Solicitar Orçamento
WW +41 21 641 6080 | EUA +1 800 256 0192 | CA +1 800 935 0725 | FR +33 261 880008 | DACH +49 1744625528
Fale Conosco
Home > Blog de Apoio e Recuperação > O que é a estrutura de gestão da continuidade das actividades ISO 22301?

O que é a estrutura de gestão da continuidade das actividades ISO 22301?

1 Star2 Stars3 Stars4 Stars5 Stars
(8 avaliações, média: 4,91 de 5) Loading...
Atualizado 17th outubro 2024, Rob Morrison

A continuidade do negócio é um elemento importante do funcionamento normal de qualquer organização. Ter um plano detalhado contribui muito para tornar os processos de recuperação após ataques informáticos e catástrofes naturais muito mais simples e convenientes, especialmente em organizações de maior dimensão. No entanto, o grande número de situações potenciais pode tornar difícil prever e imaginar qualquer situação possível para trabalhar, necessitando da introdução de algum tipo de norma para utilizar como modelo para cada situação.

É aqui que entra a ISO 22301 – uma norma internacional com o objetivo principal de atuar como uma estrutura para as empresas utilizarem em termos de preparação, resposta e recuperação de todos os tipos de incidentes, sejam eles violações de dados, desastres naturais, falhas de energia, etc.

Este artigo não só aborda a norma ISO 22301, como também a coloca no contexto das soluções de cópia de segurança e recuperação. As soluções de cópia de segurança e de recuperação são essenciais para manter a continuidade da atividade, uma vez que garantem que os dados vitais podem ser rapidamente restaurados em caso de perda de dados ou de falha do sistema.

Como resultado do aquecimento global, do aumento das tensões geopolíticas, do ransomware e de outras ameaças, a cópia de segurança e a recuperação tornaram-se ainda mais críticas do que nunca no domínio da continuidade do negócio. A conformidade com a norma ISO 22301 indicaria que uma solução de cópia de segurança e recuperação suporta uma abordagem estruturada à gestão de riscos, estratégias de recuperação e mitigação da perda de dados, alinhando-se com os objectivos mais amplos da continuidade empresarial e do planeamento da recuperação de desastres.

Mais sobre este assunto mais adiante neste blogue. No entanto, nosso primeiro passo seria definir a natureza e o objetivo da ISO 22301 em mais detalhes, mas também gostaríamos de cobrir as vantagens, etapas de certificação e possíveis deficiências da ISO 22301.

O que é a ISO 22301 e a Gestão de Continuidade de Negócios?

A ISO 22301:2019 “Segurança e Resiliência – Sistemas de gestão de continuidade de negócios – Requisitos” é a norma mundial para BCMS – Business Continuity Management Systems, desenvolvida pela International Organization for Standardization. É uma estrutura abrangente que ajuda as empresas a desenvolver estratégias de continuidade de negócios, ao mesmo tempo em que identifica ameaças potenciais e avalia seu impacto potencial no processo.

Ajudar as empresas a criar e melhorar o BCMS é o principal objetivo da ISO 22301. Investir num plano robusto de gestão da continuidade das actividades pode oferecer vários benefícios, incluindo uma maior resiliência dos dados e um impacto drasticamente menor da maioria dos eventos perturbadores no bem-estar da empresa.

Princípios principais da norma ISO 22301

A norma ISO 22301 oferece os meios para criar e melhorar os planos de continuidade das actividades existentes. Existem vários princípios fundamentais que esta norma utiliza para fornecer recomendações às empresas:

  1. A avaliação de riscos é o primeiro elemento importante desta norma, identificando potenciais problemas e formas de os mitigar ou resolver. Uma compreensão clara de todos os riscos e problemas potenciais da empresa deve permitir reorganizar os recursos de forma eficiente para estar preparado para os problemas mais importantes com antecedência.
  2. A BIA, ou Análise de Impacto no Negócio, é a parte necessária do processo de avaliação de riscos que permite à empresa identificar as suas funções de negócio para avaliar a sua criticidade e os custos de manutenção. Estes dois valores devem permitir avaliar o grau de disrupção que ocorreria se cada uma destas funções fosse subitamente afetada (e a rapidez com que uma organização pode repor a função em questão no seu estado de funcionamento).
  3. O plano de continuidade de negócios é formado com os resultados da BIA e da avaliação de risco em mente. Desta forma, uma estratégia de continuidade do negócio seria capaz de explicar como exatamente uma empresa manteria ou restauraria cada uma das suas funções críticas durante e após uma catástrofe – com sistemas de backup, planos de comunicação de crise e locais de trabalho alternativos, sendo apenas alguns exemplos de medidas potenciais.
  4. As estratégias de resposta a incidentes também desempenham um papel importante na ISO 22301 e nos seus esforços de continuidade do negócio, criando um esboço bem definido de como uma empresa está a planear detetar, responder e gerir vários problemas ou incidentes que afectam o negócio. Um protocolo de resposta a incidentes claro e definido deve ser capaz de minimizar o impacto de uma potencial perturbação, se não o mitigar completamente.
  5. A revisão e a melhoria contínua são ambas necessárias para garantir a relevância de um plano de continuidade da atividade definido pela norma ISO 22301. Auditorias e testes regulares dos planos e estratégias existentes podem revelar potenciais problemas e áreas a melhorar no futuro.

