A ISO 22301, primeira norma internacional a nível mundial para a Gestão de Continuidade de Negócios (BCM), foi desenvolvida para ajudar as organizações a minimizar o risco associado a este tipo de acontecimentos disruptivos. A ISO lançou oficialmente a ISO 22301 “Segurança da sociedade – Sistemas de gestão de continuidade de negócios – Requisitos”, a nova norma internacional para Sistemas de Gestão de Continuidade de Negócio (SGCN). Esta norma vem substituir a atual norma Britânica BS25999.
A ISO 22301 especifica os requisitos para planear, estabelecer, implementar, operar, monitorizar, rever, manter e melhorar continuamente um sistema de gestão documentado de modo a preparar para, responder e recuperar de eventos que possam interromper o normal funcionamento de uma organização, quando os mesmos ocorram.
Os requisitos especificados na ISO 22301 são genéricos e pretende-se que sejam aplicáveis a todas as organizações, independentemente do tipo, dimensão e natureza da organização. O campo de aplicação destes requisitos depende do ambiente de trabalho e complexidade da organização em causa.
A normalização da continuidade do negócio evolui com a norma ISO 22301, acrescentando:
- Maior ênfase na definição dos objetivos, monitoração de desempenho e métricas;
- Expectativas mais claras sobre gestão;
- Planeamento mais cuidadoso e preparação dos recursos necessários para garantir a continuidade dos negócios.
A ISO 22301 aplica-se a todas as organizações, independentemente do tipo e dimensão, que pretendam
- estabelecer, implementar, manter e melhorar um SGCN;
- assegurar conformidade com a política declarada da organização de continuidade de negócios;
- demonstrar conformidade a outras partes;
- procura da certificação / registo de seus SGCN por um organismo independente de certificação acreditado, ou
- demonstrar autodeterminação e realizar uma autodeclararão de conformidade com esta Norma Internacional
Principais cláusulas da ISO 22301:2012
Seguindo a nova estrutura do ISO Guide 83, a ISO 22301 encontra-se organizada nas seguintes principais cláusulas:
Cláusula 4: Contexto da organização
Cláusula 5: Liderança
Cláusula 6: Planeamento
Cláusula 7: Suporte
Cláusula 8: Operação
Cláusula 9: Avaliação de desempenho
Cláusula 10: Melhoria
Encontram-se listadas abaixo, cada uma destas atividades principais.
Cláusula 4: Contexto da organização
Determinar questões internas e externas que são relevantes para a sua finalidade e que afetam a sua capacidade de atingir os resultados esperados dos seus SGCN, tais como:
- atividades da organização, funções, serviços, produtos, parcerias, cadeias de abastecimento, relações com as partes interessadas, bem como o potencial impacto relacionado a um incidente disruptivo;
- interligações entre a política de continuidade de negócios e os objetivos da organização e outras políticas, incluindo a sua estratégia global de gestão de risco;
- o apetite de risco da organização;
- necessidades e expectativas das partes interessadas relevantes;
- requisitos legais aplicáveis, regulamentares e outros requisitos que a organização subscreva
Faz ainda parte deste cláusula, a identificação do âmbito de aplicação do SGCN, tendo em conta os objetivos estratégicos da organização, produtos e serviços essenciais, tolerância de riscos, e quaisquer obrigações regulamentares, contratuais ou das partes interessadas.
Cláusula 5: Liderança
A gestão de topo deve demonstrar um compromisso contínuo com o SGCN. Através da sua liderança e ações, a gestão pode criar um ambiente no qual diferentes atores sejam plenamente envolvidos e em que o sistema de gestão pode operar efetivamente em sinergia com os objetivos da organização. Eles são responsáveis por:
- assegurar que o SGCN é compatível com a direção estratégica da organização;
- integrar os requisitos do SGCN nos processos de negócio da organização;
- fornecer os recursos necessários para o SGCN;
- comunicar a importância de uma eficaz gestão de continuidade de negócios;
- assegurar que o SGCN atinge os resultados planeados;
- orientar e suportar a melhoria contínua;
- estabelecer e comunicar uma política de continuidade de negócios;
- assegurar que os objetivos do SGCN e planos são estabelecidos;
- assegurar que as responsabilidades e autoridades para funções relevantes são atribuídas.
Cláusula 6: Planeamento
Esta é uma fase crítica no que se refere ao estabelecimento de objetivos estratégicos e princípios orientadores para o SGCN como um todo. Os objetivos de um SGCN são a expressão da intenção da organização para tratar dos riscos identificados e / ou para cumprir com os requisitos das necessidades organizacionais. Os objetivos de continuidade de negócios devem:
- ser coerentes com a política de continuidade de negócios;
- ter em conta o nível mínimo de produtos e serviços que é aceitável para a organização atingir seus objetivos;
- ser mensuráveis;
- ter em conta os requisitos aplicáveis;
- ser monitorizados e atualizados conforme apropriado.
