Home / Gestão de Processos de Negócios / Plano de continuidade de negócios: Como estruturá-lo de acordo com a ISO 22301
Chain Reaction In Business Concept Businessman Letting Or Preventing Dominoes Continuous Toppling On Rustic Wooden Desk

Plano de continuidade de negócios: Como estruturá-lo de acordo com a ISO 22301

Lendo um artigo no blog do especialista em SI e GCN Sr. Dejan Kosutic, identifiquei algumas recomendações que são interessantes e importantes para empresas que pretendem adotar em seus planos de continuidade de negócios nas referências da ISO 22301 (ISO atual que orienta a implementação da Gestão de Continuidade de Negócios nas empresas). Lembre-se toda norma ISO é trilha e não trilho, portanto algumas variações e ajustes serão necessários de acordo com o tipo de negócio, segmento e cultura organizacional.
Segundo o Sr. Dejan, na sua experiência, as empresas costumam encontrar duas coisas que geralmente dificultam os processos de implementação: 1) A avaliação de riscos; 2) O planejamento de continuidade de negócios.
Então ele dá algumas recomendações interessantes:
O que é um Plano de Continuidade de Negócio?
“De acordo com a ISO 22301, Plano de Continuidade de Negócios é definida como “procedimentos documentados que as organizações precisam como um guia” para responder, recuperar, retomar e restaurar a um nível pré-definido de operação após a interrupção”. (Cláusula 3.5)
Isto significa basicamente que o BCP se concentra no desenvolvimento de planos/procedimentos, mas não inclui a análise de que forma a base desse planejamento, nem o meio de manter tais planos – todos estes são elementos necessários de gestão de continuidade de negócios, que são necessárias para permitir o planejamento da contingência com sucesso”.
“Exemplo, plano de continuidade de negócios, para ser a estrutura ideal para o plano de continuidade de negócios para empresas de menor porte ou de médio porte, e que cada seção deve incluir:
Finalidade, o escopo e os usuários – por que este plano é desenvolvido, seus objetivos, quais as partes da organização que abrange e quem deveria lê-lo.

Documentos de referência – Todos os documentos que este plano se relaciona? Normalmente, estes são a Política de Continuidade de Negócios, Análise de Impactos no Negócio, Estratégia de Continuidade de Negócios, etc.
Pressupostos – os pré-requisitos que devem existir para que este plano seja eficaz.

Papéis e responsabilidades – que será responsável pela gestão do incidente perturbador, e que está autorizado a realizar determinadas atividades, no caso de um incidente perturbador – por exemplo, ativação dos planos, compras urgentes, a comunicação com a mídia, etc
Contatos importantes – detalhes de contato para pessoas que irão participar na execução do plano de continuidade de negócio – este é geralmente um dos anexos do plano.

Ativação e desativação plano – em que casos pode o plano ser ativado, e o método de ativação, que condições devem existir para desativar o plano.

Comunicação – que meios de comunicação será utilizado entre equipes diferentes e com outras partes interessadas durante o incidente perturbador. Quem está encarregado de se comunicar com cada interessado, e as regras especiais de comunicação com a mídia e agências governamentais.

Resposta a incidentes – como reagir inicialmente a um incidente, a fim de reduzir os danos – esta é muitas vezes um anexo ao plano principal.

Locais físicos e transporte – que são os sítios primários e alternativos, onde os pontos de montagem, e como ir de primário para locais alternativos.

Ordem de recuperação para atividades – lista de todas as atividades, com precisos Recovery Time Objective (RTO) para cada um.

Os planos de recuperação para as atividades – descrição das ações passo-a-passo e as responsabilidades para a recuperação de recursos humanos, instalações, infraestrutura, software, informações e processos, incluindo interdependências e interações com outras atividades e partes interessadas externas – estas são muito frequentemente anexos ao principal plano.

Plano de recuperação de desastres – isto é, normalmente, um tipo de plano de recuperação que se concentra na recuperação da informação e infraestrutura de tecnologia de comunicação.
Recursos necessários – uma lista de todos os funcionários, serviços de terceiros, instalações, infraestrutura, informações, equipamentos, etc., que são necessárias para executar a recuperação, e que é responsável por fornecer a cada um deles.