Seguir os requisitos da norma ISO 22301 é uma excelente forma de desenvolver uma estratégia de continuidade empresarial resiliente que oferece múltiplas vantagens aos seus utilizadores, incluindo melhorias de conformidade, melhoria da resiliência dos dados e muito mais.

O modelo PCDA nos requisitos da norma ISO 22301

A estrutura da norma ISO 22301

A norma ISO 22301, enquanto documento regulamentar, pode ser adquirida por um preço em formato físico ou eletrónico. Está dividida em dez cláusulas principais:

  1. Âmbito de aplicação
  2. Referências normativas
  3. Termos e definições
  4. Contexto da organização
  5. Liderança
  6. Planeamento
  7. Suporte
  8. Operação
  9. Avaliação do desempenho
  10. Melhoria

As cláusulas 1, 2 e 3 são utilizadas para definir o âmbito, as referências normativas e as definições do documento, respetivamente. As cláusulas 4 a 10, por outro lado, descrevem o processo para alcançar uma certa proficiência na criação de planos de continuidade do negócio.

Norma ISO 22301 e PCDA

Deve-se notar que a ISO 22301, como qualquer outra norma ISO, serve como uma explicação do que uma empresa deve ser capaz de alcançar para atingir a proficiência mínima na norma – sem descrições detalhadas sobre como alcançá-las (uma vez que elas ainda são recomendações, antes de mais nada).

Também segue o modelo Plan-Do-Check-Act, que é uma abordagem cíclica que explica a melhoria contínua em quatro passos básicos:

  • Plan – análise de risco, identificação de objectivos e estabelecimento de procedimentos para elementos separados do BCMS.
  • Do – implementação do plano de continuidade da atividade utilizando os processos desenvolvidos na etapa anterior.
  • Check – monitorização do processo e medição dos resultados, bem como avaliação do desempenho em relação às políticas e objectivos existentes.
  • Actar – várias acções corretivas baseadas nos resultados recolhidos durante a etapa anterior.

Como pode ver, esta sequência de eventos também é semelhante à seleção dos princípios principais que mencionámos anteriormente sobre a norma ISO 22301. Ela também começa com os processos de planejamento e análise antes de mergulhar na implementação real e terminar em um ciclo de revisões e auditorias regulares para fins de melhoria.

Soluções de backup e continuidade de negócios ISO 22301

Como uma das principais práticas de continuidade empresarial, os processos de cópia de segurança e recuperação e o software que os fornece são todos tratados como elementos importantes dos processos de continuidade empresarial com uma série de vantagens substanciais.

Um dos casos de utilização mais básicos de um sistema de backup é a capacidade deproteger os dadoscontra muitas situações em que estes possam ser corrompidos ou comprometidos de alguma forma, seja através de um ciberataque, uma falha de hardware, uma catástrofe natural, etc. A mesma lógica pode ser aplicada aos processos de recuperação como uma parte inseparável da combinação de funcionalidades de “cópia de segurança e recuperação”, oferecendo capacidades de restauro de dados rápidas e versáteis para melhorar os tempos de recuperação e minimizar o tempo de inatividade.

Algumas cópias de segurança podem mesmo ir mais longe e utilizar a funcionalidade de imutabilidade como uma funcionalidade opcional, fornecendo uma camada de segurança adicional contra várias ameaças cibernéticas para evitar que qualquer utilizador não autorizado interaja com dados imutáveis. Além disso, as cópias de segurança são frequentemente utilizadas como um elemento inseparável para a maioria das estruturas de conformidade devido à capacidade de cumprir os requisitos de estruturas regulamentares ou outras com armazenamento seguro de dados.

