ISO 27001 & BS 25999

Faz sentido implementar a continuidade de negócios em pequenas empresas? Por que essas empresas precisam de algo tão custoso se o proprietário conhece todas as informações necessárias?

Vou começar com uma história que ouvi recentemente. Uma pequena empresa, envolvida na venda de vários equipamentos a muitos clientes, foi assaltada. O ladrão invadiu o escritório durante a noite e roubou todos os computadores, além de outros bens valiosos. O problema é que o proprietário da empresa fez backup dos dados, mas salvou o backup em outro computador no mesmo escritório. Pouco tempo depois a empresa foi à falência; simplesmente não foi possível recuperar as informações essenciais sobre seus negócios.

Este é um exemplo clássico da síndrome “Não vai acontecer comigo” que acomete a maioria das pequenas empresas.

Estrutura de continuidade de negócios

Isso significa que as pequenas empresas precisam investir em locais de recuperação de desastres caros com equipamentos de alta disponibilidade? Certamente não.

Em alguns casos, a continuidade dos negócios não é realmente necessária, pois o proprietário da empresa conhece todas as informações, mas esses casos são muito raros. Quantos desses proprietários não têm um laptop com vários tipos de informações importantes? Basta pensar em como disponibilizar essas informações em caso de desastres já é um esforço de continuidade de negócios.

Os proprietários de pequenas empresas precisam pensar bastante sobre quais informações (e outros recursos) são importantes para seus negócios, como garantir que essas informações e outros recursos estejam disponíveis em caso de desastres e quais passos são necessários para recuperar atividades em caso de desastres. Esses passos não passam da análise de impacto nos negócios, da estratégia de continuidade de negócios e dos planos de continuidade de negócios, como qualquer grande empresa faria ao implementar a continuidade de negócios. Todos esses passos estão descritos em uma norma líder em continuidade de negócios, a BS 25999-2.

Como se preparar

Agora a diferença entre as pequenas e grandes empresas é a complexidade e o preço dos preparativos que as pequenas empresas precisam fazer para a continuidade de negócios:

• Backup de dados eletrônicos – as pequenas empresas podem usar algumas das ferramentas que fazem backup de dados de seus computadores quase que instantaneamente para a nuvem. Obviamente é preciso tomar o devido cuidado para que todos os dados necessários sejam incluído no backup.
• Backup de documentos em papel – as pequenas empresas agora têm condições de eliminar documentos em papel quase que totalmente de suas operações diárias e transferir todo o conteúdo para o formato eletrônico; nos raros casos em que os documentos em papel são necessários, eles podem ser digitalizados para os fins de continuidade de negócios.
• Escritórios em locais alternativos – na maioria dos casos, é suficiente que os funcionários continuem as operações comerciais de suas casas; o pré-requisito é que tenham conexão à Internet, laptops/PCs e senhas. Se trabalhar em casa não for adequado, um quarto de hotel pode ser alugado em menos de uma hora.
• Hardware – a menos que haja um tipo especial de computador usado em uma empresa, é muito fácil encontrar uma alternativa; geralmente as pessoas possuem um computador pessoal em casa, podem emprestar de um parente ou comprar um em uma loja próxima.
• Força de trabalho – agora, essa provavelmente é a parte mais difícil, vamos supor que o único funcionário que conhece determinadas informações não esteja disponível (por exemplo, senhas administrativas, passos de um projeto importante, etc.). Nesse caso, a preparação seria documentar todas essas informações para que possam ser usadas mesmo na ausência desse funcionários. Caso um funcionário esteja ausente e nenhuma outra pessoa tenha tempo ou conhecimento para fazer seu trabalho, os preparativos seriam identificar antecipadamente quem estaria disponível para contratação em um curto espaço de tempo para cumprir as funções do funcionário que está ausente; obviamente, é essencial identificar alguém com as habilidades/qualificações adequadas.

Para concluir: não há diferenças entre grandes e pequenas organizações no que diz respeito à estrutura de continuidade de negócios; empresas de ambos os portes precisam pensar bastante em quais preparativos são necessários para que seja possível sobreviver a um desastre. A diferença está no nível dos preparativos. As pequenas empresas podem fazer isso com muito pouco investimento.

