• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    A benção da melhoria contínua na ISO 22301

    Assim como outras normas de gestão ISO, não melhorar não é uma opção na ISO 22301. Melhores resultados podem ser atingidos se melhorias são aplicadas a diferentes aspectos da abordagem de GCN. Qual área ou áreas de melhoria podem ter a maior prioridade é definida principalmente pela situação atual da organização.

    Não avançar é ficar para trás

    Uma abordagem de Gestão de Continuidade de Negócio (GCN) nunca será ideal logo no começo. Várias restrições demandam que limitações conflitantes sejam observadas. De fato, pedir que seja muito certa no início não é uma receita para o sucesso. As seguintes propostas de exemplos práticos de como atingir a melhoria contínua são baseadas em minha experiência com vários projetos de GCN. Como elas são independentes entre si, elas podem ser aplicadas separadamente ou simultaneamente.

    Escopo: O pequeno é bonito

    Os requisitos na ISO 22301 pedem por limitações na forma de uma definição de escopo. Isto significa que temos que pensar para definir um escopo. Esta limitação pode ser na forma de foco em processos específicos, localizações ou produtos e serviços. Nós realmente temos que ter foco nos recursos mais importantes dentro da organização para proteger. Eu descobri que limitar o escopo para um campo de visão estreito é muito louvável. Se começamos com um escopo estreito, mas conscientemente limitado, nós aumentamos nossas chances de implementar com sucesso um SGCN (Sistema de Gestão de Continuidade de Negócio). Como temos que ter um escopo proposto antes de tentar realizar um BIA, executar o BIA (Business Impact Analysis – Análise de Impacto no Negócio) e a primeira oportunidade para melhorar nossa abordagem. Nós ganharemos informação valiosa neste processo. Como nós simplesmente saberemos muito mais sobre nossa organização após o BIA e/ou avaliação de riscos, nós teremos melhorado nossa abordagem de GCN.

    Aprendizagem ao longo do ciclo de vida

    Da mesma forma, a experiência dos membros da nossa equipe de continuidade de negócio pode não ser excepcionalmente boa logo no começo. Ao fazê-los ganhar experiência, e colocando-os em treinamentos apropriados, também melhoramos nossa abordagem do SGCN. Similarmente, eu frequentemente noto que a conscientização geral de toda a equipe é próxima a zero ao se iniciar uma abordagem de GCN. Isto nos dá uma oportunidade para melhorar através do aumento da conscientização da nossa equipe. A conscientização pode ser elevada através de vária medidas: sessões de conscientização, informação e/ou quizzes na intranet, orientação durante exercícios, etc. Dê uma olhada no artigo Como realizar treinamento e conscientização para a ISO 27001 e ISO 22301 para saber mais.

    Estas iniciativas de aprendizado criam conhecimento e contribuem para a melhoria continua do SGCN ao lançar iniciativas que indivíduos sem treinamento e conhecimento jamais pensariam.

    Tom dado pelo topo

    A alta administração precisa estar envolvida e na verdade tem que conduzir a melhoria contínua, como requeridos na ISO 22301. A alta administração precisa estar familiarizada com a abordagem de GCN, e suas vantagens, benefícios e oportunidades. Como mencionado acima, a primeira tentativa de se implementar uma abordagem de GCN pode ser desigual e incompleta. Por outro lado, a ISO 22301 especifica a implementação de um SGCN, um sistema de gestão de pleno direito. Há uma grande margem para melhoria entre uma primeira abordagem e um SGCN certificado. Cobrir as lacunas leva tempo e esforço e oferece muitas oportunidades para se melhorar continuamente nossa abordagem de GCN. A gestão tem que assumir sua parte na iniciação, direcionamento e supervisão das medidas de melhoria.

    Vamos ter um plano

    Ai implementar um plano de continuidade de negócio (incluindo a formação das estruturas correspondentes tal como a equipe de continuidade de negócio), geralmente posso identificar uma gama de oportunidades para melhoria. Dê uma olhada no artigo Business continuity plan: how to structure it according to ISO 22301. Tipicamente, descubro que as equipes de continuidade de negócio não estão suficientemente treinadas para lidar com incidentes, que podem escalar para interrupções críticas do negócio ou até mesmo crises sérias. Isto implica em conduzir treinamentos e organizar exercícios, cruciais para lidar adequadamente com interrupções do negócio. Veja o artigo Como realizar exercícios e testes de continuidade de negócio de acordo com a ISO 22301. Um plano que nunca foi exercitado é bem ineficaz. Em muitos projetos tenho que persuadir a equipe de continuidade de negócio a definir um plano para realizar exercícios, tipicamente iniciando com exercícios simples, sem riscos, mas não muito eficazes. Mais e mais exercícios complexos precisam se seguir, assim melhorando a prontidão e confiança para se lidar com interrupções de negócio reais. Planejar exercícios cada vez mais complexos é um dos maiores fatores de contribuição para melhorar sua abordagem de GCN.

    Segunda opinião

    Outra ferramenta é ter nossa abordagem revisada por outra parte que não a equipe do projeto ou os autores dos planos, tais como auditorias internas e/ou externas. Estes especialistas têm um olhar crítico sobre nossa abordagem, identificando inconsistências, ou outros aspectos que a equipe do projeto não tratou. O retorno deles é uma peça principal para a melhoria da nossa abordagem de GCN.

    Mantendo-se atualizado

    Enquanto a organização se desenvolve, precisamos ter certeza que nossa documentação e planos nunca fiquem para trás, tornando-os inúteis quando necessário. Isto é especialmente importante para qualquer documentação a ser usada durante uma interrupção do negócio. Em um esforço para aumentar a utilidade da documentação, temos que reduzir o tempo entre mudanças no mundo real (mudanças organizacionais, mudanças na equipe, ou mudanças na configuração de instalações e tecnologias) e a documentação de suporte. Se formos bem-sucedidos em reduzir esta diferença de tempo, isto é uma melhoria real em oposição a um procedimento operacional, o qual demanda uma atualização sem qualquer esforço real para manter a diferença tão pequena quanto possível.

    O aprendizado

    A GCN segue um ciclo de vida. Isto significa que as atividades acima devem ser conduzidas periodicamente. Por exemplo, se a organização repete a BIA por uma segunda ou terceira vez, a informação importante obtida será de muito maior qualidade do que foi na primeira tentativa. A repetição das etapas acima inerentemente levará a melhorias. Os exemplos acima demonstram que a melhoria continua não é apenas um pré-requisito de uma abordagem de GCN adequada, mas oferece oportunidades para agregar valor à organização ao melhorar tanto sua prontidão para e reação a interrupções de negócio. Na verdade, isto é do que se trata a GCN.

    Verifique este webinar gratuito  ISO 22301: An overview of the BCM implementation process para saber mais sobre a implementação da ISO 22301.

    Nós agradecemos a Rhand Leal pela tradução para o português.