ISO 27001 & BS 25999

Sua gerência solicitou que você implementasse a continuidade de negócios, mas você não tem certeza de como fazê-lo? Embora essa não seja uma tarefa fácil, você pode usar a metodologia da BS 25999-2 para facilitar sua vida. Aqui estão os principais passos necessários para implementar essa norma:

1. Obter o apoio da gerência

Embora este não seja um passo obrigatório na BS 25999-2, é certamente crucial no início, pois se a gerência não entender os benefícios da continuidade de negócios e não estiver comprometida com esse projeto, ele provavelmente irá fracassar.

2. Tratar como um projeto

Você precisará de bastante tempo e recursos para estabelecer seu sistema de gestão da continuidade de negócios (SGCN) – é preciso definir claramente o que precisa ser feito, em que prazo e quais são as funções na implementação do projeto. Em outras palavras, você tem de aplicar métodos de gerenciamento de projetos.

3. Definir objetivos e escopo; escrever uma Política de GCN

Você precisa definir o que quer alcançar com o SGCN – conformidade, diminuição do nível de risco, exigências de seus clientes/parceiros etc. Além disso, é necessário definir o que será incluído em seu SGCN: toda a organização, ou apenas uma parte dela. Por exemplo, você pode decidir que irá incluir apenas o seu centro de processamento de dados se estiver fornecendo serviços de hospedagem para seus clientes. Tudo isso tem de ser documentado na Política de GCN.

4. Definir funções e responsabilidades para o SGCN

Como o SGCN irá se tornar uma atividade permanente em sua organização, é preciso definir responsabilidades claras para ele, principalmente para o “patrono” do SGCN (alguém responsável pelo SGCN, mas que não está envolvido nas atividades do dia a dia do SGCN), para o “coordenador do SGCN”, para o “gerente do SGCN”, ou algo semelhante, e uma ou mais pessoas com deveres ativos em relação ao SGCN. É uma boa ideia documentar essas funções e responsabilidades na sua Política de GCN.

5. Implementar procedimentos obrigatórios

A BS 25999-2 requer que os quatro procedimentos obrigatórios a seguir sejam implementados: controle de documentos e registros, auditoria interna, ações preventivas e corretivas. Esses procedimentos são, na verdade, a base do seu sistema de gestão, à semelhança da ISO 27001 ou da ISO 9001.

6. Executar análise de impacto nos negócios e avaliação de riscos

Através da análise de impacto nos negócios você deve identificar as atividades críticas, o tempo máximo aceitável de interrupção, as dependências dessas atividades críticas (incluindo as dependências de fornecedores e parceiros de terceirização) e estabelecer os objetivos de tempo de recuperação.

Ao fazer a avaliação de riscos você descobre quais poderiam ser as causas para a interrupção de suas atividades críticas, estas podem ser naturais, mas também causadas pelo homem (seja intencional ou acidentalmente). Você também precisa fazer o tratamento dos riscos, o que significa encontrar uma maneira de diminuir a possibilidade de algo dar errado. Infelizmente, a avaliação e o tratamento de riscos não são muito bem-definidos nesta norma, portanto, você pode dar uma olhada na ISO 27001, que os descreve em detalhes.

7. Determinar a estratégia de continuidade de negócios

Antes de prosseguir com a escrita dos planos de continuidade de negócios, você tem de determinar quais recursos precisa para retomar suas atividades críticas – pessoas, locais, dados, hardware, software, fornecedores, parceiros de terceirização, etc.

A estratégia de continuidade de negócios deve determinar não apenas o que você precisa, mas também como você irá obter esses recursos.

8. Desenvolver planos de gestão de incidentes e planos de continuidade de negócios

O objetivo dos planos de gestão de incidentes é descrever como você irá responder diretamente à ocorrência de um incidente (por exemplo, incêndio, terremoto, ameaça de bomba, falta de energia etc.), a fim de evitar sua propagação e tentar diminuir seus efeitos diretos.

Por outro lado, o objetivo dos planos de continuidade de negócios é descrever como você irá recuperar suas atividades críticas, como irá colocar em ação todos os recursos que preparou. Isso significa que você tem de descrever quem vai fazer o quê, em que o tempo, usando quais dados e tecnologias, para colocar sua organização em funcionamento novamente.

Todos esses planos precisam ser descritos detalhadamente, porque devem ser executados mesmo no caso de a equipe principal não estar disponível. Portanto, tem de ser escritos de tal forma que outras pessoas sejam capazes de executá-los.

9. Treinamento e conscientização

Você precisa definir o nível de competência necessária para a execução dos planos de continuidade de negócios em caso de interrupção e, então, treinar toda a equipe (funcionários e parceiros externos) para obter esse nível de competência.

No entanto, isso não é suficiente, você também precisa explicar à equipe porque a GCN é necessária. Sejamos realistas – seus planos de continuidade de negócios serão usados, talvez, uma vez na vida, por isso, a maioria das pessoas os consideram um desperdício de tempo. Portanto, você deve explicar porque eles precisam existir. (Consulte também Como lidar com os céticos em relação à GCN)

10. Exercício do SGCN

Se você acha que escreveu seus planos perfeitamente, é provável que esteja errado, pois é quase impossível escrever um plano sem erros logo no início. É por isso que o exercício é uma parte obrigatória da GCN. Você tem de testar seus planos em uma situação mais ou menos parecida com uma interrupção real. Só assim você irá descobrir o que está bem planejado e o que não está.

11. Manter e revisar o SGCN

Outra maneira de manter seu SGCN atualizado é definindo a periodicidade com que irá revisar seus planos de continuidade de negócios e outros planos e acordos (por exemplo, contratos com fornecedores e parceiros de terceirização, treinamento e conscientização etc.) Há muitos tipos de mudanças no ambiente que ameaçam tornar sua documentação obsoleta – basta um funcionário que tinha uma função no SGCN deixar a empresa para se ter um número de telefone inútil no plano.