Você também pode conferir o webinar BS 25999-2 Foundations Part 3: Business Continuity Planning (treinamento vendido comercialmente).

Sua gerência solicitou que você implementasse a continuidade de negócios, mas você não tem certeza de como fazê-lo? Embora essa não seja uma tarefa fácil, você pode usar a metodologia da BS 25999-2 para facilitar sua vida. Aqui estão os principais passos necessários para implementar essa norma:

1. Obter o apoio da gerência

Embora este não seja um passo obrigatório na BS 25999-2, é certamente crucial no início, pois se a gerência não entender os benefícios da continuidade de negócios e não estiver comprometida com esse projeto, ele provavelmente irá fracassar.

2. Tratar como um projeto

Você precisará de bastante tempo e recursos para estabelecer seu sistema de gestão da continuidade de negócios (SGCN) – é preciso definir claramente o que precisa ser feito, em que prazo e quais são as funções na implementação do projeto. Em outras palavras, você tem de aplicar métodos de gerenciamento de projetos.

3. Definir objetivos e escopo; escrever uma Política de GCN

Você precisa definir o que quer alcançar com o SGCN – conformidade, diminuição do nível de risco, exigências de seus clientes/parceiros etc. Além disso, é necessário definir o que será incluído em seu SGCN: toda a organização, ou apenas uma parte dela. Por exemplo, você pode decidir que irá incluir apenas o seu centro de processamento de dados se estiver fornecendo serviços de hospedagem para seus clientes. Tudo isso tem de ser documentado na Política de GCN.

4. Definir funções e responsabilidades para o SGCN

Como o SGCN irá se tornar uma atividade permanente em sua organização, é preciso definir responsabilidades claras para ele, principalmente para o “patrono” do SGCN (alguém responsável pelo SGCN, mas que não está envolvido nas atividades do dia a dia do SGCN), para o “coordenador do SGCN”, para o “gerente do SGCN”, ou algo semelhante, e uma ou mais pessoas com deveres ativos em relação ao SGCN. É uma boa ideia documentar essas funções e responsabilidades na sua Política de GCN.

5. Implementar procedimentos obrigatórios

A BS 25999-2 requer que os quatro procedimentos obrigatórios a seguir sejam implementados: controle de documentos e registros, auditoria interna, ações preventivas e corretivas. Esses procedimentos são, na verdade, a base do seu sistema de gestão, à semelhança da ISO 27001 ou da ISO 9001.

6. Executar análise de impacto nos negócios e avaliação de riscos

Através da análise de impacto nos negócios você deve identificar as atividades críticas, o tempo máximo aceitável de interrupção, as dependências dessas atividades críticas (incluindo as dependências de fornecedores e parceiros de terceirização) e estabelecer os objetivos de tempo de recuperação.

Ao fazer a avaliação de riscos você descobre quais poderiam ser as causas para a interrupção de suas atividades críticas, estas podem ser naturais, mas também causadas pelo homem (seja intencional ou acidentalmente). Você também precisa fazer o tratamento dos riscos, o que significa encontrar uma maneira de diminuir a possibilidade de algo dar errado. Infelizmente, a avaliação e o tratamento de riscos não são muito bem-definidos nesta norma, portanto, você pode dar uma olhada na ISO 27001, que os descreve em detalhes.

7. Determinar a estratégia de continuidade de negócios

Antes de prosseguir com a escrita dos planos de continuidade de negócios, você tem de determinar quais recursos precisa para retomar suas atividades críticas – pessoas, locais, dados, hardware, software, fornecedores, parceiros de terceirização, etc.

A estratégia de continuidade de negócios deve determinar não apenas o que você precisa, mas também como você irá obter esses recursos.

8. Desenvolver planos de gestão de incidentes e planos de continuidade de negócios

O objetivo dos planos de gestão de incidentes é descrever como você irá responder diretamente à ocorrência de um incidente (por exemplo, incêndio, terremoto, ameaça de bomba, falta de energia etc.), a fim de evitar sua propagação e tentar diminuir seus efeitos diretos.

