Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Continuidade De Negócios

mvsecurity 623 views 3 slides Dec 08, 2013

Slide 1 of 3

About This Presentation

Artigo publicado na 8ª Edição da Revista Segurança Digital sobre a norma ISO/IEC 22301, apresentando a importância de um Sistema de Gestão de Continuidade de Negócios e como essa norma pode contribuir para a sua implementação e o desenvolvimento de estratégias para garantir a uma organiza�...

Size: 279.64 KB

Language: pt

Added: Dec 08, 2013

Slides: 3 pages

Slide Content

Numa pesquisa da CMI (Chartered Management
Institute) junto a seus membros, realizada em janei-
ro de 2012 no Reino Unido, sobre continuidade de
negócios, dos gestores cujas organizações não ti-
nham um Sistema de Gestão de Continuidade de
Negócios implementado, a grande maioria justificou
a sua ausência porque sua organização raramente
sofre de eventos perturbadores (54 por cento) e que
eles lidam com o rompimento quando ele ocorre (46
por cento). Embora essa seja uma abordagem mais
frequente em pequenas organizações, ela não se res-
tringe as mesmas.
No Brasil, se comparadas suas características
frente a outros países, pode-se afirmar que certa-
mente é um país privilegiado em relação a diversos
tipos de catástrofes naturais: não existem terremo-
tos, maremotos, tsunamis, furacões, dentre outros.
Há sim ocorrências de inundações, seca, e outras,
mas que poderiam ser bem menos trágicas caso fos-
sem feitos os investimentos necessários pelo poder
público, principalmente em projetos de prevenção.
Mas quando se trata de continuidade de negóci-
os, estes não são os únicos eventos que podem levar
a interrupções dos negócios de uma organização. A
esta lista, pode-se acrescentar:
Algumas das afirmações frequentes por parte de
organizações ao justificar a sua falta de preparação,
vão desde “Isso não vai acontecer com a gente”,
“Nós somos grandes demais para falir”, “Nós não
somos um alvo terrorista” até a crença de que a sua
companhia de seguros vai pagar por tudo. A maioria
acha que não tem o tempo para se preparar para al-
go que nunca irá acontecer. Mas a lista de empresas
que faliram após um incidente sugere que estas
afirmações são baseadas em falsas premissas.
Assim, a implementação de um Sistema de Ges-
tão de Continuidade de Negócios torna-se impres-
cindível a todas as organizações, a fim de antecipar
incidentes que possam afetar suas funções de mis-
são crítica e seus processos de negócios, garantindo
que possam responder de forma planejada e ensaia-
da a esses incidentes.
|29
Interrupção do fornecimento de energia ou de
telecomunicações;
Falha de aplicativos ou corrupção de banco de
dados;
Erro humano, sabotagem ou ataque;
Ataques de software malicioso (vírus, worms,
cavalos de Tróia);
Hacking ou outros ataques na Internet;
Agitação social ou ataques terroristas;
Fogo, dentre outros.
Setembro 2012 •
segurancadigital.info
ISO 22301: A Norma ISO Para Gestão De
Continuidade De Negócios
•
•
•
•
•
•
•
Falha de equipamentos (como falha no disco);•

