A BlackRock encara a recuperação das suas operações comerciais e da tecnologia de apoio, a Gestão da Continuidade das Atividades ("BCM" do inglês Business Continuity Management) e tecnologia de Recuperação face a Desastres ("DR" do inglês Disaster Recovery) respetivamente, como parte fulcral e fundamental da sua capacidade de respeitar as suas responsabilidades fiduciárias, em relação aos clientes. Como tal, dedicam-se recursos e esforços significativos a estes programas.

A BlackRock mantém a continuidade operacional e planos de resposta a crises, para facilitar a continuidade das atividades, caso ocorra um evento de perturbação grave das atividades. A gestão executiva da BlackRock é responsável pela supervisão e governo do programa BCM da empresa, apoiado pela Gestão da Continuidade das Atividades do grupo, que gere o programa.

Por forma a manter um ambiente tecnológico resiliente, o programa DR implementou estratégias para uma inatividade e perda de dados quase nulos, em relação a todas as aplicações que apoiam os processos comerciais críticos, tal como definido no Programa BCM. A BlackRock contrata a tempo inteiro Gestores de Recuperação face a Desastres, para supervisionar o programa DR e assegurar a consistência, em toda a operação. Os programas BCM/DR da BlackRock têm vários elementos-chave, incluindo:

  • Planificação
  • Formação e Consciencialização
  • Realização de exercícios e testes
  • Resiliência de terceiros

Planificação

Existem quatro áreas principais de foco, contempladas na planificação BCM/DR que a BlackRock executa:

1. Planos de Continuidade Operacional: a BlackRock mantém Planos de Continuidade Operacional (BCPs do inglês Business Continuity Plans), em relação a cada função da empresa, em cada escritório local da BlackRock, em geral. Os BCPs têm os seguintes dois componentes:

  • Análise do Impacto das Atividades: a metodologia de Análise do Impacto das Atividades (BIA do inglês Business Impact Analysis) é concebida para avaliar tanto os impactos financeiros como os não financeiros das perdas num processo crítico. Cada departamento revê e atualiza periodicamente as suas necessidades de continuidade operacional, através de um modelo oficial de Análise do Impacto das Atividades, gerido pela equipa de Gestão da Continuidade das Atividades. Os resultados deste processo são utilizados para realizar uma "análise de lacunas", para identificar áreas potenciais de melhoria, dentro dos Planos de Recuperação das Atividades (BRPs do inglês Business Recovery Plans). Os grupos em questão colmatam quaisquer lacunas significativas e revêm os seus departamentos BRP, sempre que necessário.
  • Plano de Recuperação das Atividades: os Planos de Recuperação das Atividades (BRPs) são procedimentos destinados a recuperar processos críticos específicos, para apoio à continuidade das operações, caso ocorra um evento de perturbação grave das atividades. Incluem estratégias de recuperação, em relação a pessoal, dados, comunicações, processamento de informação e instalações. Os Objetivos de Tempo de Recuperação (RTOs do inglês Recovery Time Objectives) são criados para aplicação em todas as funções e serviços críticos da atividade, sendo validados por meio de requisitos de exercícios anuais.

2. Planos de Recuperação face a Desastres: os Planos de Recuperação face a Desastres (DRPs do inglês Disaster Recovery Plans) incorporam estratégias em caso de falhas e são suficientemente abrangentes para permitir a recuperação por ocorrência de um evento perturbador, que afeta uma instalação de centro de dados, modular o suficiente para permitir a recuperação em relação à perda de um único servidor. Os elementos-chave dos DRPs incluem:

  • O Plano de Comunicação, que identifica a forma como o pessoal será contratado, aquando da ocorrência de um evento, bem como a frequência e método de comunicar informação e a evolução durante o evento
  • O Plano de Gestão de Incidentes, que inclui informação para estabelecer e manter uma central de controlo, as responsabilidades da equipa de gestão, bem como uma metodologia recomendada para tomada de decisões e procedimento escalonado
  • Os Planos de Recuperação para cada equipa, que incluem requisitos, configuração e procedimentos de execução para falhas, em relação a cada aplicação em cada centro de dados secundários

3. Política para Pandemias: da alçada dos Recursos Humanos, a política global para pandemias é implementada a nível local/regional, para facultar uma análise nacional e cultural, na resposta a uma eventualidade de uma pandemia. Um quadro de resposta a uma pandemia contempla materiais, limpeza, estratégias de distanciamento social e impulsionadores de resposta de gestão de crises.