Cláusula 7: Suporte
A gestão do dia-a-dia de um sistema de gestão de continuidade de negócios eficaz baseia-se na utilização dos recursos apropriados para cada tarefa. Estes incluem, equipas competentes com formação relevante (e demonstrável) e serviços de apoio, sensibilização e comunicação. Esta, deve ser apoiada por boa e documentada gestão de informação.
Devem ser consideradas nesta área, comunicações internas e externas da organização, incluindo o formato, o conteúdo e o momento adequado para tais comunicações.
São também especificadas nesta cláusula as exigências sobre a criação, atualização e controle da informação documentada.
Cláusula 8: Operação
Após o planeamento do SGCN, a organização deverá operacionalizá-lo. Esta cláusula incluí:
- Análise de Impacto de Negócios (AIN): Esta atividade permite à organização identificar os processos críticos que sustentam os seus principais produtos e serviços, as interdependências entre os processos e os recursos necessários para operar os processos num nível minimamente aceitável.
- Avaliação de Riscos: A ISO 22301 propõe a referência à norma ISO 31000 para implementar este processo. O objetivo deste requisito é o de estabelecer, implementar e manter um processo formal e documentado de avaliação de riscos que sistematicamente identifica, analisa e avalia o risco de incidentes disruptivos para a organização.
- Estratégia de Continuidade de Negócios: Após serem estabelecidos os requisitos através da AIN e da avaliação dos riscos, podem ser desenvolvidas as estratégias necessárias e identificados os mecanismos que permitam à organização proteger e recuperar as suas atividades críticas tendo por base a tolerância ao risco organizacional e de acordo com os objetivos definidos de tempo de recuperação. A experiência e as boas práticas indicam claramente que uma implementação antecipada de uma estratégia global de Gestão de Continuidade de Negócios (GCN), permitirá à organização garantir que as atividades de GCN são alinhadas com e apoiam a estratégia global de negócios da organização. A estratégia de continuidade de negócios deve ser uma componente integral da estratégia corporativa de uma instituição.
- Procedimentos de continuidade de negócios: A organização deve documentar os procedimentos (incluindo os arranjos necessários) para garantir a continuidade das atividades e gestão de um incidente disruptivo. Os procedimentos têm de:
- estabelecer um protocolo de comunicações interno e externo adequado;
- ser específicos sobre as medidas imediatas que devem ser tomadas durante uma interrupção;
- ser flexíveis de modo a responderem a ameaças imprevistas e ás alterações das condições internas e externas;
- ser focados no impacto de eventos que potencialmente poderão interromper as operações;
- ser desenvolvidos com base em pressupostos declarados e em uma análise de interdependências, e;
- ser eficientes de forma a minimizar as consequências através da implementação de estratégias de mitigação apropriadas.
Exercitar e testar: Para assegurar que os procedimentos de continuidade de negócios são consistentes com os objetivos de continuidade de negócios, a organização terá que testá-los regularmente. Exercitar e testar são os processos de validação dos planos de continuidade de negócios e procedimentos de modo a assegurar que as estratégias selecionadas são capazes de fornecer as respostas e resultados de recuperação nos prazos acordados pela gestão.
Cláusula 9: Avaliação de desempenho
Uma vez implementado o SGCN, a ISO 22301 exige um acompanhamento contínuo do sistema, bem como revisões periódicas para melhorar o seu funcionamento:
- monitorizar em toda a sua extensão, a política da organização de continuidade de negócios, objetivos e metas de modo a que os mesmos sejam atingidos;
- medir o desempenho dos processos, procedimentos e funções que protegem as suas atividades prioritárias;
- monitorizar o cumprimento desta norma e dos objetivos de continuidade de negócios;
- monitorizar evidências históricas de desempenho deficiente do SGCN
- condução de auditorias internas em intervalos planeados e
- avaliar tudo isso na revisão pela gestão em intervalos planeados.
A melhoria contínua pode ser definida como todas as ações tomadas em toda a organização para aumentar a eficácia (atingir objetivos) e eficiência (uma relação custo / benefício ideal) dos processos e controlos de segurança para trazer maiores benefícios para a organização e para as suas partes interessadas. Uma organização pode melhorar continuamente a eficácia de seu sistema de gestão através da utilização da política de continuidade de negócios, objetivos, resultados de auditorias, análise de eventos monitorizados, indicadores, ações corretivas e preventivas e revisão da gestão.