Como as empresas podem sobreviver aos impactos negativos?

Será possível efetuar todos os preparativos para as inúmeras possibilidades que uma empresa pode sofrer com algum tipo de desastre? A preocupação deve ser uma só: as empresas têm que sobreviver aos impactos negativos e eventualidades que venham a acontecer, e mensurar, aprovar e sempre monitorar os procedimentos.

Uma organização é dependente de seus recursos, pessoal e as tarefas que são realizadas no dia a dia e estar sempre saudável, feliz e com retorno financeiro. A maioria das organizações tem recursos tangíveis e intangíveis, propriedade intelectual, empregados, computadores, comunicações, links, locais e serviços locais de trabalho.

Se qualquer destes recursos é danificado ou se tornado inacessível por qualquer razão, a empresa pode estar com problemas. Se mais de um destes recursos fica prejudicado a empresa pode sofrer riscos muito altos. Quanto mais tempo estes itens ficam sem uso, mais tempo será necessário para a organização voltar ao seu estado normal.

Em determinados casos, algumas empresas não conseguem voltar ao estado normal após um desastre. Entretanto, as que pensam na frente, planejam para a maioria dos desastres que podem acontecer, e não se arriscam, e realizam um plano de continuidade ou uma gestão da continuidade dos negócio.

O objetivo de recuperação de desastres é para minimizar os efeitos de um desastre e tomar os passos necessários para certificar que os recursos, pessoal, e os processos de negócios estejam aptos à continuar a operação em pouco tempo na eventualidade de desastres. A recuperação de desastres é diferente da continuidade de negócios, onde o foco é em manter o negócio funcionando mesmo no caso de um problema, e no caso do ultimo o foco é em voltar ao normal após a falha. Em geral, o foco de recuperação de desastres é mais no ambiente de Tecnologia da Informação.

Um plano de recuperação de desastres é utilizado quando tudo está em modo de emergência, e todos estão focados em retomar todos os sistemas em modo on-line. O plano de continuidade de negócios toma uma linha mais focada no problema. Isso inclui o propósito nos sistemas mais críticos, e leva-los para um ambiente alternativo onde o desastre ocorreu enquanto ocorre a reparação da unidade com problemas. Levando em conta todos os envolvidos na empresa e também os clientes, de uma forma que tudo volte a normalidade o mais breve e seguro possível.

É importante observar que a empresa pode estar muito mais vulnerável depois que ocorre o desastre, porque os sistemas de segurança ficam mais focados na continuidade dos negócios. Os procedimentos planejados permitem a organização: prover um imediato e apropriada resposta à situações de emergência; proteger vidas e garantir segurança; reduzir impacto aos negócios; retornar as funções criticas de negócios à normalidade; reduzir confusão durante uma crise; e garantir a sobrevivência do negocio.

A NBR ISO 22313:2015 de 10/2015 – Segurança da sociedade — Sistemas de gestão de continuidade de negócios — Orientações fornece orientação com base em boas práticas internacionais para o planejamento, criação, implantação, operação, monitoramento, análise crítica, manutenção e melhoria contínua de um sistema de gestão documentado, que permite que as organizações se preparem para responder e recuperar-se de incidentes de interrupção quando eles surgirem. Não é a intenção desta norma impor uniformidade na estrutura de um Sistema de Gestão de Continuidade de Negócios (SGCN), mas permitir que uma organização projete um SGCN que seja adequado às suas necessidades e que atenda aos requisitos de suas partes interessadas.

Essas necessidades são formadas por requisitos legais, regulamentares, organizacionais e industriais, pelos produtos e serviços, processos empregados, o ambiente no qual a organização opera, seu tamanho e estrutura assim como os requisitos das suas partes interessadas. Esta norma é genérica e aplicável a todos os tipos e tamanhos de organizações, incluindo grandes, médias e pequenas que operam em setores industrial, comercial, público e sem fins lucrativos que desejam: estabelecer, implementar, manter e melhorar um SGCN; assegurar conformidade com a política de continuidade de negócios da organização, ou fazer uma autodeterminação e autodeclaração de conformidade com esta norma.

Não é possível utilizar esta norma para avaliar a capacidade de uma organização para atender às suas necessidades de continuidade de negócios próprios, nem quaisquer necessidades de clientes, legais ou regulamentares. As organizações que desejam fazê-lo podem usar os requisitos da NBR ISO 22301 para demonstrar conformidade para outros ou buscar a certificação de seu SGCN por um organismo de certificação terceiro acreditado.

Assim, a norma fornece orientação, onde apropriado, sobre os requisitos da NBR ISO 22301:2013 e fornece recomendações (“convém que”) e permissões (“pode”) em relação a eles. Não é a sua intenção fornecer orientações gerais sobre todos os aspectos da continuidade de negócios.

Esta norma inclui os mesmos títulos que a NBR ISO 22301, mas não repete os requisitos para sistemas de gestão de continuidade de negócios e seus termos e definições relacionados. As organizações que desejam ser informadas destas, portanto, devem consultar a NBR ISO 22301 e a ISO 22300.

Para fornecer mais esclarecimentos e explicação de pontos-chave, esta norma inclui uma série de figuras. Todas essas figuras são apenas para fins ilustrativos e o texto relacionado no corpo desta norma tem precedência.

Um sistema de gestão de continuidade de negócios (SGCN) enfatiza a importância de: compreender as necessidades da organização e a necessidade de estabelecer uma política e objetivos de continuidade de negócios; implementar e operar controles e medidas para a gestão da capacidade geral de uma organização para gerenciar incidentes de interrupção; monitorar e analisar criticamente o desempenho e a eficácia do SGCN e melhorar continuamente, com base em medições objetivas.

O SGCN, como qualquer outro sistema de gestão, inclui os principais componentes a seguir: uma política; pessoas com responsabilidades definidas; processos de gestão relativos a: política; planejamento; implementação e operação; avaliação de desempenho; análise crítica da gestão e melhoria; um conjunto de documentação fornecendo evidências auditáveis, e quaisquer processos do SGCN relevantes para a organização.