Por outro lado, o objetivo dos planos de continuidade de negócios é descrever como você irá recuperar suas atividades críticas, como irá colocar em ação todos os recursos que preparou. Isso significa que você tem de descrever quem vai fazer o quê, em que o tempo, usando quais dados e tecnologias, para colocar sua organização em funcionamento novamente.

Todos esses planos precisam ser descritos detalhadamente, porque devem ser executados mesmo no caso de a equipe principal não estar disponível. Portanto, tem de ser escritos de tal forma que outras pessoas sejam capazes de executá-los.

9. Treinamento e conscientização

Você precisa definir o nível de competência necessária para a execução dos planos de continuidade de negócios em caso de interrupção e, então, treinar toda a equipe (funcionários e parceiros externos) para obter esse nível de competência.

No entanto, isso não é suficiente, você também precisa explicar à equipe porque a GCN é necessária. Sejamos realistas – seus planos de continuidade de negócios serão usados, talvez, uma vez na vida, por isso, a maioria das pessoas os consideram um desperdício de tempo. Portanto, você deve explicar porque eles precisam existir. (Consulte também Como lidar com os céticos em relação à GCN)

10. Exercício do SGCN

Se você acha que escreveu seus planos perfeitamente, é provável que esteja errado, pois é quase impossível escrever um plano sem erros logo no início. É por isso que o exercício é uma parte obrigatória da GCN. Você tem de testar seus planos em uma situação mais ou menos parecida com uma interrupção real. Só assim você irá descobrir o que está bem planejado e o que não está.

11. Manter e revisar o SGCN

Outra maneira de manter seu SGCN atualizado é definindo a periodicidade com que irá revisar seus planos de continuidade de negócios e outros planos e acordos (por exemplo, contratos com fornecedores e parceiros de terceirização, treinamento e conscientização etc.) Há muitos tipos de mudanças no ambiente que ameaçam tornar sua documentação obsoleta – basta um funcionário que tinha uma função no SGCN deixar a empresa para se ter um número de telefone inútil no plano.

Também é obrigatório realizar uma revisão pós-incidente, se um incidente realmente ocorrer – o objetivo é descobrir como a organização reagiu – o plano foi seguido ou não.

12. Realizar auditoria interna

O objetivo da auditoria interna é descobrir, de forma objetiva, se há algo errado. O auditor interno deve ser uma pessoa que pode descobrir se algo está errado no seu SGCN, a fim de corrigir o erro. Se realizada corretamente, a auditoria interna pode ser uma das melhores maneiras de melhorar seu SGCN. (Leia Dilemas com os auditores internos das normas ISO 27001 e BS 25999-2.)

13. Executar análise crítica da gestão

Como disse antes, é muito importante envolver a gerência no projeto, a análise crítica da gestão foi projetada exatamente para isso. A norma exige que a gerência examine todos os fatos relevantes sobre GCN e decida se ela cumpriu com seu objetivo. Depois disso, a gerência tem de decidir quais melhorias devem ser feitas.

14. Ações preventivas e corretivas

A melhor coisa é evitar que os erros (ou nos termos da BS 25999, as “inconformidades”) aconteçam – é para isso que usamos as ações preventivas. Elas são uma forma sistemática de corrigir as coisas antes de ocorrer um problema. Parecidas com as ações preventivas, também existem as ações corretivas, que resolvem o problema que já ocorreu.

Agora a questão é: para que serve a BS 25999-2? Embora não seja (ainda) uma norma internacional, é a norma mais usada para a continuidade de negócios no mundo inteiro. As etapas acima referidas foram desenvolvidas pelos melhores especialistas em continuidade de negócios, por isso, se você quiser implementar as práticas mais aceitas para a continuidade de negócios, você não precisa procurar mais.

Aqui você pode baixar o diagrama do Processo de implementação da BS 25999-2, que mostra todas essas etapas, juntamente com a documentação exigida (é necessário fazer um registro).