GGeessttããooddeeCCoonnttiinnuuiiddaaddeeddeeNNeeggóócciiooss
Segundo o Business Continuity Institute (BCI),
Gestão de Continuidade de Negócios (GCN) é um
processo holístico que identifica potenciais ameaças
para uma organização e os impactos para as opera-
ções de negócios que essas ameaças, se concretiza-
das, podem causar. Ele fornece uma estrutura para a
construção de resiliência organizacional com a ca-
pacidade para uma resposta eficaz que salvaguarde
os interesses das principais partes interessadas, a re-
putação da marca, e atividades de criação de valor.
De acordo com essa definição, uma organização
deve examinar os riscos e ameaças a que está expos-
ta e estudar a melhor forma de lidar com um inci-
dente que venha a ocorrer. A escolha da palavra
“incidente” em vez de “desastre” é importante, uma
vez que o termo “desastre” imediatamente evoca
imagens de uma explosão, incêndio ou graves inun-
dações. “Incidente” inclui estas ocorrências, mas
abrange também falta de energia, falha de telecomu-
nicações, fraude, contaminação de produtos, e ou-
tros eventos que não se encaixam sob o significado
geralmente aceito de desastre. O foco do GCN não é
sobre planos e procedimentos para as coisas cotidia-
nas que dão errado, mas sim com incidentes signifi-
cativos que têm um impacto considerável sobre as
atividades centrais da organização, assegurando a
existência de planejamento, envolvimento significa-
tivo de pessoal adequado, aceitação e posse do pla-
no, e testes completos garantindo uma resposta
adequada.
IISSOO2222330011
Neste contexto, a ISO (International Organizati-
on for Standardization) lançou a norma ISO 22301
“Segurança Social – Sistemas de gestão de continui-
dade de negócios – Requisitos”, a nova norma inter-
nacional que vem substituir a norma Britânica
BS25999.
Como ocorre em outras normas ISO, a ISO
22301 especifica requisitos genéricos, que são apli-
cáveis a todos os tipos de organizações, tais como
empresas públicas, privadas ou comunitárias, inde-
pendente da sua dimensão e natureza.
Os requisitos, que constituem o escopo da nor-
ma, são para planejar, estabelecer, implementar,
operar, monitorar, rever, manter e melhorar continu-
amente um sistema de gestão documentado de modo
a preparar uma organização para responder e recu-
perar-se de eventos que possam interromper seu
funcionamento normal, caso ocorram.
Para alcançar os objetivos pretendidos pela nor-
ma, a ISO 22301 chama atenção para os seguintes
pontos a serem observados pelas organizações na
implementação de um SGCN:
A estrutura apresentada pela norma segue o pa-
drão do ISO Guide 83, que é a nova estrutura de al-
to nível para normas de sistemas de gestão e termos
e definições comuns fundamentais para estes siste-
mas. Apresenta-se assim, formada pelas seguintes
cláusulas e atividades:
CCllááuussuullaa44::CCoonntteexxttooddaaoorrggaanniizzaaççããoo
O objetivo dessa cláusula é buscar um alinha-
mento estratégico entre a Política da Organização
(missão, valores, estratégias, objetivos) e sua Políti-
ca de Continuidade de Negócios (objetivos de con-
tinuidade de negócios), através da compreensão das
principais questões que surgem a partir da identifi-
cação dos objetivos estratégicos da organização,
seus produtos e serviços essenciais, sua tolerância
aos riscos e os requisitos legais, regulamentares,
contratuais ou das partes interessadas aos quais a
organização esteja submetida.
CCllááuussuullaa55::LLiiddeerraannççaa
Essa cláusula enfatiza a importância da alta ges-
tão estar comprometida continuamente com o
SGCN, uma vez que sua liderança permitirá a cria-
ção de um ambiente onde o sistema de gestão possa
operar efetivamente. As responsabilidades designa-
das vão desde a integração dos requisitos do SGCN
aos processos de negócio da organização, o forneci-
mento dos recursos necessários para o SGCN, até
assegurar que os objetivos e planos são estabeleci-
dos, dentre outras.
CCllááuussuullaa66::PPllaanneejjaammeennttoo
ARTIGO
Segurança Digital
|30 Setembro 2012 •segurancadigital.info
1. Compreender as necessidades da organiza-
ção e a necessidade de estabelecer objetivos para/e
uma política de gestão de continuidade de negóci-
os;
2. Implementação e operação de controles e de
medidas para gerenciar a capacidade global de
uma organização, no que respeita à gestão de inci-
dentes que possam causar interrupções nas opera-
ções normais da mesma;
3. Monitoração e avaliação de desempenho e
eficácia do SGCN; e
4. Melhoria contínua baseada em medição ob-
jetiva.

