O que é a BS 25999?

    Uma das principais normas de continuidade de negócios

    A BS-25999-2 era uma norma Britânica publicada em 2007, e rapidamente tornou-se a principal norma para gestão de continuidade de negócio – ela foi substituída pela ISO 22301 em 2012.

    Assim como a ISO 27001, a ISO 9001, a ISO 14001 e outras normas que definem os sistemas de gestão, a BS 25999-2 também define um sistema de gestão de continuidade de negócios que contém as mesmas quatro fases de gestão (planejamento , implementação, análise e monitoramento), bem como melhorias. O objetivo dessas quatro fases é que o sistema seja constantemente atualizado e melhorado a fim de ser útil quando ocorre uma catástrofe.

    A seguir estão alguns dos principais procedimentos e documentos exigidos pela BS 25999-2:

    • objetivo do SGCN – identificação precisa da área da organização em que a gestão de continuidade de negócios é aplicada
    • Política de GCN – definição de objetivos, responsabilidades, etc.
    • gestão de recursos humanos
    • análise de impacto nos negócios e avaliação de riscos
    • definição da estratégia de continuidade de negócios
    • planos de continuidade de negócios
    • manutenção de planos e sistemas; melhoria

    Gestão de recursos humanos

    A norma diz que é essencial determinar as habilidades e o conhecimento necessários para identificar as sessões de treinamento necessárias, para realizar essas sessões de treinamento, para verificar se as habilidades e os conhecimentos necessários foram obtidos e para determinar quais registros devem ser mantidos.

    A BS 25999-2 também exige a realização de programas de conscientização e comunicação da importância da gestão de continuidade de negócios para os funcionários.

     

    Análise de impacto nos negócios e avaliação de riscos

    A análise de impacto nos negócios lida com atividades importantes em uma organização, define o período máximo tolerado de interrupção, a interdependência das ações individuais, além de determinar quais atividades são críticas, explorar os acordos existentes com os fornecedores e parceiros de terceirização e definir o tempo de recuperação.

    A avaliação de riscos é realizada para determinar quais desastres e outras interrupções nas operações de negócios podem ocorrer e quais são suas consequências, bem como quais são as vulnerabilidades e ameaças que podem resultar nessas interrupções nos negócios. Com base nessa avaliação, a organização determina como reduzir a probabilidade de riscos e como diminuir o impacto em caso de concretização dos riscos.

     

    Definição da estratégia de continuidade de negócios

    Uma estratégia refere-se à definição de como a organização se recuperará em caso de desastre. A estratégia é determinada com base nos resultados da avaliação de riscos e da análise de impacto nos negócios. Ela geralmente envolve localizações alternativas, opções de recuperação de dados, recuperação de recursos humanos, comunicações, equipamentos, gestão de fornecedores e parceiros de terceirização, etc.

     

    Plano de continuidade de negócios

    O plano de continuidade de negócios inclui os planos de resposta a incidentes, {procedimentos de ativação do plano de continuidade de negócios} e os planos de recuperação para atividades críticas. Todos eles são escritos com base na estratégia de continuidade de negócios.

    Um plano de resposta a incidentes deve especificar a forma de determinar os tipos de incidentes, os canais de comunicação, os tipos de resposta, as responsabilidades, etc.

    Os planos de recuperação devem especificar as funções e responsabilidades, as principais etapas para a recuperação, os locais, os recursos a serem utilizados e onde eles estão localizados, as prioridades, as ações a serem tomadas após a conclusão da recuperação, etc.

     

    Manutenção dos planos e do sistema; melhoria

    A norma estabelece:

    • exercícios e testes regulares de planos para tornar o pessoal mais familiarizado com os planos e para verificar o seu nível de atualização
    • a realização de auditorias internas a intervalos regulares
    • análises críticas da gestão para garantir que o SGCN está funcionando e para fazer as melhorias adequadas
    • a tomada de ações preventivas e corretivas para melhorar não só planos, mas também outros elementos do sistema

    Documentação

    A BS 25999-2 exige os seguintes documentos:

    • o objetivo da GCN
    • a Política de GCN
    • as responsabilidades específicas para a GCN
    • os procedimentos de gestão de documentos e registros e os procedimentos para ações corretivas e preventivas
    • a metodologia da análise crítica da gestão e os resultados dessa análise
    • a metodologia de avaliação de riscos
    • a estratégia de continuidade de negócios
    • o plano de continuidade de negócios que inclui o(s) plano(s) de resposta a incidentes e o(s) plano(s) de recuperação
    • os registros

    A quantidade de documentação depende da quantidade de atividades críticas em uma organização; uma organização com uma pequena quantidade de atividades críticas também terá uma pequena quantidade de documentação relacionada à análise de impacto nos negócios, à avaliação de riscos e aos planos de continuidade de negócios, enquanto a documentação de organizações maiores será muito mais extensa.

    Outras normas relacionadas

    Além da BS 25999-2, a BS 25999-1 é uma norma “auxiliar” que fornece mais detalhes sobre como implementar partes específicas da BS 25999-2.

    Outras normas úteis são a ISO 27001, que aborda a continuidade de negócios em um contexto mais amplo de segurança da informação, e a ISO 27005, que fornece uma descrição detalhada do processo de avaliação de riscos.

    rhand-circle

    Rhand Leal
    Especialista em 27001 para o Brasil

    Você tem alguma questão sobre qualquer etapa?

    Converse com nossos consultores gratuitamente

    AGENDE UMA CONSULTORIA GRATUITA

    Calculadora gratuita de Retorno sobre o Investimento em Segurança

    Você já enfrentou uma situação onde lhe disseram que as medidas de segurança eram muito caras? Ou onde você encontrou muita dificuldade em explicar para a sua gerência quais as consequências se um incidente ocorresse?

    VEJA COMO FUNCIONA