Já aconteceu de sua gestão dar-lhe a responsabilidade de implementar a continuidade de negócios só porque você está no departamento de TI? Por que a continuidade de negócios normalmente está relacionada à tecnologia da informação?

Isto provavelmente acontece porque a continuidade de negócios tem suas raízes na recuperação de desastres, e a recuperação de desastres está totalmente ligada à tecnologia da informação. Vinte ou trinta anos atrás, a continuidade de negócios (CN) ainda não existia como um conceito, mas a recuperação de desastres (RD), sim – a principal preocupação era como salvar os dados caso ocorresse um desastre. Naquela época era muito comum adquirir equipamentos caros e colocá-los em um local remoto, de modo que todos os dados importantes de uma organização fossem preservados se, por exemplo, acontecesse um terremoto. O objetivo não era apenas preservar os dados, mas também processá-los mais ou menos com a mesma capacidade do local principal.

Mas depois de algum tempo, percebeu-se que esses dados seriam inúteis se não houve operações comerciais para utilizá-los. Foi assim que a ideia da continuidade de negócios nasceu – sua finalidade é permitir que a empresa continue funcionando, mesmo no caso de uma grande interrupção.

Definições

Vamos dar uma olhada nas definições: a continuidade de negócios é a “capacidade estratégica e tática da organização de se planejar e responder a incidentes e interrupções de negócios para conseguir continuar suas operações em um nível aceitável previamente definido” (BS 25999-2:2007), enquanto que a recuperação de desastres é “o processo, as políticas e os procedimentos relacionados à preparação para recuperação ou manutenção da infraestrutura tecnológica essencial para uma organização após um desastre natural ou induzido pelo homem” (Wikipedia.org).

Como você pode perceber a partir das definições, a ênfase na RD é a tecnologia, enquanto que na CN são as operações comerciais. Portanto, a recuperação de desastres é parte da continuidade de negócios. Você pode considerá-la como uma das principais possibilitadoras das operações comerciais, ou a parte tecnológica da continuidade de negócios.

No entanto, você deve ter notado outra coisa também: a definição de CN é uma citação da BS 25999-2, a principal norma em gestão da continuidade de negócios, enquanto que a definição da RD é citada da Wikipédia – na verdade, a “continuidade de negócios” é um termo oficial reconhecido nas normas, enquanto que a “recuperação de desastres” não é.

Implicações para a implementação

Então por que é uma má ideia o departamento de TI implementar a continuidade de negócios para toda a organização? Porque a continuidade de negócios é essencialmente uma questão comercial, não uma questão de TI. Se o departamento de TI fosse implementar a continuidade de negócios em toda a organização, ele não seria capaz de definir o grau de emergência das atividades comerciais, nem a importância das informações. Além disso, é uma questão de saber se iria conseguir obter o compromisso das partes comerciais da organização.

A melhor maneira de organizar a implementação da CN é a parte comercial liderar esse projeto. Assim você poderia conseguir uma maior consciência e aceitação de todas as partes da organização. O departamento de TI deve desempenhar seu papel nesse projeto – um papel fundamental – preparar os planos de recuperação de desastres.

Você também pode conferir o webinar BS 25999-2 Foundations Part 1: Business Impact Analysis (treinamento vendido comercialmente).

Você já ouviu algo como “Não pode ser feito”, “Isso não tem utilidade”, ou “É inútil se um grande desastre acontecer”? Se você implementou a gestão de continuidade de negócios, provavelmente já ouviu. Naturalmente, essa atitude não ajuda em seu projeto, por isso aqui estão algumas sugestões de como lidar com essas pessoas.

“Se um grande desastre acontecer, não seremos capazes de fazer nada”

Esta provavelmente é a mais comum. Bem, eles podem estar certos, a menos que você realmente tenha preparado a sua estratégia de continuidade de negócios e os planos de continuidade de negócios tendo em conta todos os cenários possíveis. Se você fez isso, então pode explicar para eles que preparou um local alternativo distante o suficiente para suportar qualquer tipo de desastre, que você fez uma cópia de segurança dos dados, que há um substituto para qualquer funcionário da empresa, que tem fornecedores alternativos para qualquer serviço crítico etc.

