Viabilizando comunicações durante incidentes disruptivos de acordo com a ISO 22301

Desastres incidentes de interrupção de negócio levam pessoas e organizações aos seus limites, e um dos primeiros elementos impactados são os sistemas de comunicação.

Dependendo do tipo e magnitude do incidente, o aumento da demanda de comunicações, ou a redução da capacidade da infraestrutura podem tornar as comunicações impossíveis, adicionando mais confusão a uma já caótica situação.

A ISO 22301, um dos frameworks líderes no mundo para gestão de continuidade de negócio, define alguns requisitos para ajudar a assegurar que as comunicações continuem fluindo durante incidentes disruptivos. Este artigo apresentará estes requisitos, e como organizações deveriam considerá-los para melhorar seus sistemas de comunicação para apoiar a continuidade do negócio.

Por que sistemas de comunicação falham durante incidentes disruptivos?

Como mencionando anteriormente, você pode considerar duas razões principais para a falha de sistemas de comunicação:

Redução da capacidade: Se a infraestrutura de comunicação é diretamente afetada pelo incidente, seu desempenho pode ser reduzido até o ponto onde se torna impossível usá-la (ex.: torres e links de comunicação danificados por tempestades e instalações de provedores de comunicação afetadas por incêndios ou ataques de hackers).

Aumento da demanda: Todos os sistemas de comunicação são projetados considerando que apenas parte dos seus usuários irão demandá-los em um mesmo momento, mas durante um incidente disruptivo praticamente todos os usuários irão demandar o sistema. Pessoas tentando enviar ou receber notícias de parentes, serviços de emergência tentando coordenar seus esforços para evacuar pessoas e atender feridos, organizações tentando dar continuidade ou recuperar suas operações – dependendo do projeto do sistema, mesmo uma única destas situações pode ser suficiente para derrubar o sistema.

Requisitos da ISO 22301 para atividades de comunicação em um PCN

Para que as comunicações apoiem os Planos de Continuidade de Negócio (PCNs), a norma, em sua cláusula 8.4.3 Alerta e comunicação, requer que uma organização mantenha procedimentos para:

  • monitorar a possibilidade de um incidente acontecer
  • detectar um incidente que já aconteceu
  • comunicar partes interessadas internas e outras sobre riscos, incidentes e impactos potenciais e/ou reais
  • assegurar a disponibilidade de comunicações durante um incidente, especialmente para as equipes de resposta e emergência

Para assegurar que estes procedimentos são adequados para o propósito e serão adequadamente executados pelas equipes de resposta, eles deveriam ser periodicamente exercitados e testados. Para mais informação, veja: Como realizar exercícios e testes de continuidade de negócio de acordo com a ISO 22301.

Viabilizando comunicações para apoiar PCNs e respostas a incidentes disruptivos

Tal como em situações normais, gerir o fluxo de informação é a chave para assegurar que a infraestrutura disponível será usada onde é mais necessária, e para conseguir isso quando da consideração da resposta a incidentes disruptivos, você deveria:

1) Fazer uso de tantos pontos de monitoramento e detecção quanto possíveis: Quanto maior o número de olhos, ouvidos e sensores você tiver, mais rápido você poderá identificar e responder às condições que podem levar a incidente disruptivo, ou ao próprio incidente. Você pode consegui isso:

  • Estabelecendo procedimentos de comunicação com serviços de monitoramento e detecção externos de forma que eles possam prover informação sobre incidentes potenciais e reais relevantes ao negócio da organização. Por exemplo, organizações na região da Ásia e Pacífico contam como Centros de Alerta contra Tsunamis, e estados do meio oeste dos EUA contam com Centros de Alerta de Tornado. Em uma escala mais modesta, comunicação com autoridades policiais e com o governo local podem ser suficientes.
  • Conscientizar a capacitar pessoas, dentro e em torno da organização, sobre como identificar e comunicar incidentes. Para mais informação, veja: Como realizar treinamento e conscientização para a ISO 27001 e ISO 22301.

2) Prover rotas e canais de comunicação alternativos: Um antigo provérbio diz que não é bom colocar todos os seus ovos em um único cesto, e em uma situação de crise, depender de elementos de comunicação únicos que podem ser sobre carregados ou estar indisponíveis pode ser fatal. Para evitar isso, você deveria:

  • Estabelecer acordos com múltiplos provedores de comunicação, considerando como critérios de avaliação, no mínimo, o uso de diferentes rotas físicas, diferentes locais de infraestrutura, e a provisão de peças sobressalentes. Para mais informação, veja: Processo em 6 etapas para tratar a segurança em fornecedores de acordo com a ISO 27001.
  • Ter disponíveis dispositivos de comunicação que podem ser usados no caso dos canais normais de comunicação se tornarem indisponíveis, tais como walkie talkies, telefones satélite, e rádio amador, e, claro, pessoa capazes de operá-los.
  • Aqui novamente, conscientizar e treinar pessoas pode ajudar, ao instruí-las a não fazer uso dos sistemas de comunicação durante eventos disruptivos à menos que seja estritamente necessário.

3) Documentar as soluções adotadas em seus PCNs: Todos os benefícios das soluções sugeridas serão inúteis se as equipes de resposta não sabem que elas existem e como usá-las. Para mais informações sobre o planejamento de PCNs, veja Business continuity plan: How to structure it according to ISO 22301.

4) Periodicamente exercite e teste pessoas, procedimentos e equipamentos: Como enunciado na seção anterior, exercícios e testes são as melhores formas de avaliar se todas as soluções adotadas funcionarão em conjunto como um solução integrada.

Emu ma crise, a comunicação é sua melhor arma. Não a perca.

As pessoas temem o que elas não conhecem e o que representa perigo para elas, e como seres sociais elas tentarão se manter em contato com outras pessoas para se sentirem seguras. Isto pode se provar uma coisa muito ruim se elas começarem a usar os mesmos canais de comunicação que os profissionais como você precisam usar para resolver uma situação de crise, ou pior que isso, se não existir nenhuma forma de comunicação.

Ao adotar os requisitos declarados na ISO 22301, organizações assegurarão a consideração de quais tipos de solução elas precisarão ter, assim como diretrizes sobre como usá-las, de forma que seus sistemas de comunicação possam funcionar de forma adequada e ajuda-las a prevenir e prontamente tratar situações de incidente.

Confira este webinar gratuito:  ISO 22301: An overview of the BCM implementation process para ver como a comunicação se encaixa no planejamento geral da continuidade de negócio.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.