• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Como definir atividades durante a implementação da continuidade de negócio de acordo com a ISO 22301

    Em diversos locais da ISO 22301, é requerido que se definam as atividades dentro da organização; não apenas isso, atividades são uma unidade básica sobre as quais a análise de impacto no negócio é realizada. Então o que são estas atividades?

    Infelizmente, atividade não é uma palavra adequada porque ela é frequentemente mal interpretada. De qualquer forma, a ISO 22301 declara que uma atividade é “um processo ou conjunto de processos realizados por uma organização (ou em seu nome) que produz ou suporta um ou mais produtos e serviços.”

    Na verdade, ao iniciar seu projeto de implementação da ISO 22301, você deve identificar primeiro como dividir o trabalho de continuidade de negócio entre seus diferentes processos, unidades de negócio, departamentos, etc. – mesmo que você só tenha 50 empregados, seria bem difícil fazer uma única análise de impacto no negócio de uma só vez para toda a organização, ou escrever um único plano de continuidade de negócio que cobrisse os detalhes das etapas de recuperação tanto do seu departamento de TI quanto do departamento de marketing. E esta é a exata razão de porque a ISO 22301 requer que você divida sua organização em tais atividades.

    Duas opções para definir atividades

    Na realidade, você pode dividir sua organização em atividades utilizando uma destas duas abordagens:

    a) Determinar suas atividades baseando-se em processos, ou

    b) Determinar suas atividades baseando-se em unidades organizacionais (departamentos).

    Atividades baseadas em processos. Com esta opção você tem que fazer uma lista de seus processos, e cada um destes torna-se uma atividade em termos do SGCN – por exemplo, se você é um escritório de advocacia, o processo de representar seus clientes em casos de divórcio é considerado uma atividade . Tal processo provavelmente inclui não apenas advogados que trabalham em tais casos, mas também seus mensageiros que lidam com a correspondência, o pessoal administrativo que lida com chamadas telefônicas, correspondência, etc. Para cada um destes processos você tem que realizar uma análise de impacto no negócio e um levantamento de riscos, desenvolver a estratégia e escrever o plano de recuperação.

    Você também pode considerar um conjunto de processos relacionados como sendo uma única atividade: utilizando novamente o escritório de advocacia, uma única atividade poderia incluir processos relacionados a todos os tipos de casos jurídicos – não apenas direito de família, mas também direitos de propriedade intelectual, leis de tributação, direito societário, etc.

    A vantagem desta abordagem orientada a processo é de que ela torna mais fácil de entender as atividades em termos da definição de atividade da ISO 22301, e se você já possui tais processos documentados, pode ser mais fácil analisá-los.

    Contudo, há um problema com esta abordagem: vamos tomar nosso escritório de advocacia novamente como exemplo – você teria que escrever separadamente um plano de recuperação para processos legais, um para o processo de recebimento de contas, um para o processo de pagamento de pessoal, etc. Então, onde está o problema? O problema é que, por exemplo com seu mensageiro – ao invés de ter um plano sobre o que ele deve fazer em caso de emergência, ele terá três planos em mãos: como lidar com as correspondências envolvendo casos legais, como lidar com as correspondências relacionadas a contas a receber e como lidar com correspondências envolvendo o processo de pagamento de pessoal. E uma vez que cada pessoa na organização geralmente faz parte de diversos processos, existe a chance de que esta abordagem, em uma situação confusa tal como um desastre, torne a situação ainda mais confusa para seus empregados, uma vez que eles terão que lidar com três planos em paralelo ao invés de apenas um.

    É por isso que eu gosto mais das atividades orientadas a departamento – abordagem onde as atividades são divididas com base nas unidades organizacionais. Desta forma você assegura que cada empregado irá ler apenas um único plano quando ele for necessário. Em um escritório de advocacia, isto significa que o departamento que é formado por advogados seria uma atividade, o departamento financeiro seria outra atividade, o departamento de assuntos gerais (o qual inclui mensageiros e pessoal administrativo) seria outra atividade, etc.

    A principal desvantagem desta abordagem é que é difícil levantar todos os impactos durante uma análise de impacto no negócio (business impact analysis – BIA) se você não sabe onde seu processo inicia e onde ele termina – é por isto que durante o BIA você precisa ter muita comunicação interdepartamental e coordenação. O segundo problema é que planos de recuperação cobrem apenas segmentos de múltiplos processos, o que significa que você precisa especificar exatamente quais entradas você precisa ter e de quem, e quando e para quem você precisa enviar suas saídas, porque de outra forma seu plano não irá funcionar.

    Esta abordagem para atividades orientada a departamento é aceitável a partir de uma perspectiva da ISO 22301 porque ela permite que que atividades sejam um conjunto de processos, e departamentos muito frequentemente nada mais são do que conjuntos de processos menores. Isto também se confirma na prática, onde organismos de certificação permitem este tipo de abordagem.

    O tamanho de uma atividade

    Existe ainda mais uma controvérsia – qual deveria ser o tamanho de uma atividade? Não existe fórmula mágica para isto, mas eu diria o seguinte:

    • Se a sua atividade é menor do que 5 até 7 empregados, você provavelmente deveria uni-la com outra atividade que faça uso do mesmo local e tenha recursos e processos muito similares – desta forma você irá evitar desperdiçar muito tempo e energia em atividades pequenas.
    • Se sua atividade é maior do que 75 empregados e você tem muitos processos diferentes dentro dela, você provavelmente deveria quebrar esta atividade em duas ou três atividades separadas – desta forma você seria capaz de focar melhor nas especificidades de cada atividade.

    Eu já vi muitas organizações tornarem seus projetos de GCN muito complicados porque elas não definiram suas atividades corretamente ao início de seus projetos – não seja uma delas.

    Clique aqui para baixar de forma gratuita a Lista de verificação dos documentos obrigatórios da ISO 22301.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.