Home / Artigo / Práticas Profissionais para a Gestão de Continuidade de Negócios
entenda as práticas de um bom profissional de continuidade de negócios

Práticas Profissionais para a Gestão de Continuidade de Negócios

Conheça as práticas fundamentais para implementar e administrar o plano de Gestão de Continuidade de Negócios 
Criadas e mantidas pelo Disaster Recovery Institute International, as Práticas Profissionais para a Gestão de Continuidade dos Negócios são um conjunto de conhecimentos que visam auxiliar no desenvolvimento, implementação e manutenção de programas de continuidade dos negócios. Elas também podem ser utilizadas como uma ferramenta para a realização de avaliações de programas existentes.

A utilização das Práticas Profissionais no desenvolvimento, implementação e manutenção de um programa de continuidade dos negócios pode reduzir a probabilidade de lacunas significativas e aumentar sua coesão (o Jefferson D’Addario fez até um webinário sobre isso). As Práticas Profissionais podem ser utilizadas para avaliar um programa, identificando lacunas ou deficiências para que possam ser corrigidas.

Gestão de Continuidade dos Negócios (GCN), tal como definido neste documento, é um processo de gestão que identifica riscos, ameaças e vulnerabilidades que poderiam afetar a continuidade das operações. A continuidade dos negócios proporciona um framework para a construção da resiliência organizacional e da capacidade para uma resposta eficaz.

Todos os outros termos estão definidos no Glossário Internacional de Resiliência publicado e mantido pelo DRI International.

As Práticas Profissionais para a Gestão de Continuidade dos Negócios e o Glossário Internacional de Resiliência estão disponíveis para download gratuito no site do DRII – drii.org. As Práticas Profissionais para a Gestão de Continuidade dos Negócios estão disponíveis em vários idiomas.

Práticas Profissionais 2017

Como parte dos esforços contínuos do DRI International para manter a relevância e a utilidade das Práticas Profissionais, uma extensa revisão do conteúdo, forma e função foi realizada a partir de 2015 e finalizada no início de 2017. O objetivo foi fornecer informações que incluíssem:

  • Avanços tecnológicos
  • Considerações sobre ameaças cibernéticas
  • Utilização de seguros como ferramenta de transferência de risco
  • Estratégias para a indústria
  • Processos da cadeia de suprimentos
  • Conceitos de gestão de riscos
  • Preocupações de carácter jurídico e regulamentar

Além disso, os títulos de quatro Práticas Profissionais foram modificados para serem coerentes com a indústria e as normas profissionais, especificamente:

  • Prática Profissional Dois foi alterada de “Avaliação de Risco e Controle” para “Avaliação de Risco”.
  • Prática Profissional Cinco foi alterada de “Preparação e Resposta a Emergências” para “Resposta a Incidentes”.
  • Prática Profissional Seis foi alterada de “Documentação e Implementação do Plano” para “Desenvolvimento e Implementação do Plano”.
  • Prática Profissional Oito foi alterada de “Exercício, Auditoria e Manutenção do Plano de Continuidade dos Negócios” para “Exercício, Avaliação e Manutenção do Plano de Continuidade dos Negócios”.

Estes novos títulos deixam as Práticas Profissionais em conformidade com a terminologia utilizada pela maioria dos profissionais e organizações reguladoras.

Como complemento para a criação de uma terminologia facilmente aceita, revisões nos resumos e detalhes das Práticas Profissionais foram feitas para garantir o alinhamento com o Glossário Internacional de Resiliência, publicado e mantido pelo DRI International.

A análise linguística foi utilizada para reduzir o número de coloquialismos e idiossincrásias do idioma inglês. Isso facilitou a tradução das Práticas Profissionais para um maior número de idiomas.

Por último, a numeração e a paginação foram alteradas para permitir o referenciamento mais simples e facilidade no uso.

Resumo Executivo

As Práticas Profissionais para os Objetivos de Gestão da Continuidade dos Negócios

1. Iniciação e Gestão do Programa

  • Estabelecer a necessidade de um programa de continuidade dos negócios.
  • Obter suporte e financiamento para o programa de continuidade dos negócios.
  • Criar uma estrutura organizacional para apoiar o programa de continuidade dos negócios.
  • Introduzir conceitos-chave, tais como a gestão do programa, conscientização sobre riscos, identificação de funções/processos críticos, estratégias de recuperação, treinamento e conscientização e exercícios/testes.

2. Avaliação de Risco

  • Identificar os riscos que podem afetar negativamente os recursos da organização ou sua imagem.
  • Avaliar os riscos para determinar os potenciais impactos para a organização, possibilitando definir a forma mais efetiva de utilização dos recursos para reduzir esses impactos potenciais.

