A Gestão da Continuidade de Negócios vem sendo diariamente discutida nas organizações, as vezes para cumprir requisitos de Auditoria, mas muitas vezes pela preocupação da Alta Direção em manter as operações de negócio. Esse é o primeiro passo, a decisão de abordar a Continuidade, mas os próximos tão importantes quanto, principalmente quando é decidido o “como fazer”.

Este artigo tem por objetivo apresentar a importância de se utilizar normas e boas práticas internacionais (e nacionais) quando se aborda o assunto de Continuidade de Negócios.

O primeiro ponto a abordar é em relação as normas nacionais e internacionais. Há um bom tempo atrás, a principal referencia normativa era a norma britânica BS 25999. A partir de 2007, a norma ISO/IEC 27001, apoiada pela antiga norma ISO/IEC 17799, hoje ISO/IEC 27002, também abordavam a Gestão da Continuidade de Negócios, principalmente pela visão da Segurança da Informação. No Brasil, a partir de 2008, foi apresentada a norma NBR 15999, possuindo como referencia a norma Inglesa.

Desenvolver a Gestão da Continuidade de Negócios tendo como base as normas torna a abordagem mais generalista (pois este é o perfil de uma norma). Um bom exemplo disso é a norma brasileira (NBR 15999). Esta norma estabelece o deve ser atendido, propondo os seis estágios da gestão da continuidade:

  1. Compreender o Negócio
  2. Estratégia de Continuidade
  3. Plano de Continuidade
  4. Construir e Disseminar a Cultura
  5. Exercitar, Manter e Auditar
  6. Testar, Avaliar e Melhorar

Mas de uma maneira geral, a norma não especifica como estas atividades devem ser desenvolvidas, ou mesmo apresenta uma metodologia de apoio. Outro ponto falho quando se utiliza apenas as normas, é a falta de propostas para medidas (resultados e performance) e monitoramento.

Para poder realizar uma abordagem mais detalhada, além do uso de normas, a organização pode (e deve) fazer uso de boas práticas, pois estas geralmente propõem metodologias e frameworks para o desenvolvimento dos processos envolvidos na Gestão da Continuidade. Além disso, praticamente todas as boas práticas utilizadas, como CobiT e ITIL, possuem uma organização que além de propor como, também aborda as medidas de desempenho e resultados.

A utilização do CobiT geralmente começa com o processo DS4 – Assegurar serviços contínuos e com os processos com os quais ele se relaciona (DS4.1 ao DS4.10: Framework de Continuidade de TI, Planos de Continuidade  (PC) de TI, Recursos Críticos de TI, Manutenção do PC de TI, Teste do PC de TI, Treinamento do PC de TI, Distribuição do PC de TI, Recuperação e Retomada de Serviços de TI, Armazenamento de Backup e Revisão Pós-retomada; Relação com outros processos CobiT: PO2, PO9, AI2, AI4, DS1, DS2, DS8, DS9, DS11, DS13 e ME1.

Mas o mais importante, é ter a habilidade de juntar todo este conhecimento e organização em ações que realmente apóiem e ajudem a organização no alcance do objetivo de Garantir e Assegurar a Continuidade de Negócios, como se pode exemplificar abaixo:

 

  • Análise de Riscos Físicos e Lógicos – Representa as atividades de Compreensão do Negócio do estágio 1 do GCN da norma NBR 15999-1, do item 14.1.2 da norma ISO/IEC 27002 e das atividades PO9.2, PO9.4 e DS4.3 do framework do CobiT 4.1.

 

  • Elaboração do Plano de Continuidade de Negócio – Representa as atividades do estágio 3 do GCN da norma NBR 15999-1, dos itens 14.1.3 e 14.1.4  da norma ISO/IEC 27002 e das atividades DS4.2, DS4.7, DS4.8, DS4.10 e AI2.4 do framework do CobiT 4.1

 

  • Workshop de Treinamento do Plano de Continuidade de Negócios – Representa as atividades do estágio 4 do GCN da norma NBR 15999-1, do item 14.1.4  da norma ISO/IEC 27002 e das atividades DS4.6 e AI4.3 do framework do CobiT 4.1

 

  • Testes do Plano de Continuidade de Negócios – Este produto representa as atividades do estágio 5 do GCN da norma NBR 15999-1, do item 14.1.5  da norma ISO/IEC 27002 e da atividade DS4.5 do framework do CobiT 4.1.

 

  • Gerência de Backup – Representa as atividades dos estágios 1 e 3 do GCN da norma NBR 15999-1, do item 14.1.2  da norma ISO/IEC 27002 e das atividades PO2.3, DS4.9, DS11.2 e DS11.5 do framework do CobiT 4.1.

 

  • Definição do Catálogo de Serviços – Representa as atividades dos estágios 1 e 3 do GCN da norma NBR 15999-1, do item 14.1.5 da norma ISO/IEC 27002 e das atividades DS 1.2 e DS2.1 do framework do CobiT 4.1

 

  • Identificação dos Serviços de Terceiros – Representa as atividades do estágio 1 do GCN da norma NBR 15999-1, do item 14.1.2  da norma ISO/IEC 27002 e da atividade DS2.1 do framework do CobiT 4.1

 

  • Definição dos Acordos de Nível e Operação de Serviço (SLA e OLA) – Representa as atividades do estágio 1 do GCN da norma NBR 15999-1, do item 14.1.2  da norma ISO/IEC 27002 e das atividades DS1.2, DS1.3 e DS1.4 do framework do CobiT 4.1

 

  • Manutenção do Plano de Continuidade de Negócios – Representa as atividades do estágio 5 do GCN da norma NBR 15999-1, do item 14.1.5  da norma ISO/IEC 27002 e da atividade DS4.4 do framework do CobiT 4.1

 

  • Elaboração do Framework de Continuidade – Representa toda a estrutura do GCN e atende as atividades dos estágios de 1 a 5 do GCN da norma NBR 15999-1, dos itens 14.1.4 e 14.1.5  da norma ISO/IEC 27002 e da atividade DS4.1 do framework do CobiT 4.1