Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Continuidade De Negócios

407 views

Published on

Artigo publicado na 8ª Edição da Revista Segurança Digital sobre a norma ISO/IEC 22301, apresentando a importância de um Sistema de Gestão de Continuidade de Negócios e como essa norma pode contribuir para a sua implementação e o desenvolvimento de estratégias para garantir a uma organização que seus processos críticos de negócio estarão preservados em caso de incidentes disruptivos.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
407
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
12
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Continuidade De Negócios

  1. 1. ISO 22301: A Norma ISO Para Gestão De Continuidade De Negócios Numa pesquisa da CMI (Chartered Management Institute) junto a seus membros, realizada em janeiro de 2012 no Reino Unido, sobre continuidade de negócios, dos gestores cujas organizações não tinham um Sistema de Gestão de Continuidade de Negócios implementado, a grande maioria justificou a sua ausência porque sua organização raramente sofre de eventos perturbadores (54 por cento) e que eles lidam com o rompimento quando ele ocorre (46 por cento). Embora essa seja uma abordagem mais frequente em pequenas organizações, ela não se restringe as mesmas. No Brasil, se comparadas suas características frente a outros países, pode-se afirmar que certamente é um país privilegiado em relação a diversos tipos de catástrofes naturais: não existem terremotos, maremotos, tsunamis, furacões, dentre outros. Há sim ocorrências de inundações, seca, e outras, mas que poderiam ser bem menos trágicas caso fossem feitos os investimentos necessários pelo poder público, principalmente em projetos de prevenção. Mas quando se trata de continuidade de negócios, estes não são os únicos eventos que podem levar a interrupções dos negócios de uma organização. A esta lista, pode-se acrescentar: • Falha de equipamentos (como falha no disco); |29 • Interrupção do fornecimento de energia ou de telecomunicações; • Falha de aplicativos ou corrupção de banco de dados; • Erro humano, sabotagem ou ataque; • Ataques de software malicioso (vírus, worms, cavalos de Tróia); • Hacking ou outros ataques na Internet; • Agitação social ou ataques terroristas; • Fogo, dentre outros. Algumas das afirmações frequentes por parte de organizações ao justificar a sua falta de preparação, vão desde “Isso não vai acontecer com a gente”, “Nós somos grandes demais para falir”, “Nós não somos um alvo terrorista” até a crença de que a sua companhia de seguros vai pagar por tudo. A maioria acha que não tem o tempo para se preparar para algo que nunca irá acontecer. Mas a lista de empresas que faliram após um incidente sugere que estas afirmações são baseadas em falsas premissas. Assim, a implementação de um Sistema de Gestão de Continuidade de Negócios torna-se imprescindível a todas as organizações, a fim de antecipar incidentes que possam afetar suas funções de missão crítica e seus processos de negócios, garantindo que possam responder de forma planejada e ensaiada a esses incidentes. Setembro 2012 • segurancadigital.info
  2. 2. ARTIGO Segurança Digital Gestão de Continuidade de Negócios Segundo o Business Continuity Institute (BCI), Gestão de Continuidade de Negócios (GCN) é um processo holístico que identifica potenciais ameaças para uma organização e os impactos para as operações de negócios que essas ameaças, se concretizadas, podem causar. Ele fornece uma estrutura para a construção de resiliência organizacional com a capacidade para uma resposta eficaz que salvaguarde os interesses das principais partes interessadas, a reputação da marca, e atividades de criação de valor. De acordo com essa definição, uma organização deve examinar os riscos e ameaças a que está exposta e estudar a melhor forma de lidar com um incidente que venha a ocorrer. A escolha da palavra “incidente” em vez de “desastre” é importante, uma vez que o termo “desastre” imediatamente evoca imagens de uma explosão, incêndio ou graves inundações. “Incidente” inclui estas ocorrências, mas abrange também falta de energia, falha de telecomunicações, fraude, contaminação de produtos, e outros eventos que não se encaixam sob o significado geralmente aceito de desastre. O foco do GCN não é sobre planos e procedimentos para as coisas cotidianas que dão errado, mas sim com incidentes significativos que têm um impacto considerável sobre as atividades centrais da organização, assegurando a existência de planejamento, envolvimento significativo de pessoal adequado, aceitação e posse do plano, e testes completos garantindo uma resposta adequada. ISO 22301 Neste contexto, a ISO (International Organization for Standardization) lançou a norma ISO 22301 “Segurança Social – Sistemas de gestão de continuidade de negócios – Requisitos”, a nova norma internacional que vem substituir a norma Britânica BS25999. Como ocorre em outras normas ISO, a ISO 22301 especifica requisitos genéricos, que são aplicáveis a todos os tipos de organizações, tais como empresas públicas, privadas ou comunitárias, independente da sua dimensão e natureza. Os requisitos, que constituem o escopo da norma, são para planejar, estabelecer, implementar, operar, monitorar, rever, manter e melhorar continuamente um sistema de gestão documentado de modo a preparar uma organização para responder e recuperar-se de eventos que possam interromper seu |30 funcionamento normal, caso ocorram. Para alcançar os objetivos pretendidos pela norma, a ISO 22301 chama atenção para os seguintes pontos a serem observados pelas organizações na implementação de um SGCN: 1. Compreender as necessidades da organização e a necessidade de estabelecer objetivos para/e uma política de gestão de continuidade de negócios; 2. Implementação e operação de controles e de medidas para gerenciar a capacidade global de uma organização, no que respeita