Fundamentos em gestão de continuidade de negócios

com base na ISO 22301

Preparatório para o exame
EXIN Business Continuity Management Foundation

Curso completo para você

compreender os requisitos da
ISO 22301

Curso atualizado para o exame atual

Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica

Versão: 2.0 Liberação: 21/09/19
deste material sem a permissão expressa do autor.
Módulo 1 - Introdução à GCN

Módulo 1 – Parte 1

Introdução à gestão de
continuidade de negócios (GCN)

Este módulo cobre:

▪ Introdução à gestão de continuidade de negócios Parte 1

(GCN).

▪ Visão geral da norma ISO 22301. Parte 2

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 2

Tópico

Introdução à gestão de
continuidade de negócios

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 3

Módulo 1 - Introdução à GCN

Qual é o planejamento da sua empresa para estes eventos?

Roubo de ativos
Ataque de hackers Incêndio

Enchente

Furacão

Terremoto

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 4

Módulo 1 - Introdução à GCN

Principais áreas de risco que costumam gerar impactos no negócio

Edifícios, ambiente de
Pessoas Informações e dados trabalho e utilidades
associados

Instalações de
Sistemas de TIC Transporte
equipamentos

Parceiros e
Finanças
fornecedores

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 5

Módulo 1 - Introdução à GCN

Mudança de negócios
Temos também que considerar, que a realidade das organizações hoje é diferente da de 10,
20 anos atrás, o que provoca uma pressão para que a organização tenha uma garantia de
continuidade de negócio e tempos de recuperação cada vez menores.

Realidade nas
organizações

Muitos negócios são online Processos de negócio

com uma operação 24 horas altamente dependentes de
por 7 dias por semana. tecnologia da informação.

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 6

Módulo 1 - Introdução à GCN

Falhas em componentes de apoio podem interromper

atividades do negócio

Atividade de negócio Atividade de negócio

Se um destes componentes ficar

Pode depender de vários
indisponível, a atividade de
componentes para sua realização:
negócio pode ser interrompida.

Falha

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 7

Módulo 1 - Introdução à GCN

O que é continuidade de negócio?

Continuidade de negócios

É a capacidade da organização de continuar a entrega de produtos ou serviços, em um

nível aceitável, previamente definido, após incidentes de interrupção.
Fonte: ISO 22300

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 8

 Módulo 1 - Introdução à GCN

Importância de uma continuidade de negócio

É qualquer tipo de incidente que
interrompe as operações (ou atividades)
Incidente de de uma organização.
interrupção

Perda de tempo/produtividade

Com estratégia de Sem estratégia de

continuidade de continuidade de Tempo
Uma boa estratégia negócios negócios
de continuidade
Impacto negativo

reduz o impacto
negativo e agiliza a
Prejuízo nos resultados financeiros,
recuperar a partir
reputação e relações-chave
de todos os tipos
de crises
corporativas.

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 9

Módulo 1 - Introdução à GCN

O que é gestão de continuidade de negócios (GCN)?

A gestão de continuidade de negócios (GCN) é um processo:

Abrangente de gestão que identifica ameaças potenciais

para uma organização e os possíveis impactos nas
operações de negócio, caso estas ameaças se concretizem.

Que fornece uma estrutura para que se desenvolva uma

resiliência organizacional, que seja capaz de responder,
eficazmente, e salvaguardar os interesses das partes
interessadas, a reputação e a marca da organização e suas
atividades de valor agregado.

Fonte ISO 22301

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 10

Módulo 1 - Introdução à GCN

O que é resiliência?

Resiliência

Capacidade de um material voltar ao seu estado normal depois de ter sofrido tensão.

Fonte: Wikipedia

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 11

Módulo 1 - Introdução à GCN

Com o que a GCN se envolve?

A GCN não é complicada. Ela envolve:

Identificar os produtos e serviços-chave da organização.

Identificar as atividades priorizadas e recursos requeridos

para entregá-las.

Avaliar ameaças a estas atividades e suas dependências.

Colocar arranjos em vigor para retornar estas atividades

após um incidente.

