A gestão de incidentes

A NBR ISO 22320 de 06/2020 – Segurança e resiliência — Gestão de emergências — Diretrizes para gestão de incidentes fornece as diretrizes para a gestão de incidentes, incluindo os princípios que comuniquem o valor e expliquem a finalidade da gestão de incidentes, os componentes básicos da gestão de incidentes, incluindo processo e estrutura, com foco em papéis e responsabilidades, tarefas e gestão de recursos, e o trabalho conjunto por meio de direção e cooperação conjuntas. Este documento é aplicável a qualquer organização envolvida em responder a incidentes de qualquer tipo e escala. É aplicável a qualquer organização com uma estrutura organizacional, bem como a duas ou mais organizações que optem por trabalhar em conjunto enquanto continuam a usar a sua própria estrutura organizacional ou usam uma estrutura organizacional combinada.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Por que definir claramente os papéis e responsabilidades de todo o pessoal?

O que é um quadro operacional comum (common operational picture)?

Por que a organização deve estabelecer acordos de cooperação?

Como fazer o desenvolvimento e a implementação de métodos para trabalhar em conjunto?

Nos últimos anos, houve muitos desastres, tanto naturais quanto provocados pelo homem, e outros grandes incidentes, que mostraram a importância da gestão de incidentes para salvar vidas, reduzir danos e prejuízos, e assegurar um nível adequado de continuidade de funções sociais essenciais. Tais funções incluem saúde, telecomunicações, abastecimento de água e alimentos e acesso à eletricidade e combustível. Embora no passado o foco da gestão de incidentes tenha sido nacional, regional ou dentro de organizações individuais, hoje e no futuro há uma necessidade de uma abordagem multinacional e multiorganizacional.

Esta necessidade é motivada por relacionamentos e interdependências entre governos, organizações não governamentais (ONG), organizações da sociedade civil (OSC) e o setor privado internacionalmente. Fatores como aumento da urbanização, dependências e interdependências de infraestruturas críticas, dinâmica socioeconômica, mudança ambiental, doenças animais e humanas, e aumento do movimento de pessoas e bens em todo o mundo aumentaram o potencial de disrupções e desastres que transcendem as fronteiras geográficas e políticas, impactando na capacidade de gestão de incidentes.

Este documento fornece orientação para as organizações melhorarem o tratamento de todos os tipos de incidentes (por exemplo, emergências, crises, disrupções e desastres). As múltiplas atividades de gestão de incidentes geralmente são compartilhadas entre organizações e agências, com o setor privado, organizações regionais e governos, com diferentes níveis de jurisdição. Portanto, é necessário orientar todas as partes envolvidas em como preparar e implementar a gestão de incidentes.

Espera-se que a assistência entre regiões ou fronteiras entre organizações durante a gestão de incidentes seja apropriada às necessidades da população afetada e que seja culturalmente sensível. Portanto, a participação de múltiplas partes interessadas, que foca no envolvimento da comunidade no desenvolvimento e implementação da gestão de incidentes, é desejável, quando apropriado. As organizações envolvidas requerem a capacidade de compartilhar uma abordagem comum entre fronteiras geográficas, políticas e organizacionais.

Este documento é aplicável a qualquer organização responsável pela preparação ou resposta a incidentes nos níveis local, regional, nacional e, possivelmente, internacional, incluindo aqueles que são responsáveis e participam da preparação para incidentes, oferecem orientação e direção na gestão de incidentes, são responsáveis pela comunicação e interação com o público, e realizam pesquisas no campo da gestão de incidentes. As organizações se beneficiam do uso de uma abordagem comum para a gestão de incidentes, por isto permitem um trabalho colaborativo e garantem ações mais coerentes e complementares entre as organizações.

A maioria dos incidentes é de natureza local e é gerenciada nos níveis local, municipal, regional, estadual ou provincial. A gestão de incidentes respeita a primazia da vida humana e da dignidade humana por meio da neutralidade e imparcialidade. A gestão de incidentes requer que todas as pessoas, a qualquer momento, se reportem a apenas um supervisor. A gestão de incidentes requer que as organizações trabalhem em conjunto. A gestão de incidentes considera incidentes naturais e humanos, incluindo aqueles que a organização ainda não enfrentou.

A gestão de incidentes é baseada na gestão de riscos. A gestão de incidentes requer preparação e requer o compartilhamento de informações e perspectivas. Enfatiza a importância da segurança para os respondedores e para os impactados, é flexível (por exemplo, adaptabilidade, escalabilidade e subsidiariedade) e leva em consideração fatores humanos e culturais. Enfatiza a melhoria contínua para aprimorar o desempenho organizacional.

Convém que a gestão de incidentes considere uma combinação de instalações, equipamentos, pessoal, estrutura organizacional, procedimentos e comunicações. A gestão de incidentes tem base no entendimento de que, em todo e qualquer incidente, existem determinadas funções de gestão que convém que sejam executadas, independentemente do número de pessoas disponíveis ou envolvidas na resposta ao incidente. Convém que a organização implemente a gestão de incidentes, incluindo um processo de gestão de incidentes (5.2), e uma estrutura de gestão de incidentes, que identifique papéis e responsabilidades, tarefas e alocação de recursos da gestão de incidentes (5.3).

Convém que a organização documente o processo e a estrutura de gestão de incidentes. O processo de gestão de incidentes tem base em objetivos que são desenvolvidos por meio da coleta e compartilhamento proativo de informações, a fim de avaliar a situação e identificar as contingências. Convém que a organização se engaje em atividades de planejamento como parte da preparação e resposta, que considerem o seguinte: segurança, objetivos da gestão de incidentes, informações sobre a situação, monitoramento e avaliação da situação, função de planejamento, que determina um plano de ação para incidentes, alocação, rastreabilidade e liberação de recursos, comunicações, relacionamento com outras organizações, quadro operacional comum (common operational picture), desmobilização e rescisão, diretrizes de documentação.

O Anexo D fornece recomendações sobre o planejamento de gestão de incidentes. Um plano de ação para incidentes (verbal ou escrito) inclui metas, objetivos, estratégias, táticas, segurança, comunicações e informações sobre gestão de recursos. Desmobilizar significa devolver recursos ao seu uso e status originais. Rescisão significa uma transferência formal das responsabilidades de gestão de incidentes para outra organização. Convém que as decisões tomadas entre as organizações sejam compartilhadas conforme apropriado. O processo de gestão de incidentes se aplica a qualquer escala de incidente (curto/longo prazos) e convém que seja aplicado conforme apropriado a todos os níveis de responsabilidade.

A figura abaixo fornece um exemplo simples do processo de gestão de incidentes. Convém que a organização estabeleça um processo de gestão de incidentes que seja contínuo e inclua as seguintes atividades: observação; coleta, processamento e compartilhamento de informações; avaliação da situação, incluindo previsão; planejamento; tomada de decisão e comunicação das decisões tomadas; implementação de decisões; coleta de feedback e medidas de controle. Não convém que o processo de gestão de incidentes se limite às ações do comandante do incidente, mas que também seja aplicável a todas as pessoas envolvidas na equipe de comando do incidente, em todos os níveis de responsabilidade.

Convém que a organização se esforce para entender outras perspectivas, como dentro e fora da organização, vários cenários de resposta, necessidades diferentes, várias ações necessárias, e diferentes culturas e objetivos organizacionais. Convém que a organização antecipe efeitos em cascata, tome a iniciativa de fazer algo mais cedo, em vez de tardiamente, considere os cronogramas de outras organizações, determine o impacto de diferentes cronogramas, e modifique o seu cronograma adequadamente.

Convém que a organização considere as necessidades e os efeitos a curto e longo prazos. Isto inclui antecipar como o incidente se desenvolverá, quando surgirão necessidades diferentes, e quanto tempo levará para atender a estas necessidades. Convém que a organização tome a iniciativa de avaliar riscos e alinhar a resposta para aumentar a sua eficácia, antecipar como os incidentes podem mudar e usar os recursos de maneira eficaz, tomar decisões sobre várias medidas com antecedência suficiente para que as decisões sejam eficazes quando forem realmente necessárias, gerenciar o incidente depressa, iniciar uma resposta conjunta em vez de esperar que alguém o faça, descobrir quais informações compartilhadas são necessárias e informar e instruir as partes envolvidas, por exemplo, para criar novos recursos.

Convém que a organização implemente uma estrutura de gestão de incidentes para executar as tarefas pertinentes aos objetivos do incidente. Convém que uma estrutura de gestão de incidentes inclua as seguintes funções básicas. Comando: autoridade e controle do incidente; estrutura e responsabilidades dos objetivos da gestão de incidentes; ordenação e liberação de recursos. Planejamento: coleta, avaliação e compartilhamento oportuno de informações de inteligência e sobre incidentes; relatórios de status, incluindo recursos atribuídos e equipe; desenvolvimento e documentação do plano de ação para incidentes; coleta, compartilhamento e documentação de informações.

Operações: objetivos táticos; redução de perigos; proteção de pessoas, propriedades e meio ambiente; controle de incidentes e transição para a fase de recuperação. Logística: suporte e recursos a incidentes; instalações, transporte, suprimentos, manutenção de equipamentos, combustível, serviço de alimentação e serviços médicos para o pessoal do incidente; suporte de comunicações e tecnologia da informação. Finanças e administração: indenizações e reclamações; compras; custos e tempo. (Dependendo da escala de um incidente, uma função financeira e administrativa separada pode não ser necessária.)

As orientações para a gestão de continuidade de negócios

Entenda as orientações e recomendações para a aplicação dos requisitos do sistema de gestão de continuidade de negócios (SGCN) fornecidos na NBR ISO 22301. As orientações e recomendações são baseadas em boas práticas internacionais. É aplicável a organizações que: implementam, mantêm e melhoram um SGCN; buscam assegurar a conformidade com a política de continuidade de negócios declarada; precisam estar aptas a continuar o fornecimento de produtos e serviços em uma capacidade predefinida aceitável durante uma disrupção; buscam melhorar sua resiliência por meio da aplicação eficaz do SGCN.

A NBR ISO 22313 de 06/2020 – Segurança e resiliência — Sistemas de gestão de continuidade de negócios — Orientações para o uso da NBR ISO 22301 fornece orientações e recomendações para a aplicação dos requisitos do sistema de gestão de continuidade de negócios (SGCN) fornecidos na NBR ISO 22301. As orientações e recomendações são baseadas em boas práticas internacionais. É aplicável a organizações que: implementam, mantêm e melhoram um SGCN; buscam assegurar a conformidade com a política de continuidade de negócios declarada; precisam estar aptas a continuar o fornecimento de produtos e serviços em uma capacidade predefinida aceitável durante uma disrupção; buscam melhorar sua resiliência por meio da aplicação eficaz do SGCN. As orientações e recomendações são aplicáveis a todos os tamanhos e tipos de organizações, incluindo grandes, médias e pequenas organizações que operam nos setores industrial, comercial, público e sem fins lucrativos. A abordagem adotada depende do ambiente operacional e da complexidade da organização.

Acesse algumas dúvidas relacionadas a essas normas GRATUITAMENTE no Target Genius Respostas Diretas:

Quais devem ser os procedimentos em relação aos requisitos legais e regulamentares?

O que fazer em relação às exclusões do escopo do SGCN?

Como estabelecer uma política de continuidade de negócios?

Quais os exemplos de papéis e responsabilidades do SGCN?

Este documento fornece orientação, onde apropriado, sobre os requisitos da NBR ISO 22301. Não é a intenção deste documento fornecer orientações gerais sobre todos os aspectos da continuidade de negócios. Este documento inclui os mesmos cabeçalhos da NBR ISO 22301, mas não reafirma os requisitos e termos e definições relacionados.

A intenção das orientações é explicar e esclarecer o significado e a finalidade dos requisitos da NBR ISO 22301 e auxiliar na resolução de quaisquer problemas de interpretação. Outras normas e especificações técnicas que fornecem orientações adicionais e às quais são feitas referências neste documento são projeto ISO/TS 22317, ISO/TS 22318, projeto NBR ISO 22322, ISO/TS 22330, ISO/TS 22331 e ISO 22398. O escopo destes documentos pode ir além dos requisitos da NBR ISO 22301.

