Resiliência Empresarial

Objetivo e Escopo

A BlackRock está comprometida em fornecer serviços resilientes e de alta qualidade aos seus clientes. Recursos e esforços significativos são dedicados aos programas de Gerenciamento de Continuidade de Negócios (GCN) e de Recuperação de Desastres (DR) de tecnologia, projetados para atender ou exceder as obrigações legais e regulamentares nos locais em que operamos.

A BlackRock mantém planos de continuidade de negócios (BC) para facilitar a continuidade dos negócios em caso de interrupção dos negócios. A gerência executiva da BlackRock fornece supervisão e governança para o programa de BCM da empresa, apoiado pela equipe de Gerenciamento de Continuidade de Negócios, que gerencia o programa.

A BlackRock mantém planos e procedimentos de recuperação de desastres (DR) para permitir uma resposta rápida a um evento que afete sua tecnologia e seus dados. A redundância é o ponto focal do programa de recuperação de desastres da BlackRock. Cada data center é servido por circuitos fisicamente diversos, rede secundária e fontes de energia alternativas. Os data centers primários e secundários são adequadamente distanciados, mitigando o impacto de um evento regional. Os aplicativos são mantidos nos data centers primário e secundário enquanto os dados são replicados quase em tempo real. O Programa de DR da BlackRock conta com a equipe de Gerenciamento de Risco de Tecnologia para fornecer supervisão e governança.

Ambos os programas são rotineiramente examinados pela equipe de auditoria interna da BlackRock e reguladores externos. Os resultados dessas revisões e métricas são reportados aos órgãos de governança competentes, conforme necessário.

Os programas têm vários elementos-chave, incluindo:

  • Avaliação de Riscos e Monitoramento
  • Planejamento BC/DR
  • Gestão de Crises
  • Treinamento e Conscientização
  • Exercícios e Testes
  • Supervisão de Terceiros

Avaliação de Risco e Monitoramento

A BlackRock realiza avaliações anuais de risco de site para escritórios em todo o mundo. Os resultados da avaliação são usados para impulsionar atividades de mitigação de riscos, incluindo maior resiliência do local, planejamento de continuidade de negócios e implantação de estratégias de recuperação adicionais, quando apropriado.

Além disso, é criado um abrangente Outlook de Risco semanal que identifica ameaças potenciais à equipe e/ou escritórios da BlackRock em todo o mundo. As ameaças são revisadas, escaladas e gerenciadas por funcionários de nível sênior e disseminadas amplamente para conscientização e ação, conforme apropriado.

Planejamento BC/DR

Existem três áreas principais de foco que compõem o planejamento de BC/DR que a BlackRock executa:

1. Planos de continuidade de negócios: A BlackRock mantém planos de continuidade de negócios (BCPs) para funções de negócios em cada escritório da BlackRock globalmente. Os BCPs têm os seguintes componentes principais:

  • Business Impact Analysis (BIA): Avalia os impactos financeiros e não financeiros da perda de um processo crítico. Anualmente, cada departamento revisa e atualiza as informações para cada processo crítico que realiza. Os resultados desse processo são usados para direcionar estratégias de planejamento e recuperação para minimizar riscos potenciais.
  • Planos de Recuperação de Negócios: Procedimentos destinados a recuperar processos críticos para proporcionar a continuidade das operações em caso de interrupção do negócio. Estes incluem estratégias de recuperação de pessoal, dados, comunicações, processamento de informações e instalações. As estratégias de recuperação são validadas por meio de exercícios anuais.

2. Planos de recuperação de desastres: os planos de recuperação de desastres (DRPs) incorporam estratégias de failover e são projetados amplamente para se recuperar de um evento disruptivo que afeta uma instalação de data center, ao mesmo tempo em que acomodam uma recuperação mais estreita da perda de um único servidor. Os principais elementos dos DRPs incluem:

  • Plano de comunicação que identifica como o pessoal será engajado quando um evento ocorrer, bem como a frequência e o método de comunicação de informações e status durante todo o evento
  • Plano de Gerenciamento de Incidentes que inclui informações para estabelecer e manter uma equipe de resposta a incidentes, responsabilidades da equipe de gerenciamento, bem como uma metodologia para tomada de decisão e escalonamento
  • Planos de recuperação que incluem requisitos, configuração e procedimentos de execução para failover de cada aplicativo para um data center secundário

3. Pandemia e preocupações emergentes de saúde: os BCPs capturam e identificam riscos potenciais relacionados ao absenteísmo do pessoal associado a pandemias ou outras preocupações de saúde. Este programa global é gerenciado pela equipe de Saúde e Segurança da BlackRock e implementado em níveis locais/regionais para fornecer considerações nacionais e culturais ao responder. A estrutura aborda suprimentos, limpeza, estratégias de distanciamento social e gatilhos de resposta à gestão de crises.