à gestão de incidentes que possam causar interrupções nas operações normais da mesma; 3. Monitoração e avaliação de desempenho e eficácia do SGCN; e 4. Melhoria contínua baseada em medição objetiva. A estrutura apresentada pela norma segue o padrão do ISO Guide 83, que é a nova estrutura de alto nível para normas de sistemas de gestão e termos e definições comuns fundamentais para estes sistemas. Apresenta-se assim, formada pelas seguintes cláusulas e atividades: Cláusula 4: Contexto da organização O objetivo dessa cláusula é buscar um alinhamento estratégico entre a Política da Organização (missão, valores, estratégias, objetivos) e sua Política de Continuidade de Negócios (objetivos de continuidade de negócios), através da compreensão das principais questões que surgem a partir da identificação dos objetivos estratégicos da organização, seus produtos e serviços essenciais, sua tolerância aos riscos e os requisitos legais, regulamentares, contratuais ou das partes interessadas aos quais a organização esteja submetida. Cláusula 5: Liderança Essa cláusula enfatiza a importância da alta gestão estar comprometida continuamente com o SGCN, uma vez que sua liderança permitirá a criação de um ambiente onde o sistema de gestão possa operar efetivamente. As responsabilidades designadas vão desde a integração dos requisitos do SGCN aos processos de negócio da organização, o fornecimento dos recursos necessários para o SGCN, até assegurar que os objetivos e planos são estabelecidos, dentre outras. Cláusula 6: Planejamento Setembro 2012 • segurancadigital.info
  3. 3. ARTIGO Segurança Digital O planejamento é a fase onde se estabelecem os objetivos estratégicos e os princípios que orientarão o SGCN, e devem ser coerentes com a política de continuidade de negócios, definirem o nível mínimo de produtos e serviços aceitável para a organização, ser mensuráveis, considerar os requisitos aplicáveis e monitorados e atualizados conforme as necessidades. Cláusula 7: Apoio/Suporte Essa cláusula trata da utilização dos recursos necessários para cada uma das tarefas que fazem parte da gestão do SGCN. Abrange pessoas, equipes e serviços de apoio, além das atividades de comunicação interna e externa. Define também as especificações para garantir que a informação documentada forneça o apoio necessário. Cláusula 8: Operação Nessa fase, são descritas as atividades a serem executadas para implementar o SGCN e colocá-lo em operação conforme o planejado: • Análise de Impacto de Negócios (AIN): Processo de identificação dos processos críticos, suas interdependências e do efeito que a interrupção dos negócios pode ter sobre eles. • Avaliação de Riscos: Processo global de identificação de riscos, análise de risco e avaliação do risco, sendo recomendado a utilização da ISO 31000 como referência para a sua implementação. • Estratégia de Continuidade de Negócios: Definição das estratégias necessárias para garantir que a organização possa recuperar suas atividades críticas tendo como base os requisitos estabelecidos na AIN e na avaliação de riscos, alinhadas com a estratégia global de negócios da organização. • Procedimentos de continuidade de negócios: Compreende a documentação dos procedimentos necessários para garantir a continuidade das atividades e gestão de um incidente disruptivo. Algumas características são esperadas nesses procedimentos, como serem específicos sobre as medidas a serem adotadas, flexíveis no modo de resposta, focados no impacto dos eventos e eficientes a ponto de minimizar as consequências dos incidentes. • Procedimentos de exercícios e testes: Processo de validação dos planos de continuidade de negócios e procedimentos definidos, a fim de garantir que as estratégias escolhidas serão capazes de atender os requisitos de recuperação esperados. Diferentes tipos de exercício podem ser utilizados, |31 e deve-se avaliar os benefícios e desvantagens de cada um, evitando ficar restrito a apenas um dos tipos possíveis. Cláusula 9: Avaliação de desempenho Essa cláusula define um processo de acompanhamento contínuo do SGCN, através de atividades que consistem em monitoramento do sistema em todas as suas fases, medição do desempenho dos processos, procedimentos e funções, monitoramento do cumprimento da norma e dos objetivos de continuidade de negócios e execução de auditorias internas. Cláusula 10: Melhoria/Aperfeiçoamento O processo de melhoria contínua é definido como o conjunto de ações que serão tomadas a fim de aumentar a eficácia e eficiência do Sistema de Gestão de Continuidade de Negócios, ampliando os benefícios esperados pela organização e demais partes interessadas. A implementação de um Sistema de Gestão de Continuidade de Negócios tendo a norma ISO 22301 como referência, certamente irá oferecer às organizações que a utilizem a expectativa de alcançarem êxito no desenvolvimento de suas estratégias para garantir que seus processos críticos de negócio estarão preservados em caso de incidentes disruptivos, permitindo a continuidade das operações até a restauração da normalidade. Além deste, que é o principal benefício a ser alcançado na adoção de um SGCN, outros que podem ser citados são: conformidade com normativos, redução de custos com seguros, evitar grandes perdas de receitas, clientes, mercado, e até mesmo evitar o encerramento da companhia. Marcelo Veloso MBA em Gestão de Segurança da Informação pela Universidade FUMEC, Bacharel em Sistemas de Informação pela Universidade PUC-Minas, com 18 anos de experiência em TIC, atuando na área de infraestrutura e ocupando cargos de coordenação e gestão. Certificações: MCSA, MCITP, MCTS, MCDST, MCP, ITIL Foundation e ISO/IEC 27002. Atualmente é Assessor na SEPLAG/MG, coordenando projetos de Segurança da Informação no âmbito da Cidade Administrativa de Minas Gerais. Twitter: @MVSecurityBR E-mail: marcelo.veloso@outlook.com Site: www.arya.com.br Setembro 2012 • segurancadigital.info

×