Portanto, convém que as organizações sempre consultem a NBR ISO 22301 para verificar os requisitos a serem atendidos. Para fornecer mais esclarecimentos e explicação sobre postos-chaves, este documento inclui uma série de figuras. As figuras são apenas para fins ilustrativos e o texto relacionado no corpo deste documento tem precedência. Um SGCN deve enfatizar a importância de: estabelecer uma política e objetivos de continuidade de negócios que estejam alinhados com os objetivos da organização; operar e manter processos, capacidades e estruturas de resposta para assegurar que a organização sobreviva a disrupções; monitorar e analisar criticamente o desempenho e a eficácia do SGCN e melhorar continuamente, com base em medições qualitativas e quantitativas.

O SGCN, como qualquer outro sistema de gestão, inclui os componentes a seguir: uma política; pessoas competentes com responsabilidades definidas; processos de gestão relativos a política; planejamento; implementação e operação; avaliação de desempenho; análise crítica pela direção; melhoria contínua; documentação que apoie o controle operacional e possibilite a avaliação de desempenho. Geralmente a continuidade de negócios é específica para uma organização. No entanto, a sua implementação pode ter implicações de longo alcance sobre a comunidade em geral e terceiros.

É provável que uma organização tenha outras organizações externas que dependam dela, e outras que ela dependa. Uma continuidade de negócios eficaz, portanto, contribui para uma sociedade mais resiliente. Um SGCN aumenta o nível de resposta e prontidão da organização para continuar operando durante disrupções. Isso também resulta em uma melhor compreensão dos relacionamentos internos e externos da organização, melhor comunicação com as partes interessadas e a criação de um ambiente

de melhoria contínua. Há potencialmente muitos benefícios adicionais para a implementação de um SGCN de acordo com as recomendações contidas neste documento e de acordo com os requisitos da NBR ISO 22301. Por exemplo, seguir as recomendações da Seção 4 (“contexto da organização”) implica que a organização analisa criticamente seus objetivos estratégicos para assegurar que o SGCN os apoie; reconsidera as necessidades, expectativas e requisitos das partes interessadas; está ciente das obrigações legais, regulamentares e outras aplicáveis.

A Seção 5 (“liderança”) implica que a organização: reconsidera as funções e responsabilidades da direção; promove uma cultura de melhoria contínua; aloca responsabilidade pelo monitoramento e relatórios de desempenho. A Seção 6 (“planejamento”) implica que a organização: reexamina seus riscos e oportunidades e identifica ações para lidar e tirar proveito deles; estabelece uma gestão eficaz de mudanças. A Seção 7 (“apoio”) implica que a organização: estabelece uma gestão eficaz de seus recursos de SGCN, incluindo a gestão de competências; melhora a conscientização dos funcionários sobre assuntos importantes para a direção; possui mecanismos eficazes de comunicação interna e externa; gerencia eficazmente sua documentação.

A Seção 8 (“operação”) resulta que a organização considera: as consequências não intencionais da mudança; prioridades e requisitos de continuidade de negócios; dependências; vulnerabilidades a partir de uma perspectiva de impacto; riscos de disrupção e identificação da melhor forma de endereça-los; soluções alternativas para administrar o negócio com recursos limitados; estruturas e procedimentos eficazes para lidar com disrupções; responsabilidades para com a comunidade e outras partes interessadas. A Seção 9 (“avaliação de desempenho”) implica que a organização: possui mecanismos eficazes para monitorar, medir e avaliar o desempenho; envolve a direção no monitoramento do desempenho e contribui para a eficácia do SGCN.

A Seção 10 (“melhoria”) implica que a organização: tem procedimentos para monitorar o desempenho e melhorar a eficácia;  se beneficia da melhoria contínua de seus sistemas de gestão. Como resultado, a implementação do SGCN pode: proteger a vida, os ativos e o meio ambiente; proteger e aprimorar a reputação e credibilidade da organização; contribuir para a vantagem competitiva da organização, permitindo que ela opere durante as disrupções; reduzir custos decorrentes de disrupções e melhorar a capacidade da organização de permanecer eficaz durante eles; contribuir para a resiliência organizacional geral da organização; ajudar a tornar as partes interessadas mais confiantes no sucesso da organização; reduzir a exposição legal e financeira da organização; demonstrar a capacidade da organização de gerenciar riscos e solucionar vulnerabilidades operacionais.

Este documento adota o modelo plan-do-check-act (PDCA) para planejar, estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar continuamente a eficácia do SGCN da organização. Uma explicação sobre o ciclo PDCA é fornecida na tabela abaixo. Ela ilustra como o SGCN considera os requisitos das partes interessadas como entradas para a gestão de continuidade de negócios (GCN) e, por meio das ações necessárias e processos, produz resultados de continuidade de negócios (por exemplo, continuidade de negócios gerenciada) que atendem a estes requisitos.

A continuidade de negócios é a capacidade da organização de continuar fornecendo produtos ou serviços em capacidades predefinidas aceitáveis após uma disrupção. A gestão de continuidade de negócios é o processo de implementação e manutenção da continuidade de negócios para evitar perdas e se preparar para mitigar e gerenciar disrupções. O estabelecimento de um SGCN permite que a organização controle, avalie e melhore continuamente sua continuidade de negócios. Neste documento, a palavra negócios é usada como um termo abrangente para as operações e serviços executados por uma organização em busca de seus objetivos, metas ou missão.

Como tal, é igualmente aplicável a grandes, médias e pequenas organizações que operam nos setores industrial, comercial, público e sem fins lucrativos. As disrupções têm o potencial de interromper todas as operações da organização e sua capacidade de fornecer produtos e serviços. No entanto, a implementação de um SGCN antes que ocorra uma disrupção, em vez de responder de maneira não planejada após o incidente, permite à organização retomar as operações antes que surjam níveis inaceitáveis de impacto.

A gestão de continuidade de negócios envolve: identificar os produtos e serviços da organização e as atividades que os entregam; analisar os impactos de não retomar as atividades e os recursos dos quais dependem; compreender o risco de disrupção; determinar prioridades, prazos, capacidades e estratégias para retomar a entrega de produtos e serviços; ter soluções e planos para retomar as atividades dentro dos prazos requeridos após uma disrupção; garantir que esses arranjos sejam analisados criticamente e atualizados de forma regular para que sejam eficazes em todas as circunstâncias. Convém que a abordagem da organização à gestão da continuidade de negócios e suas informações documentadas sejam apropriadas ao seu contexto (por exemplo, ambiente operacional, complexidade, necessidades, recursos).

A continuidade de negócios pode ser eficaz para lidar com disrupções repentinas (por exemplo, explosões) e graduais (por exemplo, pandemias). As atividades podem ser interrompidas por uma ampla variedade de incidentes, muitos dos quais são difíceis de prever ou analisar. Ao focar no impacto da disrupção e não na causa, a continuidade de negócios permite que uma organização identifique atividades que são essenciais para poder cumprir suas obrigações.

Por meio da continuidade de negócios, uma organização pode reconhecer o que é para ser feito para proteger seus recursos (por exemplo, pessoas, instalações, tecnologia, informação), cadeia de suprimentos, partes interessadas e reputação antes que ocorra uma disrupção. Com esse reconhecimento, é possível que a organização crie uma estrutura de resposta, para ter certeza de gerenciar os impactos de uma disrupção. As figuras abaixo ilustram conceitualmente como a continuidade de negócios pode ser eficaz na mitigação de impactos em determinadas situações. Nenhuma escala de tempo específica é implicada pela distância relativa entre os estágios representados em qualquer diagrama.

Convém que a organização avalie e entenda as questões externas e internas (incluindo fatores ou condições positivas e negativas para consideração) que sejam pertinentes para seus objetivos gerais, produtos e serviços, e o quanto e o tipo de risco que pode ou não assumir. Convém que esta informação seja considerada na implementação e manutenção do SGCN da organização e atribuição de prioridades. O contexto externo da organização inclui, quando pertinente, o seguinte: o ambiente político, legal e regulamentar, seja internacional, nacional, regional ou local; os aspectos social e cultural; o ambiente financeiro, tecnológico, econômico, natural e competitivo, seja internacional, nacional, regional ou local; o comprometimento com a cadeia de suprimentos e relacionamentos (ver também ISO/TS 22318); fatores-chave (por exemplo, riscos, tecnologia) e tendências tendo um impacto sobre os objetivos e a operação da organização; relacionamentos com, e percepções e valores das, partes interessadas fora da organização; canais de comunicação, incluindo mídias sociais, usados para verificar e formar esses relacionamentos.

O contexto interno da organização inclui, quando pertinente, o seguinte: produtos e serviços, atividades, recursos, cadeia de suprimentos, e as relações com as partes interessadas; capacidades, entendidas em termos de recursos e de conhecimentos (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias); sistemas de gestão existentes; informações e dados (armazenados em formato físico ou eletrônico) e processos de tomada de decisão (formais e outros); partes interessadas dentro da organização, incluindo fornecedores internos [consideração de acordos de nível de serviço (SLA), acordos de resiliência e recuperação avaliados], ver ISO/TS 22318; políticas e os objetivos, e as estratégias que estão em vigor para alcança-los; oportunidades futuras e prioridades de negócios; percepções, valores e cultura; normas e modelos de referência adotados pela organização; estruturas (por exemplo, governança, papéis e responsabilizações); canais de comunicação interna usados para a troca de informações pela força de trabalho (por exemplo, mídias sociais).

A organização tem o dever de cuidar de uma ampla gama de pessoas dentro e fora da organização (ver também ISO/TS 22330). Ao estabelecer o SGCN, convém que a organização assegure que as necessidades e requisitos das partes interessadas sejam considerados. Convém que a organização identifique todas as partes interessadas que são pertinentes para seu SGCN e, com base em suas necessidades e expectativas, convém que determine seus requisitos.

É importante identificar não apenas os requisitos declarados, mas também os implícitos. Ao planejar e implementar o SGCN, é importante identificar ações que sejam apropriadas em relação às partes interessadas, mas diferenciar entre as categorias. Por exemplo, embora possa ser apropriado se comunicar com todas as partes interessadas na sequência de um incidente disruptivo, pode não ser apropriado comunicar a todas as partes interessadas a implementação e manutenção da gestão da continuidade de negócios.

As orientações para a gestão da segurança da informação

Conheça as orientações sobre os requisitos para um sistema de gestão de segurança da informação (SGSI) conforme especificado na NBR ISO/IEC 27001.

A NBR ISO/IEC 27003 de 04/2020 – Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações fornece explicações e orientações sobre a NBR ISO/IEC 27001:2013.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como entender as necessidades e expectativas das partes interessadas?

Quais as orientações para estabelecer o escopo de um SGSI?

Por que a liderança e o comprometimento são essenciais para um sistema de gestão de segurança da informação (SGSI) efetivo?

Quais as orientações para uma política de segurança?

Este documento fornece orientações sobre os requisitos para um sistema de gestão de segurança da informação (SGSI) conforme especificado na NBR ISO/IEC 27001 e fornece recomendações (‘Convém que’), possibilidades (‘pode’) e permissões (‘pode’) em relação a eles. Não é a intenção de este documento fornecer orientações gerais sobre todos os aspectos de segurança da informação. As Seções 4 a 10 deste documento espelham a estrutura da NBR ISO/IEC 27001:2013. Este documento não adiciona quaisquer novos requisitos para um SGSI e seus termos e definições relacionados.

Convém que as organizações consultem a ABNT NBR ISO/IEC 27001 e a ISO/IEC 27000 para requisitos e definições. As organizações implementando um SGSI não estão sob qualquer obrigação de observar as orientações deste documento. Um SGSI enfatiza a importância das seguintes fases: compreender as necessidades da organização e a necessidade de estabelecer política de segurança da informação e objetivos de segurança da informação; avaliar a organização, e os riscos relacionados à segurança da informação; implementar e operar processos, controles e outras medidas de segurança da informação para o tratamento de riscos; fiscalizar e analisar o desempenho e a eficácia do SGSI; e praticar a melhoria contínua.

Um SGSI, semelhante a qualquer outro tipo de sistema de gestão, inclui os seguintes componentes principais: política; pessoal com responsabilidades definidas; processos de gestão relacionados com o estabelecimento de política; provisão de conscientização e competência; planejamento; implementação; operação; avaliação de desempenho; análise crítica pela direção; melhoria; e informação documentada. Um SGSI tem componentes principais adicionais, como: avaliação de riscos de segurança da informação; e tratamento de riscos de segurança da informação, incluindo a determinação e a implementação de controles.

