Para pessoas de for a do contexto, n\u00e3o \u00e9 f\u00e1cil distinguir entre os prop\u00f3sitos espec\u00edficos da Gest\u00e3o de Continuidade de Neg\u00f3cio (GCN), Seguran\u00e7a da Informa\u00e7\u00e3o (SI), e Recupera\u00e7\u00e3o de Desastre em TI (RD TI). Todas as tr\u00eas \u00e1reas t\u00eam algo a ver com \u201cseguran\u00e7a\u201d, \u201cperdas\u201d, \u201cdesastres\u201d e \u201cprote\u00e7\u00e3o\u201d. Continue a leitura para saber mais sobre os pap\u00e9is particulares das disciplinas frequentemente mal-entendidas pela gest\u00e3o.<\/p>\n
Para os iniciantes, vamos dar uma olhada nas defini\u00e7\u00f5es (em termos pr\u00e1ticos, ao inv\u00e9s de defini\u00e7\u00f5es oficiais secas).<\/p>\n
Como o nome diz, a GCN<\/a> protege organiza\u00e7\u00f5es (neg\u00f3cios inteiros) das consequ\u00eancias indesej\u00e1veis e incontrol\u00e1veis das interrup\u00e7\u00f5es de neg\u00f3cio. Sendo a equipe o recurso mais precioso de uma organiza\u00e7\u00e3o, proteger as vidas dos empregados \u00e9 algo da mais alta prioridade. Claro, fora este aspecto, tipicamente h\u00e1 toda uma gama de ativos e recursos cr\u00edticos a serem protegidos tamb\u00e9m. No contexto deste artigo, a TI pode ser considerada um destes tais recursos. A implementa\u00e7\u00e3o de uma abordagem de continuidade de neg\u00f3cio \u00e9 governada pela ISO 22301<\/a>.<\/p>\n Interrup\u00e7\u00f5es podem ou n\u00e3o ter algo a ver com sistemas de TI. Eles podem estar no ar e operando, mas se uma cadeia de suprimento cr\u00edtica foi interrompida, a produ\u00e7\u00e3o pode parar inesperadamente e indefinidamente. Se um inc\u00eandio destr\u00f3i um armaz\u00e9m, suas entregas para os clientes podem ser afetadas. Se a equipe \u00e9 incapaz de chegar ao call center da organiza\u00e7\u00e3o devido ao mau clima, servi\u00e7os de vendas ou de atendimento ao cliente ser\u00e3o impactados.<\/p>\n A Seguran\u00e7a da Informa\u00e7\u00e3o<\/a>, como especificado na s\u00e9rie de normas ISO 27000, lida com a tratativa apropriada e segura da informa\u00e7\u00e3o dentro de uma organiza\u00e7\u00e3o. Esta gama de normas (capitaneadas pela ISO 27001<\/a>) foca n\u00e3o apenas em assuntos t\u00e9cnicos, mas tamb\u00e9m lida com a tratativa da informa\u00e7\u00e3o em papel e aspectos humanos tais como a engenharia social.<\/p>\n Um modelo para expressar a ess\u00eancia da Seguran\u00e7a da Informa\u00e7\u00e3o \u00e9 o modelo CID. O acr\u00f4nimo significa confidencialidade, integridade e disponibilidade. De acordo com melhores pr\u00e1ticas amplamente aceitas, a informa\u00e7\u00e3o precisa ser classificada (e.g., p\u00fablica, interna ou confidencial), o que significa que o acesso deve ser organizado com base na \u201cnecessidade-de-saber\u201d. Integridade prove a garantia de que os resultados apresentados pelos sistemas de TI podem ser confiados e que n\u00e3o foram (intencionalmente ou n\u00e3o) manipulados. \u201cD\u201d significa disponibilidade \u2013 uma caracter\u00edstica da informa\u00e7\u00e3o pela qual ela pode ser acessada por pessoas autorizadas quando necess\u00e1rio. Por exemplo: um Sistema de TI que n\u00e3o est\u00e1 em execu\u00e7\u00e3o ou n\u00e3o est\u00e1 acess\u00edvel \u00e9 in\u00fatil. Se este sistema de TI \u00e9 de import\u00e2ncia para a organiza\u00e7\u00e3o (para o neg\u00f3cio), ele \u00e9 de interesse par aa abordagem de GCN tamb\u00e9m. Aqui n\u00f3s temos uma importante sobreposi\u00e7\u00e3o.