Assegurar que estes arranjos serão efetivos em todas as

circunstâncias.

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 12

 Módulo 1 - Introdução à GCN

A GCN foca no impacto de uma interrupção

▪ Atividades podem ser interrompidas por uma variedade de
incidentes, muitos deles são difíceis de serem previstos.
▪ Focando no impacto de uma possível interrupção, a GCN Análise de
identifica aquelas atividades de que a organização depende para Impacto no
a sua sobrevivência e possibilita à organização determinar o que Negócio
é requerido para atender suas obrigações. (AIN/BIA)

Por meio da GCN, uma

organização pode reconhecer Com esse
que ela precisa proteger antes de reconhecimento, a Assim poder estar
um incidente acontecer: organização poderá confiante na gestão
✓ Pessoas; ter uma visão realista das consequências
✓ Instalações; das respostas e evitar níveis de
✓ Tecnologia da informação; necessárias quando impactos
✓ Cadeia de suprimentos; uma interrupção inaceitáveis.
✓ Partes interessadas; acontecer.
✓ Reputação.

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 13

Módulo 1 - Introdução à GCN

Para se ter continuidade, é necessário ter planejamento

Planejamento e preparação Resposta Recuperação

Plano de
resposta a
incidente Gestão de
Identificação Identificar crise
de riscos e opções de
AIN resposta Resposta de
continuidade Resposta de
Treinamento, recuperação
exercícios e Desenvolver
manutenção GCN

Incidente de
interrupção

Tempo
Monitoramento e revisão

Comunicação

Fonte: Adaptado de Marsh & McLennan Companies

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 14

GCN e tratamento de riscos

Identificar os riscos é crucial para o trabalho de gestão da continuidade de negócios.

Tratamento de
riscos

Aumenta/ Evita/remove/
retém Compartilha
altera

Continuidade de
Risco residual
negócios

® Todos os direitos reservados. Proibida a redistribuição deste material. 15

Módulo 1 - Introdução à GCN

O que não é gestão de continuidade de negócios?

Para evitar interpretações erradas, é importante explicar o
que não é gestão de continuidade de negócios:

Continuidade de negócios é um trabalho para o

pessoal de TI

É preciso considerar, que em caso de uma interrupção, não

apenas os sistemas de informação de TI serão afetados.

Continuidade de negócios é igual a planos de

continuidade de negócio

Não basta escrever planos, é necessário garantir que estes

planos funcionem, que você saiba priorizar o que recuperar
primeiro, tempos de recuperação, etc.

Continuidade de negócios é um trabalho realizado uma

única vez

Em vez disso, é algo contínuo.

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 16

Módulo 1 - Introdução à GCN

Falhas mais comuns na continuidade de negócios

1. Falta de comprometimento da alta direção.
2. Planos teóricos.
3. Estratégias orientadas apenas pela tecnologia da informação.
4. Posicionamento como simples estratégia para redução de riscos.
5. Foco único no cumprimento de normas e regulamentos.
6. Manutenção inadequada dos planos.

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 17

Módulo 1 - Introdução à GCN

Módulo 1 – Parte 2

Introdução à gestão de
continuidade de negócios (GCN)

Este módulo cobre:

▪ Introdução à gestão de continuidade de negócios Parte 1

(GCN).

▪ Visão geral da norma ISO 22301. Parte 2

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 18

Tópico

Visão geral da ISO 22301

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 19

Módulo 1 - Introdução à GCN

Quem é a ISO?
▪ ISO é uma rede de organismos nacionais de
normalização de mais de 160 países.
▪ Os resultados finais do trabalho feito pela ISO
são publicados como normas internacionais.
▪ Eles publicaram mais de 19.000 normas
desde 1947.
▪ No Brasil, as normas ISO são traduzidas pela
ABNT.