Geralmente a continuidade de negócios é específica para uma organização, no entanto, a sua implementação pode ter implicações de longo alcance sobre a comunidade em geral e terceiros. É provável que uma organização tenha outras organizações externas que dependam dela, e assim vice-versa. Uma continuidade de negócios eficaz, portanto, contribui para uma sociedade mais resiliente.

Esta norma adota o modelo “Plan-do-check-act” (PDCA) para planejar, estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar continuamente a eficácia do SGCN de uma organização. A Figura 1 ilustra a forma como o SGCN leva requisitos das partes interessadas como insumos para a gestão de continuidade de negócios (GCN) e, por meio das ações necessárias e processos, produz resultados de continuidade de negócios (por exemplo, gestão de continuidade de negócios) que atendem a esses requisitos.

CLIQUE NAS FIGURAS PARA UMA MELHOR VISUALIZAÇÃO

A continuidade de negócios é a capacidade que uma organização tem de continuar a entrega de produtos ou serviços em níveis aceitáveis pré-definidos após um incidente de interrupção. A gestão de continuidade de negócios (GCN) é o processo de alcançar a continuidade do negócio e é sobre a preparação de uma organização para lidar com incidentes de interrupção que poderiam impedi-la de atingir seus objetivos.

Colocar a GCN dentro de uma estrutura e disciplinas de um sistema de gestão cria um sistema de gestão de continuidade de negócios (SGCN) que permite que a GCN possa ser controlada, avaliada e melhorada continuamente. Nesta norma, a palavra negócio é usada como um termo abrangente para as operações e serviços realizados por uma organização em busca de seus objetivos, metas ou missão. Como tal, é igualmente aplicável a organizações grandes, médias e pequenas que operam em setores industrial, comercial, público e sem fins lucrativos.

Qualquer incidente, grande ou pequeno, natural, acidental ou deliberado tem o potencial de causar grande interrupção para as operações da organização e sua capacidade de fornecer produtos e serviços. No entanto, a implementação de uma gestão de continuidade de negócios antes que um incidente de interrupção ocorra, ao invés de esperar que isso aconteça, vai permitir que a organização retome suas operações antes que surjam níveis de impacto inaceitáveis.

A GCN envolve: ser claro sobre os principais serviços e produtos-chave da organização e as atividades que os suportam; conhecer as prioridades para retomar as atividades e os recursos necessários; ter uma compreensão clara das ameaças a essas atividades, incluindo suas dependências, e compreendendo os impactos de uma não retomada; ter implementado arranjos testados e confiáveis para retomar essas atividades após um incidente de interrupção, e certificar-se que estes acordos são analisados criticamente e atualizados de forma rotineira, de modo que eles sejam eficazes em todas as circunstâncias.

A continuidade de negócios pode ser eficaz em lidar tanto com incidentes repentinos de interrupção (por exemplo, explosões) como aqueles graduais (por exemplo, pandemias de gripe). As atividades são interrompidas por uma grande variedade de incidentes, muitos dos quais são difíceis de prever ou analisar. Ao concentrar-se sobre o impacto da interrupção e não a causa, a continuidade de negócios identifica as atividades em que a organização depende para a sua sobrevivência, e permite que a organização determine o que é necessário para continuar a cumprir as suas obrigações.

Através da continuidade de negócios, a organização pode reconhecer o que precisa ser feito para proteger os seus recursos (por exemplo, pessoas, instalações, tecnologia e informação), cadeia de suprimentos, as partes interessadas e reputação, antes que um incidente de interrupção ocorra. Com esse reconhecimento, a organização é capaz de ter uma visão realista sobre as respostas que possam vir a ser necessárias, caso e quando uma interrupção ocorra, e assim esteja confiante para gerenciar as consequências e evitar impactos inaceitáveis.

Uma organização que tenha implementado uma gestão de continuidade de negócios adequada também pode tirar vantagem das oportunidades que de outro modo poderiam ser consideradas como de risco muito alto. Os diagramas (Figuras 2 e 3) destinam-se a ilustrar conceitualmente como a gestão de continuidade de negócios pode ser eficaz na atenuação dos impactos em determinadas situações. Nenhuma escala de tempo específica está implícita pela distância relativa entre as fases descritas em qualquer diagrama.

Enfim, é importante que a empresa entenda que alcança o seu objetivo oferecendo seus produtos e serviços aos clientes. Portanto, para criar um entendimento do impacto negativo ao longo do tempo, que a interrupção destes produtos e serviços (e as atividades associadas) teria sobre os objetivos e funcionamento da organização. Também é importante compreender as interrelações e requisitos de recursos das atividades que suportam produtos e serviços e as ameaças sobre eles.

Por meio da compreensão, a organização é capaz de garantir que a sua continuidade do negócio se alinha com a sua finalidade, deveres e obrigações legais para as suas partes interessadas. O entendimento é alcançado por meio dos processos de análise de impacto nos negócios e avaliação de riscos. Estes processos fornecem a informação de que a organização precisa determinar e selecionar estratégias de continuidade de negócios (8.3.1).

Convém que a análise de impacto dos negócios (BIA) e a avaliação de risco permitam a organização identificar medidas que: limitem o impacto de uma interrupção na organização; encurtem o período de interrupção; e diminuam a probabilidade de uma interrupção. Convém que o contexto, critérios de avaliação e formato do resultado da BIA e avaliação de risco sejam definidos e acordados com antecedência. Convém que as informações coletadas sejam analisadas criticamente regularmente, especialmente durante os períodos de mudança.

E como exercitar os planos de continuidade de negócios? Os exercícios são atividades projetadas para examinar a capacidade dos colaboradores para reagir, recuperar e continuar eficazmente a executar funções de negócio atribuídas quando enfrentados com cenários de interrupção específicos. Convém que a organização faça uso de exercícios e de resultados documentados destes para assegurar a eficácia e a prontidão de seus planos de continuidade de negócios.

Convém que cada exercício e teste tenham metas e objetivos claramente definidos e sejam baseados em um cenário apropriado para atendê-los.

Os exercícios podem: antecipar um resultado predeterminado, por exemplo, é planejado e esquematizado com antecedência; e permite que a organização desenvolva soluções inovadoras. Convém que os exercícios sejam realísticos, planejados com cuidado e acordados com as partes interessadas, de modo que haja um risco mínimo de interrupção aos processos de negócios e de um incidente que ocorra por um resultado direto do exercício.