Este documento é genérico e se destina a ser aplicável a todas as organizações, independentemente do tipo, tamanho ou natureza. Convém que a organização identifique que parte destas orientações se aplica a ela de acordo com o seu contexto organizacional específico (ver NBR ISO/IEC 27001:2013, Seção 4). Por exemplo, algumas orientações podem ser mais adequadas para grandes organizações, mas para organizações muito pequenas (por exemplo, com menos de dez pessoas) algumas das orientações podem ser desnecessárias ou inadequadas.

As descrições das Seções 4 a 10 são estruturadas da seguinte forma: Atividade necessária: apresenta as principais atividades necessárias na subseção correspondente da NBR ISO/IEC 27001; Explicação: explica o que os requisitos da NBR ISO/IEC 27001 demandam; Orientações: fornece informações mais detalhadas ou de apoio para implementar a “atividade necessária”, incluindo exemplos para implementação; e Outras informações: fornece mais informações que podem ser consideradas.

As NBR ISO/IEC 27003, NBR ISO/IEC 27004 e NBR ISO/IEC 27005 formam um conjunto de documentos que dão suporte e orientações para a NBR ISO/IEC 27001:2013. Dentre esses documentos, a NBR ISO/IEC 27003 é um documento básico e abrangente que fornece orientações para todos os requisitos da NBR ISO/IEC 27001, mas não tem descrições detalhadas sobre “monitoramento, medição, análise e avaliação” e gestão de riscos de segurança da informação.

As NBR ISO/IEC 27004 e ABNT NBR ISO/IEC 27005 focam em conteúdos específicos e fornecem orientações mais detalhadas sobre “monitoramento, medição, análise e avaliação” e gestão de riscos de segurança da informação. Existem várias referências explícitas à informação documentada na NBR ISO/IEC 27001. No entanto, uma organização pode reter informações documentadas adicionais que considera necessárias para a eficácia do seu sistema de gestão como parte de sua resposta à NBR ISO/IEC 27001:2013, 7.5.1 b).

Nestes casos, este documento usa a frase “Informação documentada sobre esta atividade e o seu resultado é mandatório somente na forma e na medida em que a organização determina como necessário para a eficácia do seu sistema de gestão (ver NBR ISO/IEC 27001:2013, 7.5.1 b)”. A organização determina questões externas e internas relevantes para sua finalidade e que afetam a sua habilidade para obter o (s) resultado (s) pretendido (s) do sistema de gestão da segurança da informação (SGSI).

Como uma função integrante do SGSI, a organização analisa constantemente a si própria e o mundo que a rodeia. Esta análise está preocupada com questões internas e externas que de alguma maneira afetam a segurança da informação e como a segurança da informação pode ser gerida, e que são relevantes para os objetivos da organização. A análise destas questões tem três objetivos: entender o contexto a fim de decidir o escopo do SGSI; analisar o contexto para determinar riscos e oportunidades; e assegurar que o SGSI esteja adaptado para mudar questões externas e internas.

Questões externas são aquelas que estão fora do controle da organização. Isso é frequentemente referido como o ambiente da organização. A análise deste ambiente pode incluir os seguintes aspectos: social e cultural; político, jurídico, normativo e regulatório; financeiro e macroeconômico; tecnológico; natural; e competitivo. Estes aspectos do ambiente da organização apresentam continuamente questões que afetam a segurança da informação e como a segurança da informação pode ser gerida. As questões externas relevantes dependem da situação e das prioridades específicas da organização.

Por exemplo, questões externas para uma organização específica podem incluir: implicações legais do uso de um serviço de TI terceirizado (aspecto legal); características da natureza em termos de possibilidade de desastres como incêndios, inundações e terremotos (aspecto natural); avanços técnicos de ferramentas de invasão e uso de criptografia (aspecto tecnológico); e demanda geral por serviços da organização (aspectos sociais, culturais ou financeiros).

Questões internas estão sujeitas ao controle da organização. A análise das questões internas pode incluir os seguintes aspectos: cultura da organização; políticas, objetivos e estratégias para alcançá-los; governança, estrutura organizacional, funções e responsabilidades; normas, diretrizes e modelos adotados pela organização; relações contratuais que podem afetar diretamente os processos da organização incluídos no escopo do SGSI; processos e procedimentos; capacidades, em termos de recursos e de conhecimento (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias); infraestrutura e ambiente físicos; sistemas de informação, fluxos de informação e processos de tomada de decisão (ambos formal e informal); e auditorias anteriores ou resultados de análise de riscos anteriores. Os resultados desta atividade são usados em 4.3, 6.1 e 9.3.

Com base em um entendimento da finalidade da organização (por exemplo, se referindo a sua declaração de missão ou plano de negócios), bem como o(s) resultado(s) pretendido(s) do SGSI da organização, convém para a organização: analisar criticamente o ambiente externo para identificar questões externas relevantes; e analisar criticamente os aspectos internos para identificar questões internas relevantes. A fim de identificar questões relevantes, a seguinte pergunta pode ser feita: Como uma determinada categoria de questões (ver 4.1 a) a t)) afetam os objetivos de segurança da informação?

Três exemplos de questões internas servem como uma ilustração de: EXEMPLO 1 Sobre a governança e a estrutura organizacional (ver 4.1 m)): Ao estabelecer um SGSI, convém considerar a governança e as estruturas organizacionais já existentes. Como um exemplo, a organização pode modelar a estrutura do seu SGSI com base na estrutura de outros sistemas de gestão existentes, e pode combinar funções comuns, como análise crítica pela direção e auditoria.

EXEMPLO 2 Sobre a política, objetivos e estratégias (ver 4.1 l)): Uma análise das políticas, objetivos e estratégias existentes pode indicar o que a organização pretende obter e como os objetivos de segurança da informação podem ser alinhados com os objetivos de negócio para assegurar resultados bem-sucedidos. EXEMPLO 3 Sobre os sistemas de informação e fluxos de informação (ver 4.1 s)): Quando determinar questões internas, convém à organização identificar, a um nível de detalhe suficiente, os fluxos de informação entre os seus vários sistemas de informação.

Como tanto as questões internas e externas irão mudar ao longo do tempo, convém serem analisadas criticamente, de forma periódica, as questões e a sua influência sobre o escopo, restrições e requisitos do SGSI. Informação documentada sobre esta atividade e os seus resultados é mandatória somente na forma e na medida em que a organização determina como necessária para a eficácia do seu sistema de gestão (ver NBR ISO/IEC 27001:2013, 7.5.1 b).

Na ISO/IEC 27000, a definição de “organização” possui uma nota que diz: “O conceito de organização inclui, mas não se limita a, comerciante independente, companhia, corporação, firma, empresa, autoridade, parceria, caridade ou instituição, ou parte ou combinação destas, incorporadas ou não, pública ou privada”. Alguns destes exemplos são entidades jurídicas em sua totalidade, enquanto outros não são.

A salvaguarda da privacidade dos dados pessoais

A estrutura de privacidade é destinada a ajudar as organizações a estabelecerem os seus requisitos de salvaguarda de DP dentro de um ambiente TIC: especificando uma terminologia comum de privacidade; especificando os atores e os seus papéis no tratamento de DP; descrevendo os requisitos de salvaguarda da privacidade; e referenciando princípios conhecidos de privacidade.

A NBR ISO/IEC 29100 de 03/2020 – Tecnologia da informação — Técnicas de segurança — Estrutura de Privacidade fornece uma estrutura de privacidade que especifica uma terminologia comum de privacidade; especifica os atores e os seus papéis no tratamento de dados pessoais (DP); descreve considerações de salvaguarda de privacidade; e fornece referências para princípios conhecidos de privacidade para tecnologia da informação. É aplicável às pessoas naturais e organizações envolvidas na especificação, aquisição, arquitetura, concepção, desenvolvimento, teste, manutenção, administração e operação de sistemas de tecnologia da informação e comunicação ou serviços em que controles de privacidade são necessários para o tratamento de DP.

Acesse algumas dúvidas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais são os exemplos de atributos que podem ser usados para identificar pessoas naturais?

O que são dados pseudonimizados?

Quais são os fatores que influenciam a gestão de riscos de privacidade?

Como estabelecer as políticas de privacidade?

Essa norma fornece uma estrutura de alto nível para a proteção de dados pessoais (DP) dentro de sistemas de tecnologia da informação e de comunicação (TIC). Ela é geral em sua natureza e coloca os aspectos organizacionais, técnicos e processuais em uma estrutura abrangente de privacidade.

A estrutura de privacidade é destinada a ajudar as organizações a estabelecerem os seus requisitos de salvaguarda de DP dentro de um ambiente TIC: especificando uma terminologia comum de privacidade; especificando os atores e os seus papéis no tratamento de DP; descrevendo os requisitos de salvaguarda da privacidade; e referenciando princípios conhecidos de privacidade. Em algumas jurisdições, as referências deste documento aos requisitos de salvaguarda da privacidade podem ser entendidas como complementares aos requisitos legais para proteção de DP.

Devido ao crescente número de tecnologias que processam DP, é importante ter normas de segurança da informação que forneçam uma base de entendimento comum para a proteção dos DP. Esta norma destina-se a aprimorar as normas existentes de segurança, adicionando um foco pertinente para o tratamento de DP. O uso comercial e o valor crescentes dos DP, o compartilhamento de DP entre diferentes jurisdições legais e a complexidade cada vez maior dos sistemas de TIC podem tornar difícil para uma organização assegurar a privacidade e alcançar compliance com as várias leis aplicáveis.

Porém, as partes interessadas na privacidade podem prevenir o surgimento da incerteza e da desconfiança, lidando adequadamente com as questões de privacidade e evitando casos de uso dos DP. O uso dessa norma irá: ajudar no desenho, implementação, operação e manutenção de sistemas de TIC que tratem e protejam DP; incentivar soluções inovadoras que possibilitem a proteção de DP dentro dos sistemas de TIC; e melhorar os programas de privacidade nas organizações por meio do uso das melhores práticas. A estrutura de privacidade fornecida nessa norma pode servir como base para iniciativas adicionais de padronização da privacidade, como: uma arquitetura técnica de referência; implementação e uso de tecnologias específicas de privacidade e a gestão geral de privacidade; controles de privacidade para processos de dados terceirizados; avaliações de risco de privacidade; ou especificações de engenharia específicas.

Algumas jurisdições podem exigir compliance com um ou mais documentos referenciados no ISO/IEC JTC 1/SC27 WG5 Standing Documento 2 (WG 5 SD2) – Official Privacy Documents References ou com outras leis e regulamentações aplicáveis, porém, este documento não se destina a ser um modelo de política global, nem uma estrutura legislativa. Os seguintes componentes estão relacionados à privacidade e ao tratamento de DP em sistemas de TIC e compõem a estrutura de privacidade descrita nesta norma: atores e papéis; interações; reconhecimento de DP; requisitos de salvaguarda de privacidade; políticas de privacidade; e controles de privacidade.

Para o desenvolvimento desta estrutura de privacidade, conceitos, definições e recomendações de outras fontes oficiais foram levados em consideração. Estas fontes podem ser encontradas no ISO/IEC JTC 1/SC27 WG5 Documento Padrão 2 (WG 5 SD2) – Referência Oficial de Documentos de Privacidade. Para os efeitos dessa norma, é importante identificar os atores envolvidos no tratamento de DP. Existem quatro tipo de atores que podem estar envolvidos no tratamento de DP: titulares de DP, controladores de DP, operadores de DP e terceiros.

Os titulares de DP fornecem os seus DP para tratamento aos controladores de DP e operadores de DP e, quando não for previsto pela lei aplicável, eles dão consentimento e determinam as suas preferências de privacidade sobre como convém que os seus DP sejam tratados. Os titulares de DP podem incluir, por exemplo, um funcionário listado no sistema de recursos humanos de uma empresa, o consumidor mencionado em um relatório de crédito e um paciente listado em um prontuário eletrônico.

Nem sempre é necessário que a respectiva pessoa natural seja identificada diretamente pelo nome para ser considerada um titular de DP. Se a pessoa natural a quem os DP se relacionam puder ser identificada indiretamente (por exemplo, por meio de um identificador de conta, número de documento de identidade ou mesmo pela combinação de atributos disponíveis), ela será considerada o titular dos DP para esse conjunto de DP.

