This post is also available in: Português Español
De tão avançado e abrangente que é, o padrão ISO 22301 pode trazer benefícios para o planejamento da continuidade de negócios mesmo que a empresa opte por não buscar a certificação formal. Ao invés disso, pode-se buscar primeiro a conformidade. Dessa forma, as práticas a respeito dessa metodologia podem ser incorporadas de maneira mais enraizada – e com antecedência – na empresa, dando início a evoluções na cultura organizacional que beneficiarão a segurança digital do negócio como um todo. Dessa maneira, quando chegar a hora de buscar a certificação, boa parte das adequações necessárias já serão realidade.
Assim, o primeiro passo é verificar se já existe algum tipo de plano de continuidade de negócios iniciado pela empresa. Também é importante avaliar se a empresa já implementa outros padrões ISO, como ISO 9001 ou ISO 27000, pois é possível aproveitar alguns dos elementos de requisitos comuns para chegar ao padrão da ISO 22301.
Em seguida, o ideal é fazer uma análise das políticas e processos existentes para verificar quais recursos de continuidade de negócios são necessários. Nesta etapa pode-se organizar um documento com os itens do padrão ISO 22301 que contém a palavra “deve”. Depois, é hora de comparar itens existentes e necessidades da empresa com o padrão proposto pela norma. Pode-se usar então o padrão como guia para estabelecer um conjunto coerente de práticas para abordar o gerenciamento de continuidade de negócios.
Mas atenção: ter procedimentos perfeitamente documentados pode não ser o suficiente em caso de emergência. A saída é criar diretrizes e listas de verificação fáceis de seguir, instruindo os funcionários por meio de treinamentos e exercícios. Dessa forma, em eventuais incidentes de segurança digital, os colaboradores já estarão cientes sobre o que fazer – sem que precisem ser informados sobre cada passo.
Por isso, é importante tornar o plano um documento vivo, de fácil acesso e que permita atualizações constantes. Afinal, marcar itens em uma lista de verificação não significa que a empresa está preparada. Leia, revise e pratique seu plano com frequência para mantê-lo relevante, servindo de guia para novos funcionários.
Tão importante quanto esse dinamismo na adoção é manter o foco em ações de recuperação. Muitas vezes, os planos de continuidade são construídos em torno de um cenário específico. Em vez disso, deve-se concentrar em quais ações podem prevenir ou mitigar danos, e quais processos e infraestrutura são necessários para continuar os negócios normalmente – independente de qual for a crise que surgir na empresa.
Outro ponto importante é comunicar o plano à equipe e outras partes interessadas. Mesmo o plano mais bem escrito é inútil se as pessoas que podem se beneficiar dele não o conhecerem por completo. É preciso informar a todos que o plano existe, incluindo a cadeia de suprimentos e outras partes interessadas externas, como fornecedores e parceiros externos.
Requisitos
O padrão ISO 22301 oferece uma estrutura para planejamento, teste e monitoramento de um sistema de gerenciamento de continuidade de negócios (BCMS). O documento contém 10 seções, que apresentam o padrão e as definições, bem como os requisitos acionáveis do padrão.
Assim como outros documentos de requisitos de uma ISO, a 22301 descreve apenas o que as organizações devem fazer para atingir a proficiência mínima, sem determinar como atingir esses padrões. Cada empresa então deve considerar suas condições e obrigações para encontrar a melhor maneira de seguir os requisitos.
Selecionamos então uma visão geral dos tópicos da ISO 22301 que mais impactam uma empresa:
- Contexto:
- Liderança:
- Planejamento:
- Suporte:
- Operação:
- Avaliação:
- Melhoria contínua:
a gerência deve entender o que é, o que faz e quais resultados e processos deve sustentar. É preciso também determinar quem tem interesse na continuidade das operações – em outras palavras, as partes interessadas. Por exemplo, os clientes têm interesse que a organização continue funcionando, e provavelmente a maioria dos fornecedores também.
Poucas iniciativas organizacionais prosperam sem o apoio da alta administração. Os gestores devem se comprometer com um plano de continuidade de negócios e disponibilizar todos os recursos — humanos, financeiros ou outros — para garantir seu sucesso.
Para planejar a sustentabilidade, deve-se entender quais interrupções podem ocorrer e como esses incidentes afetam os negócios — em outras palavras, os riscos potenciais e seu impacto. É hora de definir objetivos mensuráveis de continuidade de negócios para garantir o mínimo de produtos ou serviços viáveis, bem como a conformidade com quaisquer requisitos legais ou regulamentares.
Nenhum programa pode avançar sem recursos e suporte. É essencial determinar quais colaboradores, funções e equipes são necessários para responder a ameaças – e como melhorar sua eficácia. Deve-se criar procedimentos de comunicação interna e externa para referência, divulgando o plano de continuidade a todas as partes necessárias antes e durante uma crise. O ideal é criar um sistema de gerenciamento de documentos para os principais arquivos de continuidade, como procedimentos e demais listas.
aqui, o objetivo é conduzir uma avaliação de risco e análise de impacto nos negócios, planejando sua abordagem de recuperação de interrupção. Implementa-se então o plano de recuperação com procedimentos detalhados, aplicando testes regularmente para verificar se funciona conforme o esperado. A dica é certificar-se que as pessoas possam encontrar os procedimentos de que precisam, revisando seu plano caso necessário.
Estabeleça um processo para medir e avaliar regularmente suas políticas e procedimentos de continuidade e sua execução. Revise seu plano e documentos para garantir que sejam eficazes e relevantes.
a meta é sempre buscar a evolução em todas as áreas funcionais e operacionais, inclusive por meio de revisões periódicas da gestão. Melhorias nas atividades do dia a dia ajudam a fortalecer a organização em tempos de disrupção. Quando os processos se desviam do padrão ou não estão em conformidade com os padrões ISO e de gerenciamento de qualidade, é o momento de implementar ações corretivas.
ISO 22301 versus ISO 27301
A ISO 27301, que também lida com continuidade de negócios, fornece requisitos que as organizações usam para garantir a continuidade, segurança e prontidão da tecnologia da informação e comunicação (TIC) para sobreviver a uma interrupção. A norma é frequentemente comparada com a ISO 22301 porque ambas são baseadas em abordagens de sistema de gestão semelhantes.
Ambas pedem o envolvimento e o comprometimento da alta administração, exigindo que se tenha os recursos certos, com gerenciamento de documentação, avaliações de desempenho e melhorias. Contudo, diferem no foco da avaliação de risco: a ISO 27001 aborda a segurança, enquanto a ISO 22301 trata da continuidade dos negócios. Cada área tem riscos diferentes, mas a abordagem de avaliação e mitigação da gestão de riscos segue os mesmos passos. Ou seja, existe muito em comum.
A continuidade da segurança digital tem relevância significativa no ambiente de trabalho, principalmente em sistemas híbridos ou de home office. Por exemplo, ao usar seu laptop de trabalho em casa ou conectado à rede de trabalho, o que acontece quando alguém insere um pen drive que infecta o equipamento e corrompe a rede? Tanto a ISO 22301 quanto a ISO 27001 trabalham juntas para prevenir tais incidentes e mitigar os problemas que ocorrem – mostrando sua importância em ações rotineiras no dia a dia de praticamente todo tipo de empresa.
This post is also available in: Português Español