Take the ISO 27001 course exam and get the EU GDPR course exam for free
LIMITED-TIME OFFER – VALID UNTIL SEPTEMBER 30, 2021
  • (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    O papel desafiador do Gestor de GCN da ISO 22301

    O gestor da Gestão de Continuidade de Negócio (GCN) (Business Continuity Management – BCM) desempenha um papel central na implementação de uma abordagem de GCN. Como tal, o papel enfrenta múltiplos desafios, tanto da alta administração quanto dos proprietários de processos chave dentro da organização. Como a GCN é considerada como um fator de custo em primeiro lugar, financiamento e comprometimento apropriados são desafios típicos. A menos que participantes chave em suas organizações, notadamente a alta administração, descubram o verdadeiro valor da abordagem, o gestor de GCN estará lutando para fazer face às despesas.

    Múltiplos desafios

    Um gestor de GCN enfrenta vários desafios em seu trabalho. Limitado por múltiplas restrições, esta função deve se destacar em superar dificuldades que podem resultar no não atingimento dos principais resultados.

    Todas as normas relevantes, tais como a ISO 22301:2012, as principais normas de GCN nacionais, e o “Good Practice Guidelines” publicado pelo Business Continuity Institute (BCI), especificam a importância primordial do compromisso da gestão. Neste contexto, o comprometimento da gestão significa que a liderança da organização suporta de forma suficiente a abordagem de GCN (saiba mais sobre papéis e responsabilidades da alta administração no artigo Papéis e responsabilidades da alta direção na ISO 27001 e ISO 22301). Se este não é o caso, e a abordagem de GCN não é apoiada (ou apenas parcialmente), o gestor de GCN e/ou a equipe de implementação da GCN enfrentarão uma batalha difícil durante toda a duração do projeto.

    Como resultado, recursos necessários, tais como membros da equipe de implementação da GCN e apoio externo qualificados, não estarão disponíveis de tal forma que o projeto possa avançar de uma forma especificada de acordo com as boas práticas. Consequentemente, preparação e reação adequadas a interrupções do negócio serão pobres e não servirão ao propósito pretendido.

    Um gerente de GCN bem treinado e experiente sabe que é necessário para montar os blocos de uma abordagem adequada de GCN. Se a ele é negado financiamento apropriado par aa abordagem de GCN, ela permanecerá incompleta e possivelmente muito menos eficiente do que previsto.

    Vamos explicar isto usando dois exemplos:

    • Se, por exemplo, o treinamento de GCN não é autorizado para a equipe do projeto, o projeto pode até mesmo não iniciar, ou iniciar de forma não otimizada, com etapas cruciais omitidas ou executadas de forma imprópria. Da mesma forma, recursos externos tais como consultores ou kits de implementação não poderão ser usados de forma eficiente.
    • Outro exemplo é a preparação e execução da análise de impacto no negócio (business impact analysis – BIA, saiba mais sobre a BIA no artigo How to implement business impact analysis (BIA) according to ISO 22301). Se proprietários de processos chave não participam da análise de impacto no negócio, simplesmente faltará ao projeto o progresso e sucesso necessários. Ele pode permanecer incompleto, se estágios necessários são omitidos, ou ele será tremendamente atrasado. Durante este período de uma abordagem de GCN incompleta, à organização faltará proteção adequada contra interrupções do negócio.

    Uma administração não comprometida (e não convencida) sempre tentará minimizar o financiamento para a abordagem de GCN ou tentar não alocar recursos humanos, como o envolvimento de proprietários de processos chave dentro do projeto. Isto resultará em aplicação excessiva, mas sem sucesso, de recursos (e.g., fundos, força de trabalho) por parte do gestor de GCN.

    O que pode ser feito?

    Como a implementação de uma abordagem de GCN não pode ser feita por uma única pessoa, é óbvio que a ideia somente sairá do papel se houver um consenso suficientemente amplo dentro da organização de que a abordagem é benéfica para a organização como um todo. Como uma consequência, este consenso deve ser criado e um time central de participantes montado. Os seguintes exemplos podem servir como ponto de partida:

    • Uma das principais estratégias para se colocar o projeto em andamento é obter o comprometimento da administração em primeiro lugar, por exemplo, pelo convencimento de ao menos um membro da alta administração (saiba mais no artigo ISO 22301 benefits: How to get your management’s approval for a business continuity project). Esta pessoa trabalharia então para convencer o restante da equipe de administração.
    • Outra estratégia é abordar o conselho diretor (eles representam os donos da organização), uma vez que eles assumem a responsabilidade em último caso pelo bem-estar e desenvolvimento da organização. Eles também são responsáveis pela proteção da organização contra impactos não desejados devido a interrupções do negócio.
    • Uma possibilidade adicional existe em formar uma parceria com o auditor interno/externo, uma vez que a função de auditoria atende a um papel crucial no apontamento e mitigação de riscos. Não é incomum que o auditor interno ou externo recomende ao conselho diretor que uma abordagem de GCN seja iniciada. Equipes de auditoria avançadas (tanto interna e externa) tendem a olhar além dos “números“ e tentar uma abordagem holística cobrindo áreas como segurança da informação e continuidade de negócio. Um gestor de GCN pode muito bem convencer pessoas com pensamento similar a apoiar a iniciativa.

    Encontrando Aliados

    A conclusão para o gestor de GCN: encontre tantos aliados de alto cargo e motivados quanto possível para apoiar a abordagem de GCN, de forma a criar uma visão avassaladora dentro dos altos círculos da organização de que a abordagem de GCN é a garantia definitiva de que até mesmo grandes interrupções não inviabilizarão de forma irreversível a organização. Em outras palavras, enquanto uma abordagem de “retorno sobre o investimento” (use a ferramenta Calculadora de Retorno sobre o Investimento em Segurança) pode ser útil, os corações e mentes da administração da organização também precisam ser conquistados. Seus clientes, parceiros de negócio, e – no caso de organizações de grande porte – o público serão gratos.

    Encontre mais detalhes sobre o gestor de GCN e como abordar este tópico no livro  Becoming Resilient: The Definitive Guide to ISO 22301 Implementation.

    Nós agradecemos a Rhand Leal pela tradução para o português.