DESCONTO DE PRIMAVERA
Ganhe 30% de desconto em kits, exames de cursos e planos anuais do Conformio.
Oferta por tempo limitado – termina em 25 de abril de 2024
Use o código promocional:
SPRING30

Como definir atividades durante a implementação da continuidade de negócio de acordo com a ISO 22301

Advisera Dejan Kosutic Dejan Kosutic
novembro 13, 2013

Em diversos locais da ISO 22301, é requerido que se definam as atividades dentro da organização; não apenas isso, atividades são uma unidade básica sobre as quais a análise de impacto no negócio é realizada. Então o que são estas atividades?

Infelizmente, atividade não é uma palavra adequada porque ela é frequentemente mal interpretada. De qualquer forma, a ISO 22301 declara que uma atividade é “um processo ou conjunto de processos realizados por uma organização (ou em seu nome) que produz ou suporta um ou mais produtos e serviços.”

Na verdade, ao iniciar seu projeto de implementação da ISO 22301, você deve identificar primeiro como dividir o trabalho de continuidade de negócio entre seus diferentes processos, unidades de negócio, departamentos, etc. – mesmo que você só tenha 50 empregados, seria bem difícil fazer uma única análise de impacto no negócio de uma só vez para toda a organização, ou escrever um único plano de continuidade de negócio que cobrisse os detalhes das etapas de recuperação tanto do seu departamento de TI quanto do departamento de marketing. E esta é a exata razão de porque a ISO 22301 requer que você divida sua organização em tais atividades.

Duas opções para definir atividades

Na realidade, você pode dividir sua organização em atividades utilizando uma destas duas abordagens:

a) Determinar suas atividades baseando-se em processos, ou

b) Determinar suas atividades baseando-se em unidades organizacionais (departamentos).

Atividades baseadas em processos. Com esta opção você tem que fazer uma lista de seus processos, e cada um destes torna-se uma atividade em termos do SGCN – por exemplo, se você é um escritório de advocacia, o processo de representar seus clientes em casos de divórcio é considerado uma atividade . Tal processo provavelmente inclui não apenas advogados que trabalham em tais casos, mas também seus mensageiros que lidam com a correspondência, o pessoal administrativo que lida com chamadas telefônicas, correspondência, etc. Para cada um destes processos você tem que realizar uma análise de impacto no negócio e um levantamento de riscos, desenvolver a estratégia e escrever o plano de recuperação.

Você também pode considerar um conjunto de processos relacionados como sendo uma única atividade: utilizando novamente o escritório de advocacia, uma única atividade poderia incluir processos relacionados a todos os tipos de casos jurídicos – não apenas direito de família, mas também direitos de propriedade intelectual, leis de tributação, direito societário, etc.

A vantagem desta abordagem orientada a processo é de que ela torna mais fácil de entender as atividades em termos da definição de atividade da ISO 22301, e se você já possui tais processos documentados, pode ser mais fácil analisá-los.

Contudo, há um problema com esta abordagem: vamos tomar nosso escritório de advocacia novamente como exemplo – você teria que escrever separadamente um plano de recuperação para processos legais, um para o processo de recebimento de contas, um para o processo de pagamento de pessoal, etc. Então, onde está o problema? O problema é que, por exemplo com seu mensageiro – ao invés de ter um plano sobre o que ele deve fazer em caso de emergência, ele terá três planos em mãos: como lidar com as correspondências envolvendo casos legais, como lidar com as correspondências relacionadas a contas a receber e como lidar com correspondências envolvendo o processo de pagamento de pessoal. E uma vez que cada pessoa na organização geralmente faz parte de diversos processos, existe a chance de que esta abordagem, em uma situação confusa tal como um desastre, torne a situação ainda mais confusa para seus empregados, uma vez que eles terão que lidar com três planos em paralelo ao invés de apenas um.

É por isso que eu gosto mais das atividades orientadas a departamento – abordagem onde as atividades são divididas com base nas unidades organizacionais. Desta forma você assegura que cada empregado irá ler apenas um único plano quando ele for necessário. Em um escritório de advocacia, isto significa que o departamento que é formado por advogados seria uma atividade, o departamento financeiro seria outra atividade, o departamento de assuntos gerais (o qual inclui mensageiros e pessoal administrativo) seria outra atividade, etc.

A principal desvantagem desta abordagem é que é difícil levantar todos os impactos durante uma análise de impacto no negócio (business impact analysis – BIA) se você não sabe onde seu processo inicia e onde ele termina – é por isto que durante o BIA você precisa ter muita comunicação interdepartamental e coordenação. O segundo problema é que planos de recuperação cobrem apenas segmentos de múltiplos processos, o que significa que você precisa especificar exatamente quais entradas você precisa ter e de quem, e quando e para quem você precisa enviar suas saídas, porque de outra forma seu plano não irá funcionar.

Esta abordagem para atividades orientada a departamento é aceitável a partir de uma perspectiva da ISO 22301 porque ela permite que que atividades sejam um conjunto de processos, e departamentos muito frequentemente nada mais são do que conjuntos de processos menores. Isto também se confirma na prática, onde organismos de certificação permitem este tipo de abordagem.

O tamanho de uma atividade

Existe ainda mais uma controvérsia – qual deveria ser o tamanho de uma atividade? Não existe fórmula mágica para isto, mas eu diria o seguinte:

  • Se a sua atividade é menor do que 5 até 7 empregados, você provavelmente deveria uni-la com outra atividade que faça uso do mesmo local e tenha recursos e processos muito similares – desta forma você irá evitar desperdiçar muito tempo e energia em atividades pequenas.
  • Se sua atividade é maior do que 75 empregados e você tem muitos processos diferentes dentro dela, você provavelmente deveria quebrar esta atividade em duas ou três atividades separadas – desta forma você seria capaz de focar melhor nas especificidades de cada atividade.

Eu já vi muitas organizações tornarem seus projetos de GCN muito complicados porque elas não definiram suas atividades corretamente ao início de seus projetos – não seja uma delas.

Clique aqui para baixar de forma gratuita a Lista de verificação dos documentos obrigatórios da ISO 22301.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Conecte-se com Dejan:
Post anterior Como abordar um auditor durante a auditoria de certificação
Próximo post NFPA 1600 vs. ISO 22301 – Similaridades e diferenças

Próximo webinar grátis

Advisera Carlos Pereira da Cruz
Apresentador
Carlos Pereira da Cruz
How to Perform an ISO Internal Audit
Quinta-feira – 2 de maio de 2024
Registrar agora

Suggested reading

Requisitos para implementar segregação de rede de acordo com o controle A.13.1.3 da ISO 27001
by Rhand Leal
Classificação da Informação de acordo com a ISO 27001
by Dejan Kosutic
Qual é o custo da implementação da ISO 27001?
by Dejan Kosutic