This post is also available in: Português
Existem várias maneiras de provar que uma empresa é capaz de continuar suas atividades normais após incidentes de segurança digital. Entretanto, o modo mais confiável é obter a certificação ISO 22301 – Sistemas de gestão de continuidade de negócios. Publicado pela International Organization for Standardization (ISO), descreve como gerenciar a continuidade de negócios em uma empresa após eventos adversos – independente de ser por falha de segurança digital ou qualquer outro motivo.
Entre os vários benefícios dessa certificação, está o diferencial competitivo. Comparando com concorrentes sem essa chancela, uma empresa credenciada pela ISO 22301 terá melhor visibilidade no mercado – principalmente quando se trata de clientes que são sensíveis em manter a continuidade de suas operações e a entrega de seus produtos e serviços.
Além disso, essa ISO pode melhorar a reputação e ajudar a conquistar novos clientes, tornando mais fácil demonstrar que determinado negócio está entre os melhores do setor. Afinal, possui uma documentação que comprova isso.
Porém, implementar a continuidade de negócios não é uma tarefa fácil. Inclusive, existem 17 etapas a serem cumpridas, que são obrigatórias conforme exigido pela ISO 22301. Abaixo segue a lista de verificação que abrange os passos necessários para implementar o padrão, lembrando que existem tarefas adicionais que são necessárias para manter o sistema depois de instalado.
- 1) Apoio dos gestores
Para iniciar qualquer tipo de projeto dessa magnitude, os gestores da empresa precisam estar dispostos a investir em recursos humanos, financeiros e tecnológicos. Para isso, eles precisam estar cientes sobre todos os benefícios, com o intuito de conseguir o apoio necessário à certificação. Nesse contexto, é preciso envolver todos e esclarecer sobre tudo que a ISO abrange.
- 2) Identificação dos requisitos
Antes de tomar qualquer medida, é preciso ter certeza de que está em conformidade com tudo o que as partes interessadas desejam. Não são apenas as leis e regulamentos, mas também os requisitos nos acordos já firmados com os clientes, desejos dos proprietários da empresa, etc. Deve-se listar todos esses requisitos e definir como se comunicar com cada uma das partes interessadas.
- 3) Política e objetivos de continuidade de negócios
Aqui é o ponto onde é necessário definir algumas das principais responsabilidades e regras para a continuidade de negócios. É para isso que existe uma política de continuidade de negócios, mas os diretores também precisam determinar exatamente o que se espera da continuidade de negócios – definindo metas claras. É algo fundamental para quem quiser averiguar se a continuidade dos negócios cumpriu seu propósito.
- 4) Documentos de apoio ao sistema de gestão
Seja focado em continuidade de negócios, segurança da informação, gestão da qualidade ou proteção ambiental, os sistemas de gestão têm em comum um conjunto de procedimentos sobre os quais se baseiam. Esses envolvem controle de documentos e registros, auditoria interna e ações corretivas. Em empresas que já possuem tais ativos, será muito mais fácil executar o sistema.
- 5) Avaliação e tratamento de risco
Para poder enfrentar eventuais incidentes disruptivos – ou até mesmo impedi-los – é preciso descobrir quais problemas podem acontecer com mais frequência. Em seguida, é hora de definir quais controles pode-se aplicar para mitigá-los, o que remonta à essência da avaliação e tratamento de riscos.
- 6) Análise de impacto nos negócios
A análise não termina com a avaliação de risco, pois é preciso fazer pelo menos dois questionamentos. O primeiro é quanto à rapidez necessária para se recuperar, e o segundo trata do que é preciso para ter sucesso com essa recuperação. Portanto, o objetivo da análise de impacto nos negócios é definir o objetivo de tempo de recuperação e os recursos necessários para isso.
- 7) Estratégia de continuidade de negócios
O sétimo passo é o momento de buscar meios para conseguir tudo o que foi listado nas etapas anteriores com um nível mínimo de investimento, evitando gastos desnecessários que podem fazer a diferença nos estágios seguintes. Talvez seja esse o ponto mais trabalhoso, mas é aqui que se diferencia um projeto sério de um plano sem o devido detalhamento.
