{"id":4777,"date":"2010-12-29T23:45:35","date_gmt":"2010-12-29T23:45:35","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/010\/12\/29\/lista-de-verificacao-para-implementacao-da-bs-25999-2\/"},"modified":"2022-07-17T15:43:44","modified_gmt":"2022-07-17T15:43:44","slug":"lista-de-verificacao-para-implementacao-da-bs-25999-2","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2010\/12\/29\/lista-de-verificacao-para-implementacao-da-bs-25999-2\/","title":{"rendered":"Lista de verifica\u00e7\u00e3o para implementa\u00e7\u00e3o da BS 25999-2"},"content":{"rendered":"

Sua ger\u00eancia solicitou que voc\u00ea implementasse a continuidade de neg\u00f3cios, mas voc\u00ea n\u00e3o tem certeza de como faz\u00ea-lo? Embora essa n\u00e3o seja uma tarefa f\u00e1cil, voc\u00ea pode usar a metodologia da BS 25999-2<\/a> para facilitar sua vida. Aqui est\u00e3o os principais passos necess\u00e1rios para implementar essa norma:<\/p>\n

1. Obter o apoio da ger\u00eancia<\/h2>\n

Embora este n\u00e3o seja um passo obrigat\u00f3rio na BS 25999-2, \u00e9 certamente crucial no in\u00edcio, pois se a ger\u00eancia n\u00e3o entender os benef\u00edcios da continuidade de neg\u00f3cios e n\u00e3o estiver comprometida com esse projeto, ele provavelmente ir\u00e1 fracassar.<\/p>\n

2. Tratar como um projeto<\/h2>\n

Voc\u00ea precisar\u00e1 de bastante tempo e recursos para estabelecer seu sistema de gest\u00e3o da continuidade de neg\u00f3cios (SGCN) \u2013 \u00e9 preciso definir claramente o que precisa ser feito, em que prazo e quais s\u00e3o as fun\u00e7\u00f5es na implementa\u00e7\u00e3o do projeto. Em outras palavras, voc\u00ea tem de aplicar m\u00e9todos de gerenciamento de projetos.<\/p>\n

3. Definir objetivos e escopo; escrever uma Pol\u00edtica de GCN<\/h2>\n

Voc\u00ea precisa definir o que quer alcan\u00e7ar com o SGCN \u2013 conformidade, diminui\u00e7\u00e3o do n\u00edvel de risco, exig\u00eancias de seus clientes\/parceiros etc. Al\u00e9m disso, \u00e9 necess\u00e1rio definir o que ser\u00e1 inclu\u00eddo em seu SGCN: toda a organiza\u00e7\u00e3o, ou apenas uma parte dela. Por exemplo, voc\u00ea pode decidir que ir\u00e1 incluir apenas o seu centro de processamento de dados se estiver fornecendo servi\u00e7os de hospedagem para seus clientes. Tudo isso tem de ser documentado na Pol\u00edtica de GCN.<\/p>\n

4. Definir fun\u00e7\u00f5es e responsabilidades para o SGCN<\/h2>\n

Como o SGCN ir\u00e1 se tornar uma atividade permanente em sua organiza\u00e7\u00e3o, \u00e9 preciso definir responsabilidades claras para ele, principalmente para o “patrono” do SGCN (algu\u00e9m respons\u00e1vel pelo SGCN, mas que n\u00e3o est\u00e1 envolvido nas atividades do dia a dia do SGCN), para o “coordenador do SGCN”, para o “gerente do SGCN”, ou algo semelhante, e uma ou mais pessoas com deveres ativos em rela\u00e7\u00e3o ao SGCN. \u00c9 uma boa ideia documentar essas fun\u00e7\u00f5es e responsabilidades na sua Pol\u00edtica de GCN.<\/p>\n

5. Implementar procedimentos obrigat\u00f3rios<\/h2>\n

A BS 25999-2 requer que os quatro procedimentos obrigat\u00f3rios<\/a> a seguir sejam implementados: controle de documentos e registros, auditoria interna, a\u00e7\u00f5es preventivas e corretivas. Esses procedimentos s\u00e3o, na verdade, a base do seu sistema de gest\u00e3o, \u00e0 semelhan\u00e7a da ISO 27001<\/a> ou da ISO 9001<\/a>.<\/p>\n

6. Executar an\u00e1lise de impacto nos neg\u00f3cios e avalia\u00e7\u00e3o de riscos<\/h2>\n

Atrav\u00e9s da an\u00e1lise de impacto nos neg\u00f3cios<\/a> voc\u00ea deve identificar as atividades cr\u00edticas, o tempo m\u00e1ximo aceit\u00e1vel de interrup\u00e7\u00e3o, as depend\u00eancias dessas atividades cr\u00edticas (incluindo as depend\u00eancias de fornecedores e parceiros de terceiriza\u00e7\u00e3o) e estabelecer os objetivos de tempo de recupera\u00e7\u00e3o.<\/p>\n

