| Observação: Em 15 de maio de 2012, a BS 25999-2 foi substituída pelo padrão internacional ISO 22301. |  |
Fundamentos da BS 25999-2
Uma das principais normas de continuidade de negócios↓
Análise de impacto nos negócios e avaliação de riscos↓
Definição da estratégia de continuidade de negócios↓
Plano de continuidade de negócios↓
Manutenção dos planos e do sistema; melhoria↓
Uma das principais normas de continuidade de negócios
A BS 25999-2 é uma norma britânica lançada em 2007, que rapidamente se tornou a principal norma de gestão de continuidade de negócios. Embora essa norma seja britânica, ela é usada em muitos países, e prevê-se que em breve será aceita como uma norma ISO 22301 internacional.
Assim como a ISO 27001, a ISO 9001, a ISO 14001 e outras normas que definem os sistemas de gestão, a BS 25999-2 também define um sistema de gestão de continuidade de negócios que contém as mesmas quatro fases de gestão (planejamento , implementação, análise e monitoramento), bem como melhorias. O objetivo dessas quatro fases é que o sistema seja constantemente atualizado e melhorado a fim de ser útil quando ocorre uma catástrofe.
A seguir estão alguns dos principais procedimentos e documentos exigidos pela BS 25999-2:
- objetivo do SGCN – identificação precisa da área da organização em que a gestão de continuidade de negócios é aplicada
- Política de GCN – definição de objetivos, responsabilidades, etc.
- gestão de recursos humanos
- análise de impacto nos negócios e avaliação de riscos
- definição da estratégia de continuidade de negócios
- planos de continuidade de negócios
- manutenção de planos e sistemas; melhoria
Gestão de recursos humanos
A norma diz que é essencial determinar as habilidades e o conhecimento necessários para identificar as sessões de treinamento necessárias, para realizar essas sessões de treinamento, para verificar se as habilidades e os conhecimentos necessários foram obtidos e para determinar quais registros devem ser mantidos.
A BS 25999-2 também exige a realização de programas de conscientização e comunicação da importância da gestão de continuidade de negócios para os funcionários.
Análise de impacto nos negócios e avaliação de riscos
A análise de impacto nos negócios lida com atividades importantes em uma organização, define o período máximo tolerado de interrupção, a interdependência das ações individuais, além de determinar quais atividades são críticas, explorar os acordos existentes com os fornecedores e parceiros de terceirização e definir o tempo de recuperação.
A avaliação de riscos é realizada para determinar quais desastres e outras interrupções nas operações de negócios podem ocorrer e quais são suas consequências, bem como quais são as vulnerabilidades e ameaças que podem resultar nessas interrupções nos negócios. Com base nessa avaliação, a organização determina como reduzir a probabilidade de riscos e como diminuir o impacto em caso de concretização dos riscos.
Definição da estratégia de continuidade de negócios
Uma estratégia refere-se à definição de como a organização se recuperará em caso de desastre. A estratégia é determinada com base nos resultados da avaliação de riscos e da análise de impacto nos negócios. Ela geralmente envolve localizações alternativas, opções de recuperação de dados, recuperação de recursos humanos, comunicações, equipamentos, gestão de fornecedores e parceiros de terceirização, etc.
Plano de continuidade de negócios
O plano de continuidade de negócios inclui os planos de resposta a incidentes, {procedimentos de ativação do plano de continuidade de negócios} e os planos de recuperação para atividades críticas. Todos eles são escritos com base na estratégia de continuidade de negócios.
Um plano de resposta a incidentes deve especificar a forma de determinar os tipos de incidentes, os canais de comunicação, os tipos de resposta, as responsabilidades, etc.
Os planos de recuperação devem especificar as funções e responsabilidades, as principais etapas para a recuperação, os locais, os recursos a serem utilizados e onde eles estão localizados, as prioridades, as ações a serem tomadas após a conclusão da recuperação, etc.
Manutenção dos planos e do sistema; melhoria
A norma estabelece:
- exercícios e testes regulares de planos para tornar o pessoal mais familiarizado com os planos e para verificar o seu nível de atualização
- a realização de auditorias internas a intervalos regulares
- análises críticas da gestão para garantir que o SGCN está funcionando e para fazer as melhorias adequadas
- a tomada de ações preventivas e corretivas para melhorar não só planos, mas também outros elementos do sistema
Documentação
A BS 25999-2 exige os seguintes documentos:
- o objetivo da GCN
- a Política de GCN
- as responsabilidades específicas para a GCN
- os procedimentos de gestão de documentos e registros e os procedimentos para ações corretivas e preventivas
- a metodologia da análise crítica da gestão e os resultados dessa análise
- a metodologia de avaliação de riscos
- a estratégia de continuidade de negócios
- o plano de continuidade de negócios que inclui o(s) plano(s) de resposta a incidentes e o(s) plano(s) de recuperação
- os registros
A quantidade de documentação depende da quantidade de atividades críticas em uma organização; uma organização com uma pequena quantidade de atividades críticas também terá uma pequena quantidade de documentação relacionada à análise de impacto nos negócios, à avaliação de riscos e aos planos de continuidade de negócios, enquanto a documentação de organizações maiores será muito mais extensa.
Outras normas relacionadas
Além da BS 25999-2, a BS 25999-1 é uma norma "auxiliar" que fornece mais detalhes sobre como implementar partes específicas da BS 25999-2.
Outras normas úteis são a ISO 27001, que aborda a continuidade de negócios em um contexto mais amplo de segurança da informação, e a ISO 27005, que fornece uma descrição detalhada do processo de avaliação de riscos.
