Como implementar a análise de impacto no negócio (business impact analysis – BIA) de acordo com a ISO 22301

Eu já conversei com muitos praticantes de continuidade de negócio, e muitos deles (tanto iniciantes quanto especialistas) me dizem que a parte mais difícil da implementação da ISO 22301 é a análise de impacto no negócio.

Assim, aqui estão minhas dicas sobre como implementar a BIA – este artigo é uma passagem de meu próximo livro Becoming Resilient: The Definitive Guide to ISO 22301 Implementation:

Propósito

A análise de impacto no negócio existe primariamente para lhe dar uma ideia sobre o prazo requerido para sua recuperação (Indisponibilidade Máxima Aceitável/Objetivo para o Tempo de Recuperação) (Maximum Acceptable Outage/Recovery Time Objective) e o momento requerido para suas cópias de segurança (Objetivo para Ponto de Recuperação/Perda Máxima de Dados) (Recovery Point Objective/Maximum Data Loss), uma vez que o prazo/momento é crucial – a diferença de um simples par de horas pode significar a vida ou a morte para certas organizações. Por exemplo, se você é uma instituição financeira, um tempo de recuperação de 4 horas pode significar que você provavelmente sobreviverá a uma interrupção, mas um tempo de recuperação de 12 horas é inaceitável para certos sistemas/atividades em um banco, e uma interrupção de um dia inteiro provavelmente significaria que o banco nunca mais iria abrir suas portas novamente. E não existe um padrão mágico que lhe dê o prazo/momento ideal para sua organização – não apenas porque esta é uma variável que é diferente para cada indústria, mas também porque o prazo/momento para cada uma das suas atividades pode ser diferente. Desta forma, você precisa realizar a análise de impacto no negócio para chegar as conclusões corretas.

Opções

Uma vez que esta etapa no projeto da ISO 22301 consome tempo e é complexa, você pode decidir se ela será realizada pelo próprio coordenador de continuidade de negócio, ou por um especialista contratado (por exemplo, um consultor) – pelo bem da simplicidade, eu citarei apenas o coordenador de continuidade de negócio neste artigo. Em qualquer caso, esta pessoa tem que desenvolver os questionários de análise de impacto no negócio para coletar as informações (ou configurar a ferramenta, se uma for utilizada), organizar as entrevistas ou workshops, compilar todos os dados e produzir o relatório(ou incluir os resultados na estratégia caso nenhum relatório em separado seja produzido).

Caso você apenas envie a metodologia e os questionários para as pessoas responsáveis por cada atividade e diga a elas para preenchê-los, os resultados que você vai obter provavelmente serão inúteis. A razão disto é porque as pessoas encontrarão dificuldade em entender o propósito da análise de impacto no negócio, mesmo que você tenha descrito bem a metodologia.

Desta forma, se você quer que sua análise de impacto no negócio seja bem sucedida, você, basicamente, tem duas opções:

a) Realizar a análise de impacto no negócio através de entrevistas – isto significa que o coordenador de continuidade de negócio irá entrevistar a(s) pessoa(s) responsável(is) por cada atividade, onde ele irá explicar primeiro o propósito da análise, e ter certeza de que cada levantamento realizado pela pessoa responsável faça sentido e não seja tendencioso.

b) Realizar workshops com as pessoas responsáveis primeiro – nestes workshops, o coordenador de continuidade de negócio irá explicar a todas as pessoas responsáveis o propósito da análise de impacto no negócio, e através de vários exemplos reais, mostrar como realizar a análise.

Claro que conduzir entrevistas provavelmente trará melhores resultados; contudo, esta opção é muito mais demorada e demanda mais do coordenado de continuidade de negócio.

Entradas

A principal entrada para o processo de análise de impacto no negócio e a metodologia de análise, e você também precisa de uma lista de suas atividades de negócio (por exemplo, processos ou departamentos).

Toda a informação deve ser dada pelas pessoas responsáveis por cada atividade, assim como elas também devem realizar os levantamentos necessários. Enquanto fazem isso, elas devem utilizar como critério o cenário de pior caso: o que aconteceria no caso de uma grande tempestade, não uma tempestade comum; uma interrupção de toda a infraestrutura de TI, não apenas de um servidor com pouca importância; perda de dados do seu principal servidor, não apenas de um notebook; seu presidente e o principal administrador de sistemas estão ausentes, não apenas um empregado subalterno; e tudo isso acontece quando você tem um prazo limitado para entregar um produto importante para o seu mais importante cliente.

Se as pessoas responderem “Isto nunca acontecerá conosco!” – apenas diga a eles para ler uma ou duas notícias na seção policial de jornais e revistas. Além do mais, continuidade de negócio trata de preparar você para tempos ruins e não para situações ideais.

