O que são BCP e DRP — e por que a distinção importa
Planejamento de continuidade de negócios (BCP) e planejamento de recuperação de desastres (DRP) são disciplinas complementares, mas com escopos distintos. Confundi-las leva a lacunas que só aparecem no pior momento possível: durante um incidente real.
O BCP — Business Continuity Plan cobre toda a organização. Ele define como funções críticas serão mantidas durante qualquer tipo de disrupção: ransomware, apagão elétrico, perda de instalação física, pandemia ou falha de fornecedor estratégico. O BCP responde à pergunta de negócio: como a empresa continua operando? Ele envolve pessoas, processos, fornecedores, comunicação e instalações alternativas — não apenas tecnologia.
O DRP — Disaster Recovery Plan é um subconjunto técnico do BCP. Ele foca na restauração de sistemas de TI, dados e infraestrutura digital após eventos de disrupção severa. O DRP responde à pergunta técnica: como os sistemas voltam ao ar, em que ordem e em quanto tempo? Sem um BCP estruturado por trás, o DRP resolve a TI mas deixa o negócio sem direção.
A interdependência é clara: o BCP define os objetivos de recuperação que o DRP deve cumprir. Se o processo de cobrança tem RTO de 4 horas, a equipe de TI responsável pelo sistema de ERP precisa entregar a recuperação dentro desse prazo. Essa cadeia de accountability — do negócio para a tecnologia — só existe quando BCP e DRP foram desenvolvidos em conjunto.
BIA: a base analítica de todo o planejamento
A Análise de Impacto no Negócio (BIA) é o processo que transforma suposições em números. Sem ela, os planos de continuidade são opiniões — com ela, são decisões fundadas em dado.
A BIA parte da identificação dos processos críticos de negócio. Não todos os processos: apenas aqueles cuja interrupção causa impacto inaceitável em receita, conformidade regulatória, reputação ou segurança de pessoas. Para cada processo identificado, a BIA mapeia:
- Dependências internas: sistemas de TI (ERP, CRM, plataforma de pagamentos), equipes específicas, instalações físicas, dados críticos.
- Dependências externas: fornecedores de nuvem, provedores de telecomunicações, parceiros logísticos, bancos liquidantes.
- Impacto financeiro por intervalo de tempo: perda na primeira hora, no primeiro dia, na primeira semana. Inclui receita não realizada, custos de recuperação de emergência, multas contratuais e danos à reputação.
- MTD (Maximum Tolerable Downtime): o ponto de não-retorno — quanto tempo a organização consegue sobreviver sem aquela função antes de sofrer dano irreversível.
O produto da BIA é um documento de prioridades: quais processos devem ser recuperados primeiro, quais recursos são inegociáveis e qual o custo de não ter continuidade. Esse documento é a justificativa técnica para cada centavo investido em resiliência.
RTO e RPO: os dois números que governam toda decisão técnica
Derivados da BIA, RTO e RPO são os parâmetros que transformam objetivos de negócio em requisitos técnicos concretos.
O RTO (Recovery Time Objective) é o tempo máximo aceitável entre o início de uma interrupção e a retomada plena da operação de um processo. Ele deve ser menor que o MTD, com margem de segurança. Se o sistema de faturamento tem MTD de 8 horas, o RTO deve ser no máximo 5–6 horas — reservando tempo para imprevistos.
O RPO (Recovery Point Objective) é a quantidade máxima de dados que a organização aceita perder, expressa em tempo. Um RPO de 1 hora significa que a organização tolera perder no máximo 60 minutos de transações. Isso impõe um requisito direto sobre a frequência de backup ou replicação de dados.
| Criticidade do processo | Exemplo | RTO típico | RPO típico | Estratégia de TI indicada |
|---|---|---|---|---|
| Crítico (Tier 1) | Plataforma de pagamentos, sistemas bancários core | < 1 hora | < 5 minutos | Alta disponibilidade ativa-ativa, replicação síncrona |
| Alto (Tier 2) | ERP, e-commerce, atendimento ao cliente | 2–4 horas | 15–60 minutos | Hot site ou DRaaS com replicação assíncrona |
| Médio (Tier 3) | RH, BI, intranets internas | 4–24 horas | 4–8 horas | Warm site, backup frequente com restauração rápida |
| Baixo (Tier 4) | Sistemas de arquivo, relatórios históricos | 24–72 horas | 24 horas | Cold site ou restauração de backup diário |
Estratégias de continuidade: do backup ao failover total
Com RTO e RPO definidos, é possível escolher as estratégias adequadas — sem superestimar (custo proibitivo) nem subestimar (recuperação fora do prazo).
