O que são BCP e DRP — e por que a distinção importa

Planejamento de continuidade de negócios (BCP) e planejamento de recuperação de desastres (DRP) são disciplinas complementares, mas com escopos distintos. Confundi-las leva a lacunas que só aparecem no pior momento possível: durante um incidente real.

O BCP — Business Continuity Plan cobre toda a organização. Ele define como funções críticas serão mantidas durante qualquer tipo de disrupção: ransomware, apagão elétrico, perda de instalação física, pandemia ou falha de fornecedor estratégico. O BCP responde à pergunta de negócio: como a empresa continua operando? Ele envolve pessoas, processos, fornecedores, comunicação e instalações alternativas — não apenas tecnologia.

O DRP — Disaster Recovery Plan é um subconjunto técnico do BCP. Ele foca na restauração de sistemas de TI, dados e infraestrutura digital após eventos de disrupção severa. O DRP responde à pergunta técnica: como os sistemas voltam ao ar, em que ordem e em quanto tempo? Sem um BCP estruturado por trás, o DRP resolve a TI mas deixa o negócio sem direção.

A interdependência é clara: o BCP define os objetivos de recuperação que o DRP deve cumprir. Se o processo de cobrança tem RTO de 4 horas, a equipe de TI responsável pelo sistema de ERP precisa entregar a recuperação dentro desse prazo. Essa cadeia de accountability — do negócio para a tecnologia — só existe quando BCP e DRP foram desenvolvidos em conjunto.

BIA: a base analítica de todo o planejamento

A Análise de Impacto no Negócio (BIA) é o processo que transforma suposições em números. Sem ela, os planos de continuidade são opiniões — com ela, são decisões fundadas em dado.

A BIA parte da identificação dos processos críticos de negócio. Não todos os processos: apenas aqueles cuja interrupção causa impacto inaceitável em receita, conformidade regulatória, reputação ou segurança de pessoas. Para cada processo identificado, a BIA mapeia:

  • Dependências internas: sistemas de TI (ERP, CRM, plataforma de pagamentos), equipes específicas, instalações físicas, dados críticos.
  • Dependências externas: fornecedores de nuvem, provedores de telecomunicações, parceiros logísticos, bancos liquidantes.
  • Impacto financeiro por intervalo de tempo: perda na primeira hora, no primeiro dia, na primeira semana. Inclui receita não realizada, custos de recuperação de emergência, multas contratuais e danos à reputação.
  • MTD (Maximum Tolerable Downtime): o ponto de não-retorno — quanto tempo a organização consegue sobreviver sem aquela função antes de sofrer dano irreversível.

O produto da BIA é um documento de prioridades: quais processos devem ser recuperados primeiro, quais recursos são inegociáveis e qual o custo de não ter continuidade. Esse documento é a justificativa técnica para cada centavo investido em resiliência.

RTO e RPO: os dois números que governam toda decisão técnica

Derivados da BIA, RTO e RPO são os parâmetros que transformam objetivos de negócio em requisitos técnicos concretos.

O RTO (Recovery Time Objective) é o tempo máximo aceitável entre o início de uma interrupção e a retomada plena da operação de um processo. Ele deve ser menor que o MTD, com margem de segurança. Se o sistema de faturamento tem MTD de 8 horas, o RTO deve ser no máximo 5–6 horas — reservando tempo para imprevistos.

O RPO (Recovery Point Objective) é a quantidade máxima de dados que a organização aceita perder, expressa em tempo. Um RPO de 1 hora significa que a organização tolera perder no máximo 60 minutos de transações. Isso impõe um requisito direto sobre a frequência de backup ou replicação de dados.

Criticidade do processoExemploRTO típicoRPO típicoEstratégia de TI indicada
Crítico (Tier 1)Plataforma de pagamentos, sistemas bancários core< 1 hora< 5 minutosAlta disponibilidade ativa-ativa, replicação síncrona
Alto (Tier 2)ERP, e-commerce, atendimento ao cliente2–4 horas15–60 minutosHot site ou DRaaS com replicação assíncrona
Médio (Tier 3)RH, BI, intranets internas4–24 horas4–8 horasWarm site, backup frequente com restauração rápida
Baixo (Tier 4)Sistemas de arquivo, relatórios históricos24–72 horas24 horasCold site ou restauração de backup diário

Estratégias de continuidade: do backup ao failover total

Com RTO e RPO definidos, é possível escolher as estratégias adequadas — sem superestimar (custo proibitivo) nem subestimar (recuperação fora do prazo).

Para dados e sistemas de TI

O padrão mínimo aceitável é a regra 3-2-1: três cópias dos dados, em dois tipos de mídia diferentes, com uma cópia offsite. Para resistir a ransomware, a terceira cópia deve ser imutável — armazenada em repositório com proteção WORM (Write Once, Read Many) ou em storage que impossibilite modificação via credencial comprometida. Backup sem imutabilidade não é backup contra ransomware: é apenas um espelho que o atacante também vai criptografar.

