenciamento de risco ao aprender a antecipar possíveis interrupções, mais rápido e com mais detalhes do que os analistas por si só.

A colaboração global e o compartilhamento de informações também desempenharão um papel importante no fomento de organizações mais resilientes. À medida que as cadeias de suprimentos cruzam fronteiras e a maioria das empresas emprega funcionários em diferentes fusos horários sem sinais de recuo, a cooperação internacional no campo da conformidade regulatória, novas ameaças e estratégias de segurança ajudará a garantir que as organizações sejam resilientes.

Para esperar o inesperado, as empresas devem considerar estratégias de resiliência sustentáveis e de longo prazo. Com a crise climática se desenrolando e causando eventos climáticos capazes de causar sérias perturbações, a resiliência anda de mãos dadas com escolhas sustentáveis. Ela não se limita a medidas de proteção — a verdadeira resiliência operacional exigirá reinvenção e inovação.

• Achieve operational resilience with a flexible data store (Como alcançar a resiliência operacional com um datastore flexível)
• From vision to reality: Your guide to using generative AI to improve operational resilience (Da visão à realidade: seu guia de uso da IA generativa para melhorar a resiliência operacional)
• Melhorando a resiliência operacional com IA generativa
• Generative AI for business observability: What IT leaders need to know (IA generativa para observabilidade empresarial: o que os líderes de TI precisam saber)
• Aprimore a resiliência operacional resolvendo as dificuldades com dados ocultos
• DORA: A paradigm shift in cybersecurity and operational resilience (DORA: uma mudança de paradigma na segurança cibernética e na resiliência operacional)
• GovLoop playbook: Strengthening operational resilience (Manual do GovLoop: fortalecimento da resiliência operacional)

McKinsey, Resilience for sustainable, inclusive growth. 2022.