O planejamento é a fase onde se estabelecem os
objetivos estratégicos e os princípios que orientarão
o SGCN, e devem ser coerentes com a política de
continuidade de negócios, definirem o nível mínimo
de produtos e serviços aceitável para a organização,
ser mensuráveis, considerar os requisitos aplicáveis
e monitorados e atualizados conforme as necessida-
des.
CCllááuussuullaa77::AAppooiioo//SSuuppoorrttee
Essa cláusula trata da utilização dos recursos ne-
cessários para cada uma das tarefas que fazem parte
da gestão do SGCN. Abrange pessoas, equipes e
serviços de apoio, além das atividades de comunica-
ção interna e externa. Define também as especifica-
ções para garantir que a informação documentada
forneça o apoio necessário.
CCllááuussuullaa88::OOppeerraaççããoo
Nessa fase, são descritas as atividades a serem
executadas para implementar o SGCN e colocá-lo
em operação conforme o planejado:
CCllááuussuullaa99::AAvvaalliiaaççããooddeeddeesseemmppeennhhoo
Essa cláusula define um processo de
acompanhamento contínuo do SGCN, através de
atividades que consistem em monitoramento do
sistema em todas as suas fases, medição do
desempenho dos processos, procedimentos e
funções, monitoramento do cumprimento da norma
e dos objetivos de continuidade de negócios e
execução de auditorias internas.
CCllááuussuullaa1100::MMeellhhoorriiaa//AAppeerrffeeiiççooaammeennttoo
O processo de melhoria contínua é definido
como o conjunto de ações que serão tomadas a fim
de aumentar a eficácia e eficiência do Sistema de
Gestão de Continuidade de Negócios, ampliando os
benefícios esperados pela organização e demais
partes interessadas.
A implementação de um Sistema de Gestão de
Continuidade de Negócios tendo a norma ISO
22301 como referência, certamente irá oferecer às
organizações que a utilizem a expectativa de
alcançarem êxito no desenvolvimento de suas
estratégias para garantir que seus processos críticos
de negócio estarão preservados em caso de
incidentes disruptivos, permitindo a continuidade
das operações até a restauração da normalidade.
Além deste, que é o principal benefício a ser
alcançado na adoção de um SGCN, outros que
podem ser citados são: conformidade com
normativos, redução de custos com seguros, evitar
grandes perdas de receitas, clientes, mercado, e até
mesmo evitar o encerramento da companhia.
ARTIGO
Segurança Digital
|31 Setembro 2012 •segurancadigital.info
Análise de Impacto de Negócios (AIN): Pro-
cesso de identificação dos processos críticos, suas
interdependências e do efeito que a interrupção
dos negócios pode ter sobre eles.
Avaliação de Riscos: Processo global de iden-
tificação de riscos, análise de risco e avaliação do
risco, sendo recomendado a utilização da ISO
31000 como referência para a sua implementação.
Estratégia de Continuidade de Negócios: De-
finição das estratégias necessárias para garantir
que a organização possa recuperar suas atividades
críticas tendo como base os requisitos estabeleci-
dos na AIN e na avaliação de riscos, alinhadas
com a estratégia global de negócios da organiza-
ção.
Procedimentos de continuidade de negócios:
Compreende a documentação dos procedimentos
necessários para garantir a continuidade das ativi-
dades e gestão de um incidente disruptivo. Algu-
mas características são esperadas nesses
procedimentos, como serem específicos sobre as
medidas a serem adotadas, flexíveis no modo de
resposta, focados no impacto dos eventos e efici-
entes a ponto de minimizar as consequências dos
incidentes.
Procedimentos de exercícios e testes: Processo
de validação dos planos de continuidade de negó-
cios e procedimentos definidos, a fim de garantir
que as estratégias escolhidas serão capazes de
atender os requisitos de recuperação esperados.
Diferentes tipos de exercício podem ser utilizados,
•
•
•
•
•
e deve-se avaliar os benefícios e desvantagens de
cada um, evitando ficar restrito a apenas um dos
tipos possíveis.
Marcelo Veloso
MBA em Gestão de Segurança da Informa-
ção pela Universidade FUMEC, Bacharel
em Sistemas de Informação pela Universi-
dade PUC-Minas, com 18 anos de experiên-
cia em TIC, atuando na área de
infraestrutura e ocupando cargos de coorde-
nação e gestão. Certificações: MCSA, MCITP, MCTS,
MCDST, MCP, ITIL Foundation e ISO/IEC 27002. Atual-
mente é Assessor na SEPLAG/MG, coordenando projetos de
Segurança da Informação no âmbito da Cidade Administrativa
de Minas Gerais.
Twitter: @MVSecurityBR
E-mail: [email protected]
Site: www.arya.com.br