Voltando aos requisitos da ISO 22301 – uma estratégia de cópia de segurança competente deve ser sempre integrada no plano de continuidade da atividade para atingir os objectivos necessários em termos de resiliência dos dados. Os sistemas de backup também podem ser monitorizados e melhorados, funcionando como outro requisito que foi cumprido para a ISO 22301.

Quais são os benefícios da ISO 22301 – a norma de continuidade de negócios?

A norma ISO 22301 pode não só oferecer um grau de normalização a um ambiente, mas também proporcionar uma série de outras vantagens, a maioria das quais pode até atuar como motivação para que outras empresas também se certifiquem com esta norma. Com isso em mente, podemos agora analisar as vantagens mais notáveis da ISO 22301 como uma norma de continuidade de negócios:

  • Melhorias na gestão de riscos tornam possível reduzir ou mitigar os riscos operacionais, financeiros ou de reputação da empresa como resultado de eventos perturbadores.
  • Resiliência operacional melhorada para aumentar as probabilidades de uma empresa ultrapassar acontecimentos perturbadores com danos mínimos.
  • Conformidade regulamentar sob a forma do compromisso de uma empresa com a continuidade do negócio ajuda a cumprir os requisitos regulamentares (o que, por si só, pode ser uma vantagem competitiva em certas indústrias e áreas de trabalho).
  • A maior confiança das partes interessadas é possível graças ao empenhamento de uma empresa em criar um SGCN pormenorizado e flexível, a fim de demonstrar a sua resiliência e um nível de preparação para várias catástrofes.

O processo de certificação ISO 22301

Quando uma empresa decide avançar com o processo de certificação para esta norma ISO, tem de passar por uma sequência moderadamente complexa de eventos e acções, incluindo

  1. Implementar um sistema de gestão de continuidade de negócios (BCMS) eficaz, de acordo com todos os processos mencionados acima:
    1. Análise de risco.
    2. Implementação do plano.
    3. Auditoria interna exaustiva.
  2. Apresentar os resultados de uma auditoria e outros pormenores sobre o plano do SGCN à gestão de topo da organização para identificar áreas de melhoria e discutir a afetação de recursos.
  3. Pedir uma auditoria externa a um organismo de certificação independente acreditado. A auditoria propriamente dita é composta por:
    1. Visão geral do estado do sistema.
    2. Síntese da documentação.
    3. Uma auditoria pormenorizada no local, realizada para confirmar a conformidade com a norma.
    4. Avaliação da implementação do SGCN e da sua eficácia.
  4. Se a auditoria conseguir encontrar algum tipo de não-conformidade que impossibilite a apresentação da certificação, a empresa precisa de resolver todas estas questões e fornecer provas da sua resolução antes de ser tomada a decisão final.
  5. Revisão completa de todas as conclusões durante a auditoria externa para avaliar se o certificado ISO 22301 pode ser concedido.
  6. A conformidade contínua tem de ser assegurada com auditorias de controlo regulares (uma vez por ano, na maioria dos casos). Todo o procedimento tem de ser efectuado de raiz de três em três anos para efeitos de recertificação.

A minúcia do processo de avaliação resulta normalmente no facto de o processo de avaliação demorar vários meses a ser concluído, dependendo dos níveis de preparação da empresa, da dimensão da empresa e de outros factores, sendo que os casos de uma única avaliação que demora um ano inteiro são algo comuns em ambientes grandes e complexos.

ISO 22301 e sua correlação com outras normas

Normas como a ISO 22301 praticamente nunca existem por si só e terão sempre algum tipo de sobreposição com outras normas ou requisitos em diferentes sectores. Nesta secção, gostaríamos de apresentar as normas mais notáveis que se sobrepõem à ISO 22301 de uma forma ou de outra.

ISO 27001

A ISO 27001 – Gestão da Segurança da Informação – tem uma sobreposição substancial com a ISO 22301 em termos de gestão de riscos e resposta a incidentes como elementos activos no planeamento da continuidade do negócio. A maior diferença entre a ISO 22301 e a ISO 27001 é o facto de esta última ser muito mais específica na sua área-alvo, trabalhando especificamente no domínio da segurança da informação, que é uma das várias áreas de interesse da ISO 22301.