Ao fazer a avalia\u00e7\u00e3o de riscos voc\u00ea descobre quais poderiam ser as causas para a interrup\u00e7\u00e3o de suas atividades cr\u00edticas, estas podem ser naturais, mas tamb\u00e9m causadas pelo homem (seja intencional ou acidentalmente). Voc\u00ea tamb\u00e9m precisa fazer o tratamento dos riscos, o que significa encontrar uma maneira de diminuir a possibilidade de algo dar errado. Infelizmente, a avalia\u00e7\u00e3o e o tratamento de riscos n\u00e3o s\u00e3o muito bem-definidos nesta norma, portanto, voc\u00ea pode dar uma olhada na ISO 27001, que os descreve em detalhes.<\/p>\n

7. Determinar a estrat\u00e9gia de continuidade de neg\u00f3cios<\/h2>\n

Antes de prosseguir com a escrita dos planos de continuidade de neg\u00f3cios, voc\u00ea tem de determinar quais recursos precisa para retomar suas atividades cr\u00edticas \u2013 pessoas, locais, dados, hardware, software, fornecedores, parceiros de terceiriza\u00e7\u00e3o, etc.<\/p>\n

A estrat\u00e9gia de continuidade de neg\u00f3cios<\/a> deve determinar n\u00e3o apenas o que voc\u00ea precisa, mas tamb\u00e9m como voc\u00ea ir\u00e1 obter esses recursos.<\/p>\n

8. Desenvolver planos de gest\u00e3o de incidentes e planos de continuidade de neg\u00f3cios<\/h2>\n

O objetivo dos planos de gest\u00e3o de incidentes \u00e9 descrever como voc\u00ea ir\u00e1 responder diretamente \u00e0 ocorr\u00eancia de um incidente (por exemplo, inc\u00eandio, terremoto, amea\u00e7a de bomba, falta de energia etc.), a fim de evitar sua propaga\u00e7\u00e3o e tentar diminuir seus efeitos diretos.<\/p>\n

Por outro lado, o objetivo dos planos de continuidade de neg\u00f3cios<\/a> \u00e9 descrever como voc\u00ea ir\u00e1 recuperar suas atividades cr\u00edticas, como ir\u00e1 colocar em a\u00e7\u00e3o todos os recursos que preparou. Isso significa que voc\u00ea tem de descrever quem vai fazer o qu\u00ea, em que o tempo, usando quais dados e tecnologias, para colocar sua organiza\u00e7\u00e3o em funcionamento novamente.<\/p>\n

Todos esses planos precisam ser descritos detalhadamente, porque devem ser executados mesmo no caso de a equipe principal n\u00e3o estar dispon\u00edvel. Portanto, tem de ser escritos de tal forma que outras pessoas sejam capazes de execut\u00e1-los.<\/p>\n

9. Treinamento e conscientiza\u00e7\u00e3o<\/h2>\n

Voc\u00ea precisa definir o n\u00edvel de compet\u00eancia necess\u00e1ria para a execu\u00e7\u00e3o dos planos de continuidade de neg\u00f3cios em caso de interrup\u00e7\u00e3o e, ent\u00e3o, treinar toda a equipe (funcion\u00e1rios e parceiros externos) para obter esse n\u00edvel de compet\u00eancia.<\/p>\n

No entanto, isso n\u00e3o \u00e9 suficiente, voc\u00ea tamb\u00e9m precisa explicar \u00e0 equipe porque a GCN \u00e9 necess\u00e1ria. Sejamos realistas \u2013 seus planos de continuidade de neg\u00f3cios ser\u00e3o usados, talvez, uma vez na vida, por isso, a maioria das pessoas os consideram um desperd\u00edcio de tempo. Portanto, voc\u00ea deve explicar porque eles precisam existir. (Consulte tamb\u00e9m Como lidar com os c\u00e9ticos em rela\u00e7\u00e3o \u00e0 GCN<\/a>)<\/p>\n

10. Exerc\u00edcio do SGCN<\/h2>\n

Se voc\u00ea acha que escreveu seus planos perfeitamente, \u00e9 prov\u00e1vel que esteja errado, pois \u00e9 quase imposs\u00edvel escrever um plano sem erros logo no in\u00edcio. \u00c9 por isso que o exerc\u00edcio \u00e9 uma parte obrigat\u00f3ria da GCN. Voc\u00ea tem de testar seus planos em uma situa\u00e7\u00e3o mais ou menos parecida com uma interrup\u00e7\u00e3o real. S\u00f3 assim voc\u00ea ir\u00e1 descobrir o que est\u00e1 bem planejado e o que n\u00e3o est\u00e1.<\/p>\n

