Take the ISO 27001 course exam and get the EU GDPR course exam for free
LIMITED-TIME OFFER – VALID UNTIL SEPTEMBER 30, 2021
  • (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Além do Gerente de GCN: Papéis adicionais a considerar durante um incidente de interrupção

    Uma crise ou desastre é algo pelo qual nenhuma organização, independentemente do seu tamanho, quer passar. Por conta disso, muitas delas adotam práticas de continuidade de negócio, tais como Sistemas de Gestão de Continuidade de Negócio (SGCN) baseados na ISO 22301, para minimizar as chances de tais eventos ocorrerem e, caso ocorram, para minimizar seus impactos e retomar as atividades o mais rapidamente possível.

    Um elemento chave na minimização de impactos e retomada de atividades é o Plano de continuidade de Negócio (PCN), que descreve as pessoas a serem envolvidas, atividades a serem realizadas, e recursos a serem alocados durante um incidente de interrupção, e dependendo do tamanho e complexidade da organização, pode incluir desde poucas pessoas até dezenas de profissionais. Para mais informações, veja Business continuity plan: How to structure it according to ISO 22301.

    Este artigo aborda um ponto importante quando da elaboração de PCNs: durante incidentes de interrupção, muitas atividades podem ter que ser executadas em paralelo, e não considerar isto pode sobrecarregar membros da equipe ou toda a equipe. Para ajudar a lidar com isto, apresentarei papéis críticos que deveriam ser considerados em um PCN quando da designação de responsabilidades, de forma que a equipe possa ter uma melhor chance de atender aos objetivos do PCN.

    Ciclo de vida responsabilidades do PCN

    Tomando como referência a ISO 22301, cláusulas 8.4 e 8.5, o ciclo de vida de um PCN pode ser descrito por estes passos gerais:

    Elaboração: definição de cenários sob os quais um evento de interrupção pode ocorrer, e o que fazer para tratar tais incidentes potencialmente catastróficos.

    Teste: realização exercícios e simulações para assegurar que planos, pessoas e recursos funcionarão adequadamente durante um evento de interrupção.

    Execução: quando um evento de interrupção atinge a organização, impactos devem ser minimizados e processo de negócio devem ser retomados e recuperados como definido nos objetivos do PCN.

    Atualização: análises críticas devem ser realizadas após testes ou ativações de um plano, de forma que o plano possa ser corrigido e melhorado.

    Durante a elaboração, teste e atualização, os PCNs geralmente estão sob a responsabilidade de uma pessoa no papel de Gerente de Gestão de Continuidade de Negócio (GCN), ou de alguém que acumula esta função. Para mais informações sobre o Gerente de GCN, leia O papel desafiador do Gestor de GCN da ISO 22301.

    Durante um evento de interrupção, um PCN está sob responsabilidade dos papéis previamente definidos, que podem ser divididos a grosso modo em tomadores de decisão de negócio, gerente de PCN, líder de PCN e membros da equipe do PCN.

    Outros frameworks de continuidade de negócio, tais como as “Diretrizes de Boas Práticas (Good Practices Guidelines – GPG) do Business Continuity Institute (BCI), e a “Publicação Especial 800-34” (Special Publication 800-34 – Guia para Planejamento de Contingência para Sistemas de Informação Federais) do NIST (National Institute of Standards and Technology), têm estruturas similares que podem fazer uso destas recomendações.

    Como um evento de interrompe um negócio e impacta o PCN?