Também é obrigatório realizar uma revisão pós-incidente, se um incidente realmente ocorrer – o objetivo é descobrir como a organização reagiu – o plano foi seguido ou não.

12. Realizar auditoria interna

O objetivo da auditoria interna é descobrir, de forma objetiva, se há algo errado. O auditor interno deve ser uma pessoa que pode descobrir se algo está errado no seu SGCN, a fim de corrigir o erro. Se realizada corretamente, a auditoria interna pode ser uma das melhores maneiras de melhorar seu SGCN. (Leia Dilemas com os auditores internos das normas ISO 27001 e BS 25999-2.)

13. Executar análise crítica da gestão

Como disse antes, é muito importante envolver a gerência no projeto, a análise crítica da gestão foi projetada exatamente para isso. A norma exige que a gerência examine todos os fatos relevantes sobre GCN e decida se ela cumpriu com seu objetivo. Depois disso, a gerência tem de decidir quais melhorias devem ser feitas.

14. Ações preventivas e corretivas

A melhor coisa é evitar que os erros (ou nos termos da BS 25999, as “inconformidades”) aconteçam – é para isso que usamos as ações preventivas. Elas são uma forma sistemática de corrigir as coisas antes de ocorrer um problema. Parecidas com as ações preventivas, também existem as ações corretivas, que resolvem o problema que já ocorreu.

Agora a questão é: para que serve a BS 25999-2? Embora não seja (ainda) uma norma internacional, é a norma mais usada para a continuidade de negócios no mundo inteiro. As etapas acima referidas foram desenvolvidas pelos melhores especialistas em continuidade de negócios, por isso, se você quiser implementar as práticas mais aceitas para a continuidade de negócios, você não precisa procurar mais.

Aqui você pode baixar o diagrama do Processo de implementação da BS 25999-2, que mostra todas essas etapas, juntamente com a documentação exigida (é necessário fazer um registro).

Você provavelmente já se perguntou por que tem de realizar uma análise de impacto nos negócios (AIN) se já fez a avaliação de riscos. Você identificou todos os riscos, certo? E passou muito tempo analisando sua empresa, por que então mais uma análise?

Bem, o objetivo da AIN é diferente. Na continuidade de negócios tudo está relacionado ao tempo – não importa se você pode recuperar a sua atividade comercial, se não for feito em tempo razoável. “Razoável” é o que a AIN tem de determinar. Seu principal objetivo é descobrir qual é o objetivo de tempo de recuperação para cada atividade crítica dentro da organização.

Esse tipo de análise, muitas vezes, não é levada a sério. Em primeiro lugar, a empresa geralmente não sabe que resultados incorretos podem incorrer em despesas desnecessárias ou criar uma estratégia de continuidade de negócios inadequada, mas também o esforço necessário para realizar a AIN é subestimado.

Portanto, aqui estão algumas dicas que irão tornar a sua análise de impacto nos negócios mais eficaz:

Trate-a como um (mini) projeto. Defina o responsável pela sua implementação e sua autoridade; defina o escopo, os objetivos e prazos.

Faça sua lição de casa, prepare um bom questionário. Um questionário bem estruturado irá lhe poupar muito tempo e tornar os resultados mais precisos. As normas BS 25999-1 e BS 25999-2 lhe darão uma boa ideia sobre o que ele deve conter. Entre outras coisas, você tem de identificar os impactos resultantes de interrupções e determinar como variam ao longo do tempo, identificar os recursos necessários para recuperação etc. É uma boa prática utilizar perguntas qualitativas e quantitativas para identificar os impactos.

Defina critérios claros. Se o entrevistado tem de responder perguntas pela atribuição de valores, por exemplo, de 1 a 5, certifique-se de explicar exatamente o que cada uma dessas cinco notas significam. Não é raro que o mesmo evento seja avaliado como catastrófico pelos funcionários de nível mais baixo, enquanto que a alta administração avalia seu impacto como moderado.

Colete os dados por meio de interação humana. Os melhores resultados são obtidos quando alguém qualificado em continuidade de negócios realiza uma entrevista com a pessoa responsável por uma atividade crítica. Dessa forma, uma série de questões sem solução são esclarecidas, e respostas equilibradas são obtidas. Se as entrevistas não forem viáveis, faça pelo menos um workshop com todos os participantes para que possam tirar dúvidas sobre tudo o que os está incomodando. Em outras palavras, não basta enviar os questionários e repreender as pessoas por não enviá-los de volta no tempo estabelecido.

Determine os objetivos de tempo de recuperação somente depois de ter identificado todas as interdependências. Por exemplo, com o questionário você pode concluir que para a atividade crítica “A” o tempo máximo aceitável de interrupção é de dois dias; porém, o tempo máximo aceitável de interrupção para a atividade crítica “B” é de um dia e esta não pode ser recuperada sem a ajuda da atividade crítica A. Isso significa que o objetivo de tempo de recuperação para “A” será um dia em vez de dois.

De acordo com minha experiência, os resultados da AIN muitas vezes são inesperados. Geralmente, o objetivo de tempo de recuperação é mais longo do que se pensava inicialmente, e a AIN revela dependências de alguns recursos que são na verdade apenas um ponto único de falha. Mas o melhor de tudo é que a análise de impacto nos negócios é a maneira mais eficaz de fazer as pessoas pensarem sobre o inesperado. Ao criar essa consciência, você aumenta as chances de sobrevivência da sua empresa.

Você também pode conferir o webinar BS 25999-2 Foundations Part 1: Business Impact Analysis (treinamento vendido comercialmente).