Em continuidade ao artigo (parte 1) sobre resiliência e continuidade de negócios com a ISO 22301, segue um resumo de como implementar e manter um Sistema de Gestão de Continuidade de Negócios (SGCN) segundo as recomendações dos especialistas e melhores práticas definidas na norma.
A ISO 22301 - Segurança e Resiliência - Sistema de Gestão de Continuidade de Negócios - Requisitos é a principal norma internacional sobre o tema (no Brasil, publicada como ABNT NBR ISO 22301)
Implementar um SCGN é fundamental para que as organizações estejam mais preparadas para os riscos disruptivos que podem afetar seus sistemas e instalações, contra ameaças tais como ataques cibernéticos, falhas no ambiente e eventos naturais como enchentes e desastres climáticos.
Baseado no ciclo PDCA, o documento orienta como Estabelecer (Plan), Implementar e Operar (Do), Monitorar e Analisar Criticamente (Check), Manter e Melhorar Continuamente (Act) um SGCN baseado na definição de uma política, liderança da alta direção, processos de gestão documentados e pessoal capacitado e com responsabilidades estabelecidas.
Antes de tudo, é preciso criar uma linguagem comum, a ISO 22301 apresenta os principais termos e definições que podem ser usados para uniformizar o vocabulário relativo à continuidade de negócios, como:
- continuidade de negócios: capacidade de uma organização continuar a entrega de produtos ou serviços em um nível aceitável com capacidade predefinida durante uma disrupção.
- plano de continuidade de negócios:informação documentada que orienta a organização a responder a uma disrupção e retomar, recuperar e restaurar a entrega de produtos e serviços de acordo com os objetivos de continuidade de negócios.
- análise de impacto nos negócios:processo de analisar o impacto de uma disrupção na organização ao longo do tempo.
- disrupção:incidente, seja previsto ou imprevisto, que causa um desvio não planejado e negativo da expectativa de entrega de produtos e serviços de acordo com os objetivos da organização
- impacto:consequência de uma disrupção que afeta os objetivos
- incidente:evento que pode representar ou levar à disrupção de negócios, perdas, emergências ou crises
- atividades prioritárias:atividades cuja urgência é determinada de forma a evitar impactos inaceitáveis aos negócios, durante uma disrupção
- risco:efeito da incerteza nos objetivos
A ISO 22301 define risco como o efeito da incerteza nos objetivos e está alinhada com as definições e processos da ISO 31000 - norma internacional de gestão de riscos
Para a implementação do SGCN, o primeiro passo é entender o contexto da organização, determinando as questões externas e internas relevantes para o seu propósito e que possam afetar sua capacidade de alcançar resultados. É preciso identificar e considerar as necessidades e expectativas de partes interessadas, bem como os requisitos legais e regulamentares aplicáveis à continuidade de seus produtos, serviços, atividades e recursos.
Na definição do escopo do SGCN deve estar claro que partes da organização, produtos e serviços estão incluídos, bem como documentar e justificar eventuais exclusões.
Liderança e comprometimento também é fator crítico de sucesso do SGCN, com a Alta Direção comunicando a sua importância, assegurando que a política e os objetivos da continuidade do negócio sejam estabelecidos, alocando os recursos necessários e seus papéis, responsabilidades e autoridades.
Ao planejar o SGCN, os riscos e oportunidades devem ser abordados para prevenir ou reduzir efeitos indesejados. Os objetivos de continuidade também precisam ser definidos nas funções e níveis relevantes, determinando o que deve ser feito, quais os recursos
requeridos, responsáveis, prazos e como os resultados serão avaliados.
As pessoas devem possuir as competências necessárias para realizar seu trabalho relacionado à continuidade e estar conscientes da política de continuidade de negócios e do seu papel e responsabilidades, antes, durante e depois das disrupções.
Parte importante do SGCN é a sua informação documentada, que deve estar atualizada, controlada e disponível para uso, onde e quando for necessária. Esta documentação serve como evidência do atendimento dos requisitos da norma e seu formato e extensão pode diferir de uma organização para outra devido ao porte, tipo de produtos e serviços, complexidade dos processos e suas interações, cadeia de valor e recursos disponíveis.
Em uma pesquisa rápida realizada no Linkedin sobre a situação do plano de continuidade de negócios: 26% indicaram que não possuem, 17% que existe, mas está desatualizado, 40%possuem e está em atualização e revisão e 17% apenas que está atualizado e automatizado.
Para planejar, implementar e controlar os processos do SGCN, a organização deve realizar a Análise de Impacto nos Negócios (em inglês, Business Impact Analysis - BIA) e a avaliação dos riscos de disrupção. Estes processos devem avaliar a continuidade das atividades que fornecem produtos e serviços críticos da organização, identificando os impactos de eventual disrupção e o prazo durante o qual a não retomada destas atividades se tornariam inaceitáveis.
Para realizar o processo de avaliação de riscos e requisitos de continuidade, a ISO 22301 indica como referência a ISO 31000, norma internacional de gestão de riscos.
A partir do resultado da avaliação de riscos e da BIA, a organização pode definir e selecionar estratégias e soluções de continuidade de negócios considerando opções para antes, durante e depois da disrupção. Estas soluções devem considerar os respectivos custos e benefícios associados a redução da probabilidade ou limitação do possível impacto a níveis aceitáveis ao longo do período da disrupção.
Com base no resultado das estratégias e soluções selecionadas, deve-se definir planos e procedimentos de continuidade de negócios para implementar e manter uma estrutura de resposta adequada durante uma disrupção, incluindo aviso e comunicação oportuna às partes interessadas e papéis e responsabilidades claramente definidos para cada equipe.
Estes planos de continuidade de negócios devem estar documentados com seu propósito, escopo e objetivos definidos, pessoal e suplentes identificados, responsabilidades estabelecidas e competências necessárias para desempenhar os papéis designados para responder a uma disrupção.
A organização deve ainda implementar e manter um programa de exercícios e testes para validar ao longo do tempo a eficiência e a validade das estratégias e soluções bem como apoiar a capacitação das equipes que têm papéis a executar em relação às disrupções.
Finalmente, o desempenho do SGCN deve ser medido e monitorado com indicadores e resultados. É recomendável ainda conduzir auditorias internas a intervalos planejados para fornecer informações sobre a conformidade do sistema e se está implementado e mantido eficazmente. Com estes resultados, é possível determinar oportunidades de melhoria e implementar as ações necessárias para alcançar os resultados pretendidos.
Para colaborar com conhecimentos e trocar experiências sobre GCN, temos no Brasil a Comissão Especial de Estudos da ABNT (CEE-063), responsável pela elaboração das normas internacionais de gestão de riscos e gestão de continuidade de negócios. Em breve entrará em Consulta Nacional a ABNT ISO TS 22317:2020 - Diretrizes para análise de impacto nos negócios (BIA). Para participar do grupo, podem me enviar e-mail direto para abastos@modulo.com.br.
Abraços e até a próxima,
Comentários: Publicada a continuação (parte 3) do artigo sobre resiliência e continuidade de negócios com a ISO 22301.https://www.linkedin.com/pulse/resiliência-e-continuidade-de-negócios-com-iso-22301-parte-bastos-1f