Isto pode ser conseguido empreendendo o exercício dentro de um ambiente controlado e isolado contanto que este não comprometa a integridade dos objetivos que estão sendo testados. Convém que a organização projete cenários do exercício que satisfaçam aos objetivos do exercício e possam usar ameaças identificadas na avaliação de risco ou em outros eventos apropriados.

A eficácia de alguns aspectos dos arranjos da GCN exigirá que determinados indivíduos ou aqueles que ocupam posições específicas tenham conhecimento, habilidades e compreensões específicas. Convém que estes sejam colocados antes do exercício permitindo que os participantes apliquem estes aos cenários e às simulações relevantes.

Convém que os exercícios sejam projetados e conduzidos de modo que forneçam um ou mais do seguinte: verificação de que os tempos objetivados de recuperação (RTO) são realizáveis (8.3.1); confiança de que as informações exigidas pelas atividades são apropriadamente atuais (8.3.2.3); melhoria da compreensão das dependências na continuidade dos negócios de fornecedores e outras partes interessadas; maior consciência do contexto e as prioridades da organização; melhoria da compreensão do conteúdo e utilização de procedimentos de continuidade de negócios; melhoria da confiança na resposta a incidentes; uma oportunidade para melhorar as capacidades; uma avaliação da utilidade e aplicabilidade de estratégias de continuidade de negócios; uma avaliação da adequação das capacidades desenvolvidas e alocação de recursos; uma identificação das necessidades e práticas anteriores utilizadas na gestão de um incidente ou interrupção que não foram documentadas; uma oportunidade para identificar quaisquer outras insuficiências nos procedimentos de continuidade de negócios escritos e sua implementação; garantia de que os procedimentos de continuidade de negócios são capazes de serem implementados, quando necessário; melhoria da confiança das partes interessadas sobre a preparação da organização; e um meio de cumprimento dos requisitos de governança regulamentares, contratuais ou organizacionais.

Os exercícios podem ter uma variedade de diferentes formatos. A decisão a respeito da adequação do tipo de exercício dependerá do contexto para a GCN, dos objetivos para o exercício, da disponibilidade do orçamento e dos participantes e da tolerância da organização à interrupção operacional causada pela execução do exercício. Os tipos principais de exercício são descritos na ISO 22398 – Societal security – Guidelines for exercises and testing.

Continuidade dos negócios e segurança da informação

Por quanto tempo a empresa poderia sobreviver sem as suas instalações, pessoas e sistemas? Quais são as ações a serem tomadas para manter a empresa funcionando na ocorrência de um vazamento de informações tecnológicas? Todos os funcionários sabem o que fazer, para onde ir ou anquem chamar em caso de um desastre? A continuidade dos negócios é uma abordagem integrada que envolve a mobilização de toda a organização para gerenciar crises e recuperar as operações após a ocorrência de qualquer evento que cause uma ruptura operacional.

Um plano desse tipo descreve as ações e processos necessários para recuperar as operações em caso de ruptura. Um plano de recuperação de desastres ou vazamento por falta de segurança da informações descreve os procedimentos para recuperar os sistemas e componentes de infraestrutura em casos de desastre.

Já a gestão de crises procura unir todos os elementos necessários à atuação coordenada durante a crise, a tomada de decisão de contingência e acionamento das equipes. Juntos, esses planos são o mecanismo necessário para garantir que uma organização possa se recuperar de forma eficaz após um desastre.

As organizações que não possuem planos de contingência estão sujeitas a impactos significativos e atraso no processo de recuperação após um evento de catástrofe. Muitas destas organizações podem nunca se recuperar. As organizações, portanto, precisam assegurar a existência de planos adequados para facilitar a recuperação. Esta é uma questão relevante para todas as organizações.

A NBR ISO/IEC 27031 de 01/2015 – Tecnologia da informação – Técnicas de segurança – Diretrizes para a prontidão para a continuidade dos negócios da tecnologia da informação e comunicação descreve os conceitos e princípios da prontidão esperada para a tecnologia de comunicação e informação (TIC) na continuidade dos negócios e fornece uma estrutura de métodos e processos para identificar e especificar todos os aspectos (como critérios de desempenho, projeto e implementação) para fornecer esta premissa nas organizações e garantir a continuidade dos negócios.

É aplicável para qualquer organização (privada, governamental e não governamental, independentemente do tamanho) desenvolvendo a prontidão de sua TIC para atender a um programa de continuidade nos negócios (PTCN), requerendo que os serviços e componentes de infraestrutura relacionados estejam prontos para suportar as operações de negócio na ocorrência de eventos e incidentes e seus impactos na continuidade (incluindo segurança) das funções críticas de negócio.

Também assegura que a organização estabeleça parâmetros para medir o desempenho que está correlacionado à PTCN de forma consistente e organizada. O escopo desta norma inclui todos os eventos e incidentes (incluindo os relacionados com segurança) que podem impactar a infraestrutura da TIC e sistemas, incluindo e estendendo às práticas de gestão de incidentes em segurança da informação e a prontidão esperada para o planejamento e serviços em TIC.

Através dos anos, as tecnologias da informação e comunicação (TIC) tornaram-se uma parte integrante de muitas atividades fundamentais para suportar a infraestrutura crítica em organizações de todos os setores, sejam públicas, privadas ou voluntárias. A proliferação da internet e de outros serviços de comunicação digital, somada à capacidade dos sistemas e aplicações utilizados hoje, resultaram em um cenário onde as organizações tornaram-se mais dependentes de uma infraestrutura de TIC confiável e segura.

Enquanto isso, a necessidade da Gestão de continuidade de negócios (GCN), incluindo a preparação para incidentes, planejamento para recuperação de desastres e gestão de respostas emergenciais, tem sido reconhecida e suportada por meio de domínios específicos de conhecimento, expertise e normas desenvolvidas e promulgadas recentemente, incluindo a norma de GCN, desenvolvida pelo ISO/TC 223.

