Caso você seja um praticante de continuidade de negócio nos EUA, você provavelmente deve estar imaginando qual norma aplicar – NFPA 1600 ou ISO 22301. Afinal, ambas são normas de continuidade de negócio, e ambas possuem um histórico significativo – agências governamentais americanas parecem adorar a NFPA 1600, e a ISO 22301 é uma norma internacional aceita mundialmente.
Uma rápida visão geral
A NFPA 1600 é oficialmente intitulada como “Standard on Disaster/Emergency Management and Business Continuity Programs” (“Norma para gestão de desastres/emergências e programas de continuidade de negócio” em tradução livre) e foi inicialmente publicada pela National Fire Protection Association em 1995. Ela foi algumas vezes desde então, e atingiu um escopo que é muito maior do que seu título sugeriria – ela foi aprovada pela Comissão 9/11, foi adotada pelo Departamento de Segurança Nacional americano como um boa prática, e recebeu designação e certificação como uma tecnologia antiterrorismo sob o SAFETY Act americano.
Por outro lado, a ISO 22301 (oficialmente chamada de “Segurança da sociedade — Sistema de gestão de continuidade de negócios — Requisitos) começou sua “carreira” como a norma britânica BS 25999 em 2006/2007, e em 2012 tornou-se uma norma internacionalmente aceita publicada pela International Organization for Standardization (ISO). Isto significa que, diferentemente da NFPA 1600, que é primariamente uma norma americana, a ISO 22301 é reconhecida em muitos países como a principal norma ou estrutura para continuidade de negócio.
A parte engraçada é que, enquanto a NFPA 1600 é muito maior (66 páginas), ela é gratuita, enquanto que a ISO 22301 é menor (32 páginas) e é um tanto quanto cara, como são todas as outras normas ISO.
O que a NFPA 1600 tem que a ISO 22301 não tem?
Aqui estão alguns exemplos de requisitos que não existem na ISO 22301, ou onde a NFPA 1600 trata de forma muito mais detalhada:
- 4.3 Comitê do programa – não existe tal requisito na ISO 22301.
- 4.6 Finanças e Administração – os requisitos na ISO 22301 não são tão específicos.
- 5.2 Levantamento de riscos – os requisitos são muito mais precisos do que na ISO 22301 – por exemplo, eles definem perigos (hazards – ameaças), vulnerabilidades e impactos em maior detalhe.
- 5.4.2 Levantamento de recursos necessários – a especificação é mais detalhada do que na ISO 22301.
- Os requisitos em 6.4 Comunicação de crises e informação pública e 6.5 Aviso, notificações e comunicações são basicamente os mesmos que na ISO 22301, mas aqui eles estão mais estruturados logicamente.
- 6.7.1.1 Centros de operações de emergência (Emergency Operations Centers – EOCs) – não existe na ISO 22301.
- 6.7.7 e 6.7.8 gestão de recursos e gestão de incidentes são muito mais detalhados do que na ISO 22301.
- 6.10 Assistência e suporte ao empregado – aqui é muito mais detalhado do que na ISO 22301.
- 8.3 Projeto de exercícios e testes – novamente, a NFPA 1600 é muito mais detalhada do que a ISO 22301.
- Anexo A – embora não seja obrigatório para a implementação, ele provê uma grande quantidade de guias úteis (muito similar ao que a ISO 22313 faz para a ISO 22301). Por exemplo:
◦ estratégias de recuperação
◦ métodos para exercícios e testes
◦ catálogo de perigos (ameaças)
◦ questões a serem incluídas na análise de impacto no negócio
Resumindo, a NFPA 1600 é muito mais detalhada e é provavelmente mais fácil para implementar a continuidade de negócio utilizando alguma literatura adicional; uma vez que muitos requisitos são mais detalhados do que na ISO 22301, ela é provavelmente mais adequada para organizações de médio e grande porte.
O que a ISO 22301 tem que a NFPA 1600 não tem?
Aqui estão os elementos onde a ISO 22301 coloca mais ênfase:
- 4.2.1 Partes interessadas e seus requisitos – os requisitos são mais precisos do que na NFPA 1600.
- 4.3.2 Escopo – os requisitos são muito mais precisos na ISO 22301.
- 7.5 Informação documentada – novamente, requisitos muito mais precisos do que na NFPA 1600.
- 8.2.2 Análise de impacto no negócio – a NFPA 1600 não reconhece a Indisponibilidade Máxima Aceitável (Maximum Acceptable Outage – MAO) como uma etapa antes do estabelecimento do Tempo Objetivo de Recuperação (Recovery Time Objective – RTO).
- 8.3 Estratégia de continuidade de negócio – embora a NFPA não requeira que uma estratégia seja desenvolvida, isto não é especificado em um capítulo separado ou seção; nem tão pouco ela não está em uma etapa separada do processo. Na ISO 22301 a estratégia tem uma significância muito maior.
- 9.1 Monitoramento, medição, análise e avaliação – a ISO 22301 é muito mais demandante aqui.
- 9.2 Auditoria interna – basicamente, a NFPA 1600 não possui tal requisito (pelo menos não na parte principal da norma, embora existam alguns guias no Anexo A).
- 9.3 Análise crítica pela administração – não existem requisitos detalhados na NFPA 1600, bem como não há requisitos para envolvimento da alta administração.
- 10.1 Ações corretivas – a NFPA não possui tais requisitos detalhados.
Parece-me que a ISO 22301 é mais flexível, e portanto mais facilmente implementável em organizações de todos os tamanhos; ela coloca mais ênfase em assuntos de gestão, então é provavelmente mais fácil de comunicar a alta administração.
Qual implementar?
Talvez esta seja a questão errada. O que eu não disse antes é que estas normas são similafes em pelo menos 90% dos requisitos; e elas se complementam muito bem – o que a NFPA 1600 possui e a ISO 22301 não se adequa perfeitamente a ISO 22301 – e vice versa.
Então, por que não implementar ambas? Se você é uma organização americana, seu cliente ou regulador provavelmente irá perguntar pela NFPA 1600; mas se você também opera em um mercado internacional, cedo ou tarde a ISO 22301 se tornará uma necessidade.
Eu admito que sou tendencioso aqui, mas eu sugeriria iniciar a implementação com a ISO 22301 e adicionar algumas coisas da NFPA 1600 que estão ausentes na ISO. Você terá as duas normas por uma com quase nenhum esforço extra.
Clique aqui para baixar de forma gratuita a Lista de verificação de documentos obrigatórios da ISO 22301.
Nós agradecemos a Rhand Leal pela tradução para o português.