Um controlador de DP determina o porquê (propósito) e o como (meios) o tratamento de DP ocorrerá. Convém que o controlador de DP assegure a aderência aos princípios de privacidade desta estrutura durante o tratamento de DP sob seu controle (por exemplo, implementando os controles de privacidade necessários). Pode existir mais de um controlador de DP para o mesmo conjunto de DP ou conjunto de operações de dados realizados sobre os DP (para o mesmo ou diferentes propósitos legítimos).

Nestes casos, diferentes controladores de DP devem trabalhar conjuntamente e estabelecer os arranjos necessários para garantir que os princípios de privacidade sejam aderentes durante o tratamento de DP. Um controlador de DP também pode decidir ter todas ou parte das operações de tratamento realizadas por uma parte interessada diferente em seu nome.

Convém que os controladores de DP avaliem cuidadosamente se estão processando DP sensíveis e que implementem controles de privacidade e segurança razoáveis e apropriados com base nos requisitos estabelecidos na jurisdição pertinente, bem como em possíveis efeitos adversos para os titulares de DP, identificados durante uma avaliação de risco de privacidade. Um operador de DP realiza o tratamento de DP em nome do controlador de DP, agindo em nome dele ou conforme as instruções do controlador de DP, observando os requisitos de privacidade estipulados e implementando os controles de privacidade correspondentes. Em algumas jurisdições o operador de DP é vinculado por um contrato legal.

Um terceiro pode receber DP de um controlador de DP ou de um operador de DP. O terceiro não trata DP em nome do controlador de DP. Geralmente, o terceiro se tornará um controlador de DP por si próprio, quando receber os DP em questão. Os atores identificados na Seção anterior podem interagir entre si de várias maneiras.

Em relação aos fluxos possíveis de DP entre o titular de DP, o controlador de DP e o operador de DP, os seguintes cenários podem ser identificados: o titular de DP fornece DP para um controlador de DP (por exemplo, ao se registrar em um serviço prestado pelo controlador de DP); o controlador de DP fornece DP para um operador de DP, que realiza o tratamento de DP em nome do controlador de DP (por exemplo, como parte de um contrato de terceirização); o titular de DP fornece DP para um operador de DP, que realiza o tratamento de DP em nome do controlador de DP; o controlador de DP fornece ao titular de DP os DP que são relacionados ao titular de DP (por exemplo, respondendo a uma requisição feita pelo titular de DP); o operador de DP fornece DP ao titular de DP (por exemplo, conforme indicado pelo controlador de DP); e o operador de DP fornece DP para o controlador de DP (por exemplo, depois de ter realizado o serviço para o qual foi designado).

Os papéis do titular de DP, controlador de DP, operador de DP e um terceiro neste cenário são ilustrados na tabela abaixo. É necessário distinguir entre operadores de DP e terceiros, porque o controle legal dos DP permanece com o controlador de DP original quando ele é enviado para o operador de DP, enquanto um terceiro pode se tornar um controlador de DP por si só, uma vez que recebeu os DP em questão. Por exemplo, quando um terceiro toma a decisão de transferir DP que recebeu de um controlador de DP para outra parte, ele agirá como um controlador de DP por si só e, portanto, não será mais considerado um terceiro.

No que diz respeito aos possíveis fluxos de DP entre os controladores e operadores de DP, por um lado, e terceiros, por outro, os seguintes cenários podem ser identificados: o controlador de DP fornece DP para um terceiro (por exemplo, no contexto de um acordo comercial); e o operador de DP fornece DP para um terceiro (por exemplo, conforme indicado pelo controlador de DP). Os papéis do controlador de DP e de um terceiro nestes cenários também estão ilustrados na tabela abaixo.

Para determinar se convém que uma pessoa natural seja ou não considerada identificável, vários fatores precisam ser levados em consideração. Em particular, convém que sejam levados em consideração todos os meios que possam ser razoavelmente usados pela parte interessada na privacidade que detém os dados ou por qualquer outra parte para identificar esta pessoa natural. Convém que os sistemas de TIC suportem mecanismos que conscientizem o titular de DP de tais informações e forneçam à pessoa natural os controles apropriados sobre o compartilhamento destas informações.

As subseções a seguir fornecem esclarecimentos adicionais sobre como determinar se convém que um titular de DP seja ou não considerado identificável. Em certos casos, a identificabilidade do titular de DP pode ser muito clara (por exemplo, quando a informação contém ou está associada a um identificador que é usado para se referir ou se comunicar com o titular de DP).

As informações podem ser consideradas DP pelo menos nos seguintes casos: se elas contêm ou estão associadas a um identificador que se refere a uma pessoa natural (por exemplo, ao número do CPF); se elas contêm ou estão associadas a um identificador que pode ser relacionado a uma pessoa natural (por exemplo, um número de passaporte, uma conta bancária); se elas contêm ou estão associadas a um identificador que pode ser utilizado para estabelecer uma comunicação com uma pessoa natural identificada (por exemplo, uma localização geográfica precisa, um número de telefone); ou se elas contêm uma referência que liga os dados a qualquer dos identificadores acima.

As informações não precisam necessariamente estar associadas a um identificador para serem consideradas DP. As informações também serão consideradas DP se contiverem ou estiverem associadas a uma característica que distingue uma pessoa natural de outras pessoas naturais (por exemplo, dados biométricos). Qualquer atributo que assuma um valor que identifique exclusivamente um titular de DP é considerado uma característica distintiva.

Observar que o fato de uma determinada característica distinguir uma pessoa natural de outras pessoas naturais podem mudar, dependendo do contexto de uso. Por exemplo, embora o sobrenome de uma pessoa natural possa ser insuficiente para identificar esta pessoa em escala global, muitas vezes será suficiente para distinguir uma pessoa natural em escala de empresa. Adicionalmente, existem também situações nas quais uma pessoa natural é identificável mesmo se não existir atributo simples que a identifique unicamente.

Este é o caso onde uma combinação de vários atributos tomados juntos distingue esta pessoa natural de outras pessoas naturais. Se a pessoa natural for ou não identificável com base em uma combinação de atributos, isto pode também ser dependente de um domínio específico. Por exemplo, a combinação dos atributos “feminino”, “45” e “advogado”, pode ser suficiente para identificar uma pessoa natural em uma companhia específica, porém será sempre insuficiente para identificar uma pessoa natural fora da companhia.

NFPA 1600: a continuidade, a emergência e o gerenciamento de crises

Essa norma internacional, editada em 2019 pela National Fire Protection Association (NFPA), estabelece um conjunto comum de critérios para todos os programas de gerenciamento de desastres/emergência e continuidade de negócios. O gerenciamento de emergências e continuidade de negócios compreende muitas entidades diferentes, incluindo o governo em diferentes níveis, como, por exemplo, federal, estadual, municipal, negócios comerciais e indústria, organizações sem fins lucrativos e não governamentais e cidadãos individuais.

A NFPA 1600 – Standard on Continuity, Emergency, and Crisis Management é dedicada a ajudar os usuários a se prepararem para qualquer tipo de crise ou desastre – resultante de eventos naturais, humanos ou tecnológicos. Amplamente utilizado por entidades públicas, sem fins lucrativos, não governamentais e privados em uma base local, regional, nacional, internacional e global, a norma continua a evoluir como um padrão vital para o desenvolvimento, implementação, avaliação e manutenção de desastres/programas de gestão de emergências e continuidade de operações.

O gerenciamento de emergências e continuidade de negócios compreende muitas entidades diferentes, incluindo o governo em diferentes níveis, como, por exemplo, federal, estadual, municipal, negócios comerciais e indústria, organizações sem fins lucrativos e não governamentais e cidadãos individuais. Cada uma dessas entidades tem seu próprio foco, missão e responsabilidades exclusivas, recursos e capacidades variados e princípios e procedimentos operacionais.

Conteúdo da norma

Capítulo 1 Administração

1.1 Escopo

1.2 Objetivo

1.3 Aplicação.

Capítulo 2 Publicações referenciadas

2.1 Geral

2.2 Publicações da NFP

2.3 Outras publicações

2.4 Referências para extratos em seções obrigatórias

Capítulo 3 Definições

3.1 Geral

3.2 Definições oficiais da NFPA

3.3 Definições gerais

Capítulo 4 Gestão do programa

4.1 Liderança e compromisso

4.2 Coordenador do programa

4.3 Objetivos de desempenho

4.4 Comitê do programa

4.5 Administração do programa

4.6 Leis e autoridades

4.7 Finanças e administração

4.8 Gerenciamento de registros

Capítulo 5 Planejamento

5.1 Processo de planejamento e projeto

5.2 Avaliação de risco

5.3 Análise de impacto nos negócios (Business Impact Analysis – BIA)

5.4 Avaliação das necessidades de recursos

Capítulo 6 Implementação

6.1 Requisitos comuns do plano

6.2 Prevenção

6.3 Mitigação

6.4 Gestão de crises

6.5 Comunicação de crise e informação pública

6.6 Aviso, notificações e comunicações

6.7 Procedimentos operacionais

6.8 Gestão de incidente

6.9 Operações de emergência/plano de resposta

6.10 Continuidade e recuperação

6.11 Assistência e suporte a funcionários

Capítulo 7 Execução

7.1 Reconhecimento de incidentes

7.2 Relatórios/notificações iniciais

7.3 Plano de ativação e plano de ação para incidentes

7.4 Ative o sistema de gestão de incidentes

7.5 Gestão e comunicação de incidentes em andamento

7.6 Documentação das informações, decisões e ações sobre incidentes

7.7 Estabilização de incidentes

7.8 Desmobilização de recursos e rescisão

Capítulo 8 Treinamento e educação

8.1 Currículo

8.2 Objetivo do currículo

8.3 Escopo e frequência da instrução

8.4 Treinamento do sistema de gestão de incidentes

8.5 Manutenção de registros

8.6 Requisitos regulamentares e do programa

8.7 Educação pública

Capítulo 9 Exercícios e ensaios

9.1 Avaliação do programa

9.2 Metodologia de exercício e ensaios

9.3 Projeto de exercícios e ensaios

9.4 Avaliação de exercícios e ensaios

9.5 Frequência

Capítulo 10 Manutenção e melhoria do programa

10.1 Revisões do programa

10.2 Ação corretiva

10.3 Melhoria contínua

Anexo A Material explicativo
Anexo B Autoavaliação de conformidade com a NFPA 1600, Edição de 2019

Anexo C Guia de preparação para pequenas empresas

Anexo D Comparações entre a NFPA 1600 e as práticas profissionais da DRII, CSA Z1600 e Diretiva Federal de Continuidade 1 e 2

Anexo E NFPA 1600, Edição de 2019, como MSS

Modelos de maturidade do Anexo F

Anexo G APELL

Anexo H Preparação pessoal e/ou familiar

Anexo I Acesso e necessidades funcionais

Anexo J Mídias sociais na gestão de emergências

Anexo K Comunicações de emergência: alertas e avisos públicos em resposta a desastres

Anexo L Gestão de emergências, interoperabilidade dos dados de continuidade e gestão de crises

Anexo M Referências informativas

Essa norma foi adotada pelo Departamento de Segurança Interna dos EUA como padrão de consenso voluntário para preparação para emergências, e a Comissão Nacional de Ataques Terroristas aos Estados Unidos (Comissão do 11 de setembro) reconheceu a NFPA 1600 como uma norma nacional de preparação. As edições de 2013, 2007 e 2010 da NFPA 1600 foram designadas pelo Department of Homeland Security (DHS) para serem usadas por terceiros credenciados, para avaliar e certificar a conformidade de entidades sob seu Programa de Preparação para o Setor Privado (PS Prep).

As revisões significativas na edição de 2019 refletem as necessidades de todos os tipos de empresas e organizações atualmente. A norma foi reorganizada para melhor alinhamento com o modelo PDCA (Planejar-Verificar-Agir) ou Ciclo de Deming. Foram incluídos novos requisitos para estabelecer e manter recursos de gestão de crises incluindo detalhes críticos sobre responsabilidades e processos atribuídos.

O novo Anexo L, sobre interoperabilidade de dados para gestão de emergências, continuidade e gestão de crises, fornece critérios para avaliar as necessidades e capacidades de sua organização, para ajudá-lo a desenvolver planos para preencher quaisquer lacunas. Várias comparações e anexos atualizados refletem as alterações no corpo principal da norma para facilitar a navegação e a aplicação.