Gestão de Crises

O programa de Gerenciamento de Crises da BlackRock fornece uma estrutura global para responder a eventos disruptivos, incluindo:

  • Listas de chamadas de gerenciamento de crise que incluem os principais chefes de negócios globais e regionais
  • Estrutura de comando e controle, incluindo a identificação de membros da equipe principal e suplente para cobrir papéis-chave
  • Um sistema automatizado de notificação de crise que pode transmitir mensagens para o pessoal designado em caso de crise. As notificações são enviadas por e-mail, telefones pessoais e de trabalho e mensagens de texto
  • Linha Direta de Suporte ao Funcionário e sites de Emergência para fornecer atualizações e assistência à equipe.

Treinamento e Conscientização

A BlackRock usa vários métodos para manter os funcionários cientes do papel crítico que desempenham na preparação e resposta a possíveis interrupções nos negócios. Os métodos utilizados incluem:

  • Treinamento on-line anual obrigatório de preparação para emergências de todos os funcionários
  • Exercícios de recuperação de negócios
  • Testes de recuperação de data center
  • Treinamentos e exercícios de gerenciamento de crises
  • Sessões periódicas de conscientização/aprendizagem específicas sobre ameaças.

Exercícios e Testes

A BlackRock exerce seus BCPs para verificar se os procedimentos para recuperar operações de negócios são apropriados e se o pessoal-chave está familiarizado com os procedimentos documentados. A cada ano, vários exercícios são realizados:

  • Acesso Remoto (ou seja, de casa ou outro local externo)
  • Local alternativo (ou seja, local de recuperação dedicado ou escritório alternativo da BlackRock)
  • Transferência de trabalho (ou seja, transferência de carga de trabalho para um escritório e equipe não afetados)
  • Testes de failover do sistema, incluindo fornecedores externos quando apropriado
  • Simulados de evacuação, testes do sistema de notificação e testes periódicos do gerador

Os resultados do exercício de Continuidade de Negócios são documentados, revisados e distribuídos conforme apropriado após cada exercício. Recomendações para melhorias no processo de recuperação são identificadas, classificadas como de risco e quaisquer ações corretivas claramente definidas e atribuídas ao pessoal apropriado.

A BlackRock realiza um teste anual de recuperação de desastres para cada um de seus data centers de produção. Durante o teste, o data center é isolado da rede BlackRock para simular uma perda total da instalação. Os aplicativos são submetidos a failover para data centers secundários dentro do RTO (Recovery Time Objective, objetivo de tempo de recuperação) declarado e a funcionalidade é validada por testadores qualificados.

Os resultados dos testes de DR são documentados, revisados e distribuídos aos principais executivos após cada teste. A documentação inclui uma visão geral dos tempos de recuperação, uma avaliação de aprovação/reprovação de todos os aplicativos e um plano para corrigir quaisquer problemas descobertos durante o ciclo de vida do teste.

Supervisão de terceiros

Um dos principais componentes do processo de planejamento do Enterprise Resilience é nossa estrutura de gerenciamento de fornecedores, que inclui revisões periódicas dos programas de continuidade de negócios e recuperação de desastres para os principais provedores de serviços. As avaliações de risco são usadas para determinar a criticidade de cada provedor de serviços. Para os provedores de serviços mais críticos, a BlackRock realiza revisões e avaliações direcionadas de planos de GCN e DR e, quando apropriado, visitas ao local.

Resposta à Covid-19

Em resposta à ameaça da Covid-19, a BlackRock emitiu orientações aprimoradas para todos os funcionários com o objetivo de garantir que a empresa continuasse a atender seus clientes de forma eficaz, operando em um ambiente de trabalho remoto que aderisse aos requisitos e expectativas regulatórias.

  • A BlackRock permaneceu totalmente operacional durante a pandemia– com quase todos os nossos funcionários trabalhando de casa.
  • A preparação tecnológica da BlackRock foi mantida durante toda a criseNão houve efeito material no fornecimento de suporte de conformidade e supervisão de riscos durante a crise
  • Um programa de Retorno ao Escritório (RTO) foi criado para proporcionar uma reocupação gradual e segura do escritório para os funcionários

A revisão contínua de nossa resposta à Covid-19 é realizada pela Alta Administração e pelas equipes de Gerenciamento de Crise das empresas.