Para dados e sistemas de TI
O padrão mínimo aceitável é a regra 3-2-1: três cópias dos dados, em dois tipos de mídia diferentes, com uma cópia offsite. Para resistir a ransomware, a terceira cópia deve ser imutável — armazenada em repositório com proteção WORM (Write Once, Read Many) ou em storage que impossibilite modificação via credencial comprometida. Backup sem imutabilidade não é backup contra ransomware: é apenas um espelho que o atacante também vai criptografar.
Para RTOs abaixo de 4 horas, backup não é suficiente: a organização precisa de replicação contínua para ambiente alternativo. As opções variam em custo e velocidade de ativação:
- Hot site: infraestrutura espelhada rodando em standby, com dados replicados em tempo real. Ativação em minutos. Custo mais alto.
- Warm site: hardware pre-provisionado, dados replicados periodicamente, requer configuração antes de ativar. Ativação em horas.
- Cold site: espaço físico ou capacidade de nuvem reservada, sem replicação contínua. Ativação em dias. Menor custo, usado para processos Tier 3 e 4.
- DRaaS (Disaster Recovery as a Service): provedor gerencia a infraestrutura de failover, normalmente baseada em nuvem. Combina custo moderado com ativação relativamente rápida (1–4 horas).
Para pessoas e instalações
Tecnologia recuperada sem pessoas capazes de operá-la não resolve o problema. O BCP deve incluir: cross-training de todos os papéis críticos (todo cargo essencial com ao menos uma pessoa de backup treinada); sites de trabalho alternativo pré-identificados e contratados; e capacidade de trabalho remoto testada — não apenas declarada.
Para fornecedores e cadeia de suprimentos
Fornecedores únicos são pontos cegos. A BIA deve identificar dependências críticas em terceiros e o BCP deve documentar alternativas pré-qualificadas com contratos ou acordos de contingência ativados sob demanda. A falha de um provedor de nuvem, de um processador de pagamentos ou de um fornecedor de insumo pode ser tão devastadora quanto um ataque.
Plano de crise e comunicação sob pressão
Quando o BCP é ativado, a estrutura de comando precisa ser clara e pré-definida — não pode ser improvisada enquanto os sistemas estão caídos e os clientes ligando. O modelo de referência é o Incident Command System (ICS), adaptado ao contexto corporativo:
- Incident Commander: autoridade máxima de decisão durante a crise. Define prioridades, autoriza recursos, declara início e fim da emergência.
- Líder de Operações: executa as ações de recuperação. Coordena times técnicos e operacionais.
- Líder de Comunicação: gerencia mensagens internas (colaboradores) e externas (clientes, imprensa, reguladores). Toda comunicação externa passa por ele.
- Líder de Logística: procura e provisiona recursos: equipamentos, espaço, serviços de emergência.
- Líder Financeiro: autoriza gastos, controla custos do incidente, documenta para seguros e auditorias.
A cadência de comunicação durante uma crise é tão importante quanto as ações técnicas. Atualizações regulares — a cada 2–4 horas inicialmente — para toda a organização evitam o vácuo de informação que gera rumor, pânico e deserção de clientes. O silêncio organizacional durante uma crise é interpretado externamente como caos.
Testes: a única forma de saber se o plano funciona
Um plano de continuidade não testado é uma hipótese documentada. Crises reais revelam falhas de suposição que nenhuma revisão de papel detecta: o acesso remoto que trava com 200 usuários simultâneos, o backup que nunca foi restaurado e está corrompido, o contato de emergência com número desatualizado.
O programa de testes progride em complexidade e impacto:
- Tabletop exercise (revisão de mesa): a equipe se reúne e percorre o cenário verbalmente. Nenhuma ação real é executada. Identifica gaps em procedimentos, responsabilidades e comunicação. Baixo custo, alta frequência (trimestral).
- Walkthrough (verificação física): os recursos são fisicamente verificados — visita ao site alternativo, teste de acesso remoto, restauração de amostra de backup, confirmação de contratos com fornecedores. Semestral.
- Simulação parcial: partes do plano são executadas em ambiente controlado — failover de sistema não-produtivo, relocação de parte da equipe para o site alternativo. Anual para funções Tier 1.
- Exercício completo: simulação de desastre real com ativação integral do BCP/DRP. Operação em modo de continuidade por 24–72 horas. Alto custo operacional; realizado a cada 2–3 anos.
Após cada teste: debriefing estruturado, atualização dos planos com as lacunas encontradas e rastreamento das correções até a implementação. A ISO 22301 exige que os resultados de testes sejam documentados e que as melhorias identificadas sejam incorporadas.
Relação com resposta a incidentes e ransomware
O BCP e o DRP são ativados pelo mesmo gatilho que aciona o plano de resposta a incidentes (IRP): um evento disruptivo significativo. A diferença é de foco — o IRP gerencia a investigação, contenção e erradicação da ameaça; o BCP/DRP gerencia a continuidade e recuperação do negócio. As duas disciplinas precisam estar integradas.