    Podemos dizer que um incidente interrompe o negócio quando a interrupção dura mais tempo do que seria aceitável por uma organização, e isto pode ocorrer quando:

    • Falha na infraestrutura externa impede que a organização entregue produtos e/ou forneça serviços (ex.: uma estrada interrompida, ou um ataque DDOS maciço contra a Internet)
    • A infraestrutura da organização é incapaz de entregar produtos e/ou fornecer serviços (ex.: incêndio em uma instalação, ou uma perda de dados após um ataque de ransomware)
    • A força de trabalho da organização é incapaz de realizar suas atividades (ex.: após um acidente ou epidemia)

    Se cada uma destas situações por si só já não fossem problema suficiente, quando elas ocorrem em conjunto, por exemplo, como consequência de um grande desastre natural, elas podem tornas as coisas ainda piores, por que a equipe do PCN deve:

    • Coordenar esforços com partes externas para lidar com falhas na infraestrutura externa
    • Realizar as atividades definidas para lidar com falhas internas
    • Atender ao pessoal ferido e apoiar seus familiares

    Como você pode ver, estas atividades podem ser muito diferentes entre si e não podem ser priorizadas em detrimento umas das outras.

    Papéis críticos a serem considerados em um PCN

    Uma vez que toda organização pode ser atingida por um evento que pode resultar na situação descrita anteriormente, como considerar esta situação quando do desenvolvimento de seu PCN?

    A idéia básica é evitar tornar qualquer pessoa responsável por atividades cobrindo mais do que uma linha de ação (esforços externos, atividades de continuidade interna e assistência ao pessoal). E você pode alcançar isso ao organizar as atividades considerando estes papéis:

    Líder de RH: membro da equipe responsável por todas as atividades relacionadas às pessoas afetadas pelo evento (força de trabalho, visitantes, empreiteiros e outras pessoas). A equipe designada a ele deveria tomar conta da evacuação de pessoal, primeiros socorros aos feridos, e contato com serviços de emergência e familiares das pessoas.

    Líder de negócio: membro da equipe responsável por todas as atividades relacionadas a coordenação com a infraestrutura externa, tomando conta, por exemplo, de rotas alternativas e fornecedores. Da mesma forma que é responsável por assegurar que produtos e serviços sejam retomados, ele também deveria estar em contato com aqueles responsáveis pela recuperação da infraestrutura interna.

    Líder de infraestrutura: membro da equipe responsável por todas as atividades relacionadas a recuperação da infraestrutura interna. Este papel pode ser subdividido, se necessário, de acordo com o tipo de infraestrutura (ex.: infraestrutura física, TI, etc.).

    Líder de comunicação: membro da equipe que é o ponto de contato com a mídia e serviços públicos, para evitar mal-entendidos de comunicação.

    Perceba que uma vez que estes são papéis, não há necessidade de se ter uma pessoa exclusivamente para realizar cada papel. Sua organização deve apenas tomar o cuidado de não designer dois ou mais destes papéis para a mesma pessoa.

    E se a divisão de papéis não é possível?

    Quando uma organização, devido ao seu tamanho ou recursos, não é capaz de dividir papéis em sua equipe de PCN, ela deveria verificar qual impacto esta situação terá em seu Tempo de Recuperação Objetivado (Recovery Time Objective – RTO), e fazer ajustes apropriados, seja pela alocação de mais recursos ou pela redefinição de prioridades de recuperação e/ou de objetivos. Para mais informação sobre RTO, veja What is the difference between Recovery Time Objective (RTO) and Recovery Point Objective (RPO)?

    Organize papéis para evitar sobrecarregar sua equipe

    Eventos de interrupção trazem grande estresse para uma organização, e as equipes de PCN estarão sob grande pressão.

    Ao organizar adequadamente os papéis em um PCN, de forma que os membros da equipe não sejam sobrecarregados desnecessariamente por atividades que requeiram atenção quase que simultânea, eles serão mais capazes de realizar seus deveres e assegurar o alcance dos objetivos do PCN.

    Verifique este webinar gratuito  ISO 22301: An overview of the BCM implementation process para aprender como o planejamento de continuidade de negócio se adequa a implementação geral da ISO 22301.

    Advisera Rhand Leal
    Autor
    Rhand Leal
    Rhand Leal tem 10 anos de experiência em segurança da informação, e por 6 anos manteve um sistema de gestão de segurança da informação baseado na ISO 27001. Rhand possui uma especialização em Gestão de Negócios pela Fundação Getúlio Vargas. Entre suas certificações estão: ISO 27001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), entre outras. Ele é membro do Capítulo Brasília do ISACA.