As falhas nos serviços de TIC, incluindo a ocorrência de questões na segurança, como invasão de sistemas e infecções por códigos maliciosos, impactam a continuidade das operações de negócio. Dessa forma, o gerenciamento da TIC e dos aspectos relacionados à continuidade e segurança, integra os processos chave para estabelecer os requisitos na continuidade dos negócios.

Além disso, na maioria dos casos, as funções críticas de negócio que demandam ser providas de estratégias para a continuidade são geralmente dependentes da TIC, o que resulta em um cenário onde qualquer interrupção funcional pode resultar em riscos estratégicos para a reputação da organização e sua capacidade de operar. A prontidão da TIC é um componente essencial para muitas organizações na implementação da gestão para a continuidade dos negócios e segurança da informação.

Como parte da implementação e operação de um sistema de gestão de segurança da informação (SGSI) especificado na NBR ISO/IEC 27001 e de um sistema de gestão de continuidade de negócios (SGCN), é uma questão crítica desenvolver e implementar um plano para a prontidão dos serviços de TIC que suportem a continuidade dos processos de negócio. Como resultado, um SGCN efetivo é frequentemente dependente da efetividade da prontidão de TIC em garantir que os objetivos organizacionais continuem a ser atendidos durante a ocorrência de um evento de interrupção.

Isso é especialmente importante, uma vez que as consequências de rupturas na TIC têm a complicação adicional de não serem facilmente detectadas. Para que uma organização alcance a Prontidão de TIC para a Continuidade de Negócios, é necessário prover um processo sistemático de prevenção e gerenciamento de incidentes e interrupções no funcionamento da TIC que tenham o potencial de gerar impactos para o funcionamento esperado dos serviços e sistemas.

Isso pode ser alcançado aplicando os passos cíclicos estabelecidos em um Plan-Do-Check-Act (PDCA) como parte da gestão de PTCN. Dessa forma, a PTCN suporta o GCN ao garantir que os serviços de TIC são resilientes como esperado e podem ser recuperados em níveis predeterminados em tempos de resposta requeridos e acordados com a organização.

Clique nas figuras para uma melhor visualização

Se uma organização usa a NBR ISO/IEC 27001 para estabelecer um SGSI e/ou normas relevantes para estabelecer um SGCN, convém que o estabelecimento da Prontidão de TIC para a Continuidade de Negócios preferencialmente leve em consideração a existência ou previsão de processos relacionados com estas normas. Esta relação pode suportar o estabelecimento da PTCN e também evitar a duplicação de esforços para a organização.

No planejamento e implementação de uma PTCN, a organização pode referenciar a NBR ISO/IEC 24762:2009 no planejamento e entrega dos serviços para recuperação de desastres de TIC, independentemente se estes são providos por uma entidade externa ou interna. A Gestão da Continuidade de Negócios (GCN) é um processo holístico de gestão que identifica os impactos potenciais que ameaçam a continuidade das operações de negócio de uma organização e fornecesse uma estrutura para construir a resiliência e capacidade de resposta eficaz que protegem os interesses organizacionais de interrupções.

Como parte de um processo de GCN, a PTCN refere-se à gestão de um sistema que complementa e suporta a GCN e/ou um programa de SGSI, promovendo a prontidão organizacional para: responder as mudanças constantes dos riscos do ambiente; garantir a continuidade das operações críticas de negócio suportadas pelos serviços de TIC; estar pronta a responder antes que uma interrupção ocorra em um serviço de TIC, por meio da detecção de um ou mais eventos que podem tornar-se incidentes; e responder e recuperar frente à ocorrência de incidentes, desastres e falhas. A Figura 2 ilustra os resultados esperados da TIC para suportar as atividades da Gestão da Continuidade de Negócios.

A NBR ISO 22301 sumariza a abordagem da GCN para prevenir, reagir e recuperar de incidentes. As atividades envolvendo a GCN incluem a preparação para incidentes, gestão da continuidade operacional (GCO), plano para recuperação de desastres (PRD) e mitigação de riscos com foco em incrementar a resiliência da organização, preparando-a para reagir efetivamente a incidentes e recuperar dentro de escalas temporais predeterminadas.

Entretanto, cada organização define as suas prioridades para a GCN, e estas são utilizadas como base para direcionar as atividades da PTCN. Dessa forma, a GCN depende da garantia provida pela PTCN de que a organização pode alcançar seus objetivos de continuidade sempre que necessário, especialmente durante períodos de interrupção.

Como apresentado na Figura 3, as atividades de prontidão visam:

a) incrementar as capacidades de detecção de incidentes;

b) prevenir a ocorrência de falhas drásticas ou súbitas;

c) estabelecer um nível de degradação aceitável do status operacional se a falha não puder ser interrompida;

d) reduzir ao máximo o tempo de recuperação previsto; e

e) minimizar os impactos gerados pelo incidente.

A PTCN é baseada nos seguintes princípios fundamentais:

– Prevenção de Incidentes: Proteger os serviços de TIC de ameaças, como as geradas pelo ambiente, falhas em hardware, erros operacionais, ataques maliciosos e desastres naturais, é uma questão crítica para manter os níveis desejados de disponibilidade dos sistemas de uma organização;

– Detecção de Incidentes: Detectar incidentes o mais cedo possível minimiza os impactos para os serviços, reduzindo o esforço de recuperação e preservando a qualidade dos serviços;

– Resposta: Responder a um incidente da maneira mais apropriada possível irá resultar em uma recuperação mais eficiente e minimizar as paradas, pois uma reação inadequada pode resultar no escalonamento de um incidente pequeno para algo muito mais grave;

– Recuperação: Identificar e implementar a estratégia de recuperação apropriada irá garantir a recuperação dos serviços dentro de um tempo aceitável e manter a integridade dos dados. O entendimento das prioridades de recuperação permite que os serviços mais críticos possam ser reinstalados primeiro. Serviços de natureza menos crítica podem ser reinstalados posteriormente ou, em algumas circunstâncias, não ser recuperados.

– Melhoria: Convém que lições aprendidas de incidentes de variadas intensidades sejam documentadas, analisadas e analisadas criticamente. O entendimento dessas lições irá permitir que a organização esteja melhor preparada, estabeleça um controle adequado e evite a ocorrência de incidentes ou interrupções.