11. Manter e revisar o SGCN<\/h2>\n

Outra maneira de manter seu SGCN atualizado \u00e9 definindo a periodicidade com que ir\u00e1 revisar seus planos de continuidade de neg\u00f3cios e outros planos e acordos (por exemplo, contratos com fornecedores e parceiros de terceiriza\u00e7\u00e3o, treinamento e conscientiza\u00e7\u00e3o etc.) H\u00e1 muitos tipos de mudan\u00e7as no ambiente que amea\u00e7am tornar sua documenta\u00e7\u00e3o obsoleta \u2013 basta um funcion\u00e1rio que tinha uma fun\u00e7\u00e3o no SGCN deixar a empresa para se ter um n\u00famero de telefone in\u00fatil no plano.<\/p>\n

Tamb\u00e9m \u00e9 obrigat\u00f3rio realizar uma revis\u00e3o p\u00f3s-incidente, se um incidente realmente ocorrer \u2013 o objetivo \u00e9 descobrir como a organiza\u00e7\u00e3o reagiu \u2013 o plano foi seguido ou n\u00e3o.<\/p>\n

12. Realizar auditoria interna<\/h2>\n

O objetivo da auditoria interna \u00e9 descobrir, de forma objetiva, se h\u00e1 algo errado. O auditor interno deve ser uma pessoa que pode descobrir se algo est\u00e1 errado no seu SGCN, a fim de corrigir o erro. Se realizada corretamente, a auditoria interna pode ser uma das melhores maneiras de melhorar seu SGCN. (Leia Dilemas com os auditores internos das normas ISO 27001 e BS 25999-2<\/a>.)<\/p>\n

13. Executar an\u00e1lise cr\u00edtica da gest\u00e3o<\/h2>\n

Como disse antes, \u00e9 muito importante envolver a ger\u00eancia no projeto, a an\u00e1lise cr\u00edtica da gest\u00e3o<\/a> foi projetada exatamente para isso. A norma exige que a ger\u00eancia examine todos os fatos relevantes sobre GCN e decida se ela cumpriu com seu objetivo. Depois disso, a ger\u00eancia tem de decidir quais melhorias devem ser feitas.<\/p>\n

14. A\u00e7\u00f5es preventivas e corretivas<\/h2>\n

A melhor coisa \u00e9 evitar que os erros (ou nos termos da BS 25999, as “inconformidades”) aconte\u00e7am \u2013 \u00e9 para isso que usamos as a\u00e7\u00f5es preventivas. Elas s\u00e3o uma forma sistem\u00e1tica de corrigir as coisas antes de ocorrer um problema. Parecidas com as a\u00e7\u00f5es preventivas, tamb\u00e9m existem as a\u00e7\u00f5es corretivas, que resolvem o problema que j\u00e1 ocorreu.<\/p>\n

Agora a quest\u00e3o \u00e9: para que serve a BS 25999-2? Embora n\u00e3o seja (ainda) uma norma internacional, \u00e9 a norma mais usada para a continuidade de neg\u00f3cios no mundo inteiro. As etapas acima referidas foram desenvolvidas pelos melhores especialistas em continuidade de neg\u00f3cios, por isso, se voc\u00ea quiser implementar as pr\u00e1ticas mais aceitas para a continuidade de neg\u00f3cios, voc\u00ea n\u00e3o precisa procurar mais.<\/p>\n

Aqui voc\u00ea pode baixar o diagrama do <\/em>Processo de implementa\u00e7\u00e3o da BS 25999-2<\/a>, que mostra todas essas etapas, juntamente com a documenta\u00e7\u00e3o exigida (\u00e9 necess\u00e1rio fazer um registro). <\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Sua ger\u00eancia solicitou que voc\u00ea implementasse a continuidade de neg\u00f3cios, mas voc\u00ea n\u00e3o tem certeza de como faz\u00ea-lo? Embora essa n\u00e3o seja uma tarefa f\u00e1cil, voc\u00ea pode usar a metodologia da BS 25999-2 para facilitar sua vida. Aqui est\u00e3o os principais passos necess\u00e1rios para implementar essa norma: 1. Obter o apoio da ger\u00eancia Embora este …<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[1102],"class_list":["post-4777","post","type-post","status-publish","format-standard","hentry","category-blog-pt-br","tag-acoes-corretivas-e-preventivas"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4777","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4777"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4777\/revisions"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4777"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4777"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4777"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}