“Se uma guerra nuclear irromper, isso não vai funcionar”

Bem, a menos que você seja um fornecedor das forças armadas, isso não importa, não é verdade? Basicamente, nesse tipo de cenário catastrófico, sua empresa provavelmente não teria mais uma finalidade.

“Isso não tem utilidade”

Espero sinceramente que você nunca precise usar a continuidade de negócios. Mesmo sem mencionar exemplos bem-conhecidos como o 11 de setembro ou o furacão Katrina, basta perguntar: você já passou por uma pane elétrica? Ou o seu servidor já teve uma pane? Ou talvez um computador com dados importantes? Você já ouviu falar de algum edifício que queimou completamente? Basta ler as manchetes dos jornais para entender que essas coisas podem acontecer a qualquer um.

“Faremos isso somente para satisfazer o auditor”

Prioridade errada. Se você fizer isso corretamente, estará se protegendo e, como consequência, o auditor ficará contente.

“Não podemos prever todos os incidentes”

Isso é verdade, pelo menos no início. Mas se você executar sua avaliação de riscos corretamente, usar livros especializados e vários recursos e analisar a avaliação regularmente, é muito provável que com o tempo você seja capaz de considerar todos os riscos possíveis. Depois de conhecê-los, você pode preparar sua resposta.

“Em caso de emergência, as pessoas irão querer cuidar de suas famílias, não da empresa”

Isso também é verdade. Quem não ligaria primeiro para sua família para ver se está tudo bem no caso de um terremoto? Mas se você planejar cuidadosamente quem pode ir direto para casa depois de um incidente e quem deve ficar e resolver a situação, e se você cuidar da família dos funcionários que devem permanecer na empresa (por exemplo, atribuindo essa tarefa a algum outro funcionário), então, provavelmente, você já resolveu esse problema.

“As pessoas reagem irracionalmente em situações de crise”

Definitivamente, isso é verdade. Mas se você treinar seus funcionários (e fornecedores/parceiros) regularmente e exercitar seus planos de continuidade de negócios, eles irão se acostumar com situações estressantes e provavelmente irão responder da maneira certa, se tais situações ocorrerem.

Se você já implementou projetos parecidos, sabe como a conscientização é importante. Se seus colegas não reconhecerem os propósitos desses projetos, você terá grandes dificuldades com a implementação. Sem mencionar que seu projeto pode fracassar por completo. É por isso que você precisa considerar o trabalho de conscientização com antecedência.

Você também pode conferir o webinar BS 25999-2 Foundations Part 2: Business Continuity Strategy (treinamento vendido comercialmente).

Se você começou a implementar uma gestão de continuidade de negócios, provavelmente o maior desafio que você está enfrentando é escrever os planos de continuidade de negócios.

Por que é tão difícil? Bem, você tem de pensar em vários cenários em que um desastre (ou outro tipo de interrupção das atividades comerciais) pode ocorrer e precisa elaborar uma maneira para lidar com esses incidentes excepcionalmente raros, mas possivelmente catastróficos.

Os problemas encontrados pelas pessoas que escrevem esses planos normalmente incluem o conteúdo do plano (quais são os principais elementos), o quão detalhado ele deve ser, quais etapas incluir, etc.

Uma das melhores soluções para todos esses dilemas é usar a norma BS 25999-2, que, juntamente com a BS 25999-1, define um modelo de como os planos devem ser escritos.

De acordo com essas normas, os planos de continuidade de negócios devem ser compostos de (1) plano de resposta a incidentes e (2) planos de recuperação. Um plano de resposta a incidentes geralmente é um único plano escrito para toda a organização e descreve o que deve ser feito imediatamente após um desastre – reduzir os efeitos do incidente, comunicar aos serviços de emergência, evacuar o edifício, reunir-se em pontos de concentração, organizar o transporte para locais alternativos etc.