4. Gestão de crises: adicionalmente à planificação a nível de departamentos, a BlackRock tem um programa dedicado a planificar respostas, que incluem um quadro completo de Gestão de Crises, o qual inclui as seguintes ferramentas:

  • Listas de Telefones em caso de Gestão de Crises, que incluem administradores da empresa, a nível global e regional
  • Um sistema de notificações automáticas em situação de crise, que envia mensagens ao pessoal indicado em situações de crise. As notificações são enviadas por correio eletrónico, para telefones do trabalho e pessoais, assim como por mensagem de texto
  • Linha Direta de Apoio ao Funcionário e Sítios Web de Emergência, para manter o pessoal atualizado
  • Cartões de bolso de emergência para os funcionários, contendo procedimentos para a sua evacuação, reunião, verificação e comunicação

Formação e Consciencialização

A BlackRock utiliza vários métodos para manter os funcionários conscientes do seu papel fundamental, na preparação e resposta a potenciais perturbações graves das atividades. Os métodos principalmente utilizados incluem:

  • Formação online anual obrigatória para todo o pessoal sobre Preparação para Emergências e Recuperação das Atividades
  • Distribuição de cartões de bolso de emergência
  • Exercícios de recuperação das atividades
  • Formação e exercícios de gestão de crises
  • Artigos e correios eletrónicos educativos periódicos via intranet

Realização de exercícios e testes

A BlackRock exercita os seus BCPs para assegurar-se que os procedimentos para recuperação das operações comerciais são adequados e que o pessoal-chave está familiarizado com os procedimentos documentados. Da mesma forma, os exercícios com base nas instalações são realizados com a participação da equipa BCM. Em termos gerais, a empresa utiliza as seguintes estratégias de recuperação, nos seus BCPs:

  • Exercícios de Acesso Remoto (por exemplo, trabalho a partir de casa)
  • Exercícios de localização alternativa (por exemplo, recuperação da área de trabalho ou escritório alternativo da BlackRock)
  • Processo crítico de transferência (por exemplo, transferência de volume de trabalho para outro escritório e equipa não afetados)
  • Realização de testes de falha no sistema, incluindo fornecedores externos, quando necessário
  • Simulação de evacuação, realização de testes ao sistema de notificações e testes periódicos de geradores

Os resultados do exercício da BCM são documentados e revistos com todos os participantes envolvidos, após cada exercício. São identificadas recomendações para melhorias do processo de recuperação, assim como a definição clara e atribuição ao pessoal adequado de quaisquer medidas corretivas.

A BlackRock realiza anualmente um teste DR à tecnologia, em relação a cada um dos centros de dados de produção. Os testes DR incluem a separação dos centros de dados de produção em relação à rede da BlackRock, que simula a perda do edifício e a falha de aplicações e serviços de um outro local. Os testes DR são geridos como se de um desastre real se tratasse, permitindo à BlackRock testar todos os componentes do DRP. Os testes DR iniciam com uma notificação para integrar o plano de recuperação, onde são facultadas instruções pela Central de Controlo. Cada equipa executa os seus DRPs e regista quaisquer problemas encontrados. Após cada teste o Gestor do DR publica um relatório que identifica:

  • O tempo de recuperação em relação a todas as aplicações
  • A avaliação positiva/negativa de cada aplicação
  • Um plano para resolver quaisquer questões abertas pendentes
  • Quaisquer lições aprendidas durante o plano, para melhorar o programa de recuperação

Resiliência de terceiros

Um dos componentes-chave do processo de planificação BCM é o nosso quadro de gestão de fornecedores, que inclui revisões periódicas dos programas de continuidade operacional, em relação aos prestadores-chave de serviços. As avaliações de risco são utilizadas para determinar o nível crítico de cada prestador de serviços. Em relação aos prestadores de serviços mais importantes, a BlackRock realiza revisões e avaliações orientadas para os planos BCM e, quando necessário, visitas locais.

Última atualização - julho de 2014