3. Análise de Impacto nos Negócios

  • Identificar e priorizar as funções e os processos da organização, visando determinar quais terão o maior impacto no caso de indisponibilidade.
  • Avaliar os recursos necessários para apoiar o processo de análise de impacto nos negócios.
  • Analisar as informações obtidas para identificar eventuais lacunas entre os requisitos definidos e a capacidade da organização para atender a tais requisitos.

4. Estratégias de Continuidade dos Negócios

  • Selecionar as estratégias com melhor custo-benefício para reduzir as deficiências identificadas durante a avaliação de risco e o processo de análise de impacto nos negócios.

5. Resposta a Incidentes

  • Desenvolver e auxiliar a implantação de um sistema de gestão de incidentes que defina os papéis, linhas de autoridade e sucessão de autoridade na organização.
  • Definir os requisitos para desenvolver e implementar o plano de resposta a incidentes da organização.
  • Garantir que a resposta a incidentes ocorra de maneira rápida e efetiva e coordenada com agências externas, quando necessário.

6. Desenvolvimento e Implementação do Plano

  • Documentar planos para utilização durante um incidente, permitindo que a organização se mantenha em funcionamento.

7. Programa de Conscientização e Treinamento

  • Estabelecer e manter programas de treinamento e conscientização que capacitem o pessoal a responder a incidentes de maneira calma e eficiente.

8. Exercício, Avaliação e Manutenção do Plano de Continuidade dos Negócios

  • Estabelecer um programa de exercícios, avaliação e manutenção para manter o estado de prontidão.

9. Comunicação em Crise

  • Fornecer um modelo para o desenvolvimento de um plano de comunicação em crise.
  • Garantir que o plano de comunicação em crise irá fornecer comunicação efetiva com as partes internas e externas.

10. Coordenação com Agências Externas

  • Estabelecer políticas e procedimentos para coordenar as atividades de resposta a incidentes com entidades públicas.

FONTE DO CONTEÚDO: Disaster Recovery Institute International

Sobre Jeferson D'Addario - CBCP, MBCI, CRISC

mm
Consultor sênior há mais de vinte anos em TI, gestão de riscos e continuidade de negócios, ganhador do prêmio SECMASTER 2006 na categoria “Melhor Contribuição para o Desenvolvimento de Mercado”. Possui mais de 35 projetos de Continuidade de Negócios para empresas líderes no Brasil e Exterior nos últimos dez anos. Certificado como CBCP pelo DRII-USA, MBCI pelo BCI-UK, CRISC pela ISACA, ISO 27001 lead auditor (BSI). Formação em Economia e TI. Foi o responsável por trazer e desenvolver os primeiros cursos de continuidade de negócios oficiais do DRII – Disaster Recovery Institute International para o Brasil em 2005. Desde 2010 é instrutor oficial do DRII e representante executivo para o Brasil. É Membro da ISACA-SP, sendo colaborador na tradução do COBIT 4.1. Possui ampla experiência em Gestão de TIC (ITIL e ISO 20.000) e Govenança de TIC (COBIT, ISO 38500), tendo sido gerente e diretor de TI em empresas nacionais, e participado de projetos de implementação e certificação. Criador, coordenador e professor da Pós-graduação em GTSI - Gestão e Tecnologia em Segurança da Informação, curso DARYUS aplicado na Faculdade Impacta Tecnologia (FIT) – SP/SP, desde 2003, atualmente na turma 15. É sócio-diretor e fundador da DARYUS Consultoria e Treinamento, e atualmente CEO do Grupo DARYUS. Possui ampla experiência em gestão empresarial de negócios, pessoas, educação, gestão de crises, comunicação empresarial, relacionamento executivo e gestão financeira, apoiando executivos de grandes empresas no Brasil em projetos de consultoria. Palestrante, articulista e colaborador em eventos nacionais e internacionais relacionados a GRC, TI, Continuidade e Gestão Empresarial. Foi reconhecido pela Infragard – Califórnia em 2010 pela contribuição na área de segurança da informação para o Brasil. Já lecionou anteriormente para IPEN – Instituto de Pesquisas Nucleares – USP – SP e Instituto Trevisan – SP.

Confira tambem

8 conteúdos gratuitos para te ajudar a se adequar a LGPD

08 conteúdos gratuitos para te ajudar a se adequar à LGPD

A Lei Geral de Proteção de Dados (LGPD) que entrou em vigor em setembro de …

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *