Numa pesquisa da CMI (Chartered Management

Institute) junto a seus membros, realizada em janei-

ro de 2012 no Reino Unido, sobre continuidade de

negócios, dos gestores cujas organizações não ti-

nham um Sistema de Gestão de Continuidade de

Negócios implementado, a grande maioria justificou

a sua ausência porque sua organização raramente

sofre de eventos perturbadores (54 por cento) e que

eles lidam com o rompimento quando ele ocorre (46

por cento). Embora essa seja uma abordagem mais

frequente em pequenas organizações, ela não se res-

tringe as mesmas.

No Brasil, se comparadas suas características

frente a outros países, pode-se afirmar que certa-

mente é um país privilegiado em relação a diversos

tipos de catástrofes naturais: não existem terremo-

tos, maremotos, tsunamis, furacões, dentre outros.

Há sim ocorrências de inundações, seca, e outras,

mas que poderiam ser bem menos trágicas caso fos-

sem feitos os investimentos necessários pelo poder

público, principalmente em projetos de prevenção.

Mas quando se trata de continuidade de negóci-

os, estes não são os únicos eventos que podem levar

a interrupções dos negócios de uma organização. A

esta lista, pode-se acrescentar:

Algumas das afirmações frequentes por parte de

organizações ao justificar a sua falta de preparação,

vão desde “Isso não vai acontecer com a gente”,

“Nós somos grandes demais para falir”, “Nós não

somos um alvo terrorista” até a crença de que a sua

companhia de seguros vai pagar por tudo. A maioria

acha que não tem o tempo para se preparar para al-

go que nunca irá acontecer. Mas a lista de empresas

que faliram após um incidente sugere que estas

afirmações são baseadas em falsas premissas.

Assim, a implementação de um Sistema de Ges-

tão de Continuidade de Negócios torna-se impres-

cindível a todas as organizações, a fim de antecipar

incidentes que possam afetar suas funções de mis-

são crítica e seus processos de negócios, garantindo

que possam responder de forma planejada e ensaia-

da a esses incidentes.

|29

Interrupção do fornecimento de energia ou de

telecomunicações;

Falha de aplicativos ou corrupção de banco de

dados;

Erro humano, sabotagem ou ataque;

Ataques de software malicioso (vírus, worms,

cavalos de Tróia);

Hacking ou outros ataques na Internet;

Agitação social ou ataques terroristas;

Fogo, dentre outros.

Setembro 2012 • segurancadigital.info

ISO22301:ANorm

aISOPara

GestãoDe

ContinuidadeDeNeg

ócios

•

•

•

•

••

•

Falha de equipamentos (como falha no disco);•

GGeessttããoo ddee CCoonnttiinnuuiiddaaddee ddee NNeeggóócciioossSegundo o Business Continuity Institute (BCI),

Gestão de Continuidade de Negócios (GCN) é um

processo holístico que identifica potenciais ameaças

para uma organização e os impactos para as opera-

ções de negócios que essas ameaças, se concretiza-

das, podem causar. Ele fornece uma estrutura para a

construção de resiliência organizacional com a ca-

pacidade para uma resposta eficaz que salvaguarde

os interesses das principais partes interessadas, a re-

putação da marca, e atividades de criação de valor.

De acordo com essa definição, uma organização

deve examinar os riscos e ameaças a que está expos-

ta e estudar a melhor forma de lidar com um inci-

dente que venha a ocorrer. A escolha da palavra

“incidente” em vez de “desastre” é importante, uma

vez que o termo “desastre” imediatamente evoca

imagens de uma explosão, incêndio ou graves inun-

dações. “Incidente” inclui estas ocorrências, mas

abrange também falta de energia, falha de telecomu-

nicações, fraude, contaminação de produtos, e ou-

tros eventos que não se encaixam sob o significado

geralmente aceito de desastre. O foco do GCN não é

sobre planos e procedimentos para as coisas cotidia-

nas que dão errado, mas sim com incidentes signifi-

cativos que têm um impacto considerável sobre as

atividades centrais da organização, assegurando a

existência de planejamento, envolvimento significa-

tivo de pessoal adequado, aceitação e posse do pla-

no, e testes completos garantindo uma resposta

adequada.

IISSOO 2222330011Neste contexto, a ISO (International Organizati-

on for Standardization) lançou a norma ISO 22301

“Segurança Social – Sistemas de gestão de continui-

dade de negócios – Requisitos”, a nova norma inter-

nacional que vem substituir a norma Britânica

BS25999.

Como ocorre em outras normas ISO, a ISO

22301 especifica requisitos genéricos, que são apli-

cáveis a todos os tipos de organizações, tais como

empresas públicas, privadas ou comunitárias, inde-

pendente da sua dimensão e natureza.

Os requisitos, que constituem o escopo da nor-

ma, são para planejar, estabelecer, implementar,

operar, monitorar, rever, manter e melhorar continu-

amente um sistema de gestão documentado de modo

a preparar uma organização para responder e recu-

perar-se de eventos que possam interromper seu

funcionamento normal, caso ocorram.

Para alcançar os objetivos pretendidos pela nor-

ma, a ISO 22301 chama atenção para os seguintes

pontos a serem observados pelas organizações na

implementação de um SGCN:

A estrutura apresentada pela norma segue o pa-

drão do ISO Guide 83, que é a nova estrutura de al-

to nível para normas de sistemas de gestão e termos

e definições comuns fundamentais para estes siste-

mas. Apresenta-se assim, formada pelas seguintes

cláusulas e atividades:

CCllááuussuullaa 44:: CCoonntteexxttoo ddaa oorrggaanniizzaaççããooO objetivo dessa cláusula é buscar um alinha-

mento estratégico entre a Política da Organização

(missão, valores, estratégias, objetivos) e sua Políti-

ca de Continuidade de Negócios (objetivos de con-

tinuidade de negócios), através da compreensão das

principais questões que surgem a partir da identifi-

cação dos objetivos estratégicos da organização,

seus produtos e serviços essenciais, sua tolerância

aos riscos e os requisitos legais, regulamentares,

contratuais ou das partes interessadas aos quais a

organização esteja submetida.

CCllááuussuullaa 55:: LLiiddeerraannççaaEssa cláusula enfatiza a importância da alta ges-

tão estar comprometida continuamente com o

SGCN, uma vez que sua liderança permitirá a cria-

ção de um ambiente onde o sistema de gestão possa

operar efetivamente. As responsabilidades designa-

das vão desde a integração dos requisitos do SGCN

aos processos de negócio da organização, o forneci-

mento dos recursos necessários para o SGCN, até

assegurar que os objetivos e planos são estabeleci-

dos, dentre outras.

CCllááuussuullaa 66:: PPllaanneejjaammeennttoo

ARTIGO Segurança Digital

|30 Setembro 2012 • segurancadigital.info

1. Compreender as necessidades da organiza-

ção e a necessidade de estabelecer objetivos para/e

uma política de gestão de continuidade de negóci-

os;

2. Implementação e operação de controles e de

medidas para gerenciar a capacidade global de

uma organização, no que respeita à gestão de inci-

dentes que possam causar interrupções nas opera-

ções normais da mesma;

3. Monitoração e avaliação de desempenho e

eficácia do SGCN; e

4. Melhoria contínua baseada em medição ob-

jetiva.

O planejamento é a fase onde se estabelecem os

objetivos estratégicos e os princípios que orientarão

o SGCN, e devem ser coerentes com a política de

continuidade de negócios, definirem o nível mínimo

de produtos e serviços aceitável para a organização,

ser mensuráveis, considerar os requisitos aplicáveis

e monitorados e atualizados conforme as necessida-

des.

CCllááuussuullaa 77:: AAppooiioo//SSuuppoorrtteeEssa cláusula trata da utilização dos recursos ne-

cessários para cada uma das tarefas que fazem parte

da gestão do SGCN. Abrange pessoas, equipes e

serviços de apoio, além das atividades de comunica-

ção interna e externa. Define também as especifica-

ções para garantir que a informação documentada

forneça o apoio necessário.

CCllááuussuullaa 88:: OOppeerraaççããooNessa fase, são descritas as atividades a serem

executadas para implementar o SGCN e colocá-lo

em operação conforme o planejado:

CCllááuussuullaa 99:: AAvvaalliiaaççããoo ddee ddeesseemmppeennhhooEssa cláusula define um processo de

acompanhamento contínuo do SGCN, através de

atividades que consistem em monitoramento do

sistema em todas as suas fases, medição do

desempenho dos processos, procedimentos e

funções, monitoramento do cumprimento da norma

e dos objetivos de continuidade de negócios e

execução de auditorias internas.

CCllááuussuullaa 1100:: MMeellhhoorriiaa//AAppeerrffeeiiççooaammeennttooO processo de melhoria contínua é definido

como o conjunto de ações que serão tomadas a fim

de aumentar a eficácia e eficiência do Sistema de

Gestão de Continuidade de Negócios, ampliando os

benefícios esperados pela organização e demais

partes interessadas.

A implementação de um Sistema de Gestão de

Continuidade de Negócios tendo a norma ISO

22301 como referência, certamente irá oferecer às

organizações que a utilizem a expectativa de

alcançarem êxito no desenvolvimento de suas

estratégias para garantir que seus processos críticos

de negócio estarão preservados em caso de

incidentes disruptivos, permitindo a continuidade

das operações até a restauração da normalidade.

Além deste, que é o principal benefício a ser

alcançado na adoção de um SGCN, outros que

podem ser citados são: conformidade com

normativos, redução de custos com seguros, evitar

grandes perdas de receitas, clientes, mercado, e até

mesmo evitar o encerramento da companhia.

ARTIGO Segurança Digital

|31 Setembro 2012 • segurancadigital.info

Análise de Impacto de Negócios (AIN): Pro-

cesso de identificação dos processos críticos, suas

interdependências e do efeito que a interrupção

dos negócios pode ter sobre eles.

Avaliação de Riscos: Processo global de iden-

tificação de riscos, análise de risco e avaliação do

risco, sendo recomendado a utilização da ISO

31000 como referência para a sua implementação.

Estratégia de Continuidade de Negócios: De-

finição das estratégias necessárias para garantir

que a organização possa recuperar suas atividades

críticas tendo como base os requisitos estabeleci-

dos na AIN e na avaliação de riscos, alinhadas

com a estratégia global de negócios da organiza-

ção.

Procedimentos de continuidade de negócios:

Compreende a documentação dos procedimentos

necessários para garantir a continuidade das ativi-

dades e gestão de um incidente disruptivo. Algu-

mas características são esperadas nesses

procedimentos, como serem específicos sobre as

medidas a serem adotadas, flexíveis no modo de

resposta, focados no impacto dos eventos e efici-

entes a ponto de minimizar as consequências dos

incidentes.

Procedimentos de exercícios e testes: Processo

de validação dos planos de continuidade de negó-

cios e procedimentos definidos, a fim de garantir

que as estratégias escolhidas serão capazes de

atender os requisitos de recuperação esperados.

Diferentes tipos de exercício podem ser utilizados,

•

•

•

•

•

e deve-se avaliar os benefícios e desvantagens de

cada um, evitando ficar restrito a apenas um dos

tipos possíveis.

Marcelo Veloso

MBA em Gestão de Segurança da Informa-

ção pela Universidade FUMEC, Bacharel

em Sistemas de Informação pela Universi-

dade PUC-Minas, com 18 anos de experiên-

cia em TIC, atuando na área de

infraestrutura e ocupando cargos de coorde-

nação e gestão. Certificações: MCSA, MCITP, MCTS,

MCDST, MCP, ITIL Foundation e ISO/IEC 27002. Atual-

mente é Assessor na SEPLAG/MG, coordenando projetos de

Segurança da Informação no âmbito da Cidade Administrativa

de Minas Gerais.

Twitter: @MVSecurityBR

E-mail: marcelo.veloso@outlook.com

Site: www.arya.com.br