ISO 27001 & BS 25999

Sua gerência solicitou que você implementasse a continuidade de negócios, mas você não tem certeza de como fazê-lo? Embora essa não seja uma tarefa fácil, você pode usar a metodologia da BS 25999-2 para facilitar sua vida. Aqui estão os principais passos necessários para implementar essa norma:

1. Obter o apoio da gerência

Embora este não seja um passo obrigatório na BS 25999-2, é certamente crucial no início, pois se a gerência não entender os benefícios da continuidade de negócios e não estiver comprometida com esse projeto, ele provavelmente irá fracassar.

2. Tratar como um projeto

Você precisará de bastante tempo e recursos para estabelecer seu sistema de gestão da continuidade de negócios (SGCN) – é preciso definir claramente o que precisa ser feito, em que prazo e quais são as funções na implementação do projeto. Em outras palavras, você tem de aplicar métodos de gerenciamento de projetos.

3. Definir objetivos e escopo; escrever uma Política de GCN

Você precisa definir o que quer alcançar com o SGCN – conformidade, diminuição do nível de risco, exigências de seus clientes/parceiros etc. Além disso, é necessário definir o que será incluído em seu SGCN: toda a organização, ou apenas uma parte dela. Por exemplo, você pode decidir que irá incluir apenas o seu centro de processamento de dados se estiver fornecendo serviços de hospedagem para seus clientes. Tudo isso tem de ser documentado na Política de GCN.

4. Definir funções e responsabilidades para o SGCN

Como o SGCN irá se tornar uma atividade permanente em sua organização, é preciso definir responsabilidades claras para ele, principalmente para o “patrono” do SGCN (alguém responsável pelo SGCN, mas que não está envolvido nas atividades do dia a dia do SGCN), para o “coordenador do SGCN”, para o “gerente do SGCN”, ou algo semelhante, e uma ou mais pessoas com deveres ativos em relação ao SGCN. É uma boa ideia documentar essas funções e responsabilidades na sua Política de GCN.

5. Implementar procedimentos obrigatórios

A BS 25999-2 requer que os quatro procedimentos obrigatórios a seguir sejam implementados: controle de documentos e registros, auditoria interna, ações preventivas e corretivas. Esses procedimentos são, na verdade, a base do seu sistema de gestão, à semelhança da ISO 27001 ou da ISO 9001.

6. Executar análise de impacto nos negócios e avaliação de riscos

Através da análise de impacto nos negócios você deve identificar as atividades críticas, o tempo máximo aceitável de interrupção, as dependências dessas atividades críticas (incluindo as dependências de fornecedores e parceiros de terceirização) e estabelecer os objetivos de tempo de recuperação.

Ao fazer a avaliação de riscos você descobre quais poderiam ser as causas para a interrupção de suas atividades críticas, estas podem ser naturais, mas também causadas pelo homem (seja intencional ou acidentalmente). Você também precisa fazer o tratamento dos riscos, o que significa encontrar uma maneira de diminuir a possibilidade de algo dar errado. Infelizmente, a avaliação e o tratamento de riscos não são muito bem-definidos nesta norma, portanto, você pode dar uma olhada na ISO 27001, que os descreve em detalhes.

7. Determinar a estratégia de continuidade de negócios

Antes de prosseguir com a escrita dos planos de continuidade de negócios, você tem de determinar quais recursos precisa para retomar suas atividades críticas – pessoas, locais, dados, hardware, software, fornecedores, parceiros de terceirização, etc.

A estratégia de continuidade de negócios deve determinar não apenas o que você precisa, mas também como você irá obter esses recursos.

8. Desenvolver planos de gestão de incidentes e planos de continuidade de negócios

O objetivo dos planos de gestão de incidentes é descrever como você irá responder diretamente à ocorrência de um incidente (por exemplo, incêndio, terremoto, ameaça de bomba, falta de energia etc.), a fim de evitar sua propagação e tentar diminuir seus efeitos diretos.

Por outro lado, o objetivo dos planos de continuidade de negócios é descrever como você irá recuperar suas atividades críticas, como irá colocar em ação todos os recursos que preparou. Isso significa que você tem de descrever quem vai fazer o quê, em que o tempo, usando quais dados e tecnologias, para colocar sua organização em funcionamento novamente.

Todos esses planos precisam ser descritos detalhadamente, porque devem ser executados mesmo no caso de a equipe principal não estar disponível. Portanto, tem de ser escritos de tal forma que outras pessoas sejam capazes de executá-los.

9. Treinamento e conscientização

Você precisa definir o nível de competência necessária para a execução dos planos de continuidade de negócios em caso de interrupção e, então, treinar toda a equipe (funcionários e parceiros externos) para obter esse nível de competência.

