Uma ampla variedade de incidentes podem interromper as atividades de uma organização, alguns mais óbvios e repentinos como ransomware, ataque cibernético ou incêndios e, outros mais difíceis de prever, ou graduais como por exemplo a pandemia.
Para evitar perdas e garantir que continue oferecendo produtos ou serviços em níveis aceitáveis após uma disrupção, a norma ABNT NBR ISO 22301 fornece requisitos para implementar um Sistema de Gestão de Continuidade de Negócios (SGCN). E como norma complementar, a ABNT NBR ISO 22313, com orientações baseadas nas melhores práticas e também exemplos e uma série de figuras que fornecem explicações e esclarecem pontos-chave.
Semelhante a dupla de normas ISO 27001 e 27002 para segurança da informação, a relação entre a ISO 22301 e ISO 22313 é similar, onde a ISO 22301 é a norma principal que especifica requisitos, passível de certificação, enquanto a ISO 22313 é uma norma complementar que fornece orientações e melhores práticas para a implementação.
Por tratar-se de uma norma de requisitos, tudo que está prescrito na ISO 22301 deve ser obrigatoriamente implementado. No caso da ISO 22313, as orientações são opcionais, ou seja, diretrizes e recomendações sugeridas.
Em português, os requisitos de uma norma ISO são especificados no texto dos documentos como “deve” (em inglês, "shall") enquanto as diretrizes são escritas como “convém que” (em inglês, "should").
A ABNT NBR ISO 22313 - Segurança e Resiliência - Sistemas de gestão de continuidade de negócios – Orientações para o uso da ABNT NBR ISO 22301 foi elaborada pela Comissão de Estudo Especial de Gestão de Riscos (ABNT/CEE-063) e é uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO 22313:2020, que foi elaborada pelo Technical Committee Security and Resilience (ISO/TC 292).
Baseadas em boas práticas internacionais, as orientações da ISO 22313 são aplicáveis a todos os tamanhos e tipos de organizações. A implementação de uma continuidade de negócios eficaz, contribui para uma sociedade mais resiliente, abrangendo a comunidade em geral e terceiros, onde existe uma relação de dependência entre as muitas organizações.
Alguns dos muitos benefícios de acordo com a norma, além de aumentar a capacidade de resposta e prontidão para continuar operando durante disrupções, é também uma melhor compreensão dos relacionamentos internos e externos da organização, melhor comunicação com as partes interessadas e a criação de um ambiente de melhoria contínua.
Como possíveis resultados da implementação de um SGCN, a norma ainda cita:
- proteger a vida, os ativos e o meio ambiente;
- proteger e aprimorar a reputação e credibilidade da organização;
- contribuir para a vantagem competitiva, permitindo que opere durante disrupções;
- reduzir custos decorrentes de disrupções e melhorar a capacidade de permanecer eficaz durante eles;
- contribuir para a resiliência organizacional geral;
- ajudar a tornar as partes interessadas mais confiantes no sucesso da organização;
- reduzir a exposição legal e financeira da organização;
- demonstrar a capacidade da organização de gerenciar riscos e solucionar vulnerabilidades operacionais.
Em resumo, a gestão da continuidade de negócios envolve:
a) identificar os produtos e serviços da organização e as atividades que os entregam;
b) analisar os impactos de não retomar as atividades e os recursos dos quais dependem;
c) compreender o risco de disrupção;
d) determinar prioridades, prazos, capacidades e estratégias para retomar a entrega de produtos e serviços;
e) ter soluções e planos para retomar as atividades dentro dos prazos requeridos após uma disrupção;
f) garantir que esses arranjos sejam analisados criticamente e atualizados de forma regular para que sejam eficazes em todas as circunstâncias.
Ciclo Plan-do-check-act
A ISO 22313 adota o modelo “Plan-do-check-act” (PDCA) para a eficácia do SGCN. Iniciando com o contexto e a criação de uma política de continuidade de negócios, objetivos, metas, controles, processos e procedimentos para continuidade de negócios (Plan), seguindo com a implementação e operação (Do), monitorando e avaliando os indicadores (Check) e mantendo e melhorando o SGCN com ações corretivas (Act).
Algumas figuras da ISO 22313 ajudam o entendimento do processo e controles, como por exemplo a imagem que ilustra como a gestão da continuidade de negócios pode ajudar na mitigação de impactos em determinadas situações, como em uma disrupção súbita.
Ao estabelecer o SGCN, a organização precisa identificar suas partes interessadas e, determinar os requisitos com base em suas necessidades e expectativas. Exemplo de partes interessadas nos setores público e privado:
A norma define também os elementos da gestão de continuidade de negócios:
- Planejamento e controle operacional
- Análise de impacto nos negócios e avaliação de riscos
- Estratégias e soluções de continuidade de negócios
- Planos e procedimentos de continuidade de negócios
- Programa de exercícios
- Avaliação da documentação e das capacidades de continuidade de negócios
Em resumo, as orientações da ISO 22313 visam apoiar a implementação dos requisitos da ISO 22301, fornecendo mais detalhes, sugestões e exemplos para a implementação, bem como auxiliando na resolução de quaisquer problemas de interpretação.
Para mais detalhes sobre a ISO 22301, recomendo a série de artigos sobre Resiliência e continuidade de negócios com a ISO 22301 (parte 1, parte 2 e parte 3). E para os interessados em participar da Comissão Especial de Estudos da ABNT (CEE-063) sobre Gestão de Riscos e Gestão de Continuidade de Negócios, podem me enviar e-mail direto para abastos@modulo.com.
Abraços e até a próxima,
Para apoiar na implementação de seu SGCN baseado na ISO 22301 e ISO 22313, a Modulo Security oferece serviços de Consultoria e Sistema Continuity Manager que automatiza os processos do SGCN. Para mais informações, entre em contato.