Restaurar e retomar as atividades a partir de medidas temporárias – como restaurar atividades empresariais de volta ao business-as-usual, uma vez que o incidente perturbador foi resolvido.
O que eu gosto sobre a ISO 22301 é que ela exige que todos os elementos que são necessários para este plano para ser útil no caso de um desastre (ou qualquer outra interrupção das atividades de uma empresa). No entanto, nenhuma norma pode ajudá-lo a menos que você entenda essa tarefa a sério – um plano escrito corretamente e abrangente pode salvar a sua empresa em tempos difíceis, enquanto que um plano superficialmente escrito só vai piorar as coisas.
Bom, gosto da abordagem do Dejan e o considero um dos mais claros no entendimento. O que recomendo as empresas de pequeno e médio porte é que procurem consultores, de preferência certificados pelo DRII (www.drii.org) para auxiliá-los na confecção do seu Plano de Continuidade de Negócios.
Entenda que um Plano de Continuidade de Negócios é muito mais do que UM MONTE DE PAPEL BEM IMPRESSO EM UMA PASTA BONITA COM O NOME PCN NA CAPA.
A Continuidade de Negócios começa com o entendimento e comprometimento dos executivos sobre sua importância e abrangência. É uma DECISÃO DE NEGÓCIOS e um diferencial competitivo para as empresas. Esta decisão visa PROTEGER O NEGÓCIO e apoiar sua sobrevivência.
Em um dia comum, recebi uma ligação ás 6:00 (manhã) informando que um cano havia rompido no prédio onde está meu escritório na Av. Paulista em São Paulo e que um grande vazamento havia ocorrido afetado várias áreas comuns, elevadores desativados e não sabiam se haveria eletricidade para que usássemos o escritório naquele dia.
Bom, situações como estas são comuns e fáceis de acontecer, e felizmente conseguimos por volta das 8:00 ter acesso e nada foi atingido impedindo a realização de aulas da parte educacional ou de atividades normais de escritório pelos demais. Por algumas horas corremos o risco de declaram ativação do PCN e lidar com o cenário de INDISPONIBILIDADE DE LOCAL DE TRABALHO. O incidente foi gerenciado e não se tornou uma CRISE a ponto de ativação do PCN, porém poderia ter ocorrido.
E se a água tivesse afetado infraestrutura críticas de elétrica impedindo ou até mesmo danificando equipamentos principais. Provavelmente teríamos o cenário 1 de INDISPONIBILIDADE DE LOCAL e o cenário 2 INDISPONIBILIDADE DE INFRAESTRUTURA DE TIC, o que seria muito mais SEVERO.
Um Plano de continuidade de negócios faz com que os empresários pensem e repensem o que poderia ser feito em situações extremas que afetem suas operações. E como sair delas com o MENOR IMPACTO POSSÍVEL. ACIONISTAS, CLIENTES e INVESTIDORES agradecem!

Plano de Continuidades de Negócios é um tema discutido mundialmente. No Brasil, os eventos GRC+DRIDAY e GRM proporcionam aos participantes debates e painéis exclusivos que agregam sobre Gestão de Riscos, Continuidade e Cyber Security.

Saiba mais sobre o evento GRC+DRIDAY 2017

Sobre Jeferson D'Addario - CBCP, MBCI, CRISC

mm
Consultor sênior há mais de vinte anos em TI, gestão de riscos e continuidade de negócios, ganhador do prêmio SECMASTER 2006 na categoria “Melhor Contribuição para o Desenvolvimento de Mercado”. Possui mais de 35 projetos de Continuidade de Negócios para empresas líderes no Brasil e Exterior nos últimos dez anos. Certificado como CBCP pelo DRII-USA, MBCI pelo BCI-UK, CRISC pela ISACA, ISO 27001 lead auditor (BSI). Formação em Economia e TI. Foi o responsável por trazer e desenvolver os primeiros cursos de continuidade de negócios oficiais do DRII – Disaster Recovery Institute International para o Brasil em 2005. Desde 2010 é instrutor oficial do DRII e representante executivo para o Brasil. É Membro da ISACA-SP, sendo colaborador na tradução do COBIT 4.1. Possui ampla experiência em Gestão de TIC (ITIL e ISO 20.000) e Govenança de TIC (COBIT, ISO 38500), tendo sido gerente e diretor de TI em empresas nacionais, e participado de projetos de implementação e certificação. Criador, coordenador e professor da Pós-graduação em GTSI - Gestão e Tecnologia em Segurança da Informação, curso DARYUS aplicado na Faculdade Impacta Tecnologia (FIT) – SP/SP, desde 2003, atualmente na turma 15. É sócio-diretor e fundador da DARYUS Consultoria e Treinamento, e atualmente CEO do Grupo DARYUS. Possui ampla experiência em gestão empresarial de negócios, pessoas, educação, gestão de crises, comunicação empresarial, relacionamento executivo e gestão financeira, apoiando executivos de grandes empresas no Brasil em projetos de consultoria. Palestrante, articulista e colaborador em eventos nacionais e internacionais relacionados a GRC, TI, Continuidade e Gestão Empresarial. Foi reconhecido pela Infragard – Califórnia em 2010 pela contribuição na área de segurança da informação para o Brasil. Já lecionou anteriormente para IPEN – Instituto de Pesquisas Nucleares – USP – SP e Instituto Trevisan – SP.

Confira tambem

Palestra: Atitudes para o sucesso na carreira no mundo Ágil.

Palestra realizada 26/10/2017, pela professora Renata Wada e convidados (Susanne Andrade e Carlos Baptista) Renata Wada (Cordenadora da Pós-Graduação …

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *