Escolar Documentos
Profissional Documentos
Cultura Documentos
JARDEL
CARLOS
Gestão de Continuidade do Negócio
É fundamental para garantir a resiliência e a capacidade de resposta
das organizações diante de eventos disruptivos. Neste cenário as
normas ISO/IEC 22301:2012 e 22313:2012 desempenham um papel
crucial ao fornecerem diretrizes e melhores práticas para a
implementação de um Sistema de Gestão da Continuidade mais
eficiente, além de Manter a operação contínua e a entrega de
produtos/serviços, mitigando impactos financeiros, reputacionais
etambem legais.
ISO/IEC 22301 e 22313:2012
ISO/IEC 22301 –SGCN (Requisitos para um Sistema de Gestão da Continuidade do
Negócio)
• Avaliação de riscos: A organização deve identificar os riscos internos e externos que podem
causar interrupções no negócio. Isso pode ser feito através de técnicas como análise de
impacto nos negócios (BIA)
• Análise e classificação de riscos: Os riscos identificados são analisados quanto à sua
probabilidade de ocorrência e impacto potencial na continuidade do negócio. Com base nessa
análise, os riscos são classificados em categorias, como alta, média e baixa.
• Implementação de medidas de controle: Com base na análise de riscos, a organização deve
implementar medidas de controle para reduzir a probabilidade de ocorrência dos riscos
identificados e mitigar seu impacto. Essas medidas podem incluir planos de contingência,
sistemas de backup, treinamento de funcionários e acordos com fornecedores alternativos.
• Monitoramento e revisão: Após a implementação das medidas de controle, é essencial
monitorar continuamente a eficácia das medidas e revisar periodicamente a avaliação de riscos.
Isso permite identificar novos riscos, revisar as medidas de controle existentes e garantir que o
SGCN permaneça atualizado e eficaz ao longo do tempo.
Desenvolvimento de planos de continuidade do negócio.
• Identificação dos processos críticos: A organização identifica os processos e atividades que são essenciais.
• Avaliação de impacto nos negócios (BIA): É realizada uma análise de impacto nos negócios para determinar as
consequências financeiras, operacionais e reputacionais de uma interrupção em cada processo crítico.
• Definição de objetivos de recuperação: Com base na análise de impacto nos negócios, são estabelecidos os
objetivos de recuperação para cada processo crítico. Esses objetivos definem o tempo máximo de interrupção
tolerável (MTPD) e o ponto de recuperação objetivo (RPO) para cada processo.
• Desenvolvimento dos planos de continuidade do negócio: Com os objetivos de recuperação estabelecidos, os
planos de continuidade do negócio são desenvolvidos. Esses planos incluem procedimentos detalhados e
medidas específicas para a recuperação dos processos críticos, como acionamento de equipes, realocação de
recursos, recuperação de dados e sistemas, entre outros.
• Testes e exercícios: Os planos de continuidade do negócio são testados e revisados regularmente por meio de
exercícios e simulações. Isso ajuda a identificar falhas, ajustar procedimentos e melhorar a eficácia dos planos.
• Manutenção e atualização: Os planos de continuidade do negócio devem ser mantidos e atualizados
regularmente para refletir mudanças na organização, nas operações e no ambiente de negócios. Isso garante
que os planos estejam sempre alinhados com as necessidades e requisitos atuais.
Testes e exercícios para verificar a eficácia do SGCN.
• Tipos de testes e exercícios: A norma sugere diferentes tipos de testes e exercícios que podem ser realizados, como
testes de mesa, testes funcionais, exercícios de simulação, exercícios em tempo real, entre outros. Cada tipo tem
seu propósito específico e oferece diferentes níveis de complexidade.
• Planejamento: Antes de realizar os testes e exercícios, é necessário fazer um planejamento adequado. Isso inclui
estabelecer objetivos claros, definir o escopo dos testes, identificar as partes interessadas envolvidas, alocar
recursos necessários e estabelecer critérios de avaliação.