ISO 31000

A ISO 31000 – Gestão de Riscos – tem um nível moderado de sobreposição com a ISO 22301, devido ao facto de ambas as normas abrangerem a gestão de riscos como tópico. No entanto, a norma ISO 22301 pode fornecer uma cobertura muito mais ampla desta área e a ISO 31000 pode funcionar como um quadro detalhado para o controlo de riscos em várias situações (incluindo a criação de um BCSM).

ISO 9001

A ISO 9001 é uma norma de Gestão da Qualidade com um certo nível de sobreposição com a ISO 22301. De facto, a abordagem geral da ISO 22301, sob a forma de melhorias contínuas e abordagens baseadas em processos, é exatamente o que a ISO 9001 abrange, melhorando a gestão da qualidade e aumentando simultaneamente a resiliência de uma organização.

ISO 22313

Tal como mencionado anteriormente, a norma ISO 22301 fornece um enquadramento sob a forma de múltiplos requisitos que têm de ser cumpridos para obter a certificação, sem mencionar os passos exactos que têm de ser dados no processo. A grande razão para isso é a existência da norma ISO 22313, que é uma norma de Sistemas de Gestão de Continuidade de Negócio – Orientação, que oferece um conjunto detalhado de instruções sobre como o BCMS deve ser implementado, para começar.

NFPA 1600

A NFPA 1600 é uma norma sobre Gestão de Continuidade, Emergência e Crise, que se assemelha muito à ISO 22301 na sua estrutura. As maiores diferenças entre as duas são o facto de a ISO 22301 ser internacional e a NFPA 1600 estar orientada para a América do Norte, bem como o facto de a NFPA 1600 ter um conjunto mais detalhado de instruções para a gestão de emergências (o que a torna uma opção preferível em algumas indústrias).

Potenciais desafios na implementação da ISO 22301

A ISO 22301 pode servir como uma excelente base para a criação de políticas detalhadas de continuidade do negócio com melhorias contínuas. Ao mesmo tempo, a norma em questão é moderadamente complexa e tende a encontrar vários desafios ao longo do caminho, alguns dos quais mostraremos a seguir:

  • Desenvolvimento e manutenção de documentação actualizada. A introdução de software dedicado de gestão de planos e documentação no início do desenvolvimento do BCMS deve reduzir a gravidade deste desafio.
  • Balanço cuidadoso entre os recursos disponíveis e o âmbito potencial do BCMS. Limitar o âmbito do plano desde o início para permitir uma potencial expansão no futuro.
  • Aquisição dos recursos e compromisso de gestão para o plano de continuidade da atividade. Certificar-se de que a gestão de topo está ciente dos planos e processos para a continuidade da atividade desde o início para mitigar os efeitos desta questão.
  • Assegurar uma consciencialização completa e uma elevada percentagem de participação na realização da estratégia. Investir em programas de treinamento e conscientização para oferecer informações suficientes para todos os envolvidos.
  • Realização de BIAs e avaliações de risco detalhadas. Empregar a ajuda e a orientação de profissionais e consultores certificados para resolvê-lo.

ISO 22301 no contexto de backup e recuperação

Conforme mencionado anteriormente no artigo, os sistemas de backup e recuperação são normalmente uma parte essencial da obtenção da certificação ISO 22301. No entanto, apenas algumas soluções de backup cumprem ou excedem os requisitos para a certificação. Um exemplo de uma solução abrangente que excede todos os requisitos da perspetiva de backup e recuperação é o Bacula Enterprise.

O Bacula Enterprise pode desempenhar um papel fundamental para as organizações que pretendem obter a certificação ISO 22301, fornecendo soluções robustas de backup e recuperação que apoiam diretamente a gestão da continuidade do negócio (BCM). Um dos principais aspectos da ISO 22301 é garantir que os dados críticos e sistemas podem ser restaurados rapidamente após um incidente para minimizar a interrupção. O recurso bare metal recovery do Bacula Enterprise é essencial nesse contexto, pois permite que as empresas recuperem sistemas inteiros do zero, mesmo em caso de falha total do hardware. Esta capacidade alinha-se com o requisito ISO 22301 para garantir que as funções essenciais sejam restauradas de forma eficaz durante desastres ou interrupções do sistema, apoiando a continuidade das operações. Claro, ter uma capacidade de Recuperação Bare Metal é importante para uma solução de backup, mas criticamente, essa solução tem que ser capaz de ser integrada no ambiente de TI de uma organização. Bacula é especialmente forte neste aspeto, com um nível de flexibilidade que vai além de seus pares.