<\/p>\n Leia o artigo: A l\u00f3gica b\u00e1sica da ISO 27001: Como a seguran\u00e7a da informa\u00e7\u00e3o funciona?<\/a>\u00a0Para saber mais sobre Seguran\u00e7a da Informa\u00e7\u00e3o.<\/p>\n Se identificamos um sistema que n\u00e3o est\u00e1 dispon\u00edvel, temos toda a motiva\u00e7\u00e3o para coloc\u00e1-lo de volta em opera\u00e7\u00e3o dentro de um per\u00edodo de tempo especificado. Esta janela de tempo, por sua vez, \u00e9 determinada durante a fase de an\u00e1lise de impacto no neg\u00f3cio do ciclo de vida da GCN (como descrito nas ISO 22301 e ISO 22317). A defini\u00e7\u00e3o de par\u00e2metros apropriados de RD TI \u00e9 importante dentro do contexto tanto da Seguran\u00e7a da Informa\u00e7\u00e3o quanto da Gest\u00e3o da Continuidade do Neg\u00f3cio. A ISO 27031 descreve os conceitos e princ\u00edpios da prontid\u00e3o das tecnologias da informa\u00e7\u00e3o e comunica\u00e7\u00e3o (TIC) para a continuidade de neg\u00f3cio, sendo a RD TI porte desta abordagem.<\/p>\n Leia o artigo: Understanding IT disaster recovery according to ISO 27031<\/a> para saber mais sobre recupera\u00e7\u00e3o de desastre de acordo com a ISO 27031.<\/p>\n Contudo, a RD TI<\/a>\u00a0\u00e9 apenas uma atividade reativa; uma abordagem apropriada de GCN e de SI igualmente demanda medidas proativas e preventivas para reduzir tanto a probabilidade quanto o impacto causado por um desastre por falha da TI. Isto \u00e9 feito projetando-se apropriadamente os sistemas de TI afetados, geralmente pela adi\u00e7\u00e3o de elementos redundantes, desta forma evitando os assim chamados \u201cpontos \u00fanicos de falha\u201d (abreviados como PUF).<\/p>\n N\u00f3s precisamos ser. Vamos reiterar: o \u201cN\u201d em GCN significa todo o neg\u00f3cio e cobre mais do que apenas a TI. A GCN precisa ser implementada de acordo com a ISO 22301.<\/p>\n Contudo, a TI geralmente \u00e9 um pilar muito importante da organiza\u00e7\u00e3o. Como tal, a TI n\u00e3o deveria ser exclu\u00edda de uma abordagem de GCN, mas precisa de implementa\u00e7\u00e3o dedicada de acordo com a s\u00e9rie de normas ISO 27000.<\/p>\n A RD TI \u00e9 uma disciplina espec\u00edfica, reativa direcionada para a restaura\u00e7\u00e3o dos sistemas de TI que pararam de operar. \u00c9 um elemento crucial tanto da GCN quanto da SI, mas \u00e9 bem in\u00fatil se usada como medida \u00fanica. Como uma t\u00e1tica isolada, a RD TI n\u00e3o prove nem prote\u00e7\u00e3o adequada para um neg\u00f3cio, nem \u00e9 um substituto para a abordagem de Seguran\u00e7a da Informa\u00e7\u00e3o.<\/p>\n A GCN certamente n\u00e3o \u00e9 uma quest\u00e3o interna de TI, e cobre muitos aspectos n\u00e3o relacionados a TI tamb\u00e9m. Uma implementa\u00e7\u00e3o apropriada da Seguran\u00e7a da Informa\u00e7\u00e3o \u00e9 uma parte essencial e ideal da constru\u00e7\u00e3o de uma abordagem hol\u00edstica da GCN.<\/p>\n Leia este artigo gratuito\u00a0<\/em> Integration of Information Security, IT and Corporate Governance<\/a> para saber como integrar diferentes sistemas dentro da organiza\u00e7\u00e3o.<\/em><\/p>\nV\u00e1rias situa\u00e7\u00f5es de interrup\u00e7\u00f5es<\/h4>\n
Seguran\u00e7a da Informa\u00e7\u00e3o (SI)<\/h2>\n
Seguran\u00e7a da Informa\u00e7\u00e3o em uma casca de noz<\/h4>\n
Recupera\u00e7\u00e3o de Desastre em TI (RD TI)<\/h2>\n
Esperando pelo desastre?<\/h4>\n
Sejamos cuidadosos com estes tr\u00eas termos<\/h2>\n