• Execução: Durante a fase de execução, os testes e exercícios são realizados de acordo com o planejamento
estabelecido. Por exemplo, um teste de mesa pode envolver a simulação de um cenário de interrupção para revisar
os planos de continuidade do negócio, enquanto um exercício em tempo real pode simular uma situação de crise
para testar a resposta e a recuperação efetiva dos processos críticos.
• Avaliação e análise de resultados: Após a conclusão dos testes e exercícios, é importante realizar uma avaliação e
análise dos resultados. Isso envolve identificar quaisquer deficiências ou pontos fracos nos planos de continuidade
do negócio, registrar lições aprendidas e propor melhorias para aumentar a eficácia do SGCN.
Números e estatísticas relevantes
• Impactos financeiros:
• Segundo a pesquisa da Disaster Recovery Preparedness (DRP), as interrupções nos negócios podem custar às
empresas uma média de US$ 250.000 por hora.
• De acordo com o Relatório de Riscos Globais do Fórum Econômico Mundial, os eventos climáticos extremos e
desastres naturais estão entre os principais riscos globais em termos de impacto financeiro.
• Reputação e confiança:
• De acordo com um estudo da Deloitte, 60% das empresas que experimentaram uma violação de dados sofreram
perda de reputação e confiança dos clientes.
• O Relatório de Continuidade de Negócios da Databarracks revela que 62% das organizações do Reino Unido
sofreram interrupções nos negócios devido a eventos inesperados nos últimos 12 meses.
• Benefícios da implementação:
• Um estudo da PwC mostrou que as empresas que implementaram um plano de continuidade do negócio tiveram
um tempo médio de recuperação 40% mais rápido em comparação com as que não possuíam um plano.
• Segundo o relatório do Disaster Recovery Preparedness (DRP), 96% das empresas que possuem um plano de
continuidade do negócio conseguem recuperar dados e sistemas em até 24 horas após uma interrupção.
ISO/IEC 22313:2012
É um guia que fornece orientações para a Gestão de Continuidade de Negócios (GCN). Ela tem como objetivo auxiliar as
organizações na implementação. Resumidamente podemos destacar os principais pontos abordados na norma:
• Escopo e objetivos: A norma estabelece o escopo da GCN, que abrange ações para prevenir, responder, recuperar e
restaurar as operações de uma organização após um incidente disruptivo. Seus objetivos são garantir a resiliência do
negócio, reduzir o impacto de incidentes e aumentar a capacidade de recuperação.
• Melhores práticas e diretrizes: A ISO/IEC 22313:2012 fornece melhores práticas e diretrizes para implementar a GCN. Ela
aborda aspectos como análise de impacto nos negócios, identificação de necessidades e expectativas das partes
interessadas, avaliação de riscos, desenvolvimento de planos de continuidade, entre outros.
• Alinhamento com a ISO 31000: A norma é alinhada com a ISO 31000 de Gestão de Riscos. Isso significa que a GCN deve
considerar a identificação, análise e avaliação de riscos como parte integrante do processo, permitindo uma abordagem
holística para a gestão de riscos relacionados à continuidade do negócio.
• Benefícios da implementação: A ISO/IEC 22313:2012 destaca os benefícios da implementação da GCN. Isso inclui melhorar o
gerenciamento de questões relacionadas à continuidade do negócio, adotar medidas para reduzir riscos significativos, obter
insights práticos de aplicações da GCN e definir a direção futura da GCN na organização.
Alguns exemplos de empresas que estão
fortemente embasadas na norma:
• Banco Central do Brasil: O Banco Central do Brasil utiliza a ISO/IEC 22313 como referência
para a implementação de seu Sistema de Gestão da Continuidade do Negócio. A norma
ajudou o banco a identificar as partes interessadas envolvidas em sua operação, avaliar os
riscos e implementar medidas de controle adequadas. Isso permitiu que o banco mantivesse
a continuidade de suas operações essenciais durante eventos disruptivos, como desastres
naturais e crises financeiras.