Os planos de recuperação, em geral, são escritos separadamente para cada atividade crítica, e os passos a serem incluídos nos planos de recuperação geralmente são os seguintes: quando e como se comunicar com as várias partes interessadas (funcionários e seus familiares, acionistas, clientes, parceiros, entidades governamentais, meios de comunicação etc.), como reunir a equipe, como recuperar a infraestrutura, como verificar se os aplicativos estão funcionando e se os direitos de acesso são adequados, como verificar quais dados estão faltando ou foram corrompidos pelo desastre, como recuperar os dados e como decidir quando a recuperação está concluída, para que as operações normais possam recomeçar.

Os planos de recuperação de desastres (os planos de recuperação das infraestruturas TIC) devem ser escritos com muito cuidado, pois devem descrever como colocar cada sistema em funcionamento dentro do objetivo de tempo de recuperação de uma determinada atividade crítica. Isso geralmente é feito ao se escrever um plano detalhado de recuperação para cada sistema a ser recuperado.

A regra geral diz que o nível de detalhes em todos esses planos deve ser tal que outros funcionários (ou uma equipe externa) sejam capazes de executar o plano, se as pessoas que trabalham com essa atividade crítica não estiverem disponíveis. Portanto, use o bom senso ao escrever os planos, que devem ser compreensíveis para qualquer pessoa, não apenas para você.

Pela minha experiência, posso dizer que o maior desafio ao escrever esses planos é que os funcionários precisam enfrentar algo completamente diferente, algo sobre o qual eles nunca tiveram de pensar. Para superar esse problema, o melhor é organizar um workshop no qual, com ou sem um moderador, eles poderiam compartilhar suas opiniões sobre o que aconteceria se… , como reagir quando… etc.

A verdade é que o simples fato de seus funcionários começarem a pensar sobre continuidade de negócios é 50% do trabalho. Com essa abordagem, os resultados do plano de continuidade de negócios serão muito melhores.

Você também pode conferir o webinar BS 25999-2 Foundations Part 3: Business Continuity Planning (treinamento vendido comercialmente).

Você está pensando em implementar a gestão de continuidade de negócios/norma BS 25999-2? Mas você já ouvir falar que custará muito caro? Provavelmente irá custar, mas não necessariamente tanto quanto você imagina. Isso pode ser resolvido com uma boa estratégia de continuidade de negócios.

A estratégia de continuidade de negócios, conforme definido na norma BS 25999-2, é uma “abordagem de uma organização que garanta a sua recuperação e continuidade ao se defrontar com um desastre, ou outro incidente maior ou interrupção de negócios”. Portanto, a questão principal é se preparar da melhor maneira possível para neutralizar um desastre se isso ocorrer. Essa preparação pode incluir medidas organizacionais (elaboração de planos, assinatura de contratos com fornecedores/parceiros, treinamento, análise, trabalho de conscientização etc.) e medidas que incluem investimento em equipamentos, infraestrutura etc.

O tempo é um fator muito importante na recuperação. Se você não recuperar o seu negócio rapidamente, pode perder seus clientes e, consequentemente, perder seu negócio também. Assim, a estratégia de continuidade de negócios deve definir o objetivo de tempo de recuperação (OTR) para cada uma de suas atividades críticas, dado que o OTR pode ser diferente para cada uma delas.

Uma consideração importante: quanto mais curto for o OTR, maior será o investimento necessário. Por exemplo, se você quiser recuperar seu centro de processamento dados em menos de uma hora, terá de investir em um local alternativo com quase o mesmo equipamento do local principal; por outro lado, se você quiser recuperá-lo em duas semanas, o investimento será muito menor, porque armazenar as fitas de backup em um local alternativo seria o suficiente, dando-lhe duas semanas para obter o equipamento necessário. Isso significa que o OTR não deve ser muito longo, mas também não muito curto.