A Figura 4 ilustra como os respectivos elementos em uma PTCN suportam uma linha de tempo para a recuperação de um desastre que afete a TIC e suportam a continuidade das atividades de negócio. A implementação da PTCN permite que a organização responda efetivamente a ameaças novas e emergentes, assim como esteja pronta para reagir e se recuperar dos efeitos de interrupções.

Os elementos fundamentais da PTCN podem ser resumidos como apresentados: Pessoas: os especialistas com o conhecimento e capacidade apropriados, e equipe de reposição competente; Instalações: o ambiente físico onde os recursos de TIC estão localizados; Tecnologia: 1) hardware (incluindo racks, servidores, equipamentos de armazenamento de dados, unidades de fita e similares); 2) rede de dados (incluindo a conectividade de dados e serviços de voz), switches, roteadores; e 3) software: incluindo sistema operacional, software de aplicação, links ou interfaces entre aplicações e rotinas de processamento batch; Dados: dados de aplicações, voz e outros tipos; Processos: incluindo a documentação de suporte que descreve a configuração dos recursos de TIC e suporta uma operação efetiva, recuperação e manutenção dos serviços de TIC; e Fornecedores: outros componentes de serviços nos quais os serviços providos pela TIC dependem de um fornecedor externo ou outra organização dentro da cadeia de suprimentos, como provedores de dados do mercado financeiro, empresas de telecomunicações e provedores de serviços para acesso a internet.

Os benefícios de uma PTCN efetiva para a organização são: entender os riscos para a continuidade dos serviços de TIC e suas vulnerabilidades; identificar os impactos potenciais das interrupções dos serviços de TIC; encorajar a colaboração entre os gestores das áreas de negócio e seus provedores de serviços de TIC (internos e externos); desenvolver e melhorar as competências da equipe de TIC ao demonstrar credibilidade nas respostas providas por meio do exercício dos planos para a continuidade de TIC e testes dos arranjos mantidos para a PTCN; garantir para a alta direção ela pode contar com determinados níveis de serviços para TIC, assim como o suporte e as comunicações adequados, mesmo diante dos impactos gerados por uma interrupção; garantir para a alta direção que a segurança da informação (confidencialidade, integridade e disponibilidade) está sendo adequadamente preservada, estabelecendo a aderência esperada para as políticas de segurança da informação; fornecer confiança adicional na estratégia para continuidade dos negócios, relacionando os investimentos feitos em tecnologia da informação para atender às necessidades organizacionais e garantir que os serviços de TIC estão protegidos em um nível apropriado de acordo com a sua importância para os processos de negócio; ter os serviços de TIC dentro de uma relação custo/benefício aceitável e não subestimada ou superestimada, benefício este alcançado por meio de um entendimento dos níveis de dependência dos serviços providos, natureza, localização, interdependência e uso dos componentes que estabelecem os serviços esperados; poder incrementar a reputação organizacional pela prudência e eficiência estabelecidas; potencializar os ganhos em vantagens competitivas por meio da demonstração da habilidade para entregar serviços de continuidade e manter o fornecimento de produtos e serviços mesmo em períodos de interrupção; e entender e documentar as expectativas das partes interessadas, os relacionamentos suportados e uso dos serviços providos pela TIC. A PTCN fornece uma forma clara de determinar o status dos serviços de TIC de uma organização em suportar os objetivos para a continuidade de negócios ao endereçar a questão “nossa TIC tem a capacidade de resposta adequada” em vez de “nossa TIC é segura”.

A Gestão da Continuidade dos Negócios (GCN) (parte 2 – final)

Curso: Curtos-Circuitos e Seletividade em Instalações Elétricas Industriais – Conheça as Técnicas e Corretas Especificações

Modalidade: Presencial ou Ao Vivo pela Internet

Dias: 18 e 19 de Março

Horário: 09:00 às 18:00 horas

Carga Horária: 16h

Professor: José Ernani da Silva

Preço: A partir de 3 x R$ 257,81

(*) O curso permanecerá gravado e habilitado para acesso pelo prazo de 30 dias a partir da data da sua realização.

Engenheiros e Projetistas têm a constante preocupação de saber especificar adequadamente os equipamentos elétricos que são submetidos à corrente de curto-circuito, pois um sistema elétrico está sujeito a eventuais falhas que podem envolver elevadas correntes de curtos-circuitos, e que fatalmente irão submeter os equipamentos a esforços térmicos e dinâmicos. Este curso é dividido em dois tópicos: curto-circuito e coordenação da proteção (seletividade).
O tópico Curto-Circuito discute:
a) Cálculo de corrente de curto-circuito simétrica e assimétrica;
b) Especificação dos equipamentos de proteção do ponto de vista de corrente de curto-circuito;
c) Recomendações práticas das normas nacionais e internacionais vigentes, como ANSI-VDE-IEC-NEC-ABNT.
O tópico Coordenação da Proteção discute:
a) Importância e conceitos de proteção exigidos em normas;
b) Filosofia e técnicas de proteção para dispositivos de proteção de Baixa, Média e Alta Tensão;
c) Ajuste de relés fase e neutro de sobrecorrentes.
Para atender à demanda daqueles que não podem se locomover até as instalações da Target, tornamos disponível este curso Ao Vivo através da Internet. Recursos de última geração permitem total aproveitamento mesmo à distância.
Os cursos oferecidos pela Target são considerados por seus participantes uma “consultoria em sala”, ou seja, o participante tem a possibilidade de interagir com renomados professores, a fim de buscar a melhor solução para problemas técnicos específicos e particulares.

Em continuação ao texto, segue abaixo um pequeno descritivo de alguns dos principais itens constantes da norma ISO 22301.

Item 4: Contexto da organização

Determinar questões internas e externas que são relevantes para a sua finalidade e que afetam  a sua capacidade de atingir os resultados esperados do Sistema de Gestão da Continuidade dos Negócios (SGCN):

• atividades da organização, funções, serviços, produtos, parcerias, cadeias de abastecimento, relações com as partes interessadas, bem como o potencial impacto relacionado a um incidente disruptivo;
• interligações entre a política de continuidade de negócios e os objetivos da organização e outras políticas, incluindo a sua estratégia global de gestão de risco;
• a quantidade de risco da organização;
• necessidades e expectativas das partes interessadas relevantes;

• requisitos legais aplicáveis​​, regulamentares e outros requisitos que a organização subscreva

Faz ainda parte deste cláusula, a identificação do âmbito de aplicação do SGCN, tendo em conta os objetivos estratégicos da organização, produtos e serviços essenciais, tolerância de riscos, e quaisquer obrigações regulamentares, contratuais ou das partes interessadas.