Como as empresas podem sobreviver aos impactos negativos?

continuidadeSerá possível efetuar todos os preparativos para as inúmeras possibilidades que uma empresa pode sofrer com algum tipo de desastre? A preocupação deve ser uma só: as empresas têm que sobreviver aos impactos negativos e eventualidades que venham a acontecer, e mensurar, aprovar e sempre monitorar os procedimentos.

Uma organização é dependente de seus recursos, pessoal e as tarefas que são realizadas no dia a dia e estar sempre saudável, feliz e com retorno financeiro. A maioria das organizações tem recursos tangíveis e intangíveis, propriedade intelectual, empregados, computadores, comunicações, links, locais e serviços locais de trabalho.

Se qualquer destes recursos é danificado ou se tornado inacessível por qualquer razão, a empresa pode estar com problemas. Se mais de um destes recursos fica prejudicado a empresa pode sofrer riscos muito altos. Quanto mais tempo estes itens ficam sem uso, mais tempo será necessário para a organização voltar ao seu estado normal.

Em determinados casos, algumas empresas não conseguem voltar ao estado normal após um desastre. Entretanto, as que pensam na frente, planejam para a maioria dos desastres que podem acontecer, e não se arriscam, e realizam um plano de continuidade ou uma gestão da continuidade dos negócio.

O objetivo de recuperação de desastres é para minimizar os efeitos de um desastre e tomar os passos necessários para certificar que os recursos, pessoal, e os processos de negócios estejam aptos à continuar a operação em pouco tempo na eventualidade de desastres. A recuperação de desastres é diferente da continuidade de negócios, onde o foco é em manter o negócio funcionando mesmo no caso de um problema, e no caso do ultimo o foco é em voltar ao normal após a falha. Em geral, o foco de recuperação de desastres é mais no ambiente de Tecnologia da Informação.

Um plano de recuperação de desastres é utilizado quando tudo está em modo de emergência, e todos estão focados em retomar todos os sistemas em modo on-line. O plano de continuidade de negócios toma uma linha mais focada no problema. Isso inclui o propósito nos sistemas mais críticos, e leva-los para um ambiente alternativo onde o desastre ocorreu enquanto ocorre a reparação da unidade com problemas. Levando em conta todos os envolvidos na empresa e também os clientes, de uma forma que tudo volte a normalidade o mais breve e seguro possível.

É importante observar que a empresa pode estar muito mais vulnerável depois que ocorre o desastre, porque os sistemas de segurança ficam mais focados na continuidade dos negócios. Os procedimentos planejados permitem a organização: prover um imediato e apropriada resposta à situações de emergência; proteger vidas e garantir segurança; reduzir impacto aos negócios; retornar as funções criticas de negócios à normalidade; reduzir confusão durante uma crise; e garantir a sobrevivência do negocio.

A NBR ISO 22313:2015 de 10/2015 – Segurança da sociedade — Sistemas de gestão de continuidade de negócios — Orientações fornece orientação com base em boas práticas internacionais para o planejamento, criação, implantação, operação, monitoramento, análise crítica, manutenção e melhoria contínua de um sistema de gestão documentado, que permite que as organizações se preparem para responder e recuperar-se de incidentes de interrupção quando eles surgirem. Não é a intenção desta norma impor uniformidade na estrutura de um Sistema de Gestão de Continuidade de Negócios (SGCN), mas permitir que uma organização projete um SGCN que seja adequado às suas necessidades e que atenda aos requisitos de suas partes interessadas.

Essas necessidades são formadas por requisitos legais, regulamentares, organizacionais e industriais, pelos produtos e serviços, processos empregados, o ambiente no qual a organização opera, seu tamanho e estrutura assim como os requisitos das suas partes interessadas. Esta norma é genérica e aplicável a todos os tipos e tamanhos de organizações, incluindo grandes, médias e pequenas que operam em setores industrial, comercial, público e sem fins lucrativos que desejam: estabelecer, implementar, manter e melhorar um SGCN; assegurar conformidade com a política de continuidade de negócios da organização, ou fazer uma autodeterminação e autodeclaração de conformidade com esta norma.

Não é possível utilizar esta norma para avaliar a capacidade de uma organização para atender às suas necessidades de continuidade de negócios próprios, nem quaisquer necessidades de clientes, legais ou regulamentares. As organizações que desejam fazê-lo podem usar os requisitos da NBR ISO 22301 para demonstrar conformidade para outros ou buscar a certificação de seu SGCN por um organismo de certificação terceiro acreditado.

Assim, a norma fornece orientação, onde apropriado, sobre os requisitos da NBR ISO 22301:2013 e fornece recomendações (“convém que”) e permissões (“pode”) em relação a eles. Não é a sua intenção fornecer orientações gerais sobre todos os aspectos da continuidade de negócios.

Esta norma inclui os mesmos títulos que a NBR ISO 22301, mas não repete os requisitos para sistemas de gestão de continuidade de negócios e seus termos e definições relacionados. As organizações que desejam ser informadas destas, portanto, devem consultar a NBR ISO 22301 e a ISO 22300.

Para fornecer mais esclarecimentos e explicação de pontos-chave, esta norma inclui uma série de figuras. Todas essas figuras são apenas para fins ilustrativos e o texto relacionado no corpo desta norma tem precedência.

Um sistema de gestão de continuidade de negócios (SGCN) enfatiza a importância de: compreender as necessidades da organização e a necessidade de estabelecer uma política e objetivos de continuidade de negócios; implementar e operar controles e medidas para a gestão da capacidade geral de uma organização para gerenciar incidentes de interrupção; monitorar e analisar criticamente o desempenho e a eficácia do SGCN e melhorar continuamente, com base em medições objetivas.

O SGCN, como qualquer outro sistema de gestão, inclui os principais componentes a seguir: uma política; pessoas com responsabilidades definidas; processos de gestão relativos a: política; planejamento; implementação e operação; avaliação de desempenho; análise crítica da gestão e melhoria; um conjunto de documentação fornecendo evidências auditáveis, e quaisquer processos do SGCN relevantes para a organização.

Geralmente a continuidade de negócios é específica para uma organização, no entanto, a sua implementação pode ter implicações de longo alcance sobre a comunidade em geral e terceiros. É provável que uma organização tenha outras organizações externas que dependam dela, e assim vice-versa. Uma continuidade de negócios eficaz, portanto, contribui para uma sociedade mais resiliente.

Esta norma adota o modelo “Plan-do-check-act” (PDCA) para planejar, estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar continuamente a eficácia do SGCN de uma organização. A Figura 1 ilustra a forma como o SGCN leva requisitos das partes interessadas como insumos para a gestão de continuidade de negócios (GCN) e, por meio das ações necessárias e processos, produz resultados de continuidade de negócios (por exemplo, gestão de continuidade de negócios) que atendem a esses requisitos.

CLIQUE NAS FIGURAS PARA UMA MELHOR VISUALIZAÇÃO

continuidade1

continuidade2

continuidade3

A continuidade de negócios é a capacidade que uma organização tem de continuar a entrega de produtos ou serviços em níveis aceitáveis pré-definidos após um incidente de interrupção. A gestão de continuidade de negócios (GCN) é o processo de alcançar a continuidade do negócio e é sobre a preparação de uma organização para lidar com incidentes de interrupção que poderiam impedi-la de atingir seus objetivos.

Colocar a GCN dentro de uma estrutura e disciplinas de um sistema de gestão cria um sistema de gestão de continuidade de negócios (SGCN) que permite que a GCN possa ser controlada, avaliada e melhorada continuamente. Nesta norma, a palavra negócio é usada como um termo abrangente para as operações e serviços realizados por uma organização em busca de seus objetivos, metas ou missão. Como tal, é igualmente aplicável a organizações grandes, médias e pequenas que operam em setores industrial, comercial, público e sem fins lucrativos.

Qualquer incidente, grande ou pequeno, natural, acidental ou deliberado tem o potencial de causar grande interrupção para as operações da organização e sua capacidade de fornecer produtos e serviços. No entanto, a implementação de uma gestão de continuidade de negócios antes que um incidente de interrupção ocorra, ao invés de esperar que isso aconteça, vai permitir que a organização retome suas operações antes que surjam níveis de impacto inaceitáveis.

A GCN envolve: ser claro sobre os principais serviços e produtos-chave da organização e as atividades que os suportam; conhecer as prioridades para retomar as atividades e os recursos necessários; ter uma compreensão clara das ameaças a essas atividades, incluindo suas dependências, e compreendendo os impactos de uma não retomada; ter implementado arranjos testados e confiáveis para retomar essas atividades após um incidente de interrupção, e certificar-se que estes acordos são analisados criticamente e atualizados de forma rotineira, de modo que eles sejam eficazes em todas as circunstâncias.

A continuidade de negócios pode ser eficaz em lidar tanto com incidentes repentinos de interrupção (por exemplo, explosões) como aqueles graduais (por exemplo, pandemias de gripe). As atividades são interrompidas por uma grande variedade de incidentes, muitos dos quais são difíceis de prever ou analisar. Ao concentrar-se sobre o impacto da interrupção e não a causa, a continuidade de negócios identifica as atividades em que a organização depende para a sua sobrevivência, e permite que a organização determine o que é necessário para continuar a cumprir as suas obrigações.

Através da continuidade de negócios, a organização pode reconhecer o que precisa ser feito para proteger os seus recursos (por exemplo, pessoas, instalações, tecnologia e informação), cadeia de suprimentos, as partes interessadas e reputação, antes que um incidente de interrupção ocorra. Com esse reconhecimento, a organização é capaz de ter uma visão realista sobre as respostas que possam vir a ser necessárias, caso e quando uma interrupção ocorra, e assim esteja confiante para gerenciar as consequências e evitar impactos inaceitáveis.

Uma organização que tenha implementado uma gestão de continuidade de negócios adequada também pode tirar vantagem das oportunidades que de outro modo poderiam ser consideradas como de risco muito alto. Os diagramas (Figuras 2 e 3) destinam-se a ilustrar conceitualmente como a gestão de continuidade de negócios pode ser eficaz na atenuação dos impactos em determinadas situações. Nenhuma escala de tempo específica está implícita pela distância relativa entre as fases descritas em qualquer diagrama.

continuidade4

continuidade5

Enfim, é importante que a empresa entenda que alcança o seu objetivo oferecendo seus produtos e serviços aos clientes. Portanto, para criar um entendimento do impacto negativo ao longo do tempo, que a interrupção destes produtos e serviços (e as atividades associadas) teria sobre os objetivos e funcionamento da organização. Também é importante compreender as interrelações e requisitos de recursos das atividades que suportam produtos e serviços e as ameaças sobre eles.

continuidade6

Por meio da compreensão, a organização é capaz de garantir que a sua continuidade do negócio se alinha com a sua finalidade, deveres e obrigações legais para as suas partes interessadas. O entendimento é alcançado por meio dos processos de análise de impacto nos negócios e avaliação de riscos. Estes processos fornecem a informação de que a organização precisa determinar e selecionar estratégias de continuidade de negócios (8.3.1).

Convém que a análise de impacto dos negócios (BIA) e a avaliação de risco permitam a organização identificar medidas que: limitem o impacto de uma interrupção na organização; encurtem o período de interrupção; e diminuam a probabilidade de uma interrupção. Convém que o contexto, critérios de avaliação e formato do resultado da BIA e avaliação de risco sejam definidos e acordados com antecedência. Convém que as informações coletadas sejam analisadas criticamente regularmente, especialmente durante os períodos de mudança.

E como exercitar os planos de continuidade de negócios? Os exercícios são atividades projetadas para examinar a capacidade dos colaboradores para reagir, recuperar e continuar eficazmente a executar funções de negócio atribuídas quando enfrentados com cenários de interrupção específicos. Convém que a organização faça uso de exercícios e de resultados documentados destes para assegurar a eficácia e a prontidão de seus planos de continuidade de negócios.

Convém que cada exercício e teste tenham metas e objetivos claramente definidos e sejam baseados em um cenário apropriado para atendê-los.

Os exercícios podem: antecipar um resultado predeterminado, por exemplo, é planejado e esquematizado com antecedência; e permite que a organização desenvolva soluções inovadoras. Convém que os exercícios sejam realísticos, planejados com cuidado e acordados com as partes interessadas, de modo que haja um risco mínimo de interrupção aos processos de negócios e de um incidente que ocorra por um resultado direto do exercício.

