Take the ISO 27001 course exam and get the EU GDPR course exam for free
LIMITED-TIME OFFER – VALID UNTIL SEPTEMBER 30, 2021
  • (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Como escrever planos de continuidade de negócios?

    Se você começou a implementar uma gestão de continuidade de negócios, provavelmente o maior desafio que você está enfrentando é escrever os planos de continuidade de negócios.

    Por que é tão difícil? Bem, você tem de pensar em vários cenários em que um desastre (ou outro tipo de interrupção das atividades comerciais) pode ocorrer e precisa elaborar uma maneira para lidar com esses incidentes excepcionalmente raros, mas possivelmente catastróficos.

    Os problemas encontrados pelas pessoas que escrevem esses planos normalmente incluem o conteúdo do plano (quais são os principais elementos), o quão detalhado ele deve ser, quais etapas incluir, etc.

    Uma das melhores soluções para todos esses dilemas é usar a norma BS 25999-2, que, juntamente com a BS 25999-1, define um modelo de como os planos devem ser escritos.

    De acordo com essas normas, os planos de continuidade de negócios devem ser compostos de (1) plano de resposta a incidentes e (2) planos de recuperação. Um plano de resposta a incidentes geralmente é um único plano escrito para toda a organização e descreve o que deve ser feito imediatamente após um desastre – reduzir os efeitos do incidente, comunicar aos serviços de emergência, evacuar o edifício, reunir-se em pontos de concentração, organizar o transporte para locais alternativos etc.

    Os planos de recuperação, em geral, são escritos separadamente para cada atividade crítica, e os passos a serem incluídos nos planos de recuperação geralmente são os seguintes: quando e como se comunicar com as várias partes interessadas (funcionários e seus familiares, acionistas, clientes, parceiros, entidades governamentais, meios de comunicação etc.), como reunir a equipe, como recuperar a infraestrutura, como verificar se os aplicativos estão funcionando e se os direitos de acesso são adequados, como verificar quais dados estão faltando ou foram corrompidos pelo desastre, como recuperar os dados e como decidir quando a recuperação está concluída, para que as operações normais possam recomeçar.

    Os planos de recuperação de desastres (os planos de recuperação das infraestruturas TIC) devem ser escritos com muito cuidado, pois devem descrever como colocar cada sistema em funcionamento dentro do objetivo de tempo de recuperação de uma determinada atividade crítica. Isso geralmente é feito ao se escrever um plano detalhado de recuperação para cada sistema a ser recuperado.

    A regra geral diz que o nível de detalhes em todos esses planos deve ser tal que outros funcionários (ou uma equipe externa) sejam capazes de executar o plano, se as pessoas que trabalham com essa atividade crítica não estiverem disponíveis. Portanto, use o bom senso ao escrever os planos, que devem ser compreensíveis para qualquer pessoa, não apenas para você.

    Pela minha experiência, posso dizer que o maior desafio ao escrever esses planos é que os funcionários precisam enfrentar algo completamente diferente, algo sobre o qual eles nunca tiveram de pensar. Para superar esse problema, o melhor é organizar um workshop no qual, com ou sem um moderador, eles poderiam compartilhar suas opiniões sobre o que aconteceria se… , como reagir quando… etc.

    A verdade é que o simples fato de seus funcionários começarem a pensar sobre continuidade de negócios é 50% do trabalho. Com essa abordagem, os resultados do plano de continuidade de negócios serão muito melhores.

    Este seminário on-line gratuito também ajudará você a: Writing a business continuity plan according to ISO 22301.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.