Para RTOs abaixo de 4 horas, backup não é suficiente: a organização precisa de replicação contínua para ambiente alternativo. As opções variam em custo e velocidade de ativação:

  • Hot site: infraestrutura espelhada rodando em standby, com dados replicados em tempo real. Ativação em minutos. Custo mais alto.
  • Warm site: hardware pre-provisionado, dados replicados periodicamente, requer configuração antes de ativar. Ativação em horas.
  • Cold site: espaço físico ou capacidade de nuvem reservada, sem replicação contínua. Ativação em dias. Menor custo, usado para processos Tier 3 e 4.
  • DRaaS (Disaster Recovery as a Service): provedor gerencia a infraestrutura de failover, normalmente baseada em nuvem. Combina custo moderado com ativação relativamente rápida (1–4 horas).

Para pessoas e instalações

Tecnologia recuperada sem pessoas capazes de operá-la não resolve o problema. O BCP deve incluir: cross-training de todos os papéis críticos (todo cargo essencial com ao menos uma pessoa de backup treinada); sites de trabalho alternativo pré-identificados e contratados; e capacidade de trabalho remoto testada — não apenas declarada.

Para fornecedores e cadeia de suprimentos

Fornecedores únicos são pontos cegos. A BIA deve identificar dependências críticas em terceiros e o BCP deve documentar alternativas pré-qualificadas com contratos ou acordos de contingência ativados sob demanda. A falha de um provedor de nuvem, de um processador de pagamentos ou de um fornecedor de insumo pode ser tão devastadora quanto um ataque.

Plano de crise e comunicação sob pressão

Quando o BCP é ativado, a estrutura de comando precisa ser clara e pré-definida — não pode ser improvisada enquanto os sistemas estão caídos e os clientes ligando. O modelo de referência é o Incident Command System (ICS), adaptado ao contexto corporativo:

  • Incident Commander: autoridade máxima de decisão durante a crise. Define prioridades, autoriza recursos, declara início e fim da emergência.
  • Líder de Operações: executa as ações de recuperação. Coordena times técnicos e operacionais.
  • Líder de Comunicação: gerencia mensagens internas (colaboradores) e externas (clientes, imprensa, reguladores). Toda comunicação externa passa por ele.
  • Líder de Logística: procura e provisiona recursos: equipamentos, espaço, serviços de emergência.
  • Líder Financeiro: autoriza gastos, controla custos do incidente, documenta para seguros e auditorias.

A cadência de comunicação durante uma crise é tão importante quanto as ações técnicas. Atualizações regulares — a cada 2–4 horas inicialmente — para toda a organização evitam o vácuo de informação que gera rumor, pânico e deserção de clientes. O silêncio organizacional durante uma crise é interpretado externamente como caos.

Testes: a única forma de saber se o plano funciona

Um plano de continuidade não testado é uma hipótese documentada. Crises reais revelam falhas de suposição que nenhuma revisão de papel detecta: o acesso remoto que trava com 200 usuários simultâneos, o backup que nunca foi restaurado e está corrompido, o contato de emergência com número desatualizado.

O programa de testes progride em complexidade e impacto:

  1. Tabletop exercise (revisão de mesa): a equipe se reúne e percorre o cenário verbalmente. Nenhuma ação real é executada. Identifica gaps em procedimentos, responsabilidades e comunicação. Baixo custo, alta frequência (trimestral).
  2. Walkthrough (verificação física): os recursos são fisicamente verificados — visita ao site alternativo, teste de acesso remoto, restauração de amostra de backup, confirmação de contratos com fornecedores. Semestral.
  3. Simulação parcial: partes do plano são executadas em ambiente controlado — failover de sistema não-produtivo, relocação de parte da equipe para o site alternativo. Anual para funções Tier 1.
  4. Exercício completo: simulação de desastre real com ativação integral do BCP/DRP. Operação em modo de continuidade por 24–72 horas. Alto custo operacional; realizado a cada 2–3 anos.

Após cada teste: debriefing estruturado, atualização dos planos com as lacunas encontradas e rastreamento das correções até a implementação. A ISO 22301 exige que os resultados de testes sejam documentados e que as melhorias identificadas sejam incorporadas.

Relação com resposta a incidentes e ransomware

O BCP e o DRP são ativados pelo mesmo gatilho que aciona o plano de resposta a incidentes (IRP): um evento disruptivo significativo. A diferença é de foco — o IRP gerencia a investigação, contenção e erradicação da ameaça; o BCP/DRP gerencia a continuidade e recuperação do negócio. As duas disciplinas precisam estar integradas.