No entanto, isso não é suficiente, você também precisa explicar à equipe porque a GCN é necessária. Sejamos realistas – seus planos de continuidade de negócios serão usados, talvez, uma vez na vida, por isso, a maioria das pessoas os consideram um desperdício de tempo. Portanto, você deve explicar porque eles precisam existir. (Consulte também Como lidar com os céticos em relação à GCN)

10. Exercício do SGCN

Se você acha que escreveu seus planos perfeitamente, é provável que esteja errado, pois é quase impossível escrever um plano sem erros logo no início. É por isso que o exercício é uma parte obrigatória da GCN. Você tem de testar seus planos em uma situação mais ou menos parecida com uma interrupção real. Só assim você irá descobrir o que está bem planejado e o que não está.

11. Manter e revisar o SGCN

Outra maneira de manter seu SGCN atualizado é definindo a periodicidade com que irá revisar seus planos de continuidade de negócios e outros planos e acordos (por exemplo, contratos com fornecedores e parceiros de terceirização, treinamento e conscientização etc.) Há muitos tipos de mudanças no ambiente que ameaçam tornar sua documentação obsoleta – basta um funcionário que tinha uma função no SGCN deixar a empresa para se ter um número de telefone inútil no plano.

Também é obrigatório realizar uma revisão pós-incidente, se um incidente realmente ocorrer – o objetivo é descobrir como a organização reagiu – o plano foi seguido ou não.

12. Realizar auditoria interna

O objetivo da auditoria interna é descobrir, de forma objetiva, se há algo errado. O auditor interno deve ser uma pessoa que pode descobrir se algo está errado no seu SGCN, a fim de corrigir o erro. Se realizada corretamente, a auditoria interna pode ser uma das melhores maneiras de melhorar seu SGCN. (Leia Dilemas com os auditores internos das normas ISO 27001 e BS 25999-2.)

13. Executar análise crítica da gestão

Como disse antes, é muito importante envolver a gerência no projeto, a análise crítica da gestão foi projetada exatamente para isso. A norma exige que a gerência examine todos os fatos relevantes sobre GCN e decida se ela cumpriu com seu objetivo. Depois disso, a gerência tem de decidir quais melhorias devem ser feitas.

14. Ações preventivas e corretivas

A melhor coisa é evitar que os erros (ou nos termos da BS 25999, as “inconformidades”) aconteçam – é para isso que usamos as ações preventivas. Elas são uma forma sistemática de corrigir as coisas antes de ocorrer um problema. Parecidas com as ações preventivas, também existem as ações corretivas, que resolvem o problema que já ocorreu.

Agora a questão é: para que serve a BS 25999-2? Embora não seja (ainda) uma norma internacional, é a norma mais usada para a continuidade de negócios no mundo inteiro. As etapas acima referidas foram desenvolvidas pelos melhores especialistas em continuidade de negócios, por isso, se você quiser implementar as práticas mais aceitas para a continuidade de negócios, você não precisa procurar mais.

Aqui você pode baixar o diagrama do Processo de implementação da BS 25999-2, que mostra todas essas etapas, juntamente com a documentação exigida (é necessário fazer um registro).

Você já ouviu algo como “Não pode ser feito”, “Isso não tem utilidade”, ou “É inútil se um grande desastre acontecer”? Se você implementou a gestão de continuidade de negócios, provavelmente já ouviu. Naturalmente, essa atitude não ajuda em seu projeto, por isso aqui estão algumas sugestões de como lidar com essas pessoas.

“Se um grande desastre acontecer, não seremos capazes de fazer nada”

Esta provavelmente é a mais comum. Bem, eles podem estar certos, a menos que você realmente tenha preparado a sua estratégia de continuidade de negócios e os planos de continuidade de negócios tendo em conta todos os cenários possíveis. Se você fez isso, então pode explicar para eles que preparou um local alternativo distante o suficiente para suportar qualquer tipo de desastre, que você fez uma cópia de segurança dos dados, que há um substituto para qualquer funcionário da empresa, que tem fornecedores alternativos para qualquer serviço crítico etc.

“Se uma guerra nuclear irromper, isso não vai funcionar”

Bem, a menos que você seja um fornecedor das forças armadas, isso não importa, não é verdade? Basicamente, nesse tipo de cenário catastrófico, sua empresa provavelmente não teria mais uma finalidade.

“Isso não tem utilidade”

Espero sinceramente que você nunca precise usar a continuidade de negócios. Mesmo sem mencionar exemplos bem-conhecidos como o 11 de setembro ou o furacão Katrina, basta perguntar: você já passou por uma pane elétrica? Ou o seu servidor já teve uma pane? Ou talvez um computador com dados importantes? Você já ouviu falar de algum edifício que queimou completamente? Basta ler as manchetes dos jornais para entender que essas coisas podem acontecer a qualquer um.

“Faremos isso somente para satisfazer o auditor”

Prioridade errada. Se você fizer isso corretamente, estará se protegendo e, como consequência, o auditor ficará contente.

