Num dos artigos anteriores, falamos sobre a importância de uma organização desenvolver um Plano de Continuidade de Negócio.
Gerir um negócio significa planear, agir e ajustar soluções às situações atuais. Neste contexto, é essencial integrar a componente da gestão da continuidade do negócio para que, em situações de ameaças disruptivas ou desastres, esteja garantido que a organização responde de forma acertada e eficaz, recuperando rapidamente os padrões normais das atividades.
Sendo um ponto importante na implementação de um sistema de gestão da segurança da informação, de acordo com a ISO 27001, qualquer empresa deve dotar-se de ferramentas para situações de crise, mesmo que não pretenda a certificação ISO 27001.
Para implementar um Plano de Continuidade de Negócio, existe a ISO 22301.
Pretende-se com a gestão da continuidade do negócio dotar as organizações das ferramentas necessárias para dar resposta a cenários de ameaças disruptivas. As ameaças disruptivas a que as organizações poderão estar sujeitas poderão ser a vários níveis, desde fenómenos naturais, falhas nos sistemas informáticos, ataques cibernéticos, incêndios, inundações, falhas prolongadas de energia, perda de recursos humanos-chave, fatores económicos.
É essencial assegurar a operação perante estes cenários adversos, assegurando que as atividades do negócio não são afetadas, ou que são afetadas o mínimo possível e, em caso de serem, que as mesmas são recuperadas no mais curto espaço de tempo possível.
Implementar um Sistema de Gestão da Continuidade do Negócio
Através da implementação de um sistema de gestão de continuidade de negócio serão definidos um conjunto de ferramentas, de entre os quais planos, políticas, procedimentos, controlos, que irão proporcionar à organização o suporte necessários na identificação dos seus objetivos em termos de continuidade de negócio, bem como os respetivos processos para os alcançar.
A ISO 22301
A ISO 22301 representa um referencial de excelência, com orientações e requisitos para planear, estabelecer, implementar, monitorizar, rever e melhorar continuamente um sistema de gestão de continuidade de negócio, sendo possível a sua aplicação e certificação a todas as organizações, tenham maior ou menos dimensão.
ISO 22301- Gestão da Continuidade do Negócio – Modelo Geral
Adicionalmente à certificação da organização, a ISO 22301 também possibilita a certificação de pessoas após realização de exame específico efetuado com sucesso (+ outros requisitos adicionais), podendo essa certificação abranger vários níveis (ex: lead implementer, auditor, lead auditor)
“Pretende-se com a gestão da continuidade do negócio dotar as organizações das ferramentas necessárias para dar resposta a cenários de ameaças disruptivas. As ameaças disruptivas a que as organizações poderão estar sujeitas poderão ser a vários níveis, desde fenómenos naturais, falhas nos sistemas informáticos, ataques cibernéticos, incêndios, inundações, falhas prolongadas de energia, perda de recursos humanos-chave, fatores económicos.”
Abordagem
A adoção da ISO22301 integra uma abordagem que visa compreender e priorizar as ameaças do negócio, reduzir o risco e salvaguardar a recuperação do mesmo, alinhando a estratégica com o valor prático para a organização, sempre assente na avaliação dos resultados e na melhoria continua. O processo de adoção iniciará com uma fase de análise, que terá como objetivo compreender as atividades da organização de modo a garantir o alinhamento com os restantes sistemas de gestão, particularidades e estratégias da organização. Será posteriormente iniciada a fase de implementação com a definição orientada e objetiva de toda a estrutura documental obrigatória, que, para além de outra informação relevante passará pela identificação de:
- Contexto da Organização;
- Regulamentos e outros requisitos de evidência de conformidade;
- Âmbito e exclusões;
- Política de Continuidade de Negócio;
- Objetivos de Continuidade de Negócio;
- Competências;
- Planos de comunicação com as partes interessadas;
- Análise de Riscos;
- Análise de Impacto no Negócio;
- Estratégias de Recuperação;
- Gestão de resposta a incidentes;
- Planos de Continuidade e Recuperação do negócio;
- Identificação de pontos de recuperação e tempos de recuperação;
- Testes aos planos e resultados;
- Procedimento de Avaliação de desempenho;
- Procedimento de Auditorias;
- Procedimento de Melhoria.
Benefícios da implementação da ISO22301
A implementação de uma framework de referência internacional como a ISO22301, traz grandes benefícios para as organizações, de entre os quais podemos destacar:
- Focalização em processos críticos;
- Aumento da capacidade de resposta em caso de desastre;
- Controlo de riscos e minimização de perdas e danos;
- Reforço da confiança entre todas as partes interessadas;
- Evidência de cumprimento de requisitos legais e regulamentares através de uma framework de reconhecido valor internacional;
- Vantagem competitiva no mercado;
- Medição e monitorização consistente ao nível da gestão da continuidade do negócio.