Aqui estão algumas dicas para coletar as informações necessárias das pessoas responsáveis por cada atividade:

  • Levantamento de impacto – eles tem que considerar o dano que acontecerá ao negócio caso suas operações sejam interrompidas, sob a perspectiva de questões específicas. Por exemplo, para a questão: “Como seus clientes irão reagir a uma interrupção?” – para uma interrupção que dure entre 2 e 4 horas, você deveria ter como resultado um valor (1), em uma escala de 1 a 4, caso não se espere nenhuma reação por parte dos clientes; um valor (2) no caso dos clientes entrarem em contato para saber o que aconteceu, mas nada mais significante do que isso neste período de tempo; caso após um período de 8 horas de interrupção alguns clientes começarem a deixar a organização, então isto seria uma avaliação de valor (3); se após 48 horas a maioria dos clientes deixaria a organização, isto seria uma avaliação de valor (4). Veja a figura 1 para um exemplo.
  • Levantamento do Objetivo para Ponto de Recuperação / Perda Máxima de Dados (RPO/Maximum Data Loss) – você tem que pedir aos entrevistados que listem todas as suas bases de dados, aplicações e arquivos, assim como todos os serviços (por exemplo, e-mail), etc. e para cada um deles pedir que eles definam o limite aceitável de perda de dados que pode ser tolerado. Geralmente este limite é mostrado em números de horas, mas algumas vezes também pode ser mostrado em número de transações ou registros. O principal critério para se fazer esta análise deve ser o dano de qualquer perda de dados para a organização – em termos de dinheiro ou outros impactos, como legal, reputação, etc. Da mesma forma, enquanto realizando a análise é importante não ser distraído pelo fato de que você já possui cópias de segurança; a questão é – se as cópias disponíveis falharem, qual o volume de perda de dados que você realmente pode tolerar? Veja a figura 2.
  • Objetivos de Continuidade de Negócio Mínimos (Minimum Business Continuity Objectives – MBCO) – você deveria especificar o nível de capacidade mínimo aceitável requerido imediatamente após a recuperação de uma atividade em particular, levando em conta suas horas ou dias de pico. Por exemplo, dezembro é tipicamente o mês mais ocupado em bancos para a realização de diversas atividades, então você deveria especificar o número mínimo de transações ou clientes que você deveria processar caso uma interrupção ocorresse no dia mais ocupado de dezembro.
  • Recursos necessários – levando em conta o MCBO (número de transações, clientes, produtos, etc.), você deveria identificar quantas pessoas e outros recursos você precisaria para a recuperação. Recursos tais como laptops, mobília, telefones móveis, instalações, etc. geralmente dependem do número de pessoas; a capacidade de recursos tais como softwares e links de telecomunicação dependem do número de usuários ou número de transações que precisam ser processadas; dados como um recurso precisam ser descritos em termos de quantos e quais registros você precisa – por exemplo, todos os registros criados nos últimos seis meses (para uma base de dados, por exemplo), ou apenas a documentação corrente (para contratos assinados com parceiros e clientes, por exemplo); serviços externos são descritos em termos de transações, produtos ou o que quer que eles disponibilizem para você; recursos financeiros são expressados em dinheiro (seja na moeda local ou na moeda que sua organização normalmente utiliza).
  • Dependência de outros – basicamente, estas são todas as outras atividades sem as quais você não seria capaz de realizar uma determinada atividade. Estas são geralmente divididas desta forma:

    1) Dependência de outras atividades internas a organização – por exemplo, todas as suas atividades provavelmente dependerão das atividades de TI / Departamento de TI, enquanto somente algumas atividades irão depender do seu departamento legal / atividades jurídicas.

    2) Dependência de fornecedores e parceiros em terceirização – tipicamente, todas as suas atividades dependem de eletricidade e de links de comunicação (Internet, linhas fixas e telefones móveis), mas muitas organizações também dependem de empresas de desenvolvimento de software, provedores de hospedagem, provedores de nuvem, serviços de contabilidade, etc. Aqui você precisa avaliar as capacidades de continuidade de negócio destes terceiros estudando as cláusulas em acordos que você assinou com eles, questionando-os sobre como eles lidaram com situações de interrupção de operações no passado, ou talvez por meio de auditorias para ter uma percepção mais profunda sobre suas capacidades.