Item 5: Liderança

Os líderes do processo de gestão devem demonstrar um compromisso contínuo com o SGCN. Através da sua liderança e ações, a gestão pode criar um ambiente no qual diferentes atores sejam plenamente envolvidos e em que o sistema de gestão pode operar efetivamente em sinergia com os objetivos da organização. Eles são responsáveis ​​por:

• assegurar que o SGCN é compatível com a direção estratégica da organização;
• integrar os requisitos do SGCN nos processos de negócio da organização;
• fornecer os recursos necessários para o SGCN;
• comunicar a importância de uma eficaz gestão de continuidade de negócios;
• assegurar que o SGCN atinge os resultados planeados;
• orientar e suportar a melhoria contínua;
• estabelecer e comunicar uma política de continuidade de negócios;
• assegurar que os objetivos do SGCN e planos são estabelecidos;
• assegurar que as responsabilidades e autoridades para funções relevantes são atribuídas.

Item 6: Planejamento

Esta é uma fase crítica no que se refere ao estabelecimento de objetivos estratégicos e princípios orientadores para o SGCN como um todo. Os objetivos de um SGCN são a expressão da intenção da organização para tratar dos riscos identificados e / ou para cumprir com os requisitos das necessidades organizacionais. Os objetivos de continuidade de negócios devem:

• ser coerentes com a política de continuidade de negócios;
• ter em conta o nível mínimo de produtos e serviços que é aceitável para a organização atingir seus objetivos;
• ser mensuráveis​​;
• ter em conta os requisitos aplicáveis;
• ser monitorizados e atualizados conforme apropriado.

Item 7: Suporte

A gestão do dia a dia de um sistema de gestão de continuidade de negócios eficaz baseia-se na utilização dos recursos apropriados para cada tarefa. Estes incluem, equipas competentes com formação relevante (e demonstrável) e serviços de apoio, sensibilização e comunicação. Esta, deve ser apoiada por boa e documentada gestão de informação. Devem ser consideradas nesta área, comunicações internas e externas da organização, incluindo o formato, o conteúdo e o momento adequado para tais comunicações. São também especificadas nesta cláusula as exigências sobre a criação, atualização e controle da informação documentada.

Item 8: Operação

Após o planejamento do SGCN, a organização deverá operacionalizá-lo. Esta cláusula inclui:

• Análise de Impacto de Negócios (AIN): Esta atividade permite à organização identificar os processos críticos que sustentam os seus principais produtos e serviços, as interdependências entre os processos e os recursos necessários para operar os processos num nível minimamente aceitável.
• Avaliação de Riscos: A ISO 22301 propõe a referência à norma ISO 31000 para implementar este processo. O objetivo deste requisito é o de estabelecer, implementar e manter um processo formal e documentado de avaliação de riscos que sistematicamente identifica, analisa e avalia o risco de incidentes disruptivos para a organização.
• Estratégia de Continuidade de Negócios: Após serem estabelecidos os requisitos através da AIN e da avaliação dos riscos, podem ser desenvolvidas as estratégias necessárias e identificados os mecanismos que permitam à organização proteger e recuperar as suas atividades críticas tendo por base a tolerância ao risco organizacional e de acordo com os objetivos definidos de tempo de recuperação. A experiência e as boas práticas indicam claramente que uma implementação antecipada de uma estratégia global de Gestão de Continuidade de Negócios (GCN), permitirá à organização garantir que as atividades de GCN são alinhadas com e apoiam a estratégia global de negócios da organização. A estratégia de continuidade de negócios deve ser uma componente integral da estratégia corporativa de uma instituição.
• Procedimentos de continuidade de negócios: A organização deve documentar os procedimentos (incluindo os arranjos necessários) para garantir a continuidade das atividades e gestão de um incidente disruptivo. Os procedimentos têm de:
  • estabelecer um protocolo de comunicações interno e externo adequado;
  • ser específicos sobre as medidas imediatas que devem ser tomadas durante uma interrupção;
  • ser flexíveis de modo a responderem a ameaças imprevistas e ás alterações das condições internas e externas;
  • ser focados no impacto de eventos que potencialmente poderão interromper as operações;
  • ser desenvolvidos com base em pressupostos declarados e em uma análise de interdependências, e;
  • ser eficientes de forma a minimizar as consequências através da implementação de estratégias de mitigação apropriadas.

Exercitar e testar: Para assegurar que os procedimentos de continuidade de negócios são consistentes com os objetivos de continuidade de negócios, a organização terá que testá-los regularmente. Exercitar e testar são os processos de validação dos planos de continuidade de negócios e procedimentos de modo a assegurar que as estratégias selecionadas são capazes de fornecer as respostas e resultados de recuperação nos prazos acordados pela gestão.

Item 9: Avaliação de desempenho

Uma vez implementado o SGCN, a ISO 22301 exige um acompanhamento contínuo do sistema, bem como revisões periódicas para melhorar o seu funcionamento:

• monitorizar em toda a sua extensão, a política da organização de continuidade de negócios, objetivos e metas de modo a que os mesmos sejam atingidos;
• medir o desempenho dos processos, procedimentos e funções que protegem as suas atividades prioritárias;
• monitorizar o cumprimento desta norma e dos objetivos de continuidade de negócios;
• monitorizar evidências históricas de desempenho deficiente do SGCN
• condução de auditorias internas em intervalos planeados e
• avaliar tudo isso na revisão pela gestão em intervalos planeados.

Item: Melhoria

A melhoria contínua pode ser definida como todas as ações tomadas em toda a organização para aumentar a eficácia (atingir objetivos) e eficiência (uma relação custo / benefício ideal) dos processos e controlos de segurança para trazer maiores benefícios para a organização e para as suas partes interessadas. Uma organização pode melhorar continuamente a eficácia de seu sistema de gestão através da utilização da política de continuidade de negócios, objetivos, resultados de auditorias, análise de eventos monitorizados, indicadores, ações corretivas e preventivas e revisão da gestão.

