DESCONTO BLACK FRIDAY
Ganhe 30% de desconto em kits de documentos, exames de cursos e livros.
Oferta por tempo limitado – termina em 28 de novembro de 2022
Use o código promocional:
30OFFBLACK
  • (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Cinco dicas para uma análise de impacto nos negócios bem-sucedida

    Você provavelmente já se perguntou por que tem de realizar uma análise de impacto nos negócios (AIN) se já fez a avaliação de riscos. Você identificou todos os riscos, certo? E passou muito tempo analisando sua empresa, por que então mais uma análise?

    Bem, o objetivo da AIN é diferente. Na continuidade de negócios tudo está relacionado ao tempo – não importa se você pode recuperar a sua atividade comercial, se não for feito em tempo razoável. “Razoável” é o que a AIN tem de determinar. Seu principal objetivo é descobrir qual é o objetivo de tempo de recuperação para cada atividade crítica dentro da organização.

    Esse tipo de análise, muitas vezes, não é levada a sério. Em primeiro lugar, a empresa geralmente não sabe que resultados incorretos podem incorrer em despesas desnecessárias ou criar uma estratégia de continuidade de negócios inadequada, mas também o esforço necessário para realizar a AIN é subestimado.

    Portanto, aqui estão algumas dicas que irão tornar a sua análise de impacto nos negócios mais eficaz:

    Trate-a como um (mini) projeto. Defina o responsável pela sua implementação e sua autoridade; defina o escopo, os objetivos e prazos.

    Faça sua lição de casa, prepare um bom questionário. Um questionário bem estruturado irá lhe poupar muito tempo e tornar os resultados mais precisos. As normas BS 25999-1 e BS 25999-2 lhe darão uma boa ideia sobre o que ele deve conter. Entre outras coisas, você tem de identificar os impactos resultantes de interrupções e determinar como variam ao longo do tempo, identificar os recursos necessários para recuperação etc. É uma boa prática utilizar perguntas qualitativas e quantitativas para identificar os impactos.

    Defina critérios claros. Se o entrevistado tem de responder perguntas pela atribuição de valores, por exemplo, de 1 a 5, certifique-se de explicar exatamente o que cada uma dessas cinco notas significam. Não é raro que o mesmo evento seja avaliado como catastrófico pelos funcionários de nível mais baixo, enquanto que a alta administração avalia seu impacto como moderado.

    Colete os dados por meio de interação humana. Os melhores resultados são obtidos quando alguém qualificado em continuidade de negócios realiza uma entrevista com a pessoa responsável por uma atividade crítica. Dessa forma, uma série de questões sem solução são esclarecidas, e respostas equilibradas são obtidas. Se as entrevistas não forem viáveis, faça pelo menos um workshop com todos os participantes para que possam tirar dúvidas sobre tudo o que os está incomodando. Em outras palavras, não basta enviar os questionários e repreender as pessoas por não enviá-los de volta no tempo estabelecido.

    Determine os objetivos de tempo de recuperação somente depois de ter identificado todas as interdependências. Por exemplo, com o questionário você pode concluir que para a atividade crítica “A” o tempo máximo aceitável de interrupção é de dois dias; porém, o tempo máximo aceitável de interrupção para a atividade crítica “B” é de um dia e esta não pode ser recuperada sem a ajuda da atividade crítica A. Isso significa que o objetivo de tempo de recuperação para “A” será um dia em vez de dois.

    De acordo com minha experiência, os resultados da AIN muitas vezes são inesperados. Geralmente, o objetivo de tempo de recuperação é mais longo do que se pensava inicialmente, e a AIN revela dependências de alguns recursos que são na verdade apenas um ponto único de falha. Mas o melhor de tudo é que a análise de impacto nos negócios é a maneira mais eficaz de fazer as pessoas pensarem sobre o inesperado. Ao criar essa consciência, você aumenta as chances de sobrevivência da sua empresa.

    Este webinar gratuito também pode ajudá-lo: Implementing Business Impact Analysis according to ISO 22301.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Conecte-se com Dejan: