• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Definindo os objetivos de continuidade do negócio na ISO 22301

    Objetivos de continuidade do negócio são, em conjunto com a análise de impacto no negócio, provavelmente um dos mais difíceis elementos da implementação da ISO 22301. Muitos dos que implementam a continuidade do negócio tem problemas como estes: Quais tipos de objetivos existem? Para que fins são utilizados? Como são definidos? Vejamos…

    Propósito dos objetivos de continuidade do negócio

    Peter Drucker (um dos pensadores mais influentes na teoria da administração) disse, “O que se mede se gerencia.” O mesmo vale para a continuidade do negócio – se você não sabe quão bem está indo, você terá muitas dificuldades em direcionar sua continuidade do negócio na direção desejada. E é exatamente esta direção desejada que é uma parte essencial da medição: a definição de objetivos.

    Tipos de objetivos

    Existem ao menos dois níveis para os quais você precisa definir objetivos:

    1) Objetivos estratégicos – para o seu Sistema de Gestão de Continuidade do Negócio como um todo, e

    2) Objetivos táticos – Objetivos para Tempo de Recuperação (Recovery Time Objectives – RTOs), Objetivos para Ponto de Recuperação (Recovery Point Objectives – RPOs), Objetivos Mínimos de Continuidade de Negócio (Minimum Business Continuity Objectives – MBCOs), e objetivos de exercício e teste.

    Claro que, dependendo do tamanho e complexidade da sua organização, você pode escolher adicionar outras camadas de objetivos – por exemplo, ao nível de unidades organizacionais individuais (departamentos, unidades de negócio, etc.)

    Neste artigo do blog irei focar apenas nos objetivos para o seu SGCN como um todo, enquanto que para objetivos táticos favor consulte o artigo Como implementar a análise de impacto no negócio (business impact analysis – BIA) de acordo com a ISO 22301.

    Você pode decidir se irá descrever seus objetivos de continuidade do negócio e seu sistema de medição em uma política de continuidade de negócio ou em um documento separado. Organizações menores normalmente terão estes escritos na política de continuidade do negócio, enquanto organizações maiores tenderão a ter um documento separado para todos os objetivos de negócio (talvez um Balanced Scorecard), e um procedimento separado que irá descrever como gerir todos aqueles objetivos e medições neste Balanced Scorecard.

    Exemplos de objetivo

    Para definir bons objetivos, o segredo está em definir objetivos que são fáceis de medir – você já deve ter ouvido o conceito S.M.A.R.T.: objetivos precisam ser eSpecíficos, Mesuráveis, Atingíveis, Relevantes, e Temporais.

    Desta forma, objetivos como “Nós queremos implementar continuidade de negócio” ou “Nós queremos atingir a resiliência” não iriam ajudar, iriam? Quero dizer, como você saberia se atingiu estes objetivos?

    Por outro lado, objetivos similares a este podem trabalhar a seu favor:

    • “Estar em conformidade com a lei/regulamentação xyz até 31 de dezembro de 2015, utilizando a metodologia da ISO 22301.”
    • “Obter ao menos 5 novos clientes nos próximos 12 meses devido ao certificado da ISO 22301.”
    • “Durante 2015, melhorar nosso tempo de recuperação em 12 horas sem incorrer em novos custos.”

    Estes objetivos são mensuráveis? Sim – o que você tem que fazer é medir se você atingiu o que você planejou após o período de tempo definido. O último objetivo da lista anterior pode ser medido através dos resultados de exercícios e testes.

    Entradas para a criação de objetivos

    Eu admito que identificar objetivos estratégicos para o seu SGCN não é uma tarefa fácil. Mas, para tornar este trabalho mais fácil, você deveria começar com a estratégia de sua organização – O que sua organização tenta atingir? Como ela quer atingir – utilizando quais competências? Como a continuidade do negócio pode ajudar a realizar esta estratégia? Uma vez que você tenha encontrado esta ligação, será mais fácil estabelecer os objetivos do SGCN.

    Adicionalmente, você tem que pensar sobre os benefícios que você identificou – como eles podem ser traduzidos em objetivos? Veja o artigo ISO 22301 benefits: How to get your management’s approval for a business continuity project.

    Decidindo sobre objetivos relevantes

    Uma vez que pensar em tudo isto é impossível para apenas uma pessoa, você deveria incluir toda a sua equipe de projeto neste brainstorming; da mesma forma, se alguém em sua organização já está lidando como medição de desempenho – isto é, o departamento de controle, eles poderiam ajudar você em muito. Sua Alta Administração deveria dar um impulso com tais objetivos – você poderia tentar discuti-los com seu patrocinador antes de apresentá-los ao seu CEO.

    Para concluir, somente se você souber exatamente o que você quer atingir, você será capaz de saber quão longe ou quão perto você está de realmente atingi-lo. Igualmente importante – você será capaz de responder a esta questão de seu gestor: Nosso investimento em continuidade do negócio fez sentido?

    Este artigo é uma amostra do livro Becoming Resilient: The Definitive Guide to ISO 22301 Implementation.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.