ISO 27001 & BS 25999

Você provavelmente já se perguntou por que tem de realizar uma análise de impacto nos negócios (AIN) se já fez a avaliação de riscos. Você identificou todos os riscos, certo? E passou muito tempo analisando sua empresa, por que então mais uma análise?

Bem, o objetivo da AIN é diferente. Na continuidade de negócios tudo está relacionado ao tempo – não importa se você pode recuperar a sua atividade comercial, se não for feito em tempo razoável. “Razoável” é o que a AIN tem de determinar. Seu principal objetivo é descobrir qual é o objetivo de tempo de recuperação para cada atividade crítica dentro da organização.

Esse tipo de análise, muitas vezes, não é levada a sério. Em primeiro lugar, a empresa geralmente não sabe que resultados incorretos podem incorrer em despesas desnecessárias ou criar uma estratégia de continuidade de negócios inadequada, mas também o esforço necessário para realizar a AIN é subestimado.

Portanto, aqui estão algumas dicas que irão tornar a sua análise de impacto nos negócios mais eficaz:

Trate-a como um (mini) projeto. Defina o responsável pela sua implementação e sua autoridade; defina o escopo, os objetivos e prazos.

Faça sua lição de casa, prepare um bom questionário. Um questionário bem estruturado irá lhe poupar muito tempo e tornar os resultados mais precisos. As normas BS 25999-1 e BS 25999-2 lhe darão uma boa ideia sobre o que ele deve conter. Entre outras coisas, você tem de identificar os impactos resultantes de interrupções e determinar como variam ao longo do tempo, identificar os recursos necessários para recuperação etc. É uma boa prática utilizar perguntas qualitativas e quantitativas para identificar os impactos.

Defina critérios claros. Se o entrevistado tem de responder perguntas pela atribuição de valores, por exemplo, de 1 a 5, certifique-se de explicar exatamente o que cada uma dessas cinco notas significam. Não é raro que o mesmo evento seja avaliado como catastrófico pelos funcionários de nível mais baixo, enquanto que a alta administração avalia seu impacto como moderado.

Colete os dados por meio de interação humana. Os melhores resultados são obtidos quando alguém qualificado em continuidade de negócios realiza uma entrevista com a pessoa responsável por uma atividade crítica. Dessa forma, uma série de questões sem solução são esclarecidas, e respostas equilibradas são obtidas. Se as entrevistas não forem viáveis, faça pelo menos um workshop com todos os participantes para que possam tirar dúvidas sobre tudo o que os está incomodando. Em outras palavras, não basta enviar os questionários e repreender as pessoas por não enviá-los de volta no tempo estabelecido.

Determine os objetivos de tempo de recuperação somente depois de ter identificado todas as interdependências. Por exemplo, com o questionário você pode concluir que para a atividade crítica “A” o tempo máximo aceitável de interrupção é de dois dias; porém, o tempo máximo aceitável de interrupção para a atividade crítica “B” é de um dia e esta não pode ser recuperada sem a ajuda da atividade crítica A. Isso significa que o objetivo de tempo de recuperação para “A” será um dia em vez de dois.

De acordo com minha experiência, os resultados da AIN muitas vezes são inesperados. Geralmente, o objetivo de tempo de recuperação é mais longo do que se pensava inicialmente, e a AIN revela dependências de alguns recursos que são na verdade apenas um ponto único de falha. Mas o melhor de tudo é que a análise de impacto nos negócios é a maneira mais eficaz de fazer as pessoas pensarem sobre o inesperado. Ao criar essa consciência, você aumenta as chances de sobrevivência da sua empresa.

Você também pode conferir o webinar BS 25999-2 Foundations Part 1: Business Impact Analysis (treinamento vendido comercialmente).

Se você começou a implementar uma gestão de continuidade de negócios, provavelmente o maior desafio que você está enfrentando é escrever os planos de continuidade de negócios.

Por que é tão difícil? Bem, você tem de pensar em vários cenários em que um desastre (ou outro tipo de interrupção das atividades comerciais) pode ocorrer e precisa elaborar uma maneira para lidar com esses incidentes excepcionalmente raros, mas possivelmente catastróficos.

Os problemas encontrados pelas pessoas que escrevem esses planos normalmente incluem o conteúdo do plano (quais são os principais elementos), o quão detalhado ele deve ser, quais etapas incluir, etc.

Uma das melhores soluções para todos esses dilemas é usar a norma BS 25999-2, que, juntamente com a BS 25999-1, define um modelo de como os planos devem ser escritos.

De acordo com essas normas, os planos de continuidade de negócios devem ser compostos de (1) plano de resposta a incidentes e (2) planos de recuperação. Um plano de resposta a incidentes geralmente é um único plano escrito para toda a organização e descreve o que deve ser feito imediatamente após um desastre – reduzir os efeitos do incidente, comunicar aos serviços de emergência, evacuar o edifício, reunir-se em pontos de concentração, organizar o transporte para locais alternativos etc.