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a

Facebook: http://www.facebook.com/#!/hayrton.prado

A Gestão da Continuidade dos Negócios (GCN) (parte 1)

Novos Target GEDWeb Setoriais

A Target criou o GED WEB Setorial que abrange os segmentos eletroeletrônico, construção, transportes, máquinas, petroquímica, saúde e vestuário. No caso do GED WEB Setorial Eletroeletrônico, os usuários podem pesquisar, visualizar, adquirir, imprimir e controlar o acervo de normas técnicas brasileiras, Mercosul, internacionais e estrangeiras através de uma base de dados sempre atualizada. Esse sistema garante que sua organização tenha acesso com descontos a 10 cursos essenciais ao setor, aos arquivos de 431 normas brasileiras (NBR) e do Mercosul (NM) mais utilizadas, às 312 NBR e NM mais em destaque, às 839 NBR e NM indispensáveis, aos 310 Regulamentos Técnicos setoriais, às 39 Normas Regulamentadoras e aos 2.223 projetos de normas em consulta nacional disponibilizados pela Associação Brasileira de Normas Técnicas (ABNT). Clique no link para mais informações.

A ISO publicou a ISO 22301:2012 – Societal security — Business continuity management systems — Requirements que especifica os requisitos para planejar, estabelecer, implementar, operar, monitorar, revisar, manter e melhorar continuamente um sistema de gestão documentado para proteger contra, reduzir a probabilidade de ocorrência, preparar, responder e se recuperar de incidentes perturbadores quando eles surgir. Os requisitos especificados na norma são genéricos e pretendem que sejam aplicáveis ​​a todas as organizações, e suas partes, independentemente do tipo, tamanho e natureza da organização. A extensão da aplicação destes requisitos depende do ambiente operacional da organização e complexidade. Em português, esse padrão pode ser traduzido como ISO 22301:2012 Segurança social – Sistemas de gestão da continuidade de negócios – Requisitos, que foi escrito pelos maiores especialistas em continuidade de negócios e oferece a melhor estrutura para a gestão da continuidade de negócios em uma organização.

Um dos recursos que o diferenciam em comparação a outras estruturas/padrões de continuidade de negócios é o fato de que uma organização pode obter a certificação por meio de um corpo de certificação reconhecido, e assim ser capaz de comprovar a conformidade aos seus clientes, parceiros, proprietários e outros stakeholders. A ISO 22301 substituiu a 25999-2 – estes dois padrões são muito similares, mas a ISO 22301 pode ser considerada como uma atualização da BS 25999-2. E quais são os benefícios da continuidade de negócios? Quando implementada corretamente, a gestão de continuidade de negócios irá reduzir a probabilidade de incidentes disruptivos, e se algum chegar a ocorrer, a organização estará pronta para responder de forma apropriada, reduzindo drasticamente o dano em potencial de tal incidente. Qualquer organização – grande ou pequena, com ou sem fins lucrativos, públicas ou privadas pode implementar este padrão que foi concebido de tal forma que é aplicável em qualquer tamanho ou tipo de organização. A continuidade de negócios faz parte da gestão de risco global em uma empresa, com áreas que se sobrepõe à gestão de segurança e de TI. Saiba quais os termos básicos usados para isso:

• Sistema de gestão da continuidade de negócios (BCMS-Business Continuity Management System) parte do sistema de gestão global que cuida de como a continuidade de negócios é planejada, implementada, mantida e aprimorada continuamente;
• Máxima interrupção aceitável (MAO) – quantidade de tempo máxima em que uma atividade pode ser interrompida sem incorrer em danos inaceitáveis (Período de disrupção máximo tolerado – MTPD);
• Objetivo de tempo de recuperação (RTO) – tempo pré-determinado em que uma atividade deve ser retomada, ou recursos devem ser recuperados;
• Objetivo de ponto de recuperação (RPO) – perda de dados máxima, por exemplo, a quantidade mínima de dados que precisa ser restaurada
• Objetivo de continuidade de negócios mínimo (MBCO) – nível mínimo de serviços ou produtos que uma organização precisa produzir após retomar as suas operações de negócios.

Conteúdo da ISO 22301

Introdução

0.1 Geral

0.2 O modelo Planeje-Faça-Verifique-Aja (PDCA)

0.3 Componentes do PDCA neste padrão internacional

1 Escopo

2 Referências normativas

3 Termos e definições

4 Contexto da organização

4.1 Compreendendo a organização e seu contexto

4.2 Compreendendo as necessidades e expectativas das partes interessadas

4.3 Determinado o escopo do sistema de gestão

4.4 Sistema de gestão da continuidade de negócios

5 Liderança

5.1 Geral

5.2 Gestão de compromisso

5.3 Política

5.4 Papéis organizacionais, responsabilidades e autoridades

6 Planejamento

6.1 Ações para abordar riscos e oportunidades

6.2 Objetivos da continuidade de negócios e planos para alcançá-los

7 Suporte

7.1 Recursos

7.2 Competência

7.3 Conscientização

7.4 Comunicação

7.5 Informações documentadas

8 Operação

8.1 Planejamento e controle operacional

8.2 Análise de impacto nos negócios e avaliação de riscos

8.3 Estratégia de continuidade de negócios

8.4 Estabelecer e implementar procedimentos de continuidade de negócios

8.5 Exercícios e testes

9 Avaliação de desempenho

9.1 Monitoramento, medida, análise e avaliação

9.2 Auditoria interna

9.3 Análise crítica da gestão

10 Melhoria

10.1 Não-conformidade e ação corretiva

10.2 Melhoria contínua

Bibliografia

Se uma organização deseja implementar a norma, alguns documentos são obrigatórios: lista de requisitos legais, regulamentares e outros; escopo do BCMS; política de continuidade de negócios; objetivos da continuidade de negócios; evidência de competências pessoais; registros de comunicação com as partes interessadas; análise de impacto nos negócios; avaliação de riscos, incluindo tratamento de riscos; estrutura de resposta a incidentes; planos de continuidade de negócios; procedimentos de recuperação; resultados de ações preventivas; resultados de monitoramento e medida; resultados de auditoria interna; resultados de revisão de gestão; e resultados de ações corretivas. A recuperação de desastres é apenas uma parte da gestão de continuidade de negócios (GCN), processo fundamental para o gerenciamento de riscos e o bom funcionamento de uma organização ou de um serviço de entrega. Além de identificar os potenciais impactos que ameaçam uma organização, a GCN fornece uma estrutura para contingência (para evitar interrupções) e resposta a incidentes, de forma que ajude a empresa a recuperar ou manter suas atividades em caso de uma interrupção de suas operações normais. Dessa forma, evita perdas financeiras e danos irreversíveis, e garante que as funções críticas de negócios estejam disponíveis para os clientes, fornecedores, reguladores e outras entidades que devem ter acesso a essas funções.

