Como realizar exercícios e testes de continuidade de negócio de acordo com a ISO 22301

Exercícios e testes de continuidade de negócio é um tópico bem controverso – algumas pessoas dizem que o custo é muito alto, enquanto outras argumentam que não faz sentido porque não podem realizar um teste completo.

Bem, ambos os argumentos podem ser verdadeiros, mas o fato é: sem exercícios e testes, sua organização nunca seria capaz de sobreviver a um desastre real.

O propósito de exercícios e testes

Uma das principais diferenças entre segurança da informação e continuidade de negócio é que incidentes menores relacionados a segurança da informação acontecem, e uma vez que tenham ocorrido, eles oferecem uma excelente oportunidade para se aprender onde o sistema foi falho e como reagir de uma melhor forma na próxima vez. Felizmente, incidentes de interrupção não acontecem com frequência, mas infelizmente, isto significa que geralmente não há oportunidade para melhorar a continuidade de negócio.

O que isto significa? Significa que seus planos de continuidade de negócio podem estar errados – não importa quão bem você tente escrevê-los, é simplesmente impossível prever tudo de antemão. É por isso que uma forma de contornar este problema teve de ser encontrada, e é onde os exercícios e testes preenchem a lacuna: a principal razão é para simular uma situação (mais ou menos) realística de forma a encontrar o que não funciona em sua continuidade de negócio. Em outras palavras, quando você tem falta de incidentes reais, você cria alguns simulados para ser capaz de melhorar seus planos.

Formas de se realizar exercícios e testes

Se você pensou que seus testes devem incluir um desligamento não avisado de energia, você esta errado – este é apenas um dos métodos disponíveis, e certamente não é o primeiro a ser realizado.

Essencialmente, estes são os métodos que podem ser usados para exercícios e testes (começando do mais simples para o mais complexo):

  • Seminário de orientação – basicamente, é mais parecido com um treinamento onde os detalhes dos planos são explicados para todos os participantes; conduzido com todos os empregados e fornecedores necessários, com o auxílio de um moderador.
  • Verificação de mesa – verificar os planos por meio de técnicas de auditoria, validação e verificação; conduzido com o autor do plano e o moderador.
  • Plano passo a passo – verificação do plano por meio da interação da equipe; conduzido com os participantes principais do plano e o moderador, cuja interação é testada em uma reunião conjunta.
  • Teste funcional – teste de todos os planos inter relacionados paras as atividades selecionadas (incluindo procedimentos de fornecedores) com recursos reais em um exercício controlado (anunciado); todos os empregados, fornecedores, o moderador e observadores participam.
  • Teste completo – Todas as atividades são realocadas do site original para o site alternativo (de forma anunciada ou não); todos os empregados, fornecedores, o moderador, observadores e auditores participam.

Como regra geral, você deveria começar com o método mais fácil, e a cada ano você deveria dar uma passo além e tentar com um método mais difícil.

Como se preparar

Uma vez que exercícios e testes são extremamente importantes, e podem influenciar as operações diárias de sua organização, as decisões sobre o método, escopo, objetivos e tempo devem ser tomadas pela alta administração. Claro, antes de fazer tal proposta para sua administração, você deveria consultar os chefes de departamento sobre estes tópicos, especialmente o chefe do departamento de TI.

Da mesma forma, sua alta administração deve decidir com que frequência os exercícios e testes serão realizados – geralmente uma vez ao ano, mas tem de ser mais frequente se algumas grandes mudanças tiverem ocorrido – e.g., uma nova tecnologia foi implementada, novos processos ou produtos foram oferecidos, etc. Você deve tomar cuidado para que, no momento certo, todo o escopo do SGCN tenha sido testado e exercitado, incluindo as partes interessadas.

Quem incluir

A preparação e coordenação de exercícios e testes geralmente é feita pela pessoa encarregada da continuidade de negócio. Normalmente, todos os empregados dos departamentos que estão incluídos nos exercícios e testes deveriam tomar parte deles.

O coordenador de continuidade de negócio deveria preparar o Plano de exercícios e testes onde, entre outras coisas, ele definiria todos os objetivos para o teste – e.g., ele deveria mostrar se as atividades seriam recuperadas dentro do objetivo de tempo de recuperação (recovery time objective – RTO), se todos os empregados sabem seus papéis, etc.

Uma vez que os exercícios e testes tenham sido realizados, a pessoa que coordena a continuidade de negócio deve revisar os resultados e compará-los com os objetivos que foram definidos, e relatar os mesmo para a alta administração.

Existe uma alternativa?

Sim, exercícios e testes custam dinheiro (mas frequentemente não tanto quanto você teria imaginado); e sim, em muitos casos você não seria capaz de realizar um teste completo (mas você será capaz de testar todas as partes da continuidade de negócio separadamente).

Mas, existe uma alternativa para descobrir o que não está funcionado? Não, não há. Esta é a única forma de evitar surpresas desagradáveis em uma situação onde você já terá surpresas o bastante.

Este artigo é uma amostra do livro Becoming Resilient: The Definitive Guide to ISO 22301 Implementation – clique aqui para ver uma amostra gratuita do livro.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.