Gestão de Continuidade do

Negócio com as normas:

ISO/IEC 22301 e
22313:2012

JARDEL
CARLOS
Gestão de Continuidade do Negócio
É fundamental para garantir a resiliência e a capacidade de resposta
das organizações diante de eventos disruptivos. Neste cenário as
normas ISO/IEC 22301:2012 e 22313:2012 desempenham um papel
crucial ao fornecerem diretrizes e melhores práticas para a
implementação de um Sistema de Gestão da Continuidade mais
eficiente, além de Manter a operação contínua e a entrega de
produtos/serviços, mitigando impactos financeiros, reputacionais
etambem legais.
 ISO/IEC 22301 e 22313:2012
ISO/IEC 22301 –SGCN (Requisitos para um Sistema de Gestão da Continuidade do
Negócio)

• Identificação de necessidades e expectativas das partes interessadas.

• Avaliação de riscos e implementação de medidas de controle.

• Desenvolvimento de planos de continuidade do negócio.

• Testes e exercícios para verificar a eficácia do SGCN.

Identificação de necessidades e expectativas
das partes interessadas.
• Diálogo direto: Realização de reuniões, entrevistas e ou pesquisas
com as partes interessadas.
• Análise de documentos: Revisão de documentos internos e externos,
como contratos, regulamentos, políticas, normas do setor, relatórios
de clientes.
• Feedback e reclamações: Monitoramento de feedback, sugestões e
reclamações das partes interessadas, como clientes, fornecedores ou
funcionários.
• Benchmarking: Comparar as práticas de organizações similares ou
líderes do setor.
Avaliação de riscos e implementação de medidas de controle.

• Avaliação de riscos: A organização deve identificar os riscos internos e externos que podem
causar interrupções no negócio. Isso pode ser feito através de técnicas como análise de
impacto nos negócios (BIA)
• Análise e classificação de riscos: Os riscos identificados são analisados quanto à sua
probabilidade de ocorrência e impacto potencial na continuidade do negócio. Com base nessa
análise, os riscos são classificados em categorias, como alta, média e baixa.
• Implementação de medidas de controle: Com base na análise de riscos, a organização deve
implementar medidas de controle para reduzir a probabilidade de ocorrência dos riscos
identificados e mitigar seu impacto. Essas medidas podem incluir planos de contingência,
sistemas de backup, treinamento de funcionários e acordos com fornecedores alternativos.
• Monitoramento e revisão: Após a implementação das medidas de controle, é essencial
monitorar continuamente a eficácia das medidas e revisar periodicamente a avaliação de riscos.
Isso permite identificar novos riscos, revisar as medidas de controle existentes e garantir que o
SGCN permaneça atualizado e eficaz ao longo do tempo.
Desenvolvimento de planos de continuidade do negócio.

• Identificação dos processos críticos: A organização identifica os processos e atividades que são essenciais.
• Avaliação de impacto nos negócios (BIA): É realizada uma análise de impacto nos negócios para determinar as
consequências financeiras, operacionais e reputacionais de uma interrupção em cada processo crítico.
• Definição de objetivos de recuperação: Com base na análise de impacto nos negócios, são estabelecidos os
objetivos de recuperação para cada processo crítico. Esses objetivos definem o tempo máximo de interrupção
tolerável (MTPD) e o ponto de recuperação objetivo (RPO) para cada processo.
• Desenvolvimento dos planos de continuidade do negócio: Com os objetivos de recuperação estabelecidos, os
planos de continuidade do negócio são desenvolvidos. Esses planos incluem procedimentos detalhados e
medidas específicas para a recuperação dos processos críticos, como acionamento de equipes, realocação de
recursos, recuperação de dados e sistemas, entre outros.
• Testes e exercícios: Os planos de continuidade do negócio são testados e revisados regularmente por meio de
exercícios e simulações. Isso ajuda a identificar falhas, ajustar procedimentos e melhorar a eficácia dos planos.
• Manutenção e atualização: Os planos de continuidade do negócio devem ser mantidos e atualizados
regularmente para refletir mudanças na organização, nas operações e no ambiente de negócios. Isso garante
que os planos estejam sempre alinhados com as necessidades e requisitos atuais.
Testes e exercícios para verificar a eficácia do SGCN.

• Tipos de testes e exercícios: A norma sugere diferentes tipos de testes e exercícios que podem ser realizados, como
testes de mesa, testes funcionais, exercícios de simulação, exercícios em tempo real, entre outros. Cada tipo tem
seu propósito específico e oferece diferentes níveis de complexidade.

• Planejamento: Antes de realizar os testes e exercícios, é necessário fazer um planejamento adequado. Isso inclui
estabelecer objetivos claros, definir o escopo dos testes, identificar as partes interessadas envolvidas, alocar
recursos necessários e estabelecer critérios de avaliação.

• Execução: Durante a fase de execução, os testes e exercícios são realizados de acordo com o planejamento
estabelecido. Por exemplo, um teste de mesa pode envolver a simulação de um cenário de interrupção para revisar
os planos de continuidade do negócio, enquanto um exercício em tempo real pode simular uma situação de crise
para testar a resposta e a recuperação efetiva dos processos críticos.

• Avaliação e análise de resultados: Após a conclusão dos testes e exercícios, é importante realizar uma avaliação e
análise dos resultados. Isso envolve identificar quaisquer deficiências ou pontos fracos nos planos de continuidade
do negócio, registrar lições aprendidas e propor melhorias para aumentar a eficácia do SGCN.
Números e estatísticas relevantes
• Impactos financeiros:
• Segundo a pesquisa da Disaster Recovery Preparedness (DRP), as interrupções nos negócios podem custar às
empresas uma média de US$ 250.000 por hora.
• De acordo com o Relatório de Riscos Globais do Fórum Econômico Mundial, os eventos climáticos extremos e
desastres naturais estão entre os principais riscos globais em termos de impacto financeiro.
• Reputação e confiança:
• De acordo com um estudo da Deloitte, 60% das empresas que experimentaram uma violação de dados sofreram
perda de reputação e confiança dos clientes.
• O Relatório de Continuidade de Negócios da Databarracks revela que 62% das organizações do Reino Unido
sofreram interrupções nos negócios devido a eventos inesperados nos últimos 12 meses.
• Benefícios da implementação:
• Um estudo da PwC mostrou que as empresas que implementaram um plano de continuidade do negócio tiveram
um tempo médio de recuperação 40% mais rápido em comparação com as que não possuíam um plano.
• Segundo o relatório do Disaster Recovery Preparedness (DRP), 96% das empresas que possuem um plano de
continuidade do negócio conseguem recuperar dados e sistemas em até 24 horas após uma interrupção.
ISO/IEC 22313:2012
É um guia que fornece orientações para a Gestão de Continuidade de Negócios (GCN). Ela tem como objetivo auxiliar as
organizações na implementação. Resumidamente podemos destacar os principais pontos abordados na norma:
• Escopo e objetivos: A norma estabelece o escopo da GCN, que abrange ações para prevenir, responder, recuperar e
restaurar as operações de uma organização após um incidente disruptivo. Seus objetivos são garantir a resiliência do
negócio, reduzir o impacto de incidentes e aumentar a capacidade de recuperação.

• Melhores práticas e diretrizes: A ISO/IEC 22313:2012 fornece melhores práticas e diretrizes para implementar a GCN. Ela
aborda aspectos como análise de impacto nos negócios, identificação de necessidades e expectativas das partes
interessadas, avaliação de riscos, desenvolvimento de planos de continuidade, entre outros.

• Alinhamento com a ISO 31000: A norma é alinhada com a ISO 31000 de Gestão de Riscos. Isso significa que a GCN deve
considerar a identificação, análise e avaliação de riscos como parte integrante do processo, permitindo uma abordagem
holística para a gestão de riscos relacionados à continuidade do negócio.