- 8) Plano de continuidade de negócios
É preciso existir, no mínimo, planos de resposta inicial a incidentes e planos de recuperação que detalham o que precisa ser feito para iniciar as atividades. Tudo isso precisa ser baseado em estratégia, para que não exista o risco de faltar recursos na hora de agir – sejam eles de tecnologia ou humanos.
- 9) Treinamento e conscientização
Além de ter planejamento contra eventuais incidentes, os colaboradores precisam saber como implementá-los. Portanto, é preciso ensinar os funcionários (e também os fornecedores, em alguns casos) sobre como executar determinadas etapas do plano, enfatizando o porquê tudo isso é tão importante. Tal engajamento é essencial para o sucesso na implementação da ISO.
- 10) Manutenção da documentação
Vários documentos podem ter um prazo de validade, ou seja, possuem a possibilidade de ficarem desatualizados. Além disso, funcionários entram e saem, processos de trabalho são alterados, novas tecnologias surgem, produtos são lançados – e tudo isso precisa estar refletido nas documentações. Sem registrar essas mudanças, ninguém será capaz de implementar os planos quando eles são mais necessários.
- 11) Exercício e teste
Treinamento é muito importante, mas os testes também são. O ideal então é criar situações nas quais se possa testar os planos no modo mais real possível. Quem não pôr os planos à prova para descobrir como eles se comportam em situações reais nunca descobrirá os pontos nos quais precisam melhorar. Portanto, realizar exercícios e testes regulares é de suma importância, e esses testes não devem se limitar apenas à TI – todos, incluindo a alta administração e parceiros e fornecedores terceirizados, devem ser incluídos.
- 12) Revisões pós-incidentes
Acidentes podem acontecer mesmo que todo preparo do mundo seja feito. Quando acontecerem, o ideal é estar a postos e aprender com eles, tirando lições para evitar que problemas semelhantes aconteçam novamente. É possível analisar pontos sobre como as pessoas reagem, o quão prontas elas estão, quais evoluções são necessárias nos planos e se o tempo de recuperação estabelecido foi cumprido.
- 13) Comunicação com as partes interessadas
Este passo deve ser executado em paralelo com todos os outros estágios. O motivo é que a continuidade dos negócios pode depender também de órgãos reguladores, autoridades, proprietários, funcionários, fornecedores, etc. Portanto, eles devem estar a par de tudo, sendo devidamente informados sobre os detalhes que lhes dizem respeito.
- 14) Medição e avaliação
A ideia aqui é saber se as metas estão sendo atingidas. No caso da continuidade de negócios, os objetivos são definidos na etapa 3, e descobrir se esses objetivos estão sendo atingidos deve ser feito por meio de algum tipo de métrica. Pode ser algo sofisticado como Balanced Scorecard, mas também pode ser tão básico quanto medir a realização do RTO durante exercícios e testes.
- 15) Auditoria interna
Nem sempre é possível ser totalmente objetivo ao analisar o próprio trabalho. Portanto, outras pessoas da empresa devem revisar o projeto e sugerir melhorias – é essa a função de uma auditoria interna. Embora muitas vezes seja considerada uma sobrecarga, uma auditoria interna é realmente muito útil quando se trata de enfrentar a realidade e integrar equipes.
- 16) Ações corretivas
- 17) Revisão
A ISO 22301 leva a melhorias diárias que acabam sendo feitas sistematicamente. É o que conduz uma empresa a descobrir porque determinado problema aconteceu, garantindo que nunca aconteça novamente. O próprio texto da ISO fala sobre “garantir que as não conformidades não se repitam”. É algo que precisa ser feito de forma sistemática e transparente.
Assim que todas essas etapas forem executadas, a alta administração precisa avaliá-las e tomar algumas decisões cruciais – como atualizar os objetivos, liberar verbas, fazer melhorias adicionais, entre outros. Afinal, é deles a responsabilidade final sobre a capacidade que a empresa tem de sobreviver a incidentes maiores.
This post is also available in: Português