Além da recuperação Bare Metal, os recursos avançados de relatórios e monitoramento do Bacula fornecem às organizações insights detalhados sobre o status dos backups, testes de recuperação e vulnerabilidades potenciais. A ISO 22301 enfatiza auditorias regulares e melhoria contínua dos processos de continuidade de negócios, e as ferramentas de relatórios do Bacula oferecem uma visibilidade clara sobre o estado das operações de backup, bem como ferramentas de pesquisa poderosas para todos os meios de comunicação com backup do Bacula. Estes relatórios podem ser usados para verificar se os objectivos de recuperação estão a ser cumpridos e para fornecer provas de conformidade durante as auditorias de certificação ISO 22301. Isso garante que as estratégias de backup de uma organização não sejam apenas operacionais, mas também alinhadas com os requisitos da certificação para preparação e responsabilidade.

A segurança é outro elemento crucial tanto da ISO 22301 quanto do Bacula Enterprise. O Bacula oferece altos níveis de segurança, incluindo criptografia de dados em trânsito e em repouso, o que é fundamental para proteger informações críticas de negócios contra acesso não autorizado ou violações. A ISO 22301 exige que as organizações protejam seus dados durante interrupções, e os recursos de segurança do Bacula ajudam a atender a esses padrões, garantindo que os dados de backup permaneçam seguros, mesmo quando estão sendo restaurados após um incidente. A arquitetura modular do Bacula também oferece aos arquitectos de TI várias opções sobre como e onde implementar o Bacula, aumentando ainda mais o seu potencial de segurança. No momento em que escrevo, a maior organização de defesa no Ocidente está confiando em Bacula para backup e recuperação de seus dados críticos e aplicações. Em geral, as capacidades acima mencionadas fazem do Bacula uma solução abrangente para as organizações que procuram obter e manter a certificação ISO 22301, assegurando simultaneamente um quadro de continuidade de negócio forte e resiliente.

Conclusão

Devido à natureza atual do ambiente de negócios, ser capaz de manter o acesso à sua informação em uma base contínua em face de várias interrupções é um elemento crucial para o sucesso de qualquer empresa. A ISO 22301 é uma estrutura padronizada para planos de continuidade de negócios que mostra como o mínimo de um BCMS deve funcionar do início ao fim.

Embora o guia passo-a-passo em si não esteja incluído na norma, continua a ser uma pedra angular importante dos esforços de continuidade de negócios devido à sua natureza padronizada. A capacidade de se certificar com esta norma em mente também traz uma série de vantagens úteis, incluindo uma melhor resiliência dos dados, uma avaliação de risco mais precisa, uma maior confiança dos acionistas e até uma potencial vantagem competitiva em determinados campos.

A criação de uma estratégia de continuidade empresarial abrangente, seguindo a norma ISO 22301, já não é apenas uma recomendação – muitos sectores exigem uma abordagem deste tipo desde o início, tornando-a praticamente obrigatória em muitas situações. A existência de planos de continuidade empresarial também pode ser tratada como um passo estratégico para assegurar o futuro do seu ambiente empresarial a longo prazo, razão pela qual a utilização de normas como a ISO 22301 é tão altamente recomendada atualmente.

Sobre o autor
Rob Morrison
Rob Morrison é o diretor de marketing da Bacula Systems. Ele começou sua carreira de marketing de TI na Silicon Graphics, na Suíça, e desempenhou intensamente várias funções de administração de marketing por quase 10 anos. Nos 10 anos seguintes, Rob também ocupou vários cargos de administração de marketing na JBoss, Red Hat e Pentaho, assegurando o crescimento da participação no mercado dessas empresas reconhecidas. Ele é formado pela Universidade de Plymouth e tem um diploma de honras em mídia digital e comunicação, além de ter feito um programa de estudos no exterior.
Posts Relacionados
Backup e recuperação bare metal: Definição e tipos
outubro 2, 2024
Criptografia de backup 101: diretrizes e práticas recomendadas
dezembro 12, 2023
Google Workspace Guia de Backup: Vantagens, soluções e tipos
março 17, 2023
Visão geral dos backups de máquinas virtuais. Backups de VMs com o Bacula Enterprise
dezembro 6, 2021
Backup e recuperação do OpenStack: Práticas recomendadas, métodos integrados e soluções
novembro 14, 2023
Avaliação da segurança do data center: Padrões, regulamentos e práticas recomendadas
julho 19, 2024
Deixe um comentário

Seu e-mail não será publicado. Os campos obrigatórios estão marcados com *