Isto pode ser conseguido empreendendo o exercício dentro de um ambiente controlado e isolado contanto que este não comprometa a integridade dos objetivos que estão sendo testados. Convém que a organização projete cenários do exercício que satisfaçam aos objetivos do exercício e possam usar ameaças identificadas na avaliação de risco ou em outros eventos apropriados.

A eficácia de alguns aspectos dos arranjos da GCN exigirá que determinados indivíduos ou aqueles que ocupam posições específicas tenham conhecimento, habilidades e compreensões específicas. Convém que estes sejam colocados antes do exercício permitindo que os participantes apliquem estes aos cenários e às simulações relevantes.

Convém que os exercícios sejam projetados e conduzidos de modo que forneçam um ou mais do seguinte: verificação de que os tempos objetivados de recuperação (RTO) são realizáveis (8.3.1); confiança de que as informações exigidas pelas atividades são apropriadamente atuais (8.3.2.3); melhoria da compreensão das dependências na continuidade dos negócios de fornecedores e outras partes interessadas; maior consciência do contexto e as prioridades da organização; melhoria da compreensão do conteúdo e utilização de procedimentos de continuidade de negócios; melhoria da confiança na resposta a incidentes; uma oportunidade para melhorar as capacidades; uma avaliação da utilidade e aplicabilidade de estratégias de continuidade de negócios; uma avaliação da adequação das capacidades desenvolvidas e alocação de recursos; uma identificação das necessidades e práticas anteriores utilizadas na gestão de um incidente ou interrupção que não foram documentadas; uma oportunidade para identificar quaisquer outras insuficiências nos procedimentos de continuidade de negócios escritos e sua implementação; garantia de que os procedimentos de continuidade de negócios são capazes de serem implementados, quando necessário; melhoria da confiança das partes interessadas sobre a preparação da organização; e um meio de cumprimento dos requisitos de governança regulamentares, contratuais ou organizacionais.

Os exercícios podem ter uma variedade de diferentes formatos. A decisão a respeito da adequação do tipo de exercício dependerá do contexto para a GCN, dos objetivos para o exercício, da disponibilidade do orçamento e dos participantes e da tolerância da organização à interrupção operacional causada pela execução do exercício. Os tipos principais de exercício são descritos na ISO 22398 – Societal security – Guidelines for exercises and testing.

Continuidade dos negócios e segurança da informação

Por quanto tempo a empresa poderia sobreviver sem as suas instalações, pessoas e sistemas? Quais são as ações a serem tomadas para manter a empresa funcionando na ocorrência de um vazamento de informações tecnológicas? Todos os funcionários sabem o que fazer, para onde ir ou anquem chamar em caso de um desastre? A continuidade dos negócios é uma abordagem integrada que envolve a mobilização de toda a organização para gerenciar crises e recuperar as operações após a ocorrência de qualquer evento que cause uma ruptura operacional.

Um plano desse tipo descreve as ações e processos necessários para recuperar as operações em caso de ruptura. Um plano de recuperação de desastres ou vazamento por falta de segurança da informações descreve os procedimentos para recuperar os sistemas e componentes de infraestrutura em casos de desastre.

Já a gestão de crises procura unir todos os elementos necessários à atuação coordenada durante a crise, a tomada de decisão de contingência e acionamento das equipes. Juntos, esses planos são o mecanismo necessário para garantir que uma organização possa se recuperar de forma eficaz após um desastre.

As organizações que não possuem planos de contingência estão sujeitas a impactos significativos e atraso no processo de recuperação após um evento de catástrofe. Muitas destas organizações podem nunca se recuperar. As organizações, portanto, precisam assegurar a existência de planos adequados para facilitar a recuperação. Esta é uma questão relevante para todas as organizações.

A NBR ISO/IEC 27031 de 01/2015 – Tecnologia da informação – Técnicas de segurança – Diretrizes para a prontidão para a continuidade dos negócios da tecnologia da informação e comunicação descreve os conceitos e princípios da prontidão esperada para a tecnologia de comunicação e informação (TIC) na continuidade dos negócios e fornece uma estrutura de métodos e processos para identificar e especificar todos os aspectos (como critérios de desempenho, projeto e implementação) para fornecer esta premissa nas organizações e garantir a continuidade dos negócios.

É aplicável para qualquer organização (privada, governamental e não governamental, independentemente do tamanho) desenvolvendo a prontidão de sua TIC para atender a um programa de continuidade nos negócios (PTCN), requerendo que os serviços e componentes de infraestrutura relacionados estejam prontos para suportar as operações de negócio na ocorrência de eventos e incidentes e seus impactos na continuidade (incluindo segurança) das funções críticas de negócio.

Também assegura que a organização estabeleça parâmetros para medir o desempenho que está correlacionado à PTCN de forma consistente e organizada. O escopo desta norma inclui todos os eventos e incidentes (incluindo os relacionados com segurança) que podem impactar a infraestrutura da TIC e sistemas, incluindo e estendendo às práticas de gestão de incidentes em segurança da informação e a prontidão esperada para o planejamento e serviços em TIC.

Através dos anos, as tecnologias da informação e comunicação (TIC) tornaram-se uma parte integrante de muitas atividades fundamentais para suportar a infraestrutura crítica em organizações de todos os setores, sejam públicas, privadas ou voluntárias. A proliferação da internet e de outros serviços de comunicação digital, somada à capacidade dos sistemas e aplicações utilizados hoje, resultaram em um cenário onde as organizações tornaram-se mais dependentes de uma infraestrutura de TIC confiável e segura.

Enquanto isso, a necessidade da Gestão de continuidade de negócios (GCN), incluindo a preparação para incidentes, planejamento para recuperação de desastres e gestão de respostas emergenciais, tem sido reconhecida e suportada por meio de domínios específicos de conhecimento, expertise e normas desenvolvidas e promulgadas recentemente, incluindo a norma de GCN, desenvolvida pelo ISO/TC 223.

As falhas nos serviços de TIC, incluindo a ocorrência de questões na segurança, como invasão de sistemas e infecções por códigos maliciosos, impactam a continuidade das operações de negócio. Dessa forma, o gerenciamento da TIC e dos aspectos relacionados à continuidade e segurança, integra os processos chave para estabelecer os requisitos na continuidade dos negócios.

Além disso, na maioria dos casos, as funções críticas de negócio que demandam ser providas de estratégias para a continuidade são geralmente dependentes da TIC, o que resulta em um cenário onde qualquer interrupção funcional pode resultar em riscos estratégicos para a reputação da organização e sua capacidade de operar. A prontidão da TIC é um componente essencial para muitas organizações na implementação da gestão para a continuidade dos negócios e segurança da informação.

Como parte da implementação e operação de um sistema de gestão de segurança da informação (SGSI) especificado na NBR ISO/IEC 27001 e de um sistema de gestão de continuidade de negócios (SGCN), é uma questão crítica desenvolver e implementar um plano para a prontidão dos serviços de TIC que suportem a continuidade dos processos de negócio. Como resultado, um SGCN efetivo é frequentemente dependente da efetividade da prontidão de TIC em garantir que os objetivos organizacionais continuem a ser atendidos durante a ocorrência de um evento de interrupção.

Isso é especialmente importante, uma vez que as consequências de rupturas na TIC têm a complicação adicional de não serem facilmente detectadas. Para que uma organização alcance a Prontidão de TIC para a Continuidade de Negócios, é necessário prover um processo sistemático de prevenção e gerenciamento de incidentes e interrupções no funcionamento da TIC que tenham o potencial de gerar impactos para o funcionamento esperado dos serviços e sistemas.

Isso pode ser alcançado aplicando os passos cíclicos estabelecidos em um Plan-Do-Check-Act (PDCA) como parte da gestão de PTCN. Dessa forma, a PTCN suporta o GCN ao garantir que os serviços de TIC são resilientes como esperado e podem ser recuperados em níveis predeterminados em tempos de resposta requeridos e acordados com a organização.

Clique nas figuras para uma melhor visualização

tabela 1-continuidade

Se uma organização usa a NBR ISO/IEC 27001 para estabelecer um SGSI e/ou normas relevantes para estabelecer um SGCN, convém que o estabelecimento da Prontidão de TIC para a Continuidade de Negócios preferencialmente leve em consideração a existência ou previsão de processos relacionados com estas normas. Esta relação pode suportar o estabelecimento da PTCN e também evitar a duplicação de esforços para a organização.

No planejamento e implementação de uma PTCN, a organização pode referenciar a NBR ISO/IEC 24762:2009 no planejamento e entrega dos serviços para recuperação de desastres de TIC, independentemente se estes são providos por uma entidade externa ou interna. A Gestão da Continuidade de Negócios (GCN) é um processo holístico de gestão que identifica os impactos potenciais que ameaçam a continuidade das operações de negócio de uma organização e fornecesse uma estrutura para construir a resiliência e capacidade de resposta eficaz que protegem os interesses organizacionais de interrupções.

figura 1-continuidade

Como parte de um processo de GCN, a PTCN refere-se à gestão de um sistema que complementa e suporta a GCN e/ou um programa de SGSI, promovendo a prontidão organizacional para: responder as mudanças constantes dos riscos do ambiente; garantir a continuidade das operações críticas de negócio suportadas pelos serviços de TIC; estar pronta a responder antes que uma interrupção ocorra em um serviço de TIC, por meio da detecção de um ou mais eventos que podem tornar-se incidentes; e responder e recuperar frente à ocorrência de incidentes, desastres e falhas. A Figura 2 ilustra os resultados esperados da TIC para suportar as atividades da Gestão da Continuidade de Negócios.

figura 2-continuidade

A NBR ISO 22301 sumariza a abordagem da GCN para prevenir, reagir e recuperar de incidentes. As atividades envolvendo a GCN incluem a preparação para incidentes, gestão da continuidade operacional (GCO), plano para recuperação de desastres (PRD) e mitigação de riscos com foco em incrementar a resiliência da organização, preparando-a para reagir efetivamente a incidentes e recuperar dentro de escalas temporais predeterminadas.

Entretanto, cada organização define as suas prioridades para a GCN, e estas são utilizadas como base para direcionar as atividades da PTCN. Dessa forma, a GCN depende da garantia provida pela PTCN de que a organização pode alcançar seus objetivos de continuidade sempre que necessário, especialmente durante períodos de interrupção.

Como apresentado na Figura 3, as atividades de prontidão visam:

a) incrementar as capacidades de detecção de incidentes;

b) prevenir a ocorrência de falhas drásticas ou súbitas;

c) estabelecer um nível de degradação aceitável do status operacional se a falha não puder ser interrompida;

d) reduzir ao máximo o tempo de recuperação previsto; e

e) minimizar os impactos gerados pelo incidente.

figura 3-continuidade

A PTCN é baseada nos seguintes princípios fundamentais:

– Prevenção de Incidentes: Proteger os serviços de TIC de ameaças, como as geradas pelo ambiente, falhas em hardware, erros operacionais, ataques maliciosos e desastres naturais, é uma questão crítica para manter os níveis desejados de disponibilidade dos sistemas de uma organização;

– Detecção de Incidentes: Detectar incidentes o mais cedo possível minimiza os impactos para os serviços, reduzindo o esforço de recuperação e preservando a qualidade dos serviços;

– Resposta: Responder a um incidente da maneira mais apropriada possível irá resultar em uma recuperação mais eficiente e minimizar as paradas, pois uma reação inadequada pode resultar no escalonamento de um incidente pequeno para algo muito mais grave;

– Recuperação: Identificar e implementar a estratégia de recuperação apropriada irá garantir a recuperação dos serviços dentro de um tempo aceitável e manter a integridade dos dados. O entendimento das prioridades de recuperação permite que os serviços mais críticos possam ser reinstalados primeiro. Serviços de natureza menos crítica podem ser reinstalados posteriormente ou, em algumas circunstâncias, não ser recuperados.

– Melhoria: Convém que lições aprendidas de incidentes de variadas intensidades sejam documentadas, analisadas e analisadas criticamente. O entendimento dessas lições irá permitir que a organização esteja melhor preparada, estabeleça um controle adequado e evite a ocorrência de incidentes ou interrupções.