“Não podemos prever todos os incidentes”

Isso é verdade, pelo menos no início. Mas se você executar sua avaliação de riscos corretamente, usar livros especializados e vários recursos e analisar a avaliação regularmente, é muito provável que com o tempo você seja capaz de considerar todos os riscos possíveis. Depois de conhecê-los, você pode preparar sua resposta.

“Em caso de emergência, as pessoas irão querer cuidar de suas famílias, não da empresa”

Isso também é verdade. Quem não ligaria primeiro para sua família para ver se está tudo bem no caso de um terremoto? Mas se você planejar cuidadosamente quem pode ir direto para casa depois de um incidente e quem deve ficar e resolver a situação, e se você cuidar da família dos funcionários que devem permanecer na empresa (por exemplo, atribuindo essa tarefa a algum outro funcionário), então, provavelmente, você já resolveu esse problema.

“As pessoas reagem irracionalmente em situações de crise”

Definitivamente, isso é verdade. Mas se você treinar seus funcionários (e fornecedores/parceiros) regularmente e exercitar seus planos de continuidade de negócios, eles irão se acostumar com situações estressantes e provavelmente irão responder da maneira certa, se tais situações ocorrerem.

Se você já implementou projetos parecidos, sabe como a conscientização é importante. Se seus colegas não reconhecerem os propósitos desses projetos, você terá grandes dificuldades com a implementação. Sem mencionar que seu projeto pode fracassar por completo. É por isso que você precisa considerar o trabalho de conscientização com antecedência.

Você também pode conferir o webinar BS 25999-2 Foundations Part 2: Business Continuity Strategy (treinamento vendido comercialmente).

Você está pensando em implementar a gestão de continuidade de negócios/norma BS 25999-2? Mas você já ouvir falar que custará muito caro? Provavelmente irá custar, mas não necessariamente tanto quanto você imagina. Isso pode ser resolvido com uma boa estratégia de continuidade de negócios.

A estratégia de continuidade de negócios, conforme definido na norma BS 25999-2, é uma “abordagem de uma organização que garanta a sua recuperação e continuidade ao se defrontar com um desastre, ou outro incidente maior ou interrupção de negócios”. Portanto, a questão principal é se preparar da melhor maneira possível para neutralizar um desastre se isso ocorrer. Essa preparação pode incluir medidas organizacionais (elaboração de planos, assinatura de contratos com fornecedores/parceiros, treinamento, análise, trabalho de conscientização etc.) e medidas que incluem investimento em equipamentos, infraestrutura etc.

O tempo é um fator muito importante na recuperação. Se você não recuperar o seu negócio rapidamente, pode perder seus clientes e, consequentemente, perder seu negócio também. Assim, a estratégia de continuidade de negócios deve definir o objetivo de tempo de recuperação (OTR) para cada uma de suas atividades críticas, dado que o OTR pode ser diferente para cada uma delas.

Uma consideração importante: quanto mais curto for o OTR, maior será o investimento necessário. Por exemplo, se você quiser recuperar seu centro de processamento dados em menos de uma hora, terá de investir em um local alternativo com quase o mesmo equipamento do local principal; por outro lado, se você quiser recuperá-lo em duas semanas, o investimento será muito menor, porque armazenar as fitas de backup em um local alternativo seria o suficiente, dando-lhe duas semanas para obter o equipamento necessário. Isso significa que o OTR não deve ser muito longo, mas também não muito curto.

Depois que o OTR estiver definido, você ainda precisará fazer alguns investimentos, mas, com uma boa estratégia de continuidade de negócios, você poderá diminuir esse investimento, embora ainda consiga recuperar suas atividades críticas dentro do objetivo de tempo de recuperação. Aqui estão alguns exemplos:

• talvez não seja necessário ter seu próprio centro de processamento de dados em um local alternativo – na maioria dos países, é possível alugar esse tipo de local de uma empresa especializada, o que significa que você não precisa investir em infraestrutura, talvez nem mesmo em equipamentos ou softwares,
• talvez não seja necessário ter escritórios em um local alternativo – os funcionários que não precisam encontrar clientes pessoalmente podem trabalhar em suas casas,
• talvez não seja necessário ter um local alternativo, se você tem outras unidades de negócios em diferentes locais que possam assumir as atividades críticas afetadas pelo desastre,
• talvez não seja necessário adquirir equipamentos com antecedência, se você puder encontrar um fornecedor que garanta a entrega dos equipamentos dentro do seu OTR,
• etc.

Em todos esses exemplos, você precisará aumentar sua capacidade de organização, mas se você pretende economizar dinheiro, com certeza é algo para se pensar.

Você também pode conferir o webinar BS 25999-2 Foundations Part 2: Business Continuity Strategy (treinamento vendido comercialmente).