Ontem na reunião do Comitê de Riscos que participo a conversa era sobre a preocupação com a alta disponibilidade de sistemas e dados, então pegando o gancho, resolvi também dar continuidade ao tema relevante por aqui, e escrever a respeito de como implementar um Plano de Continuidade de Negócios (PCN), que sabemos bem que pode ser desafiador, mas se seguir algumas dicas práticas pode facilitar o processo e aumentar a probabilidade de sucesso, pois é sobre isto que vou detalhar a respeito hoje abaixo:
1) Comece com “Por quê?”:
Para começar tenha certeza de que as razões para implementar um PCN estejam claras e alinhadas com a direção estratégica da sua empresa, pois sem uma boa justificativa forte e alinhada, você corre o risco de não obter o apoio crítico da alta gestão.
- Alinhamento Estratégico: A implementação deve estar vinculada aos objetivos estratégicos da empresa, demonstrando como o PCN suportará a resiliência organizacional e a continuidade dos negócios.
- Justificativa Clara: Explique claramente os benefícios e a necessidade do PCN para todos os níveis.
2) Considere “Para quê?”:
Implementar e manter um PCN exige um compromisso significativo, então, tenha certeza de que seu escopo seja amplo o suficiente para cobrir as informações críticas que precisam ser protegidas, mas não tão amplo que você não tenha recursos suficientes para implementá-lo e mantê-lo.
- Definição de Escopo: O escopo deve ser claramente definido para focar nas áreas críticas que precisam de proteção.
- Alocação de Recursos: Avalie se a empresa possui recursos suficientes para cobrir todo o escopo definido sem sobrecarregar as operações.
3) Envolva todas as partes interessadas no momento apropriado:
Envolva a alta gestão para definir o contexto, os requisitos, a política e os objetivos; envolva gerentes e funcionários com conhecimento relevante para avaliações de risco, design de processos e criação de procedimentos e controles.
- Participação da Alta Gestão: Garantir que a alta gestão esteja envolvida na definição de direções e na alocação de recursos.
- Contribuição dos Funcionários: Utilize o conhecimento e a experiência dos funcionários para identificar riscos e desenvolver processos eficazes e conseguir mitigar este risco.
4) Comunique-se extensivamente ao longo do processo:
Importante que se comunique bem e de forma didática, direta e aberta com todas as partes interessadas sobre o que você está fazendo, por que está fazendo, como planeja fazer e qual será o envolvimento delas, e dê atualizações regulares de progresso.
- Transparência na Comunicação: Manter todos informados sobre os objetivos e progressos do PCN.
- Atualizações Regulares: Prover atualizações contínuas para garantir que todos estejam cientes do status do projeto.
5) Obtenha ajuda externa quando necessário:
Não falhe por falta de habilidades técnicas ou conhecimento interno. A gestão de riscos de segurança da informação muitas vezes requer conhecimento especializado. No entanto, verifique o conhecimento e experiência de terceiros antes de contratá-los.
- Consultoria Externa: Utilize consultores ou especialistas externos para preencher lacunas de conhecimento interno.
- Verificação dos Consultores: Assegure-se de que os consultores externos tenham as qualificações, senioridade e experiências necessárias. Quantas vezes contratamos uma boa empresa, que depois coloca consultores juniores que ainda temos que ensinar.
6) Mantenha seus processos e documentação de suporte simples:
A documentação pode se desenvolver e se tornar mais extensa ao longo do tempo, se necessário.
- Simplicidade Inicial: Comece com processos e documentações simples que sejam fáceis de seguir.
- Evolução da Documentação: Permita que a documentação evolua conforme necessário para adicionar complexidade conforme a empresa se adapta.
7) Projete e implemente regras que você pode seguir na prática:
Não cometa o erro de documentar uma regra excessivamente elaborada que ninguém pode seguir. É melhor aceitar um risco e continuar procurando maneiras de gerenciá-lo.
- Praticidade das Regras: Desenvolva regras e procedimentos que sejam realistas e possíveis de serem implementadas.
- Gerenciamento de Riscos: Adote uma abordagem pragmática para gerenciar riscos que não podem ser eliminados completamente.
8) Lembre-se de seus fornecedores:
Alguns fornecedores ajudarão a aprimorar seu PCN, enquanto outros aumentarão seu risco. Você precisa garantir que quaisquer fornecedores de alto risco tenham controles em vigor que sejam pelo menos tão bons quanto os seus. Se não tiverem, procure alternativas.