Os planos de recuperação, em geral, são escritos separadamente para cada atividade crítica, e os passos a serem incluídos nos planos de recuperação geralmente são os seguintes: quando e como se comunicar com as várias partes interessadas (funcionários e seus familiares, acionistas, clientes, parceiros, entidades governamentais, meios de comunicação etc.), como reunir a equipe, como recuperar a infraestrutura, como verificar se os aplicativos estão funcionando e se os direitos de acesso são adequados, como verificar quais dados estão faltando ou foram corrompidos pelo desastre, como recuperar os dados e como decidir quando a recuperação está concluída, para que as operações normais possam recomeçar.

Os planos de recuperação de desastres (os planos de recuperação das infraestruturas TIC) devem ser escritos com muito cuidado, pois devem descrever como colocar cada sistema em funcionamento dentro do objetivo de tempo de recuperação de uma determinada atividade crítica. Isso geralmente é feito ao se escrever um plano detalhado de recuperação para cada sistema a ser recuperado.

A regra geral diz que o nível de detalhes em todos esses planos deve ser tal que outros funcionários (ou uma equipe externa) sejam capazes de executar o plano, se as pessoas que trabalham com essa atividade crítica não estiverem disponíveis. Portanto, use o bom senso ao escrever os planos, que devem ser compreensíveis para qualquer pessoa, não apenas para você.

Pela minha experiência, posso dizer que o maior desafio ao escrever esses planos é que os funcionários precisam enfrentar algo completamente diferente, algo sobre o qual eles nunca tiveram de pensar. Para superar esse problema, o melhor é organizar um workshop no qual, com ou sem um moderador, eles poderiam compartilhar suas opiniões sobre o que aconteceria se… , como reagir quando… etc.

A verdade é que o simples fato de seus funcionários começarem a pensar sobre continuidade de negócios é 50% do trabalho. Com essa abordagem, os resultados do plano de continuidade de negócios serão muito melhores.

Você também pode conferir o webinar BS 25999-2 Foundations Part 3: Business Continuity Planning (treinamento vendido comercialmente).

Você está pensando em implementar a gestão de continuidade de negócios/norma BS 25999-2? Mas você já ouvir falar que custará muito caro? Provavelmente irá custar, mas não necessariamente tanto quanto você imagina. Isso pode ser resolvido com uma boa estratégia de continuidade de negócios.

A estratégia de continuidade de negócios, conforme definido na norma BS 25999-2, é uma “abordagem de uma organização que garanta a sua recuperação e continuidade ao se defrontar com um desastre, ou outro incidente maior ou interrupção de negócios”. Portanto, a questão principal é se preparar da melhor maneira possível para neutralizar um desastre se isso ocorrer. Essa preparação pode incluir medidas organizacionais (elaboração de planos, assinatura de contratos com fornecedores/parceiros, treinamento, análise, trabalho de conscientização etc.) e medidas que incluem investimento em equipamentos, infraestrutura etc.

O tempo é um fator muito importante na recuperação. Se você não recuperar o seu negócio rapidamente, pode perder seus clientes e, consequentemente, perder seu negócio também. Assim, a estratégia de continuidade de negócios deve definir o objetivo de tempo de recuperação (OTR) para cada uma de suas atividades críticas, dado que o OTR pode ser diferente para cada uma delas.

Uma consideração importante: quanto mais curto for o OTR, maior será o investimento necessário. Por exemplo, se você quiser recuperar seu centro de processamento dados em menos de uma hora, terá de investir em um local alternativo com quase o mesmo equipamento do local principal; por outro lado, se você quiser recuperá-lo em duas semanas, o investimento será muito menor, porque armazenar as fitas de backup em um local alternativo seria o suficiente, dando-lhe duas semanas para obter o equipamento necessário. Isso significa que o OTR não deve ser muito longo, mas também não muito curto.

Depois que o OTR estiver definido, você ainda precisará fazer alguns investimentos, mas, com uma boa estratégia de continuidade de negócios, você poderá diminuir esse investimento, embora ainda consiga recuperar suas atividades críticas dentro do objetivo de tempo de recuperação. Aqui estão alguns exemplos:

• talvez não seja necessário ter seu próprio centro de processamento de dados em um local alternativo – na maioria dos países, é possível alugar esse tipo de local de uma empresa especializada, o que significa que você não precisa investir em infraestrutura, talvez nem mesmo em equipamentos ou softwares,
• talvez não seja necessário ter escritórios em um local alternativo – os funcionários que não precisam encontrar clientes pessoalmente podem trabalhar em suas casas,
• talvez não seja necessário ter um local alternativo, se você tem outras unidades de negócios em diferentes locais que possam assumir as atividades críticas afetadas pelo desastre,
• talvez não seja necessário adquirir equipamentos com antecedência, se você puder encontrar um fornecedor que garanta a entrega dos equipamentos dentro do seu OTR,
• etc.

Em todos esses exemplos, você precisará aumentar sua capacidade de organização, mas se você pretende economizar dinheiro, com certeza é algo para se pensar.

Você também pode conferir o webinar BS 25999-2 Foundations Part 2: Business Continuity Strategy (treinamento vendido comercialmente).