Decisões

Como já foi mencionado, todo o levantamento deve ser feito pelos responsáveis por cada atividade – isto porque eles são o que melhor conhecem as atividades, desta forma o levantamento não é uma atividade do coordenador de continuidade de negócio. Contudo, o coordenador de continuidade de negócio é crucial para coordenar todo o esforço, e para assegurar que os critérios utilizados para o levantamento sejam os mesmos para todos. Por exemplo, pessoas responsáveis por atividades tendem a superestimar a importância e o impacto de suas atividades – desta forma, você pode acabar com um levantamento, digamos da área de contabilidade, que declara que caso suas atividades sejam interrompidas por duas horas isso resultaria em um impacto catastrófico (valor 4). Para contra argumentar levantamentos deste tipo você deveria perguntar a estes responsáveis a seguinte questão: “Você realmente acha que a organização irá a falência se o seu departamento não trabalhar por duas horas?” – após este tipo de questionamento, o levantamento geralmente se torna mais razoável.

Onde o coordenador de continuidade de negócio deve estar envolvido é na tomada de decisão sobre a Indisponibilidade Máxima Aceitável (MAO) e o Objetivo para o Tempo de Recuperação (RPO) – geralmente, ele tomas estas decisões em conjunto com as pessoas responsáveis pelas atividades, baseado nos resultados dos questionários de análise de impacto no negócio (BIA).

Aqui está um exemplo de como as respostas relacionadas a Indisponibilidade Máxima Aceitável em um questionário de análise de impacto no negócio para uma determinada atividade pode se parecer:

Example_BIA_1_PTFigura 1: Exemplo de questionário de análise de impacto no negócio (BIA) – determinando a Indisponibilidade Máxima Aceitável

A decisão sobre a MAO é basicamente feita de forma visual – ao olhar este exemplo (e assumindo que esta é uma organização pequena com um faturamento anual de 1 milhão de dólares e um lucro de 150 mil dólares), impactos maiores começam a partir de 8 horas de interrupção (questão #1), mesmo que seja óbvio que múltiplos impactos de valor alto iniciarão a partir de 24 horas de interrupção. Desta forma, como primeira etapa, alguma consideração deveria ser dada caso as reações de clientes possam ser toleradas para uma interrupção superior a 8 horas (questão #1) – caso seja assim, na segunda etapa, a MAO para esta atividade deveria ser ajustada para algo entre 8 e 24 horas. Para determinar o Objetivo para o Tempo de Recuperação (RTO) para esta atividade, as dependências sobre outras atividades terão que ser examinadas, e então a decisão final sobre o RTOs de cada atividade pode ser tomada.

E aqui está um exemplo de como as respostas para o questionário do BIA podem parecer para a Perda Máxima de Dados/ Objetivo para Ponto de Recuperação:

Example_BIA_2_PTFigura 2: Exemplo de questionário de análise de impacto no negócio (BIA) – determinando a Perda Máxima de Dados/ Objetivo para Ponto de Recuperação

A decisão sobre a Perda Máxima de Dados/ Objetivo para Ponto de Recuperação também e feita visualmente – neste exemplo, o RPO para o Software #1 deveria ser de 24 horas, para o Software #2 ele é de 8 horas, para a Base de dados XYZ ele é menos de 1 hora (provavelmente zero), e para Documentação XYZ em papel, de aproximadamente 1 semana.

O que isto significa na prática? Isto significa que cópias de segurança para o Software #1 deveriam ser feitas pelo menos a cada 24 horas, porque você pode tolerar uma perda de no máximo 24 horas de dados. Para o software #2, as cópias de segurança deveriam ser feitas ao menos a cada 8 horas, a base de dados XYZ deveria ter suas cópias geradas em tempo real(isto é, replicações síncronas ou assíncronas – isto é típico para bases transacionais em bancos), e a documentação XYZ em papel deveria ser copiada ou escaneada ao menos dentro da mesma semana em que foi criada. Todas estas conclusões deveria ser documentadas na estratégia de continuidade de negócio ou relacionadas na política de cópias de segurança.

Documentação

Similar ao levantamento de riscos, se a organização não utiliza uma ferramenta, então os resultados são geralmente coletados através de questionários em planilha eletrônica – neste caso, o coordenador de continuidade de negócio coleta todos estes questionários; caso uma ferramenta seja utilizada, então a coleta destes é feita automaticamente.

Não importa se uma ferramente é utilizada ou não, a informação que é coletada durante o processo de análise de impacto no negócio deve incluir todos os elementos mencionados na metodologia do BIA.

Se a sua organização é de grande porte, você provavelmente deveria compilar todos estes resultados em um relatório de impacto no negócio; contudo, organizações de pequeno porte podem apenas sumarizar todos os resultados em sua estratégia de continuidade de negócio.

Este artigo é uma passagem do livro Becoming Resilient: The Definitive Guide to ISO 22301 Implementation. Clique aqui para ver o que esta incluído no livro…

Nós agrademos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Conecte-se com Dejan: