This post is also available in: Português Español
A capacidade que uma empresa tem de continuar suas atividades normais após incidentes de segurança digital é tão relevante que já possui uma certificação ISO para o tema. É a ISO 22301 – Sistemas de gestão de continuidade de negócios. Publicado pela International Organization for Standardization (ISO), descreve como gerenciar a continuidade de negócios em uma empresa após eventos adversos – seja por falha de segurança digital ou não.
Nesse contexto, é importante ressaltar que a continuidade de negócios é a capacidade que uma empresa tem de continuar a entrega de produtos ou serviços em níveis aceitáveis pré-definidos após um incidente de interrupção. Assim, trata-se da preparação de uma organização para lidar com situações que poderiam impedi-la de atingir seus objetivos mais básicos do dia a dia – e também aqueles de médio e longo prazo.
Com a ISO 22301, um negócio pode ser credenciado por um órgão de certificação confiável, comprovando sua conformidade para seus clientes, parceiros, fornecedores e demais partes interessadas.
Portanto, a ISO 22301 define a gestão de continuidade de negócios como parte do gerenciamento geral de riscos em uma empresa, sobrepondo-se parcialmente ao gerenciamento de segurança da informação e ao gerenciamento de TI. A ISO também se torna um relevante argumento para as equipes de venda, que podem buscar novos clientes mostrando uma certificação internacional de segurança em suas operações.
Benefícios da ISO 22301
Além desse empoderamento do setor comercial, existem diversas outras vantagens. A primeira delas é quanto ao cumprimento de requisitos legais. Há cada vez mais países definindo leis e regulamentos que exigem conformidade com a continuidade dos negócios.
Algumas instituições financeiras privadas também exigem que seus fornecedores e parceiros implementem soluções do tipo. Assim, a ISO 22301 fornece uma estrutura e metodologia que apoia a conformidade com esses requisitos. Isso reduz o esforço administrativo e operacional, bem como o número de penalidades a serem pagas em caso de eventos adversos.
A diferenciação no mercado é outro benefício. Frente a concorrentes sem a certificação, uma empresa credenciada pela ISO 22301 terá uma importante vantagem – principalmente quando se trata de clientes que são sensíveis em manter a continuidade de suas operações e a entrega de seus produtos e serviços. Além disso, essa ISO pode melhorar a reputação e ajudar a conquistar novos clientes, tornando mais fácil demonstrar que determinado negócio está entre os melhores do setor.
Existe ainda um benefício que é na realidade uma consequência da ISO 22301: a redução da dependência de determinados profissionais. Muitas vezes, certas atividades críticas de uma empresa dependem de alguns colaboradores difíceis de substituir, cujas habilidades são mais raras no mercado. Os gestores que estão cientes disso podem fazer uso de práticas de continuidade de negócios para não ficarem à mercê dessas pessoas – seja por causa de soluções de substituição implementadas ou documentando tarefas relacionadas.
Isso também ajuda a prevenir danos em grande escala. Hoje em dia, cada minuto de serviço inativo é sinônimo de prejuízo financeiro. E, mesmo que a empresa não seja tão sensível a pequenos períodos de indisponibilidade, os incidentes disruptivos terão um custo. Ao implementar práticas de continuidade de negócios compatíveis com a ISO 22301, a empresa economizará dinheiro – tanto prevenindo a ocorrência de incidentes disruptivos quanto por se tornar capaz de realizar uma recuperação mais rápida.
Como funciona a ISO 22301?
Como já visto, o foco da ISO 22301 é garantir a continuidade da entrega de produtos e serviços após a ocorrência de situações disruptivas – o que inclui eventos associados a segurança digital. É algo feito ao determinar as prioridades da continuidade das atividades, por meio da análise de impacto, identificando quais possíveis eventos podem afetar as operações.
Deve-se então alinhar o que precisa ser feito para evitar que esses eventos aconteçam e, em seguida, definir como recuperar-se, de maneira aceitável, no menor tempo possível – ou seja, mitigação de risco ou tratamento de risco. Portanto, a ideia principal da ISO 22301 é baseada na análise de impactos e gerenciamento de riscos. Dessa maneira, basta descobrir quais atividades são mais importantes e quais riscos podem afetá-las, para então tratar esses riscos sistematicamente.
As estratégias e soluções que devem ser implementadas geralmente estão na forma de políticas, procedimentos e implementação técnica/física – por exemplo, instalações, softwares e equipamentos. Em muitos casos, as empresas não têm todos os hardwares e softwares necessários. Portanto, a implementação da ISO 22301 envolverá não apenas a definição de regras organizacionais que são necessárias para evitar incidentes disruptivos, mas também desenvolver planos e alocação de recursos técnicos para viabilizar a continuidade e recuperação das atividades rotineiras.
Termos utilizados na norma
- Sistema de Gestão de Continuidade de Negócios (BCMS):
é parte de um sistema de gestão geral que garante que a continuidade de negócios seja planejada, implementada, mantida e continuamente melhorada.
- Interrupção Máxima Aceitável (MAO):
define a quantidade máxima de tempo que uma atividade pode ser interrompida sem gerar danos inaceitáveis (também chamada de Período Máximo de Interrupção Tolerável – MTPD)
- Objetivo de Tempo de Recuperação (RTO):
trata do tempo pré-determinado que um produto, serviço ou atividade deve ser retomado ou os recursos devem ser recuperados.
- Recovery Point Objective (RPO):
lida com a perda máxima de dados, ou seja, a quantidade mínima de dados usados por uma atividade que precisa ser restaurada.
- Objetivo Mínimo de Continuidade de Negócios (MBCO):
é o nível mínimo de serviços ou produtos que uma empresa precisa produzir para atingir seus objetivos definidos após retomar suas operações de negócios.
This post is also available in: Português Español