No contexto atual, ransomware é o principal acionador de DRP no Brasil. Um ataque bem-sucedido criptografa dados de produção e backup em minutos quando ambos estão na mesma rede. A resposta eficaz exige três pilares simultâneos: (1) backups imutáveis fora do alcance da rede de produção; (2) procedimentos de isolamento e failover testados — não apenas documentados; (3) runbook específico para ransomware com critérios claros para a decisão de pagamento de resgate, protocolos de comunicação com autoridades (ANPD, Polícia Federal, seguradoras) e scripts de comunicação com clientes.

Organizações que já testaram o DRP contra cenário de ransomware antes de sofrerem o ataque recuperam-se em horas. As que improvisam levam dias ou semanas — e frequentemente pagam o resgate mesmo quando os backups existem, porque nunca foram restaurados.

Referências normativas: ISO 22301 e NIST SP 800-34

A ISO 22301:2019 é o padrão internacional de sistemas de gestão de continuidade de negócios (BCMS). Ela especifica os requisitos para planejar, implementar, monitorar e melhorar continuamente a capacidade de continuidade. Organizações certificadas demonstram para clientes, reguladores e seguradoras que a resiliência é gerenciada sistematicamente — não reativa.

O NIST SP 800-34 Rev.1 (Contingency Planning Guide for Federal Information Systems) é a referência técnica mais detalhada disponível gratuitamente, com metodologia passo a passo para BIA, desenvolvimento de planos e testes. Mesmo para organizações privadas brasileiras, o NIST SP 800-34 é o guia operacional mais completo para estruturar DRP de TI.

Para organizações reguladas no Brasil, a LGPD (Lei Geral de Proteção de Dados) exige medidas técnicas e organizacionais para proteção de dados pessoais — o que inclui, implicitamente, continuidade e recuperação de sistemas que os processam. A ausência de BCP/DRP documentado pode agravar a avaliação da ANPD em um incidente de vazamento.

Perguntas frequentes

Qual a diferença entre BCP e DRP?
O BCP abrange toda a organização — pessoas, processos, instalações e fornecedores — garantindo que funções críticas continuem durante qualquer disrupção. O DRP é um subconjunto técnico do BCP focado na restauração de sistemas de TI e dados. Em síntese: o BCP responde 'como a empresa continua operando?' e o DRP responde 'como os sistemas voltam ao ar?'.
O que é RTO e como ele é calculado?
RTO (Recovery Time Objective) é o tempo máximo aceitável para restaurar uma função após uma interrupção. Calculado a partir do MTD identificado na BIA, o RTO deve ter margem de segurança abaixo do limite de dano irreversível. Exemplo: processo com MTD de 6 horas deve ter RTO de 2–4 horas.
O que é RPO e por que ele determina a estratégia de backup?
RPO (Recovery Point Objective) é a quantidade máxima de dados aceita como perdida, em tempo. Um RPO de 5 minutos exige replicação em tempo real; RPO de 24 horas permite backup noturno. O RPO é o principal dimensionador de custo da proteção de dados.
O que é BIA e quem deve conduzi-la?
A BIA mapeia processos críticos, suas dependências e o impacto financeiro de interrupções em diferentes janelas de tempo. Deve ser conduzida por responsável de continuidade com participação direta dos líderes de negócio — não apenas pela TI. Seu produto é a lista priorizada de RTOs e RPOs que justifica investimentos.
Com que frequência o BCP deve ser testado?
A ISO 22301 exige testes regulares. A prática recomendada: tabletops trimestrais, walkthroughs semestrais, simulações parciais anuais e exercício completo a cada 2–3 anos. Planos não testados não são planos — são suposições documentadas.
Como ransomware se encaixa no BCP e no DRP?
Ransomware é hoje o principal acionador de DRP. O plano deve incluir backups imutáveis fora da rede de produção (regra 3-2-1), procedimentos de isolamento e failover testados e runbooks específicos para o cenário de criptografia massiva — incluindo critérios para decisão de pagamento de resgate e comunicação com autoridades.

Como a Decripte estrutura continuidade e resiliência

A Decripte atende organizações de 1 a mais de 100.000 colaboradores na estruturação de BCP e DRP — do levantamento inicial de BIA até a condução de exercícios completos e certificação ISO 22301. O trabalho começa com diagnóstico gratuito de maturidade em resiliência: mapeamento das lacunas críticas e estimativa do impacto financeiro real de uma interrupção não gerenciada.

Para empresas que já sofreram um incidente, o suporte inclui recuperação operacional imediata e desenvolvimento do plano de continuidade como parte da resposta — transformando a crise em ponto de partida para resiliência estruturada. Para empresas que querem antecipar o risco, os planos são construídos antes do incidente — que, no cenário atual de ameaças, é apenas uma questão de tempo.

Acesse o diagnóstico gratuito ou conheça os planos de resiliência e resposta a incidentes disponíveis para cada porte de organização.