DESCONTO BLACK FRIDAY
Ganhe 30% de desconto em kits de documentos, exames de cursos e livros.
Oferta por tempo limitado – termina em 28 de novembro de 2022
Use o código promocional:
30OFFBLACK
  • (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Definindo os objetivos de continuidade do negócio na ISO 22301

    Objetivos de continuidade do negócio são, em conjunto com a análise de impacto no negócio, provavelmente um dos mais difíceis elementos da implementação da ISO 22301. Muitos dos que implementam a continuidade do negócio tem problemas como estes: Quais tipos de objetivos existem? Para que fins são utilizados? Como são definidos? Vejamos…

    Propósito dos objetivos de continuidade do negócio

    Peter Drucker (um dos pensadores mais influentes na teoria da administração) disse, “O que se mede se gerencia.” O mesmo vale para a continuidade do negócio – se você não sabe quão bem está indo, você terá muitas dificuldades em direcionar sua continuidade do negócio na direção desejada. E é exatamente esta direção desejada que é uma parte essencial da medição: a definição de objetivos.

    Tipos de objetivos

    Existem ao menos dois níveis para os quais você precisa definir objetivos:

    1) Objetivos estratégicos – para o seu Sistema de Gestão de Continuidade do Negócio como um todo, e

    2) Objetivos táticos – Objetivos para Tempo de Recuperação (Recovery Time Objectives – RTOs), Objetivos para Ponto de Recuperação (Recovery Point Objectives – RPOs), Objetivos Mínimos de Continuidade de Negócio (Minimum Business Continuity Objectives – MBCOs), e objetivos de exercício e teste.

    Claro que, dependendo do tamanho e complexidade da sua organização, você pode escolher adicionar outras camadas de objetivos – por exemplo, ao nível de unidades organizacionais individuais (departamentos, unidades de negócio, etc.)

    Neste artigo do blog irei focar apenas nos objetivos para o seu SGCN como um todo, enquanto que para objetivos táticos favor consulte o artigo Como implementar a análise de impacto no negócio (business impact analysis – BIA) de acordo com a ISO 22301.

    Você pode decidir se irá descrever seus objetivos de continuidade do negócio e seu sistema de medição em uma política de continuidade de negócio ou em um documento separado. Organizações menores normalmente terão estes escritos na política de continuidade do negócio, enquanto organizações maiores tenderão a ter um documento separado para todos os objetivos de negócio (talvez um Balanced Scorecard), e um procedimento separado que irá descrever como gerir todos aqueles objetivos e medições neste Balanced Scorecard.

    Exemplos de objetivo

    Para definir bons objetivos, o segredo está em definir objetivos que são fáceis de medir – você já deve ter ouvido o conceito S.M.A.R.T.: objetivos precisam ser eSpecíficos, Mesuráveis, Atingíveis, Relevantes, e Temporais.

    Desta forma, objetivos como “Nós queremos implementar continuidade de negócio” ou “Nós queremos atingir a resiliência” não iriam ajudar, iriam? Quero dizer, como você saberia se atingiu estes objetivos?

    Por outro lado, objetivos similares a este podem trabalhar a seu favor:

    • “Estar em conformidade com a lei/regulamentação xyz até 31 de dezembro de 2015, utilizando a metodologia da ISO 22301.”
    • “Obter ao menos 5 novos clientes nos próximos 12 meses devido ao certificado da ISO 22301.”
    • “Durante 2015, melhorar nosso tempo de recuperação em 12 horas sem incorrer em novos custos.”

    Estes objetivos são mensuráveis? Sim – o que você tem que fazer é medir se você atingiu o que você planejou após o período de tempo definido. O último objetivo da lista anterior pode ser medido através dos resultados de exercícios e testes.

    Entradas para a criação de objetivos

    Eu admito que identificar objetivos estratégicos para o seu SGCN não é uma tarefa fácil. Mas, para tornar este trabalho mais fácil, você deveria começar com a estratégia de sua organização – O que sua organização tenta atingir? Como ela quer atingir – utilizando quais competências? Como a continuidade do negócio pode ajudar a realizar esta estratégia? Uma vez que você tenha encontrado esta ligação, será mais fácil estabelecer os objetivos do SGCN.

    Adicionalmente, você tem que pensar sobre os benefícios que você identificou – como eles podem ser traduzidos em objetivos? Veja o artigo ISO 22301 benefits: How to get your management’s approval for a business continuity project.

    Decidindo sobre objetivos relevantes

    Uma vez que pensar em tudo isto é impossível para apenas uma pessoa, você deveria incluir toda a sua equipe de projeto neste brainstorming; da mesma forma, se alguém em sua organização já está lidando como medição de desempenho – isto é, o departamento de controle, eles poderiam ajudar você em muito. Sua Alta Administração deveria dar um impulso com tais objetivos – você poderia tentar discuti-los com seu patrocinador antes de apresentá-los ao seu CEO.

    Para concluir, somente se você souber exatamente o que você quer atingir, você será capaz de saber quão longe ou quão perto você está de realmente atingi-lo. Igualmente importante – você será capaz de responder a esta questão de seu gestor: Nosso investimento em continuidade do negócio fez sentido?

    Este artigo é uma amostra do livro Becoming Resilient: The Definitive Guide to ISO 22301 Implementation.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Conecte-se com Dejan: