Take the ISO 27001 course exam and get the EU GDPR course exam for free
LIMITED-TIME OFFER – VALID UNTIL SEPTEMBER 30, 2021
  • (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Cinco dicas para uma análise de impacto nos negócios bem-sucedida

    Você provavelmente já se perguntou por que tem de realizar uma análise de impacto nos negócios (AIN) se já fez a avaliação de riscos. Você identificou todos os riscos, certo? E passou muito tempo analisando sua empresa, por que então mais uma análise?

    Bem, o objetivo da AIN é diferente. Na continuidade de negócios tudo está relacionado ao tempo – não importa se você pode recuperar a sua atividade comercial, se não for feito em tempo razoável. “Razoável” é o que a AIN tem de determinar. Seu principal objetivo é descobrir qual é o objetivo de tempo de recuperação para cada atividade crítica dentro da organização.

    Esse tipo de análise, muitas vezes, não é levada a sério. Em primeiro lugar, a empresa geralmente não sabe que resultados incorretos podem incorrer em despesas desnecessárias ou criar uma estratégia de continuidade de negócios inadequada, mas também o esforço necessário para realizar a AIN é subestimado.

    Portanto, aqui estão algumas dicas que irão tornar a sua análise de impacto nos negócios mais eficaz:

    Trate-a como um (mini) projeto. Defina o responsável pela sua implementação e sua autoridade; defina o escopo, os objetivos e prazos.

    Faça sua lição de casa, prepare um bom questionário. Um questionário bem estruturado irá lhe poupar muito tempo e tornar os resultados mais precisos. As normas BS 25999-1 e BS 25999-2 lhe darão uma boa ideia sobre o que ele deve conter. Entre outras coisas, você tem de identificar os impactos resultantes de interrupções e determinar como variam ao longo do tempo, identificar os recursos necessários para recuperação etc. É uma boa prática utilizar perguntas qualitativas e quantitativas para identificar os impactos.

    Defina critérios claros. Se o entrevistado tem de responder perguntas pela atribuição de valores, por exemplo, de 1 a 5, certifique-se de explicar exatamente o que cada uma dessas cinco notas significam. Não é raro que o mesmo evento seja avaliado como catastrófico pelos funcionários de nível mais baixo, enquanto que a alta administração avalia seu impacto como moderado.

    Colete os dados por meio de interação humana. Os melhores resultados são obtidos quando alguém qualificado em continuidade de negócios realiza uma entrevista com a pessoa responsável por uma atividade crítica. Dessa forma, uma série de questões sem solução são esclarecidas, e respostas equilibradas são obtidas. Se as entrevistas não forem viáveis, faça pelo menos um workshop com todos os participantes para que possam tirar dúvidas sobre tudo o que os está incomodando. Em outras palavras, não basta enviar os questionários e repreender as pessoas por não enviá-los de volta no tempo estabelecido.

    Determine os objetivos de tempo de recuperação somente depois de ter identificado todas as interdependências. Por exemplo, com o questionário você pode concluir que para a atividade crítica “A” o tempo máximo aceitável de interrupção é de dois dias; porém, o tempo máximo aceitável de interrupção para a atividade crítica “B” é de um dia e esta não pode ser recuperada sem a ajuda da atividade crítica A. Isso significa que o objetivo de tempo de recuperação para “A” será um dia em vez de dois.

    De acordo com minha experiência, os resultados da AIN muitas vezes são inesperados. Geralmente, o objetivo de tempo de recuperação é mais longo do que se pensava inicialmente, e a AIN revela dependências de alguns recursos que são na verdade apenas um ponto único de falha. Mas o melhor de tudo é que a análise de impacto nos negócios é a maneira mais eficaz de fazer as pessoas pensarem sobre o inesperado. Ao criar essa consciência, você aumenta as chances de sobrevivência da sua empresa.

    Este webinar gratuito também pode ajudá-lo: Implementing Business Impact Analysis according to ISO 22301.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.