No contexto atual, ransomware é o principal acionador de DRP no Brasil. Um ataque bem-sucedido criptografa dados de produção e backup em minutos quando ambos estão na mesma rede. A resposta eficaz exige três pilares simultâneos: (1) backups imutáveis fora do alcance da rede de produção; (2) procedimentos de isolamento e failover testados — não apenas documentados; (3) runbook específico para ransomware com critérios claros para a decisão de pagamento de resgate, protocolos de comunicação com autoridades (ANPD, Polícia Federal, seguradoras) e scripts de comunicação com clientes.
Organizações que já testaram o DRP contra cenário de ransomware antes de sofrerem o ataque recuperam-se em horas. As que improvisam levam dias ou semanas — e frequentemente pagam o resgate mesmo quando os backups existem, porque nunca foram restaurados.
Referências normativas: ISO 22301 e NIST SP 800-34
A ISO 22301:2019 é o padrão internacional de sistemas de gestão de continuidade de negócios (BCMS). Ela especifica os requisitos para planejar, implementar, monitorar e melhorar continuamente a capacidade de continuidade. Organizações certificadas demonstram para clientes, reguladores e seguradoras que a resiliência é gerenciada sistematicamente — não reativa.
O NIST SP 800-34 Rev.1 (Contingency Planning Guide for Federal Information Systems) é a referência técnica mais detalhada disponível gratuitamente, com metodologia passo a passo para BIA, desenvolvimento de planos e testes. Mesmo para organizações privadas brasileiras, o NIST SP 800-34 é o guia operacional mais completo para estruturar DRP de TI.
Para organizações reguladas no Brasil, a LGPD (Lei Geral de Proteção de Dados) exige medidas técnicas e organizacionais para proteção de dados pessoais — o que inclui, implicitamente, continuidade e recuperação de sistemas que os processam. A ausência de BCP/DRP documentado pode agravar a avaliação da ANPD em um incidente de vazamento.
Perguntas frequentes
- Qual a diferença entre BCP e DRP?
- O BCP abrange toda a organização — pessoas, processos, instalações e fornecedores — garantindo que funções críticas continuem durante qualquer disrupção. O DRP é um subconjunto técnico do BCP focado na restauração de sistemas de TI e dados. Em síntese: o BCP responde 'como a empresa continua operando?' e o DRP responde 'como os sistemas voltam ao ar?'.
- O que é RTO e como ele é calculado?
- RTO (Recovery Time Objective) é o tempo máximo aceitável para restaurar uma função após uma interrupção. Calculado a partir do MTD identificado na BIA, o RTO deve ter margem de segurança abaixo do limite de dano irreversível. Exemplo: processo com MTD de 6 horas deve ter RTO de 2–4 horas.
- O que é RPO e por que ele determina a estratégia de backup?
- RPO (Recovery Point Objective) é a quantidade máxima de dados aceita como perdida, em tempo. Um RPO de 5 minutos exige replicação em tempo real; RPO de 24 horas permite backup noturno. O RPO é o principal dimensionador de custo da proteção de dados.
- O que é BIA e quem deve conduzi-la?
- A BIA mapeia processos críticos, suas dependências e o impacto financeiro de interrupções em diferentes janelas de tempo. Deve ser conduzida por responsável de continuidade com participação direta dos líderes de negócio — não apenas pela TI. Seu produto é a lista priorizada de RTOs e RPOs que justifica investimentos.
- Com que frequência o BCP deve ser testado?
- A ISO 22301 exige testes regulares. A prática recomendada: tabletops trimestrais, walkthroughs semestrais, simulações parciais anuais e exercício completo a cada 2–3 anos. Planos não testados não são planos — são suposições documentadas.
- Como ransomware se encaixa no BCP e no DRP?
- Ransomware é hoje o principal acionador de DRP. O plano deve incluir backups imutáveis fora da rede de produção (regra 3-2-1), procedimentos de isolamento e failover testados e runbooks específicos para o cenário de criptografia massiva — incluindo critérios para decisão de pagamento de resgate e comunicação com autoridades.
Como a Decripte estrutura continuidade e resiliência
A Decripte atende organizações de 1 a mais de 100.000 colaboradores na estruturação de BCP e DRP — do levantamento inicial de BIA até a condução de exercícios completos e certificação ISO 22301. O trabalho começa com diagnóstico gratuito de maturidade em resiliência: mapeamento das lacunas críticas e estimativa do impacto financeiro real de uma interrupção não gerenciada.
Para empresas que já sofreram um incidente, o suporte inclui recuperação operacional imediata e desenvolvimento do plano de continuidade como parte da resposta — transformando a crise em ponto de partida para resiliência estruturada. Para empresas que querem antecipar o risco, os planos são construídos antes do incidente — que, no cenário atual de ameaças, é apenas uma questão de tempo.
Acesse o diagnóstico gratuito ou conheça os planos de resiliência e resposta a incidentes disponíveis para cada porte de organização.