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 20

Módulo 1 - Introdução à GCN

Principais normas para continuidade de negócios

ISO 22301
(Requisitos SGCN)

ISO 22313
(Orientações para o SGCN)

ISO 22300 ISO/TS 22317 ISO/TS 22318 ISO 22398

(Vocabulário) (Diretrizes Análise (Diretrizes para a (Guia para
de Impacto no continuidade da exercícios)
Negócio – cadeia de
AIN/BIA) suprimentos)

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 21

Módulo 1 - Introdução à GCN

Visão geral da ISO 22301

▪ Especifica os requisitos para um sistema de gestão
de continuidade de negócios (SGCN).
▪ Os requisitos (cláusulas) são escritos usando a
palavra "deve“, ou seja, o verbo “dever” no
imperativo.
▪ É auditável.
→A organização pode ser certificada com base
nesta norma.
▪ Pode ser adquirida em português no site
www.abntcatálogo.com.br

Praticamente todos os requisitos desta norma serão cobertos nos slides do curso.

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 22

Módulo 1 - Introdução à GCN

Visão geral da ISO 22313

▪ Guia de boas práticas para implementar e melhorar o INTERNATIONAL
ISO
Sistema de Gestão de Continuidade de Negócios 22313
STANDARD

(documento de referência).
▪ As cláusulas são escritas usando a palavra “convém“
para fornecer orientações sobre a implementação.
▪ A organização não pode ser certificada com base ______________________________________
_________
nesta norma.
Societal security-Business continuit
▪ Esta norma é aplicável a qualquer tipo de Management Systems –Gidance

organização.
▪ Disponível em português em
www.abntcatálogo.com.br.

____________________________________________
_____

Na lista de MATERIAL EXTRA há uma versão “draft” desta norma em inglês para você se
familiarizar com sua estrutura. Esta versão é gratuitamente na internet.

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 23

Módulo 1 - Introdução à GCN

Relação da ISO 22301 com a segurança da informação

Gestão de riscos

Gestão de segurança da
informação

Gestão de continuidade Segurança

de negócios cibernética

Gestão de TI

Fonte: IS&BCA, 2013

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 24

Módulo 1 - Introdução à GCN

O ciclo PDCA
A norma ISO 22301 aplica o ciclo PDCA (Plan-Do-Check-Act) para planejamento,
estabelecimento, implementação, operação, revisão, manutenção e melhoria contínua da
eficácia do Sistema de Gestão de Continuidade de Negócios da organização.

Melhoria contínua do SGCN

Estabelecer
Partes um SGCN
Partes
(Plan)
Interessadas Interessadas

Manter e Implementar e
melhorar o operar o
SGCN (Act) SGCN (Do)

Requisitos
Continuidade
para Monitorar e de negócios
continuidade analisar o
gerenciada
de negócios SGCN
(Check)

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 25

Módulo 1 - Introdução à GCN

Explicação do ciclo PDCA

A associação ao ciclo PDCA na norma ISO 22301 ocorre da seguinte forma:

Plan Estabelecer política, objetivos, metas, controles, processos e

(Estabelecer) procedimentos de continuidade de negócios relevantes para melhorar
a continuidade do negócio, a fim de produzir resultados que se
alinhem às políticas e objetivos gerais da organização.
Do
(Implementar e Implementar e operar a política, controles, processos e
operar) procedimentos de continuidade do negócio.

Check Monitorar e rever o desempenho em relação aos objetivos e políticas

(Monitorar e de continuidade do negócios, relatar os resultados para a direção
revisar) fazer a revisão, e determinar e autorizar as ações para remediação e
melhoria.

Act Manter e melhorar o SGCN, tomando ações corretivas, com base nos
(Manter e resultados da análise crítica da direção, e reapreciando o escopo do
melhorar) SGCN e a política e os objetivos de continuidade do negócios.