- Avaliação de Fornecedores: Avalie a capacidade dos fornecedores de contribuir para a continuidade de negócios.
- Controles de Fornecedores: Assegure-se de que os fornecedores críticos possuam controles adequados para gerenciar riscos.
9) Treine, treine e treine novamente:
A continuidade de negócios provavelmente será um conceito novo para muitos ou a maioria de seus funcionários. As pessoas podem precisar mudar hábitos enraizados ao longo de muitos anos. Um único briefing de conscientização provavelmente não será suficiente.
- Treinamento Contínuo: Implemente um programa de treinamento contínuo para todos os funcionários.
- Mudança de Cultura: Promova uma mudança de cultura organizacional em direção à continuidade de negócios.
10) Lembre-se de alocar recursos suficientes para testar seus controles rotineiramente:
As ameaças que sua empresa enfrenta estão em constante mudança e você precisa testar se está apto a responder a essas ameaças.
- Testes Regulares: Realize testes e simulações regulares para validar a eficácia dos controles.
- Adaptação às Mudanças: Atualize os planos de continuidade conforme novas ameaças surgem e as condições mudam.
Como vimos acima implementar um PCN requer um compromisso significativo e um planejamento cuidadoso, e ao seguir essas dicas acima pode lhe ajudar um processo robusto que assegure a continuidade das operações críticas em face de interrupções, minimizando os impactos e garantindo a resiliência organizacional.
Uma vez depois de implementado seu PCN, não se pode parar por aqui, pois na rotina do dia a dia da gestão destes riscos, também é importante seguir um conjunto de etapas e processos para assegurar a eficácia e a conformidade contínua do sistema, e queria comentar mais sobre alguns deles abaixo:
1) Treinamento de Conscientização:
- Aumentar a Conscientização: Sua empresa deve aumentar a conscientização sobre os vários padrões cobertos pelo PCN.
- Treinamentos Separados: Realizar reuniões de treinamento separadas para alta gestão, média gestão e nível júnior, o que ajudará a criar um ambiente motivador, pronto para a implementação.
2) Política e Objetivos:
- Desenvolver Políticas Integradas: Sua empresa deve desenvolver uma Política de Segurança da Informação e objetivos relevantes para ajudar a atender aos requisitos.
- Workshops com a Alta Gestão: Trabalhando com a alta gestão, sua empresa deve realizar workshops com todos os níveis de gerenciamento para delinear os objetivos integrados.
3) Análise de Lacunas Internas:
- Identificar e Comparar Níveis de Conformidade: Sua empresa deve identificar e comparar o nível de conformidade dos sistemas existentes em relação aos requisitos dos padrões sob seu novo PCN.
- Desenvolver um Desenho do Fluxo dos Processos: O pessoal relevante deve entender as operações da empresa, e assim desenvolver um desenho do fluxo dos principais processos e atividades dentro do negócio.
4) Desenho de Documentação de Manuais Operacionais dos Processos:
- Criação de Documentação: A empresa deve criar a documentação dos processos conforme os requisitos dos padrões relevantes.
- Manual e Procedimentos: Deve-se escrever e implementar um manual dos procedimentos funcionais, com instruções de trabalho, procedimentos do sistema.
5) Implementação de Documentação de Manuais Operacionais:
- Implementação de Processos e Manuais: Os processos e manuais desenvolvidos na etapa anterior devem ser implementados em toda a empresa, cobrindo todos os departamentos e atividades.
- Workshop de Implementação: A empresa deve realizar um workshop sobre a implementação conforme aplicável se possível aos requisitos dos padrões ISO.
6) Auditoria Interna:
- Sistema de Auditoria Interna: Um sistema robusto de auditoria interna é essencial.
- Ações Corretivas: Implementar ações corretivas para melhorias em cada um dos documentos auditados, a fim de fechar lacunas e garantir a eficácia do PCN.
7) Reunião de Revisão da Gestão:
- Revisão pela Alta Gestão: A alta gestão deve revisar vários aspectos oficiais dos negócios da empresa, que são relevantes para os padrões sendo implementados.
- Itens de Revisão: Revisar a política, objetivos, resultados da auditoria interna, resultados do desempenho dos processos, resultados de reclamações, feedback e da conformidade legal, resultados da avaliação de riscos, e de incidentes e desenvolver um plano de ação após a reunião, que deve ser registrado em ata.
8) Análise de Lacunas dos Sistemas Implementados:
- Análise Formal: Uma análise formal de lacunas pré-certificação deve ser conduzida para avaliar a eficácia e conformidade da implementação do sistema na empresa.