As atividades previstas em um plano de continuidade de negócios incluem uma série de tarefas diárias – tais como gerenciamento de projetos, sistema de backups, controle de mudanças e help desk –, e são baseadas em normas, políticas, orientações e procedimentos necessários para garantir que uma empresa continue o seu funcionamento sem interrupção, independentemente de incidentes ou circunstâncias adversas. É importante, ainda, que esse plano seja testado e atualizado periodicamente, a fim de garantir a sua eficácia. Para determinar a estratégia de continuidade de negócios, é preciso entender a organização, por meio da identificação e análise de seus principais produtos, serviços, processos e recursos críticos. A estratégia deve considerar diversos recursos organizacionais, como pessoas, instalações, tecnologia, informações, equipamentos, partes interessadas, emergências civis, etc.

Uma pesquisa do BCI – Business Continuity Institute, realizada com 613 gestores de organizações de 60 países, revela que 67% dos participantes vão procurar alinhar a ISO 22301 nos próximos três anos. Para 85% dos entrevistados, a principal vantagem da nova norma ISO 22301 é o fornecimento de uma linguagem comum para o trabalho internacional. O levantamento aponta, ainda, que 57% dos participantes desenvolveram um modelo de continuidade de negócios alinhado com um ou mais padrões de GCN; 17% estão em conformidade com um padrão; e 13% possuem uma certificação de GCN. A existência de uma norma ISO credencia a GCN como matéria internacional, mas ainda não resultou em mudanças no Brasil, na opinião de William Alevate, especialista em continuidade de negócios da Módulo. “Temos, desde 2008, a norma brasileira NBR 15999, que é a norma que deve nortear os projetos de GCN no país. Tanto a ISO 22301, quanto a NBR 15999, se apoiam na norma britânica BS 25999 que, em 2006, trouxe para o mundo uma linguagem reconhecida mundialmente para o tema GCN”, enfatiza. Ramos acredita que, com a adoção da ISO 22301, a GCN no Brasil tende a ser levada mais a sério. “A norma ISO 22301fixa de vez a gestão de continuidade no aspecto do negócio de uma organização e salienta que a GCN é voltada para qualquer tipo de negócio – organizações públicas, ambientais, governos, bancos, telecomunicações”, diz. Entre as principais ameaças à continuidade do negócio, segundo outro relatório do BCI, estão: interrupções não planejadas de TI e telecomunicações; violações de dados; ataques cibernéticos; condições meteorológicas adversas (vendavais, furacões, inundações, neve, seca, etc.) e interrupção de fornecimento de serviços públicos (água, gás, eletricidade, coleta de lixo, etc.). “Em tempos de crise econômica, é positivo ver que o investimento em GCN se mantém firme para a maioria dos entrevistados e tem aumentado para 25% deles”, destaca o estudo.

Um estudo do Chartered Management, instituto britânico especializado em gestão, aponta a relevância de smartphones e tecnologias móveis em estratégias de GCN, destacada pelo fato de quatro em cada dez entrevistados terem relatado que suas operações foram interrompidas pela queda da BlackBerry, em outubro de 2011 (ainda que apenas 5% tenham sofrido grande ruptura). Entretanto, nem todos os impactos do uso dos dispositivos móveis são negativos para a GCN. Há benefícios, por exemplo, em casos de emergência, quando eles permitem o acesso às informações necessárias para continuidade de negócios de qualquer lugar, e facilitam a comunicação entre os funcionários responsáveis pela recuperação das operações. Além dos dispositivos móveis, as redes sociais também são um canal adicional que pode ajudar na agilidade das respostas em situações de crise e interrupções, e garantir a resiliência nos negócios. Um relatório divulgado em janeiro de 2012 pelo instituto de pesquisas Gartner aponta que a mídia social “mantém a promessa de transformar a gestão de continuidade de negócios, especialmente em momentos de crise de incidentes e práticas de comunicação”. Mídias sociais são usadas por mais de 80% da população mundial e, segundo o Gartner, as empresas devem incluí-las como ferramenta de comunicação de crise.

Marcelo Ramos cita ainda a virtualização e a computação em nuvem como importantes tendências em continuidade de negócios. “A virtualização diminui o número de máquinas e, com isso, concentra um maior poder de continuidade. Também permite que pessoas trabalhem em casa e acessem seus equipamentos de forma integral, diminuindo o impacto causado por uma interrupção que afete um ambiente físico comum”, justifica. O estudo do Chartered Management confirma a tendência de que o desenvolvimento e a implementação de planos de continuidade têm sido considerados prioridade pelas organizações. Os resultados mostraram que 81% dos gestores cujas organizações têm aplicado a GCN em seus negócios concordam que esse sistema efetivamente reduz as interrupções. A mesma porcentagem de entrevistados declara que o custo de desenvolvimento da GCN se justifica pelos benefícios que ela traz à sua organização. O Plano Nacional de Gerenciamento de Riscos e Desastres, lançado pelo governo federal no último mês de agosto com um investimento de R$ 18,8 bilhões, demonstra um aumento da preocupação em relação ao tema no Brasil. “O número de incidentes e desastres naturais tem crescido nos últimos anos, causando tanto a perda de vidas, quanto prejuízos financeiros e de imagem para organizações e governos. Para isso, é preciso investir sério em continuidade”, ressalta Marcelo Ramos, gerente de projetos da Módulo e consultor em GCN.