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 26

Módulo 1 - Introdução à GCN

Estrutura da ISO 22301

2 Referências 3 Termos e
0 Introdução 1 Escopo
normativas definições

4 Contexto da
5 Liderança 6 Planejamento 7 Suporte
organização

P
9 Avaliação de
8 Operação 10 Melhoria Act Plan
desempenho

Check Do

Podemos associar as cláusulas da norma às fases do PDCA

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 27

Módulo 1 - Introdução à GCN

Estrutura da ISO 22301

Descreve partes do sistema de gestão, o ciclo do Plan-Do-Check-Act

0 Introdução (PDCA) e como cada cláusula está relacionada a cada fase no ciclo
PDCA.
Descreve a que tipos de organizações esta norma é aplicável e o que
1 Escopo
as empresas podem alcançar com esta norma.
2 Referências Faz referência a outras normas (para terminologia e vocabulário).
normativas
3 Termos e As definições são dadas para os termos de continuidade de negócios
definições mais importantes.
Aborda o entendimento do que a organização faz, em quais
4 Contexto da
circunstâncias, quem são as partes interessadas e quais são seus
organização
requisitos, e uma definição do escopo para o SGCN.
Aborda o suporte da alta direção para suportar o SGCN - mostrando
5 Liderança compromisso, definindo a política de continuidade do negócio, bem
como papéis, responsabilidades e autoridades.
Aborda uma necessidade importante de apontar os riscos e, ainda
6 Planejamento mais importante: a necessidade de estabelecer os objetivos de
continuidade dos negócios.

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 28

Módulo 1 - Introdução à GCN

Estrutura da ISO 22301

Aborda a necessidade de fornecer recursos e de treinar o pessoal,

tornando-o consciente da importância da continuidade do negócio.
7 Suporte
Também define o que comunicar e para quem e como gerenciar a
documentação.
Engloba os requisitos para análise de impacto de negócios, avaliação
8 Operação de riscos, estratégia de continuidade de negócios, resposta a
incidentes, panos de continuidade, recuperação, exercícios e testes.
Engloba os requisitos para monitoramento, medição, avaliação,
9 Avaliação de
auditoria interna e análise crítica pela direção. Muito semelhante aos
desempenho
requisitos da norma ISO 9001 e ISO 27001.
10 Melhoria Aborda não conformidades, ações corretivas e melhoria contínua.

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 29

 Módulo 1 - Introdução à GCN

Visão geral das cláusulas da ISO 22301

Contexto da Avaliação de
Planejamen-
organização Liderança (5) Suporte (7) Operação (8) desempenho Melhoria (10)
to (6)
(4) (9)

Ações para Planejamento e Não

Entendendo a Monitoramento,
Liderança e direcionar Recursos (7.1) controle conformidade e
organização e medição,
comprometi- riscos e operacional ações
seu contexto análise e
mento (5.1) oportunidades (8.1) corretivas
(4.1) avaliação (9.1)
(6.1) (10.1)
Competência
Entendendo as Comprometi- (7.2) AIN e análise
necessidades e Objetivos de Melhoria
mento da de riscos (8.2) Auditoria
expectativas CN e planos contínua (10.2)
direção (5.2) interna (9.2)
das partes para alcançá-
interessadas los (6.2) Conscientiza-
(4.2) ção (7.3) Estratégia de
CN (8.3)
Analise crítica
Política (5.3)
pela Direção
Determinando Comunicação (9.3)
o escopo do (7.4) Estabelecendo
SGCN (4.3) Papéis, e
responsabili- implementando
dades e procedimentos
Informação
autoridades de CN (8.4)
documentada
SGCN (4.4) organizacio-
(7.5)
nais (4.4)
Exercitando e
testando (8.5)
Dica: baixe o índice da norma ISO 22301 na lista
® TodosEXTRA
de MATERIAL os direitos reservados. Proibida a redistribuição deste material. Slide 30
Módulo 1 - Introdução à GCN

Benefícios da continuidade de negócios

A implementação da ISO 22301 ajuda a organização na realização dos seguintes

benefícios:

Auxílio no Continuidade das

Melhor
cumprimento de Proteção física atividades
compreensão da
requisitos do das pessoas essenciais da
organização
negócio organização

Redução de Respeito às partes Aumento da

interessadas (seu Proteção da
custos para lidar confiança por
investimento ou reputação e da
com incidentes serviços/produtos
parte dos
marca
de interrupção que usam) clientes

Cumprimento de
Vantagem
Cumprimento de Cumprimento contratos com
competitiva no
requisitos legais normativo clientes /
mercado
parceiros

® Todos os direitos reservados. Proibida a redistribuição deste material. Slide 31