A Figura 4 ilustra como os respectivos elementos em uma PTCN suportam uma linha de tempo para a recuperação de um desastre que afete a TIC e suportam a continuidade das atividades de negócio. A implementação da PTCN permite que a organização responda efetivamente a ameaças novas e emergentes, assim como esteja pronta para reagir e se recuperar dos efeitos de interrupções.

figura 4-continuidade

Os elementos fundamentais da PTCN podem ser resumidos como apresentados: Pessoas: os especialistas com o conhecimento e capacidade apropriados, e equipe de reposição competente; Instalações: o ambiente físico onde os recursos de TIC estão localizados; Tecnologia: 1) hardware (incluindo racks, servidores, equipamentos de armazenamento de dados, unidades de fita e similares); 2) rede de dados (incluindo a conectividade de dados e serviços de voz), switches, roteadores; e 3) software: incluindo sistema operacional, software de aplicação, links ou interfaces entre aplicações e rotinas de processamento batch; Dados: dados de aplicações, voz e outros tipos; Processos: incluindo a documentação de suporte que descreve a configuração dos recursos de TIC e suporta uma operação efetiva, recuperação e manutenção dos serviços de TIC; e Fornecedores: outros componentes de serviços nos quais os serviços providos pela TIC dependem de um fornecedor externo ou outra organização dentro da cadeia de suprimentos, como provedores de dados do mercado financeiro, empresas de telecomunicações e provedores de serviços para acesso a internet.

Os benefícios de uma PTCN efetiva para a organização são: entender os riscos para a continuidade dos serviços de TIC e suas vulnerabilidades; identificar os impactos potenciais das interrupções dos serviços de TIC; encorajar a colaboração entre os gestores das áreas de negócio e seus provedores de serviços de TIC (internos e externos); desenvolver e melhorar as competências da equipe de TIC ao demonstrar credibilidade nas respostas providas por meio do exercício dos planos para a continuidade de TIC e testes dos arranjos mantidos para a PTCN; garantir para a alta direção ela pode contar com determinados níveis de serviços para TIC, assim como o suporte e as comunicações adequados, mesmo diante dos impactos gerados por uma interrupção; garantir para a alta direção que a segurança da informação (confidencialidade, integridade e disponibilidade) está sendo adequadamente preservada, estabelecendo a aderência esperada para as políticas de segurança da informação; fornecer confiança adicional na estratégia para continuidade dos negócios, relacionando os investimentos feitos em tecnologia da informação para atender às necessidades organizacionais e garantir que os serviços de TIC estão protegidos em um nível apropriado de acordo com a sua importância para os processos de negócio; ter os serviços de TIC dentro de uma relação custo/benefício aceitável e não subestimada ou superestimada, benefício este alcançado por meio de um entendimento dos níveis de dependência dos serviços providos, natureza, localização, interdependência e uso dos componentes que estabelecem os serviços esperados; poder incrementar a reputação organizacional pela prudência e eficiência estabelecidas; potencializar os ganhos em vantagens competitivas por meio da demonstração da habilidade para entregar serviços de continuidade e manter o fornecimento de produtos e serviços mesmo em períodos de interrupção; e entender e documentar as expectativas das partes interessadas, os relacionamentos suportados e uso dos serviços providos pela TIC. A PTCN fornece uma forma clara de determinar o status dos serviços de TIC de uma organização em suportar os objetivos para a continuidade de negócios ao endereçar a questão “nossa TIC tem a capacidade de resposta adequada” em vez de “nossa TIC é segura”.

A Gestão da Continuidade dos Negócios (GCN) (parte 2 – final)

Curtos-Circuitos e Seletividade em Instalações Elétricas Industriais - Conheça as Técnicas e Corretas Especificações - Presencial ou Ao Vivo pela Internet

Curso: Curtos-Circuitos e Seletividade em Instalações Elétricas Industriais – Conheça as Técnicas e Corretas Especificações

Modalidade: Presencial ou Ao Vivo pela Internet

Dias: 18 e 19 de Março

Horário: 09:00 às 18:00 horas

Carga Horária: 16h

Professor: José Ernani da Silva

Preço: A partir de 3 x R$ 257,81

(*) O curso permanecerá gravado e habilitado para acesso pelo prazo de 30 dias a partir da data da sua realização.

Engenheiros e Projetistas têm a constante preocupação de saber especificar adequadamente os equipamentos elétricos que são submetidos à corrente de curto-circuito, pois um sistema elétrico está sujeito a eventuais falhas que podem envolver elevadas correntes de curtos-circuitos, e que fatalmente irão submeter os equipamentos a esforços térmicos e dinâmicos. Este curso é dividido em dois tópicos: curto-circuito e coordenação da proteção (seletividade).
O tópico Curto-Circuito discute:
a) Cálculo de corrente de curto-circuito simétrica e assimétrica;
b) Especificação dos equipamentos de proteção do ponto de vista de corrente de curto-circuito;
c) Recomendações práticas das normas nacionais e internacionais vigentes, como ANSI-VDE-IEC-NEC-ABNT.
O tópico Coordenação da Proteção discute:
a) Importância e conceitos de proteção exigidos em normas;
b) Filosofia e técnicas de proteção para dispositivos de proteção de Baixa, Média e Alta Tensão;
c) Ajuste de relés fase e neutro de sobrecorrentes.
Para atender à demanda daqueles que não podem se locomover até as instalações da Target, tornamos disponível este curso Ao Vivo através da Internet. Recursos de última geração permitem total aproveitamento mesmo à distância.
Os cursos oferecidos pela Target são considerados por seus participantes uma “consultoria em sala”, ou seja, o participante tem a possibilidade de interagir com renomados professores, a fim de buscar a melhor solução para problemas técnicos específicos e particulares.

Inscreva-se Saiba Mais

continuidadeEm continuação ao texto, segue abaixo um pequeno descritivo de alguns dos principais itens constantes da norma ISO 22301.

Item 4: Contexto da organização

Determinar questões internas e externas que são relevantes para a sua finalidade e que afetam  a sua capacidade de atingir os resultados esperados do Sistema de Gestão da Continuidade dos Negócios (SGCN):

  • atividades da organização, funções, serviços, produtos, parcerias, cadeias de abastecimento, relações com as partes interessadas, bem como o potencial impacto relacionado a um incidente disruptivo;
  • interligações entre a política de continuidade de negócios e os objetivos da organização e outras políticas, incluindo a sua estratégia global de gestão de risco;
  • a quantidade de risco da organização;
  • necessidades e expectativas das partes interessadas relevantes;
  • requisitos legais aplicáveis​​, regulamentares e outros requisitos que a organização subscreva

Faz ainda parte deste cláusula, a identificação do âmbito de aplicação do SGCN, tendo em conta os objetivos estratégicos da organização, produtos e serviços essenciais, tolerância de riscos, e quaisquer obrigações regulamentares, contratuais ou das partes interessadas.

Item 5: Liderança

Os líderes do processo de gestão devem demonstrar um compromisso contínuo com o SGCN. Através da sua liderança e ações, a gestão pode criar um ambiente no qual diferentes atores sejam plenamente envolvidos e em que o sistema de gestão pode operar efetivamente em sinergia com os objetivos da organização. Eles são responsáveis ​​por:

  • assegurar que o SGCN é compatível com a direção estratégica da organização;
  • integrar os requisitos do SGCN nos processos de negócio da organização;
  • fornecer os recursos necessários para o SGCN;
  • comunicar a importância de uma eficaz gestão de continuidade de negócios;
  • assegurar que o SGCN atinge os resultados planeados;
  • orientar e suportar a melhoria contínua;
  • estabelecer e comunicar uma política de continuidade de negócios;
  • assegurar que os objetivos do SGCN e planos são estabelecidos;
  • assegurar que as responsabilidades e autoridades para funções relevantes são atribuídas.

Item 6: Planejamento

Esta é uma fase crítica no que se refere ao estabelecimento de objetivos estratégicos e princípios orientadores para o SGCN como um todo. Os objetivos de um SGCN são a expressão da intenção da organização para tratar dos riscos identificados e / ou para cumprir com os requisitos das necessidades organizacionais. Os objetivos de continuidade de negócios devem:

  • ser coerentes com a política de continuidade de negócios;
  • ter em conta o nível mínimo de produtos e serviços que é aceitável para a organização atingir seus objetivos;
  • ser mensuráveis​​;
  • ter em conta os requisitos aplicáveis;
  • ser monitorizados e atualizados conforme apropriado.

Item 7: Suporte

A gestão do dia a dia de um sistema de gestão de continuidade de negócios eficaz baseia-se na utilização dos recursos apropriados para cada tarefa. Estes incluem, equipas competentes com formação relevante (e demonstrável) e serviços de apoio, sensibilização e comunicação. Esta, deve ser apoiada por boa e documentada gestão de informação. Devem ser consideradas nesta área, comunicações internas e externas da organização, incluindo o formato, o conteúdo e o momento adequado para tais comunicações. São também especificadas nesta cláusula as exigências sobre a criação, atualização e controle da informação documentada.

Item 8: Operação

Após o planejamento do SGCN, a organização deverá operacionalizá-lo. Esta cláusula inclui:

  • Análise de Impacto de Negócios (AIN): Esta atividade permite à organização identificar os processos críticos que sustentam os seus principais produtos e serviços, as interdependências entre os processos e os recursos necessários para operar os processos num nível minimamente aceitável.
  • Avaliação de Riscos: A ISO 22301 propõe a referência à norma ISO 31000 para implementar este processo. O objetivo deste requisito é o de estabelecer, implementar e manter um processo formal e documentado de avaliação de riscos que sistematicamente identifica, analisa e avalia o risco de incidentes disruptivos para a organização.
  • Estratégia de Continuidade de Negócios: Após serem estabelecidos os requisitos através da AIN e da avaliação dos riscos, podem ser desenvolvidas as estratégias necessárias e identificados os mecanismos que permitam à organização proteger e recuperar as suas atividades críticas tendo por base a tolerância ao risco organizacional e de acordo com os objetivos definidos de tempo de recuperação. A experiência e as boas práticas indicam claramente que uma implementação antecipada de uma estratégia global de Gestão de Continuidade de Negócios (GCN), permitirá à organização garantir que as atividades de GCN são alinhadas com e apoiam a estratégia global de negócios da organização. A estratégia de continuidade de negócios deve ser uma componente integral da estratégia corporativa de uma instituição.
  • Procedimentos de continuidade de negócios: A organização deve documentar os procedimentos (incluindo os arranjos necessários) para garantir a continuidade das atividades e gestão de um incidente disruptivo. Os procedimentos têm de:
      • estabelecer um protocolo de comunicações interno e externo adequado;
      • ser específicos sobre as medidas imediatas que devem ser tomadas durante uma interrupção;
      • ser flexíveis de modo a responderem a ameaças imprevistas e ás alterações das condições internas e externas;
      • ser focados no impacto de eventos que potencialmente poderão interromper as operações;
      • ser desenvolvidos com base em pressupostos declarados e em uma análise de interdependências, e;
      • ser eficientes de forma a minimizar as consequências através da implementação de estratégias de mitigação apropriadas.

Exercitar e testar: Para assegurar que os procedimentos de continuidade de negócios são consistentes com os objetivos de continuidade de negócios, a organização terá que testá-los regularmente. Exercitar e testar são os processos de validação dos planos de continuidade de negócios e procedimentos de modo a assegurar que as estratégias selecionadas são capazes de fornecer as respostas e resultados de recuperação nos prazos acordados pela gestão.

Item 9: Avaliação de desempenho

Uma vez implementado o SGCN, a ISO 22301 exige um acompanhamento contínuo do sistema, bem como revisões periódicas para melhorar o seu funcionamento:

  • monitorizar em toda a sua extensão, a política da organização de continuidade de negócios, objetivos e metas de modo a que os mesmos sejam atingidos;
  • medir o desempenho dos processos, procedimentos e funções que protegem as suas atividades prioritárias;
  • monitorizar o cumprimento desta norma e dos objetivos de continuidade de negócios;
  • monitorizar evidências históricas de desempenho deficiente do SGCN
  • condução de auditorias internas em intervalos planeados e
  • avaliar tudo isso na revisão pela gestão em intervalos planeados.