Depois que o OTR estiver definido, você ainda precisará fazer alguns investimentos, mas, com uma boa estratégia de continuidade de negócios, você poderá diminuir esse investimento, embora ainda consiga recuperar suas atividades críticas dentro do objetivo de tempo de recuperação. Aqui estão alguns exemplos:

• talvez não seja necessário ter seu próprio centro de processamento de dados em um local alternativo – na maioria dos países, é possível alugar esse tipo de local de uma empresa especializada, o que significa que você não precisa investir em infraestrutura, talvez nem mesmo em equipamentos ou softwares,
• talvez não seja necessário ter escritórios em um local alternativo – os funcionários que não precisam encontrar clientes pessoalmente podem trabalhar em suas casas,
• talvez não seja necessário ter um local alternativo, se você tem outras unidades de negócios em diferentes locais que possam assumir as atividades críticas afetadas pelo desastre,
• talvez não seja necessário adquirir equipamentos com antecedência, se você puder encontrar um fornecedor que garanta a entrega dos equipamentos dentro do seu OTR,
• etc.

Em todos esses exemplos, você precisará aumentar sua capacidade de organização, mas se você pretende economizar dinheiro, com certeza é algo para se pensar.

Você também pode conferir o webinar BS 25999-2 Foundations Part 2: Business Continuity Strategy (treinamento vendido comercialmente).

À primeira vista, segurança da informação e continuidade de negócios não têm muito em comum – alguns diriam que a única semelhança é que estão relacionadas à TI.

A gestão da segurança da informação é melhor definida na norma internacional ISO/IEC 27001, enquanto a gestão da continuidade de negócios é definida na norma britânica BS 25999-2. Portanto, se quisermos comparar esses dois tópicos, o mais sensato a se fazer é dar uma olhada no que essas duas normas têm a dizer.

Em primeiro lugar, a TI é uma parte importante da ISO 27001 e da BS 25999-2, mas de maneira alguma essas duas normas estão relacionadas apenas à TI. A ênfase é em processos de negócios e ativos e em riscos associados. É verdade que a TI é a principal ferramenta para processar os dados, mas o fato é que os maiores riscos estão ligados a atividades maliciosas e não intencionais das pessoas. Portanto, os riscos associados à segurança da informação ou à continuidade de negócios não podem ser resolvidos apenas pela tecnologia da informação, pois é muito mais importante definir a organização, os processos e as responsabilidades dentro da organização.

Mas o que é, essencialmente, segurança da informação? A ISO 27001 define como “preservação da confidencialidade, integridade e disponibilidade da informação”. Por outro lado, a BS 25999-2 define a continuidade dos negócios como “a capacidade estratégica e tática da organização de se planejar e responder a incidentes e interrupções de negócios para continuar suas operações em um nível aceitável previamente definido”.

As duas explicações não parecem muito semelhantes. No entanto, há uma coisa que as torna muito parecidas: a disponibilidade. O foco da segurança da informação e da continuidade de negócios é manter as informações disponíveis para aqueles que precisam delas. A respeito disso, o Anexo A da ISO 27001 oferece alguns controles dedicados exclusivamente à continuidade dos negócios.

Além disso, ambas as normas exigem a realização da avaliação dos riscos, a fim de identificar possíveis problemas relacionados à informação. Ambas as normas requerem gerenciamento de documentos, realização de auditorias internas, análise crítica da gestão e ações corretivas e preventivas. Isso significa que se você já tem a documentação para a ISO 27001, você pode usar os mesmos procedimentos para a BS 25999-2 (com apenas pequenos ajustes).

Quais são as diferenças? A principal diferença está no nível de detalhamento. A ISO 27001 abrange uma área muito maior e, portanto, não é muito precisa quando se trata de continuidade de negócios. Por outro lado, a BS 25999-2 descreve em detalhes como realizar análise de impacto nos negócios, como definir a estratégia de continuidade de negócios ou qual deve ser o conteúdo dos planos de continuidade de negócios etc.

Para concluir, a ideia principal é que você pode considerar a continuidade de negócios como parte da segurança da informação. O uso prático disso é que quando se trata de implementar a continuidade dos negócios no contexto da ISO 27001, é melhor usar a BS 25999-2 como uma diretriz.

Você também pode conferir o nosso webinar ISO 27001 & BS 25999-2: Why is it better to implement them together? grátis.