• Benefícios da implementação: A ISO/IEC 22313:2012 destaca os benefícios da implementação da GCN. Isso inclui melhorar o
gerenciamento de questões relacionadas à continuidade do negócio, adotar medidas para reduzir riscos significativos, obter
insights práticos de aplicações da GCN e definir a direção futura da GCN na organização.
Alguns exemplos de empresas que estão
fortemente embasadas na norma:
• Banco Central do Brasil: O Banco Central do Brasil utiliza a ISO/IEC 22313 como referência
para a implementação de seu Sistema de Gestão da Continuidade do Negócio. A norma
ajudou o banco a identificar as partes interessadas envolvidas em sua operação, avaliar os
riscos e implementar medidas de controle adequadas. Isso permitiu que o banco mantivesse
a continuidade de suas operações essenciais durante eventos disruptivos, como desastres
naturais e crises financeiras.

• Sony Corporation: A Sony Corporation, uma empresa multinacional de eletrônicos e

entretenimento, adotou a ISO/IEC 22313 como parte de seu programa de Gestão de
Continuidade do Negócio. A norma ajudou a empresa a desenvolver planos de continuidade
robustos, realizar testes e exercícios regulares e estabelecer mecanismos eficazes de
comunicação e resposta a incidentes. Isso permitiu que a Sony mantivesse a continuidade de
suas operações mesmo diante de interrupções significativas, como falhas de sistemas e
desastres naturais.
Exemplos de empresas que passaram por problemas graves e graças a
utilização das normas ISO/IEC 22301:2012 e 22313:2012
conseguiram tratar estes momentos catastróficos com “tranquilidade”
• Equifax: Em 2017, a Equifax, uma das maiores agências de crédito dos Estados Unidos, sofreu um ataque
cibernético massivo que resultou no vazamento de dados pessoais de milhões de pessoas. A empresa havia
implementado a norma ISO/IEC 22301 e, graças a isso, foi capaz de responder rapidamente ao incidente,
ativando seus planos de continuidade do negócio, fornecendo comunicação transparente aos afetados e
colaborando com as autoridades competentes. A implementação da norma ajudou a Equifax a minimizar os
danos e recuperar a confiança de seus clientes.
• British Airways: Em 2018, a British Airways enfrentou uma falha de segurança que resultou no roubo de dados
de milhares de clientes em seu site e aplicativo. A empresa havia adotado as normas ISO/IEC 22301 e 22313
como parte de sua abordagem de gestão de continuidade do negócio. Graças a isso, a British Airways foi capaz
de responder prontamente ao incidente, implementando seus planos de continuidade, comunicando-se
efetivamente com os clientes afetados e tomando medidas para fortalecer sua segurança. A implementação
das normas ajudou a empresa a minimizar o impacto do incidente e preservar sua reputação.
• Target: Em 2013, a varejista Target sofreu uma violação de segurança que expôs os dados pessoais e
financeiros de milhões de clientes. A empresa havia implementado a norma ISO/IEC 22301 como parte de seu
sistema de gestão da continuidade do negócio. Isso permitiu que a Target ativasse rapidamente seus planos de
resposta a incidentes, trabalhasse em estreita colaboração com especialistas em segurança cibernética e
comunicasse claramente com seus clientes sobre as medidas tomadas. A implementação da norma ajudou a
empresa a lidar de forma eficaz com a violação de segurança e minimizar os danos à sua reputação.
• Em 2013, a Adobe Systems, uma empresa de software conhecida por seus produtos como o Adobe Photoshop
e o Adobe Acrobat, enfrentou um grande problema de segurança. Foi descoberto que os sistemas da Adobe
haviam sido comprometidos e informações confidenciais de aproximadamente 38 milhões de usuários,
incluindo nomes de usuário, senhas criptografadas e detalhes de cartão de crédito, foram expostas.
Resumo:

As normas ISO/IEC 22301:2012 e 22313:2012 são importantes para a

gestão de continuidade do negócio. A primeira estabelece requisitos
para implementar um sistema de gestão de continuidade, enquanto a
segunda fornece orientações detalhadas. Essas normas ajudam as
empresas a identificar necessidades das partes interessadas, avaliar
riscos, elaborar planos de continuidade e realizar testes. Com inúmeros
benefícios para um melhor gerenciamento, redução de riscos e direção
futura. Empresas anteriormente citadas implementaram essas normas
para fortalecer sua resiliência. Em resumo, as normas ISO/IEC
22301:2012 e 22313:2012 são essenciais para garantir a continuidade
em eventos turbulentos.