Item: Melhoria

A melhoria contínua pode ser definida como todas as ações tomadas em toda a organização para aumentar a eficácia (atingir objetivos) e eficiência (uma relação custo / benefício ideal) dos processos e controlos de segurança para trazer maiores benefícios para a organização e para as suas partes interessadas. Uma organização pode melhorar continuamente a eficácia de seu sistema de gestão através da utilização da política de continuidade de negócios, objetivos, resultados de auditorias, análise de eventos monitorizados, indicadores, ações corretivas e preventivas e revisão da gestão.

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a

Facebook: http://www.facebook.com/#!/hayrton.prado

A Gestão da Continuidade dos Negócios (GCN) (parte 1)

Novos Target GEDWeb Setoriais

A Target criou o GED WEB Setorial que abrange os segmentos eletroeletrônico, construção, transportes, máquinas, petroquímica, saúde e vestuário. No caso do GED WEB Setorial Eletroeletrônico, os usuários podem pesquisar, visualizar, adquirir, imprimir e controlar o acervo de normas técnicas brasileiras, Mercosul, internacionais e estrangeiras através de uma base de dados sempre atualizada. Esse sistema garante que sua organização tenha acesso com descontos a 10 cursos essenciais ao setor, aos arquivos de 431 normas brasileiras (NBR) e do Mercosul (NM) mais utilizadas, às 312 NBR e NM mais em destaque, às 839 NBR e NM indispensáveis, aos 310 Regulamentos Técnicos setoriais, às 39 Normas Regulamentadoras e aos 2.223 projetos de normas em consulta nacional disponibilizados pela Associação Brasileira de Normas Técnicas (ABNT). Clique no link para mais informações.

riscosA ISO publicou a ISO 22301:2012 – Societal security — Business continuity management systems — Requirements que especifica os requisitos para planejar, estabelecer, implementar, operar, monitorar, revisar, manter e melhorar continuamente um sistema de gestão documentado para proteger contra, reduzir a probabilidade de ocorrência, preparar, responder e se recuperar de incidentes perturbadores quando eles surgir. Os requisitos especificados na norma são genéricos e pretendem que sejam aplicáveis ​​a todas as organizações, e suas partes, independentemente do tipo, tamanho e natureza da organização. A extensão da aplicação destes requisitos depende do ambiente operacional da organização e complexidade. Em português, esse padrão pode ser traduzido como ISO 22301:2012 Segurança social – Sistemas de gestão da continuidade de negócios – Requisitos, que foi escrito pelos maiores especialistas em continuidade de negócios e oferece a melhor estrutura para a gestão da continuidade de negócios em uma organização.

Um dos recursos que o diferenciam em comparação a outras estruturas/padrões de continuidade de negócios é o fato de que uma organização pode obter a certificação por meio de um corpo de certificação reconhecido, e assim ser capaz de comprovar a conformidade aos seus clientes, parceiros, proprietários e outros stakeholders. A ISO 22301 substituiu a 25999-2 – estes dois padrões são muito similares, mas a ISO 22301 pode ser considerada como uma atualização da BS 25999-2. E quais são os benefícios da continuidade de negócios? Quando implementada corretamente, a gestão de continuidade de negócios irá reduzir a probabilidade de incidentes disruptivos, e se algum chegar a ocorrer, a organização estará pronta para responder de forma apropriada, reduzindo drasticamente o dano em potencial de tal incidente. Qualquer organização – grande ou pequena, com ou sem fins lucrativos, públicas ou privadas pode implementar este padrão que foi concebido de tal forma que é aplicável em qualquer tamanho ou tipo de organização. A continuidade de negócios faz parte da gestão de risco global em uma empresa, com áreas que se sobrepõe à gestão de segurança e de TI. Saiba quais os termos básicos usados para isso:

  • Sistema de gestão da continuidade de negócios (BCMS-Business Continuity Management System) parte do sistema de gestão global que cuida de como a continuidade de negócios é planejada, implementada, mantida e aprimorada continuamente;
  • Máxima interrupção aceitável (MAO) – quantidade de tempo máxima em que uma atividade pode ser interrompida sem incorrer em danos inaceitáveis (Período de disrupção máximo tolerado – MTPD);
  • Objetivo de tempo de recuperação (RTO) – tempo pré-determinado em que uma atividade deve ser retomada, ou recursos devem ser recuperados;
  • Objetivo de ponto de recuperação (RPO) – perda de dados máxima, por exemplo, a quantidade mínima de dados que precisa ser restaurada
  • Objetivo de continuidade de negócios mínimo (MBCO) – nível mínimo de serviços ou produtos que uma organização precisa produzir após retomar as suas operações de negócios.

Conteúdo da ISO 22301

Introdução

0.1 Geral

0.2 O modelo Planeje-Faça-Verifique-Aja (PDCA)

0.3 Componentes do PDCA neste padrão internacional

1 Escopo

2 Referências normativas

3 Termos e definições

4 Contexto da organização

4.1 Compreendendo a organização e seu contexto

4.2 Compreendendo as necessidades e expectativas das partes interessadas

4.3 Determinado o escopo do sistema de gestão

4.4 Sistema de gestão da continuidade de negócios

5 Liderança

5.1 Geral

5.2 Gestão de compromisso

5.3 Política

5.4 Papéis organizacionais, responsabilidades e autoridades

6 Planejamento

6.1 Ações para abordar riscos e oportunidades

6.2 Objetivos da continuidade de negócios e planos para alcançá-los

7 Suporte

7.1 Recursos

7.2 Competência

7.3 Conscientização

7.4 Comunicação

7.5 Informações documentadas

8 Operação

8.1 Planejamento e controle operacional

8.2 Análise de impacto nos negócios e avaliação de riscos

8.3 Estratégia de continuidade de negócios

8.4 Estabelecer e implementar procedimentos de continuidade de negócios

8.5 Exercícios e testes

9 Avaliação de desempenho

9.1 Monitoramento, medida, análise e avaliação

9.2 Auditoria interna

9.3 Análise crítica da gestão

10 Melhoria

10.1 Não-conformidade e ação corretiva

10.2 Melhoria contínua

Bibliografia

Se uma organização deseja implementar a norma, alguns documentos são obrigatórios: lista de requisitos legais, regulamentares e outros; escopo do BCMS; política de continuidade de negócios; objetivos da continuidade de negócios; evidência de competências pessoais; registros de comunicação com as partes interessadas; análise de impacto nos negócios; avaliação de riscos, incluindo tratamento de riscos; estrutura de resposta a incidentes; planos de continuidade de negócios; procedimentos de recuperação; resultados de ações preventivas; resultados de monitoramento e medida; resultados de auditoria interna; resultados de revisão de gestão; e resultados de ações corretivas. A recuperação de desastres é apenas uma parte da gestão de continuidade de negócios (GCN), processo fundamental para o gerenciamento de riscos e o bom funcionamento de uma organização ou de um serviço de entrega. Além de identificar os potenciais impactos que ameaçam uma organização, a GCN fornece uma estrutura para contingência (para evitar interrupções) e resposta a incidentes, de forma que ajude a empresa a recuperar ou manter suas atividades em caso de uma interrupção de suas operações normais. Dessa forma, evita perdas financeiras e danos irreversíveis, e garante que as funções críticas de negócios estejam disponíveis para os clientes, fornecedores, reguladores e outras entidades que devem ter acesso a essas funções.

As atividades previstas em um plano de continuidade de negócios incluem uma série de tarefas diárias – tais como gerenciamento de projetos, sistema de backups, controle de mudanças e help desk –, e são baseadas em normas, políticas, orientações e procedimentos necessários para garantir que uma empresa continue o seu funcionamento sem interrupção, independentemente de incidentes ou circunstâncias adversas. É importante, ainda, que esse plano seja testado e atualizado periodicamente, a fim de garantir a sua eficácia. Para determinar a estratégia de continuidade de negócios, é preciso entender a organização, por meio da identificação e análise de seus principais produtos, serviços, processos e recursos críticos. A estratégia deve considerar diversos recursos organizacionais, como pessoas, instalações, tecnologia, informações, equipamentos, partes interessadas, emergências civis, etc.

Uma pesquisa do BCI – Business Continuity Institute, realizada com 613 gestores de organizações de 60 países, revela que 67% dos participantes vão procurar alinhar a ISO 22301 nos próximos três anos. Para 85% dos entrevistados, a principal vantagem da nova norma ISO 22301 é o fornecimento de uma linguagem comum para o trabalho internacional. O levantamento aponta, ainda, que 57% dos participantes desenvolveram um modelo de continuidade de negócios alinhado com um ou mais padrões de GCN; 17% estão em conformidade com um padrão; e 13% possuem uma certificação de GCN. A existência de uma norma ISO credencia a GCN como matéria internacional, mas ainda não resultou em mudanças no Brasil, na opinião de William Alevate, especialista em continuidade de negócios da Módulo. “Temos, desde 2008, a norma brasileira NBR 15999, que é a norma que deve nortear os projetos de GCN no país. Tanto a ISO 22301, quanto a NBR 15999, se apoiam na norma britânica BS 25999 que, em 2006, trouxe para o mundo uma linguagem reconhecida mundialmente para o tema GCN”, enfatiza. Ramos acredita que, com a adoção da ISO 22301, a GCN no Brasil tende a ser levada mais a sério. “A norma ISO 22301fixa de vez a gestão de continuidade no aspecto do negócio de uma organização e salienta que a GCN é voltada para qualquer tipo de negócio – organizações públicas, ambientais, governos, bancos, telecomunicações”, diz. Entre as principais ameaças à continuidade do negócio, segundo outro relatório do BCI, estão: interrupções não planejadas de TI e telecomunicações; violações de dados; ataques cibernéticos; condições meteorológicas adversas (vendavais, furacões, inundações, neve, seca, etc.) e interrupção de fornecimento de serviços públicos (água, gás, eletricidade, coleta de lixo, etc.). “Em tempos de crise econômica, é positivo ver que o investimento em GCN se mantém firme para a maioria dos entrevistados e tem aumentado para 25% deles”, destaca o estudo.

Um estudo do Chartered Management, instituto britânico especializado em gestão, aponta a relevância de smartphones e tecnologias móveis em estratégias de GCN, destacada pelo fato de quatro em cada dez entrevistados terem relatado que suas operações foram interrompidas pela queda da BlackBerry, em outubro de 2011 (ainda que apenas 5% tenham sofrido grande ruptura). Entretanto, nem todos os impactos do uso dos dispositivos móveis são negativos para a GCN. Há benefícios, por exemplo, em casos de emergência, quando eles permitem o acesso às informações necessárias para continuidade de negócios de qualquer lugar, e facilitam a comunicação entre os funcionários responsáveis pela recuperação das operações. Além dos dispositivos móveis, as redes sociais também são um canal adicional que pode ajudar na agilidade das respostas em situações de crise e interrupções, e garantir a resiliência nos negócios. Um relatório divulgado em janeiro de 2012 pelo instituto de pesquisas Gartner aponta que a mídia social “mantém a promessa de transformar a gestão de continuidade de negócios, especialmente em momentos de crise de incidentes e práticas de comunicação”. Mídias sociais são usadas por mais de 80% da população mundial e, segundo o Gartner, as empresas devem incluí-las como ferramenta de comunicação de crise.

Marcelo Ramos cita ainda a virtualização e a computação em nuvem como importantes tendências em continuidade de negócios. “A virtualização diminui o número de máquinas e, com isso, concentra um maior poder de continuidade. Também permite que pessoas trabalhem em casa e acessem seus equipamentos de forma integral, diminuindo o impacto causado por uma interrupção que afete um ambiente físico comum”, justifica. O estudo do Chartered Management confirma a tendência de que o desenvolvimento e a implementação de planos de continuidade têm sido considerados prioridade pelas organizações. Os resultados mostraram que 81% dos gestores cujas organizações têm aplicado a GCN em seus negócios concordam que esse sistema efetivamente reduz as interrupções. A mesma porcentagem de entrevistados declara que o custo de desenvolvimento da GCN se justifica pelos benefícios que ela traz à sua organização. O Plano Nacional de Gerenciamento de Riscos e Desastres, lançado pelo governo federal no último mês de agosto com um investimento de R$ 18,8 bilhões, demonstra um aumento da preocupação em relação ao tema no Brasil. “O número de incidentes e desastres naturais tem crescido nos últimos anos, causando tanto a perda de vidas, quanto prejuízos financeiros e de imagem para organizações e governos. Para isso, é preciso investir sério em continuidade”, ressalta Marcelo Ramos, gerente de projetos da Módulo e consultor em GCN.